Bedingungen & Richtlinien

Datenverarbeitungszusatz, 2022

Eine Kopie herunterladen →

Gültig: 28. Oktober^th, 2022

Dieser Datenverarbeitungszusatz („DPA“) ist Teil der Nitro Geschäftsnutzungsbedingungen oder der Nitro Nutzungsbedingungen, je nachdem, welche gelten, und regelt die Nutzung der Dienste von Nitro („Vereinbarung“), die zwischen Ihnen oder dem Lizenznehmer (jeweils wie im entsprechenden Vertrag definiert; und für den Zweck dieses DPA werden Sie und der Lizenznehmer hier als „Kunde“ bezeichnet) und Nitro Software, Inc. („Nitro“) abgeschlossen wurde, um die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten durch Nitro ausschließlich im Auftrag des Kunden gemäß der Vereinbarung widerzuspiegeln. Beide Parteien werden als die „Parteien“ und jede als eine „Partei“ bezeichnet.

 

Zum Zwecke dieses DPA haben die untenstehenden Begriffe die nachfolgend dargelegten Bedeutungen. Kapitalisierte Begriffe, die in diesem DPA verwendet, aber nicht definiert sind, haben die Bedeutungen, die im Vertrag angegeben sind.

(a) Affiliate bezeichnet jede Einheit, die direkt oder indirekt das Thema kontrolliert, von ihm kontrolliert wird oder unter gemeinsamer Kontrolle mit der betreffenden Einheit steht, wobei „Kontrolle“ die Macht bedeutet, die Richtung der betreffenden Einheit zu leiten oder zu bewirken, sei es (i) durch Eigentum an stimmberechtigten Wertpapieren oder (ii) durch die Fähigkeit, tatsächlich die Managemententscheidungen dieser Einheit, per Vertrag oder anders, zu kontrollieren.

(b) API bedeutet jede von Nitro bereitgestellte Programmierschnittstelle für den Kunden im Zusammenhang mit dem Vertrag.

(c) Anwendbare Datenschutzgesetze bezeichnet die Datenschutz-, Daten- und Datensicherheitsgesetze und -vorschriften jeder für die Verarbeitung personenbezogener Daten im Rahmen des Vertrags geltenden Rechtsordnung, einschließlich, aber nicht beschränkt auf das europäische Datenschutzgesetz und den CCPA, jeweils in der ursprünglich genannten Form.

(d) CCPA bezeichnet das kalifornische Datenschutzgesetz von 2018 und alle dazu ergangenen Vorschriften.

(e) Kundendaten bezeichnet Informationen, die Nitro zur Verarbeitung im Auftrag des Kunden zur Erbringung der Dienstleistungen bereitstellt oder verfügbar macht.

(f) Dokumentation bezeichnet Benutzerhandbuch, Versionshinweise, Implementierungshandbücher und alle anderen technischen Dokumentationen zu den Dienstleistungen oder Professionellen Dienstleistungen, die dem Kunden von Nitro bereitgestellt werden.

(g) EEE bezeichnet den Europäischen Wirtschaftsraum.

(h) Europäische Datenschutzgesetze bezeichnet die DSGVO und andere Datenschutzgesetze und -vorschriften der Europäischen Union, ihrer Mitgliedstaaten, der Schweiz, Islands, Liechtensteins, Norwegens und des Vereinigten Königreichs, in jedem Fall, soweit anwendbar auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags.

(i) DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, in der jeweils gültigen Fassung.

(j) Information Security Incident bezeichnet einen bekannten Sicherheitsvorfall von Nitro, der zur versehentlichen oder unrechtmäßigen Zerstörung, Verlust, Änderung, unbefugten Offenlegung oder Zugriffs auf personenbezogene Daten in Nitro’s Besitz, Verwahrung oder Kontrolle führt. Sicherheitsvorfälle der Informationen umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht gefährden, einschließlich, aber nicht beschränkt auf, erfolglose Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe oder andere Netzwerkangriffe auf Firewalls oder vernetzten Systemen.

(k) Geistige Eigentumsrechte umfassen alle geistigen Eigentumsrechte weltweit, einschließlich: (i) Patente, Offenlegungen von Erfindungen (ob patentierbar oder nicht), Patentanträge, Nachträge, Wiederprüfungen, Gebrauchsmusterrechte und Designrechte (registriert oder unregistriert), sowie eingetragene oder andere gewerbliche Schutzrechte, (ii) Marken, Dienstleistungsmarken, Unternehmensnamen, Handelsnamen, Internetbezeichner, Handelsaufmachung und andere ähnliche Bezeichnungen zur Quelle oder Herkunft zusammen mit dem goodwill, das durch diese symbolisiert wird, (iii) Urheberrechte, ideelle Rechte, Designrechte, Datenbankrechte, Datensammlungen und andere sui generis Rechte, (iv) Geschäftsgeheimnisse oder andere Eigentumsrechte an vertraulichen Informationen oder technischen, gesetzlichen und anderen Informationen, Designs, Ergebnissen, Techniken und anderem Know-how, und (v) Anmeldungen, Registrierungen und Erneuerungen sowie alle damit verbundenen Rechte bezüglich der vorher genannten in jedem Teil der Welt.

(l) Personenbezogene Daten bezeichnen Kundendaten, die als „personenbezogene Daten“, „persönliche Informationen“ oder „personenbezogene Informationen“ gemäß den anwendbaren Datenschutzgesetzen definiert sind, oder Informationen ähnlichen Charakters, die durch sie reguliert werden, es sei denn, dass personenbezogene Daten keine solchen Informationen über das Personal oder die Vertretungen des Kunden umfassen, die Geschäftsbeziehungen der Nitro in regelmäßigem Verlauf sind, wobei Nitro als Verantwortlicher für solche Informationen auftritt.

(m) Verarbeitung bezeichnet jede Operation oder Satz von Operationen, die an personenbezogenen Daten oder Mengen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisiert erfolgt, wie zum Beispiel Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verwendung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung.

(n) Professionelle Dienstleistungen bezeichnen alle Dienstleistungen, die von Nitro im Zusammenhang mit den Dienstleistungen wie Aktivierung, Schulung, Konfiguration, Integration, Bewertung und Optimierung erbracht werden.

(o) Sicherheitsmaßnahmen haben die in Abschnitt 5(a) (Sicherheitsmaßnahmen des Anbieters) angegebene Bedeutung.

(p) Standardvertragsklauseln sind die zwingenden Bestimmungen der Standardvertragsklauseln für die Übertragung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern ansässig sind, in der Form, die von der Entscheidung der Europäischen Kommission 2016/679/EU und 2018/914/EU sowie der Entscheidung der Europäischen Kommission 2021/914 vom 4.Juni 2021 implementiert wurde.

(q) Subauftragsnehmer bezeichnen Dritte, die Nitro zur Verarbeitung personenbezogener Daten in Bezug auf die Dienstleistungen beschäftigt.

(r) Dritte Subauftragsnehmer haben die in Abschnitt 5 (Subauftragsnehmer) von Anhang 1 angegebene Bedeutung.

(s) Die Begriffe Verantwortlicher, Betroffene, Auftragsverarbeiter und Aufsichtsbehörde, wie sie in diesem DPA verwendet werden, haben die in der DSGVO angegebene Bedeutung.

 

 

(a) Dieser DPA bleibt in Kraft, solange Nitro personenbezogene Daten verarbeitet, ungeachtet des Ablaufs oder der Beendigung des Vertrags.

(b) Anhang 1 (EU-Anhang) dieses DPA gilt ausschließlich für die Verarbeitung, die den europäischen Datenschutzgesetzen unterliegt.

(c) Anhang 2 (Kalifornischer Anhang) dieses DPA gilt ausschließlich für die Verarbeitung, die dem CCPA unterliegt, wenn der Kunde ein „Unternehmen“ oder „Dienstanbieter“ (wie im CCPA definiert) in Bezug auf diese Verarbeitung ist.

 

 

Nitro wird personenbezogene Daten ausschließlich gemäß den Anweisungen des Kunden verarbeiten.

. Dieser DPA ist ein vollständiger Ausdruck dieser Anweisungen, und zusätzliche Anweisungen des Kunden sind für Nitro nur im Rahmen einer von beiden Parteien unterzeichneten Änderung dieses DPA verbindlich. Der Kunde weist Nitro an, personenbezogene Daten zu verarbeiten, um die im Vertrag vorgesehenen Dienstleistungen zu erbringen.

 

 

Der Kunde erkennt an und stimmt zu, dass Nitro im Rahmen der Dienstleistungen:

(a) Elemente, die zur Bereitstellung der Dienste notwendig sind, aus der Verarbeitung, die mit den Dienstleistungen verbunden ist, erstellen und ableiten kann; und/oder

(b) anonymisierte und/oder aggregierte Daten, die den Kunden oder eine natürliche Person nicht identifizieren, aus der Verarbeitung, die mit den Dienstleistungen verbunden ist, erstellen und ableiten kann, und solche anonymisierten und/oder aggregierten Daten verwenden, veröffentlichen oder mit Dritten teilen kann, um die Produkte und Dienstleistungen von Nitro zu verbessern und/oder für andere legitime Geschäftszwecke.

 

 

(a) Sicherheitsmaßnahmen des Anbieters. Nitro wird technische und organisatorische Maßnahmen umsetzen und aufrechterhalten, die darauf ausgelegt sind, personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten ("Sicherheitsmaßnahmen") zu schützen, wie in Anhang 3 (Sicherheitsmaßnahmen) beschrieben. Nitro kann die Sicherheitsmaßnahmen von Zeit zu Zeit ohne Vorankündigung aktualisieren, solange die aktualisierten Maßnahmen den allgemeinen Schutz personenbezogener Daten nicht wesentlich verringern.

(b) Informationssicherheitsvorfälle. Nitro wird den Kunden unverzüglich über einen Informationssicherheitsvorfall informieren, von dem Nitro Kenntnis erlangt. Solche Mitteilungen können verfügbare Details des Informationssicherheitsvorfalls beschreiben, einschließlich einer Zusammenfassung der ergriffenen Maßnahmen zur Minderung potenzieller Risiken und Schritte, die Nitro dem Kunden empfiehlt, um den Informationssicherheitsvorfall zu adressieren. Nitros Mitteilung oder Reaktion auf einen Informationssicherheitsvorfall wird nicht als Anerkennung von Schuld oder Haftung durch Nitro in Bezug auf den Informationssicherheitsvorfall.

(c) Verantwortlichkeiten und Bewertung der Sicherheit des Kunden.

(i) Verantwortlichkeiten des Kunden. Der Kunde stimmt zu, dass er, ohne die Verpflichtungen von Nitro gemäß Abschnitt 5 (Sicherheit) zu beschränken, allein verantwortlich ist für die Nutzung der Dienste, einschließlich (a) der angemessenen Nutzung der Dienste, um ein Maß an Sicherheit zu gewährleisten, das dem Risiko hinsichtlich der personenbezogenen Daten angemessen ist; (b) der Sicherung der Anmeldeinformationen, Systeme und Geräte, die der Kunde nutzt, um auf die Dienste zuzugreifen; (c) der Sicherung der Systeme und Geräte des Kunden, die Nitro zur Bereitstellung der Dienste verwendet; und (d) der Sicherung von personenbezogenen Daten.

(ii) Bewertung der Sicherheit des Kunden. Der Kunde stimmt zu, dass die Dienste, die Sicherheitsmaßnahmen und Nitros Verpflichtungen gemäß dieser Vereinbarung angemessen sind, um den Bedürfnissen des Kunden gerecht zu werden, einschließlich hinsichtlich aller Sicherheitsverpflichtungen des Kunden gemäß geltenden Datenschutzgesetzen, und ein angemessenes Maß an Sicherheit im Hinblick auf die personenbezogenen Daten bieten.

 

(a) Nitros Unterstützung bei Anfragen von betroffenen Personen. Nitro wird (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten) dem Kunden die angemessene Unterstützung bieten, die erforderlich ist, damit der Kunde seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommen kann, um Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen („Anfragen von betroffenen Personen“) in Bezug auf personenbezogene Daten in Nitros Besitz oder Kontrolle zu erfüllen. Der Kunde wird Nitro für jede solche Unterstützung zu den zum Zeitpunkt aktuellen Stundensätzen von Nitro entschädigen, die dem Kunden auf Anfrage zur Verfügung gestellt werden.

(b) Verantwortlichkeit des Kunden für Anfragen. Wenn Nitro eine Anfrage von einer betroffenen Person erhält, wird Nitro die betroffene Person anweisen, die Anfrage an den Kunden zu richten, und der Kunde ist verantwortlich für die Beantwortung der Anfrage.

 

(a) Konformität des Kunden. Der Kunde wird seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen einhalten. Der Kunde stellt sicher (und ist allein verantwortlich dafür), dass seine Anweisungen in Abschnitt 3 den geltenden Datenschutzgesetzen entsprechen, und dass der Kunde alle Benachrichtigungen an, und alle Einwilligungen von, Personen eingeholt hat, auf die sich die personenbezogenen Daten beziehen, sowie von allen anderen Parteien, wie von den geltenden Datenschutzgesetzen gefordert, um personenbezogene Daten im Zusammenhang mit der Vereinbarung zu verarbeiten.

(b) Verbotene Daten. Der Kunde erklärt und garantiert gegenüber Nitro, dass die Kundendaten keine Sozialversicherungsnummern oder andere von der Regierung ausgegebene Identifikationsnummern; biometrische Informationen; Passwörter für Online-Konten; Zugangsdaten für jegliche finanzielle Konten; Steuererklärungsdaten; Bonitätsberichte oder Verbraucherdaten; Karteninformationen, die den Sicherheitsstandards der Zahlungsverkehrsindustrie unterliegen; Informationen, die dem Gramm-Leach-Bliley-Gesetz, dem Fair Credit Reporting Act oder den Vorschriften, die unter einem dieser Gesetze erlassen wurden, unterliegen; Informationen, die den geltenden Datenschutzgesetzen unterliegen, die personenbezogene Daten von Kindern regeln, einschließlich, ohne Einschränkung, aller Informationen über Kinder unter 13 Jahren; oder jegliche Informationen, die in besondere Kategorien von Daten fallen, enthalten. Der Kunde erklärt außerdem, dass die Kundendaten keine geschützten Gesundheitsinformationen enthalten, die dem Gesetz über die Portabilität und Verantwortlichkeit von Gesundheitsinformationen (HIPAA) oder ähnlicher Gesetzgebung in anderen Rechtsordnungen unterliegen; keine Informationen über die medizinische Vorgeschichte, den psychischen oder physischen Zustand oder die medizinische Behandlung oder Diagnose durch einen Gesundheitsdienstleister; oder Gesundheitsversicherungsinformationen, es sei denn, der Kunde und Nitro haben separat eine HIPAA-Geschäftsvereinbarung geschlossen.

 

Sofern nicht ausdrücklich durch die DPA geändert, bleiben die Bedingungen der Vereinbarung in vollem Umfang in Kraft und Wirkung. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und den Bedingungen der Vereinbarung hat diese DPA Vorrang. Ungeachtet anderer Bestimmungen in der Vereinbarung oder eines Auftragformulars, das in diesem Zusammenhang eingegeben wurde, erkennen die Parteien an und stimmen zu, dass Nitros Zugriff auf personenbezogene Daten nicht Teil der von den Parteien im Rahmen der Vereinbarung ausgetauschten Gegenleistung ist. Ungeachtet sonstiger Bestimmungen in der Vereinbarung können alle Mitteilungen, die Nitro dem Kunden gemäß dieser DPA machen muss oder die ihm gestattet sind, (a) gemäß einer Mitteilungsklausel der Vereinbarung gegeben werden; (b) an Nitros Hauptansprechpartner beim Kunden; oder (c) an jede vom Kunden angegebene E-Mail-Adresse für Kommunikations- oder Alarmzwecke im Zusammenhang mit den Diensten gesendet werden. Der Kunde ist allein verantwortlich dafür, dass solche Adressen für Mitteilungen gültig sind.

 

(a) Gegenstand und Einzelheiten der Verarbeitung. Die Parteien erkennen an und stimmen zu, dass (i) der Gegenstand der Verarbeitung gemäß der Vereinbarung die Bereitstellung der Dienste durch Nitro ist; (ii) die Dauer der Verarbeitung von Nitros Erhalt der personenbezogenen Daten bis zur Löschung aller personenbezogenen Daten durch Nitro gemäß der Vereinbarung reicht; (iii) die Art und der Zweck der Verarbeitung darin besteht, die Dienste bereitzustellen; (iv) die betroffenen Personen, auf die sich die personenbezogenen Daten beziehen, der Kunde (soweit der Kunde eine Einzelperson ist), Nutzer der Dienste oder der Software von Nitro sind und Personen, deren personenbezogene Daten vom Kunden und/oder den Nutzern der Dienste und/oder der Software von Nitro generiert, geteilt oder hochgeladen wurden; und (v) die Kategorien personenbezogener Daten die von dem Kunden oder den Nutzern der Dienste und/oder der Software von Nitro generierten, geteilten, hochgeladenen oder angeforderten personenbezogenen Daten sind (die personenbezogene Daten in Dokumenten, Bildern und anderen Medien und nutzergenerierte Inhalte wie Dokumente, Text, Bilder und andere Inhalte umfassen können).

(b) Rollen und regulatorische Compliance; Genehmigung. Die Parteien erkennen an und stimmen zu, dass (i) Nitro ein Auftragsverarbeiter personenbezogener Daten gemäß den europäischen Datenschutzgesetzen ist; (ii) der Kunde ein Verantwortlicher (oder ein Auftragsverarbeiter, der nach den Anweisungen eines Verantwortlichen handelt) von personenbezogenen Daten gemäß den europäischen Datenschutzgesetzen ist; und (iii) jede Partei ihre ihr in dieser Rolle gemäß den europäischen Datenschutzgesetzen obliegenden Verpflichtungen im Hinblick auf die Verarbeitung personenbezogener Daten einhalten wird. Wenn der Kunde ein Auftragsverarbeiter ist, erklärt und garantiert der Kunde gegenüber Nitro, dass die Anweisungen und Handlungen des Kunden in Bezug auf personenbezogene Daten, einschließlich seiner Ernennung von Nitro als einem weiteren Auftragsverarbeiter, vom zuständigen Verantwortlichen genehmigt wurden.

(c) Nitros Einhaltung der Anweisungen. Nitro wird personenbezogene Daten nur gemäß den Anweisungen des Kunden verarbeiten, die in diesem DPA angegeben sind, es sei denn, die geltenden europäischen Datenschutzgesetze verlangen etwas anderes. In diesem Fall wird Nitro den Kunden benachrichtigen (es sei denn, das Gesetz verbietet Nitro dies zu tun).

(d) Datenlöschung. Nitro wird alle personenbezogenen Daten auf den Systemen von Nitro auf schriftliche Anfrage des Kunden und nach Beendigung der Erbringung von Dienstleistungen löschen und wird bestehende Kopien löschen, es sei denn, die fortgesetzte Speicherung der personenbezogenen Daten ist erforderlich durch (i) die geltenden Gesetze der Europäischen Union oder ihrer Mitgliedstaaten in Bezug auf personenbezogene Daten, die den europäischen Datenschutzgesetzen unterliegen, oder (ii) geltende Datenschutzgesetze in Bezug auf alle anderen personenbezogenen Daten. Nitro wird solchen Anweisungen so schnell wie vernünftigerweise möglich nachkommen und spätestens 180 Tage nach dem Ablauf oder der Kündigung nachkommen, es sei denn, die geltenden Datenschutzgesetze verlangen eine Speicherung. Der Kunde kann wählen, eine Kopie solcher personenbezogenen Daten von Nitro gegen eine zusätzliche Gebühr anzufordern, indem er dies schriftlich mindestens 30 Tage vor dem Ablauf oder der Beendigung des Vertrages beantragt. Nach Vereinbarung der Parteien über eine solche Gebühr gemäß einem Arbeitsauftrag oder einer anderen Änderung des Vertrages wird Nitro eine Kopie solcher personenbezogenen Daten bereitstellen, bevor diese gemäß dieser Klausel gelöscht werden.

 

 

(a) Nitro-Sicherheitsmaßnahmen, Kontrollen und Unterstützung

(i) Nitro-Sicherheitsunterstützung. Auf schriftliche Anfrage wird Nitro dem Kunden angemessene Unterstützung bereitstellen, die erforderlich ist, damit der Kunde seinen Verpflichtungen in Bezug auf personenbezogene Daten gemäß den europäischen Datenschutzgesetzen nachkommt, einschließlich der Artikel 32 bis 34 (einschließlich) der DSGVO, durch (a) Implementierung und Aufrechterhaltung der Sicherheitsmaßnahmen; (b) Einhaltung der Bestimmungen von Abschnitt 5(b) (Sicherheitsvorfälle) des DPA; und (c) Einhaltung dieses Anhangs 1. Der Kunde erkennt hiermit an und stimmt zu, dass solche Maßnahmen ausreichen, um dem Kunden zu ermöglichen, diese Verpflichtungen einzuhalten.

(ii) Sicherheitskonformität des Nitro-Personals. Nitro wird sicherstellen, dass sein Personal, das für den Zugriff auf personenbezogene Daten autorisiert ist, angemessenen Vertraulichkeitsverpflichtungen unterliegt.

(b) Überprüfungen und Audits der Einhaltung Der Kunde kann die Einhaltung von Nitros Verpflichtungen gemäß diesem DPA nicht mehr als einmal pro Kalenderjahr und an anderen, die durch europäische Datenschutzgesetze erforderlich sein können, prüfen, einschließlich, wenn dies von der Aufsichtsbehörde des Kunden angeordnet wird. Nitro wird bei solchen Audits unterstützen, indem es dem Kunden oder der Aufsichtsbehörde des Kunden die Informationen und Unterstützung bereitstellt, die zur Durchführung des Audits vernünftigerweise erforderlich sind. Wenn ein Dritter das Audit durchführen soll, kann Nitro der Auditorin widersprechen, wenn diese nach vernünftigem Ermessen von Nitro nicht unabhängig, ein Mitbewerber von Nitro oder aus einem anderen Grund offensichtlich ungeeignet ist. Eine solche Einwendung von Nitro wird erfordern, dass der Kunde einen anderen Auditor bestellt oder das Audit selbst durchführt. Um ein Audit anzufordern, muss der Kunde Nitro mindestens drei (3) Wochen im Voraus einen vorgeschlagenen Auditplan vorlegen, und jeder Drittauditor muss eine übliche Vertraulichkeitsvereinbarung unterzeichnen, die für Nitro gegenseitig akzeptabel ist (diese Zustimmung darf nicht unangemessen verweigert werden) und die eine vertrauliche Behandlung aller Informationen vorsieht, die im Zusammenhang mit dem Audit und allen Berichten über die Ergebnisse oder Erkenntnisse aus diesem Austausch ausgetauscht werden. Der vorgeschlagene Auditplan muss den vorgeschlagenen Umfang, die Dauer und das Startdatum des Audits beschreiben. Nitro wird den vorgeschlagenen Auditplan überprüfen und dem Kunden alle Bedenken oder Fragen mitteilen (z. B. jede Anfrage nach Informationen, die die Sicherheit von Nitro, den Datenschutz, die Privatsphäre, die Beschäftigung oder andere einschlägige Richtlinien von Nitro gefährden könnten). Nitro wird kooperativ mit dem Kunden daran arbeiten, einen endgültigen Auditplan zu vereinbaren. Nichts in diesem Abschnitt 2(b) verpflichtet Nitro zur Verletzung von Vertraulichkeitspflichten. Wenn die Kontrollen oder Maßnahmen, die im beantragten Audit geprüft werden sollen, in einem SOC 2 Typ 2-, ISO- oder ähnlichen Auditbericht behandelt werden, der von einem qualifizierten Drittauditor innerhalb von zwölf (12) Monaten nach der Audit-Anfrage des Kunden abgeschlossen wurde und Nitro bestätigt hat, dass es seit dem Datum dieses Berichts keine bekannten wesentlichen nachteiligen Änderungen an den geprüften Kontrollen gegeben hat, stimmt der Kunde zu, dass er sich auf diesen Bericht anstelle einer Anforderung für ein Audit dieser Kontrollen oder Maßnahmen verlässt. Das Audit muss während der regulären Geschäftszeiten von Nitro durchgeführt werden, vorbehaltlich des vereinbarten endgültigen Auditplans sowie der Sicherheits- und/oder anderen relevanten Richtlinien von Nitro und darf die Geschäftstätigkeiten von Nitro nicht unangemessen beeinträchtigen. Der Kunde wird Nitro unverzüglich über alle während eines Audits entdeckten Nichteinhaltungen informieren und Nitro alle Auditberichte zur Verfügung stellen, die im Zusammenhang mit einem Audit gemäß diesem Abschnitt 2(b) erstellt wurden, es sei denn, dies wird durch europäische Datenschutzgesetze verboten oder anderweitig von einer Aufsichtsbehörde angeordnet. Der Kunde darf die Auditberichte nur zur Erfüllung der regulatorischen Auditanforderungen des Kunden und/oder zur Bestätigung der Einhaltung der Anforderungen dieses DPA nutzen. Alle Audits liegen in der alleinigen Verantwortung des Kunden. Der Kunde wird Nitro für die gesamte Zeit entschädigen, die Nitro und Dritte im Zusammenhang mit Audits oder Inspektionen gemäß diesem Abschnitt 2(b) aufwenden, zu den dann geltenden Honorarsätzen von Nitro für professionelle Dienstleistungen, die dem Kunden auf Anfrage zur Verfügung gestellt werden. Der Kunde ist verantwortlich für alle Gebühren, die von einem Auditor erhoben werden, der vom Kunden ernannt wurde, um eine solche Prüfung durchzuführen.

 

Nitro wird (unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Nitro zur Verfügung stehen) dem Kunden angemessene Unterstützung bieten, um seinen Verpflichtungen gemäß den Artikeln 35 und 36 der DSGVO nachzukommen, indem (a) Dokumentationen bereitgestellt werden, die relevante Aspekte von Nitros Informationssicherheitsprogramm und die in diesem Zusammenhang angewandten Sicherheitsmaßnahmen beschreiben, und (b) die anderen Informationen bereitgestellt werden, die im Vertrag enthalten sind, einschließlich dieses DPA.

 

 

(a) Datenverarbeitungsstätten. Nitro kann, vorbehaltlich Abschnitt 4(b) (Übertragungen außerhalb des EWR), personenbezogene Daten in den Vereinigten Staaten oder an jedem anderen Ort, an dem Nitro oder seine Unterauftragnehmer Einrichtungen unterhalten, speichern und verarbeiten.

(b) Übertragungen außerhalb des EWR. Wenn der Kunde personenbezogene Daten außerhalb des EWR an Nitro in ein Land überträgt, das von der Europäischen Kommission nicht als ausreichend schützend angesehen wird, unterliegt diese Übertragung den Standardvertragsklauseln, deren Bedingungen hiermit in diesen DPA aufgenommen sind. In Übereinstimmung mit dem Vorstehenden vereinbaren die Parteien, dass (i) der Kunde als Datenexporteur und Nitro als Datenimporteur unter den Standardvertragsklauseln fungiert; (ii) für die Zwecke von Anhang 1 zu den Standardvertragsklauseln die Kategorien von betroffenen Personen, Daten, besonderen Kategorien von Daten (sofern zutreffend) und die Verarbeitungsvorgänge wie in Abschnitt 1(a) dieses Anhangs 1 (Gegenstand und Einzelheiten der Verarbeitung) dargelegt sind; (iii) für die Zwecke von Anhang 2 zu den Standardvertragsklauseln die technischen und organisatorischen Maßnahmen die Sicherheitsmaßnahmen sein werden; (iv) der Datenimporteur die Kopien der Unterauftragsverträge bereitstellen wird, die der Datenimporteur dem Datenexporteur gemäß § 5(j) der Standardvertragsklauseln auf Anfrage des Datenexporteurs zusenden muss, und dass der Datenimporteur alle kommerziellen Informationen oder Klauseln, die nicht mit den Standardvertragsklauseln oder deren Äquivalent in Verbindung stehen, vorher entfernen oder redigieren kann; (v) die in § 5(f) und § 12(2) der Standardvertragsklauseln beschriebenen Prüfungen gemäß § 2(b) dieses Anhangs 1 (Überprüfungen und Prüfungen der Konformität) durchgeführt werden; (vi) die Genehmigungen des Kunden in § 5 (Subunternehmer) dieses Anhangs 1 die vorherige schriftliche Zustimmung des Kunden zur Subunterbeauftragung durch Nitro bei der Verarbeitung personenbezogener Daten darstellen, sofern eine solche Zustimmung gemäß § 5(h) der Standardvertragsklauseln erforderlich ist; und (vii) die Zertifizierung der Löschung personenbezogener Daten gemäß § 12(1) der Standardvertragsklauseln auf schriftliche Anfrage des Datenimporteurs bereitgestellt wird.

Ungeachtet des Vorstehenden gelten die Standardvertragsklauseln (oder Verpflichtungen, die denselben wie die unter den Standardvertragsklauseln) gleichkommen, nicht, soweit ein alternativer anerkanntes Compliance-Standard für die Übertragung personenbezogener Daten außerhalb des EWR gemäß den europäischen Datenschutzgesetzen auf die Übertragung anwendbar ist. Im Falle eines Konflikts oder einer Inkonsistenz zwischen (a) diesem Anhang 1 und einer anderen Bestimmung dieser DPA hat dieser Anhang 1 Vorrang oder (b) den Standardvertragsklauseln und einer anderen Bestimmung dieses Vertrags haben die Standardvertragsklauseln Vorrang.

 

 

(a) Zustimmung zur Beauftragung von Subunternehmern. Der Kunde autorisiert ausdrücklich die Beauftragung von Nitros verbundenen Unternehmen als Subunternehmer und genehmigt im Allgemeinen die Beauftragung anderer Dritter als Subunternehmer (“Dritte Subunternehmer”).

(b) Informationen über Subunternehmer. Informationen über Subunternehmer, einschließlich ihrer Funktionen und Standorte, sind verfügbar unter: https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (wie von Nitro von Zeit zu Zeit aktualisiert) oder einer anderen Website-Adresse, die Nitro dem Kunden von Zeit zu Zeit zur Verfügung stellen kann (zusammen, “Subunternehmer-Website”).

(c) Anforderungen an die Beauftragung von Subunternehmern. Bei der Beauftragung eines Subunternehmers wird Nitro einen schriftlichen Vertrag mit diesem Subunternehmer abschließen, der Datenschutzpflichten enthält, die nicht weniger schützend sind als die in dieser DPA hinsichtlich der personenbezogenen Daten, soweit dies auf die Art der von diesem Subunternehmer erbrachten Dienstleistungen anwendbar ist. Nitro haftet für alle Verpflichtungen aus dem Vertrag, die an den Subunternehmer oder dessen Handlungen und Unterlassungen im Zusammenhang damit übertragen wurden.

(d) Gelegenheit, Einwände gegen Änderungen von Subunternehmern zu erheben. Wenn Nitro nach dem Inkrafttreten des Vertrags einen neuen Dritten Subunternehmer beauftragt, wird Nitro den Kunden über die Beauftragung informieren (einschließlich des Namens und des Standorts des betreffenden Subunternehmers und der von ihm durchzuführenden Tätigkeiten), indem Nitro die Subunternehmer-Website aktualisiert oder auf andere schriftliche Weise. Wenn der Kunde innerhalb von 15 Tagen nach Erhalt der Information über die Beauftragung aus angemessenen Gründen, die den Schutz personenbezogener Daten betreffen, schriftlich Einwände gegen eine solche Beauftragung erhebt, werden der Kunde und Nitro in gutem Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zur Behebung dieses Einwands zu finden. Falls die Parteien nicht innerhalb eines angemessenen Zeitrahmens zu einer für beide Seiten akzeptablen Lösung gelangen, kann der Kunde als einziges und ausschließliches Rechtsmittel den Vertrag kündigen und die Dienstleistungen stornieren, indem er Nitro schriftlich benachrichtigt und Nitro alle fälligen Beträge gemäß dem Vertrag ab dem Datum der Kündigung bezahlt.

(e) Ausreichende Zustimmung. Der Kunde erkennt hiermit an und stimmt zu, dass die vorstehenden Verfahren ausreichend sind, um die vorherige schriftliche Zustimmung des Kunden zur Unterverarbeitung gemäß Artikel 28 der DSGVO zu erhalten und in dem Umfang, der gemäß Klausel 5(h) der Standardvertragsklauseln erforderlich ist.

 

1. Für die Zwecke dieses Anhangs 2 haben die Begriffe „Unternehmen“, „kommerzieller Zweck“, „verkaufen“ und „Dienstanbieter“ die jeweiligen Bedeutungen, die ihnen im CCPA zugewiesen werden, und „personenbezogene Informationen“ bezeichnen personenbezogene Daten, die personenbezogene Informationen im Sinne des CCPA darstellen.
2. Es ist die Absicht der Parteien, dass Nitro in Bezug auf personenbezogene Informationen ein Dienstanbieter ist. Nitro darf (a) keine personenbezogenen Daten verkaufen; (b) keine personenbezogenen Daten für andere Zwecke als den spezifischen Zweck der Bereitstellung der Dienstleistungen aufbewahren, verwenden oder offenlegen, einschließlich der Aufbewahrung, Nutzung oder Offenlegung von personenbezogenen Daten für kommerzielle Zwecke, die über die Bereitstellung der Dienstleistungen hinausgehen; oder (c) personenbezogene Daten außerhalb der direkten Geschäftsbeziehung zwischen Nitro und dem Kunden aufbewahren, verwenden oder offenlegen. Nitro zertifiziert hiermit, dass es seine Verpflichtungen gemäß diesem Abschnitt 2 versteht und diese einhalten wird.
3. Die Parteien erkennen an, dass die Aufbewahrung, Verwendung und Offenlegung personenbezogener Daten, die durch die dokumentierten Anweisungen des Kunden im DPA autorisiert sind, für die Bereitstellung der Dienste von Nitro und die Geschäftsbeziehung zwischen den Parteien integraler Bestandteil sind.
   
   

 

Der Schutz von Informationen ist der Hauptzweck der Informationssicherheit, der durch die Implementierung eines geeigneten Satzes von Kontrollen erreicht wird, einschließlich organisatorischer Strukturen, Richtlinien und Verfahren, Prozesse und technischer IT-Kontrollen. Diese Kontrollen müssen so gestaltet, implementiert, überwacht, überprüft und verbessert werden, dass die Informationswerte von Nitro und seinen verbundenen Unternehmen, seinen Partnern oder Kunden zu jeder Zeit sicher sind. Über Technische organisatorische Maßnahmen.

Eine Kopie herunterladen →