Zuletzt aktualisiert: 1. Januar 2023

Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung (die „Vereinbarung“) ist Teil der Rahmendienstleistungsvereinbarung (Master Services Agreement, „MSA“) zwischen ServiceChannel.com, Inc. (nachfolgend „ServiceChannel“) und dem Kunden (wie in der MSA definiert) (nachfolgend „Kunde“).  Der Kunde und ServiceChannel werden jeweils als „Partei“ und gemeinsam als die „Parteien“ bezeichnet.

PRÄAMBEL

(i)         Der Kunde und ServiceChannel haben die Rahmendienstleistungsvereinbarung abgeschlossen, gemäß der ServiceChannel dem Kunden die Dienste bereitstellt.

(ii)        ServiceChannel verarbeitet im Rahmen der Bereitstellung der Dienste Kundendaten (die personenbezogene Daten enthalten können);

(iii)        Die Parteien möchten nun diese Verarbeitungsvereinbarung abschließen, die die Verarbeitung solcher Kundendaten durch ServiceChannel regelt.

DAHER vereinbaren die Parteien Folgendes:

1. Definitionen:

In dieser Verarbeitungsvereinbarung haben die in der MSA definierten Begriffe die gleiche Bedeutung wie in der MSA. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:

(a)       „Verantwortlicher“, „betroffene Person“, „Auftragsverarbeiter“ und „besondere Kategorien personenbezogener Daten“ haben die Bedeutungen, die ihnen in den Datenschutzgesetzen zugewiesen werden, in jedem Fall, wie auf die von ServiceChannel im Rahmen dieser Vereinbarung bereitgestellten Dienste anwendbar.

(b)       „Verbundene Unternehmen“ bezeichnet alle Rechtsträger, die von ServiceChannel kontrolliert werden, die ServiceChannel kontrollieren oder die mit ServiceChannel unter gemeinsamer Kontrolle stehen.

(c)       „Unternehmen“, „Dienstleister“ und „Verbraucher“ haben die gleiche Bedeutung, die im CCPA, Cal Civ. Code § 1798.140 festgelegt ist.

(d)       „CCPA“ bezeichnet den California Consumer Privacy Act von 2018, Cal Civ. Code § 1798.100 f., die damit verbundenen endgültigen Vorschriften und deren Nachfolgervorschriften.

(e)       „Verbraucher“ hat die in Abschnitt 1798.140(i) des CCPA festgelegte Bedeutung.

(f)       „Kunde“ bezeichnet den Kunden, der die Rahmendienstleistungsvereinbarung unterzeichnet hat.

(g)       „Personenbezogene Kundendaten“ bezeichnet personenbezogene Daten, die der Kunde ServiceChannel zur Verfügung stellt.

(h)       „Datenschutzgesetze“ bezeichnet (i) die Verordnung 2016/679 (Datenschutz-Grundverordnung) (die „EU–DSGVO“); (ii) die EU-DSGVO, wie im britischen Recht aufgrund von Abschnitt 3 des European Union (Withdrawal) Act von 2018 des Vereinigten Königreichs verankert (die „britische DSGVO“); (iii) die EU-ePrivacy-Richtlinie (Richtlinie 2002/58/EG), und (iv) alle anwendbaren nationalen Datenschutzgesetze, die unter, gemäß oder in Verbindung mit (i), (ii) oder (iii) verabschiedet werden; in jedem Fall in der jeweils gültigen Fassung;

(i)        „Personenbezogene Daten“ hat die Bedeutung, die in den Datenschutzgesetzen und Abschnitt 1798.140(v) f. des CCPA festgelegt ist, und umfasst alle Informationen in Bezug auf eine identifizierte oder identifizierbare natürliche Person. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Kennnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind.

(j)        „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisch geschieht oder nicht, wie z. B. Erhebung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Sperrung, Löschung oder Vernichtung („verarbeiten“, „Verarbeitung“ und „verarbeitet“ sind entsprechend auszulegen).

(k)       „Eingeschränkte Übermittlung“ bezeichnet: (i) wenn die EU-DSGVO gilt, eine Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in ein Land außerhalb des Europäischen Wirtschaftsraums, das keinem Angemessenheitsbeschluss der Europäischen Kommission unterliegt; und (ii) wenn die britische DSGVO gilt, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den Angemessenheitsvorschriften gemäß Abschnitt 17A des britischen Data Protection Act von 2018 unterliegt;

(l)        „Verkauf“ oder „verkaufen“ hat die Bedeutung, die in Abschnitt 1798.140(ad) des kalifornischen Zivilgesetzbuches zum Zeitpunkt der Unterzeichnung dieser Vereinbarung in der jeweils während der Laufzeit dieser Vereinbarung geltenden Fassung festgelegt ist.

(m)      „Weitergeben“ hat die Bedeutung, die in Abschnitt 1798.140(ah) des kalifornischen Zivilgesetzbuches zum Zeitpunkt der Unterzeichnung dieser Vereinbarung in der jeweils während der Laufzeit dieser Vereinbarung geltenden Fassung festgelegt ist.

(n)       „Sicherheitsverletzung“ hat die gleiche Bedeutung wie „Verletzung des Schutzes personenbezogener Daten“, wie in den Datenschutzgesetzen oder wie in Cal. Civ. Code § 1798.150 des CCPA festgelegt.

(o)       „Standardvertragsklauseln“ (Standard Contractual Clauses) bezeichnet: (i) wenn die EU-DSGVO gilt, die Vertragsklauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügt sind („EU-SCCs“); und (ii) wenn die britische DSGVO gilt, das „International Data Transfer Addendum to the EU Commission Standard Contractual Clauses“ (Nachtrag zur internationalen Datenübermittlung zu den Standardvertragsklauseln der EU-Kommission), herausgegeben vom Information Commissioner gemäß Abs. 119A(1) des Data Protection Act von 2018 („Nachtrag zum Vereinigten Königreich“).

(p)       „Unterauftragsverarbeiter“ bezeichnet jeden externen Rechtsträger, der von ServiceChannel mit der Verarbeitung personenbezogener Daten im Namen des Kunden oder mit der Bereitstellung der in der Vereinbarung angegebenen Dienste beauftragt wird.

2. Beziehung der Parteien; Einhaltung des Rechts

2.1         Der Kunde (der Verantwortliche) benennt ServiceChannel als Auftragsverarbeiter, der die in den Kundendaten enthaltenen personenbezogenen Daten für die in dieser Vereinbarung beschriebenen Zwecke (oder wie anderweitig schriftlich von den Parteien vereinbart) verarbeiten soll (der „zulässige Zweck“).  Der Kunde bestätigt, dass ServiceChannel und seine Unterauftragsverarbeiter Kundendaten für Produktverbesserungs-, Sicherheits- und Betrugsbekämpfungszwecke nutzen können.

2.2         Jede Partei muss die Verpflichtungen einhalten, die gemäß den geltenden Datenschutzgesetzen für sie gelten. Wenn ServiceChannel Kenntnis davon erhält, dass die Verarbeitung für den zulässigen Zweck gegen geltendes Datenschutzgesetz verstößt, informiert ServiceChannel den Kunden unverzüglich.

2.3         ServiceChannel sichert zu und gewährleistet, dass ServiceChannel für die Zwecke der Dienste, die ServiceChannel dem Kunden gemäß der Vereinbarung bereitstellt, als „Dienstleister“ (gemäß der Bedeutung, die diesem Begriff in Abschnitt 1798.140(ag) des kalifornischen Zivilgesetzbuches zum Datum der Unterzeichnung dieser Vereinbarung zugewiesen wird, und wie diese von Zeit zu Zeit während der Laufzeit dieser Vereinbarung geändert werden kann) gilt.

2.4         ServiceChannel sichert zu und gewährleistet, dass ServiceChannel ein Einzelunternehmen, eine Personengesellschaft, eine Gesellschaft mit beschränkter Haftung, eine Kapitalgesellschaft, eine Gesellschaft bzw. eine sonstige juristische Person darstellt, die gegründet wurden oder betrieben werden, um für ihre Anteilseigner oder sonstigen Eigentümer Profit oder finanzielle Vorteile zu erzielen.

3. Verarbeitung personenbezogener Kundendaten

3.1         Der Kunde verarbeitet im Rahmen seiner Nutzung oder seines Erhalts der Dienste personenbezogene Kundendaten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze, und der Kunde stellt sicher, dass seine Anweisungen für die Verarbeitung personenbezogener Kundendaten den Datenschutzgesetzen entsprechen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Kundendaten und für die Mittel, mit denen der Kunde die personenbezogenen Kundendaten einholt.

3.2         Während der Laufzeit der MSA verarbeitet ServiceChannel personenbezogene Kundendaten ausschließlich im Rahmen von und in Übereinstimmung mit der MSA und den dokumentierten Anweisungen des Kunden. Der Kunde weist ServiceChannel an, personenbezogene Kundendaten für die folgenden Zwecke zu verarbeiten: (i) Verarbeitung in Übereinstimmung mit der MSA und allen anwendbaren Aufträgen; und (ii) Verarbeitung zur Einhaltung sonstiger angemessener Anweisungen des Kunden, soweit diese Anweisungen mit den Bedingungen der MSA übereinstimmen. ServiceChannel hat den Kunden unverzüglich zu benachrichtigen, wenn es diese Anweisungen nicht befolgen kann.

3.3         Soweit der Kunde die personenbezogenen Daten eines Verbrauchers an ServiceChannel weitergibt, verarbeitet ServiceChannel diese personenbezogenen Daten ausschließlich im Namen des Kunden und gemäß dieser Vereinbarung.

3.4         ServiceChannel bestätigt, dass es die personenbezogenen Daten eines Verbrauchers nicht für einen anderen Zweck als den geschäftlichen Zweck der Bereitstellung der im MSA angegebenen Dienste aufbewahren, nutzen oder offenlegen wird, es sei denn, dies ist ihm als Dienstleister gemäß dem CCPA gestattet.

3.5         ServiceChannel bestätigt hiermit, dass es die personenbezogenen Daten, die es vom Kunden oder im Namen des Kunden erhält, nicht mit personenbezogenen Daten kombiniert, die es von einer anderen Person bzw. anderen Personen oder in deren Namen erhält oder die es von seinen eigenen Interaktionen mit dem Kunden erfasst, es sei denn, dies ist gemäß dem CCPA ausdrücklich gestattet und erfolgt in Übereinstimmung mit dem CCPA.

3.6         Der Auftragsverarbeiter bestätigt, dass er die personenbezogenen Daten eines Verbrauchers unabhängig vom Grund nicht verkaufen oder weitergeben darf. Der Kunde darf ServiceChannel keine sensiblen Daten zur Verfügung stellen.

4. Vertraulichkeit der Verarbeitung/ServiceChannel-Personal

4.1         ServiceChannel stellt sicher, dass jede Person, die es zur Verarbeitung der personenbezogenen Kundendaten autorisiert (eine „autorisierte Person“) die personenbezogenen Kundendaten gemäß den Vertraulichkeitsverpflichtungen von ServiceChannel im Rahmen dieser Vereinbarung schützt.

4.2         ServiceChannel stellt sicher, dass sein Personal, das an der Verarbeitung personenbezogener Kundendaten mitwirkt, über den vertraulichen Charakter der personenbezogenen Kundendaten informiert wird und Vertraulichkeitspflichten unterliegt.

4.3         ServiceChannel stellt sicher, dass der Zugriff auf personenbezogene Kundendaten auf das Personal beschränkt ist, das diesen Zugriff benötigt, um die Dienste bereitzustellen.

4.4         ServiceChannel benennt, soweit dies gemäß den Datenschutzgesetzen erforderlich ist, einen Datenschutzbeauftragten.

5. Sicherheit/Handhabung von und Benachrichtigung über Verletzungen

5.1         ServiceChannel setzt wie in Anlage II dargelegt angemessene technische und organisatorische Maßnahmen zum Schutz der Sicherheit, Vertraulichkeit und Integrität personenbezogener Kundendaten um, um die personenbezogenen Kundendaten vor Sicherheitsverletzungen zu schützen.

5.2         Wenn ServiceChannel von einer Sicherheitsverletzung Kenntnis erlangt, wird ServiceChannel unverzüglich: (i) den Kunden über die Sicherheitsverletzung informieren; (ii) die Sicherheitsverletzung untersuchen und dem Kunden Informationen darüber zur Verfügung stellen; und (iii) angemessene Schritte ergreifen, um die Auswirkungen und Schäden zu verringern, die sich aus der Sicherheitsverletzung ergeben.

5.3         Der Kunde erklärt sich damit einverstanden, dass fehlgeschlagene Sicherheitsverletzungen von dieser Klausel 5 ausgeschlossen sind. Eine fehlgeschlagene Sicherheitsverletzung ist eine Verletzung, die nicht zu einem unbefugten Zugriff auf personenbezogene Kundendaten oder auf Geräte oder Einrichtungen von ServiceChannel führt, die personenbezogene Kundendaten speichern, und kann unter anderem Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe oder ähnliche Vorfälle umfassen.

5.4         Benachrichtigungen über Sicherheitsverletzungen werden ggf. einem oder mehreren geschäftlichen, technischen oder administrativen Kontakten des Kunden auf eine beliebige, von ServiceChannel festgelegte Weise zugestellt, einschließlich per E-Mail. Es liegt in der alleinigen Verantwortung des Kunden, dafür zu sorgen, dass in den Supportsystemen von ServiceChannel jederzeit korrekte Kontaktdaten bereitstehen.

6. Unterverarbeitung

6.1         Der Kunde bestätigt und erklärt sich damit einverstanden, dass (i) verbundene Unternehmen von ServiceChannel als Unterauftragsverarbeiter beauftragt werden können; und (ii) ServiceChannel in Verbindung mit der Bereitstellung der Dienste externe Unterauftragsverarbeiter beauftragen kann. Solche Unterauftragsverarbeiter dürfen personenbezogene Kundendaten ausschließlich zur Bereitstellung der Dienste in Empfang nehmen, zu deren Bereitstellung ServiceChannel sie beauftragt hat, und diese nicht für andere Zwecke nutzen. ServiceChannel schließt mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung ab, die diesem Verpflichtungen auferlegt, die im Wesentlichen denen entsprechen, die ServiceChannel durch diese Vereinbarung auferlegt werden. ServiceChannel bleibt dem Kunden gegenüber für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit ServiceChannel in vollem Umfang verantwortlich.

6.2         ServiceChannel kann die Unterauftragsverarbeiter, die zum Zeitpunkt dieser Vereinbarung bereits von ServiceChannel oder einem verbundenen Unternehmen von ServiceChannel beauftragt wurden, weiterhin einsetzen.

6.3         ServiceChannel informiert den Kunden im Voraus schriftlich über die Benennung eines neuen Unterauftragsverarbeiters, einschließlich unter Angabe von Einzelheiten der vom Unterauftragsverarbeiter durchzuführenden Verarbeitung. Wenn der Kunde ServiceChannel innerhalb von 10 Tagen nach Erhalt dieser Mitteilung schriftlich über (angemessene) Einwände gegen die geplante Benennung informiert, darf ServiceChannel diesen geplanten Unterauftragsverarbeiter erst benennen, wenn angemessene Schritte ergriffen wurden, um die vom Kunden vorgebrachten Bedenken zu klären, und dem Kunden eine angemessene schriftliche Erklärung zu den ergriffenen Schritten übermittelt wurde.

6.4         ServiceChannel darf (egal ob als Exporteur oder Importeur der personenbezogenen Kundendaten) nicht an anderen eingeschränkten Übermittlungen personenbezogener Kundendaten mitwirken (und darf dies auch keinem Unterauftragsverarbeiter gestatten), es sei denn, die eingeschränkte Übermittlung erfolgt in voller Übereinstimmung mit den Datenschutzgesetzen und gemäß den Standardvertragsklauseln, die zwischen dem Exporteur und Importeur der personenbezogenen Kundendaten umgesetzt wurden.

7. Eingeschränkte Übermittlung

7.1         Die Parteien vereinbaren, dass, wenn die Übermittlung personenbezogener Kundendaten vom Kunden an ServiceChannel als eingeschränkte Übermittlung gilt, diese den entsprechenden Standardvertragsklauseln wie folgt unterliegt:

(a)         In Bezug auf personenbezogene Kundendaten, die durch die EU-DSGVO geschützt sind, gelten die EU-SCCs wie folgt:

(i)     Es gilt Modul zwei;

(ii)    Es gilt die optionale Andockklausel in Klausel 7;

(iii)   Es gilt Option 2 in Klausel 9; die Frist für die vorherige Benachrichtigung über Änderungen am Unterauftragsverarbeiter ist in Klausel 6.3 dieser Vereinbarung festgelegt;

(iv)   Die optionale Formulierung in Klausel 11 gilt nicht;

(v)    Es gilt Option 1 in Klausel 17; die EU-SCCs unterliegen irischem Recht;

(vi)   Streitigkeiten werden gemäß Klausel 18(b) vor den Gerichten Irlands beigelegt;

(vii)  Anlage I der EU-SCCs gilt als mit den in Anlage I dieser Vereinbarung dargelegten Informationen ausgefüllt;

(viii)  Anlage II der EU-SCCs gilt als mit den in Anlage II dieser Vereinbarung dargelegten Informationen ausgefüllt; und

(b)         In Bezug auf personenbezogene Kundendaten, die durch die britische DSGVO geschützt sind, gilt der Nachtrag zum Vereinigten Königreich wie folgt als ausgefüllt:

(i)          Die EU-SCCs, die wie oben in Klausel 7.1(a) dieser Vereinbarung dargelegt ausgefüllt werden, gelten vorbehaltlich Unterklausel (ii) unten auch für die Übermittlung solcher personenbezogenen Kundendaten;

(ii)         Tabelle 1 bis 3 des Nachtrags zum Vereinigten Königreich gilt wie oben dargelegt als mit relevanten Informationen aus den EU-SCCs ausgefüllt; die Option „keine der Parteien“ (neither party) in Tabelle 4 gilt als angekreuzt. Das Startdatum des Nachtrags zum Vereinigten Königreich (wie in Tabelle 1 dargelegt) ist das Datum dieser Vereinbarung; und

(c)         Für den Fall, dass eine Bestimmung dieser Vereinbarung den Standardvertragsklauseln direkt oder indirekt widerspricht, haben die Standardvertragsklauseln Vorrang.

7.2         Für den Fall, dass der aktuelle Nachtrag zum Vereinigten Königreich oder die EU-SCCs aufgehoben oder durch neue Standardvertragsklauseln ersetzt werden, vereinbaren die Parteien, dass diese neuen Standardvertragsklauseln automatisch auch für die Übermittlung personenbezogener Kundendaten vom Kunden an ServiceChannel gelten und wie in Klausel 7.1 oben beschrieben als entsprechend ausgefüllt gelten.

8. Zusammenarbeit und Rechte betroffener Personen

8.1         Soweit der Kunde im Rahmen der Nutzung oder des Erhalts der Dienste nicht in der Lage ist, personenbezogene Kundendaten zu korrigieren, zu ändern, einzuschränken, zu sperren oder zu löschen, wie es die Datenschutzgesetze verlangen, unternimmt ServiceChannel, soweit es gesetzlich dazu berechtigt ist, wirtschaftlich angemessene Anstrengungen, um angemessenen Anfragen des Kunden bzgl. der Ergreifung solcher Maßnahmen nachzukommen.

8.2         ServiceChannel wird den Kunden, soweit gesetzlich zulässig, unverzüglich benachrichtigen, wenn es von einer betroffenen Person eine Anfrage zur Ausübung ihrer Rechte gemäß DSGVO oder eine Verbraucheranfrage zur Ausübung von Rechten gemäß dem California Consumer Protection Act erhält. ServiceChannel darf ohne die vorherige schriftliche Genehmigung des Kunden nicht auf eine solche Anfrage einer betroffenen Person reagieren, außer um zu bestätigen, dass sich die Anfrage auf den Kunden bezieht. ServiceChannel wird dem Kunden bei der Bearbeitung der Anfrage einer betroffenen Person wirtschaftlich angemessene Zusammenarbeit und Unterstützung leisten, soweit dies gesetzlich zulässig ist und soweit der Kunde im Rahmen seiner Nutzung oder seines Erhalts der Dienste keinen Zugriff auf solche personenbezogenen Kundendaten hat.

9. Kündigung; Löschung oder Rückgabe von Daten

9.1         Diese Vereinbarung endet bei Kündigung oder Ablauf der MSA automatisch.

9.2         Nach Kündigung oder Ablauf der MSA wird ServiceChannel (nach Wahl des Kunden) alle personenbezogenen Daten in seinem Besitz oder unter seiner Kontrolle im Einklang mit den Datenaufbewahrungsrichtlinien von ServiceChannel, die den Anforderungen der Datenschutzgesetze entsprechen, gemäß den Bedingungen der Vereinbarung vernichten oder an den Kunden zurückgeben, soweit dies möglich ist. Diese Anforderung gilt nicht, wenn ServiceChannel nach geltendem Gesetz verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren; sie gilt ebenfalls nicht für personenbezogene Daten, die in Back-up-Systemen archiviert sind. Solche Daten werden von ServiceChannel sicher isoliert und vor jeder weiteren Verarbeitung geschützt, außer wie diese nach Gesetz erforderlich ist, bis eine Löschung möglich ist.

10. Audit

10.1       Der Kunde erkennt an, dass ServiceChannel regelmäßig von unabhängigen externen Auditoren auf Befolgung des SSAE 18 SOC 1 und SOC 2-Standards geprüft wird.  Auf Anfrage stellt ServiceChannel dem Kunden eine Zusammenfassung seines/seiner Auditbericht(-s/-e) zur Verfügung, das/die den Vertraulichkeitsbestimmungen der MSA unterliegt/unterliegen.

10.2       Anfragen an ServiceChannel zur Leistung von Unterstützung bei einem Audit gelten als separater Dienst, wenn diese Unterstützung bei einem Audit die Verwendung von Ressourcen erfordert, die sich von den gesetzlich vorgeschriebenen unterscheiden oder diese ergänzen.  Der Kunde entschädigt ServiceChannel für die für einen solchen Audit aufgewendete Zeit zu den von den Parteien vereinbarten Sätzen. Vor Beginn eines solchen Audits vereinbaren der Kunde und ServiceChannel gemeinsam den Umfang, den Zeitpunkt und die Dauer des Audits, ebenso wie den Entschädigungssatz, der vom Kunden zu zahlen ist. Der Entschädigungssatz muss unter Berücksichtigung der von ServiceChannel aufgewendeten Ressourcen angemessen sein. Der Kunde muss ServiceChannel unverzüglich über alle im Rahmen eines Audits entdeckten Verstöße informieren.

10.3       ServiceChannel unterstützt den Kunden (auf Kosten des Kunden) in Verbindung mit Datenschutz-Folgenabschätzungen, die nach geltendem Datenschutzgesetz evtl. erforderlich sind, in angemessener Weise.

11. Haftungsbeschränkung

Diese Vereinbarung unterliegt den Haftungsbeschränkungen und Haftungsausschlüssen gemäß MSA.

12. Parteien dieser Vereinbarung

Nichts in dieser Vereinbarung überträgt irgendwelche Vorteile oder Rechte an eine natürliche oder juristische Person, die keine Partei dieser Vereinbarung ist.

13. Rechtliche Wirkung

Diese Vereinbarung zwischen dem Kunden und ServiceChannel wird erst rechtsverbindlich, wenn sie von beiden Parteien unterzeichnet wurde. Wenn dieses Dokument von einer der Parteien elektronisch unterzeichnet wird, hat diese Unterschrift die gleiche rechtliche Wirkung wie eine handschriftliche Unterschrift.

14. Allgemeines

14.1       Diese Vereinbarung unterliegt in jeder Hinsicht den Bestimmungen zum geltenden Recht und Rechtsstand in der MSA und wird in jeder Hinsicht entsprechend ausgelegt, vorausgesetzt, dass im Falle eines Konflikts zwischen der MSA und dieser Vereinbarung in Bezug auf die Verarbeitung personenbezogener Daten diese Vereinbarung Vorrang hat.

14.2       Diese Vereinbarung kann in einer beliebigen Anzahl von Ausfertigungen unterzeichnet werden, von denen jede als Original gilt und die alle zusammen die gleiche Vereinbarung zwischen den Parteien darstellen.

14.3       Außer wie in dieser Vereinbarung dargelegt, bleibt die MSA in vollem Umfang rechtskräftig und wirksam.

 

ANLAGE I
A. LISTE DER PARTEIEN
Datenexporteur(e): [Identität und Kontaktdaten des/der Datenexporteur(-s/-e) und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Repräsentanten in der Europäischen Union]

Name:	Gemäß MSA
Adresse:	Gemäß MSA
Name, Position und Kontaktdaten der Kontaktperson:	Gemäß MSA
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:	Übermittlung personenbezogener Daten an ServiceChannel gemäß MSA
Unterschrift und Datum:	Gemäß Ausführung der MSA
Rolle (Verantwortlicher/Auftragsverarbeiter):	Verantwortlicher

Datenimporteur(e): [Identität und Kontaktdaten des/der Datenimporteur(-s/-e), einschließlich aller für den Datenschutz verantwortlichen Kontaktpersonen]

Name:	ServiceChannel.com, Inc.
Adresse:	6200 Stoneridge Mall Road, Suite 450, Pleasanton, CA 94588, USA
Name, Position und Kontaktdaten der Kontaktperson:	Brian Chase, General Counsel (Chefsyndikus), bchase@servicechannel.com
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:	Erhalt und Weiterverarbeitung personenbezogener Daten vom Kunden gemäß MSA
Unterschrift und Datum:	Gemäß Ausführung der MSA
Rolle (Verantwortlicher/Auftragsverarbeiter):	Auftragsverarbeiter

B. BESCHREIBUNG DER ÜBERMITTLUNG

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden	Personal des Kunden Vom Kunden über die Plattform von ServiceChannel beauftragte Personen
Kategorien übermittelter personenbezogener Daten	Personal des Kunden: Name; Adresse; E-Mail-Adresse; Telefonnummer; Protokolldaten (z. B. IP-Adresse, Geräte-ID, Gerätestandort, Cookies); Details der bereitzustellenden Facility-Management-Dienste (Datum, Uhrzeit, Standort, Dienste, Kommentare, Bewertungen, Gebühren) Vom Kunden über die ServiceChannel-Plattform beauftragte Personen: Name; Adresse; E-Mail-Adresse; Telefonnummer; Protokolldaten (z. B. IP-Adresse, Geräte-ID, Gerätestandort, Cookies); Details der bereitzustellenden Facility-Management-Dienste (Datum, Uhrzeit, Standort, Dienste, Kommentare, Bewertungen, Gebühren)
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. strenge Zweckbindung, Zugriffsbeschränkungen (einschließlich des Zugriffs nur für Personal, das speziell geschult wurde), Aufzeichnung des Zugriffs auf die Daten, Beschränkungen bei der Weiterübermittlung oder weitere Sicherheitsmaßnahmen.	Keine
Häufigkeit der Übermittlung (z. B., ob die Daten einmalig oder kontinuierlich übermittelt werden)	Kontinuierlich, basierend auf der Nutzung der ServiceChannel-Plattform durch den Kunden
Art der Verarbeitung	ServiceChannel betreibt eine cloudbasierte, unabhängige Facility-Management-Lösung, die es seinen Kunden ermöglicht, Reparatur- und Wartungsdienste von Drittanbietern und firmeneigenen Technikern effizienter anzufordern, zu verwalten und zu bezahlen, wodurch sie ihr Markenimage verbessern, erhebliche Einsparungen erzielen, die Compliance verbessern und das Betriebsrisiko senken können. Die ServiceChannel-Plattform kombiniert Web- und mobile Arbeitsauftragsmanagementanwendungen mit einer branchenführenden Analyse-Engine und schafft damit eine vollständige Source-to-Settle-Lösung für das Facility-Management. ServiceChannel hilft Kunden, externe Auftragnehmer, Lieferanten und andere Drittpartner zu beaufsichtigen, wenn diese Dienste bereitstellen oder der Dienstbereitstellung zustimmen. Die Plattform bietet objektive, unabhängige Daten zur Leistung von Drittanbietern.
Zweck(e) der Datenübermittlung und Weiterverarbeitung	Bereitstellung von Diensten im Rahmen der MSA
Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden.	Die Dauer der Verarbeitung entspricht der Dauer der Bereitstellung von Diensten im Rahmen der MSA.
Bei der Übermittlung an (Unter-)Auftragsverarbeiter muss auch der Gegenstand, die Art und Dauer der Verarbeitung angegeben werden.	Wenn ServiceChannel Unterauftragsverarbeiter einsetzt, muss dies in Übereinstimmung mit den Bedingungen der EU-SCCs erfolgen. Der Gegenstand, die Art und die Dauer der vom Unterauftragsverarbeiter durchgeführten Verarbeitung dürfen über den Gegenstand, die Art und die Dauer der in dieser Anlange beschriebenen Verarbeitung nicht hinausgehen.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Geben Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 an:

Die Aufsichtsbehörde in dem Land mit der Hauptniederlassung bzw. der einzigen Niederlassung des Verantwortlichen.

 

 

ANLAGE II
Sicherheitsmaßnahmen
ServiceChannel bleibt für die folgenden wirtschaftlich angemessenen Übermittlungssicherheitsmaßnahmen jederzeit verantwortlich und haftbar:

ÜBERMITTLUNGSSICHERHEITSMASSNAHMEN	MASSNAHMEN, DIE UMGESETZT WERDEN
Pseudonymisierung und Verschlüsselung personenbezogener Daten	Pseudonymisierung Zeichenausblendung Austausch K-Anonymität Verschlüsselung HTTPS-Verschlüsselung von Daten während der Übermittlung (mit TLS 1.2 oder höher) auf jeder Anmeldeschnittstelle unter Verwendung von Algorithmen und Zertifikaten nach Branchenstandard Verschlüsselung von Daten im Ruhezustand unter Verwendung des AES 256-Algorithmus nach Branchenstandard
Maßnahmen zur Gewährleistung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten	Vertraulichkeit Virtuelles privates Netzwerk (VPN) Multi-Faktor-Authentifizierung (MFA) Differenziertes Rechtesystem basierend auf Sicherheitsgruppierungen und Zugriffskontrolllisten Sichere Übermittlung von Anmeldedaten mit TLS 1.2 (oder höher) Definierte Mindestanforderungen an die Komplexität von Passwörtern.  Zwingende Änderung des Passworts nach erster Anmeldung. Automatische Kontosperre Richtlinien für den Umgang mit Passwörtern Zugriffskontrollen für Infrastruktur, die vom Cloud-Dienstanbieter gehostet wird. Zugriffsberechtigungsmanagement inkl. Berechtigungskonzept, Umsetzung von Zugriffsbeschränkungen, Umsetzung des „Need-to-know“-Prinzips, Verwaltung individueller Zugriffsrechte Schulungs- und Vertraulichkeitsvereinbarungen für internes und externes Personal Netzwerktrennung Trennung von Verantwortlichkeiten und Pflichten Beschränkung des Zugriffs auf personenbezogene Daten auf die an der Verarbeitung beteiligten Parteien gemäß dem „Need-to-know“-Prinzip und entsprechend der Funktion gemäß den differenzierten Zugriffsprofilen Integrität Sichere Netzwerkverbindungen durch Firewalls usw. Protokollierung der Übermittlung von Daten aus IT-Systemen, die personenbezogene Daten speichern oder verarbeiten. Protokollierung der Authentifizierung und Überwachung des logischen Systemzugriffs Protokollierung des Datenzugriffs, einschließlich u. a. von Zugriff, Änderung, Eingabe und Löschung von Daten Dokumentation der Dateneingaberechte und Protokollierung sicherheitsrelevanter Einträge Webanwendungsfirewall (Web Application Firewall, WAF) Verfügbarkeit und Belastbarkeit Back-up von Kundendaten in mehreren langlebigen Datenspeichern und Replikation über mehrere Verfügbarkeitszonen hinweg Schutz gespeicherter Back-up-Medien
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen.	Kontinuitätsplanung und Notfallwiederherstellungsplan Notfallwiederherstellungsprozesse zur Wiederherstellung von Daten und Abläufen Maximale Wiederherstellungszeit (Recovery Time Objective, RTO) Maximal tolerierbarer Datenverlust (Recovery Point Objective, RPO) Maximal tolerierbare Ausfallzeit (Maximum Tolerable Downtime, MTD) Kapazitätsmanagementmaßnahmen zur Überwachung des Ressourcenverbrauchs von Systemen sowie Planung zukünftiger Ressourcenanforderungen Verfahren zur Handhabung und Meldung von Vorfällen (Vorfallsmanagement), einschließlich der Erkennung und Reaktion auf mögliche Sicherheitsvorfälle Back-up produktiver Daten stündlich in inkrementeller Form und täglich als vollständiges Back-up. Aufbewahrung aller Back-ups in redundanter und verschlüsselter Form (AES-256).
Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung	Prüfung der Notfallausrüstung Dokumentation von Schnittstellen und Feldern für personenbezogene Daten Interne und externe Audits Sicherheitskontrollen (z. B. Penetrationstests) durch externe Parteien SOC 1- und 2-Audits Regelmäßiges Benchmarking und Tests mit Branchenstandards, z. B. SANS Top 20 Controls for Internet Security, NIST-Leitlinien usw.
Maßnahmen zur Benutzeridentifizierung und -berechtigung	Sichere Netzwerkverbindungen durch VPN, MFA, Firewalls usw. Protokollierung der Übermittlung von Daten aus IT-Systemen, die personenbezogene Daten speichern oder verarbeiten. Protokollierung der Authentifizierung und Überwachung des Systemzugriffs Gewährleistung des Zugriffs auf Daten, die für die Erledigung der jeweiligen Aufgabe erforderlich sind, innerhalb der Systeme und Anwendungen durch ein entsprechendes Rollen- und Berechtigungskonzept nach dem „Need-to-know“-Prinzip. Webanwendungsfirewall (Web Application Firewall, WAF)
Maßnahmen zum Schutz der Daten während der Übermittlung	Remote-Zugriff auf das Netzwerk über VPN-Tunnel und End-to-End-Verschlüsselung HTTPS-Verschlüsselung der Daten während der Übermittlung (mit TLS 1.2 oder höher)
Maßnahmen zum Schutz von Daten während der Speicherung	Aufzeichnung von Systemeingaben über Protokolldateien Zugriffskontrolllisten (Access Control Lists, ACL) Multi-Faktor-Authentifizierung (MFA)
Maßnahmen zur Gewährleistung der physischen Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden.	Unterteilung der Einrichtung in einzelne Zonen mit unterschiedlichen Zutrittsberechtigungen Physischer Zugangsschutz (z. B. Stahltüren, fensterlose Räume oder gesicherte Fenster) Elektronisches Zugriffskontrollsystem zum Schutz von Sicherheitsbereichen Überwachung der Einrichtung durch Sicherheitsdienste und Protokollierung des Zugangs zur Einrichtung Videoüberwachung aller sicherheitsrelevanten Bereiche wie der Eingänge, Notausgänge und Serverräume Zentrale Vergabe und Widerruf von Zugriffsberechtigungen Identifizierung aller Besucher durch Überprüfung ihres Personalausweises und Registrierung (Besucherprotokoll) Obligatorische Identifizierung aller Mitarbeiter und Besucher innerhalb der Sicherheitsbereiche Zwingende Begleitung von Besuchern durch Mitarbeiter
Maßnahmen zur Gewährleistung der Ereignisprotokollierung	Protokollierung per Fernzugriff Hash-Ketten Replikation Zentrales System für Sicherheitsereignisse und Informationsmanagement (Security Event and Information Management, SIEM)
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich Standardkonfiguration	Richtlinien und Verfahren zur Zugriffskontrolle Identifizierung der Baseline-Konfiguration Konfigurationsplanung und -verwaltung Verwaltung von Konfigurationsänderungen Protokollierung des Konfigurationsstatus Konfigurationsverifizierung und Audits Verwaltung mobiler Geräte
Maßnahmen zur internen IT-Sicherheitssteuerung und -verwaltung	Definition einer Person, die speziell für die Überwachung des Datensicherheits- und Compliance-Programms des Unternehmens verantwortlich ist. SOC 1- und 2-Audits
Maßnahmen zur Zertifizierung/Garantie von Prozessen und Produkten	Zertifizierungen bzgl. Datensicherheit oder Qualitätsmanagement wie SSAE 18 Typ 2 SOC 1 und SSAE 18 Typ 2 SOC2
Maßnahmen zur Gewährleistung der Datenminimierung	Technologische Hindernisse für die unbefugte Verknüpfung unabhängiger Datenquellen Beschränkung des Detailgrads, der bei der Verarbeitung personenbezogener Daten verwendet wird: z. B. durch Methoden wie K-Anonymität und Verschleierung Löschung von Metadaten, die während bestimmter Prozesse generiert werden, die für das Ziel, das verfolgt wird, nicht erforderlich sind.
Maßnahmen zur Gewährleistung der Datenqualität	Verfahren zur Ausübung von Datenschutzrechten (Recht auf Änderung und Aktualisierung von Daten) Klare Dokumentation der Anforderungen für alle Datenbedingungen und Szenarien Beschränkung des Zugriffs auf personenbezogene Daten auf die an der Verarbeitung beteiligten Parteien gemäß dem „Need-to-know“-Prinzip und entsprechend der Funktion gemäß den differenzierten Zugriffsprofilen Strenge Datenprofilierung und Kontrolle eingehender Daten Datenpipeline-Design zur Vermeidung doppelter Daten Qualitätssicherungsteam Durchsetzung der Datenintegrität
Maßnahmen zur Gewährleistung einer begrenzten Datenaufbewahrung	Klare Aufbewahrungspläne und -richtlinien Prüfung der Wirksamkeit
Maßnahmen zur Gewährleistung der Verantwortlichkeit	Zuweisung von Verantwortlichkeiten zur Gewährleistung des Datenschutzes der Endbenutzer während des gesamten Produktlebenszyklus und über anwendbare Geschäftsprozesse hinweg Datenschutz-Folgenabschätzungen als integraler Bestandteil jeder neuen Verarbeitung Dokumentation aller Entscheidungen, die innerhalb des Unternehmens aus der Perspektive des „Datenschutz-Designs“ getroffen werden.
Maßnahmen zur Ermöglichung der Datenübertragbarkeit und Gewährleistung der Löschung	Dokumentation von Prozessen im Zusammenhang mit der Ausübung von Datenschutzrechten durch die Benutzer (z. B. Recht auf Löschung oder Recht auf Datenübertragbarkeit) Verwendung offener Formate wie CSV, XML oder JSON
Anwendung von Beschränkungen oder Schutzmaßnahmen für sensible Daten (falls zutreffend)	Verschlüsselung oder Hashing von Daten besonderer Kategorien als Norm, obwohl dies gesetzlich nicht ausdrücklich vorgeschrieben ist.

English             Deutsch                      Español                        Français (France)                      中文(简体)