EU GDPR-Datenverarbeitungszusatz
Nitro Pro
DIESES DATENVERARBEITUNGSZUSATZ GILT, WENN SIE SICH ALS GESCHÄFTSKUNDE FÜR NITRO-DIENSTE ANMELDEN UNTER DEN NITRO NUTZUNGSBEDINGUNGEN UND DIE EU GDPR FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM RAHMEN DES VERTRAGS ANWENDBAR IST. FALLS SIE SICH ALS EINZELPERSON ANGEMELDET HABEN, BESUCHEN SIE BITTE NITROS DATENSCHUTZRICHTLINIE FÜR WEITERE INFORMATIONEN DARÜBER, WIE NITRO PRO IHRE PERSONENBEZOGENEN DATEN VERARBEITET.
1. BEREICH; ROLLEN DER PARTEIEN
Nitro wird personenbezogene Daten im Interesse und im Auftrag des Kunden verarbeiten und erhalten, wenn die Dienste bereitgestellt werden, gemäß den Anweisungen und Zwecken, die vom Kunden in den Datenverarbeitungsdetails definiert sind. Durch diesen Datenverarbeitungszusatz möchten die Parteien ihre spezifischen Vereinbarungen zur Verarbeitung personenbezogener Daten im Rahmen des Vertrags festlegen.
Standardmäßig agiert Nitro als Auftragsverarbeiter und der Kunde agiert als Datenverantwortlicher im Hinblick auf die von Nitro für den Kunden erbrachten Dienstleistungen gemäß den Nitro-Nutzungsbedingungen. Dieser Datenverarbeitungszusatz hebt und ersetzt alle vorherigen Vereinbarungen (sofern vorhanden) bezüglich der Verarbeitung personenbezogener Daten und des Datenschutzes zwischen den Parteien im Zusammenhang mit den von Nitro angebotenen Dienstleistungen.
Dieser Datenverarbeitungszusatz ergänzt und ist Bestandteil der Nutzungsbedingungen, und zusammen bilden die Nutzungsbedingungen und dieser Datenverarbeitungszusatz eine einheitliche rechtliche Vereinbarung zwischen den Parteien. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.
2. DEFINITIONEN
„Anlage“ bezeichnet jede Anlage zu diesem Datenverarbeitungszusatz;
„Controller zu Processor SCCs" bezeichnet Modul 2 der EU-Standardverträge, die im Beschluss der Kommission (EU) 2021/914 vom 4. Juni 2021 zu den Standardvertragsklauseln für die Übertragung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, geändert oder ersetzt durch eine zuständige Behörde gemäß den entsprechenden Datenschutzgesetzen, dargelegt sind;
„Controller“ bezieht sich auf den Kunden, wie in den Nutzungsbedingungen und dem entsprechenden Bestellformular angegeben;
„Datenverarbeitungsdetails“ bezeichnet Anlage 1 zu diesem Datenverarbeitungszusatz, die weitere Einzelheiten zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten enthält, wie den Zweck, das Objekt und die Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten;
„EU GDPR“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten und hebt die Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) auf;
„EU-Standardvertragsklauseln“ oder „SCCs“ bezeichnet die Standardvertragsklauseln für die Übertragung personenbezogener Daten in Drittländer, die von der Europäischen Kommission gemäß dem Beschluss der Kommission (EU) 2021/914 vom 4. Juni 2021 angenommen wurden, einschließlich der Controller zu Processor SCCs und Text aus Modul zwei solcher Standardvertragsklauseln und nicht aus einem anderen Modul sowie keine Klauseln, die in den Klauseln als optional gekennzeichnet sind, geändert oder ersetzt von Zeit zu Zeit durch eine zuständige Behörde gemäß den relevanten Datenschutzgesetzen. Wenn das Europäische Parlament und der Rat eine aktualisierte Reihe von EU-Standardvertragsklauseln verabschieden, wird „EU-Standardvertragsklauseln“ als die jüngste Anpassung betrachtet;
„Personenbezogene Daten“ bezeichnet personenbezogene Daten, wie sie unter der EU GPDR definiert sind, die Nitro zum Nutzen und im Auftrag des Kunden verarbeitet, wenn die Dienste gemäß den Anweisungen und dem Zweck verarbeitet werden, wie vom Kunden in den Datenverarbeitungsdetails definiert;
„Auftragsverarbeiter“ bezieht sich auf Nitro Software Inc., Anbieter der Dienstleistungen an den Kunden und wie in den Nutzungsbedingungen angegeben;
„Sub-Processor-Liste“ bezieht sich auf die von Nitro online bereitgestellte Liste der Sub-Prozessoren, die die Sub-Prozessoren umfasst, die von Nitro für die Bereitstellung der Dienste und die Erfüllung der Verpflichtungen von Nitro im Rahmen des Zusatzes im Allgemeinen eingesetzt wurden. Nitro kann die Sub-Processor-Liste von Zeit zu Zeit gemäß dem in diesem Datenverarbeitungszusatz dargelegten Verfahren aktualisieren;
„Sub-Processor“ bezieht sich auf jeden Drittverarbeiter, der von Nitro für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienste für den Kunden eingesetzt wird;
Alle anderen Begriffe und Definitionen, die mit einem Großbuchstaben geschrieben sind und in diesem Datenverarbeitungszusatz nicht ausdrücklich definiert sind, sind so definiert, wie in den geltenden Datenschutzgesetzen oder den Nutzungsbedingungen von Nitro angegeben.
3. GEGENSTAND DIESEN DATENVERARBEITUNGSZUSATZES
3.1 Dieser Datenverarbeitungszusatz bestimmt die Bedingungen für die Verarbeitung durch Nitro personenbezogener Daten, die vom Kunden im Rahmen des Vertrags kommuniziert oder initiiert werden. Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Datenverarbeitungsdetails (Anlage 1) aufgeführt.
3.2 Die Verarbeitung erfolgt ausschließlich zum Nutzen des Kunden und zu dem Zweck, wie vom Kunden in den Datenverarbeitungsdetails definiert. Nitro wird den Kunden umgehend informieren, wenn es der Meinung ist, dass eine Anweisung geltendes (Datenschutz-)Recht verletzt. Nitro wird die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten und diese personenbezogenen Daten nicht für eigene Zwecke nutzen, es sei denn, dies ist in den Nutzungsbedingungen ausdrücklich gestattet. Wenn Nitro gesetzlich verpflichtet ist, mit der Verarbeitung personenbezogener Daten fortzufahren, wird Nitro den Kunden, es sei denn, dies würde geltende zwingende Regelungen verletzen, über diese Verpflichtung informieren.
4. DAUER
4.1 Dieser Datenverarbeitungszusatz gilt für alle Verarbeitung personenbezogener Daten, die im Rahmen der Bereitstellung der Dienste an den Kunden durch Nitro erfolgt, und gilt, solange Nitro personenbezogene Daten im Auftrag des Kunden im Rahmen des Vertrags verarbeitet. Dieser Datenverarbeitungszusatz ergänzt die Nitro-Nutzungsbedingungen und zielt darauf ab, die Einhaltung der Anforderungen zu gewährleisten, die durch die geltenden Datenschutzgesetze und -vorschriften für die Nutzung der Dienste durch den Kunden auferlegt werden.
4.2 Dieser Datenverarbeitungszusatz endet automatisch mit der Beendigung des Vertrags (oder im Moment, in dem die Verarbeitung durch Nitro eingestellt wird). Die Bestimmungen dieses Datenverarbeitungszusatzes, die ausdrücklich oder implizit (wegen ihrer Natur) die Wirkung nach Beendigung des Datenverarbeitungszusatzes haben sollen, gelten über das Ende des Vertrags hinaus für die personenbezogenen Daten, die vom Kunden im Rahmen des Vertrags kommuniziert oder initiiert werden.
5. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
5.1 Nitro bietet angemessene Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um die sichere Verarbeitung personenbezogener Daten zu gewährleisten und so den Schutz der Rechte der betroffenen Personen sicherzustellen. Die von Nitro umgesetzten TOMs sind in den Datenverarbeitungsdetails aufgeführt. Die TOMs können von Nitro von Zeit zu Zeit aktualisiert werden, jedoch wird Nitro sicherstellen, dass die allgemeine Sicherheit, die zum Zeitpunkt der Durchführung des Datenverarbeitungszusatzes implementiert wurde, nicht herabgestuft wird. Der Kunde erkennt die TOMs als angemessen für die Verarbeitung seiner personenbezogenen Daten zum Zeitpunkt der Unterzeichnung oder Annahme dieses Datenverarbeitungszusatzes an.
5.2 Nitro wird alle geeigneten technischen und organisatorischen Maßnahmen gemäß Artikel 32 EU GDPR ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten, das den Risiken angemessen ist.
5.3 Wenn der Kunde sensible personenbezogene Daten gemäß den Artikeln 9 und 10 EU GDPR an Nitro im Rahmen des Vertrags bereitstellt, wird der Kunde Nitro schriftlich darüber informieren unter privacy@gonitro.com.
5.4 Falls der Kunde spezifische technische und organisatorische Maßnahmen anfordert, die Nitro nicht standardmäßig implementiert hat, wird der Kunde Nitro für die Implementierung solcher zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen.
5.5 Die Einhaltung von Nitro gegenüber einem genehmigten Verhaltenskodex gemäß Artikel 40 EU GDPR oder einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 EU GDPR kann als Nachweis ausreichender Garantien gemäß der EU GDPR verwendet werden.
6. AUFBEWAHRUNG
6.1 Nitro wird personenbezogene Daten nicht länger als erforderlich für die Verarbeitung solcher personenbezogenen Daten im Rahmen des Vertrags aufbewahren. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger als notwendig zu speichern. Die geltende Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Datenverarbeitungsdetails aufgeführt.
6.2 Nach Wahl des Kunden wird Nitro alle personenbezogenen Daten nach Beendigung der Bereitstellung von Dienstleistungen an den Kunden löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, das Recht der Union oder des Mitgliedstaates erfordert die Speicherung der personenbezogenen Daten. Der Kunde erkennt an, dass die Dienste möglicherweise Downloadfunktionen beinhalten, die dem Kunden zur Verfügung stehen, um dem Kunden zu ermöglichen, seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, muss der Kunde diese Funktionen nutzen, um seine Daten zu extrahieren oder zu löschen.
7. VERTRAULICHKEIT
7.1 Die Parteien haben eine Vertraulichkeitsklausel in den Nutzungsbedingungen vereinbart, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags anwendbar ist.
7.2 Nitro erkennt an und stimmt zu, dass nur die Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen und nur insoweit, wie es vernünftigerweise für die Erfüllung des Vertrags erforderlich ist. Nitro stellt sicher, dass Personen, die berechtigt sind, personenbezogene Daten zu verarbeiten, vertraglich zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
8. RECHTE DER BETROFFENEN
8.1 Unter Berücksichtigung der Art der Verarbeitung wird Nitro alle angemessenen Anstrengungen unternehmen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um den Kunden bei der Erfüllung seiner Verpflichtung zu unterstützen, auf Anfragen von Betroffenen zu reagieren.
8.2 Für alle Unterstützung, die von Nitro im Kontext der Bearbeitung solcher Anfragen von Betroffenen durchgeführt wird, wird der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen. Eine solche Entschädigung durch den Kunden gilt nicht, (i) wenn die betroffene Person ihre Rechte aufgrund eines nachweislich Nitro zuzurechnenden Datenschutzvorfalls geltend macht, oder (ii) wenn eine solche Unterstützung von Nitro vier (4) Arbeitsstunden während der Laufzeit des Vertrags nicht überschreitet.
9. MELDEPFLICHT
9.1 Nach Kenntnisnahme eines Datenschutzvorfalls wird Nitro den Kunden ohne unangemessene Verzögerung benachrichtigen, indem der Kontaktperson, die im Vertrag oder dem relevanten Bestellformular angegeben ist, oder alternativ der Benachrichtigungs-E-Mail-Adresse des Kunden oder (falls zutreffend) jeder anderen E-Mail-Adresse, die der Kunde im Administrationsportal als Datenschutzkontakt angegeben hat, kontaktiert. Die Kontaktperson von Nitro für alle datenschutzrechtlichen Angelegenheiten kann per E-Mail unter privacy@gonitro.com kontaktiert werden.
9.2 Auf Anfrage des Kunden wird Nitro den Kunden über alle neuen Entwicklungen in Bezug auf einen Datenschutzvorfall und über die Maßnahmen informieren, die ergriffen wurden, um dessen Folgen zu minimieren und die Wiederholung eines solchen Datenschutzvorfalls zu verhindern. Es liegt in der Verantwortung des Kunden, einen Datenschutzvorfall der Aufsichtsbehörde oder den betroffenen Personen zu melden, wie erforderlich.
10. SUB-PROZESSING
10.1 Der Kunde autorisiert Nitro ausdrücklich, Sub-Prozessoren für die Verarbeitung personenbezogener Daten zur Erfüllung des Vertrags und zur Erleichterung der Bereitstellung der Dienste im Allgemeinen zu engagieren. Zu diesem Zweck erteilt der Kunde Nitro eine allgemeine schriftliche Genehmigung, zu entscheiden, mit welchen Sub-Prozessor(en) Nitro für die Erfüllung seiner Verpflichtungen aus dem Vertrag zusammenarbeitet. Nitro veröffentlicht eine Liste von Sub-Prozessoren, die sich auf die von Nitro eingesetzten Sub-Prozessoren bezieht.
10.2 Nitro wird den Kunden über alle beabsichtigten Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Sub-Prozessoren über die Kontaktperson des Kunden informieren, die im Vertrag oder dem relevanten Bestellformular angegeben ist (oder über die Benachrichtigungs-E-Mail-Adresse des Kunden oder (falls zutreffend) jede andere E-Mail-Adresse, die der Kunde im Administrationsportal als Datenschutzkontakt angegeben hat). Der Kunde hat das Recht, der Hinzufügung oder Ersetzung zu widersprechen, indem er Nitro schriftlich anspricht. Die Parteien werden in einem solchen Fall die Hinzufügung, Ersetzung oder Alternative in gutem Glauben und so schnell wie möglich nach schriftlicher Mitteilung über den Widerspruch des Kunden besprechen.
10.3 Wenn Nitro einen Sub-Prozessor zur Durchführung spezifischer Verarbeitungsaktivitäten beauftragt, sind die gleichen oder ähnlichen Datenschutzverpflichtungen, die in diesem Datenverarbeitungszusatz dargelegt sind, durch eine schriftliche Vereinbarung an diesen Sub-Prozessor zu übertragen, insbesondere um ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen bereitzustellen (und die relevanten technischen und organisatorischen Maßnahmen einzuhalten). Wenn ein Sub-Prozessor seine Datenschutzverpflichtungen nicht erfüllt, bleibt Nitro dem Kunden gegenüber voll verantwortlich für die Erfüllung solcher Verpflichtungen des Sub-Prozessors.
11. INTERNATIONALE DATENÜBERTRAGUNGEN
11.1 Der Kunde erkennt an, dass Nitro in den Vereinigten Staaten von Amerika ansässig ist, und autorisiert internationale Übertragungen personenbezogener Daten für die Zwecke der Bereitstellung der Dienstleistungen. Eine solche internationale Datenübertragung wird als Anweisung des Kunden angesehen.
11.2 Wenn Nitro zu jedem Zeitpunkt während der Laufzeit dieses Datenverarbeitungszusatzes nach dem EU-US-Datenschutzrahmen (das „Rahmenwerk“) für die Dienstleistungen zertifiziert ist, erkennen die Parteien an, dass keine angemessenen Schutzmaßnahmen für Übertragungen zwischen dem Kunden und Nitro erforderlich sind.
11.3 Wo die Bedingungen in Abschnitt 11.2 nicht gelten, treten der Kunde (als "Datenexporteur") und Nitro (als "Datenimporteur") mit Wirkung zum Beginn der betreffenden Übertragung in die Controller-zu-Processor-SCCs ein. Anlage 1 zu den Controller-zu-Processor-SCCs wird als vorbefüllt mit den entsprechenden Abschnitten von Anlage 1 zu diesem Datenverarbeitungszusatz betrachtet. Anlage 2 zu den Controller-zu-Processor-SCCs wird als vorbefüllt mit den Informationen aus Abschnitt 5 zu diesem Datenverarbeitungszusatz betrachtet und:
- In Klausel 7, wird die optionale Andockklausel nicht angewendet;
- In Klausel 9 wird Option 2 angewendet und der Zeitraum beträgt 30 Tage;
- In Klausel 11 wird die optionale Entschädigungsklausel nicht angewendet;
- In Klausel 13(a) wird Folgendes eingefügt: Wenn der Datenexporteur in einem Mitgliedstaat der EU ansässig ist: Die Aufsichtsbehörde mit der Verantwortung für die Gewährleistung der Einhaltung durch den Datenexporteur der Verordnung (EU) 2016/679 in Bezug auf die Datenübertragung, wie in Anlage I.C zu diesem Datenverarbeitungszusatz angegeben, wird als zuständige Aufsichtsbehörde tätig sein.
Wenn der Datenexporteur nicht in einem Mitgliedstaat der EU ansässig ist, aber in den räumlichen Geltungsbereich der Anwendung der Verordnung (EU) 2016/679 gemäß seiner Artikel 3(2) fällt und einen Vertreter gemäß Artikel 27(1) der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaates, in dem der Vertreter gemäß Artikel 27(1) der Verordnung (EU) 2016/679 ansässig ist, wird als zuständige Aufsichtsbehörde tätig sein. Wenn der Datenexporteur nicht in einem Mitgliedstaat der EU ansässig ist, aber in den räumlichen Geltungsbereich der Anwendung der Verordnung (EU) 2016/679 gemäß Artikel 3(2) fällt, ohne jedoch einen Vertreter gemäß Artikel 27(2) der Verordnung (EU) 2016/679 zu benennen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen, deren personenbezogene Daten unter diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an diese oder deren Verhalten überwacht werden, befinden, wie in Anlage I.C angegeben, wird als zuständige Aufsichtsbehörde tätig sein. - In Klausel 17 wird Option 1 angewendet, und die EU-Standardvertragsklauseln unterliegen dem Recht des Datenexporteurs; und
- In Klausel 18(b) werden Streitigkeiten vor den Gerichten des Datenexporteurs beigelegt.
11.4 Der Kunde erkennt an, dass Sub-Prozessoren, die gemäß Klausel 9 autorisiert sind, auch personenbezogene Daten in Drittländern verarbeiten können. Der Kunde erlaubt solche Übertragungen, vorausgesetzt, Nitro ergreift alle notwendigen Maßnahmen, um sicherzustellen, dass diese Übertragungen den Bestimmungen des Kapitels V der EU GDPR und anderer anwendbarer Datenschutzgesetze entsprechen.
11.5 Falls die Übertragung personenbezogener Daten in ein Drittland oder an eine internationale Organisation nach den geltenden EU- oder Mitgliedstaatenrecht, dem Nitro unterliegt, erforderlich ist, ist Nitro berechtigt, eine solche Übertragung durchzuführen und wird den Kunden vor dieser Verarbeitung über diese gesetzliche Verpflichtung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
12. DATENSCHUTZ-FOLGENABSCHÄTZUNG UND VORHERIGE KONSULTATION
12.1 Wenn der Kunde eine Datenschutz-Folgenabschätzung („DPIA“, Artikel 35 EU GDPR) oder eine vorherige Konsultation (Artikel 36 EU GDPR) in Bezug auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Durchführung des Vertrags durchführt, wird Nitro dem Kunden bei der Unterstützung gemäß schriftlicher Anfrage des Kunden angemessen helfen. Der Kunde wird Nitro für die bereitgestellte Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen. Eine solche Kostenersatzpflicht gilt nicht im Fall, dass (i) die von Nitro angeforderte Unterstützung weniger als vier (4) Arbeitsstunden während der Laufzeit des Vertrags beträgt oder (ii) die DPIA oder vorherige Konsultation durch einen Datenschutzvorfall ausgelöst wird, der nachweislich Nitro zuzurechnen ist.
13. ÜBERPRÜFUNGSRECHT
13.1 Der Kunde hat das Recht, Überprüfungen hinsichtlich der Einhaltung von Nitro mit seinen Verpflichtungen aus diesem Datenverarbeitungszusatz und der geltenden Datenschutzgesetzgebung durchzuführen. Nitro wird angemessene Anstrengungen unternehmen, um mit solchen Überprüfungen zusammenzuarbeiten und alle Informationen bereitzustellen, die zur Nachweisführung seiner Einhaltung seiner Verpflichtungen erforderlich sind. Der Kunde wird Nitro mindestens einen (1) Monat vor dem Datum der Durchführung der Überprüfung schriftlich über die Überprüfung unterrichten, indem er Nitro eine Benachrichtigung an die folgende E-Mail-Adresse sendet: privacy@gonitro.com.
13.2 Wenn eine Überprüfung durchgeführt wird, müssen zunächst alle beteiligten Parteien eine spezielle Geheimhaltungsvereinbarung unterzeichnen, die von Nitro in Bezug auf diese Überprüfung und die Ergebnisse der Überprüfung ausgestellt wird, bevor mit der Überprüfung begonnen wird. Bei der Durchführung einer solchen Überprüfung müssen die Vertraulichkeitsverpflichtungen der Parteien gegenüber Dritten beachtet werden. Sowohl die Parteien als auch deren Prüfer müssen die im Zusammenhang mit einer Überprüfung gesammelten Informationen geheim halten und ausschließlich verwenden, um die Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Datenschutzgesetzgebung zu überprüfen. Der Kunde hat die Möglichkeit, die Überprüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen, wobei dieser unabhängige Prüfer die Geheimhaltungsvereinbarung gemäß diesem Abschnitt ordnungsgemäß unterzeichnen muss.
13.3 Beide Parteien und ihre Vertreter, sofern zutreffend, werden auf Anfrage angemessen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten.
13.4 Der Kunde wird Nitro die Unterstützung entschädigen, die von Nitro in Bezug auf Überprüfungen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes bereitgestellt wird. Es wird verstanden, dass diese Entschädigung nicht gilt, wenn (i) die Überprüfung das Ergebnis eines nachweislich Nitro zuzurechnenden Datenschutzvorfalls ist oder (ii) wenn die Unterstützung von Nitro vier (4) Arbeitsstunden während der Laufzeit des Vertrags nicht überschreitet.
14. KOSTEN
14.1 Die Unterstützung, die im Rahmen dieses Datenverarbeitungszusatzes von Nitro berechnet werden kann, erfolgt auf der Grundlage der geleisteten Stunden und der geltenden Standardstundenpreise von Nitro (USD 295/Stunde ohne Steuern). Nitro wird diese Beträge monatlich in Rechnung stellen, hat jedoch auch das Recht, eine Vorauszahlung zu verlangen.
14.2 Die Zahlung des Kunden an Nitro für die Unterstützung und die von Nitro unter diesem Datenverarbeitungszusatz erbrachten Dienstleistungen erfolgt gemäß den Bestimmungen in den Nutzungsbedingungen.
15. HAFTUNG
15.1 Vorbehaltlich des maximalen Maßes, das das geltende Recht zulässt, gelten die Bestimmungen der Nutzungsbedingungen
in Bezug auf die Haftungsbeschränkung auch für diesen Datenverarbeitungszusatz und die sich daraus ergebenden Schäden.
16. VERSCHIEDENES
16.1 Die Bestimmungen der Nutzungsbedingungen bezüglich Änderungen, gesamter Vertrag, Teilunwirksamkeit, anwendbares Recht und zuständige Gerichte gelten auch für diesen Datenverarbeitungszusatz. Bei Widersprüchen oder Unstimmigkeiten zwischen diesem Datenverarbeitungszusatz und den EU-Standardvertragsklauseln, sofern anwendbar, haben die EU-Standardvertragsklauseln Vorrang.
ANLAGE 1 – DATENVERARBEITUNGSDETAILS
A. LISTE DER PARTEIEN
1) Datenexporteur(e):
- Name: Kunde, wie im Vertrag und im entsprechenden Bestellformular angegeben.
- Adresse: Die Adresse des Datenexporteurs ist im Vertrag und im entsprechenden Bestellformular angegeben.
- Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten der Kontaktperson für den Datenexporteur sind im Vertrag und im entsprechenden Bestellformular (und, falls zutreffend, im Administrationsportal des Kunden) aufgeführt.
- Aktivitäten im Zusammenhang mit den übertragenen Daten: Die Aktivitäten, die für die unter diesen EU-Standardvertragsklauseln übertragenen Daten relevant sind, sind im Abschnitt B „Beschreibung der Verarbeitung/Übertragung“ unten beschrieben.
- Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des entsprechenden Bestellformulars gilt der Datenexporteur als diese Anlage I unterzeichnet zu haben.
- Rolle (Datenverantwortlicher/Auftragsverarbeiter): Datenverantwortlicher
2) Datenimporteur(e):
- Name: Nitro Software Inc.
- Adresse: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
- Name, Position und Kontaktdaten der Kontaktperson: privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
- Aktivitäten im Zusammenhang mit den übertragenen Daten: Die Aktivitäten, die für die unter diesen EU-Standardvertragsklauseln übertragenen Daten relevant sind, sind im Abschnitt B „Beschreibung der Verarbeitung/Übertragung“ unten beschrieben.
- Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des entsprechenden Bestellformulars gilt der Datenexporteur als diese Anlage I unterzeichnet zu haben.
- Rolle (Datenverantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter
B. BESCHREIBUNG DER VERARBEITUNG/ÜBERTRAGUNG
1) GEGENSTAND DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN
Der Gegenstand wird vom Kunden wie im Vertrag und im entsprechenden Bestellformular angegeben festgelegt.
2) DIE NATUR UND DER ZWECK DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN
Die Art und der Zweck der Verarbeitung wird vom Kunden wie im Vertrag und im entsprechenden Bestellformular festgelegt.
Standardmäßig hat die Verarbeitung den Zweck, die Dienste, einschließlich aller Funktionen und Merkmale, dem Kunden und seinen Benutzern zur Verfügung zu stellen und im Allgemeinen Nitro zu ermöglichen, seinen vertraglichen Verpflichtungen aus dem Vertrag nachzukommen. Ein solcher Zweck kann die Bereitstellung der Cloud-Dienste (zum Beispiel, aber nicht beschränkt auf die Bereitstellung des Kunden-Cloud-Portals, elektronische Signaturdienste, Analysetools usw.) sowie die Bereitstellung von Support umfassen.
Die Art der Verarbeitung umfasst unter anderem die vom Kunden in dem Vertrag und dem entsprechenden Bestellformular gegebenen Anweisungen die Verarbeitung, Sammlung, Speicherung, Kommunikation und Übertragung personenbezogener Daten.
3) VERARBEITETE PERSONENBEZOGENE DATEN
Abhängig von den innerhalb der Dienste genutzten Funktionen (z. B. Administrationsportal, elektronische Signaturdienste, Analysetools usw.) und dem Inhalt der vom Kunden und seinen Benutzern in den Dienst hochgeladenen Kundendaten verarbeitet Nitro unterschiedliche Arten von personenbezogenen Daten.
Im Allgemeinen umfasst die von Nitro verarbeitete personenbezogene Daten, ohne darauf beschränkt zu sein:
- Identifikationsdaten (zum Beispiel Benutzer- und Nutzungsdetails)
- Dokumentdaten (zum Beispiel personenbezogene Daten, die in verarbeiteten PDF-Dokumenten enthalten sind)
Ein detaillierter Überblick über die Art der verarbeiteten personenbezogenen Daten im Rahmen der Nutzung der Dienste ist über Nitros
Vertrauenskundenzentrum verfügbar: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data
4) SENSIBLE DATEN
Der Datenexporteur kann sensible personenbezogene Daten in den personenbezogenen Daten gemäß Abschnitt 5.3 dieses Datenverarbeitungszusatzes einschließen. Übertragene sensible Daten (sofern zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die die Natur der Daten berücksichtigt und die damit verbundenen Risiken, wie zum Beispiel strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für geschultes Personal), Dokumentation des Zugriffs auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen, werden in den TOMs wie unten aufgeführt oder verwiesen.
5) KATEGORIE DER BETROFFENEN
Die folgenden Kategorien von betroffenen Personen sind standardmäßig im Geltungsbereich:
- Alle Benutzer, die Zugang zu den Diensten haben (zuzüglich administrativer Benutzer, allgemeiner Benutzer oder eingeladene Benutzer wie Unterzeichner).
- Alle betroffenen Personen, die in den vom Kunden oder seinen Benutzern in die Dienste hochgeladenen Kundendaten enthalten sind.
Der Kunde bestätigt, dass diese betroffenen Personen standardmäßig als eine der folgenden Kategorien betrachtet werden:
- Mitarbeiter des Kunden
- Kunden des Kunden
- Interessenten des Kunden
- Lieferanten des Kunden
6) SUB-PROZESSOREN
Nitro beauftragt Sub-Prozessoren, um sicherzustellen, dass alle Funktionen innerhalb der Dienste verfügbar sind. Welche Sub-Prozessoren anwendbar sind, hängt von den genutzten Diensten und den vom Kunden angeforderten Funktionen und der Konfiguration ab. Eine detaillierte Liste der von Nitro eingesetzten Sub-Prozessoren (einschließlich des Verfahrens, das wir bei der Beschäftigung neuer Sub-Prozessoren anwenden) ist über unser Vertrauenszentrum verfügbar: https://www.gonitro.com/trust-center/data-protection/subprocessors-and-subcontractors
7) TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOMs)
Nitro implementiert angemessene technische und organisatorische Maßnahmen, um eine angemessene Sicherheit bei der Nutzung der Dienste zu gewährleisten. Wir aktualisieren solche Maßnahmen kontinuierlich. Ein detaillierter Überblick über die getroffenen Maßnahmen ist über unser Vertrauenszentrum in unserem Sicherheitsbereich verfügbar: https://www.gonitro.com/trust-center/security und in unserer Informationssicherheitspolitik. Unser Vertrauenszentrum listet auch die Zertifizierungen auf, die Nitro im Bereich Compliance hält: https://www.gonitro.com/trust-center/compliance.
8) AUFBEWAHRUNGSFRIST
Nitro wird personenbezogene Daten nicht länger speichern als erforderlich für die Bereitstellung der Dienste. Abhängig von den Ressourcen und den Funktionen, die Sie als Kunde nutzen, können die einschlägigen Aufbewahrungsfristen variieren. Jeder Kunde kann Nitro auffordern, spezifische Aufbewahrungsfristen in seiner Umgebung zu konfigurieren (soweit dies technisch möglich ist).
Sofern keine spezifischen Aufbewahrungsfristen konfiguriert wurden, werden personenbezogene Daten standardmäßig von Nitro gespeichert, bis sie vom Kunden gelöscht werden oder bis zur Beendigung des Vertrags zwischen Nitro und dem Kunden (plus maximal 30 Tage), je nachdem, welcher der beiden Fälle zuerst eintritt. Ein detaillierter Überblick über die Aufbewahrungsfristen ist über unser Vertrauenszentrum verfügbar: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.
9) HÄUFIGKEIT DER INTERNATIONALEN ÜBERTRAGUNGEN
Fortlaufend, wie erforderlich, um die Dienste für den Kunden bereitzustellen.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Bestimmen Sie die zuständige/n Aufsichtsbehörde/n gemäß Klausel 13 der EU-Standardvertragsklauseln: Die zuständige Aufsichtsbehörde ist die für den Kunden geltende Aufsichtsbehörde (oder, wenn relevant, die für den Vertreter des Kunden geltende).
