1. 28. Zuletzt aktualisiert: Januar 2025

Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der unter https://servicechannel.com/terms-and-conditions gehosteten Allgemeinen Geschäftsbedingungen („Vereinbarung“) zwischen ServiceChannel.com, Inc. (nachfolgend „ServiceChannel“) und dem Auftragnehmer (wie in der Vereinbarung definiert) und unterliegt diesen.  Der Kunde und ServiceChannel werden jeweils als „Partei“ und gemeinsam als die „Parteien“ bezeichnet.

PRÄAMBEL

(i) Der Auftragnehmer und ServiceChannel haben die Rahmendienstleistungsvereinbarung abgeschlossen, gemäß der ServiceChannel dem Auftragnehmer die Dienste bereitstellt.

(ii) ServiceChannel verarbeitet im Rahmen der Bereitstellung der Dienste Inhalte des Auftragnehmers (die personenbezogene Daten enthalten können);

(iii) Die Parteien möchten nun diese DPA abschließen, die die Verarbeitung der in den Inhalten des Auftragnehmers enthaltenen personenbezogenen Daten durch ServiceChannel regelt.

DAHER vereinbaren die Parteien Folgendes:

1. Definitionen: 

In dieser Verarbeitungsvereinbarung haben die in der Vereinbarung definierten Begriffe die gleiche Bedeutung wie in der MSA. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:

(a) „Verwaltungsdaten“ bedeutet (i) Kontaktdaten betreffend den Hauptkontoinhaber oder Administrator des Kunden und den Inhalt der mit ihm geführten Korrespondenz; (ii) Supportanfragen, die von den autorisierten Benutzern des Kunden in Bezug auf den Dienst eingereicht werden;

(b) „Verbundene Unternehmen“ bedeutet ein Unternehmen, das von ServiceChannel kontrolliert wird, das ServiceChannel kontrolliert oder mit ServiceChannel unter gemeinsamer Kontrolle steht;

(c) „Anonymisierte Daten“ bedeutet Daten, die unter Verwendung personenbezogener Daten des Auftragnehmers erstellt werden und (i) nicht verwendet werden können, um Informationen über eine Person abzuleiten oder anderweitig mit einer Person in Verbindung zu bringen; (ii) sich nicht anderweitig auf eine identifizierte oder identifizierbare natürliche Person beziehen;

(d) „CCPA“ bezeichnet den California Consumer Privacy Act von 2018, Cal Civ. Code § 1798.100 et seq., einschließlich seiner Durchführungsvorschriften und des California Privacy Rights Act von 2020;

(e) „Zweck des für die Verarbeitung Verantwortlichen“ bedeutet die Durchführung interner Forschungs- und Entwicklungsarbeiten, um die Funktionalität der Produkte und Dienste von ServiceChannel zu entwickeln, zu testen, zu verbessern und zu verändern; (b) die Erstellung anonymisierter Daten für Schulungen oder die Bewertung der Produkte und Dienste von ServiceChannel; (c) die Verwaltung der Beziehung von ServiceChannel mit dem Auftragnehmer im Rahmen der Vereinbarung;

(f) „Auftragnehmer“ bedeutet der Auftragnehmer, der die Rahmendienstleistungsvereinbarung unterzeichnet hat;

(g) „personenbezogene Daten des Auftragnehmers“ bedeutet personenbezogene Daten, die in den Inhalten des Auftragnehmers enthalten sind, wie in Anlage I dieser DPA näher beschrieben;

(h) „Datenschutzgesetze“ bedeutet alle geltenden Gesetze, Regeln, Vorschriften und behördlichen Vorgaben in Bezug auf den Datenschutz, die Vertraulichkeit oder die Sicherheit personenbezogener Daten (in der jeweils gültigen Fassung), einschließlich (ohne Einschränkung) der DSGVO, des UK GDPR (DSGVO des Vereinigten Königreichs) und der US-Datenschutzgesetze;

(i) „betroffene Person“ bedeutet: (i) eine natürliche Person, auf die sich personenbezogene Daten beziehen; und (ii) eine Person, die eine „betroffene Person“, ein „Verbraucher“ oder eine gleichwertige Bezeichnung gemäß den Datenschutzgesetzen ist;

(j) „DSGVO“ bedeutet die Verordnung (EU) 2016/679 (die „EU-DSGVO“) oder gegebenenfalls die „UK GDPR“ im Sinne von Abschnitt 3(10) des Datenschutzgesetzes des Vereinigten Königreichs von 2018;

(k) „personenbezogene Daten“ bedeutet Informationen, die: (i) sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, mit ihr verknüpft sind oder angemessen mit ihr verknüpft werden können; oder (ii) anderweitig „personenbezogene Daten“, „persönliche Informationen“, „persönlich identifizierbare Informationen“ oder ähnlich definierte Daten oder Informationen gemäß den Datenschutzgesetzen sind;

(l) „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisch geschieht oder nicht, wie z. B. Erhebung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Sperrung, Löschung oder Vernichtung („verarbeiten“, „Verarbeitung“ und „verarbeitet“ sind entsprechend auszulegen);

(m) „Verkauf“ oder „verkaufen“ hat die Bedeutung, die diesen Begriffen im CCPA zugewiesen wird;

(n) „Weitergeben“ hat die Bedeutung, die dem Begriff im CCPA zugewiesen wird;

(o) „Sicherheitsverletzung“ bedeutet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die personenbezogenen Daten des Auftragnehmers führt;

(p) „Standardvertragsklauseln“ bedeutet die Vertragsklauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügt sind, in der jeweils geltenden Fassung;

(q) „Unterauftragsverarbeiter“ bedeutet ein anderes Unternehmen, das von ServiceChannel mit der Verarbeitung personenbezogener Daten im Namen des Auftragnehmers oder mit der Bereitstellung der in der Vereinbarung angegebenen Dienste beauftragt wird;

(r) „UK Addendum“ bedeutet der vom Informationsbeauftragten des Vereinigten Königreichs gemäß S119A (1) des Datenschutzgesetzes des Vereinigten Königreichs von 2018 herausgegebene und dem Parlament des Vereinigten Königreichs am 2. Februar 2022 vorgelegte Musterzusatz, Version B.1.0, der gemäß Abschnitt 18 des UK Addendum überarbeitet werden kann;

(s) „US-Datenschutzgesetze“ bedeutet alle geltenden bundesweiten und bundesstaatlichen Gesetze, Regeln, Vorschriften und staatlichen Anforderungen in Bezug auf den Datenschutz, die Verarbeitung personenbezogener Daten, den Schutz der Privatsphäre und/oder den Datenschutz, die von Zeit zu Zeit in den Vereinigten Staaten in Kraft sind, wie u. a. das CCPA, der Virginia Consumer Data Protection Act, der Code of Virginia Titel 59.1 Kapitel 52 § 59.1-571 ff., der Colorado Privacy Act, der Colorado Revised Statute Titel 6 Artikel 1 Teil 13 § 6-1-1301 ff., der Utah Consumer Privacy Act, der Utah Code § 13-6-101 ff., der Connecticut Senate Bill 6, ein Gesetz zum Schutz personenbezogener Daten und zur Online-Überwachung (in der jeweils geltenden Fassung);

(t) „Nutzungsdaten“ bedeutet Diagnose-, Nutzungs- und Leistungsinformationen, die von ServiceChannel in Bezug auf die Nutzung der Dienste durch den Auftragnehmer und seine autorisierten Benutzer erfasst werden; und

(u) die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „Unternehmen“ und „Dienstleister“ haben die ihnen in den Datenschutzgesetzen zugewiesene Bedeutung.

2. Beziehung der Parteien; Einhaltung des Rechts

2.1 Der Auftragnehmer:

(a) beauftragt ServiceChannel mit der Verarbeitung personenbezogener Daten des Auftragnehmers als seinen Auftragsverarbeiter oder Dienstleister;

(b) erkennt an und stimmt zu, dass ServiceChannel:

(i) Verwaltungs- und Nutzungsdaten für die Zwecke des für die Verarbeitung Verantwortlichen verwenden kann und dass es dies für die Zwecke der DSGVO als Verantwortlicher tut.

(ii) personenbezogene Daten des Auftragnehmers verwenden kann, um anonymisierte Daten zu erstellen, und dies für die Zwecke der DSGVO als Verantwortlicher tut.

2.2 Jede Partei muss die für sie geltenden Verpflichtungen erfüllen und das Maß an Datenschutz bieten, das die Datenschutzgesetze verlangen.

2.3 Der Auftragnehmer stellt sicher, dass seine Anweisungen zur Verarbeitung personenbezogener Daten des Auftragnehmers den Datenschutzgesetzen entsprechen. Der Auftragnehmer trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten des Auftragnehmers und für die Mittel, mit denen der Auftragnehmer die personenbezogenen Daten des Auftragnehmers einholt.

2.4 ServiceChannel benachrichtigt den Auftragnehmer unverzüglich, wenn ServiceChannel feststellt, dass es seinen Verpflichtungen gemäß den Datenschutzgesetzen nicht mehr nachkommen kann.

2.5 Der Auftragnehmer kann vernünftige und angemessene Schritte unternehmen, um:

(a) sicherzustellen, dass ServiceChannel personenbezogene Daten des Auftragnehmers in einer Weise verwendet, die den Verpflichtungen des Auftragnehmers gemäß den Datenschutzgesetzen entspricht; und

(b) nach angemessener Vorankündigung die unbefugte Verwendung personenbezogener Daten des Auftragnehmers zu stoppen und zu beheben.

3. Verarbeitung personenbezogener Daten des Auftragnehmers

3.1 ServiceChannel verarbeitet personenbezogene Daten des Auftragnehmers nur im Auftrag und in Übereinstimmung mit der Vereinbarung, dieser DPA und (außer einer Verarbeitung für die Zwecke des für die Verantwortung Verantwortlichen) den dokumentierten Anweisungen des Auftragnehmers. Der Auftragnehmer weist ServiceChannel an, personenbezogene Daten des Auftragnehmers für die folgenden Zwecke zu verarbeiten: (i) Verarbeitung in Übereinstimmung mit der Vereinbarung und allen anwendbaren Aufträgen; und (ii) Verarbeitung zur Einhaltung sonstiger angemessener Anweisungen des Auftragnehmers, soweit diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen. ServiceChannel wird den Auftragnehmer unverzüglich informieren, wenn er diese Anweisungen nicht befolgen kann oder wenn nach seiner Meinung eine Anweisung des Auftragnehmers gegen Datenschutzgesetze verstößt.

3.2 ServiceChannel wird Folgendes unterlassen:

(a) personenbezogene Daten des Auftragnehmers verkaufen oder weitergeben;

(b) personenbezogene Daten des Auftragnehmers für andere Zwecke als für den spezifischen Geschäftszweck der Erbringung der in der Vereinbarung angegebenen Dienste oder wie anderweitig durch Datenschutzgesetze gestattet aufbewahren, verwenden oder offenlegen;

(c) personenbezogene Daten des Auftragnehmers außerhalb der direkten Geschäftsbeziehung zwischen den Parteien aufbewahren, verwenden oder offenlegen; und

(d) personenbezogene Daten des Auftragnehmers mit personenbezogenen Daten kombinieren, die er von oder im Namen einer anderen Person oder von Personen erhält oder aus seiner eigenen Interaktion mit der betroffenen Person erhebt, es sei denn, dies ist ausdrücklich durch Datenschutzgesetze gestattet und wird in Übereinstimmung mit diesen durchgeführt.

3.3 Der Auftragnehmer gewährleistet und erklärt, dass die personenbezogenen Daten des Auftragnehmers keine der folgenden Angaben enthalten:

(a) personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, strafrechtliche Verurteilungen und andere besondere Kategorien personenbezogener Daten gemäß Artikel 9 oder 10 der DSGVO hervorgehen, oder personenbezogene Daten, die gemäß den geltenden Datenschutzgesetzen anderweitig als sensible personenbezogene Daten gelten;

(b) biometrische Kennungen oder Vorlagen;

(c) Finanzinformationen (insbesondere Rechnungsinformationen und Karteninhaber- oder sensible Authentifizierungsdaten, wie diese Begriffe im Datensicherheitsstandard der Zahlungskartenbranche definiert sind);

(d) persönlich identifizierbare Finanzinformationen, wie durch den Gramm-Leach-Bliley Financial Modernization Act von 1999 definiert und diesem unterliegend;

(e) nationale Identifikationsnummern (einschließlich u. a. Sozialversicherungs-, Führerschein- oder Reisepass- oder andere amtlich ausgestellte Identifikationsnummern);

(f) Informationen, die sich auf Personen unter 13 Jahren beziehen;

(g) Bildungsunterlagen, wie im Family Educational Rights and Privacy Act von 1974 definiert;

(h) geschützte Gesundheitsdaten im Sinne und unter Anwendung des Health Insurance Portability and Accountability Act.

4. Vertraulichkeit der Verarbeitung / ServiceChannel-Personal

4.1 ServiceChannel stellt sicher, dass jede Person, die es zur Verarbeitung der personenbezogenen Daten des Auftragnehmers autorisiert, (eine „autorisierte Person“) die personenbezogenen Daten des Auftragnehmers gemäß den Vertraulichkeitsverpflichtungen von ServiceChannel im Rahmen dieser Vereinbarung schützt.

4.2 ServiceChannel stellt sicher, dass sein Personal, das an der Verarbeitung personenbezogener Daten des Auftragnehmers mitwirkt, über den vertraulichen Charakter der personenbezogenen Daten des Auftragnehmers informiert wird und Vertraulichkeitspflichten unterliegt.

4.3 ServiceChannel stellt sicher, dass der Zugriff auf personenbezogene Daten des Auftragnehmers auf das Personal beschränkt ist, das diesen Zugriff benötigt, um die Dienste bereitzustellen.

5. Sicherheit/Handhabung von und Benachrichtigung über Verletzungen

5.1 ServiceChannel trifft wie in Anlage II dargelegt angemessene technische und organisatorische Maßnahmen zum Schutz der Sicherheit, Vertraulichkeit und Integrität personenbezogener Daten des Auftragnehmers.

5.2 Wenn ServiceChannel von einer Sicherheitsverletzung Kenntnis erlangt, wird ServiceChannel unverzüglich: (i) den Auftragnehmer innerhalb der in den geltenden Datenschutzgesetzen vorgesehenen Fristen über die Sicherheitsverletzung informieren; (ii) die Sicherheitsverletzung untersuchen und dem Auftragnehmer Informationen darüber zur Verfügung stellen; und (iii) angemessene Schritte ergreifen, um die Auswirkungen und Schäden zu verringern, die sich aus der Sicherheitsverletzung ergeben.

5.3 ServiceChannel unterstützt den Auftragnehmer auf dessen Wunsch in angemessener Weise bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf eine Sicherheitsverletzung, die dem Auftragnehmer von ServiceChannel gemeldet wurde.

5.4 ServiceChannel ist nicht verpflichtet, den Auftragnehmer über fehlgeschlagene Versuche zu benachrichtigen, mit denen bezweckt wurde, sich unbefugten Zugriff auf personenbezogene Daten des Auftragnehmers oder zu den Geräten oder Einrichtungen von ServiceChannel zu verschaffen, in denen personenbezogene Daten des Auftragnehmers gespeichert sind, einschließlich u. a. Pings und anderer Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolgloser Anmeldeversuche, Denial-of-Service-Angriffe oder ähnlicher Vorfälle.

5.5 Benachrichtigungen über Sicherheitsverletzungen werden ggf. einem oder mehreren geschäftlichen, technischen oder administrativen Kontakten des Auftragnehmers auf eine beliebige, von ServiceChannel festgelegte Weise zugestellt, einschließlich per E-Mail. Es liegt in der alleinigen Verantwortung des Auftragnehmers, dafür zu sorgen, dass in den Supportsystemen von ServiceChannel jederzeit korrekte Kontaktdaten bereitstehen.

5.6 Die Benachrichtigung von ServiceChannel über eine Sicherheitsverletzung oder die Reaktion auf eine Sicherheitsverletzung gemäß diesem Abschnitt 5 ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von ServiceChannel in Bezug auf die Sicherheitsverletzung auszulegen.

6. Unterverarbeitung

6.1 Der Auftragnehmer erkennt an und erklärt sich damit einverstanden, dass (i) ServiceChannel verbundene Unternehmen als seine Unterauftragsverarbeiter ernennen kann und (ii) ServiceChannel im Zusammenhang mit der Erbringung der Dienste Unterauftragsverarbeiter von Dritten einsetzen kann. Solche Unterauftragsverarbeiter dürfen personenbezogene Daten des Auftragnehmers ausschließlich zur Bereitstellung der Dienste in Empfang nehmen, zu deren Bereitstellung ServiceChannel sie beauftragt hat, und diese nicht für andere Zwecke nutzen. ServiceChannel schließt eine schriftliche Vereinbarung ab, die diesem Unterauftragsverarbeiter Datenschutzverpflichtungen auferlegt, die im Wesentlichen denen entsprechen, die ServiceChannel durch diese Vereinbarung auferlegt werden. ServiceChannel bleibt dem Auftragnehmer gegenüber für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit ServiceChannel in vollem Umfang verantwortlich.

6.2 ServiceChannel kann die Unterauftragsverarbeiter, die zum Zeitpunkt dieser Vereinbarung bereits von ServiceChannel oder einem verbundenen Unternehmen von ServiceChannel beauftragt wurden und unter https://bit.ly/SC_Subprocessorsaufgeführt sind, weiterhin nutzen.

6.3 ServiceChannel informiert den Auftragnehmer im Voraus schriftlich über die Benennung eines neuen Unterauftragsverarbeiters, einschließlich unter Angabe von Einzelheiten der vom Unterauftragsverarbeiter durchzuführenden Verarbeitung. Wenn der Auftragnehmer ServiceChannel innerhalb von 10 Tagen nach Erhalt dieser Mitteilung schriftlich über (angemessene) Einwände gegen die geplante Benennung informiert, darf ServiceChannel diesen geplanten Unterauftragsverarbeiter erst benennen, wenn angemessene Schritte ergriffen wurden, um die vom Auftragnehmer vorgebrachten Bedenken zu klären, und dem Auftragnehmer eine angemessene schriftliche Erklärung zu den ergriffenen Schritten übermittelt wurde. Der Kunde erkennt an, dass in einigen Fällen möglicherweise nicht alle Dienstleistungen ohne den Einsatz des neuen Unterauftragsverarbeiters erbracht werden können.

7. Eingeschränkte Übermittlung

7.1 Die Parteien vereinbaren, dass die Übermittlung personenbezogener Kundendaten vom Kunden an ServiceChannel, wenn sie als eingeschränkte Übermittlung gilt, den entsprechenden Standardvertragsklauseln wie folgt unterliegt:

(a) in Bezug auf personenbezogene Kundendaten, die durch die EU-DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln wie folgt:

(i) es gilt Modul zwei;

(ii) in der Klausel 7 gilt die optionale Kopplungsklausel;

(iii) in der Klausel 9 gilt Option 2; die Frist für die vorherige Benachrichtigung über Änderungen des Unterauftragsverarbeiters ist in Klausel 6.3 dieser Vereinbarung festgelegt;

(iv) in der Klausel 11 gilt die optionale Formulierung nicht;

(v) in der Klausel 17 gilt die Option 1; die EU-Standardvertragsklauseln unterliegen irischem Recht;

(vi) Streitigkeiten werden gemäß Klausel 18(b) von den Gerichten Irlands beigelegt;

(vii) die Anlage I der EU-Standardvertragsklauseln gilt als mit den in Anlage I dieser Vereinbarung enthaltenen Informationen ausgefüllt;

(viii) die Anlage II der EU-Standardvertragsklauseln gilt als mit den in Anlage II dieser Vereinbarung enthaltenen Informationen ausgefüllt; und

(b) in Bezug auf personenbezogene Kundendaten, die durch die UK GDPR geschützt sind, gilt der Nachtrag zum Vereinigten Königreich wie folgt als ausgefüllt:

(i) Die EU-Standardvertragsklauseln, die wie oben in Klausel 7.1(a) dieser Vereinbarung dargelegt ausgefüllt werden, gelten vorbehaltlich Unterklausel (ii) unten auch für die Übermittlung solcher personenbezogenen Kundendaten;

(ii) für die Tabellen 1 bis 3 des Nachtrags zum Vereinigten Königreich gilt, wie oben dargelegt, dass sie mit den relevanten Informationen aus den EU-Standardvertragsklauseln ausgefüllt werden; die Option „keine der Parteien“ (neither party) in Tabelle 4 gilt als angekreuzt. Das Startdatum des Nachtrags zum Vereinigten Königreich (wie in Tabelle 1 dargelegt) ist das Datum dieser Vereinbarung; und

(d) für den Fall, dass eine Bestimmung dieser Vereinbarung den Standardvertragsklauseln direkt oder indirekt widerspricht, haben die Standardvertragsklauseln Vorrang.

7.2 Für den Fall, dass der aktuelle Nachtrag zum Vereinigten Königreich oder die EU-Standardvertragsklauseln aufgehoben oder durch neue Standardvertragsklauseln ersetzt werden, vereinbaren die Parteien, dass diese neuen Standardvertragsklauseln automatisch auch für die Übermittlung personenbezogener Kundendaten vom Kunden an ServiceChannel gelten und wie in Klausel 7.1 oben beschrieben als entsprechend ausgefüllt gelten.

8. Zusammenarbeit und Rechte betroffener Personen

8.1 ServiceChannel wird den Auftragnehmer, soweit gesetzlich zulässig, unverzüglich benachrichtigen, wenn es von einer betroffenen Person eine Anfrage zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen erhält. ServiceChannel darf ohne die vorherige schriftliche Genehmigung des Auftragnehmers nicht auf eine solche Anfrage einer betroffenen Person reagieren, außer um zu bestätigen, dass sich die Anfrage auf den Auftragnehmer bezieht.

8.2 Soweit der Auftragnehmer im Rahmen der Nutzung oder des Erhalts der Dienste nicht in der Lage ist, personenbezogene Daten des Auftragnehmers zu berichtigen, zu ändern, einzuschränken, zu sperren oder zu löschen, wie es die Datenschutzgesetze verlangen, unternimmt ServiceChannel, soweit es gesetzlich dazu berechtigt ist, wirtschaftlich angemessene Anstrengungen, um angemessenen Anfragen des Auftragnehmers bzgl. der Ergreifung solcher Maßnahmen nachzukommen.

8.3 ServiceChannel unterstützt den Auftragnehmer (auf Kosten des Auftragnehmers) in Verbindung mit Datenschutz-Folgenabschätzungen, die gemäß den Datenschutzgesetzen möglicherweise erforderlich sind, in angemessener Weise.

9. Anonymisierte Daten

9.1 In Bezug auf anonymisierte Daten, die von ServiceChannel erstellt werden, wird ServiceChannel:

(a) angemessene Maßnahmen ergreifen, um sicherzustellen, dass die Informationen nicht mit einer betroffenen Person in Verbindung gebracht werden können;

(b) sich öffentlich verpflichten, die anonymisierten Daten ausschließlich in anonymisierter Form zu verarbeiten und nicht zu versuchen, die Informationen erneut zu identifizieren; und

(c) Empfänger der anonymisierten Daten vertraglich zur Einhaltung der vorstehenden Anforderungen gemäß den Datenschutzgesetzen verpflichten.

10. Kündigung; Löschung oder Rückgabe von Daten

10.1 Diese Vereinbarung endet automatisch mit der Löschung oder Anonymisierung aller personenbezogenen Daten des Auftragnehmers durch ServiceChannel.

10.2 Bei Kündigung oder Ablauf der Vereinbarung wird ServiceChannel

(a) auf Aufforderung des Auftragnehmers innerhalb von dreißig (30) Tagen ab Ablauf der Vereinbarung (der „Aufbewahrungsfrist“) eine Kopie aller personenbezogenen Daten des Auftragnehmers in einem vom Auftragnehmer geforderten gängigen Format zur Verfügung stellen oder eine Self-Service-Funktion bereitstellen, die es dem Auftragnehmer ermöglicht, die personenbezogenen Daten des Auftragnehmers herunterzuladen;

(b) nach Ablauf der Aufbewahrungsfrist alle Kopien der personenbezogenen Daten des Auftragnehmers, die von ServiceChannel oder einem seiner Unterauftragsverarbeiter verarbeitet werden, löschen, ausgenommen hiervon sind:

(i) Verwaltungs- oder Nutzungsdaten, die für die Zwecke des Verantwortlichen verarbeitet werden, oder personenbezogene Daten des Auftragnehmers, die ServiceChannel nach geltendem Recht aufbewahren muss; oder

(ii) personenbezogene Daten des Auftragnehmers, die in Backup-Systemen archiviert sind und die ServiceChannel sicher isoliert und vor jeder weiteren Verarbeitung schützt, außer soweit es nach diesem Gesetz erforderlich ist, bis eine Löschung möglich ist.

11. Audit

11.1 Der Auftragnehmer kann die Einhaltung dieser DPA durch ServiceChannel überprüfen. Die Parteien vereinbaren, dass alle Audits wie folgt durchgeführt werden:

(a) nicht häufiger als einmal jährlich, es sei denn, es sind häufigere Audits erforderlich, um die Datenschutzgesetze einzuhalten, oder sie werden von einer Aufsichtsbehörde verlangt, die für die Verarbeitung personenbezogener Daten des Auftragnehmers zuständig ist;

(b) nach angemessener Vorankündigung an ServiceChannel;

(c) nur während der normalen Geschäftszeiten von ServiceChannel und

(d) in einer Weise, die das Geschäft oder den Betrieb von ServiceChannel nicht wesentlich stört.

11.2 In Bezug auf Audits, die gemäß Abschnitt 10.1 durchgeführt werden, gilt Folgendes:

(a) Der Auftragnehmer kann einen externen Prüfer mit der Durchführung des Audits in seinem Namen beauftragen, mit der Maßgabe, dass ServiceChannel der Beauftragung des externen Prüfers vernünftigerweise widersprechen kann, wenn dieser externe Prüfer ein Wettbewerber von ServiceChannel ist;

(b) ServiceChannel ist nicht verpflichtet, ein Audit zu erleichtern oder zu unterstützen, es sei denn, die Parteien haben schriftlich den Umfang und den Zeitpunkt des Audits und die Erstattungssätze gemäß Abschnitt 10.3 vereinbart.

11.3 Der Auftragnehmer entschädigt ServiceChannel für die für den Audit aufgewendete Zeit zu den von den Parteien vereinbarten Sätzen. Vor Beginn eines solchen Audits vereinbaren der Auftragnehmer und ServiceChannel gemeinsam den Umfang, den Zeitpunkt und die Dauer des Audits, ebenso wie den Entschädigungssatz, der vom Auftragnehmer zu zahlen ist. Der Entschädigungssatz muss unter Berücksichtigung der von ServiceChannel aufgewendeten Ressourcen angemessen sein. Der Auftragnehmer muss ServiceChannel unverzüglich über alle im Rahmen eines Audits entdeckten Verstöße informieren.

11.4 Der Auftragnehmer erkennt an, dass ServiceChannel regelmäßig von unabhängigen externen Auditoren auf Befolgung des SSAE 18 SOC 1 Standards geprüft wird.  ServiceChannel stellt dem Auftragnehmer auf Anfrage eine zusammenfassende Kopie seines/seiner Audit-Berichts/e zur Verfügung oder kann dem Auftragnehmer als Antwort auf eine Audit-Anfrage eine zusammenfassende Kopie seines/seiner Audit-Berichts/e zur Verfügung stellen, der den Vertraulichkeitsbestimmungen der Vereinbarung unterliegt. Wenn ein vom Auftragnehmer angefordertes Audit in dem von ServiceChannel zur Verfügung gestellten Auditbericht behandelt wird, erklärt sich der Auftragnehmer damit einverstanden, diesen Bericht anstelle der Durchführung einer physischen Prüfung der in dem betreffenden Bericht behandelten Kontrollen zu akzeptieren.

12. Haftungsbeschränkung

Diese DPA unterliegt den Haftungsbeschränkungen und Haftungsausschlüssen gemäß der Vereinbarung.

13. Parteien dieser Vereinbarung

Abgesehen von den in den Standardvertragsklauseln festgelegten Bestimmungen gewährt diese DPA keiner anderen Person oder Einrichtung als den Parteien dieser DPA irgendwelche Vorteile oder Rechte.

14. Rechtliche Wirkung

Diese DPA ergänzt und ist Teil der Vereinbarung.

15. Allgemeines

15.1 Diese DPA unterliegt in jeder Hinsicht dem geltenden Recht und den Gerichtsstandsbestimmungen in der Vereinbarung und wird in jeder Hinsicht entsprechend ausgelegt, mit der Maßgabe, dass im Falle eines Widerspruchs zwischen der Vereinbarung und dieser DPA in Bezug auf die Verarbeitung personenbezogener Daten diese DPA Vorrang hat.

15.2 Diese Vereinbarung kann in einer beliebigen Anzahl von Ausfertigungen unterzeichnet werden, von denen jede als Original gilt und die alle zusammen die gleiche Vereinbarung zwischen den Parteien darstellen.

15.3 Außer wie in dieser DPA dargelegt, bleibt die Vereinbarung in vollem Umfang in Kraft und wirksam.

ANLAGE I

A. LISTE DER PARTEIEN

	Name	Adresse	Name, Position und Kontaktdaten der Kontaktperson	Aktivitäten, die für die übermittelten Daten relevant sind	Rolle
Datenexporteur	Auftragnehmer (wie bei der Registrierung für die Dienstleistungen vorgesehen)	Wie bei der Registrierung für die Dienste vorgesehen	Wie bei der Registrierung für die Dienste vorgesehen	Erhalt der Dienste	Verantwortlicher
Datenimporteur	ServiceChannel.com, Inc.	30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615	Brian Chase, General Counsel (Chefsyndikus), [email protected]	Erbringung der Dienste	Auftragsverarbeiter

B. BESCHREIBUNG DER ÜBERMITTLUNG

Betroffene Personen	Kategorien personenbezogener Daten	Sensible personenbezogene Daten	Häufigkeit der Übermittlung	Art und Zweck der Verarbeitung	Aufbewahrungsfrist
Endbenutzer des Auftragnehmers	Name, E-Mail-Adresse, Rolle beim Auftragnehmer, Anmeldedaten.	Keine	Kontinuierlich	Gewährung des Zugriffs auf die Dienste für Endbenutzer.	Solange der Auftragnehmer den Endbenutzer zum Zugriff auf die Dienstleistungen ermächtigt.
Endbenutzer des Auftragnehmers	Name, Telefonnummer, zu erbringende Gebäudemanagement-Dienste.	Keine	Kontinuierlich	Erleichterung des Kontakts zwischen Endnutzern und Kunden zur Erfüllung von Kaufverträgen.	Solange der Auftragnehmer den Endbenutzer zum Zugriff auf die Dienstleistungen ermächtigt.
Endbenutzer des Auftragnehmers	Name, genauer geografischer Standort, Eincheckzeit, Auscheckzeit.	Keine	Kontinuierlich	Bereitstellung von Informationen für den Kunden bezüglich der Bereitstellung von Gebäudemanagement-Diensten im Rahmen eines Kaufvertrags.	Für die Laufzeit der Vereinbarung.
Endbenutzer des Auftragnehmers	Name, vom Endbenutzer erbrachten Gebäudemanagement-Dienste, Datum und Ort der erbrachten Dienste.	Keine	Kontinuierlich	Erleichterung der Berechnung der im Rahmen des Kaufvertrags fälligen Beträge.	Für die Laufzeit der Vereinbarung.
Endbenutzer des Auftragnehmers Autorisierte Benutzer von Kunden, die Gebäudemanagement-Dienste anfordern	Name, vom Endbenutzer erbrachten Gebäudemanagement-Dienste, Datum und Ort der erbrachten Dienste.	Keine	Kontinuierlich	Einreichung von Rechnungen unter Kaufverträgen an den Kunden.	Für die Laufzeit der Vereinbarung.
Endbenutzer des Auftragnehmers Autorisierte Benutzer von Kunden, die Gebäudemanagement-Dienste anfordern	Name, vom Endbenutzer erbrachten Gebäudemanagement-Dienste, Datum und Ort der erbrachten Dienste.	Keine	Kontinuierlich	Führen von Transaktionsaufzeichnungen über vom Auftragnehmer im Rahmen von Kaufverträgen erbrachte Dienste.	Für die Laufzeit der Vereinbarung.
Endbenutzer des Auftragnehmers	Name, vom Endbenutzer erbrachten Gebäudemanagement-Dienste, Datum und Ort der erbrachten Dienste, präziser geographischer Standort.	Keine	Kontinuierlich	Erleichterung der Verwaltung der Endbenutzer des Auftragnehmers, einschließlich Planung und Personalbesetzung.	Für die Laufzeit der Vereinbarung.
Wichtige Ansprechpartner beim Auftragnehmer	Name, E-Mail-Adresse, Telefonnummer.	Keine	Kontinuierlich	Förderung der Dienste des Auftragnehmers über den Katalog.	Solange die Person ein Hauptansprechpartner bleibt, in jedem Fall aber nicht länger als die Laufzeit der Vereinbarung.
Endbenutzer des Auftragnehmers	Supportanfragen, die vom Endbenutzer eingereicht werden.	Keine	Kontinuierlich	Bereitstellung von technischem Support.	Für die Laufzeit der Vereinbarung.
Endbenutzer des Auftragnehmers	Protokolldaten in Bezug auf die Nutzung der Dienste durch den Endbenutzer.	Keine	Kontinuierlich	Bereitstellung des Zugriffs auf die Dienste.	Für die Dauer der Browsersitzung des Endbenutzers.

Unterauftragsverarbeiter

Wie unter https://bit.ly/SC_Subprocessors beschrieben

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Irischer DatenschutzbeauftragterANLAGE II

Sicherheitsmaßnahmen

ServiceChannel bleibt für die folgenden wirtschaftlich angemessenen Übermittlungssicherheitsmaßnahmen jederzeit verantwortlich und haftbar:

ÜBERMITTLUNGSSICHERHEITSMASSNAHMEN	MASSNAHMEN, DIE UMGESETZT WERDEN
Pseudonymisierung und Verschlüsselung personenbezogener Daten	Pseudonymisierung • Zeichenausblendung • Austausch • K-Anonymität Verschlüsselung • HTTPS-Verschlüsselung von Daten während der Übermittlung (mit TLS 1.2 oder höher) auf jeder Anmeldeschnittstelle unter Verwendung von Algorithmen und Zertifikaten nach Branchenstandard • Verschlüsselung von Daten im Ruhezustand unter Verwendung des AES 256-Algorithmus nach Branchenstandard
Maßnahmen zur Gewährleistung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten	Vertraulichkeit • Virtuelles privates Netzwerk (VPN) • Multi-Faktor-Authentifizierung (MFA) • Differenziertes Rechtesystem basierend auf Sicherheitsgruppierungen und Zugriffskontrolllisten • Sichere Übermittlung von Anmeldedaten mit TLS 1.2 (oder höher) • Definierte Mindestanforderungen an die Komplexität von Passwörtern.  Zwingende Änderung des Passworts nach erster Anmeldung. • Automatische Kontosperre • Richtlinien für den Umgang mit Passwörtern • Zugriffskontrollen für Infrastruktur, die vom Cloud-Dienstanbieter gehostet wird. • Zugriffsberechtigungsmanagement inkl. Berechtigungskonzept, Umsetzung von Zugriffsbeschränkungen, Umsetzung des „Need-to-know“-Prinzips, Verwaltung individueller Zugriffsrechte • Schulungs- und Vertraulichkeitsvereinbarungen für internes und externes Personal • Netzwerktrennung • Trennung von Verantwortlichkeiten und Pflichten • Beschränkung des Zugriffs auf personenbezogene Daten auf die an der Verarbeitung beteiligten Parteien gemäß dem „Need-to-know“-Prinzip und entsprechend der Funktion gemäß den differenzierten Zugriffsprofilen Integrität • Sichere Netzwerkverbindungen durch Firewalls usw. • Protokollierung der Übermittlung von Daten aus IT-Systemen, die personenbezogene Daten speichern oder verarbeiten. • Protokollierung der Authentifizierung und Überwachung des logischen Systemzugriffs • Protokollierung des Datenzugriffs, einschließlich u. a. von Zugriff, Änderung, Eingabe und Löschung von Daten • Dokumentation der Dateneingaberechte und Protokollierung sicherheitsrelevanter Einträge • Webanwendungsfirewall (Web Application Firewall, WAF) Verfügbarkeit und Belastbarkeit • Back-up von Daten des Auftragnehmers in mehreren langlebigen Datenspeichern und Replikation über mehrere Verfügbarkeitszonen hinweg • Schutz gespeicherter Back-up-Medien
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen.	• Kontinuitätsplanung und Notfallwiederherstellungsplan• Notfallwiederherstellungsprozesse zur Wiederherstellung von Daten und Abläufen• Maximale Wiederherstellungszeit (Recovery Time Objective, RTO) • Maximal tolerierbarer Datenverlust (Recovery Point Objective, RPO) • Maximal tolerierbare Ausfallzeit (Maximum Tolerable Downtime, MTD) • Kapazitätsmanagementmaßnahmen zur Überwachung des Ressourcenverbrauchs von Systemen sowie Planung zukünftiger Ressourcenanforderungen • Verfahren zur Handhabung und Meldung von Vorfällen (Vorfallsmanagement), einschließlich der Erkennung und Reaktion auf mögliche Sicherheitsvorfälle • Back-up produktiver Daten stündlich in inkrementeller Form und täglich als vollständiges Back-up. Aufbewahrung aller Back-ups in redundanter und verschlüsselter Form (AES-256).
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung	• Prüfung der Notfallausrüstung• Dokumentation von Schnittstellen und Feldern für personenbezogene Daten• Interne und externe Audits • Sicherheitskontrollen (z. B. Penetrationstests) durch externe Parteien • SOC 1- und 2-Audits • Regelmäßiges Benchmarking und Tests mit Branchenstandards, z. B. SANS Top 20 Controls for Internet Security, NIST-Leitlinien usw.
Maßnahmen zur Benutzeridentifizierung und -berechtigung	• Sichere Netzwerkverbindungen durch VPN, MFA, Firewalls usw.• Protokollierung der Übermittlung von Daten aus IT-Systemen, die personenbezogene Daten speichern oder verarbeiten.• Protokollierung der Authentifizierung und Überwachung des Systemzugriffs • Der Zugriff auf Daten, die zur Erfüllung der jeweiligen Aufgabe notwendig sind, wird innerhalb der Systeme und Anwendungen durch ein entsprechendes Rollen- und Berechtigungskonzept nach dem „Need-to-know“-Prinzip sichergestellt. • Webanwendungsfirewall (Web Application Firewall, WAF)
Maßnahmen zum Schutz der Daten während der Übermittlung	• Remote-Zugriff auf das Netzwerk über VPN-Tunnel und End-to-End-Verschlüsselung• HTTPS-Verschlüsselung der Daten während der Übermittlung (mit TLS 1.2 oder höher)
Maßnahmen zum Schutz von Daten während der Speicherung	• Aufzeichnung von Systemeingaben über Protokolldateien• Zugriffskontrolllisten (Access Control Lists, ACL)• Multi-Faktor-Authentifizierung (MFA)
Maßnahmen zur Gewährleistung der physischen Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden.	• Unterteilung der Einrichtung in einzelne Zonen mit unterschiedlichen Zutrittsberechtigungen• Physischer Zugangsschutz (z. B. Stahltüren, fensterlose Räume oder gesicherte Fenster)• Elektronisches Zugriffskontrollsystem zum Schutz von Sicherheitsbereichen • Überwachung der Einrichtung durch Sicherheitsdienste und Protokollierung des Zugangs zur Einrichtung • Videoüberwachung aller sicherheitsrelevanten Bereiche wie der Eingänge, Notausgänge und Serverräume • Zentrale Vergabe und Widerruf von Zugriffsberechtigungen • Identifizierung aller Besucher durch Überprüfung ihres Personalausweises und ihrer Registrierung (Besucherprotokoll) • Obligatorische Identifizierung aller Mitarbeiter und Besucher innerhalb der Sicherheitsbereiche • Zwingende Begleitung von Besuchern durch Mitarbeiter
Maßnahmen zur Gewährleistung der Ereignisprotokollierung	• Protokollierung per Fernzugriff• Hash-Ketten• Replikation • Zentrales System für Sicherheitsereignisse und Informationsmanagement (Security Event and Information Management, SIEM)
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich Standardkonfiguration	• Richtlinien und Verfahren zur Zugriffskontrolle• Identifizierung der Baseline-Konfiguration• Konfigurationsplanung und -verwaltung • Verwaltung von Konfigurationsänderungen • Protokollierung des Konfigurationsstatus • Konfigurationsverifizierung und Audits • Verwaltung mobiler Geräte
Maßnahmen zur internen IT-Sicherheitssteuerung und -verwaltung	• Definition einer Person, die speziell für die Überwachung des Datensicherheits- und Compliance-Programms des Unternehmens verantwortlich ist.• SOC 1- und 2-Audits
Maßnahmen zur Zertifizierung/Garantie von Prozessen und Produkten	• Zertifizierungen bzgl. Datensicherheit oder Qualitätsmanagement wie SSAE 18 Typ 2 SOC 1 und SSAE 18 Typ 2 SOC2
Maßnahmen zur Gewährleistung der Datenminimierung	• Technologische Hindernisse für die unbefugte Verknüpfung unabhängiger Datenquellen• Beschränkung des Detailgrads, der bei der Verarbeitung personenbezogener Daten verwendet wird, z. B. durch Methoden wie K-Anonymität und Verschleierung• Löschung von Metadaten, die während bestimmter Prozesse generiert werden, die für das verfolgte Ziel nicht erforderlich sind.
Maßnahmen zur Gewährleistung der Datenqualität	• Verfahren zur Ausübung von Datenschutzrechten (Recht auf Änderung und Aktualisierung von Daten)• Klare Dokumentation der Anforderungen für alle Datenbedingungen und Szenarien• Beschränkung des Zugriffs auf personenbezogene Daten auf die an der Verarbeitung beteiligten Parteien gemäß dem „Need-to-know“-Prinzip und entsprechend der Funktion gemäß den differenzierten Zugriffsprofilen Strenge Datenprofilierung und Kontrolle eingehender Daten • Datenpipeline-Design zur Vermeidung doppelter Daten • Qualitätssicherungsteam • Durchsetzung der Datenintegrität
Maßnahmen zur Gewährleistung einer begrenzten Datenaufbewahrung	• Klare Aufbewahrungspläne und -richtlinien• Prüfung der Wirksamkeit
Maßnahmen zur Gewährleistung der Verantwortlichkeit	• Zuweisung von Verantwortlichkeiten zur Gewährleistung des Datenschutzes der Endbenutzer während des gesamten Produktlebenszyklus und über anwendbare Geschäftsprozesse hinweg• Datenschutz-Folgenabschätzungen als integraler Bestandteil jeder neuen Verarbeitung• Dokumentation aller Entscheidungen, die innerhalb des Unternehmens aus der Perspektive des „Datenschutz-Designs“ getroffen werden.
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und Gewährleistung der Löschung	• Dokumentation von Prozessen im Zusammenhang mit der Ausübung von Datenschutzrechten durch die Benutzer (z. B. Recht auf Löschung oder Recht auf Datenübertragbarkeit)• Verwendung offener Formate wie CSV, XML oder JSON
Anwendung von Beschränkungen oder Schutzmaßnahmen für sensible Daten (falls zutreffend)	• Verschlüsselung oder Hashing von Daten besonderer Kategorien als Norm, obwohl dies gesetzlich nicht ausdrücklich vorgeschrieben ist.

English     Deutsch     Español     Français (France)     中文(简体)     Slovenščina     Italiano     Magyar