EU-DSGVO-Datenverarbeitungszusatz
Nitro Pro
DIESER DATENVERARBEITUNGSZUSATZ GILT, WENN SIE SICH ALS GESCHÄFTSKUNDE UNTER DEN NITRO- SERVICEBEDINGUNGEN FÜR NITRO-DIENSTE REGISTRIERT HABEN UND DIE EU-DSGVO FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM RAHMEN DER VEREINBARUNG GILT. FALLS SIE SICH ALS PRIVATPERSON REGISTRIERT HABEN, BESUCHEN SIE BITTE DIE DATENSCHUTZERKLÄRUNG VON NITRO, UM WEITERE INFORMATIONEN DARÜBER ZU ERHALTEN, WIE NITRO IHRE PERSONENBEZOGENEN DATEN VERARBEITET.
1. UMFANG; ROLLEN DER PARTEIEN
Nitro empfängt und verarbeitet personenbezogene Daten zum Nutzen und im Namen des Kunden bei der Bereitstellung der Dienste gemäß den Anweisungen und Zwecken, die der Kunde in den Datenverarbeitungsdetails definiert hat. Mit diesem Nachtrag zur Datenverarbeitung möchten die Parteien ihre spezifischen Vereinbarungen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung festlegen.
Standardmäßig fungiert Nitro als Auftragsverarbeiter und der Kunde als Verantwortlicher in Bezug auf die Dienste, die Nitro dem Kunden gemäß den Nutzungsbedingungen von Nitro zur Verfügung stellt. Dieser Nachtrag zur Datenverarbeitung ersetzt und ersetzt alle vorherigen Vereinbarungen, die (falls vorhanden) in Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz zwischen den Parteien im Zusammenhang mit den von Nitro angebotenen Diensten getroffen wurden.
Dieser Nachtrag zur Datenverarbeitung ergänzt die Nutzungsbedingungen und stellt einen Teil davon dar. Zusammen bilden die Nutzungsbedingungen und dieser Nachtrag zur Datenverarbeitung eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.
2. DEFINITIONEN
„Anhang“ bezeichnet jeden Anhang zu diesem Datenverarbeitungszusatz;
„Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter“ bezeichnet das Modul 2 der EU-Standardvertragsklauseln, das im Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4 Juni 2021 über Standardvertragsklauseln für die Übertragung festgelegt ist Weitergabe personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates in der jeweils gültigen oder ersetzten Fassung durch eine zuständige Behörde gemäß den einschlägigen Datenschutzgesetzen;
„Verantwortlicher“ bezieht sich auf den Kunden, wie in den Nutzungsbedingungen und dem jeweiligen Bestellformular angegeben;
„Details zur Datenverarbeitung“ bezeichnet Anhang 1 zum vorliegenden Nachtrag zur Datenverarbeitung, der weitere Einzelheiten zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten enthält, wie z. B. Zweck, Gegenstand und Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten;
„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur freien Verarbeitung personenbezogener Daten Bewegung dieser Daten und Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);
„EU-Standardvertragsklauseln“ oder „SCCs“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, die von der Europäischen Kommission gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4 Juni 2021 einschließlich der Standardvertragsklauseln für den Verantwortlichen zum Auftragsverarbeiter und Text aus Modul zwei dieser Standardvertragsklauseln und nicht aus irgendeinem anderen Modul und ohne Klauseln, die in den Klauseln als optional gekennzeichnet sind und von Zeit zu Zeit von einer zuständigen Behörde im Rahmen der relevanten Daten geändert oder ersetzt werden Schutzgesetze. Wenn das Europäische Parlament und der Rat eine aktualisierte Reihe von EU-Standardvertragsklauseln verabschieden, wird unter „EU-Standardvertragsklauseln“ die jüngste Anpassung verstanden;
„Personenbezogene Daten“ sind personenbezogene Daten im Sinne der EU-DSGVO, die Nitro zum Nutzen und im Auftrag des Kunden verarbeitet, wenn die Dienste gemäß den Anweisungen und Zwecken bereitgestellt werden, die der Kunde in den Datenverarbeitungsdetails definiert hat.
„Auftragsverarbeiter“ bezieht sich auf Nitro Software Inc., Anbieter der Dienste für den Kunden und wie in den Nutzungsbedingungen angegeben;
„Liste der Unterauftragsverarbeiter“ bezieht sich auf die von Nitro online zur Verfügung gestellte Liste der Unterauftragsverarbeiter, die die von Nitro für die Bereitstellung der Dienste und die Erfüllung der Verpflichtungen von Nitro gemäß dem Nachtrag im Allgemeinen beauftragten Unterauftragsverarbeiter umfasst. Nitro kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit gemäß dem in diesem Nachtrag zur Datenverarbeitung dargelegten Verfahren aktualisieren;
„Unterauftragsverarbeiter“ bezeichnet jeden Drittverarbeiter, der von Nitro mit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienste für den Kunden beauftragt wird;
Alle anderen in Großbuchstaben geschriebenen Begriffe und Definitionen, die nicht ausdrücklich in diesem Nachtrag zur Datenverarbeitung definiert sind, werden gemäß den geltenden Datenschutzgesetzen oder den Nutzungsbedingungen von Nitro definiert.
3. Gegenstand dieser Datenverarbeitungsergänzung
3.1 Dieser Nachtrag zur Datenverarbeitung legt die Bedingungen für die Verarbeitung personenbezogener Daten durch Nitro fest, die vom Kunden oder auf Initiative des Kunden im Rahmen der Vereinbarung übermittelt werden. Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Datenverarbeitungsdetails (Anhang 1) aufgeführt.
3.2 Die Verarbeitung erfolgt ausschließlich zum Nutzen des Kunden und zu dem vom Kunden in den Datenverarbeitungsdetails definierten Zweck. Nitro wird den Kunden unverzüglich informieren, wenn eine Weisung ihrer Meinung nach gegen geltendes (Datenschutz-)Recht verstößt. Nitro verarbeitet die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des Kunden und verwendet diese personenbezogenen Daten nicht für eigene Zwecke, es sei denn, dies ist in den Nutzungsbedingungen ausdrücklich gestattet. Wenn Nitro gesetzlich dazu verpflichtet ist, mit der Verarbeitung personenbezogener Daten fortzufahren, wird Nitro den Kunden über diese Verpflichtung informieren, es sei denn, dies würde gegen geltende zwingende Vorschriften verstoßen.
4. BEGRIFF
4.1 Dieser Nachtrag zur Datenverarbeitung gilt für alle Verarbeitungen personenbezogener Daten, die im Zusammenhang mit der Bereitstellung der Dienste für den Kunden durch Nitro durchgeführt werden, und gilt, solange Nitro personenbezogene Daten im Namen des Kunden im Rahmen der Vereinbarung verarbeitet . Dieser Nachtrag zur Datenverarbeitung ergänzt die Nutzungsbedingungen von Nitro und soll sicherstellen, dass die Parteien die Anforderungen der geltenden Datenschutzgesetze und -vorschriften für die Nutzung der Dienste durch den Kunden einhalten.
4.2 Dieser Nachtrag zur Datenverarbeitung endet automatisch mit der Beendigung der Vereinbarung (oder zu dem Zeitpunkt, an dem die Verarbeitung durch Nitro beendet wird). Die Bestimmungen dieses Nachtrags zur Datenverarbeitung, die entweder ausdrücklich oder implizit (aufgrund ihrer Art) dazu bestimmt sind, nach Beendigung des Nachtrags zur Datenverarbeitung wirksam zu sein, bleiben über das Ende der Vereinbarung hinaus in Bezug auf die von oder auf Initiative des übermittelten personenbezogenen Daten bestehen Kunde im Rahmen der Vereinbarung.
5. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
5.1 Nitro bietet angemessene Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um eine sichere Verarbeitung personenbezogener Daten zu gewährleisten und so den Schutz der Rechte der betroffenen Person zu gewährleisten. Die von Nitro implementierten TOMs sind in den Datenverarbeitungsdetails aufgeführt. Die TOMs können von Zeit zu Zeit von Nitro aktualisiert werden, Nitro stellt jedoch sicher, dass die allgemeine Sicherheit, die es zum Zeitpunkt der Umsetzung des Datenverarbeitungszusatzes implementiert hat, nicht herabgestuft wird. Der Kunde erkennt zum Zeitpunkt der Unterzeichnung oder Annahme dieses Nachtrags zur Datenverarbeitung an, dass die TOMs für die Verarbeitung seiner personenbezogenen Daten geeignet sind.
5.2 Nitro ergreift alle geeigneten technischen und organisatorischen Maßnahmen im Sinne von Artikel 32 EU-DSGVO, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
5.3 Wenn der Kunde Nitro im Rahmen der Vereinbarung sensible personenbezogene Daten im Sinne der Artikel 9 und 10 EU-DSGVO zur Verfügung stellt, wird der Kunde Nitro hierüber schriftlich über Privacy@gonitro.com informieren.
5.4 Falls der Kunde die Implementierung bestimmter technischer und organisatorischer Maßnahmen durch Nitro verlangt (die Nitro standardmäßig nicht implementiert hat), wird der Kunde Nitro für die Implementierung dieser zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieser Vereinbarung entschädigen Nachtrag zur Datenverarbeitung.
5.5 Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 EU-DSGVO oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 EU-DSGVO durch Nitro kann als Nachweis für ausreichende Garantien herangezogen werden im Sinne der EU-DSGVO.
6. ZURÜCKBEHALTUNG
6.1 Nitro wird personenbezogene Daten nicht länger aufbewahren, als es für die Verarbeitung dieser personenbezogenen Daten im Rahmen der Vereinbarung erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger als nötig zu speichern. Die anwendbare Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Datenverarbeitungsdetails festgelegt.
6.2 Nach Wahl des Kunden löscht Nitro alle personenbezogenen Daten oder gibt sie nach dem Ende der Bereitstellung der Dienste an den Kunden zurück und löscht vorhandene Kopien, es sei denn, das Recht der Union oder eines Mitgliedstaats schreibt die Speicherung der personenbezogenen Daten vor. Der Kunde erkennt an, dass die Dienste dem Kunden möglicherweise Download-Funktionen zur Verfügung stellen, die es dem Kunden ermöglichen, seine Daten herunterzuladen. Soweit solche Funktionalitäten verfügbar sind, wird der Kunde diese Funktionalitäten nutzen, um seine Daten zu extrahieren oder zu löschen.
7. VERTRAULICHKEIT
7.1 Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gilt.
7.2 Nitro erkennt an und stimmt zu, dass nur diejenigen Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen, und zwar nur in dem Umfang, der für die Erfüllung der Vereinbarung vernünftigerweise erforderlich ist. Nitro stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen vertraglich zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8. RECHTE DER BETROFFENEN PERSONEN
8.1 Unter Berücksichtigung der Art der Verarbeitung unternimmt Nitro alle angemessenen Anstrengungen, indem es geeignete technische und organisatorische Maßnahmen ergreift, um den Kunden bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen betroffener Personen zu unterstützen.
8.2 Für jegliche Unterstützung, die Nitro im Zusammenhang mit der Bearbeitung solcher Anfragen von betroffenen Personen leistet, erstattet der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Nachtrags zur Datenverarbeitung. Eine solche Rückerstattung durch den Kunden gilt nicht, (i) wenn die betroffene Person ihre Rechte wegen einer Verletzung des Schutzes personenbezogener Daten geltend macht, die nachweislich Nitro zuzuschreiben ist, oder (ii) wenn die Unterstützung durch Nitro vier (4) Stunden nicht überschreitet der Arbeit während der Laufzeit der Vereinbarung.
9. Benachrichtigungspflicht
9.1 Sobald Nitro Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, benachrichtigt Nitro den Kunden unverzüglich darüber, indem es die in der Vereinbarung oder dem entsprechenden Bestellformular angegebene Kontaktperson kontaktiert (oder alternativ über die Benachrichtigungs-E-Mail-Adresse des Kunden oder (falls zutreffend) eine andere). andere E-Mail-Adresse, die der Kunde im Admin-Portal als Datenschutzkontakt angegeben hat). Der Ansprechpartner von Nitro für alle Datenschutzangelegenheiten kann per E-Mail kontaktiert werden: Privacy@gonitro.com.
9.2 Auf Wunsch des Kunden informiert Nitro den Kunden über alle neuen Entwicklungen in Bezug auf eine Verletzung des Schutzes personenbezogener Daten und über die Maßnahmen, die ergriffen wurden, um deren Folgen zu begrenzen und die Wiederholung einer solchen Verletzung des Schutzes personenbezogener Daten zu verhindern. Es liegt in der Verantwortung des Kunden, jedwede Verletzung des Schutzes personenbezogener Daten bei Bedarf der Aufsichtsbehörde oder der/den betroffenen Person(en) zu melden.
10. UNTERVERARBEITUNG
10.1 Der Kunde ermächtigt Nitro ausdrücklich, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten zur Erfüllung der Vereinbarung und zur Erleichterung der Bereitstellung der Dienste im Allgemeinen zu beauftragen. In diesem Umfang erteilt der Kunde Nitro eine allgemeine schriftliche Genehmigung zur Entscheidung, mit welchem/welchen Unterauftragsverarbeiter Nitro bei der Erfüllung seiner Verpflichtungen aus dem Vertrag zusammenarbeitet. Nitro veröffentlicht eine Unterauftragsverarbeiterliste, die sich auf die von Nitro eingesetzten Unterauftragsverarbeiter bezieht.
10.2 Nitro wird den Kunden über alle beabsichtigten Änderungen bezüglich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern über die in der Vereinbarung oder dem entsprechenden Bestellformular angegebene Kontaktperson des Kunden (oder über die Benachrichtigungs-E-Mail-Adresse des Kunden oder (falls zutreffend) eine andere) informieren E-Mail-Adresse, die der Kunde im Admin-Portal als Datenschutzkontakt angegeben hat). Der Kunde hat das Recht, der Ergänzung oder Ersetzung schriftlich gegenüber Nitro zu widersprechen. In einem solchen Fall werden die Parteien die Ergänzung, den Ersatz oder die Alternative nach Treu und Glauben und so schnell wie möglich nach der schriftlichen Einspruchsmitteilung des Kunden besprechen.
10.3 Wenn Nitro einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragt, werden diesem Unterauftragsverarbeiter die gleichen oder ähnliche Datenschutzverpflichtungen, wie in diesem Datenverarbeitungszusatz dargelegt, durch eine schriftliche Vereinbarung auferlegt, insbesondere durch die Bereitstellung ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (und Einhaltung der relevanten technischen und organisatorischen Maßnahmen). Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet Nitro gegenüber dem Kunden weiterhin in vollem Umfang für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters.
11. INTERNATIONALE DATENÜBERTRAGUNGEN
11.1 Der Kunde erkennt an, dass Nitro in den Vereinigten Staaten von Amerika ansässig ist und internationale Übermittlungen personenbezogener Daten zum Zwecke der Bereitstellung der Dienste genehmigt. Eine solche internationale Datenübermittlung gilt als Weisung des Kunden.
11.2 Wenn Nitro zu irgendeinem Zeitpunkt während der Laufzeit dieses Nachtrags zur Datenverarbeitung für die Dienste nach dem EU-US-Datenschutzrahmen (der „Rahmen“) zertifiziert ist, erkennen die Parteien an, dass diesbezüglich keine angemessenen Schutzmaßnahmen erforderlich sind Übertragungen zwischen Kunde und Nitro.
11.3 Sofern die in Abschnitt 11 dargelegten Bedingungen gelten.2 nicht gelten, schließen der Kunde (als „Datenexporteur“) und Nitro (als „Datenimporteur“) mit Wirkung ab Beginn der jeweiligen Übertragung hiermit die Standardvertragsklauseln des Verantwortlichen an den Auftragsverarbeiter ab. Anhang 1 der Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter gilt als vorab ausgefüllt mit den relevanten Abschnitten von Anhang 1 dieses Nachtrags zur Datenverarbeitung. Anhang 2 der Standardvertragsklauseln für Verantwortliche und Auftragsverarbeiter gilt als vorab ausgefüllt mit den in Abschnitt 5 dieses Nachtrags zur Datenverarbeitung enthaltenen Informationen und:
- in Klausel 7 gilt die optionale Docking-Klausel nicht;
- in Klausel 9 gilt Option 2 und der Zeitraum beträgt 30 Tage;
- in Klausel 11 gilt die optionale Entschädigungssprache nicht;
- In Abschnitt 13(a) wird Folgendes eingefügt: Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, dass der Datenexporteur die Verordnung (EU) 2016/679 einhält. hinsichtlich der Datenübermittlung gemäß Anlage IC zu diesem Datenverarbeitungszusatz fungiert als zuständige Aufsichtsbehörde.
Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber gemäß Artikel 3(2) in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 fällt und einen benannt hat Vertreter gemäß Artikel 27(1) der Verordnung (EU) 2016/679:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27(1) tätig ist. der Verordnung (EU) 2016/679 eingerichtet ist, wie in Anhang IC angegeben, fungiert als zuständige Aufsichtsbehörde. Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber gemäß Artikel 3(2) in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 fällt, ohne dass dies jedoch der Fall sein muss einen Vertreter gemäß Artikel 27(2) der Verordnung (EU) 2016/679 ernennen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln übermittelt werden, betroffen sind die im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen an sie stehen oder deren Verhalten beobachtet wird, gemäß Anhang IC, fungieren als zuständige Aufsichtsbehörde. - in Klausel 17 gilt Option 1 und die EU-Standardvertragsklauseln unterliegen den Gesetzen des Datenexporteurs; Und
- In Klausel 18(b) werden Streitigkeiten vor den Gerichten des Datenexporteurs beigelegt.
11.4 Der Kunde erkennt an, dass gemäß Klausel 9 autorisierte Unterauftragsverarbeiter personenbezogene Daten auch in Drittländern verarbeiten können. Der Kunde gestattet solche Übermittlungen unter der Voraussetzung, dass Nitro alle notwendigen Schritte unternimmt, um sicherzustellen, dass diese Übermittlungen den Bestimmungen von Kapitel V der EU-DSGVO und anderen geltenden Datenschutzgesetzen entsprechen.
11.5 Falls die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nach geltendem Recht der EU oder eines Mitgliedstaats, dem Nitro unterliegt, zwingend erforderlich ist, ist Nitro berechtigt, eine solche Übermittlung durchzuführen und muss den Kunden über diese rechtliche Anforderung informieren vor einer solchen Verarbeitung, es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
12. Datenschutz-Folgenabschätzung und vorherige Konsultation
12.1 Wenn der Kunde eine Datenschutz-Folgenabschätzung („DSFA“) (Artikel 35 EU-DSGVO) oder eine vorherige Konsultation (Artikel 36 EU-DSGVO) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Erfüllung von durchführt Im Rahmen der Vereinbarung wird Nitro den Kunden angemessen unterstützen, indem er auf schriftliche Anfrage des Kunden Hilfe leistet. Der Kunde erstattet Nitro die gemäß Abschnitt 14 „Kosten“ dieses Nachtrags zur Datenverarbeitung geleistete Unterstützung. Eine solche Kostenerstattung gilt nicht, wenn (i) die von Nitro angeforderte Unterstützung während der Laufzeit der Vereinbarung weniger als vier (4) Arbeitsstunden beträgt oder (ii) die DSFA oder vorherige Konsultation durch personenbezogene Daten ausgelöst wird Der Verstoß ist nachweislich Nitro zuzuschreiben.
13. RECHT PRÜFEN
13.1 Der Kunde hat das Recht, Prüfungen hinsichtlich der Einhaltung seiner Verpflichtungen aus diesem Datenverarbeitungszusatz und den geltenden Datenschutzgesetzen durch Nitro durchzuführen. Nitro wird alle angemessenen Anstrengungen unternehmen, um bei solchen Audits zu kooperieren und alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung seiner Verpflichtung erforderlich sind. Der Kunde muss Nitro mindestens einen (1) Monat vor dem Datum, an dem das Audit durchgeführt wird, über eine solche Prüfung informieren, indem er Nitro schriftlich über Privacy@gonitro.com benachrichtigt.
13.2 Falls ein Audit durchgeführt wird, müssen alle beteiligten Parteien vor Beginn des Audits zunächst eine spezifische Geheimhaltungsvereinbarung von Nitro in Bezug auf dieses Audit und die Auditergebnisse unterzeichnen. Bei der Durchführung einer solchen Prüfung sind die Geheimhaltungspflichten der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen geheim halten und sie ausschließlich zur Überprüfung der Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften zum Datenschutz verwenden. Der Kunde hat die Wahl, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen. Allerdings muss dieser unabhängige Prüfer die in diesem Abschnitt genannte Geheimhaltungsvereinbarung ordnungsgemäß unterzeichnen.
13.3 Beide Parteien und gegebenenfalls ihre Vertreter arbeiten auf Anfrage angemessen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
13.4 Der Kunde erstattet Nitro die von Nitro im Zusammenhang mit Prüfungen geleistete Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Nachtrags zur Datenverarbeitung. Es versteht sich, dass eine solche Erstattung nicht gilt, wenn (i) die Prüfung das Ergebnis eines Verstoßes gegen den Schutz personenbezogener Daten ist, der nachweislich Nitro zuzuschreiben ist, oder (ii) wenn die Unterstützung von Nitro vier (4) Arbeitsstunden während des Audits nicht überschreitet Laufzeit der Vereinbarung.
14. KOSTEN
14.1 Die im Rahmen dieses Datenverarbeitungszusatzes zu leistende Unterstützung, die Nitro dem Kunden in Rechnung stellen kann, wird auf der Grundlage der geleisteten Arbeitsstunden und der geltenden Standardstundensätze von Nitro berechnet (USD 295/Stunde ohne Steuern). Nitro stellt diese Beträge monatlich in Rechnung, hat aber auch das Recht, eine Vorauszahlung zu verlangen.
14.2 Die Zahlung des Kunden an Nitro für die von Nitro im Rahmen dieses Nachtrags zur Datenverarbeitung bereitgestellten Unterstützungsleistungen und professionellen Dienstleistungen erfolgt gemäß den Bestimmungen der Nutzungsbedingungen.
15. HAFTUNG
15.1 Vorbehaltlich des größtmöglichen gesetzlich zulässigen Umfangs gelten die Bestimmungen der Nutzungsbedingungen
Die Bestimmungen zur Haftungsbeschränkung gelten auch für diesen Zusatz zur Datenverarbeitung und die daraus entstehenden Schäden.
16. VERSCHIEDENES
16.1 Die Bestimmungen der Nutzungsbedingungen bezüglich Änderungen, gesamter Vereinbarung, Salvatorische Klausel, anwendbares Recht und zuständige Gerichte gelten für diesen Nachtrag zur Datenverarbeitung. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den EU-Standardvertragsklauseln haben gegebenenfalls die EU-Standardvertragsklauseln Vorrang.
ANHANG 1 – DATENVERARBEITUNGSDETAILS
A. LISTE DER PARTEIEN
1) Datenexporteur(en):
- Name: Kunde, wie im Vertrag und im entsprechenden Bestellformular angegeben.
- Adresse: Die Adresse des Datenexporteurs ist im Vertrag und im entsprechenden Bestellformular angegeben.
- Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktinformationen der Kontaktperson für den Datenexporteur sind im Vertrag, im entsprechenden Bestellformular (und gegebenenfalls im Admin-Portal des Kunden) aufgeführt.
- Aktivitäten, die für die übermittelten Daten relevant sind: Die Aktivitäten, die für die gemäß diesen EU-Standardvertragsklauseln übermittelten Daten relevant sind, werden unten in Abschnitt B „Beschreibung der Verarbeitung/Übermittlung“ beschrieben.
- Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des entsprechenden Auftragsformulars wird davon ausgegangen, dass der Datenexporteur diesen Anhang I unterzeichnet hat.
- Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher
2) Datenimporteur(en):
- Name: Nitro Software Inc.
- Adresse: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
- Name, Position und Kontaktdaten der Kontaktperson: Privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
- Aktivitäten, die für die übermittelten Daten relevant sind: Die Aktivitäten, die für die gemäß diesen EU-Standardvertragsklauseln übermittelten Daten relevant sind, werden unten in Abschnitt B „Beschreibung der Verarbeitung/Übermittlung“ beschrieben.
- Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des entsprechenden Auftragsformulars wird davon ausgegangen, dass der Datenexporteur diesen Anhang I unterzeichnet hat.
- Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter
B. BESCHREIBUNG DER VERARBEITUNG/ÜBERTRAGUNG
1) GEGENSTAND DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN
Der Vertragsgegenstand wird vom Kunden gemäß der Vereinbarung und dem entsprechenden Bestellformular bestimmt.
2) Art und Zweck der Verarbeitung personenbezogener Daten
Die Art und der Zweck der Verarbeitung werden vom Kunden gemäß der Vereinbarung und dem entsprechenden Bestellformular bestimmt.
Standardmäßig dient eine solche Verarbeitung dazu, dem Kunden und seinen Nutzern die Dienste einschließlich aller ihrer Merkmale und Funktionalitäten zur Verfügung zu stellen und ganz allgemein Nitro die Erfüllung seiner vertraglichen Verpflichtungen aus der Vereinbarung zu ermöglichen. Ein solcher Zweck kann die Bereitstellung der Cloud-Dienste (zum Beispiel, aber nicht beschränkt auf die Bereitstellung des Kunden-Cloud-Portals, elektronische Signaturdienste, Analysedienste usw.) sowie die Bereitstellung von Support sein.
Die Art der Verarbeitung umfasst neben anderen Anweisungen des Kunden im Vertrag und im entsprechenden Bestellformular die Verarbeitung, Erhebung, Speicherung, Kommunikation und Übermittlung personenbezogener Daten.
3) PERSONENBEZOGENE DATEN VERARBEITET
Abhängig von den innerhalb der Dienste verwendeten Funktionalitäten (z. B. Verwaltungsportal, elektronische Signaturdienste, Analysedienste usw.) und dem Inhalt der Kundendaten, die vom Kunden und seinen Benutzern in den Dienst hochgeladen werden, verarbeitet Nitro unterschiedliche Arten personenbezogener Daten.
Im Allgemeinen umfassen die von Nitro verarbeiteten personenbezogenen Daten ohne Einschränkung:
- Identifikationsdaten (zum Beispiel Benutzer- und Nutzungsdaten)
- Dokumentdaten (zum Beispiel personenbezogene Daten, die in verarbeiteten PDF-Dokumenten enthalten sind)
Eine detaillierte Übersicht über die Art der personenbezogenen Daten, die bei der Nutzung der Dienste verarbeitet werden, ist über das
Trust Center von Nitro verfügbar: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data
4) SENSIBLE DATEN
Der Datenexporteur kann gemäß Abschnitt 5 sensible personenbezogene Daten in die personenbezogenen Daten aufnehmen.3 dieses Nachtrags zur Datenverarbeitung. Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel eine strenge Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufbewahrung eine Aufzeichnung des Zugriffs auf die Daten, Einschränkungen für die Weiterleitung oder zusätzliche Sicherheitsmaßnahmen: Es wird auf die TOMs verwiesen, die in den Datenverarbeitungsdetails unten aufgeführt oder referenziert sind.
5) KATEGORIE DER BETROFFENEN PERSONEN
Die folgenden Kategorien von Datensubjekten sind standardmäßig im Geltungsbereich:
- Alle Benutzer, die Zugriff auf die Dienste haben (einschließlich Administratorbenutzer, allgemeine Benutzer oder eingeladene Benutzer wie Unterzeichner).
- Alle betroffenen Personen, die in den vom Kunden oder seinen Benutzern in die Dienste hochgeladenen Kundendaten enthalten sind.
Der Kunde bestätigt, dass diese betroffenen Personen standardmäßig einer der folgenden Kategorien zugeordnet werden:
- Mitarbeiter des Kunden
- Kunden des Kunden
- Aussichten des Kunden
- Lieferanten des Kunden
6) UNTERVERARBEITENDE
Nitro beauftragt Unterauftragsverarbeiter, um sicherzustellen, dass alle Funktionen innerhalb der Dienste verfügbar sind. Welche Unterauftragsverarbeiter in Frage kommen, hängt von den genutzten Diensten und den vom Kunden gewünschten Funktionalitäten und Einstellungen ab. Eine detaillierte Liste der von Nitro beauftragten Unterauftragsverarbeiter (einschließlich des Verfahrens, das wir bei der Beauftragung neuer Unterauftragsverarbeiter anwenden) finden Sie in unserem Trust Center: https://www.gonitro.com/trust-center/data-protection/subprocessors - und Subunternehmer
7) TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMs)
Nitro setzt geeignete technische und organisatorische Maßnahmen ein, um eine angemessene Sicherheit bei der Nutzung der Dienste zu gewährleisten. Wir aktualisieren diese Maßnahmen kontinuierlich. Eine detaillierte Übersicht über die ergriffenen Maßnahmen finden Sie in unserem Trust Center im Bereich Sicherheit: https://www.gonitro.com/trust-center/security und in unserer Informationssicherheitsrichtlinie. Unser Trust Center listet auch die Zertifizierungen, die Nitro besitzt, im Bereich Compliance auf: https://www.gonitro.com/trust-center/compliance.
8) AUFBEWAHRUNGSZEITRAUM
Nitro speichert personenbezogene Daten nicht länger als für die Bereitstellung der Dienste erforderlich. Abhängig von den Diensten und Funktionalitäten, die Sie als Kunde nutzen, können die geltenden Aufbewahrungsfristen unterschiedlich sein. Jeder Kunde kann Nitro auffordern, bestimmte Aufbewahrungsfristen für seine Umgebung zu konfigurieren (soweit dies technisch machbar ist).
Falls keine spezifischen Aufbewahrungsfristen konfiguriert wurden, werden personenbezogene Daten von Nitro standardmäßig bis zur Löschung durch den Kunden oder bis zur Beendigung der Vereinbarung zwischen Nitro und dem Kunden (zuzüglich maximal 30 Tagen) gespeichert, je nachdem, welcher der beiden Fälle zuerst eintritt. Eine detaillierte Übersicht über die Aufbewahrungsfristen erhalten Sie über unser Trust Center: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.
9) HÄUFIGKEIT INTERNATIONALER ÜBERTRAGUNGEN
Kontinuierlich, soweit erforderlich, um dem Kunden die Dienste bereitzustellen.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 der EU-Standardvertragsklauseln: Die zuständige Aufsichtsbehörde ist die für den Kunden (oder gegebenenfalls für den Vertreter des Kunden) zuständige Aufsichtsbehörde.