Zuletzt aktualisiert: Januar 2025
Datenverarbeitungsvereinbarung
Diese Datenverarbeitungsvereinbarung (Data Processing Agreement, „DPA“) ist Teil der Rahmendienstleistungsvereinbarung (Master Services Agreement, „MSA“) zwischen ServiceChannel.com, Inc. (nachfolgend „ServiceChannel“) und dem Kunden (wie in der MSA definiert). Der Kunde und ServiceChannel werden jeweils als „Partei“ und gemeinsam als die „Parteien“ bezeichnet.
PRÄAMBEL
(i) Der Kunde und ServiceChannel haben die Rahmendienstleistungsvereinbarung abgeschlossen, gemäß der ServiceChannel dem Kunden die Dienste bereitstellt.
(ii) ServiceChannel verarbeitet im Rahmen der Bereitstellung der Dienste Kundendaten (die personenbezogene Daten enthalten können);
(iii) Die Parteien möchten nun diese DPA abschließen, die die Verarbeitung der in den Kundendaten enthaltenen personenbezogenen Daten durch ServiceChannel regelt.
DAHER vereinbaren die Parteien Folgendes:
1. Definitionen:
In dieser Verarbeitungsvereinbarung haben die in der MSA definierten Begriffe die gleiche Bedeutung wie in der MSA. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:
(a) „Verwaltungsdaten“ bedeutet (i) Kontaktdaten betreffend den Hauptkontoinhaber oder Administrator des Kunden und den Inhalt der mit ihm geführten Korrespondenz; (ii) Supportanfragen, die von den autorisierten Benutzern des Kunden in Bezug auf den Dienst eingereicht werden;
(b) „Verbundene Unternehmen“ bedeutet ein Unternehmen, das von ServiceChannel kontrolliert wird, das ServiceChannel kontrolliert oder mit ServiceChannel unter gemeinsamer Kontrolle steht;
(c) „CCPA“ bezeichnet den California Consumer Privacy Act von 2018, Cal Civ. Code § 1798.100 et seq., einschließlich seiner Durchführungsvorschriften und des California Privacy Rights Act von 2020;
(d) „Zweck des für die Verarbeitung Verantwortlichen“ bedeutet die Durchführung interner Forschungs- und Entwicklungsarbeiten, um die Funktionalität der Produkte und Dienste von ServiceChannel zu entwickeln, zu testen, zu verbessern und zu verändern; (b) die Erstellung anonymisierter Datensätze für Schulungen oder die Bewertung der Produkte und Dienste von ServiceChannel; (c) die Verwaltung der Beziehung von ServiceChannel mit dem Kunden im Rahmen des MSA;
(e) „Kunde“ bezeichnet den Kunden, der die Rahmendienstleistungsvereinbarung unterzeichnet hat;
(f) „Personenbezogene Kundendaten“ bezeichnet, abgesehen von Bewertungen und Rezensionen, personenbezogene Daten, die in den Kundendaten enthalten sind, wie in Anlage I zu dieser DPA näher beschrieben;
(g) „Datenschutzgesetze“ bedeutet alle geltenden Gesetze, Regeln, Vorschriften und behördlichen Vorgaben in Bezug auf den Datenschutz, die Vertraulichkeit oder die Sicherheit personenbezogener Daten (in der jeweils gültigen Fassung), einschließlich (ohne Einschränkung) der DSGVO, des UK GDPR (DSGVO des Vereinigten Königreichs) und der US-Datenschutzgesetze;
(h) „Betroffene Person“ bezeichnet: (i) eine natürliche Person, auf die sich personenbezogene Daten beziehen; und (ii) eine Person, die eine „betroffene Person“, ein „Verbraucher“ oder eine gleichwertige Bezeichnung gemäß den Datenschutzgesetzen ist;
(i) „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 (die „EU-DSGVO“) oder gegebenenfalls die „UK GDPR“ im Sinne von Abschnitt 3(10) des britischen Datenschutzgesetzes 2018;
(j) „Personenbezogene Daten“ bezeichnet alle Informationen, die: (i) sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, mit ihr verknüpft sind oder angemessen mit ihr verknüpft werden können; oder (ii) anderweitig „personenbezogene Daten“, „persönliche Informationen“, „persönlich identifizierbare Informationen“ oder ähnlich definierte Daten oder Informationen gemäß den Datenschutzgesetzen sind;
(k) „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisch geschieht oder nicht, wie z. B. Erhebung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Sperrung, Löschung oder Vernichtung („verarbeiten“, „Verarbeitung“ und „verarbeitet“ sind entsprechend auszulegen);
(l) „Bewertungen und Rezensionen“ hat die in Abschnitt 0 vorgesehene Bedeutung;
(m) „Verkauf“ oder „verkaufen“ hat die Bedeutung, die ihm im CCPA zugewiesen wird;
(n) „Anteil“ hat die Bedeutung, die ihm im CCPA gegeben wird;
(o) „Sicherheitsverletzung“ bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die personenbezogenen Kundendaten führt;
(p) „Standardvertragsklauseln“ bedeutet die Vertragsklauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügt sind, in der jeweils geltenden Fassung;
(q) „Unterauftragsverarbeiter“ ein anderes Unternehmen, das von ServiceChannel mit der Verarbeitung personenbezogener Daten im Namen des Kunden oder mit der Bereitstellung der in der Vereinbarung angegebenen Dienste beauftragt wird;
(r) „UK Addendum“ bezeichnet den vom Informationsbeauftragten des Vereinigten Königreichs gemäß S119A (1) des britischen Datenschutzgesetzes 2018 herausgegebenen und dem britischen Parlament am 2. Februar 2022 vorgelegten Musterzusatz Version B.1.0, der gemäß Abschnitt 18 des UK Addendum überarbeitet werden kann;
(s) „US-Datenschutzgesetze“ bezeichnet alle geltenden bundes- und einzelstaatlichen Gesetze, Regeln, Vorschriften und staatlichen Anforderungen in Bezug auf den Datenschutz, die Verarbeitung personenbezogener Daten, den Schutz der Privatsphäre und/oder den Datenschutz, die von Zeit zu Zeit in den Vereinigten Staaten in Kraft sind, einschließlich u. a. das CCPA, den Virginia Consumer Data Protection Act, Code of Virginia Titel 59.1 Kapitel 52 § 59.1-571 ff., den Colorado Privacy Act, Colorado überarbeitete Satzung Titel 6 Artikel 1 Teil 13 § 6-1-1301 ff., den Utah Consumer Privacy Act, Utah Code § 13-6-101 ff., Connecticut Senat Bill 6, Ein Gesetz zum Schutz personenbezogener Daten und zur Online-Überwachung (in der Fassung, in der dieses Gesetz in Kraft getreten ist);
(t) „Nutzungsdaten“ bezeichnet Diagnose-, Nutzungs- und Leistungsinformationen, die von ServiceChannel in Bezug auf die Nutzung der Dienste durch den Kunden und seine autorisierten Benutzer erhoben werden; und
(u) Die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „Geschäft“ und „Dienstleister“ haben die ihnen in den Datenschutzgesetzen gegebene Bedeutung.
2. Beziehung der Parteien; Einhaltung des Rechts
2.1 Der Kunde:
(a) ernennt ServiceChannel, um die personenbezogenen Kundendaten als seinen Auftragsverarbeiter oder Dienstleister zu verarbeiten;
(b) erkennt an und stimmt zu, dass ServiceChannel:
(i) Verwaltungs- und Nutzungsdaten für die Zwecke des für die Verarbeitung Verantwortlichen verwenden kann und dass es dies für die Zwecke der DSGVO als Verantwortlicher tut.
(ii) Kommentare, Feedback und Bewertungen erhebt und anzeigt, die von den autorisierten Benutzern des Kunden in Bezug auf die vom Kunden beauftragten Dienstleister an ServiceChannel übermittelt werden („Bewertungen und Rezensionen“)und dass er dies im Sinne der Datenschutzgesetze als Verantwortlicher oder Unternehmen tut.
2.2 Jede Partei muss die für sie geltenden Verpflichtungen erfüllen und das gleiche Maß an Datenschutz bieten, wie es die Datenschutzgesetze verlangen.
2.3 Der Kunde stellt sicher, dass seine Anweisungen zur Verarbeitung personenbezogener Kundendaten den Datenschutzgesetzen entsprechen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten und für die Mittel, mit denen der Kunde die personenbezogenen Kundendaten einholt.
2.4 ServiceChannel benachrichtigt den Kunden unverzüglich, wenn ServiceChannel feststellt, dass es seinen Verpflichtungen gemäß den Datenschutzgesetzen nicht mehr nachkommen kann.
2.5 Der Kunde kann vernünftige und angemessene Schritte unternehmen, um:
(a) sicherzustellen, dass ServiceChannel personenbezogene Kundendaten in einer Weise verwendet, die den Verpflichtungen des Kunden gemäß den Datenschutzgesetzen entspricht; und
(b) nach angemessener Vorankündigung die unbefugte Verwendung personenbezogener Kundendaten zu stoppen und zu beheben.
3. Verarbeitung personenbezogener Kundendaten
3.1 ServiceChannel verarbeitet personenbezogene Kundendaten nur im Auftrag und in Übereinstimmung mit der MSA, dieser DPA und (außer einer Verarbeitung für die Zwecke des für die Verantwortung Verantwortlichen) den dokumentierten Anweisungen des Kunden. Der Kunde weist ServiceChannel an, personenbezogene Kundendaten für die folgenden Zwecke zu verarbeiten: (i) Verarbeitung in Übereinstimmung mit der MSA und allen anwendbaren Aufträgen; und (ii) Verarbeitung zur Einhaltung sonstiger angemessener Anweisungen des Kunden, soweit diese Anweisungen mit den Bedingungen der MSA übereinstimmen. ServiceChannel wird den Kunden unverzüglich informieren, wenn er diese Anweisungen nicht befolgen kann oder wenn nach seiner Meinung eine Anweisung des Kunden gegen Datenschutzgesetze verstößt.
3.2 ServiceChannel darf das Folgende nicht:
(a) personenbezogene Kundendaten verkaufen oder weitergeben;
(b) personenbezogene Kundendaten für andere Zwecke als für den spezifischen Geschäftszweck der Erbringung der in der MSA angegebenen Dienste, oder wie anderweitig durch Datenschutzgesetze gestattet, aufbewahren, verwenden oder offenlegen;
(c) personenbezogene Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen den Parteien aufbewahren, verwenden oder offenlegen; und
(d) die personenbezogenen Kundendaten mit personenbezogenen Daten kombinieren, die er von oder im Namen einer anderen Person oder Personen erhält oder aus seiner eigenen Interaktion mit der betroffenen Person erhebt, es sei denn, dies ist ausdrücklich durch Datenschutzgesetze gestattet und wird in Übereinstimmung mit diesen durchgeführt.
3.3. Der Kunde garantiert und verpflichtet sich, dass die personenbezogenen Kundendaten keine der folgenden Angaben enthalten:
(a) personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, strafrechtliche Verurteilungen und andere besondere Kategorien personenbezogener Daten gemäß Artikel 9 oder 10 der DSGVO hervorgehen, oder personenbezogene Daten, die gemäß den geltenden Datenschutzgesetzen anderweitig als sensible personenbezogene Daten gelten;
(b) biometrische Kennungen oder Vorlagen;
(c) Finanzinformationen (insbesondere Rechnungsinformationen und Karteninhaber- oder sensible Authentifizierungsdaten, wie diese Begriffe im Datensicherheitsstandard der Zahlungskartenbranche definiert sind);
(d) persönlich identifizierbare Finanzinformationen, wie durch den Gramm-Leach-Bliley Financial Modernization Act von 1999 definiert und diesem unterliegend;
(e) nationale Identifikationsnummern (einschließlich u. a. Sozialversicherungs-, Führerschein- oder Reisepass- oder andere von der Regierung ausgestellte Identifikationsnummern);
(f) Informationen, die sich auf Personen unter 13 Jahren beziehen;
(g) Bildungsunterlagen, wie im Family Educational Rights and Privacy Act von 1974 definiert;
(h) geschützte Gesundheitsdaten im Sinne und vorbehaltlich des Health Insurance Portability and Accountability Act.
4. Vertraulichkeit der Verarbeitung/ServiceChannel-Personal
4.1 ServiceChannel stellt sicher, dass jede Person, die es zur Verarbeitung der personenbezogenen Kundendaten autorisiert (eine „autorisierte Person“) die personenbezogenen Kundendaten gemäß den Vertraulichkeitsverpflichtungen von ServiceChannel im Rahmen dieser Vereinbarung schützt.
4.2 ServiceChannel stellt sicher, dass sein Personal, das an der Verarbeitung personenbezogener Kundendaten mitwirkt, über den vertraulichen Charakter der personenbezogenen Kundendaten informiert wird und Vertraulichkeitspflichten unterliegt.
4.3 ServiceChannel stellt sicher, dass der Zugriff auf personenbezogene Kundendaten auf das Personal beschränkt ist, das diesen Zugriff benötigt, um die Dienste bereitzustellen.
5. Sicherheit/Handhabung von und Benachrichtigung über Verletzungen
5.1 ServiceChannel setzt wie in Anlage II dargelegt angemessene technische und organisatorische Maßnahmen zum Schutz der Sicherheit, Vertraulichkeit und Integrität personenbezogener Kundendaten um.
5.2 Wenn ServiceChannel von einer Sicherheitsverletzung Kenntnis erlangt, wird ServiceChannel unverzüglich: (i) den Kunden innerhalb der in den geltenden Datenschutzgesetzen vorgesehenen Fristen über die Sicherheitsverletzung informieren; (ii) die Sicherheitsverletzung untersuchen und dem Kunden Informationen darüber zur Verfügung stellen und (iii) angemessene Schritte ergreifen, um die Auswirkungen und Schäden zu verringern, die sich aus der Sicherheitsverletzung ergeben.
5.3 ServiceChannel unterstützt den Kunden auf dessen Wunsch in angemessener Weise bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf eine Sicherheitsverletzung, die dem Kunden von ServiceChannel gemeldet wurde.
5.4 ServiceChannel ist nicht verpflichtet, den Kunden über fehlgeschlagene Versuche zu benachrichtigen, unbefugten Zugriff auf personenbezogene Kundendaten oder zu den Geräten oder Einrichtungen von ServiceChannel zu verschaffen, in denen personenbezogene Daten des Kunden gespeichert sind, einschließlich u. a. Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe oder ähnliche Vorfälle.
5.5. Benachrichtigungen über Sicherheitsverletzungen werden ggf. einem oder mehreren geschäftlichen, technischen oder administrativen Kontakten des Kunden auf eine beliebige, von ServiceChannel festgelegte Weise zugestellt, einschließlich per E-Mail. Es liegt in der alleinigen Verantwortung des Kunden, dafür zu sorgen, dass in den Supportsystemen von ServiceChannel jederzeit korrekte Kontaktdaten bereitstehen.
5.6 Die Benachrichtigung von ServiceChannel über eine Sicherheitsverletzung oder die Reaktion auf eine Sicherheitsverletzung gemäß diesem Abschnitt 5 ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von ServiceChannel in Bezug auf die Sicherheitsverletzung auszulegen.
6. Unterverarbeitung
6.1 Der Kunde erkennt an und erklärt sich damit einverstanden, dass (i) ServiceChannel verbundene Unternehmen als seine Unterauftragsverarbeiter ernennen kann und (ii) ServiceChannel im Zusammenhang mit der Erbringung der Dienste Unterauftragsverarbeiter von Dritten einsetzen kann. Solche Unterauftragsverarbeiter dürfen personenbezogene Kundendaten ausschließlich zur Bereitstellung der Dienste in Empfang nehmen, zu deren Bereitstellung ServiceChannel sie beauftragt hat, und diese nicht für andere Zwecke nutzen. ServiceChannel schließt eine schriftliche Vereinbarung ab, die diesem Unterauftragsverarbeiter Datenschutzverpflichtungen auferlegt, die im Wesentlichen denen entsprechen, die ServiceChannel durch diese Vereinbarung auferlegt werden. ServiceChannel bleibt dem Kunden gegenüber für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit ServiceChannel in vollem Umfang verantwortlich.
6.2 ServiceChannel kann die Unterauftragsverarbeiter, die zum Zeitpunkt dieser Vereinbarung bereits von ServiceChannel oder einem verbundenen Unternehmen von ServiceChannel beauftragt wurden und unter https://bit.ly/SC_Subprocessorsaufgeführt sind, weiterhin nutzen.
6.3 ServiceChannel informiert den Kunden im Voraus schriftlich über die Benennung eines neuen Unterauftragsverarbeiters, einschließlich unter Angabe von Einzelheiten der vom Unterauftragsverarbeiter durchzuführenden Verarbeitung. Wenn der Kunde ServiceChannel innerhalb von 10 Tagen nach Erhalt dieser Mitteilung schriftlich über (angemessene) Einwände gegen die geplante Benennung informiert, darf ServiceChannel diesen geplanten Unterauftragsverarbeiter erst benennen, wenn angemessene Schritte ergriffen wurden, um die vom Kunden vorgebrachten Bedenken zu klären, und dem Kunden eine angemessene schriftliche Erklärung zu den ergriffenen Schritten übermittelt wurde. Der Kunde erkennt an, dass in einigen Fällen möglicherweise nicht alle Dienstleistungen ohne den Einsatz des neuen Unterauftragsverarbeiters erbracht werden können.
7. Eingeschränkte Übermittlung
7.1 Die Parteien vereinbaren, dass die Übermittlung personenbezogener Kundendaten vom Kunden an ServiceChannel, wenn sie als eingeschränkte Übermittlung gilt, den entsprechenden Standardvertragsklauseln wie folgt unterliegt:
(a) in Bezug auf personenbezogene Kundendaten, die durch die EU-DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln wie folgt:
(i) es gilt Modul zwei;
(ii) in der Klausel 7 gilt die optionale Kopplungsklausel;
(iii) in der Klausel 9 gilt Option 2; die Frist für die vorherige Benachrichtigung über Änderungen des Unterauftragsverarbeiters ist in Klausel 6.3 dieser Vereinbarung festgelegt;
(iv) in der Klausel 11 gilt die optionale Formulierung nicht;
(v) in der Klausel 17 gilt die Option 1; die EU-Standardvertragsklauseln unterliegen irischem Recht;
(vi) Streitigkeiten werden gemäß Klausel 18(b) von den Gerichten Irlands beigelegt;
(vii) die Anlage I der EU-Standardvertragsklauseln gilt als mit den in Anlage I dieser Vereinbarung enthaltenen Informationen ausgefüllt;
(viii) die Anlage II der EU-Standardvertragsklauseln gilt als mit den in Anlage II dieser Vereinbarung enthaltenen Informationen ausgefüllt; und
(b) in Bezug auf personenbezogene Kundendaten, die durch die UK GDPR geschützt sind, gilt der Nachtrag zum Vereinigten Königreich wie folgt als ausgefüllt:
(i) Die EU-Standardvertragsklauseln, die wie oben in Klausel 7.1(a) dieser Vereinbarung dargelegt ausgefüllt werden, gelten vorbehaltlich Unterklausel (ii) unten auch für die Übermittlung solcher personenbezogenen Kundendaten;
(ii) für die Tabellen 1 bis 3 des Nachtrags zum Vereinigten Königreich gilt, wie oben dargelegt, dass sie mit den relevanten Informationen aus den EU-Standardvertragsklauseln ausgefüllt werden; die Option „keine der Parteien“ (neither party) in Tabelle 4 gilt als angekreuzt. Das Startdatum des Nachtrags zum Vereinigten Königreich (wie in Tabelle 1 dargelegt) ist das Datum dieser Vereinbarung; und
(c) für den Fall, dass eine Bestimmung dieser Vereinbarung den Standardvertragsklauseln direkt oder indirekt widerspricht, haben die Standardvertragsklauseln Vorrang.
7.2 Für den Fall, dass der aktuelle Nachtrag zum Vereinigten Königreich oder die EU-Standardvertragsklauseln aufgehoben oder durch neue Standardvertragsklauseln ersetzt werden, vereinbaren die Parteien, dass diese neuen Standardvertragsklauseln automatisch auch für die Übermittlung personenbezogener Kundendaten vom Kunden an ServiceChannel gelten und wie in Klausel 7.1 oben beschrieben als entsprechend ausgefüllt gelten.
8. Zusammenarbeit und Rechte betroffener Personen
8.1 ServiceChannel wird den Kunden, soweit gesetzlich zulässig, unverzüglich benachrichtigen, wenn es von einer betroffenen Person eine Anfrage zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen erhält. ServiceChannel darf ohne die vorherige schriftliche Genehmigung des Kunden nicht auf eine solche Anfrage einer betroffenen Person reagieren, außer um zu bestätigen, dass sich die Anfrage auf den Kunden bezieht.
8.2 Soweit der Kunde im Rahmen der Nutzung oder des Erhalts der Dienste nicht in der Lage ist, personenbezogene Kundendaten zu korrigieren, zu ändern, einzuschränken, zu sperren oder zu löschen, wie es die Datenschutzgesetze verlangen, unternimmt ServiceChannel, soweit es gesetzlich dazu berechtigt ist, wirtschaftlich angemessene Anstrengungen, um angemessenen Anfragen des Kunden bzgl. der Ergreifung solcher Maßnahmen nachzukommen.
8.3 ServiceChannel unterstützt den Kunden (auf Kosten des Kunden) in Verbindung mit Datenschutz-Folgenabschätzungen, die gemäß den Datenschutzgesetzen evtl. erforderlich sind, in angemessener Weise.
9. Kündigung; Löschung oder Rückgabe von Daten
9.1 Diese Vereinbarung endet automatisch mit der Löschung oder Anonymisierung aller personenbezogenen Kundendaten durch ServiceChannel.
9.2 Bei Kündigung oder Ablauf der MSA wird ServiceChannel
(a) auf Aufforderung des Kunden innerhalb von dreißig (30) Tagen nach Ablauf der MSA (der „Aufbewahrungsfrist“) eine Kopie aller personenbezogenen Kundendaten in einem vom Kunden angeforderten gängigen Format zur Verfügung stellen oder eine Self-Service-Funktion bereitstellen, die es dem Kunden ermöglicht, diese personenbezogenen Kundendaten herunterzuladen;
(b) nach Ablauf der Aufbewahrungsfrist alle Kopien der personenbezogenen Kundendaten, die von ServiceChannel oder einem seiner Unterauftragsverarbeiter verarbeitet werden, löschen, ausgenommen:
(i) alle Verwaltungs- oder Nutzungsdaten, die für die Zwecke des Verantwortlichen verarbeitet werden, oder alle personenbezogenen Kundendaten, die ServiceChannel nach geltendem Recht aufbewahren muss; oder
(ii) personenbezogene Kundendaten auf Backup-Systemen archivieren, die ServiceChannel sicher isoliert und vor jeder weiteren Verarbeitung schützt, außer in dem Umfang, der nach diesem Gesetz erforderlich ist, bis eine Löschung möglich ist.
10. Audit
10.1 Der Kunde kann die Einhaltung dieser DPA durch ServiceChannel überprüfen. Die Parteien vereinbaren, dass alle der folgenden Audits durchgeführt werden:
(a) nicht mehr als einmal jährlich, es sei denn, es sind häufigere Audits erforderlich, um die Datenschutzgesetze einzuhalten, oder sie werden von einer Aufsichtsbehörde verlangt, die für die Verarbeitung personenbezogener Kundendaten zuständig ist;
(b) nach angemessener Vorankündigung an ServiceChannel;
(c) nur während der normalen Geschäftszeiten von ServiceChannel; und
(d) in einer Weise, die das Geschäft oder den Betrieb von ServiceChannel nicht wesentlich stört.
10.2 In Bezug auf alle Audits, die gemäß Abschnitt 10.1 durchgeführt werden:
(a) der Kunde kann einen externen Prüfer mit der Durchführung des Audits in seinem Namen beauftragen, mit der Ausnahme, dass ServiceChannel der Beauftragung des externen Prüfers vernünftigerweise widersprechen kann, wenn dieser externe Prüfer ein Wettbewerber von ServiceChannel ist;
(b) ServiceChannel ist nicht verpflichtet, ein Audit zu erleichtern oder zu unterstützen, es sei denn, die Parteien haben schriftlich den Umfang und den Zeitpunkt einer solchen Prüfung und die Erstattungssätze gemäß Abschnitt 10.3 vereinbart.
10.3. Der Kunde entschädigt ServiceChannel für die für einem solchen Audit aufgewendete Zeit zu den von den Parteien vereinbarten Sätzen. Vor Beginn eines solchen Audits vereinbaren der Kunde und ServiceChannel gemeinsam den Umfang, den Zeitpunkt und die Dauer des Audits, ebenso wie den Entschädigungssatz, der vom Kunden zu zahlen ist. Der Entschädigungssatz muss unter Berücksichtigung der von ServiceChannel aufgewendeten Ressourcen angemessen sein. Der Kunde muss ServiceChannel unverzüglich über alle im Rahmen eines Audits entdeckten Verstöße informieren.
10.4 Der Kunde erkennt an, dass ServiceChannel regelmäßig von unabhängigen externen Auditoren auf Befolgung des SSAE 18 SOC 1-Standards geprüft wird. ServiceChannel stellt dem Kunden auf Anfrage eine zusammenfassende Kopie seines/seiner Audit-Berichts/e zur Verfügung oder kann dem Kunden als Antwort auf eine Audit-Anfrage eine zusammenfassende Kopie seines/seiner Audit-Berichts/e zur Verfügung stellen, der den Vertraulichkeitsbestimmungen des MSA unterliegt. Wenn ein vom Kunden angefordertes Audit in dem von ServiceChannel zur Verfügung gestellten Auditbericht behandelt wird, erklärt sich der Kunden damit einverstanden, diesen Bericht anstelle der Durchführung einer physischen Prüfung der in dem betreffenden Bericht behandelten Kontrollen zu akzeptieren.
11. Haftungsbeschränkung
Diese DPA unterliegt den Haftungsbeschränkungen und Haftungsausschlüssen gemäß der MSA.
12. Parteien dieser Vereinbarung
Abgesehen von den in den Standardvertragsklauseln festgelegten Bestimmungen gewährt diese DPA keiner anderen Person oder Einrichtung als den Parteien dieser DPA irgendwelche Vorteile oder Rechte.
13. Rechtliche Wirkung
Diese DPA ergänzt und ist Teil der MSA.
14. Allgemeines
14.1 Diese DPA unterliegt in jeder Hinsicht dem geltenden Recht und dem Rechtsstand in der MSA und wird in jeder Hinsicht entsprechend ausgelegt, vorausgesetzt, dass im Falle eines Konflikts zwischen der MSA und dieser DPA in Bezug auf die Verarbeitung personenbezogener Daten diese DPA Vorrang hat.
14.2 Diese Vereinbarung kann in einer beliebigen Anzahl von Ausfertigungen unterzeichnet werden, von denen jede als Original gilt und die alle zusammen die gleiche Vereinbarung zwischen den Parteien darstellen.
14.3 Außer wie in dieser DPA dargelegt, bleibt die MSA in vollem Umfang rechtskräftig und wirksam.
ANLAGE I
A. LISTE DER PARTEIEN
| Name | Adresse | Name, Position und Kontaktdaten der Kontaktperson | Aktivitäten, die für die übermittelten Daten relevant sind | Rolle | |
| Datenexporteur | Kunde (wie in der MSA angegeben) | Wie in der MSA identifiziert | Wie in der MSA identifiziert | Erhalt der Dienste | Verantwortlicher |
| Datenimporteur | ServiceChannel.com, Inc. | 30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615 | Brian Chase, General Counsel (Chefsyndikus), [email protected] | Erbringung der Dienste | Auftragsverarbeiter |
B. BESCHREIBUNG DER ÜBERMITTLUNG
| Betroffene Personen | Kategorien personenbezogener Daten | Sensible personenbezogene Daten | Häufigkeit der Übermittlung | Art und Zweck der Verarbeitung | Aufbewahrungsfrist |
| Autorisierte Benutzer des Kunden | Name, E-Mail-Adresse, Geschäftsadresse, Zugangsdaten. | Keine | Kontinuierlich | Gewährung des Zugriffs auf die Dienste für autorisierte Benutzer des Kunden. | Solange der Kunde den Benutzer autorisiert, die Dienste zu erhalten. |
| Autorisierte Benutzer des Kunden | Name, E-Mail-Adresse, Telefonnummer, Geschäftsadresse. | Keine | Kontinuierlich | Erleichterung des Kontakts zwischen dem autorisierten Benutzer des Kunden und Personen, die vom Kunden über die Dienste beauftragt wurden („Auftragnehmer“) | Solange der Kunde den Benutzer autorisiert, die Dienste zu erhalten. |
| Autorisierte Benutzer des Kunden Personal des Auftragnehmers | Über die Dienste angeforderte Gebäudemanagementdienste, Datum und Uhrzeit der Anfrage. | Keine | Kontinuierlich | Einreichung von Serviceanfragen für das Gebäudemanagement an Auftragnehmer. | Für die Laufzeit der MSA. |
| Autorisierte Benutzer des Kunden Personal des Auftragnehmers | Name, erbrachte Gebäudemanagement-Dienste, Datum und Ort der erbrachten Dienste. | Keine | Kontinuierlich | Führung von Aufzeichnungen über die vom Kunden bestellten und abgeschlossenen Gebäudemanagement-Dienste. | Für die Laufzeit der MSA. |
| Personal des Auftragnehmers | Name und Kontaktdaten (Telefonnummer und E-Mail-Adresse), die von autorisierten Benutzern des Kunden übermittelt wurden. | Keine | Kontinuierlich | Erleichterung des Kontakts zwischen dem autorisierten Benutzer des Kunden und seinen Hauptkontakten bei Auftragnehmern. | Für die Laufzeit der MSA. |
| Autorisierte Benutzer des Kunden | Supportanfragen | Keine | Kontinuierlich | Bereitstellung von technischem Support. | Für die Laufzeit der MSA. |
| Autorisierte Benutzer des Kunden | Protokolldaten | Keine | Kontinuierlich | Bereitstellung des Zugriffs auf die Dienste. | Für die Dauer der Browsersitzung des autorisierten Benutzers. |
Unterauftragsverarbeiter
Wie unter https://bit.ly/SC_Subprocessors beschrieben
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Irischer Datenschutzbeauftragter
ANLAGE II
Sicherheitsmaßnahmen
ServiceChannel bleibt für die folgenden wirtschaftlich angemessenen Übermittlungssicherheitsmaßnahmen jederzeit verantwortlich und haftbar:
| ÜBERMITTLUNGSSICHERHEITSMASSNAHMEN | MASSNAHMEN, DIE UMGESETZT WERDEN |
| Pseudonymisierung und Verschlüsselung personenbezogener Daten | Pseudonymisierung • Zeichenausblendung • Austausch • K-Anonymität Verschlüsselung • HTTPS-Verschlüsselung von Daten während der Übermittlung (mit TLS 1.2 oder höher) auf jeder Anmeldeschnittstelle unter Verwendung von Algorithmen und Zertifikaten nach Branchenstandard • Verschlüsselung von Daten im Ruhezustand unter Verwendung des AES 256-Algorithmus nach Branchenstandard |
| Maßnahmen zur Gewährleistung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten | Vertraulichkeit • Virtuelles privates Netzwerk (VPN) • Multi-Faktor-Authentifizierung (MFA) • Differenziertes Rechtesystem basierend auf Sicherheitsgruppierungen und Zugriffskontrolllisten • Sichere Übermittlung von Anmeldedaten mit TLS 1.2 (oder höher) • Definierte Mindestanforderungen an die Komplexität von Passwörtern. Zwingende Änderung des Passworts nach erster Anmeldung. • Automatische Kontosperre • Richtlinien für den Umgang mit Passwörtern • Zugriffskontrollen für Infrastruktur, die vom Cloud-Dienstanbieter gehostet wird. • Zugriffsberechtigungsmanagement inkl. Berechtigungskonzept, Umsetzung von Zugriffsbeschränkungen, Umsetzung des „Need-to-know“-Prinzips, Verwaltung individueller Zugriffsrechte • Schulungs- und Vertraulichkeitsvereinbarungen für internes und externes Personal • Netzwerktrennung • Trennung von Verantwortlichkeiten und Pflichten • Beschränkung des Zugriffs auf personenbezogene Daten auf die an der Verarbeitung beteiligten Parteien gemäß dem „Need-to-know“-Prinzip und entsprechend der Funktion gemäß den differenzierten Zugriffsprofilen Integrität • Sichere Netzwerkverbindungen durch Firewalls usw. • Protokollierung der Übermittlung von Daten aus IT-Systemen, die personenbezogene Daten speichern oder verarbeiten. • Protokollierung der Authentifizierung und Überwachung des logischen Systemzugriffs • Protokollierung des Datenzugriffs, einschließlich u. a. von Zugriff, Änderung, Eingabe und Löschung von Daten • Dokumentation der Dateneingaberechte und Protokollierung sicherheitsrelevanter Einträge • Webanwendungsfirewall (Web Application Firewall, WAF) Verfügbarkeit und Belastbarkeit • Back-up von Kundendaten in mehreren langlebigen Datenspeichern und Replikation über mehrere Verfügbarkeitszonen hinweg • Schutz gespeicherter Back-up-Medien |
| Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen. | • Kontinuitätsplanung und Notfallwiederherstellungsplan• Notfallwiederherstellungsprozesse zur Wiederherstellung von Daten und Abläufen• Maximale Wiederherstellungszeit (Recovery Time Objective, RTO) • Maximal tolerierbarer Datenverlust (Recovery Point Objective, RPO) • Maximal tolerierbare Ausfallzeit (Maximum Tolerable Downtime, MTD) • Kapazitätsmanagementmaßnahmen zur Überwachung des Ressourcenverbrauchs von Systemen sowie Planung zukünftiger Ressourcenanforderungen • Verfahren zur Handhabung und Meldung von Vorfällen (Vorfallsmanagement), einschließlich der Erkennung und Reaktion auf mögliche Sicherheitsvorfälle • Back-up produktiver Daten stündlich in inkrementeller Form und täglich als vollständiges Back-up. Aufbewahrung aller Back-ups in redundanter und verschlüsselter Form (AES-256). |
| Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung | • Prüfung der Notfallausrüstung• Dokumentation von Schnittstellen und Feldern für personenbezogene Daten• Interne und externe Audits • Sicherheitskontrollen (z. B. Penetrationstests) durch externe Parteien • SOC 1- und 2-Audits • Regelmäßiges Benchmarking und Tests mit Branchenstandards, z. B. SANS Top 20 Controls for Internet Security, NIST-Leitlinien usw. |
| Maßnahmen zur Benutzeridentifizierung und -berechtigung | • Sichere Netzwerkverbindungen durch VPN, MFA, Firewalls usw.• Protokollierung der Übermittlung von Daten aus IT-Systemen, die personenbezogene Daten speichern oder verarbeiten.• Protokollierung der Authentifizierung und Überwachung des Systemzugriffs • Der Zugriff auf Daten, die zur Erfüllung der jeweiligen Aufgabe notwendig sind, wird innerhalb der Systeme und Anwendungen durch ein entsprechendes Rollen- und Berechtigungskonzept nach dem „Need-to-know“-Prinzip sichergestellt. • Webanwendungsfirewall (Web Application Firewall, WAF) |
| Maßnahmen zum Schutz der Daten während der Übermittlung | • Remote-Zugriff auf das Netzwerk über VPN-Tunnel und End-to-End-Verschlüsselung• HTTPS-Verschlüsselung der Daten während der Übermittlung (mit TLS 1.2 oder höher) |
| Maßnahmen zum Schutz von Daten während der Speicherung | • Aufzeichnung von Systemeingaben über Protokolldateien• Zugriffskontrolllisten (Access Control Lists, ACL)• Multi-Faktor-Authentifizierung (MFA) |
| Maßnahmen zur Gewährleistung der physischen Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden. | • Unterteilung der Einrichtung in einzelne Zonen mit unterschiedlichen Zutrittsberechtigungen• Physischer Zugangsschutz (z. B. Stahltüren, fensterlose Räume oder gesicherte Fenster)• Elektronisches Zugriffskontrollsystem zum Schutz von Sicherheitsbereichen • Überwachung der Einrichtung durch Sicherheitsdienste und Protokollierung des Zugangs zur Einrichtung • Videoüberwachung aller sicherheitsrelevanten Bereiche wie der Eingänge, Notausgänge und Serverräume • Zentrale Vergabe und Widerruf von Zugriffsberechtigungen • Identifizierung aller Besucher durch Überprüfung ihres Personalausweises und ihrer Registrierung (Besucherprotokoll) • Obligatorische Identifizierung aller Mitarbeiter und Besucher innerhalb der Sicherheitsbereiche • Zwingende Begleitung von Besuchern durch Mitarbeiter |
| Maßnahmen zur Gewährleistung der Ereignisprotokollierung | • Protokollierung per Fernzugriff• Hash-Ketten• Replikation • Zentrales System für Sicherheitsereignisse und Informationsmanagement (Security Event and Information Management, SIEM) |
| Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich Standardkonfiguration | • Richtlinien und Verfahren zur Zugriffskontrolle• Identifizierung der Baseline-Konfiguration• Konfigurationsplanung und -verwaltung • Verwaltung von Konfigurationsänderungen • Protokollierung des Konfigurationsstatus • Konfigurationsverifizierung und Audits • Verwaltung mobiler Geräte |
| Maßnahmen zur internen IT-Sicherheitssteuerung und -verwaltung | • Definition einer Person, die speziell für die Überwachung des Datensicherheits- und Compliance-Programms des Unternehmens verantwortlich ist.• SOC 1- und 2-Audits |
| Maßnahmen zur Zertifizierung/Garantie von Prozessen und Produkten | • Zertifizierungen bzgl. Datensicherheit oder Qualitätsmanagement wie SSAE 18 Typ 2 SOC 1 und SSAE 18 Typ 2 SOC2 |
| Maßnahmen zur Gewährleistung der Datenminimierung | • Technologische Hindernisse für die unbefugte Verknüpfung unabhängiger Datenquellen• Beschränkung des Detailgrads, der bei der Verarbeitung personenbezogener Daten verwendet wird, z. B. durch Methoden wie K-Anonymität und Verschleierung• Löschung von Metadaten, die während bestimmter Prozesse generiert werden, die für das verfolgte Ziel nicht erforderlich sind. |
| Maßnahmen zur Gewährleistung der Datenqualität | • Verfahren zur Ausübung von Datenschutzrechten (Recht auf Änderung und Aktualisierung von Daten)• Klare Dokumentation der Anforderungen für alle Datenbedingungen und Szenarien• Beschränkung des Zugriffs auf personenbezogene Daten auf die an der Verarbeitung beteiligten Parteien gemäß dem „Need-to-know“-Prinzip und entsprechend der Funktion gemäß den differenzierten Zugriffsprofilen Strenge Datenprofilierung und Kontrolle eingehender Daten • Datenpipeline-Design zur Vermeidung doppelter Daten • Qualitätssicherungsteam • Durchsetzung der Datenintegrität |
| Maßnahmen zur Gewährleistung einer begrenzten Datenaufbewahrung | • Klare Aufbewahrungspläne und -richtlinien• Prüfung der Wirksamkeit |
| Maßnahmen zur Gewährleistung der Verantwortlichkeit | • Zuweisung von Verantwortlichkeiten zur Gewährleistung des Datenschutzes der Endbenutzer während des gesamten Produktlebenszyklus und über anwendbare Geschäftsprozesse hinweg• Datenschutz-Folgenabschätzungen als integraler Bestandteil jeder neuen Verarbeitung• Dokumentation aller Entscheidungen, die innerhalb des Unternehmens aus der Perspektive des „Datenschutz-Designs“ getroffen werden. |
| Maßnahmen zur Ermöglichung der Datenübertragbarkeit und Gewährleistung der Löschung | • Dokumentation von Prozessen im Zusammenhang mit der Ausübung von Datenschutzrechten durch die Benutzer (z. B. Recht auf Löschung oder Recht auf Datenübertragbarkeit)• Verwendung offener Formate wie CSV, XML oder JSON |
| Anwendung von Beschränkungen oder Schutzmaßnahmen für sensible Daten (falls zutreffend) | • Verschlüsselung oder Hashing von Daten besonderer Kategorien als Norm, obwohl dies gesetzlich nicht ausdrücklich vorgeschrieben ist. |
English Deutsch Español Français (France) 中文(简体) Slovenščina Italiano Magyar