Bedingungen & Richtlinien

Gültig ab: 1. April 2025

DIESE DATENVERARBEITUNGSVEREINBARUNG GILT, WENN SIE SICH ALS BUSINESS-KUNDE FÜR NITRO-DIENSTLEISTUNGEN UNTER DEN NITRO-NUTZUNGSBEDINGUNGEN ANGEMELDET HABEN, SOFERN DIE EU-DSGVO, UK-DSGVO ODER DAS (SCHWEIZERISCHE) DSG ANWENDBAR IST FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM ZUSAMMENHANG MIT DER VEREINBARUNG, IN DIESER FALL GILT DER ENTSPRECHENDE DATENVERARBEITUNGSANHANG. FALLS SIE SICH ALS EINZELPERSON ANGEMELDET HABEN, BESUCHEN SIE BITTE NITRO’S DATENSCHUTZRICHTLINIE FÜR WEITERE INFORMATIONEN DARÜBER, WIE NITRO IHRE PERSONENBEZOGENEN DATEN VERARBEITET.

Im Hinblick auf die wechselseitigen Verpflichtungen, die in diesem Datenverarbeitungsanhang und allen Anhängen und Ausstellungen hierzu (die „Datenverarbeitungsvereinbarung“) festgelegt sind, deren Angemessenheit anerkannt wird, treten Nitro (wie in Abschnitt 2 der Nitro-Nutzungsbedingungen definiert) und die im Bestellformular als Kunde identifizierte juristische Person („Kunde“) hiermit in diesen verbindlichen Vertrag ein, der zwischen ihnen gilt und für alle von Nitro bereitgestellten Dienste (wie in Abschnitt 2 der Nitro-Nutzungsbedingungen definiert) anwendbar ist. Nitro und der Kunde können hier collectively als die "Parteien" oder einzeln als "Partei" bezeichnet werden.

1. NUTZUNGSBEREICH; ROLLEN DER PARTEIEN

Nitro wird personenbezogene Daten zum Nutzen und im Auftrag des Kunden erhalten und verarbeiten, wenn die Dienste bereitgestellt werden, gemäß den Anweisungen und dem Zweck, die der Kunde in den Details zur Datenverarbeitung definiert. Dieser Datenverarbeitungsanhang legt die spezifischen Vereinbarungen der Parteien hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen dieses Datenverarbeitungsanhangs und der Vereinbarung fest.

Standardmäßig fungiert Nitro als Auftragsverarbeiter und der Kunde als Verantwortlicher in Bezug auf die von Nitro dem Kunden bereitgestellten Dienste gemäß den Nitro-Nutzungsbedingungen. Dieser Datenverarbeitungsanhang ersetzt alle vorherigen Vereinbarungen, die (falls vorhanden) bezüglich der Verarbeitung personenbezogener Daten und des Datenschutzes zwischen den Parteien bezüglich der von Nitro angebotenen Dienste getroffen wurden.

Dieser Datenverarbeitungsanhang ergänzt und bildet einen Teil der Nutzungsbedingungen, und zusammen bilden die Nutzungsbedingungen und dieser Datenverarbeitungsanhang eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Abweichungen oder Widersprüchen zwischen diesem Datenverarbeitungsanhang und den Nutzungsbedingungen hat der Datenverarbeitungsanhang Vorrang.

2. DEFINITIONEN

„Anhang“ bezeichnet jeden Anhang zu diesem Datenverarbeitungsanhang;

„Verantwortlicher“ bezieht sich auf den im Bestellformular in den Nutzungsbedingungen und dem entsprechenden Bestellformular identifizierten Kunden;

„Details zur Datenverarbeitung“ bedeutet Anhang 1 zu diesem Datenverarbeitungsanhang, der die Anweisungen des Kunden zur Verarbeitung personenbezogener Daten beschreibt, wie den Zweck, den Gegenstand und die Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten;

„Betroffene Person“ oder ein gleichwertiger Begriff (wie „Einzelperson“) hat die in der geltenden Datenschutzgesetze festgelegte Bedeutung oder, wo keine solche Gesetze gelten, bezeichnet eine identifizierte oder identifizierbare natürliche Person, die sich auf den Kunden bezieht;

„Datenpanne“ oder ein gleichwertiger Begriff (wie „Verletzung personenbezogener Daten“, „Sicherheitsvorfall“) hat die in den geltenden Datenschutzgesetzen festgelegte Bedeutung oder, wo solche Gesetze nicht gelten, bezeichnet jedes (i) nicht autorisierte Zugriffs-, Nutzungs-, Offenlegungs- oder andere Verarbeiteten personenbezogenen Daten des Kunden, die sich im Besitz von Nitro befinden, (ii) Diebstahl oder nicht autorisierte Erfassung solcher personenbezogener Daten, (iii) Vorfall, der die Sicherheit solcher personenbezogener Daten gefährdet;

„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung);

„Ausstellung“ bedeutet jede Ausstellung zu diesem Datenverarbeitungsanhang;

„DSG“ bezeichnet das Schweizer Bundesgesetz über den Datenschutz (in der jeweils geltenden Fassung);

„Personenbezogene Daten“ oder ein gleichwertiger Begriff (wie „personenbezogene Daten“ oder „personenbezogene Informationen“) hat die in den geltenden Datenschutzgesetzen festgelegte Bedeutung oder bezeichnet, wo keine solchen Gesetze gelten, alle Informationen, die allein oder in Kombination mit anderen Informationen (wie Telefonnummer oder E-Mail-Adresse) von Nitro zur Identifizierung einer bestimmten natürlichen Person verwendet werden können;

„Auftragsverarbeiter“ bezieht sich auf Nitro Software Inc., den Anbieter der Dienste für den Kunden, wie in den Nutzungsbedingungen definiert;

„Liste der Unterauftragsverarbeiter“ bezieht sich auf die Liste der Unterauftragsverarbeiter, die von Nitro online bereitgestellt wird und die die von Nitro für die Bereitstellung der Dienste engagierten Unterauftragsverarbeiter und die Erfüllung der Verpflichtungen von Nitro gemäß der Vereinbarung im Allgemeinen umfasst. Nitro kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit gemäß dem im Datenverarbeitungsanhang festgelegten Verfahren aktualisieren;

„Unterauftragsverarbeiter“ bezeichnet jeden externen Auftragsverarbeiter, der von Nitro für die Verarbeitung personenbezogener Daten in Bezug auf die Bereitstellung der Dienste für den Kunden engagiert wird;

„UK-DSGVO“ bedeutet die EU-DSGVO, die durch die Bestimmungen des britischen Gesetzes über den Austritt der Europäischen Union von 2018 in britisches Recht umgesetzt wurde und die durch die Änderungen des Datenschutzes, der Privatsphäre und der elektronischen Kommunikation (Änderungen etc.) (EU-Austritt) vom 2019 (in der jeweils geltenden Fassung) geändert wurde.

Alle anderen Begriffe und Definitionen, die in Großbuchstaben geschrieben sind und die nicht ausdrücklich in diesem Datenverarbeitungsanhang definiert sind, werden gemäß den geltenden Datenschutzgesetzen oder den Nutzungsbedingungen von Nitro definiert.

3. ZWECK DIESER DATENVERARBEITUNGSVEREINBARUNG

3.1 Dieser Datenverarbeitungsanhang bestimmt die Bedingungen der Verarbeitung durch Nitro personenbezogener Daten. Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Details zur Datenverarbeitung (Anhang 1) aufgeführt.

4. LAUFZEIT

4.1 Dieser Datenverarbeitungsanhang ist auf alle Verarbeitungen personenbezogener Daten anwendbar und gilt, solange Nitro personenbezogene Daten im Rahmen der Vereinbarung im Auftrag des Kunden verarbeitet. Dieser Datenverarbeitungsanhang ergänzt die Nitro-Nutzungsbedingungen und soll sicherstellen, dass die Parteien die Anforderungen gemäß den geltenden Datenschutzgesetzen und -vorschriften für die Nutzung der Dienste durch den Kunden erfüllen.

4.2 Dieser Datenverarbeitungsanhang endet automatisch mit der Beendigung der Vereinbarung (oder wenn die Verarbeitung durch Nitro beendet wird). Die Bestimmungen dieses Datenverarbeitungsanhangs, die entweder ausdrücklich oder implizit (aufgrund ihrer Natur) beabsichtigt sind, nach der Beendigung des Datenverarbeitungsanhangs Gültigkeit zu haben, bleiben über das Ende der Vereinbarung hinweg in Bezug auf die vom Kunden im Rahmen der Vereinbarung übermittelten personenbezogenen Daten bestehen.

5. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

5.1 Nitro hat angemessene technische und organisatorische Maßnahmen („TOMs“) implementiert, die darauf abzielen, die Verarbeitung personenbezogener Daten zu sichern. Die von Nitro umgesetzten TOMs sind in den Datenschutzdetails dargelegt und können von Nitro von Zeit zu Zeit aktualisiert werden, jedoch wird Nitro sicherstellen, dass die gesamte Sicherheit, die sie zum Zeitpunkt der Ausführung des Datenverarbeitungszusatzes implementiert hat, nicht herabgestuft wird. Der Kunde erkennt die TOMs als angemessen für die Verarbeitung seiner personenbezogenen Daten zum Zeitpunkt der Unterzeichnung oder Anerkennung dieses Datenverarbeitungsanhangs an.

6. AUFBEWAHRUNG

6.1 Nitro wird personenbezogene Daten nicht länger aufbewahren, als dies für die Verarbeitung solcher personenbezogenen Daten im Rahmen der Vereinbarung erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Informationen länger zu speichern, als es nötig ist. Der anwendbare Aufbewahrungszeitraum (wie vom Kunden definiert) ist in den Details zur Datenverarbeitung festgelegt.

6.2 Nitro wird alle personenbezogenen Daten nach Beendigung der Bereitstellung der Dienste an den Kunden löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, geltendes Recht verlangt die Speicherung der personenbezogenen Daten. Der Kunde erkennt an, dass die Dienste möglicherweise Downloadfunktionen beinhalten, die dem Kunden zur Verfügung stehen, um seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, wird der Kunde diese Funktionen nutzen, um seine Daten zu extrahieren oder zu löschen.

7.1 Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung Anwendung findet.

7.2 Nitro erkennt an und stimmt zu, dass nur die Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen und dies nur in dem Umfang, der für die Erfüllung der Vereinbarung angemessen notwendig ist. Nitro stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten autorisiert sind, vertraglich zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterliegen.

8. MELDEPFLICHT

8.1 Sobald Nitro von einer Datenpanne Kenntnis erlangt, hat Nitro, soweit dies gesetzlich oder durch eine Ausstellung zu diesem Datenverarbeitungsanhang erforderlich ist, den Kunden unverzüglich zu benachrichtigen, indem sie die im Vertrag oder dem entsprechenden Bestellformular angegebene Kontaktperson kontaktiert (oder alternativ über die vom Kunden im Admin-Portal als Datenschutzkontakt angegebene E-Mail-Adresse oder (sofern zutreffend) jede andere E-Mail-Adresse, die der Kunde mitgeteilt hat). Die Kontaktstelle von Nitro für datenschutzrechtliche Angelegenheiten ist per E-Mail erreichbar: privacy@gonitro.com.

9. UNTERAUFTRAGSVERARBEITUNG

9.1 Der Kunde ermächtigt Nitro ausdrücklich, Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten für die Erfüllung der Vereinbarung zu engagieren und die Bereitstellung der Dienste im Allgemeinen zu erleichtern. In diesem Umfang erteilt der Kunde Nitro eine allgemeine schriftliche Ermächtigung, um zu entscheiden, mit welchen Unterauftragsverarbeitern Nitro zur Erfüllung seiner Verpflichtungen aus der Vereinbarung zusammenarbeitet. Nitro veröffentlicht eine Liste der Unterauftragsverarbeiter, die sich auf die von Nitro engagierten Unterauftragsverarbeiter bezieht.

10. PRÜFRECHT

10.1 Der Kunde hat das Recht, Prüfungen hinsichtlich der Einhaltung der Verpflichtungen von Nitro aus diesem Datenverarbeitungsanhang und der geltenden Datenschutzgesetze durchzuführen. Nitro wird sich bemühen, solchen Audits zu kooperieren und alle Informationen zur Verfügung zu stellen, die zur Erfüllung seiner Verpflichtungen erforderlich sind. Der Kunde hat Nitro mindestens einen (1) Monat vor dem Datum, an dem die Prüfung durchgeführt werden soll, schriftlich über die Prüfung zu informieren, indem er Nitro eine Mitteilung an privacy@gonitro.com sendet.

10.2 Im Falle einer durchgeführten Prüfung müssen alle beteiligten Parteien zunächst eine spezielle Vertraulichkeitsvereinbarung unterzeichnet haben, die von Nitro in Bezug auf diese Prüfung und die Ergebnisse der Prüfung ausgegeben wurde, bevor die Prüfung beginnen kann. Bei der Durchführung eines solchen Audits sind die Vertraulichkeitsverpflichtungen der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen geheim halten und sie ausschließlich verwenden, um die Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften zum Datenschutz zu überprüfen. Der Kunde hat die Möglichkeit, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen; jedoch muss dieser unabhängige Prüfer die in diesem Abschnitt erwähnte Vertraulichkeitsvereinbarung ordnungsgemäß unterzeichnen.

10.3 Beide Parteien und, wo zutreffend, ihre Vertreter haben angemessen zu kooperieren, sofern dies von der zuständigen Aufsichtsbehörde im Zusammenhang mit der Prüfung verlangt wird.

10.4 Der Kunde wird Nitro für die Unterstützung, die Nitro in Bezug auf die Prüfungen bereitstellt, gemäß Abschnitt 11 „Kosten“ dieses Datenverarbeitungsanhangs entschädigen. Es wird verstanden, dass eine solche Erstattung nicht gilt, wenn (i) die Prüfung das Ergebnis einer nachgewiesenen Datenpanne ist, die Nitro zuzurechnen ist, oder (ii) wenn die Unterstützung von Nitro während der Dauer der Vereinbarung vier (4) Arbeitsstunden nicht überschreitet.

11. KOSTEN

11.1 Die Unterstützung, die im Rahmen dieses Datenverarbeitungsanhangs erbracht wird, wird von Nitro in Rechnung gestellt, basierend auf den geleisteten Stunden und den anwendbaren Standard-Stundenlöhnen von Nitro (295 USD/Stunde, Steuern ausgeschlossen). Nitro wird diese Beträge monatlich in Rechnung stellen, hat jedoch auch das Recht, eine Vorauszahlungsgebühr zu verlangen.

11.2 Die Zahlung des Kunden an Nitro für Unterstützung und professionelle Dienstleistungen, die von Nitro im Rahmen dieses Datenverarbeitungsanhangs erbracht werden, erfolgt gemäß den Bestimmungen der Nutzungsbedingungen.

12. HAFTUNG

12.1 Im maximalen Umfang, der nach geltendem Recht zulässig ist, gelten die Bestimmungen der Nutzungsbedingungen über die Haftungsbeschränkung auch für diesen Datenverarbeitungsanhang und die daraus resultierenden Schäden.

13. VERSCHIEDENES

13.1 Die Bestimmungen der Nutzungsbedingungen betreffend Änderungen, die gesamte Vereinbarung, Teilbarkeit, anwendbares Recht und zuständige Gerichte sind auf diesen Datenverarbeitungsanhang anwendbar.

13.2 Dieser Datenverarbeitungsanhang wird durch die spezifischen CCPA-Bedingungen ergänzt, die in Anhang 1 hierin enthalten sind, insoweit dies in Anhang 1 festgelegt ist.

ANHANG 1 – DETAILS ZUR DATENVERARBEITUNG

BESCHREIBUNG DER VERARBEITUNG

1. Gegenstand der Verarbeitung der personenbezogenen Daten

Der Gegenstand wird vom Kunden gemäß der Vereinbarung und dem entsprechenden Bestellformular bestimmt.

2. DIE ART UND DER ZWECK DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN

Die Art und der Zweck der Verarbeitung werden vom Kunden gemäß der Vereinbarung und dem entsprechenden Bestellformular bestimmt.

Standardmäßig soll eine solche Verarbeitung den Zweck haben, den Dienst einschließlich aller seiner Funktionen und Merkmale für den Kunden und seine Benutzer sowie im Allgemeinen Nitro die Erfüllung seiner vertraglichen Verpflichtungen gemäß der Vereinbarung zu ermöglichen. Zweck kann die Bereitstellung der Cloud-Dienste sein (zum Beispiel, jedoch nicht beschränkt auf die Bereitstellung des Kunden-Cloud-Portals, elektronischen Signaturdiensten, Analyse-Diensten etc.) sowie die Bereitstellung von Support.

Die Art der Verarbeitung umfasst unter anderem die vom Kunden in der Vereinbarung und dem entsprechenden Bestellformular gegebenen Anweisungen die Verarbeitung, Sammlung, Speicherung, Kommunikation und Übertragung personenbezogener Daten.

3. VERARBEITETE PERSONENBEZOGENE DATEN

Hängt von den innerhalb der Dienste genutzten Funktionen ab (z.B. Kundenportal, elektronische Signaturdienste, Analyse-Dienste usw.) und dem Inhalt der vom Kunden und seinen Benutzern in die Dienste hochgeladenen personenbezogenen Daten, verarbeitet Nitro unterschiedliche Arten von personenbezogenen Daten. Im Allgemeinen umfasst die von Nitro verarbeitete personenbezogene Daten unter anderem:

• Identitätsdaten (zum Beispiel Benutzer- und Nutzungsdaten)
• Dokumentendaten (zum Beispiel personenbezogene Daten, die in bearbeiteten PDF-Dokumenten enthalten sind)

Eine detaillierte Übersicht über die Art der personenbezogenen Daten, die bei der Nutzung der Dienste verarbeitet werden, ist über Nitros Vertrauenszentrum verfügbar: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

4. KATEGORIE DER BETROFFENEN

Die folgenden Kategorien der Betroffenen sind standardmäßig im Geltungsbereich:

• Alle Nutzer, die Zugriff auf die Dienste haben (dazu gehören Administratoren, allgemeine Nutzer oder eingeladene Nutzer wie Unterzeichner).
• Alle betroffenen Personen, die in den Kundendaten enthalten sind, die vom Kunde oder seinen Nutzern in die Dienste hochgeladen wurden.

Der Kunde bestätigt, dass diese betroffenen Personen standardmäßig als eine der folgenden Kategorien betrachtet werden:

• Mitarbeiter des Kunden
• Kunden des Kunden
• Interessenten des Kunden
• Lieferanten des Kunden

Nitro engagiert Unterauftragnehmer, um sicherzustellen, dass alle Funktionen innerhalb der Dienste verfügbar sind. Welche Unterauftragsverarbeiter anwendbar sind, hängt von den genutzten Diensten sowie den Funktionen und der Konfiguration ab, die der Kunde verlangt. Eine detaillierte Liste der von Nitro eingesetzten Unterauftragnehmer (einschließlich des Verfahrens, das wir anwenden, wenn wir neue Unterauftragnehmer engagieren) ist über unser Trust Center verfügbar: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

6. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMs)

Nitro implementiert angemessene technische und organisatorische Maßnahmen, um eine angemessene Sicherheit bei der Nutzung der Dienste zu gewährleisten. Wir aktualisieren solche Maßnahmen kontinuierlich. Eine detaillierte Übersicht über die getroffenen Maßnahmen ist über unser Trust Center in unserem Sicherheitsbereich verfügbar: https://www.gonitro.com/security-compliance/security und in unserer Information Security Policy. Unser Trust Center listet auch die Zertifizierungen auf, die Nitro im Compliance-Bereich hält: https://www.gonitro.com/security-compliance/compliance

7. AUFBEWAHRUNGSDAUER

Nitro wird personenbezogene Daten nicht länger speichern, als es für die Bereitstellung der Dienste erforderlich ist. Je nach den Diensten und den Funktionalitäten, die Sie als Kunde nutzen, können die geltenden Aufbewahrungsfristen unterschiedlich sein. Jeder Kunde kann Nitro bitten, spezifische Aufbewahrungsfristen in seiner Umgebung zu konfigurieren (soweit dies technisch möglich ist).

Sofern keine spezifischen Aufbewahrungsfristen konfiguriert wurden, werden personenbezogene Daten standardmäßig von Nitro bis zur Löschung durch den Kunden oder bis zur Beendigung des Vertrages zwischen Nitro und dem Kunden (zuzüglich maximal 30 Tage) gespeichert, je nachdem, welches der beiden Ereignisse zuerst eintritt. Eine detaillierte Übersicht über die Aufbewahrungsfristen ist über unser Trust Center verfügbar: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

privacy@gonitro.com
Nitro Software Inc.
447 Sutter St, STE 405 #1015, San Francisco, CA 94108
Vereinigte Staaten

ANHANG 1 – CCPA-SPEZIFISCHE BEDINGUNGEN

1. Soweit Nitro persönliche Informationen von oder im Auftrag des Kunden erhält und diese Informationen dem CCPA unterliegen, gelten die folgenden Bestimmungen. Im Falle von Konflikten zwischen diesem Anhang 1 und dem Datenverarbeitungsnachtrag hat der zuerst erwähnte Vorrang.

1.1 CCPA. Soweit (a) Nitro persönliche Informationen von oder im Auftrag des Kunden erhält, um sie im Auftrag des Kunden zur Bereitstellung der Dienste zu verarbeiten, und (b) diese persönlichen Informationen dem CCPA unterliegen („Kunden-PI“), verpflichtet sich Nitro (i) alle Verpflichtungen, die für Nitro gemäß dem CCPA gelten, einzuhalten und das gleiche Maß an Datenschutz- und Sicherheitsmaßnahmen bereitzustellen, das vom CCPA gefordert wird; (ii) Kunden-PI nicht zu verkaufen oder zu teilen; (iii) Kunden-PI nicht zu speichern, zu verwenden oder offenzulegen (a) für andere Zwecke als die in diesem Datenverarbeitungsvertrag oder der Vereinbarung festgelegten Geschäftszwecke (einschließlich der Speicherung, Verwendung oder Offenlegung der Kunden-PI für einen kommerziellen Zweck, der nicht dem in diesem Datenverarbeitungsvertrag oder der Vereinbarung angegebenen Geschäftszweck entspricht) oder wie anderweitig vom CCPA erlaubt, oder (b) außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Nitro; (iv) Soweit der Kunde oder andere deidentifizierte Daten Nitro zur Verfügung stellt, wird Nitro (a) angemessene Maßnahmen ergreifen, um sicherzustellen, dass die deidentifizierten Daten nicht mit einer Person oder einem Haushalt in Verbindung gebracht werden können, (b) öffentlich zusichern, die Informationen in deidentifizierter Form zu behalten und zu verwenden und nicht zu versuchen, die Informationen wieder zu identifizieren, und (c) vertraglich jeden weiteren Empfänger verpflichten, alle Bestimmungen dieses Unterabsatzes (iv) einzuhalten; (v) Kunden-PI, die Nitro von oder im Auftrag des Kunden erhält, nicht mit persönlichen Informationen zu kombinieren, die es von oder im Auftrag einer anderen Person erhält oder die es durch eigenen Kontakt mit der Person erhebt, wobei Nitro Kunden-PI kombinieren darf, um jeden Geschäftszweck zu erfüllen, wie er in den einschlägigen Vorschriften, die gemäß dem CCPA erlassen wurden, definiert ist; (vi) den Kunden benachrichtigen, wenn er einen Subunternehmer mit der Verarbeitung von Kunden-PI beauftragt, und Kunden-PI gemäß einem schriftlichen Vertrag offenlegen, der Bedingungen enthält, die das gleiche Schutzniveau für die fraglichen PI bieten wie die vom CCPA geforderten; (vii) geeignete organisatorische und technische Maßnahmen implementieren, die den Anforderungen der Kunden-PI angemessen sind, um die Sicherheit der Kunden-PI und Systeme vor unbefugtem Zugriff, Zerstörung, Verwendung, Modifikation oder Offenlegung zu schützen; (viii) den Kunden benachrichtigen, wenn Nitro feststellt, dass es seine Verpflichtungen nach dem CCPA nicht mehr erfüllen kann; (ix) den Kunden benachrichtigen, wenn Nitro eine Anfrage erhält, die Datenschutzrechte von einer Person in Bezug auf die Kunden-PI dieser Person ausüben möchte (eine „Anfrage“). Nitro wird nicht anderweitig mit einer Person bezüglich seiner Anfrage kommunizieren, es sei denn, der Kunde weist Nitro an, dies zu tun, oder Nitro ist gesetzlich verpflichtet, mit einer Person zu kommunizieren. Nitro wird, in Übereinstimmung mit der Art und Funktionalität der im Rahmen dieser DPA erbrachten Dienste und der Rolle von Nitro als Dienstleister, dem Kunden angemessene Unterstützung bieten, um dem Kunden zu ermöglichen, auf eine Anfrage unter dem CCPA zu reagieren und sich daran zu halten; und nicht mehr als einmal jährlich dem Kunden auf Anfrage Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieses Abschnitts 1 zu demonstrieren, einschließlich der Bereitstellung von Zusammenfassungen der geltenden Datenschutz- und Sicherheitsrichtlinien zur Überprüfung und Auditierung.

1.2 Zertifizierung. Soweit Nitro als Auftragnehmer tätig ist, zertifiziert Nitro, dass es die Einschränkungen gemäß Unterabschnitt 1.1 versteht und einhalten wird.

1.3 Nutzung von PI durch den Kunden. Soweit der Kunde Kunden-PI Nitro offenlegt, teilt oder anderweitig zur Verfügung stellt, geschieht dies für den spezifischen Geschäftszweck, der in diesem Datenverarbeitungsvertrag festgelegt ist. Der Kunde kann angemessene Schritte unternehmen, um sicherzustellen, dass Nitro die an Nitro übertragenen Kunden-PI in einer Weise verwendet, die mit den Verpflichtungen des Kunden gemäß dem CCPA übereinstimmt. Der Kunde kann, nach angemessener Benachrichtigung an Nitro, angemessene und geeignete Schritte unternehmen, um die unbefugte Nutzung von Kunden-PI zu stoppen und zu beheben.