Nachtrag zur Datenverarbeitung von Nitro Sign Premium und Identity Hub zur EU-DSGVO
DIESER ANHANG ZUR DATENVERARBEITUNG GILT, WENN SIE SICH FÜR NITRO SIGN PREMIUM ODER NITRO IDENTITY HUB GEMÄSS DEN NITRO-NUTZUNGSBEDINGUNGEN FÜR NITRO SIGN PREMIUM UND NITRO IDENTITY HUB ANGEMELDET HABEN. Für die VERARBEITUNG PERSONENBEZOGENER DATEN IM RAHMEN DER VEREINBARUNG GILT DIE EU-DSGVO.
1. UMFANG; ROLLEN DER PARTEIEN
Nitro empfängt und verarbeitet personenbezogene Daten zum Nutzen und im Namen des Kunden bei der Bereitstellung der Dienste gemäß den Anweisungen und Zwecken, die der Kunde in den Datenverarbeitungsdetails definiert hat. Mit diesem Nachtrag zur Datenverarbeitung möchten die Parteien ihre spezifischen Vereinbarungen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung festlegen.
Standardmäßig fungiert Nitro als Auftragsverarbeiter und der Kunde als Verantwortlicher in Bezug auf die Dienste, die Nitro dem Kunden gemäß den Nutzungsbedingungen von Nitro zur Verfügung stellt. Dieser Nachtrag zur Datenverarbeitung ersetzt und ersetzt alle vorherigen Vereinbarungen, die (falls vorhanden) in Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz zwischen den Parteien im Zusammenhang mit den von Nitro angebotenen Diensten getroffen wurden.
Dieser Nachtrag zur Datenverarbeitung ergänzt die Nutzungsbedingungen und stellt einen Teil davon dar. Zusammen bilden die Nutzungsbedingungen und dieser Nachtrag zur Datenverarbeitung eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.
2. DEFINITIONEN
„ Verantwortlicher“ bezieht sich auf den Kunden, wie er in den Nutzungsbedingungen und im jeweiligen Bestellformular angegeben ist;
„Datenverarbeitungsdetails“ bezeichnet die im Bestellformular enthaltenen Datenverarbeitungsdetails, die weitere Einzelheiten zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten umfassen, wie z. B. Zweck, Gegenstand und Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten;
„ EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur freien Verarbeitung personenbezogener Daten Bewegung dieser Daten und Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);
„ Personenbezogene Daten“ bezeichnet personenbezogene Daten im Sinne der EU-DSGVO, die Nitro zum Nutzen und im Namen des Kunden verarbeitet, wenn die Dienste gemäß den Anweisungen und Zwecken bereitgestellt werden, die der Kunde in den Datenverarbeitungsdetails definiert hat.
„ Auftragsverarbeiter“ bezieht sich auf Nitro Software Belgium NV, Anbieter der Dienste für den Kunden und wie in den Nutzungsbedingungen angegeben;
„Liste der Unterauftragsverarbeiter“ bezieht sich auf die von Nitro online zur Verfügung gestellte Liste der Unterauftragsverarbeiter , die die von Nitro für die Bereitstellung der Dienste und die Erfüllung der Verpflichtungen von Nitro gemäß dem Datenverarbeitungszusatz im Allgemeinen beauftragten Unterauftragsverarbeiter umfasst. Nitro kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit gemäß dem in diesem Nachtrag zur Datenverarbeitung dargelegten Verfahren aktualisieren;
„Unterauftragsverarbeiter“ bezeichnet jeden Drittverarbeiter, der von Nitro mit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienste für den Kunden beauftragt wird;
Alle anderen in Großbuchstaben geschriebenen Begriffe und Definitionen, die nicht ausdrücklich in diesem Nachtrag zur Datenverarbeitung definiert sind, werden gemäß den geltenden Datenschutzgesetzen oder den Nutzungsbedingungen von Nitro definiert.
3. Gegenstand dieser Datenverarbeitungsergänzung
3.1 Dieser Nachtrag zur Datenverarbeitung legt die Bedingungen für die Verarbeitung personenbezogener Daten durch Nitro fest, die vom Kunden oder auf Initiative des Kunden im Rahmen der Vereinbarung übermittelt werden. Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Datenverarbeitungsdetails aufgeführt.
3.2 Die Verarbeitung erfolgt ausschließlich zum Nutzen des Kunden und zu dem vom Kunden in den Datenverarbeitungsdetails definierten Zweck. Nitro wird den Kunden unverzüglich informieren, wenn eine Weisung ihrer Meinung nach gegen geltendes (Datenschutz-)Recht verstößt. Nitro wird die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten und diese personenbezogenen Daten nicht für eigene Zwecke verwenden, es sei denn, dies ist in den Nutzungsbedingungen ausdrücklich gestattet. Wenn Nitro gesetzlich verpflichtet ist, mit der Verarbeitung personenbezogener Daten fortzufahren, wird Nitro den Kunden über diese Verpflichtung informieren, es sei denn, dies würde gegen geltende zwingende Vorschriften verstoßen.
4. BEGRIFF
4.1 Dieser Nachtrag zur Datenverarbeitung gilt für alle Verarbeitungen personenbezogener Daten, die im Zusammenhang mit der Bereitstellung der Dienste für den Kunden durch Nitro durchgeführt werden, und gilt, solange Nitro personenbezogene Daten im Namen des Kunden im Rahmen der Vereinbarung verarbeitet. Dieser Nachtrag zur Datenverarbeitung ergänzt die Nutzungsbedingungen von Nitro und soll sicherstellen, dass die Parteien die Anforderungen der geltenden Datenschutzgesetze und -vorschriften für die Nutzung der Dienste durch den Kunden einhalten.
4.2 Dieser Nachtrag zur Datenverarbeitung endet automatisch mit der Beendigung der Vereinbarung (oder zu dem Zeitpunkt, an dem die Verarbeitung durch Nitro beendet wird). Die Bestimmungen dieses Nachtrags zur Datenverarbeitung, die entweder ausdrücklich oder implizit (aufgrund ihrer Art) dazu bestimmt sind, nach Beendigung des Nachtrags zur Datenverarbeitung wirksam zu sein, bleiben über das Ende der Vereinbarung hinaus in Bezug auf die von oder auf Initiative des übermittelten personenbezogenen Daten bestehen Kunde im Rahmen der Vereinbarung.
5. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
5.1 Nitro bietet angemessene Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen („ TOMs“), um eine sichere Verarbeitung personenbezogener Daten zu gewährleisten und so den Schutz der Rechte der betroffenen Person zu gewährleisten. Die von Nitro implementierten TOMs sind in den Datenverarbeitungsdetails aufgeführt. Die TOMs können von Zeit zu Zeit von Nitro aktualisiert werden, Nitro stellt jedoch sicher, dass die allgemeine Sicherheit, die es zum Zeitpunkt der Umsetzung des Datenverarbeitungszusatzes implementiert hat, nicht herabgestuft wird. Der Kunde erkennt zum Zeitpunkt der Unterzeichnung oder Annahme dieses Nachtrags zur Datenverarbeitung an, dass die TOMs für die Verarbeitung seiner personenbezogenen Daten geeignet sind.
5.2 Nitro ergreift alle geeigneten technischen und organisatorischen Maßnahmen im Sinne von Artikel 32 EU-DSGVO, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
5.3 Wenn der Kunde Nitro im Rahmen der Vereinbarung sensible personenbezogene Daten im Sinne der Artikel 9 und 10 EU-DSGVO zur Verfügung stellt, wird der Kunde diese Informationen in die Datenverarbeitungsdetails aufnehmen.
5.4 Falls der Kunde die Implementierung spezifischer technischer und organisatorischer Maßnahmen durch Nitro verlangt (die Nitro standardmäßig nicht implementiert hat), wird der Kunde Nitro für die Implementierung dieser zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen .
5.5 Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 EU-DSGVO oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 EU-DSGVO durch Nitro kann als Nachweis für ausreichende Garantien herangezogen werden im Sinne der EU-DSGVO.
6. ZURÜCKBEHALTUNG
6.1 Nitro wird personenbezogene Daten nicht länger aufbewahren, als es für die Verarbeitung dieser personenbezogenen Daten im Rahmen der Vereinbarung erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger als nötig zu speichern. Die anwendbare Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Datenverarbeitungsdetails festgelegt.
6.2 Nach Wahl des Kunden löscht Nitro alle personenbezogenen Daten oder gibt sie nach Beendigung der Bereitstellung der Dienste an den Kunden zurück und löscht vorhandene Kopien, es sei denn, das Recht der Union oder eines Mitgliedstaats erfordert die Speicherung der personenbezogenen Daten. Der Kunde erkennt an, dass die Dienste dem Kunden möglicherweise Download-Funktionen zur Verfügung stellen, die es dem Kunden ermöglichen, seine Daten herunterzuladen. Soweit solche Funktionalitäten verfügbar sind, wird der Kunde diese Funktionalitäten nutzen, um seine Daten zu extrahieren oder zu löschen.
7. VERTRAULICHKEIT
7.1 Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gilt.
7.2 Nitro erkennt an und stimmt zu, dass nur diejenigen Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen, und zwar nur in dem Umfang, der für die Erfüllung der Vereinbarung vernünftigerweise erforderlich ist. Nitro stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen vertraglich zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8. RECHTE DER BETROFFENEN PERSONEN
8.1 Unter Berücksichtigung der Art der Verarbeitung unternimmt Nitro alle angemessenen Anstrengungen, indem es geeignete technische und organisatorische Maßnahmen ergreift, um den Kunden bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen betroffener Personen zu unterstützen.
8.2 Für jegliche Unterstützung, die Nitro im Zusammenhang mit der Bearbeitung solcher Anfragen von betroffenen Personen leistet, erstattet der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Nachtrags zur Datenverarbeitung. Eine solche Rückerstattung durch den Kunden gilt nicht, (i) wenn die betroffene Person ihre Rechte wegen einer Verletzung des Schutzes personenbezogener Daten geltend macht, die nachweislich Nitro zuzuschreiben ist, oder (ii) wenn die Unterstützung durch Nitro vier (4) Stunden nicht überschreitet der Arbeit während der Vertragslaufzeit.
9. Benachrichtigungspflicht
9.1 Sobald Nitro Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, benachrichtigt Nitro den Kunden unverzüglich darüber, indem es die in der Vereinbarung oder dem entsprechenden Bestellformular angegebene Kontaktperson kontaktiert (oder alternativ über die Benachrichtigungs-E-Mail-Adresse des Kunden). Der Ansprechpartner von Nitro für alle Datenschutzangelegenheiten kann per E-Mail kontaktiert werden: Privacy@gonitro.com.
9.2 Auf Wunsch des Kunden informiert Nitro den Kunden über alle neuen Entwicklungen in Bezug auf eine Verletzung des Schutzes personenbezogener Daten und über die ergriffenen Maßnahmen, um deren Folgen zu begrenzen und die Wiederholung einer solchen Verletzung des Schutzes personenbezogener Daten zu verhindern. Es liegt in der Verantwortung des Kunden, jedwede Verletzung des Schutzes personenbezogener Daten bei Bedarf der Aufsichtsbehörde oder der/den betroffenen Person(en) zu melden.
10. UNTERVERARBEITUNG
10.1 Der Kunde ermächtigt Nitro ausdrücklich, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten zur Erfüllung des Vertrags und zur Erleichterung der Bereitstellung der Dienste im Allgemeinen zu beauftragen. In diesem Umfang erteilt der Kunde Nitro eine allgemeine schriftliche Genehmigung zur Entscheidung, mit welchem/welchen Unterauftragsverarbeiter Nitro bei der Erfüllung seiner Verpflichtungen aus dem Vertrag zusammenarbeitet. Nitro veröffentlicht eine Unterauftragsverarbeiterliste , die sich auf die von Nitro beauftragten Unterauftragsverarbeiter bezieht.
10.2 Nitro informiert den Kunden über alle beabsichtigten Änderungen bezüglich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern über die im Vertrag oder im entsprechenden Bestellformular angegebene Kontaktperson des Kunden (oder über die Benachrichtigungs-E-Mail-Adresse des Kunden). Der Kunde hat das Recht, der Ergänzung oder Ersetzung durch schriftliche Mitteilung an Nitro zu widersprechen. In einem solchen Fall werden die Parteien die Ergänzung, den Ersatz oder die Alternative nach Treu und Glauben und so schnell wie möglich nach der schriftlichen Einspruchsmitteilung des Kunden besprechen.
10.3 Wenn Nitro einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragt, werden diesem Unterauftragsverarbeiter durch eine schriftliche Vereinbarung die gleichen oder ähnliche Datenschutzverpflichtungen auferlegt, wie in diesem Datenverarbeitungszusatz dargelegt, insbesondere durch Bereitstellung ausreichender Garantien geeignete technische und organisatorische Maßnahmen umzusetzen (und die entsprechenden technischen und organisatorischen Maßnahmen einzuhalten). Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet Nitro gegenüber dem Kunden weiterhin in vollem Umfang für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters.
11. INTERNATIONALE DATENÜBERTRAGUNGEN
11.1 Der Kunde genehmigt die internationale Übertragung personenbezogener Daten zum Zweck der Bereitstellung der Dienste. Solche internationalen Datenübermittlungen gelten als Weisung des Kunden. Der Kunde erkennt an, dass gemäß Abschnitt 10 autorisierte Unterauftragsverarbeiter personenbezogene Daten auch in Drittländern verarbeiten dürfen. Der Kunde gestattet solche Übermittlungen unter der Voraussetzung, dass Nitro alle erforderlichen Schritte unternimmt, um sicherzustellen, dass diese Übermittlungen den Bestimmungen von Kapitel V der EU-DSGVO und anderen geltenden Datenschutzgesetzen entsprechen.
11.2 Falls die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nach geltendem Recht der EU oder eines Mitgliedstaats, dem Nitro unterliegt, zwingend erforderlich ist, ist Nitro berechtigt, eine solche Übermittlung durchzuführen und muss den Kunden vor einer solchen Verarbeitung über diese rechtliche Anforderung informieren , es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
12. Datenschutz-Folgenabschätzung und vorherige Konsultation
12.1 Wenn der Kunde eine Datenschutz-Folgenabschätzung ("DSFA")(Artikel 35 EU-DSGVO) oder eine vorherige Konsultation (Artikel 36 EU-DSGVO) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Erfüllung des Vertrags durchführt, wird Nitro den Kunden in angemessener Weise unterstützen, indem es auf schriftliche Anfrage des Kunden Unterstützung leistet. Der Kunde erstattet Nitro die gemäß Abschnitt 14 "Kosten" dieses Nachtrags zur Datenverarbeitung geleistete Unterstützung. Eine solche Kostenerstattung gilt nicht, wenn (i) die von Nitro angeforderte Unterstützung während der Laufzeit der Vereinbarung weniger als vier (4) Arbeitsstunden beträgt oder (ii) die DSFA oder die vorherige Konsultation durch eine Verletzung des Schutzes personenbezogener Daten ausgelöst wird, die nachweislich auf Nitro zurückzuführen ist.
13. RECHT PRÜFEN
13.1 Der Kunde hat das Recht, Prüfungen hinsichtlich der Einhaltung seiner Verpflichtungen aus diesem Datenverarbeitungszusatz und den geltenden Datenschutzgesetzen durch Nitro durchzuführen. Nitro wird alle angemessenen Anstrengungen unternehmen, um bei solchen Audits zu kooperieren und alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung seiner Verpflichtung erforderlich sind. Der Kunde muss Nitro mindestens einen (1) Monat vor dem Datum, an dem das Audit durchgeführt wird, über eine solche Prüfung informieren, indem er Nitro schriftlich über Privacy@gonitro.com benachrichtigt.
13.2 Falls ein Audit durchgeführt wird, müssen alle beteiligten Parteien vor Beginn des Audits zunächst eine spezifische Geheimhaltungsvereinbarung von Nitro in Bezug auf dieses Audit und die Auditergebnisse unterzeichnen. Bei der Durchführung einer solchen Prüfung sind die Geheimhaltungspflichten der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen geheim halten und sie ausschließlich zur Überprüfung der Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften zum Datenschutz verwenden. Der Kunde hat die Wahl, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen. Allerdings muss dieser unabhängige Prüfer die in diesem Abschnitt genannte Geheimhaltungsvereinbarung ordnungsgemäß unterzeichnen.
13.3 Beide Parteien und gegebenenfalls ihre Vertreter arbeiten auf Anfrage angemessen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
13.4 Der Kunde erstattet Nitro die von Nitro im Zusammenhang mit Audit(s) geleistete Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Nachtrags zur Datenverarbeitung. Es versteht sich, dass eine solche Erstattung nicht gilt, wenn (i) die Prüfung das Ergebnis eines Verstoßes gegen den Schutz personenbezogener Daten ist, der nachweislich Nitro zuzuschreiben ist, oder (ii) wenn die Unterstützung von Nitro vier (4) Arbeitsstunden während des Audits nicht überschreitet Laufzeit der Vereinbarung.
14. KOSTEN
14.1 Die gemäß diesem Datenverarbeitungszusatz zu leistende Unterstützung, die Nitro dem Kunden in Rechnung stellen kann, wird auf der Grundlage der geleisteten Arbeitsstunden und der geltenden Standardstundensätze von Nitro berechnet (195 EUR/Stunde ohne Steuern). Nitro stellt diese Beträge monatlich in Rechnung, hat aber auch das Recht, eine Vorauszahlung zu verlangen.
14.2 Die Zahlung des Kunden an Nitro für die von Nitro im Rahmen dieses Datenverarbeitungszusatzes bereitgestellten Unterstützungs- und professionellen Dienstleistungen erfolgt gemäß den Bestimmungen in den Nutzungsbedingungen.
15. HAFTUNG
15.1 Vorbehaltlich des größtmöglichen gesetzlich zulässigen Umfangs gelten die Bestimmungen der Nutzungsbedingungen zur Haftungsbeschränkung auch für diesen Nachtrag zur Datenverarbeitung und die daraus entstehenden Schäden.
16. VERSCHIEDENES
16.1 Die Bestimmungen der Nutzungsbedingungen bezüglich Änderungen, gesamter Vereinbarung, Salvatorische Klausel, anwendbares Recht und zuständige Gerichte gelten für diesen Nachtrag zur Datenverarbeitung.