Nitro Sign Premium und Identity Hub EU GDPR Datenverarbeitungszusatz
Laden Sie eine Kopie herunter →
DIESE DATENVERARBEITUNGSZUSATZ GILT, WENN SIE SICH FÜR NITRO SIGN PREMIUM ODER NITRO IDENTITY HUB UNTER DEN NITRO-NUTZUNGSBEDINGUNGEN FÜR NITRO SIGN PREMIUM UND NITRO IDENTITY HUB REGISTRIERT HABEN UND DER EU GDPR FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM RAHMEN DER VEREINBARUNG GILT.
1. ANWENDUNGSBEREICH; ROLLEN DER PARTEIEN
Nitro wird personenbezogene Daten im Interesse und im Auftrag des Kunden empfangen und verarbeiten, wenn die Dienste gemäß den Anweisungen und Zwecken bereitgestellt werden, die der Kunde in den Details zur Datenverarbeitung definiert hat. Durch diesen Datenverarbeitungszusatz möchten die Parteien ihre spezifischen Vereinbarungen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung festlegen.
Standardmäßig wird Nitro als Auftragsverarbeiter und der Kunde als Verantwortlicher in Bezug auf die von Nitro gegenüber dem Kunden erbrachten Dienstleistungen handeln. Dieser Datenverarbeitungszusatz tritt an die Stelle aller vorherigen Vereinbarungen (sofern vorhanden) bezüglich der Verarbeitung personenbezogener Daten und des Datenschutzes zwischen den Parteien im Zusammenhang mit den von Nitro angebotenen Diensten.
Dieser Datenverarbeitungszusatz ergänzt und ist Teil der Nutzungsbedingungen, und zusammen bilden die Nutzungsbedingungen und dieser Datenverarbeitungszusatz eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Abweichungen oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.
2. DEFINITIONEN
„Verantwortlicher“ bezieht sich auf den Kunden, wie in den Nutzungsbedingungen und im entsprechenden Bestellformular angegeben;
„Details zur Datenverarbeitung“ bedeutet die Details zur Datenverarbeitung, die im Bestellformular enthalten sind und die weitere Informationen zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten wie den Zweck, den Gegenstand und die Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten enthalten;
„EU-DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung);
„Personenbezogene Daten“ bedeutet personenbezogene Daten, wie sie in der EU-DSGVO definiert sind, die Nitro zum Vorteil und im Auftrag des Kunden verarbeitet, wenn die Dienste gemäß den Anweisungen und Zwecken, die der Kunde in den Details zur Datenverarbeitung definiert hat, bereitgestellt werden;
„Auftragsverarbeiter“ bezieht sich auf Nitro Software Belgium NV, Lieferant der Dienste für den Kunden und wie in den Nutzungsbedingungen angegeben;
„Liste der Unterauftragnehmer“ bezieht sich auf die Liste der Unterauftragnehmer, die von Nitro online zur Verfügung gestellt wird und die Unterauftragnehmer umfasst, die von Nitro für die Bereitstellung der Dienste und die Erfüllung von Nitros Verpflichtungen im Rahmen des Datenverarbeitungszusatzes im Allgemeinen beauftragt sind. Nitro kann die Liste der Unterauftragnehmer von Zeit zu Zeit gemäß dem in diesem Datenverarbeitungszusatz festgelegten Verfahren aktualisieren;
„Unterauftragnehmer“ bezeichnet jeden Drittanbieter, der von Nitro für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienste an den Kunden beauftragt wird;
Alle anderen Begriffe und Definitionen, die mit Großbuchstaben geschrieben werden und die nicht ausdrücklich in diesem Datenverarbeitungszusatz definiert sind, sind wie in der geltenden Datenschutzgesetzgebung oder den Nutzungsbedingungen von Nitro definiert.
3. ZWECK DIESES DATENVERARBEITUNGSZUSATZES
3.1 Dieser Datenverarbeitungszusatz bestimmt die Bedingungen der Verarbeitung durch Nitro von personenbezogenen Daten, die vom Kunden im Zusammenhang mit dem Vertrag übermittelt oder auf seine Initiative hin bereitgestellt wurden. Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Details zur Datenverarbeitung aufgeführt.
3.2 Die Verarbeitung erfolgt ausschließlich zum Vorteil des Kunden und für den Zweck, den der Kunde in den Details zur Datenverarbeitung definiert hat. Nitro wird den Kunden sofort informieren, wenn nach seiner Meinung eine Anweisung gegen die geltenden (Datenschutz-) Gesetze verstößt. Nitro wird die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten und diese personenbezogenen Daten nicht für eigene Zwecke verwenden, es sei denn, dies ist ausdrücklich in den Nutzungsbedingungen erlaubt. Wenn Nitro rechtlich verpflichtet ist, personenbezogene Daten zu verarbeiten, wird Nitro, es sei denn, dies verstößt gegen geltende zwingende Vorschriften, den Kunden über diese Verpflichtung informieren.
4. DAUER
4.1 Dieser Datenverarbeitungszusatz gilt für alle Verarbeiten personenbezogener Daten, die im Zusammenhang mit der Bereitstellung der Dienste an den Kunden durch Nitro erfolgen, und gilt, solange Nitro personenbezogene Daten im Auftrag des Kunden im Rahmen der Vereinbarung verarbeitet. Dieser Datenverarbeitungszusatz ergänzt die Nutzungsbedingungen von Nitro und soll sicherstellen, dass die Parteien die Anforderungen der geltenden Datenschutzgesetze und -vorschriften für die Nutzung der Dienste durch den Kunden einhalten.
4.2 Dieser Datenverarbeitungszusatz endet automatisch mit der Beendigung der Vereinbarung (oder zu dem Zeitpunkt, zu dem die Verarbeitung durch Nitro eingestellt wird). Die Bestimmungen dieses Datenverarbeitungszusatzes, die entweder ausdrücklich oder implizit (in Anbetracht ihrer Natur) für eine Wirkung nach Beendigung des Datenverarbeitungszusatzes bestimmt sind, bleiben nach Beendigung der Vereinbarung hinsichtlich der personenbezogenen Daten, die vom Kunden im Rahmen der Vereinbarung mitgeteilt oder auf seine Initiative hin kommuniziert wurden, bestehen.
5. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
5.1 Nitro bietet angemessene Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um eine sichere Verarbeitung personenbezogener Daten zu gewährleisten und somit die Rechte der betroffenen Person zu schützen. Die TOMs, die von Nitro implementiert werden, sind in den Details zur Datenverarbeitung aufgeführt. Die TOMs können von Nitro von Zeit zu Zeit aktualisiert werden, jedoch wird Nitro sicherstellen, dass die gesamte Sicherheit, die zum Zeitpunkt der Ausführung des Datenverarbeitungszusatzes implementiert wurde, nicht herabgestuft wird. Der Kunde erkennt an, dass die TOMs zum Zeitpunkt der Unterzeichnung oder Annahme dieses Datenverarbeitungsanhangs für die Verarbeitung seiner personenbezogenen Daten angemessen sind.
5.2 Nitro wird alle angemessenen technischen und organisatorischen Maßnahmen gemäß Artikel 32 der EU GDPR ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist.
5.3 Stellt der Kunde sensible personenbezogene Daten gemäß den Artikeln 9 und 10 der EU GDPR im Rahmen des Vertrags an Nitro zur Verfügung, wird der Kunde diese Informationen in den Details zur Datenverarbeitung aufnehmen.
5.4 Wenn der Kunde spezifische technische und organisatorische Maßnahmen anfordert, die Nitro (die Nitro nicht standardmäßig implementiert hat) umsetzen soll, wird der Kunde Nitro für die Implementierung solcher zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungsanhangs entschädigen.
5.5 Die Einhaltung eines genehmigten Verhaltenskodex durch Nitro gemäß Artikel 40 der EU GDPR oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 der EU GDPR kann als Nachweis für ausreichende Garantien gemäß der EU GDPR herangezogen werden.
6. AUFBEWAHRUNG
6.1 Nitro wird personenbezogene Daten nicht länger aufbewahren, als es für die Verarbeitung solcher personenbezogenen Daten im Rahmen des Vertrags erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger als nötig zu speichern. Der anwendbare Aufbewahrungszeitraum (wie vom Kunden definiert) wird in den Einzelheiten zur Datenverarbeitung dargelegt.
6.2 Nach Wahl des Kunden wird Nitro alle personenbezogenen Daten nach Beendigung der Bereitstellung von Dienstleistungen an den kunden löschen oder zurückgeben und bestehende Kopien löschen, es sei denn, das Unionsrecht oder das nationale Recht verlangt die Speicherung der personenbezogenen Daten. Der Kunde erkennt an, dass die Dienstleistungen möglicherweise Download-Funktionen beinhalten, die dem Kunden zur Verfügung stehen, um seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, hat der Kunde solche Funktionen zu nutzen, um seine Daten zu extrahieren oder zu löschen.
7. VERTRAULICHKEIT
7.1 Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags Anwendung findet.
7.2 Nitro erkennt an und stimmt zu, dass nur jene Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen, und nur in dem zur ordnungsgemäßen Durchführung des Vertrags angemessen erforderlichen Umfang. Nitro stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten autorisiert sind, durch vertragliche Vereinbarungen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
8. RECHTE DER BETROFFENEN
8.1 Unter Berücksichtigung der Art der Verarbeitung wird Nitro alle angemessenen Anstrengungen unternehmen, indem es geeignete technische und organisatorische Maßnahmen ergreift, um den Kunden bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen der Betroffenen zu unterstützen.
8.2 Für alle von Nitro im Zusammenhang mit der Bearbeitung solcher Anfragen von Betroffenen erbrachten Unterstützungsleistungen wird der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungsanhangs entschädigen. Eine solche Entschädigung durch den Kunden findet keine Anwendung (i) im Falle, dass die betroffene Person ihre Rechte aufgrund einer nachweislich Nitro zuzurechnenden Verletzung personenbezogener Daten geltend macht, oder (ii) im Falle, dass eine solche Unterstützung durch Nitro vier (4) Stunden Arbeit während der Laufzeit des Vertrags nicht überschreitet.
9. MELDEVERPFLICHTUNG
9.1 Wenn Nitro von einer Verletzung personenbezogener Daten Kenntnis erlangt, wird Nitro den Kunden ohne unangemessene Verzögerung benachrichtigen, indem es die im Vertrag oder im entsprechenden Bestellformular angegebene Kontaktperson oder alternativ die E-Mail-Adresse des Kunden verwendet. Die Kontaktperson von Nitro für alle datenschutzrechtlichen Angelegenheiten ist per E-Mail erreichbar: privacy@gonitro.com.
9.2 Auf Anfrage des Kunden wird Nitro den Kunden über alle neuen Entwicklungen im Zusammenhang mit einer Verletzung personenbezogener Daten und über die ergriffenen Maßnahmen zur Begrenzung der Folgen und zur Verhinderung einer Wiederholung einer solchen Verletzung personenbezogener Daten informieren. Es liegt in der Verantwortung des Kunden, eine Verletzung personenbezogener Daten der Aufsichtsbehörde oder den betroffenen Personen zu melden, wie gefordert.
10. SUB-VERARBEITUNG
10.1 Der Kunde autorisiert Nitro ausdrücklich, Subunternehmer für die Verarbeitung personenbezogener Daten zur Durchführung des Vertrags zu beauftragen und die Bereitstellung der Dienstleistungen im Allgemeinen zu erleichtern. In diesem Umfang erteilt der Kunde Nitro eine allgemeine schriftliche Genehmigung, mit welchen Subunternehmer(n) Nitro zur Erfüllung seiner Verpflichtungen aus dem Vertrag zusammenarbeitet. Nitro veröffentlicht eine Liste der Subunternehmer, die auf die von Nitro beauftragten Subunternehmer verweist.
10.2 Nitro wird den Kunden über beabsichtigte Änderungen bezüglich der Hinzufügung oder Ersetzung von Subunternehmern über die im Vertrag oder im entsprechenden Bestellformular angegebene Kontaktperson oder über die E-Mail-Adresse des Kunden informieren. Der Kunde hat das Recht, der Hinzufügung oder Ersetzung zu widersprechen, indem er Nitro schriftlich angespricht. Die Parteien werden in einem solchen Fall in gutem Glauben und so schnell wie möglich nach der schriftlichen Einwände des Kunden über die Hinzufügung, den Austausch oder Alternativen diskutieren.
10.3. Wenn Nitro einen Subunternehmer für spezifische Verarbeitungstätigkeiten engagiert, werden die gleichen oder ähnlichen Datenschutzverpflichtungen, wie in diesem Datenverarbeitungsanhang festgelegt, auch auf diesen Subunternehmer durch einen schriftlichen Vertrag auferlegt, insbesondere mit dem Ziel, ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen bereitzustellen (und die jeweiligen technischen und organisatorischen Maßnahmen einzuhalten). Wenn ein Subunternehmer seinen Verpflichtungen zum Datenschutz nicht nachkommt, bleibt Nitro dem Kunden gegenüber vollständig verantwortlich für die Erfüllung dieser Verpflichtungen des Subunternehmers.
11. INTERNATIONALE DATENÜBERTRAGUNGEN
11.1 Der Kunde autorisiert internationale Übertragungen personenbezogener Daten zum Zweck der Bereitstellung der Dienste. Solche internationalen Datenübertragungen gelten als Anweisung des Kunden. Der Kunde erkennt an, dass die unter Abschnitt 10 autorisierten Subunternehmer ebenfalls personenbezogene Daten in Drittländern verarbeiten können. Der Kunde gestattet solche Übertragungen, sofern Nitro alle erforderlichen Schritte unternimmt, um sicherzustellen, dass diese Übertragungen den Vorschriften des Kapitels V der EU-DSGVO und anderer anwendbarer Datenschutzgesetze entsprechen.
11.2 Falls die Übertragung personenbezogener Daten in ein Drittland oder an eine internationale Organisation gemäß anwendbarem EU- oder nationalem Recht, dem Nitro unterliegt, erforderlich ist, ist Nitro berechtigt, diese Übertragung durchzuführen und den Kunden vor dieser Verarbeitung über diese rechtliche Anforderung zu informieren, es sei denn, das Gesetz verbietet diese Information aus wichtigen Gründen des öffentlichen Interesses.
12. DATENSCHUTZWIRKUNGSANALYSE UND VORABKONSULTATION
12.1 Wenn der Kunde eine Datenschutzfolgenabschätzung („DPIA“) (Artikel 35 EU-DSGVO) oder eine Vorabkonsultation (Artikel 36 EU-DSGVO) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Erfüllung des Vertrages durchführt, wird Nitro den Kunden angemessen unterstützen, indem es auf schriftlichen Antrag des Kunden Hilfe bereitstellt. Der Kunde wird Nitro die Kosten für die Unterstützung gemäß Abschnitt 14 "Kosten" dieses Datenverarbeitungsanhangs erstatten. Ein solcher Kostenersatz gilt nicht, falls (i) die von Nitro angeforderte Unterstützung weniger als vier (4) Arbeitsstunden während der Laufzeit des Vertrages beträgt oder (ii) die DPIA oder Vorabkonsultation aufgrund eines nachweislich auf Nitro zurückzuführenden Datenvorfalls ausgelöst wird.
13. AUDITRECHT
13.1 Der Kunde hat das Recht, Prüfungen hinsichtlich der Einhaltung durch Nitro seiner Verpflichtungen aus diesem Datenverarbeitungsanhang und der anwendbaren Datenschutzgesetzgebung durchzuführen. Nitro wird angemessene Anstrengungen unternehmen, um bei solchen Audits zu kooperieren und alle Informationen bereitzustellen, die erforderlich sind, um die Einhaltung seiner Verpflichtungen nachzuweisen. Der Kunde hat Nitro mindestens einen (1) Monat vor dem Datum, an dem die Prüfung durchgeführt werden soll, durch eine schriftliche Mitteilung an Nitro über privacy@gonitro.com zu benachrichtigen.
13.2 Falls eine Prüfung durchgeführt wird, müssen zunächst alle beteiligten Parteien einen spezifischen Geheimhaltungsvertrag unterzeichnen, der von Nitro in Bezug auf diese Prüfung und die Prüfergebnisse ausgestellt wurde, bevor die Prüfung beginnt. Bei der Durchführung eines solchen Audits sind die Vertraulichkeitsverpflichtungen der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen vertraulich behandeln und sie ausschließlich verwenden, um ihre Einhaltung dieses Datenverarbeitungsanhangs und der geltenden Gesetze und Vorschriften im Bereich des Datenschutzes zu überprüfen. Der Kunde hat die Möglichkeit, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen; jedoch muss dieser unabhängige Prüfer zuvor den in diesem Abschnitt genannten Geheimhaltungsvertrag unterzeichnen.
13.3 Beide Parteien und, wenn zutreffend, ihre Vertreter sind verpflichtet, auf Anfrage angemessen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.
13.4 Der Kunde wird Nitro die Unterstützung, die Nitro im Zusammenhang mit der Prüfung(ungen) leistet, gemäß Abschnitt 14 "Kosten" dieses Datenverarbeitungsanhangs erstatten. Mit der Maßgabe, dass dieser Kostenersatz nicht gilt, falls (i) die Prüfung auf einen nachweislich auf Nitro zurückzuführenden Datenvorfall zurückzuführen ist oder (ii) falls die Unterstützung von Nitro vier (4) Arbeitsstunden während der Laufzeit des Vertrages nicht übersteigt.
14. KOSTEN
14.1 Die Unterstützung, die im Rahmen dieses Datenverarbeitungsanhangs erbracht wird, wofür Nitro dem Kunden möglicherweise Kosten in Rechnung stellt, wird auf Basis der geleisteten Stunden und der geltenden Standardstundensätze von Nitro (195 EUR/Stunde, Steuern ausgeschlossen) abgerechnet. Nitro wird diese Beträge monatlich in Rechnung stellen, hat jedoch auch das Recht, eine Vorauszahlung zu verlangen.
14.2 Die Zahlung des Kunden an Nitro für die Unterstützung und die von Nitro im Rahmen dieses Datenverarbeitungsanhangs erbrachten professionellen Dienstleistungen erfolgt gemäß den Bestimmungen in den Nutzungsbedingungen.
15. HAFTUNG
15.1 Soweit es das anwendbare Recht zulässt, gelten die Bestimmungen der Nutzungsbedingungen über die Haftungsbeschränkung auch für diesen Datenverarbeitungsanhang und die daraus resultierenden Schäden.
16. Verschiedenes
16.1 Die Bestimmungen der Nutzungsbedingungen über Änderungen, die gesamte Vereinbarung, Teilbarkeit, anwendbares Recht und zuständige Gerichte sind auf diesen Datenverarbeitungsanhang anwendbar.