Zusatz Zur Datenverarbeitung
Dieser Datenverarbeitungszusatz („DPA“) ergänzt die Rahmenvereinbarung für Abonnements (Master Subscription Agreement) oder eine andere Vereinbarung (die „Vereinbarung“) zwischen dem Kunden und Absolute und ist Bestandteil derselben für die Bereitstellung der Produkte und der Produkte und Services für den Kunden. Im Falle eines Konflikts zwischen den Bedingungen dieses DPAs und der Vereinbarung haben die Bestimmungen dieses DPAs Vorrang.
1. Begriffsbestimmungen. Großgeschriebene Begriffe, die in dieser DPA verwendet, aber nicht definiert werden, haben die Bedeutung, die diesen Begriffen in der Vereinbarung gegeben wird.
1.1. „Geschäft“, „Geschäftszweck“, „sammeln“, „gesammelt“, „Sammlung“, „Verbraucher“, „Deidentifizierte Informationen“, „Persönliche Informationen“, „Verkauf“, „Verkaufen“ und „Serviceanbieter“ haben die Bedeutung, die ihnen im CCPA gegeben wird, und „verkaufen“ wird entsprechend ausgelegt,
1.2. „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“, „Auftragsverarbeiter“ und „Aufsichtsbehörde“ haben die Bedeutung, die ihnen in der DSGVO gegeben wird, und „verarbeiten“, „verarbeiten“ und „verarbeitet“ werden entsprechend ausgelegt,
1.3. „Personenbezogene Kundendaten“ sind alle Kundendaten, die personenbezogene Informationen oder personenbezogene Daten darstellen, die von Absolute als Serviceanbieter oder Auftragsverarbeiter (je nach Fall) im Namen des Kunden gesammelt oder verarbeitet werden, um die Produkte und Services bereitzustellen, wie in Anhang I dieser DSGVO näher beschrieben,
1.4. „Datenschutzgesetz“ bedeutet das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher, Cal. Civ. Code § 1798.100 et seq. und seine Durchführungsverordnungen („CCPA“), die Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) und die e-Privacy-Richtlinie 2002/58/EG (in der Fassung der Richtlinie 2009/136/EG) und ihre nationalen Umsetzungen im Europäischen Wirtschaftsraum („EWR“), das Schweizerische Bundesdatenschutzgesetz, die UK General Data Protection Regulation und der UK Data Protection Act 2018, jeweils in der geltenden Fassung und in der jeweils geänderten oder ersetzten Fassung,
1.5. „Rechte der betroffenen Person“ bedeutet das Recht der Verbraucher oder der betroffenen Personen auf Information, Auskunft, Berichtigung, Tilgung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, Ausstieg aus dem Verkauf, das Recht, bei der Ausübung bestimmter Rechte nicht diskriminiert zu werden, und das Recht, nicht einer automatisierten individuellen Entscheidungsfindung unterworfen zu werden, in Übereinstimmung mit den Datenschutzgesetzen und jeweils in dem von ihnen vorgeschriebenem Umfang,
1.6. „Europa“ bedeutet den EWR und die Schweiz:
1.7. „Internationale Datenübermittlung“ bedeutet jede Übermittlung personenbezogener Kundendaten aus Europa oder Großbritannien in ein Land außerhalb Europas und Großbritanniens,
1.8. „Verletzung des Schutzes personenbezogener Daten“ bedeutet jede Verletzung der Sicherheit von Absolute, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Kundendaten führt, die von Absolute oder von Absolutes Unterauftragsverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet werden,
1.9. „Unterauftragsverarbeiter“ bezeichnet einen von Absolute mit der Verarbeitung personenbezogener Kundendaten beauftragten Auftragsverarbeiter, und
1.10. „Standardvereinbarungsklauseln“ bezeichnet die Klauseln im Anhang des Beschlusses 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvereinbarungsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (ABl. L 199 vom 7.6.2021, S. 31-61) in der jeweils geltenden Fassung und kann von Zeit zu Zeit geändert oder ersetzt werden.
2. Rolle der Parteien und Umfang der Verarbeitung
2.1. Umfang. Diese DPA und alle darin enthaltenen Bestimmungen und Verpflichtungen gelten in dem Maße, in dem Absolute personenbezogene Kundendaten als Dienstleister oder Verarbeiter (je nach Fall) verarbeitet.
2.2. Die Rolle der Parteien. Der Kunde ist ein Unternehmen oder ein für die Verarbeitung Verantwortlicher und ernennt Absolute als Serviceanbieter oder Auftragsverarbeiter im Namen des Kunden. Jede Partei wird die personenbezogenen Daten des Kunden im Rahmen oder in Verbindung mit den Produkten und Services in Übereinstimmung mit den geltenden Datenschutzgesetzen erfassen, aufbewahren, verwenden, offenlegen und verarbeiten.
2.3. Verantwortlichkeiten des Kunden. Der Kunde ist verantwortlich für die Einhaltung der geltenden Vorschriften zur Benachrichtigung der betroffenen Personen über den Einsatz von Absolute als Auftragsverarbeiter. Der Gegenstand, die Art und der Zweck der Verarbeitung, die Arten der personenbezogenen Kundendaten und die Kategorien der betroffenen Personen sind in Anhang I aufgeführt.
2.4. Zuständigkeiten von Absolute. Absolute verarbeitet die personenbezogenen Daten des Kunden zur Bereitstellung der Produkte und Services in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden, die als gegeben gelten, für die folgenden Zwecke: (i) der Verarbeitung in Übereinstimmung mit dieser DPA, der Vereinbarung und der geltenden Arbeitsanweisung, (ii) der Verarbeitung, die von autorisierten Nutzern bei der Nutzung der Produkte und Services veranlasst wird, und (iii) der Verarbeitung zur Erfüllung anderer dokumentierter angemessener Anweisungen des Kunden (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen dieser DPA, der Vereinbarung und der geltenden Arbeitsanweisung übereinstimmen. Sofern dies nicht durch geltendes Recht untersagt ist, wird Absolute den Kunden informieren, wenn es feststellt, dass die Anweisungen des Kunden gegen das Datenschutzrecht verstoßen oder seiner Meinung nach dagegen verstoßen. Wenn Absolute beispielsweise eine Vorladung oder einen Gerichtsbeschluss von einer Strafverfolgungsbehörde erhält, wird es den Kunden über das Ersuchen informieren, sofern dies nicht gesetzlich verboten ist.
2.5. Zusammenarbeit mit Kundenwünschen. Absolute wird unter Berücksichtigung der Art der Verarbeitung und der Absolute zur Verfügung stehenden Informationen den Kunden in angemessener Weise dabei unterstützen, (a) auf Anfragen zur Ausübung der Rechte der betroffenen Person zu reagieren, (b) Datenschutz-Folgenabschätzungen und vorherige Konsultationen mit Aufsichtsbehörden durchführen, und (c) eine betroffene Person über eine Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn dies gesetzlich vorgeschrieben ist. Der Kunde ist für alle angemessenen Kosten verantwortlich, die durch die Unterstützung von Absolute entstehen.
3. Sicherheit und Audits
3.1. Sicherheitsmaßnahmen. Absolute wird technische und organisatorische Maßnahmen ergreifen, die dem Risiko angemessen sind, um die personenbezogenen Daten des Kunden vor unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen, wie in den Sicherheitsstandards von Absolute, auf die in Anhang II verwiesen wird, dargelegt ist. Absolute kann die Absolute-Sicherheitsstandards von Zeit zu Zeit ändern, wird aber weiterhin mindestens das gleiche Maß an Sicherheit bieten, wie es in den Absolute-Sicherheitsstandards beschrieben ist. Absolute stellt sicher, dass alle Mitarbeiter, die befugt sind, die personenbezogenen Daten des Kunden zu verarbeiten, zur Vertraulichkeit verpflichtet sind.
3.2. Reaktion auf Verletzungen personenbezogener Daten. Absolute wird den Kunden unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informieren. Absolute unternimmt wirtschaftlich vertretbare Anstrengungen, um die Ursache der Verletzung des Schutzes personenbezogener Daten zu ermitteln und die von Absolute als notwendig und angemessen erachteten Schritte unternehmen, um die Ursache der Verletzung des Schutzes personenbezogener Daten zu beheben, soweit die Behebung in der angemessenen Kontrolle von Absolute liegt. Diese Bestimmung gilt nicht für Verstöße gegen personenbezogene Daten, die durch den Kunden oder seine Nutzer verursacht werden.
3.3. Prüfung. Wie vom Datenschutzgesetz vorgeschrieben, wird Absolute dem Kunden eine Zusammenfassung der Prüfberichte von Absolute zur Verfügung stellen, einschließlich aller Informationen, die vernünftigerweise notwendig sind, um die Einhaltung der Verpflichtungen dieser DPA durch Absolute nachzuweisen, vorausgesetzt, dass Absolute vertrauliche oder wirtschaftlich sensible Informationen in solchen Berichten unkenntlich machen kann.
4. Unterauftragsverarbeitung
4.1. Zugelassene Unterauftragsverarbeiter. Der Kunde erkennt an und erklärt sich damit einverstanden, dass Absolute Unterauftragsverarbeiter einsetzen kann. Eine Liste der derzeitigen Unterauftragsverarbeiter von Absolute finden Sie unter www.absolute.com/company/legal/absolute-sub-processors. Absolute schließt mit den Unterauftragsverarbeitern eine schriftliche Vereinbarung ab, die den Unterauftragsverarbeitern im Wesentlichen dieselben Verpflichtungen auferlegt wie Absolute im Rahmen dieser DPA.
4.2. Änderungen bei den Unterauftragsverarbeitern. Der Kunde erkennt an und erklärt sich damit einverstanden, dass Absolute den Kunden über jede beabsichtigte Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informiert, indem es die Liste der Unterauftragsverarbeiter gemäß Abschnitt 4.1 aktualisiert. Der Kunde kann der Hinzufügung oder dem Austausch eines Unterauftragsverarbeiters innerhalb von dreißig (30) Tagen nach der Aktualisierung der Liste der Unterauftragsverarbeiter durch Absolute widersprechen. Wenn der Einspruch des Kunden auf angemessenen Gründen beruht, die sich auf eine potenzielle oder tatsächliche Verletzung des Datenschutzgesetzes beziehen, werden der Kunde und Absolute in gutem Glauben zusammenarbeiten, um den Einspruch des Kunden zu bearbeiten.
5. Datenübertragungen
5.1. Internationale Datenübertragungen. Der Kunde stimmt zu, dass Absolute internationale Datenübertragungen durchführen darf: (a) in ein Land, das von der EU-Kommission bzw. der Regierung Großbritanniens als angemessen erachtet wird, einschließlich Kanada, (b) auf der Grundlage angemessener Garantien in Übereinstimmung mit dem Datenschutzrecht, oder (c) gemäß den Standardvereinbarungsklauseln, auf die in Abschnitt 5.2 oder Abschnitt verwiesen wird5.3. Wenn die Einhaltung der für internationale Datenübertragungen geltenden Datenschutzgesetze durch Umstände außerhalb des Einflussbereichs von Absolute beeinträchtigt wird, einschließlich wenn ein Rechtsinstrument für internationale Datenübertragungen für ungültig erklärt, geändert oder ersetzt wird, werden der Kunde und Absolute in gutem Glauben zusammenarbeiten, um eine solche Nichteinhaltung angemessen zu lösen.
5.2. Datenübertragungen aus Europa. Mit der Unterzeichnung dieser DPA erklären sich der Kunde und Absolute mit den Bedingungen von MODUL ZWEI der Standardvereinbarungsklauseln einverstanden, die hiermit durch Verweis in diese DPA aufgenommen werden. Die Vereinbarungsparteien vereinbaren hiermit, dass die Standardvereinbarungsklauseln, soweit sie Anwendung finden, wie folgt ergänzt werden: (a) die fakultative Klausel 7 wird beibehalten, (b) in Klausel 9 wird Option 1 gestrichen und Option 2 beibehalten, (c) in Klausel 11 wird die fakultative Formulierung gestrichen, (d) in Klausel 17 und 18 sind das anwendbare Recht und die zuständigen Gerichte die irischen Gerichte, und (e) Anhang I und II der Standardvereinbarungsklauseln sind Anhang I bzw. II dieser DPA. Wenn Absolute personenbezogene Daten des Kunden aus Europa in ein Land überträgt, das kein angemessenes, von der EU-Kommission für die Bereitstellung der Produkte an den Kunden festgelegtes Schutzniveau bietet, gelten die Standardvereinbarungsklauseln.
5.3. Datenübertragungen aus Großbritannien Mit der Unterzeichnung dieser DPA erklären sich der Kunde und Absolute mit den Bedingungen von MODUL ZWEI der Standardvereinbarungsklauseln und Teil 2 (Obligatorische Klauseln) des internationalen Datenübertragungszusatzes zu den Standardvereinbarungsklauseln einverstanden, abrufbar unter: https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf („UK Addendum“), der hiermit durch Bezugnahme aufgenommen wird. Wenn Absolute personenbezogene Kundendaten aus Großbritannien
6. Kalifornisches Verbraucherschutzgesetz
6.1. Erwägung. Absolute erkennt an, dass der Austausch personenbezogener Kundendaten zwischen dem Kunden und Absolute nicht Teil einer geldwerten oder wertvollen Gegenleistung ist, die zwischen dem Kunden und Absolute in Bezug auf die Vereinbarung oder diese DPA ausgetauscht wird.
6.2. Verwendung der personenbezogenen Daten des Kunden. Außer in den Fällen, in denen dies nach geltendem Recht zulässig ist, wird Absolute nicht: (a) die personenbezogenen Daten des Kunden für andere Zwecke als die Erbringung der Services und die Bereitstellung der Produkte, die in der Vereinbarung festgelegt sind, aufbewahren, verwenden oder offenlegen, und (b) die personenbezogenen Daten des Kunden verkaufen. Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung oder dieser DPA gelten die Bedingungen dieser DPA nicht für die Verarbeitung personenbezogener Kundendaten durch Absolute, die vom Datenschutzgesetz ausgenommen sind, einschließlich der Bestimmungen von Cal Civ. Code § 1798.145(a).
7. Beendigung und Rückgabe bzw. Löschung personenbezogener Kundendaten
7.1. Dieser DPA endet mit der Beendigung der Vereinbarung. Der Kunde kann die Rückgabe der personenbezogenen Daten des Kunden mithilfe der im Kundenkonto für die betreffenden Produkte zugänglichen Funktionen erwirken, oder, falls solche Funktionen nicht verfügbar sind, kann der Kunde die Rückgabe der personenbezogenen Daten des Kunden bis zu neunzig (90) Tage nach Beendigung der Vereinbarung verlangen. Sofern nicht durch geltendes Recht vorgeschrieben oder erlaubt, wird Absolute alle verbleibenden Kopien der personenbezogenen Daten des Kunden nach Beendigung der Vereinbarung löschen oder anonymisieren.
8. Haftungsbeschränkung
8.1. Die Haftung jeder Partei, die sich aus diesem DPA ergibt oder damit zusammenhängt, einschließlich der Standardvereinbarungsklauseln, falls zutreffend, unabhängig davon, ob es sich um eine Vereinbarung, eine unerlaubte Handlung oder eine andere Haftungstheorie handelt, unterliegt dem Abschnitt über die Haftungsbeschränkung der Vereinbarung.
9. Ungültigkeit und salvatorische Klausel
9.1. Sollte eine Bestimmung dieser DPA von einem zuständigen Gericht oder einer zuständigen Verwaltungsbehörde für ungültig oder nicht durchsetzbar befunden werden, so berührt die Ungültigkeit oder Nichtdurchsetzbarkeit einer solchen Bestimmung nicht die übrigen Bestimmungen dieser DPA, und alle Bestimmungen, die nicht von einer solchen Ungültigkeit oder Nichtdurchsetzbarkeit betroffen sind, bleiben in vollem Umfang in Kraft und wirksam.
ANHANG I
- LISTE DER PARTEIEN (MODUL ZWEI: Übertragung Verantwortlicher an Datenverarbeiter)
Datenexporteur(e): Kunde
Der Kunde kann sich als Verantwortlicher dafür entscheiden, in Verbindung mit dem Erhalt von Produkten und Services, die im entsprechenden Bestellformular angegeben sind, Daten an Absolute zu übertragen. Der Name des Kunden, seine Kontaktinformationen und seine Unterschrift sind auf dem jeweiligen Bestellformular oder im Kundenkonto für die Produkte und Services angegeben.
Datenimporteur(e): Absolute
Absolute verarbeitet als Auftragsverarbeiter die vom Kunden erhaltenen Daten im Zusammenhang mit der Bereitstellung von Produkten und Services, die im jeweiligen Bestellformular angegeben sind.
Adresse: Suite 1400, Four Bentall Centre, 1055 Dunsmuir Street, Vancouver, B.C. Canada, V7X 1K8
Kontakt: [email protected]
- BESCHREIBUNG DER ÜBERTRAGUNG (MODUL ZWEI: Übertragung Verantwortlicher an Datenverarbeiter)
Kategorien von betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den Produkten und Services übermittelt werden:
Nr. | Kategorie |
1 | Benutzer von Endgeräten beim Kunden |
2 | Das Verwaltungspersonal des Kunden, das für die Wartung des Kundenkontos über den gehosteten Service verantwortlich ist |
Kategorien personenbezogener Daten, die in Verbindung mit den Absolute Services übermittelt werden:
Nr. | Kategorie |
1 | Gegebenenfalls Endpunkt-Geräteinformationen, einschließlich Computermarke und -modell, Computerseriennummer, System-Bios-Version, Computername, Betriebssysteminformationen, Festplatten-Seriennummer, Festplattenmodell, Festplatten-Firmware-Revision, Akku-Geräte-ID, Computer-UUID, Gateway-Strings, RAM-Seriennummer, MAC-Adresse, NIC-Adaptername, IP-Adresse, Gerätestandort und Gerätenutzungsinformationen. |
Informationen zum Konto des gehosteten Services, einschließlich Name, Kontaktinformationen und Anmeldedaten. |
Kategorien von sensiblen Daten, die in Verbindung mit den Produkten und Services übermittelt werden:
Nr. | Kategorie |
1 | Keine. |
Häufigkeit und Art der Verarbeitung:
Die Daten werden kontinuierlich übertragen. Die übermittelten personenbezogenen Daten werden den folgenden Verarbeitungsvorgängen unterzogen:
- zur Bereitstellung der Produkte und Services, einschließlich der Speicherung von Daten für die Produkte und Services,
- zur Lösung technischer oder administrativer Probleme, zur Abrechnung und Rechnungsstellung sowie zur Erfüllung der eigenen rechtlichen Verpflichtungen, und
- um die Produkte und Services zu optimieren und zu verbessern sowie für andere geschäftliche Zwecke, wie in der DSGVO beschrieben.
Zweck(e) der Datenübermittlung und Weiterverarbeitung
Der Zweck der Datenübermittlung ist die Bereitstellung der Produkte und Services.
Aufbewahrungsfrist.
Je nach Service gelten unterschiedliche Aufbewahrungsfristen für die Daten. Bei der Festlegung der spezifischen Aufbewahrungsfrist berücksichtigt Absolute verschiedene Faktoren, wie z. B. die Art des für den Kunden erbrachten Service, die Art und Dauer unserer Beziehung zum Kunden sowie gesetzlich vorgeschriebene Aufbewahrungsfristen und Verjährungsfristen.
Übertragungen an (Unter-) Auftragsverarbeiter
Die vorstehenden Beschreibungen in diesem Abschnitt B gelten für Daten, die an Unterauftragsverarbeiter übermittelt werden.
- ZUSTÄNDIGE AUFSICHTSBEHÖRDE (MODUL ZWEI: Übertragung Verantwortlicher an Datenverarbeiter)
Die zuständige Aufsichtsbehörde, wie vom Kunden definiert.
ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT
Bereich
|
Verfahren |
Organisation der Informationssicherheit | · Absolute hat ein Team, das sich der Informationssicherheit widmet
· Das Informationssicherheitsprogramm wird von Absolutes Geschäftsführung (Executive Team) unterstützt · Absolute veröffentlicht eine vom Management genehmigte Informationssicherheitsrichtlinie |
Human Resources Security (Personalsicherheit) | · Führt vor der Einstellung eine Hintergrundprüfung des Personals durch
· Führt regelmäßig Schulungen zur Informationssicherheit durch |
Physische und ökologische Sicherheit | · Nur autorisierte Benutzer haben physischen Zugang zu den Datenverarbeitungszentren der Kunden
· Nutzung von Rechenzentren und Hosting-Anbietern mit physischen und ökologischen Kontrollen |
Kommunikation und Betriebsführung | · Verschlüsselung von Kundendaten bei der Übertragung und im Ruhezustand
· Implementierung von Netzwerkschutzmaßnahmen wie Firewalls, VPNs, IDS und wenn möglich IPS |
Zugangskontrolle | · Geringstmöglicher Zugang zu Netzen und Systemen
· MFA ist für den Fernzugriff erforderlich |
Verwaltung von Informationssicherheitsvorfällen | · Implementierung eines formalisierten Programms zur Reaktion auf Sicherheits- und Datenschutzvorfälle |
Sicherheitsmaßnahmen | · Jährliche Penetrationstests
· Laufendes Schwachstellenmanagement · Kontrollen zur Erkennung und Verhinderung von Malware · Generierung und Überwachung von Ereignisprotokollinformationen |
Management der Geschäftskontinuität | · Unterhält BCP- und DR-Pläne zur Unterstützung des laufenden Betriebs
· Mindestens jährliche Prüfung der Pläne |
Management von Drittanbietern | · Einführung eines Programms für Drittanbieter, um die Sicherheits- und Datenschutzkontrollen von Drittanbietern zu überprüfen, zu bewerten und zu überwachen. |
Systementwicklung | · Schulungen zur sicheren Programmierung für Entwickler
· Implementierung von Sicherheitstests als Bestandteil des SDLC · Getrennte Entwicklungs-, Test- und Produktionsumgebungen |