| Name | Verarbeitungsregion | Beschreibung der Verarbeitung von | Übertragungsmechanismus |
|---|---|---|---|
| Amazon Web Services (AWS), Inc. | EU / USA | Hosting | Datenschutz im Rahmen des Datenrahmens |
| Atlassian Pty Ltd. | USA | Hosting | Datenschutz im Rahmen des Datenrahmens |
| Google Cloud Platform LLC | EU / USA | Hosting | Datenschutz im Rahmen des Datenrahmens |
| Microsoft Azure | EU / USA | Hosting | Datenschutz im Rahmen des Datenrahmens |
| Twilio Inc. | USA | Cloud-Kommunikationsplattform | Datenschutz-Framework oder SCC |
Datenverarbeitungsvertrag
Diese Vereinbarung definiert die Bedingungen, unter denen Encryption Consulting personenbezogene Daten im Auftrag seiner Kunden verarbeitet. Sie beschreibt Rollen, Verantwortlichkeiten und Sicherheitsvorkehrungen, um die Einhaltung von Datenschutzgesetzen wie der DSGVO zu gewährleisten. Die DPA stellt sicher, dass Daten rechtmäßig, sicher und nur gemäß den Anweisungen des Kunden verarbeitet werden.
Zuletzt aktualisiert am 14. Januar 2025
Diese Datenverarbeitungsvereinbarung („DPA”) unterliegt dem Master Service Agreement, den Servicebedingungen oder einer anderen Vereinbarung („Zustimmung”), ausgeführt von und zwischen Encryption Consulting LLC („Encryption Consulting" ), und Sie, ein Kunde, Benutzer oder eine Einzelperson („Durch den”). Encryption Consulting und Kunde werden jeweils als „Party“ und zusammenfassend als „Parteien".
Alle hierin nicht definierten Begriffe in Großbuchstaben haben die im Vertrag festgelegte Bedeutung.
WÄHRENDEncryption Consulting ist ein führender Anbieter von kryptografischen Diensten und Produkten und unterstützt Unternehmen dabei, Identitäten zu sichern, Daten zu schützen und digitales Vertrauen aufzubauen. („Verschlüsselungsberatung”), alles wie von den Parteien im jeweiligen Bestellformular oder anderen Bestelldokumenten vereinbart, die in die Vereinbarung aufgenommen wurden (zusammen die „Dienstleistungen)");
WÄHRENDDie Dienste können erfordern, dass Encryption Consulting personenbezogene Daten (wie diese Begriffe unten definiert werden) im Namen des Kunden verarbeitet, die der Kunde Encryption Consulting nur für die hierin festgelegten begrenzten und festgelegten Zwecke und vorbehaltlich der Bedingungen dieser DPA offenlegt; und
WÄHRENDDie Parteien möchten diese DPA ergänzen, um die Einhaltung der Datenschutzgesetze des Vereinigten Königreichs, der EU, der Schweiz, der Vereinigten Staaten und anderer Länder zu erreichen, und vereinbaren Folgendes:
DEFINITIONEN
- "Geeignetes Land„“ ist ein Land, das einen Angemessenheitsbeschluss der Europäischen Kommission oder einer anderen zuständigen Datenschutzbehörde erhalten hat.
- Die Begriffe „Geschäft–Geschäftszweck" "Verbraucher", "Controller–Datensubjekt–Personenbezogene Daten–Verletzung personenbezogener Daten“, “Verarbeitung" (Und "Prozess“), “Prozessor–Holder" „Sensible Daten“, „Dienstanbieter“, „Verkauf“ (oder „Verkaufen“) und „Teilen“, "besonderen Kategorien personenbezogener Daten" und "Aufsichtsbehörde„, haben alle die gleiche Bedeutung, die ihnen gemäß den geltenden Datenschutzgesetzen zugeschrieben wird. Darüber hinaus gilt gemäß dieser DPA „Datensubjekt” bedeutet und bezieht sich auch auf ein „Privatkunden", und "Personenbezogene Daten” bedeutet und bezieht sich auch auf „Personenbezogene Daten", Und "Besondere Kategorien von Daten" oder "Hochsensible Daten” bedeutet und bezieht sich auch auf „Sensible Daten".
- "Kundendaten„“ bezeichnet Kundendaten (wie in der Vereinbarung definiert) und alle personenbezogenen Daten, die von Encryption Consulting im Rahmen der Bereitstellung seiner Dienste für den Kunden verarbeitet werden, alles wie in Anhang I hier beigefügt.
- "Datenschutzrahmen„“ oder „DPF“ bezeichnet das EU-US-Datenschutzrahmenwerk und die UK-Erweiterung des EU-US-Datenschutzrahmenwerks, die vom US-Handelsministerium betrieben werden, in der jeweils gültigen Fassung.
- "Grundsätze des Datenschutzrahmens„“ bezeichnet die Grundsätze und ergänzenden Grundsätze des relevanten Datenschutzrahmens, verfügbar unter: Teilnahmevoraussetzungen Grundsätze des Data Privacy Framework (DPF) in der jeweils gültigen Fassung.
- "Datenschutzgesetz„“ bezeichnet sämtliche geltenden Gesetze und Vorschriften zum Schutz der Privatsphäre und des Datenschutzes (einschließlich, soweit zutreffend, des EU-Datenschutzrechts, der britischen Datenschutzgesetze, der schweizerischen Datenschutzgesetze und der US-Datenschutzgesetze in der jeweils gültigen Fassung).
- "EWR„bedeutet den Europäischen Wirtschaftsraum.
- "Europäische Datenschutzgesetze„“ bezeichnet zusammenfassend die Gesetze und Vorschriften der Europäischen Union, des EWR, ihrer Mitgliedstaaten und des Vereinigten Königreichs, die für die Verarbeitung personenbezogener Daten gelten, einschließlich (sofern zutreffend):
- (i) EU-Datenschutz-Grundverordnung (Verordnung 2016/679) („EU-DSGVO„); Verordnung 2018/1725; und die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) in der geänderten Fassung (e-Privacy-Gesetz);
- (ii) „Britische Datenschutzgesetze„ – das Data Protection Act 2018 (DPA 2018) in der geänderten Fassung und die EU-DSGVO in der geänderten Fassung, die in das britische Recht übernommen wurde („UK DSGVO” und zusammen mit der EU-DSGVO werden hierin als „Datenschutz");
- (iii) „Schweizer Datenschutzgesetze" oder"DSG” – das Schweizerische Bundesgesetz über den Datenschutz (vom 19. Juni 1992, Stand 1. März 2019) („FDPA“) und der Verordnung zum Bundesgesetz über den Datenschutz („FODP");
- (iv) alle nationalen Datenschutzgesetze, die im Rahmen der EU-DSGVO oder des ePrivacy-Gesetzes erlassen wurden, diese ersetzen oder nachfolgen;
- (v) Änderungen oder Gesetze, die die vorgenannten Bestimmungen ersetzen oder aktualisieren; und
- (vi) Jegliche gerichtliche oder behördliche Auslegung der oben genannten Punkte, einschließlich jeglicher verbindlicher gerichtlicher oder behördlicher Auslegung der oben genannten Punkte, oder genehmigte Zertifizierungsmechanismen, die von einer zuständigen Aufsichtsbehörde herausgegeben wurden.
- "Anleitungen„“ bezeichnet die schriftlichen, dokumentierten Anweisungen des Kunden an Encryption Consulting, in denen Encryption Consulting angewiesen wird, eine bestimmte oder allgemeine Aktion in Bezug auf Kundendaten durchzuführen (einschließlich, aber nicht beschränkt auf Anweisungen zur Bereitstellung der Dienste gemäß der Vereinbarung und Anweisungen gemäß dieser DPA).
- "Sicherheitsvorfall„“ bezeichnet jede versehentliche oder unrechtmäßige Zerstörung, jeden Verlust, jede Veränderung, jede unbefugte Offenlegung oder jeden unbefugten Zugriff auf Kundendaten. Jeder Verstoß gegen den Schutz personenbezogener Daten stellt einen Sicherheitsvorfall dar.
- "Standardvertragsklauseln " oder "Standardvertragsklauseln" meint
- (i) Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, angenommen durch den Beschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021, die zu finden sind werden auf dieser Seite erläutert,
- (ii) Der britische „Nachtrag zu den Standardvertragsklauseln der Europäischen Kommission für den internationalen Datentransfer“, verfügbar unter: Nachtrag zum internationalen Datentransfer und hiermit durch Bezugnahme aufgenommen („UK SCC“); oder
- (iii) Die geltenden Standarddatenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten („Schweizer SCC“) herausgegeben, genehmigt oder anerkannt wurden.
- "US-Datenschutzgesetze” bezeichnet alle US-amerikanischen Bundes- und Landesdatenschutzgesetze und -vorschriften, die ab dem Datum des Inkrafttretens dieser DPA in Kraft sind und für die Verarbeitung von Kundendaten durch Encryption Consulting gelten, sowie alle Durchführungsbestimmungen und Änderungen hierzu, einschließlich, aber nicht beschränkt auf die
- (i) California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 – 1798.199) von 2018, einschließlich der Änderungen durch den California Privacy Rights Act sowie alle von Zeit zu Zeit hierzu erlassenen Verordnungen („CCPA"),
- (ii) Der Colorado Privacy Act CRSA § 6-1-1301 ff. (SB 21-190) („CPA"), Die
- (iii) Der Connecticut Data Privacy Act, SB 6 (Connecticut 2022) („CTDPA");
- (iv) Die Florida Digital Bill of Rights SB 262 („FDBR");
- (v) Der Montana Consumer Data Privacy Act 68. Legislaturperiode 2023, SB 0384 („MTCDPA");
- (vi) Der Oregon Consumer Data Privacy Act ORS 646A.570-646A.589 („OCDPA");
- (vii) Der Texas Data Privacy and Security Act, Tex. Bus. & Com. Code Ann. § 541.001 ff. („TDPSA");
- (viii) Der Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 ff. („UCPA");
- (ix) Das Washingtoner „My Health My Data“-Gesetz, Wash. Rev. Code § 19.373.005 ff., und Nev. Rev. Stat. § 603A, geändert durch Nevada SB 370 (zusammen das „Gesetze zu Gesundheitsdaten für Verbraucher in Washington und Nevada“); und
- (x) Der Virginia Consumer Data Protection Act, Va. Code Ann. § 59.1-575 ff. (SB 1392) („VCDPA„). Alle in der jeweils gültigen Fassung und einschließlich aller Durchführungsbestimmungen und Änderungen dazu.
Alle anderen hier nicht definierten Begriffe haben die ihnen im Vertrag oder den geltenden Datenschutzgesetzen zugewiesene Bedeutung. Verweise auf Begriffe oder Abschnitte der Datenschutzgesetze beziehen sich auf die jeweils gültige Fassung. Verweise auf die DSGVO in dieser Datenschutzvereinbarung beziehen sich je nach anwendbarem Recht auf die DSGVO oder die UK-DSGVO.
Rollen und Details der Verarbeitung
- Die Parteien vereinbaren und erkennen an, dass Encryption Consulting im Rahmen der Erfüllung ihrer im Vertrag festgelegten Verpflichtungen und in Bezug auf die Verarbeitung von Kundendaten sowie gemäß den geltenden Datenschutzgesetzen als Datenverarbeiter und der Kunde als Datenverantwortlicher fungiert.
- Jede Partei ist einzeln und gesondert für die Einhaltung der für sie geltenden Verpflichtungen gemäß geltendem Datenschutzrecht verantwortlich. Der Kunde trägt die alleinige Verantwortung dafür, dass seine Anweisungen den geltenden Datenschutzgesetzen entsprechen und eine rechtmäßige Verarbeitung der Kundendaten ermöglichen, einschließlich der Einholung aller erforderlichen Einwilligungen und Bereitstellung aller gemäß geltendem Datenschutzrecht erforderlichen Offenlegungen.
- Gegenstand und Dauer der vom Auftragsverarbeiter im Auftrag des Verantwortlichen durchgeführten Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen sind beschrieben in Anhang I Anbei.
- Werden sensible Daten oder besondere Kategorien personenbezogener Daten oder hochsensible Daten (gemäß der Definition dieser Begriffe in den Datenschutzgesetzen) verarbeitet, darunter Informationen, die „Verbrauchergesundheitsdaten“ gemäß CTDPA oder den Verbrauchergesundheitsdatengesetzen von Washington und Nevada darstellen, oder Informationen, die „geschützte Gesundheitsinformationen“ gemäß dem Health Insurance Portability and Accountability Act von 1996, 5 USC § 553 ff., sowie allen dazu erlassenen Änderungsgesetzen und Verordnungen darstellen, oder personenbezogene Daten, die von den US-Regulierungsbehörden gemäß den US-Datenschutzgesetzen oder den Verbraucherschutzgesetzen der US-Bundesstaaten oder des Bundes als sensibel erachtet werden, wie etwa Finanzinformationen, demografische Informationen, Kredit-Scores usw., liegt es in der Verantwortung des Kunden, Encryption Consulting über eine derartige Verarbeitung zu informieren und sicherzustellen, dass gegebenenfalls zusätzliche vertragliche Verpflichtungen erfüllt werden. Zur Vermeidung von Missverständnissen sei darauf hingewiesen, dass Encryption Consulting die gemäß dieser DPA verarbeiteten Kundendaten nicht überwacht und überprüft und sich möglicherweise keiner Sensibilität der Kundendaten bewusst ist.
VERARBEITUNG PERSÖNLICHER DATEN
- Encryption Consulting sichert zu und gewährleistet, dass es Kundendaten im Auftrag des Kunden ausschließlich zum Zweck der Erbringung des Dienstes und gemäß den schriftlichen Anweisungen des Kunden gemäß der Vereinbarung und dieser DPA verarbeitet. Ungeachtet des Vorstehenden gilt: Sollte Encryption Consulting nach geltendem Recht, einschließlich Datenschutzgesetzen oder Vorschriften der Union oder eines Mitgliedstaats, verpflichtet sein, Kundendaten anders als vom Kunden angewiesen zu verarbeiten, wird Encryption Consulting angemessene Anstrengungen unternehmen, den Kunden vor der Verarbeitung dieser Kundendaten über diese Anforderung zu informieren, sofern dies nicht nach geltendem Recht verboten ist.
- Encryption Consulting bestätigt hiermit, dass es die Regeln, Anforderungen und Definitionen der geltenden Datenschutzgesetze versteht und Folgendes unterlässt:
- (i) die Kundendaten verkaufen oder weitergeben;
- (ii) die Kundendaten für andere als die im Vertrag festgelegten Geschäftszwecke aufzubewahren, zu verwenden oder offenzulegen;
- (iii) Empfangen oder Verarbeiten personenbezogener Daten als Gegenleistung für die dem Kunden bereitgestellten Dienste; oder
- (iv) Die Kundendaten mit anderen personenbezogenen Daten kombinieren, die es von einem anderen Kunden oder in dessen Namen erhält.
- Encryption Consulting muss die in den geltenden Datenschutzgesetzen festgelegten Anforderungen hinsichtlich der Verarbeitung anonymisierter Daten einhalten.
- Encryption Consulting informiert den Kunden unverzüglich, wenn Encryption Consulting nach eigenem Ermessen der Ansicht ist, dass eine seiner Anweisungen gegen geltendes Recht verstößt. In einem solchen Fall ist Encryption Consulting berechtigt, sämtliche Verarbeitungstätigkeiten im Zusammenhang mit der verletzenden Anweisung unverzüglich auszusetzen oder einzustellen.
- Encryption Consulting benachrichtigt den Kunden, wenn es feststellt, dass es seinen Verpflichtungen aus dieser DPA oder dem geltenden Datenschutzgesetz nicht mehr nachkommen kann.
- Encryption Consulting wird dem Kunden in angemessenem Umfang dabei helfen, seiner Verpflichtung nachzukommen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden durchzuführen, soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist (einschließlich Datenschutz-Folgenabschätzungen und Konsultationen mit Regulierungsbehörden), vorausgesetzt, dass Encryption Consulting nur in Bezug auf Informationen helfen muss, die dem Kunden in angemessenem Umfang zur Verfügung stehen.
- Gegebenenfalls unterstützt Encryption Consulting den Kunden dabei, die Richtigkeit und Aktualität der verarbeiteten Kundendaten sicherzustellen, indem es den Kunden unverzüglich informiert, wenn es feststellt, dass die von ihm verarbeiteten Kundendaten unrichtig oder veraltet sind.
- Encryption Consulting stellt sicher:
- (i) Die Zuverlässigkeit seiner Mitarbeiter und aller anderen unter seiner Aufsicht handelnden Personen, die mit Kundendaten in Kontakt kommen oder anderweitig darauf zugreifen und diese verarbeiten können; und
- (ii) dass sich die zur Verarbeitung der Kundendaten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
RECHTE DER BETROFFENEN PERSONEN UND RECHTSANSPRÜCHE
- Es wird vereinbart, dass Encryption Consulting, wenn es von einer betroffenen Person oder einer zuständigen Behörde eine Anfrage zur Ausübung der Rechte einer betroffenen Person in Bezug auf Kundendaten erhält, den Kunden gegebenenfalls umgehend über eine solche Anfrage informiert und die betroffene Person oder die zuständige Behörde an den Kunden verweist, um dem Kunden die Möglichkeit zu geben, direkt auf die Anfrage der betroffenen Person oder der zuständigen Behörde zu antworten, sofern gemäß den geltenden Gesetzen nichts anderes vorgeschrieben ist.
- Die Parteien leisten einander im Rahmen des gesetzlich Zulässigen im Rahmen des Datenschutzrechts, einschließlich solcher Anfragen im Rahmen des Datenschutzrahmens, wirtschaftlich angemessene Zusammenarbeit und Unterstützung bei der Bearbeitung und Beantwortung von Anfragen betroffener Personen oder zuständiger Behörden. Encryption Consulting leistet dem Kunden die oben genannte Zusammenarbeit und Unterstützung, sofern der Kunde diese Verpflichtungen nicht selbstständig und mit Hilfe der in der Dokumentation, auf der Website oder in anderen von Encryption Consulting bereitgestellten Self-Service-Funktionen verfügbaren Informationen erfüllen kann.
UNTERVERARBEITUNG
- Der Kunde erteilt Encryption Consulting die allgemeine Genehmigung, externe Datenverarbeiter zu beauftragen („Unterauftragsverarbeiter”) zur Verarbeitung von Kundendaten. Der Kunde ermächtigt Encryption Consulting ausdrücklich, die in Anhang III, um Kundendaten zu verarbeiten, und gestattet jedem Unterauftragsverarbeiter, in seinem Namen einen Unterauftragsverarbeiter zu ernennen.
- Encryption Consulting kann einen zusätzlichen Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten beauftragen oder einen bestehenden Unterauftragsverarbeiter ersetzen, sofern dies dem Kunden dreißig (30) Tage im Voraus mitgeteilt wird (eine solche Mitteilung kann über das Kundenkonto oder per E-Mail erfolgen) („Hinweise" und "Kündigungsfrist” bzw. ). Falls der Kunde der Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters nicht innerhalb der Kündigungsfrist widerspricht, gilt dieser Unterauftragsverarbeiter als vom Kunden genehmigt. Falls der Kunde der Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters innerhalb dieser Kündigungsfrist widerspricht, kann Encryption Consulting nach eigenem Ermessen die Beauftragung eines anderen Unterauftragsverarbeiters für dieselben Dienstleistungen vorschlagen oder dem Kunden anderweitig die Möglichkeit geben, den Vertrag zu kündigen, wenn die Dienstleistungen unter diesen Umständen nicht zumutbar erbracht werden können, ohne dass dem Kunden dadurch eine Haftung entsteht.
- Encryption Consulting verpflichtet bei der Beauftragung eines Unterauftragsverarbeiters durch einen rechtsverbindlichen Vertrag zwischen Encryption Consulting und dem Unterauftragsverarbeiter Datenschutzverpflichtungen, die mindestens den gleichen Schutz bieten wie die in dieser Datenverarbeitungsvereinbarung festgelegten Verpflichtungen. Encryption Consulting stellt sicher, dass der Unterauftragsverarbeiter in diesem Vertrag ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bietet, damit die Verarbeitung den Anforderungen der Datenschutzgesetze entspricht. Unterauftragsverarbeiter sind vertraglich verpflichtet, im Falle einer Untersuchung oder eines Sicherheitsvorfalls angemessen mit Encryption Consulting, dem Kunden oder einer zuständigen Aufsichtsbehörde zu kooperieren.
- Encryption Consulting bleibt gegenüber dem Kunden für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß dieser Datenverarbeitungsvereinbarung verantwortlich.
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
- Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und unbeschadet sonstiger von den Parteien vereinbarter Sicherheitsstandards schützt Encryption Consulting die Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten und schützt sie vor Sicherheitsvorfällen.
- Die aktuellen technischen und organisatorischen Maßnahmen, die von Encryption Consulting implementiert und aufrechterhalten werden, sind im Folgenden näher beschrieben: Anhang II dieser DPA in der jeweils aktuellen Fassung (vorausgesetzt, dass derartige Änderungen keine wesentlichen negativen Auswirkungen auf das Schutzniveau der Kundendaten haben).
SICHERHEITSVORFALL
- Encryption Consulting benachrichtigt den Kunden unverzüglich, spätestens jedoch innerhalb von 72 Stunden, sobald es Kenntnis von einem Sicherheitsvorfall mit den Kundendaten erhält. Die Benachrichtigung oder Reaktion von Encryption Consulting auf einen Sicherheitsvorfall gemäß Abschnitt 7 stellt kein Eingeständnis eines Verschuldens oder einer Haftung von Encryption Consulting in Bezug auf den Sicherheitsvorfall dar.
- Encryption Consulting wird:
- (i) Ergreifen Sie angemessene und notwendige Schritte, um Sicherheitsvorfälle zu beheben, deren Auswirkungen zu minimieren, sie zu untersuchen und deren Ursache zu ermitteln.
- (ii) Auf Kundenanfrage kooperiert Encryption Consulting mit dem Kunden und stellt ihm angemessene Unterstützung und Informationen im Zusammenhang mit der Eindämmung, Untersuchung, Behebung oder Schadensbegrenzung des Sicherheitsvorfalls zur Verfügung. Gegebenenfalls ist Encryption Consulting verpflichtet, die betroffenen Personen zu benachrichtigen. Auf Kundenanfrage und unter Berücksichtigung der Art der Verarbeitung und der Encryption Consulting zur Verfügung stehenden Informationen stellt Encryption Consulting einen Bericht oder eine schriftliche Mitteilung mit detaillierten Angaben zum Sicherheitsvorfall, den betroffenen personenbezogenen Daten und den betroffenen Personen zur Verfügung.
PRÜFUNGSRECHTE
- Encryption Consulting führt genaue schriftliche Aufzeichnungen über sämtliche Verarbeitungsaktivitäten von Kundendaten, die im Rahmen dieser DPA durchgeführt werden, und erfüllt seine Verpflichtungen im Rahmen dieser DPA. Encryption Consulting stellt diese Aufzeichnungen dem Kunden auf schriftliche Anfrage dreißig (30) Tage im Voraus zur Verfügung, jedoch nicht öfter als einmal pro zwölf (12) Monate der Beauftragung („Prüfberichte”). Eine Zusammenfassung der ISO27001/ISO27701-Zertifizierung, des SOCII-Berichts oder der letzten Penetrationstests sowie Informationen aus dem Kundenfragebogen gelten als ausreichender Prüfbericht. Der bereitgestellte Prüfbericht gilt als vertrauliche Information von Encryption Consulting und unterliegt den entsprechenden Vertraulichkeitsverpflichtungen gemäß der Vereinbarung oder erfordert die Unterzeichnung einer Geheimhaltungsvereinbarung.
- Für den Fall, dass der Prüfbericht vernünftigerweise als nicht ausreichend zum Nachweis der Einhaltung erachtet wird, stellt Encryption Consulting ausschließlich nach vorheriger angemessener schriftlicher Benachrichtigung und höchstens einmal pro Kalenderjahr einem vom Kunden benannten seriösen Prüfer die erforderlichen Informationen zur Verfügung, um die Einhaltung dieser DPA oder, falls dies durch geltendes Datenschutzrecht oder eine zuständige Behörde erforderlich ist, hinreichend nachzuweisen, und ermöglicht Prüfungen, einschließlich Inspektionen, durch einen solchen seriösen Prüfer ausschließlich in Bezug auf die Verarbeitung der Kundendaten („Audits„) gemäß den hierin enthaltenen Geschäftsbedingungen. Der Prüfer unterliegt den üblichen Vertraulichkeitsverpflichtungen (auch gegenüber Dritten). Encryption Consulting kann der Bestellung eines vom Kunden beauftragten Prüfers widersprechen, wenn Encryption Consulting begründeten Anlass zu der Annahme hat, dass der Prüfer nicht ausreichend qualifiziert ist oder ein Konkurrent von Encryption Consulting ist. Der Kunde trägt alle mit der Prüfung verbundenen Kosten und stellt (und stellt sicher, dass jeder seiner Prüfer) während der Dauer der Prüfung sicher, dass die Prüfung während der regulären Geschäftszeiten durchgeführt wird, und vermeidet Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung, dem Personal und dem Geschäft von Encryption Consulting, während sich dessen Personal während der Dauer der Prüfung in diesen Räumlichkeiten aufhält. Encryption Consulting stimmt einer Prüfung ausschließlich unter den folgenden Bedingungen zu:
- (i) Es wurde eine schriftliche Mitteilung dreißig (30) Tage im Voraus gemacht; und
- (ii) Beschränken Sie Ihre Ergebnisse auf Informationen, die für Kundendaten oder einen entsprechenden Sicherheitsvorfall relevant sind.
- Nichts in diesem DPA verpflichtet Encryption Consulting dazu, dem Kunden oder seinem externen Prüfer Folgendes offenzulegen oder dem Kunden oder seinem externen Prüfer Zugriff darauf zu gewähren:
- (i) Alle Daten anderer Kunden von Encryption Consulting oder interne Daten von Encryption Consulting, einschließlich, aber nicht beschränkt auf Daten, die in der Rolle von Encryption Consulting als Verantwortlicher verarbeitet werden;
- (ii) interne Buchhaltungs- oder Finanzinformationen von Encryption Consulting;
- (iii) Geschäftsgeheimnisse einer Verschlüsselungsberatung oder ihrer verbundenen Unternehmen;
- (iv) Informationen, die nach vernünftiger Einschätzung von Encryption Consulting die Sicherheit der Systeme von Encryption Consulting gefährden oder zu einer Verletzung der Verpflichtungen von Encryption Consulting nach geltendem Recht oder der Sicherheits-, Datenschutz- oder Vertraulichkeitsverpflichtungen gegenüber Dritten führen könnten; oder
- (v) Alle Informationen, auf die der Kunde oder sein externer Prüfer aus anderen Gründen als der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen in gutem Glauben zugreifen möchte. Der Zugriff auf Teile der IT-Systeme oder der Infrastruktur von Encryption Consulting (einschließlich, aber nicht beschränkt auf praktische oder aufdringliche Tests) ist nicht gestattet.
GRENZÜBERSCHREITENDE ÜBERTRAGUNG PERSONENBEZOGENER DATEN
- Encryption Consulting beteiligt sich am Data Privacy Framework und zertifiziert dessen Einhaltung. Wie vom Data Privacy Framework gefordert, Encryption Consulting
- (i) Bietet mindestens das gleiche Maß an Datenschutz, wie es in den Grundsätzen des Datenschutzrahmens gefordert wird;
- (ii) wird den Kunden benachrichtigen, wenn Encryption Consulting zu dem Schluss kommt, dass es seiner Verpflichtung, das gleiche Schutzniveau wie in den Grundsätzen des Datenschutzrahmens gefordert bereitzustellen, nicht mehr nachkommen kann, und
- (iii) Ergreift nach schriftlicher Mitteilung angemessene und geeignete Schritte, um die unbefugte Verarbeitung personenbezogener Daten zu unterbinden.
- Der Kunde erkennt an und stimmt zu, dass Encryption Consulting im Rahmen der Bereitstellung der Dienste Kundendaten verarbeiten und in verschiedene Rechtsräume übertragen kann, in denen Encryption Consulting, seine verbundenen Unternehmen oder Unterauftragsverarbeiter tätig sind. Encryption Consulting stellt sicher, dass die Übertragungen in Übereinstimmung mit den Datenschutzgesetzen erfolgen.
- Wo europäische Datenschutzgesetze gelten:
- Encryption Consulting übermittelt Kundendaten aus dem EWR, Großbritannien oder der Schweiz nicht in Länder oder an Empfänger, die kein angemessenes Schutzniveau für diese personenbezogenen Daten (im Sinne des Europäischen Datenschutzrechts) bieten, es sei denn, Encryption Consulting ergreift zuvor alle erforderlichen Maßnahmen, um sicherzustellen, dass die Übermittlung den geltenden Datenschutzgesetzen entspricht. Zu diesen Maßnahmen können (ohne Einschränkung) gehören:
- (i) Übermittlung solcher Kundendaten an einen Empfänger, der durch einen geeigneten Rahmen oder einen anderen rechtlich angemessenen Übermittlungsmechanismus abgedeckt ist, der von den zuständigen Behörden oder Gerichten als ein angemessenes Schutzniveau für personenbezogene Daten gewährleistend anerkannt ist, einschließlich an ein angemessenes Land oder an angemessene Datenschutz- und Übermittlungsrahmen;
- (ii) An einen Empfänger, der eine verbindliche Unternehmensregelautorisierung gemäß geltendem Datenschutzrecht erhalten hat; oder
- (iii) An einen Empfänger, der die Standardvertragsklauseln unterzeichnet hat.
- Wenn sich der Kunde und Encryption Consulting oder Encryption Consulting und/oder sein Unterauftragsverarbeiter auf die Standardvertragsklauseln berufen, um eine Übertragung in ein Drittland zu ermöglichen, gilt Folgendes:
- Für die Übertragung von Kundendaten aus dem EWR gelten die EU-Standardvertragsklauseln, die wie folgt ausgefüllt werden müssen: (1) Es gilt Modul II (Verantwortlicher gegenüber Auftragsverarbeitern). (2) In Klausel 7 findet die optionale Docking-Klausel keine Anwendung; (3) In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung) für die unter Anhang III und die Methode zur Ernennung eines Unterauftragsverarbeiters ist im Abschnitt zur Unterauftragsverarbeitung des DPA festgelegt; (4) In Klausel 11 findet die optionale Formulierung keine Anwendung und betroffene Personen können keine Beschwerde bei einer unabhängigen Streitbeilegungsstelle einreichen. (5) In Klausel 17 gilt Option 1, und die EU-Standardvertragsklauseln unterliegen dem Recht der Republik Irland. (6) In Klausel 18(b) wählen die Parteien die zuständigen Gerichte der Republik Irland als ihren Gerichtsstand; (7) Anhang I Buchstabe A der EU-Standardvertragsklauseln wird wie folgt ausgefüllt: Der Kunde ist der Datenexporteur, Encryption Consulting ist der Datenimporteur, die Kontaktdaten der Parteien sind das Datum des Inkrafttretens der Vereinbarung; Anhang I(B) der EU-Standardvertragsklauseln gemäß Anhang I dieser DPA ausgefüllt ist; Anhang I(C) der EU-Standardvertragsklauseln Die zuständige(n) Aufsichtsbehörde(n) wird/werden als die Aufsichtsbehörde der Republik Irland bezeichnet;(8) Anhang II der EU-Standardvertragsklauseln gilt mit den in Anhang III dieser DPA aufgeführten Informationen als abgeschlossen;(9) Anhang III der EU-Standardvertragsklauseln wird durch die Liste der Unterauftragsverarbeiter in Anhang II dieser DPA ergänzt.
- Für die Übertragung von Kundendaten aus dem Vereinigten Königreich gelten die britischen SCC und müssen wie folgt ausgefüllt werden: (1) Tabelle 1 ist gemäß Abschnitt (i)(7) oben auszufüllen; (2) Tabelle 2 ist gemäß den Ausführungen in Abschnitt (i)(1) – (i)(4) oben auszufüllen;(3) Tabellen 3 ist wie folgt auszufüllen: Anhang 1A muss mit den relevanten Informationen gemäß Abschnitt (i)(7) oben ausgefüllt werden; Anhang 1B ist mit den relevanten Informationen gemäß Anhang I dieser DPA; , Anhang II muss mit den relevanten Informationen gemäß Anhang III dieser DPA ausgefüllt werden; Anhang III wird durch die Liste der Unterauftragsverarbeiter in Anhang II dieser DPA ergänzt; (4) Tabelle 4 muss mit der Option „keine Partei“ ausgefüllt werden; und (5) Jeder Konflikt zwischen den Bedingungen der EU-SCC und der UK-SCC wird gemäß Abschnitt 10 und Abschnitt 11 der UK-SCC gelöst.
- Für die Übertragung von Kundendaten aus der Schweiz gelten die Schweizer SCC mit folgenden Änderungen: (i) Verweise auf die „Verordnung (EU) 2016/679“ werden als Verweise auf das Schweizer DPA interpretiert; (ii) Verweise auf „EU“, „Union“ und „Recht der Mitgliedstaaten“ werden als Verweise auf Schweizer Recht interpretiert; und (iii) Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständige Gerichte“ werden durch „den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“ und die „zuständigen Gerichte in der Schweiz“ ersetzt.
- Encryption Consulting übermittelt Kundendaten aus dem EWR, Großbritannien oder der Schweiz nicht in Länder oder an Empfänger, die kein angemessenes Schutzniveau für diese personenbezogenen Daten (im Sinne des Europäischen Datenschutzrechts) bieten, es sei denn, Encryption Consulting ergreift zuvor alle erforderlichen Maßnahmen, um sicherzustellen, dass die Übermittlung den geltenden Datenschutzgesetzen entspricht. Zu diesen Maßnahmen können (ohne Einschränkung) gehören:
LAUFZEIT, KÜNDIGUNG UND KONFLIKT
- Diese DPA tritt mit dem (im Vertrag festgelegten) Datum des Inkrafttretens in Kraft und bleibt bis zur Beendigung des Vertrags oder solange Encryption Consulting Kundendaten verarbeitet, in Kraft.
- Encryption Consulting ist berechtigt, diese DPA zu kündigen oder die Verarbeitung von Kundendaten einzustellen, falls die Verarbeitung von Kundendaten gemäß den Anweisungen des Kunden oder dieser DPA gegen geltende gesetzliche Anforderungen verstößt, sofern der Kunde nicht innerhalb von zehn (10) Tagen nach Erhalt der entsprechenden Mitteilung von Encryption Consulting aktualisierte Anweisungen zur Behebung des Verstoßes erteilt hat. Alternativ kann Encryption Consulting nach eigenem Ermessen die Verarbeitung der Kundendaten bis zur Behebung des Verstoßes aussetzen, ohne dass dem Kunden hierdurch eine Haftung entsteht und unbeschadet der dem Kunden vor dem Aussetzungsdatum entstandenen Gebühren.
- Nach Beendigung oder Ablauf dieser DPA löscht Encryption Consulting nach Wahl des Kunden alle im Auftrag des Kunden verarbeiteten Kundendaten und bestätigt dem Kunden die Löschung. Bis zur Löschung oder Rückgabe der Kundendaten gewährleisten die Parteien die Einhaltung dieser DPA. Die Wahl des Kunden ist Encryption Consulting nach Wirksamwerden der Kündigung schriftlich mitzuteilen. Ungeachtet des Vorstehenden kann Encryption Consulting Kundendaten aufbewahren.
- (i) Wie es die geltenden Gesetze vorschreiben; oder
- (ii) In Übereinstimmung mit seinen Standardrichtlinien zur Datensicherung oder Datenaufbewahrung, vorausgesetzt, dass Encryption Consulting in beiden Fällen die Vertraulichkeit der gespeicherten Kundendaten wahrt und die geltenden Bestimmungen dieser Datenverarbeitungsvereinbarung in Bezug auf diese Daten einhält und diese nicht weiterverarbeitet, außer wenn dies durch das Datenschutzgesetz vorgeschrieben ist.
- Im Falle eines Konflikts zwischen den Bedingungen dieser DPA und der Vereinbarung hat diese DPA Vorrang. Zur Vermeidung von Missverständnissen: Falls zwischen den Parteien Standardvertragsklauseln vereinbart wurden, haben die Bedingungen der Standardvertragsklauseln Vorrang vor denen dieser DPA.
ANHANG I.
DETAILS DER VERARBEITUNG
Dieser Anhang enthält bestimmte Einzelheiten zur Verarbeitung von Kundendaten gemäß den Datenschutzgesetzen.
Kategorien betroffener Personen:
Wie vom Kunden während der Nutzung der Dienste hochgeladen.
Kategorien der verarbeiteten personenbezogenen Daten:
Wie vom Kunden während der Nutzung der Dienste hochgeladen.
Besondere Kategorien personenbezogener Daten:
Keine. Dem Kunden ist es ausdrücklich untersagt, Encryption Consulting sensible Daten oder besondere Kategorien von Daten zur Verfügung zu stellen, es sei denn, Encryption Consulting hat dem schriftlich zugestimmt.
Art der Verarbeitung:
Erfassung, Speicherung, Organisation, Kommunikation, Übertragung, Host und andere Arten der Verarbeitung zum Zweck der Bereitstellung der Dienste gemäß der Vereinbarung.
Zweck(e) der Verarbeitung:
Um den Service bereitzustellen.
Aufbewahrungsfrist:
So lange, wie es für die Bereitstellung des Dienstes durch Encryption Consulting erforderlich ist; vorausgesetzt, dass keine gesetzliche Verpflichtung zur Aufbewahrung der Kundendaten nach der Kündigung besteht oder der Kunde nichts anderes verlangt.
Prozesshäufigkeit:
Kontinuierliche Basis
ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Bitte lesen Sie die Sicherheitsrichtlinien von Encryption Consulting werden auf dieser Seite erläutert um mehr über die technischen und organisatorischen Maßnahmen zu erfahren, die sie implementiert, um ein angemessenes Sicherheitsniveau für die Verarbeitung von Kundendaten zu gewährleisten.
ANHANG III
LISTE DER UNTERVERARBEITER
Ab dem oben genannten Datum des Inkrafttretens verwendet Encryption Consulting die folgenden Unterauftragsverarbeiter:
- Definitionen
- Rollen und Details der Verarbeitung
- Verarbeitung personenbezogener Daten
- Rechte der betroffenen Personen und rechtliche Anfragen
- Unterauftragsverarbeitung
- Technische und organisatorische Maßnahmen
- Sicherheitsvorfall
- Prüfungsrechte
- Grenzüberschreitende Übermittlung personenbezogener Daten
- Laufzeit, Kündigung und Konflikt
- Anhang I
- Anhang II
- Anhang III