Lösungen
visitor Besucherverwaltung Automatisieren Sie die Gästeanmeldung mit Sofortbenachrichtigungen, Ausweisdruck und Echtzeit-Besucherverfolgung.
desk Schreibtisch- und Meetingraum-Buchung Geben Sie Ihrem Team die richtigen Werkzeuge an die Hand, um schnell und einfach die benötigten Räume zu finden und zu buchen – genau dann, wenn sie sie brauchen.
time Terminplanung Sichere und skalierbare Tools für die einfache Buchung von Terminen, Interviews und Meetings.
employee Mitarbeiteranmeldung Ermöglichen Sie es Mitarbeitenden und Auftragnehmern, sich ganz einfach vor Ort, aus der Ferne oder unterwegs anzumelden.
time Time & Attendance tracking Flexible Zeiterfassung, die sich an den Zeitplan und Arbeitsstil Ihres Teams anpasst.
Group 1410120575 Sicherheit und Compliance Führen Sie zuverlässige, zentrale Aufzeichnungen mit optimierten Prüfungen, Compliance-Tracking und Risikomanagement-Tools.
Funktionen
Sign In App Tap
Mehrere Standorte
ID-Ausweise
Datenschutz
ID-Scan und Sicherheitskontrolle
Companion App
Evakuierung
Voranmeldung
Veranstaltungen
Integrationen
Alle Funktionen erkunden
Preisgestaltung
Pläne & Preise
Stände vergleichen
Demo buchen
Jetzt kaufen
Branchen
Bildung
Pflege und Wohnbetreuung
Transport und Logistik
Unternehmen
Ressourcen
Blog
Kundenfallstudien
Datensicherheit
Das Team
Kontaktieren Sie uns
Einloggen
Kostenlose Testversion

Globale Datenverarbeitungsvereinbarung („DPA“)

Diese Datenverarbeitungsvereinbarung („DPA“) ist Bestandteil der Vereinbarung, die zwischen Sign In Solutions („Sign In Solutions“ oder „SIS“) und Ihnen (dem „Kunden“) am Tag des Inkrafttretens (wie in der Vereinbarung definiert) geschlossen wurde.
„Sign In Solutions“ bezeichnet die juristische Person, mit der Sie die Vereinbarung geschlossen haben. „Wir“ oder „uns“ bezeichnet Sign In Solutions. Sämtliche Bezugnahmen auf die Vereinbarung umfassen auch diese DPA (einschließlich der nachstehend definierten Standardvertragsklauseln).

Alle in dieser DPA nicht definierten, großgeschriebenen Begriffe haben die ihnen in der Vereinbarung zugewiesene Bedeutung. Diese DPA gilt ausschließlich insoweit, als SIS personenbezogene Daten des Kunden verarbeitet, die durch anwendbare Datenschutzgesetze geschützt sind. Die Unterzeichnung der Vereinbarung durch SIS und den Kunden gilt zugleich als Unterzeichnung, Annahme und Zustimmung zu dieser DPA sowie zu den hierin einbezogenen Standardvertragsklauseln.

Begriffsbestimmungen
„Vereinbarung“

bezeichnet die schriftliche oder elektronische Vereinbarung zwischen dem Kunden und SIS über die Bereitstellung von Produkten durch SIS.
„Verbundene Unternehmen“ (Affiliates) bezeichnet in Bezug auf SIS alle Unternehmen, die SIS besitzen oder kontrollieren, von SIS besessen oder kontrolliert werden oder unter gemeinsamer Kontrolle mit SIS stehen, wie in Anhang D näher beschrieben.
„Anwendbare Datenschutzgesetze“ umfasst alle Gesetze, Verordnungen und sonstigen rechtlichen Anforderungen, die für den Kunden oder SIS gelten, einschließlich insbesondere der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“), der entsprechenden Vorschriften im Vereinigten Königreich („UK GDPR“), des California Consumer Privacy Act („CCPA“) und des California Privacy Rights Act („CPRA“), PIPEDA (Kanada), des australischen Privacy Act 1988, sowie weiterer vergleichbarer Datenschutzgesetze.
„Autorisierte Mitarbeiter“ bezeichnet jede Person (einschließlich Mitarbeiter, Leiharbeitnehmer oder Zeitarbeitskräfte), die befugt ist, personenbezogene Daten unter der Verantwortung von SIS zu verarbeiten.
„Personenbezogene Kundendaten“

bezeichnet alle personenbezogenen Daten, die SIS als Auftragsverarbeiter im Auftrag des Kunden gemäß der Vereinbarung verarbeitet.
„Antrag der betroffenen Person“

bezeichnet einen Antrag einer betroffenen Person auf Ausübung ihrer Rechte in Bezug auf personenbezogene Daten, wie sie durch die geltenden Datenschutzgesetze gewährt werden.
„Weisungen“

bezeichnet die schriftlichen Anweisungen des Kunden an SIS, in denen SIS angewiesen wird, die personenbezogenen Daten gemäß der Vereinbarung und dieser DPA zu verarbeiten, und zwar durch die Nutzung der Merkmale und Funktionen der von SIS gemäß der Vereinbarung bereitgestellten Produkte durch den Kunden oder wie anderweitig von den bevollmächtigten Unterzeichnern beider Parteien schriftlich vereinbart.
„Datenschutzverletzung“

bezeichnet eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt.
„Produkte“

bezeichnet die vom Kunden gemäß der Vereinbarung erworbenen Produkte.
„Sensible Daten“

bedeutet (a) Sozialversicherungsnummer, Passnummer, Führerscheinnummer oder ähnliche Identifikationsnummern; (b) Zahlungskartennummern; (c) Informationen zu Beschäftigung, Finanzen, Genetik, Biometrie oder Gesundheit; (d) Informationen zu Rasse, ethnischer Zugehörigkeit, Mitgliedschaft in Vereinigungen oder Gewerkschaften oder Sexualität; (e) Kontopasswörter; oder (f) andere Informationen, die unter die Definition von „besonderen Datenkategorien“ gemäß den geltenden Datenschutzgesetzen fallen.
„Standardvertragsklauseln“ oder („SCCs“ oder „Klauseln“)

bedeutet (i) die von der Europäischen Kommission am 4. Juni 2021 veröffentlichten Standardvertragsklauseln für internationale Übermittlungen, die die Übermittlung personenbezogener Daten aus dem europäischen Raum in Drittländer regeln und von der Europäischen Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten („EDÖB“) in Bezug auf Datenübermittlungen in Drittländer angenommen wurden (zusammenfassend „EU-SCCs“); (ii) den vom britischen Information Commissioner's Office („UK ICO“) verabschiedeten Zusatz zur internationalen Datenübermittlung („UK Transfer Addendum“) für Datenübermittlungen aus dem Vereinigten Königreich in Drittländer; oder (iii) ähnliche Klauseln einer Datenschutzbehörde in Bezug auf Datenübermittlungen in Drittländer; oder (iv) Nachfolgeklauseln zu (i) – (iii).

 
Unterauftragsverarbeiter bezeichnet jede Person oder Organisation, einschließlich der verbundenen Unternehmen von SIS, die von SIS oder im Namen von SIS im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung beauftragt wurde.
Drittland bezeichnet Länder, die, sofern dies durch geltende Datenschutzgesetze geregelt ist, keine Angemessenheitsentscheidung einer zuständigen Behörde in Bezug auf Datenübermittlungen erhalten haben, darunter Aufsichtsbehörden wie die Europäische Kommission, die britische ICO oder die Schweizer FDPIC.

In dieser DPA haben die folgenden Begriffe (und alle im Wesentlichen ähnlichen Begriffe, wie sie in den geltenden Datenschutzgesetzen definiert sind) die Bedeutungen und sind anderweitig in Übereinstimmung mit den geltenden Datenschutzgesetzen auszulegen: „Unternehmen“, „Datenverantwortlicher“, „Datenverarbeiter“, „betroffene Person“, „Verkauf“, „Dienstleister“, „Weitergabe“, „Aufsichtsbehörde“, „Verarbeitung“ und „Übertragung“ .
  1. Verarbeitung von Daten
    1. Rollen der Parteien. Im Verhältnis zwischen SIS und dem Kunden ist der Kunde der Verantwortliche für die personenbezogenen Daten des Kunden, und SIS verarbeitet die personenbezogenen Daten des Kunden ausschließlich als Auftragsverarbeiter im Auftrag des Kunden, wie in Anhang A (Einzelheiten zur Verarbeitung) dieser DPA beschrieben. Der Kunde ist dafür verantwortlich, alle erforderlichen Mitteilungen zu machen und alle erforderlichen Einwilligungen, Lizenzen und Rechtsgrundlagen einzuholen, damit SIS personenbezogene Daten verarbeiten kann.
    2. Zweckbindung. SIS verarbeitet personenbezogene Daten des Kunden nur im Zusammenhang mit den in dieser DPA vorgesehenen Vereinbarungen und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden, sofern nicht anderweitig durch geltendes Recht vorgeschrieben. Der Kunde weist SIS und seine Unterauftragsverarbeiter an, personenbezogene Daten des Kunden in dem Umfang zu verarbeiten, der für die Bereitstellung der in der Vereinbarung vorgesehenen Produkte und die Erfüllung seiner Verpflichtungen aus der Vereinbarung angemessen erforderlich ist. SIS wird keine personenbezogenen Daten für andere als die in dieser DPA, den SIS-Nutzungsbedingungen oder der SIS-Datenschutzrichtlinie zulässigen Zwecke verkaufen, speichern oder verwenden. SIS wird bei der Verarbeitung personenbezogener Daten die in Anhang B beschriebenen technischen und organisatorischen Maßnahmen anwenden, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
    3. Beschreibung der Verarbeitung. Eine Beschreibung der Art und der Zwecke der Verarbeitung, der Arten personenbezogener Daten, der Kategorien betroffener Personen und der Dauer der Verarbeitung ist in Anhang A dieser DPA näher ausgeführt.
    4. Sensible Daten. Der Kunde bestimmt durch die Nutzung der Dienste, welche Art von Daten über die Produkte übertragen oder verarbeitet werden können. Der Kunde ist dafür verantwortlich, dass vor der Übertragung oder Verarbeitung oder vor der Erlaubnis zur Übertragung oder Verarbeitung sensibler Daten über die Produkte durch den Kunden geeignete Sicherheitsvorkehrungen getroffen werden. Der Kunde ergreift alle zusätzlichen Maßnahmen (z. B. in Bezug auf Einwilligung, Sicherheit, Datenschutz), die zum Schutz dieser sensiblen Daten gemäß seinen Verpflichtungen nach allen geltenden Datenschutzgesetzen erforderlich sind. Die Verarbeitung sensibler Daten durch SIS unterliegt den in dieser DPA festgelegten, von beiden Parteien vereinbarten Umfangsbeschränkungen, Einschränkungen und Sicherheitsvorkehrungen.
    5. Drittländer. Soweit solche Daten im Rahmen dieser DPA in ein Drittland übertragen werden, vereinbaren die Parteien, sich für solche genehmigten Übertragungen an die SCCs zu halten, sofern diese anwendbar sind. Insbesondere unterliegen Übertragungen personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum, der Schweiz oder dem Vereinigten Königreich Großbritannien und Nordirland („UK“) in Drittländer den Standardvertragsklauseln, Modul Zwei oder gegebenenfalls Modul Drei. Die für die Zwecke der SCC erforderlichen Informationen sind in Anhang C dieser DPA enthalten. Die SCC werden hiermit in die Vereinbarung aufgenommen, und die Annahme dieser DPA durch die Parteien gilt als Annahme und Unterzeichnung der Standardvertragsklauseln durch die Parteien. Bei Widersprüchen zwischen den Bestimmungen der Vereinbarung und den SCC haben die Bestimmungen der SCC Vorrang. Ungeachtet des Vorstehenden können die Parteien vereinbaren, anstelle der Standardvertragsklauseln auf Datenübermittlungsmechanismen zurückzugreifen, die gemäß den geltenden Datenschutzgesetzen genehmigt sind.
    6. Einhaltung der Vorschriften durch den Kunden. Der Kunde verpflichtet sich, bei der Nutzung der Produkte personenbezogene Daten jederzeit in Übereinstimmung mit den geltenden Datenschutzgesetzen zu verarbeiten und die Anweisungen für die Verarbeitung personenbezogener Daten bereitzustellen. Der Kunde versichert und garantiert, dass er alle erforderlichen Einwilligungen, Lizenzen und Genehmigungen für die Verarbeitung personenbezogener Daten gemäß dieser DPA eingeholt hat oder einholen wird und dass er, sofern zutreffend, über eine gültige Rechtsgrundlage gemäß den geltenden Datenschutzgesetzen für die Verarbeitung personenbezogener Daten gemäß dieser DPA verfügt. Wenn der Kunde ein Datenverarbeiter personenbezogener Daten ist, versichert und garantiert der Kunde, dass seine Anweisungen und die Verarbeitung personenbezogener Daten, einschließlich der Ernennung von SIS als Unterauftragsverarbeiter, vom jeweiligen Datenverantwortlichen genehmigt wurden. Der Kunde versichert und garantiert ferner, dass er (i) bei der Erfüllung seiner Verpflichtungen aus dieser DPA alle geltenden Datenschutzgesetze einhalten wird und (ii) die Sicherheitspraktiken von SIS geprüft hat und anerkennt, dass diese Praktiken angemessen gestaltet sind, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung im Rahmen dieser Vereinbarung angemessen ist.

    7. Benachrichtigungspflichten hinsichtlich der Anweisungen des Kunden. SIS wird den Kunden unverzüglich schriftlich benachrichtigen, ohne zur Rechtsberatung verpflichtet zu sein, sofern dies nicht durch geltende Datenschutzgesetze untersagt ist, wenn SIS Kenntnis davon erlangt oder Grund zu der Annahme hat, dass eine Datenverarbeitungsanweisung des Kunden gegen geltende Datenschutzgesetze verstößt.

  2. Rückgabe oder Löschung von Daten

    1. Nach Abschluss der Bereitstellung der Produkte wird SIS die personenbezogenen Daten gemäß der Vereinbarung oder der anwendbaren Leistungsdokumentation zurückgeben oder löschen oder dem Kunden die Möglichkeit geben, diese personenbezogenen Daten direkt über die vom Service bereitgestellten Tools oder Funktionen zu löschen. Die vorgenannten Verpflichtungen gelten nicht: (a) wenn die Löschung nach geltendem Recht (einschließlich der anwendbaren Datenschutzgesetze) oder auf Anordnung einer staatlichen oder regulatorischen Behörde nicht zulässig ist; (b) wenn SIS die personenbezogenen Daten für interne Aufzeichnungen und zur Erfüllung gesetzlicher Verpflichtungen aufbewahrt (c) wenn die zum Zeitpunkt geltenden Datensicherungs- oder Aufbewahrungssysteme von SIS personenbezogene Daten speichern, vorausgesetzt, dass diese Daten weiterhin gemäß den in der Vereinbarung und dieser DPA beschriebenen Maßnahmen geschützt bleiben.

  3. Autorisierte Mitarbeiter
    1. SIS stellt sicher, dass alle autorisierten Mitarbeiter über die Vertraulichkeit personenbezogener Daten informiert sind und Vertraulichkeitsvereinbarungen unterzeichnet haben oder anderweitig verbindlichen Vertraulichkeitspflichten unterliegen, die ihnen die Offenlegung oder sonstige Verarbeitung personenbezogener Daten untersagen, es sei denn, dies geschieht in Übereinstimmung mit den Anweisungen und ihren Verpflichtungen im Zusammenhang mit den Produkten.
    2. SIS ergreift wirtschaftlich angemessene Maßnahmen, um sicherzustellen, dass autorisiertes Personal eine Datenschutzschulung erhalten hat, die der Art der Verarbeitung personenbezogener Daten und den Anforderungen der geltenden Datenschutzgesetze angemessen ist.
  4. SIS-Unterauftragsverarbeiter

    1. Der Kunde erteilt SIS hiermit eine allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung (einschließlich der Übermittlung) personenbezogener Daten im Zusammenhang mit den Produkten gemäß diesem Abschnitt 4 zu beauftragen.

    2. Eine Liste der aktuellen Unterauftragsverarbeiter von SIS für alle Produkte (die „Unterauftragsverarbeiterliste“) ist unter https://trust.signinsolutions.com verfügbar. Der jeweils dort angegebene Link gilt als maßgebliche „Unterauftragsverarbeiterliste“ im Sinne dieser DPA. SIS kann diese URL von Zeit zu Zeit aktualisieren und wird den Kunden entsprechend informieren.
    3. Die jeweils aufgeführten Unterauftragsverarbeiter gelten als vom Kunden autorisiert, personenbezogene Daten im Rahmen dieser DPA zu verarbeiten. Mindestens dreißig (30) Tage bevor ein neuer Unterauftragsverarbeiter Zugriff auf personenbezogene Kundendaten erhält oder an deren Verarbeitung beteiligt wird, wird SIS diesen Unterauftragsverarbeiter in die Unterauftragsverarbeiterliste aufnehmen und den Kunden über diese Änderung informieren. Der Kunde kann einer solchen Beauftragung aus berechtigten datenschutzrechtlichen Gründen widersprechen, indem er SIS innerhalb von zehn (10) Tagen nach Erhalt der entsprechenden Mitteilung schriftlich informiert.
    4. Hat der Kunde einen berechtigten Widerspruch gegen den neuen Unterauftragsverarbeiter erhoben und können sich die Parteien innerhalb eines angemessenen Zeitraums nicht auf eine Lösung einigen, ist der Kunde berechtigt, die Vereinbarung mit einer von SIS und dem Kunden einvernehmlich festzulegenden Kündigungsfrist zu kündigen, unbeschadet sonstiger gesetzlicher oder vertraglicher Rechte. In diesem Fall hat der Kunde sämtliche bis zum Beendigungsdatum angefallenen Gebühren und Kosten unverzüglich an SIS zu zahlen.

    5. Erhebt der Kunde keinen Widerspruch gegen die Beauftragung eines Dritten gemäß Abschnitt 4.2, gilt dieser Dritte für die Zwecke dieser DPA als Unterauftragsverarbeiter.

    6. SIS stellt sicher, dass jeder Unterauftragsverarbeiter vertraglichen Verpflichtungen zur Verarbeitung personenbezogener Daten unterliegt, die im Wesentlichen den Verpflichtungen entsprechen, denen SIS gemäß dieser DPA unterliegt.

    7. SIS haftet gegenüber dem Kunden für jede Verletzung dieser DPA, die durch Handlungen oder Unterlassungen eines Unterauftragsverarbeiters verursacht wird.

    8. Sofern der Kunde und SIS die in Abschnitt 6 (Übermittlung personenbezogener Daten) beschriebenen Standardvertragsklauseln abgeschlossen haben, stellen die vorstehenden Genehmigungen die vorherige schriftliche Einwilligung des Kunden zur Unterbeauftragung der Verarbeitung personenbezogener Daten durch SIS dar, sofern eine solche Einwilligung nach den Standardvertragsklauseln erforderlich ist.

  5. Sicherheit der personenbezogenen Daten

    1. SIS wird geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, (i) ein dem Risiko der Verarbeitung personenbezogener Daten angemessenes Sicherheitsniveau zu gewährleisten und (ii) die personenbezogenen Daten vor unbefugtem Zugriff, unbefugter Zerstörung, unbefugter Nutzung, Veränderung oder Offenlegung zu schützen. Diese technischen und organisatorischen Maßnahmen umfassen mindestens Maßnahmen, die den in Anhang B dieser DPA festgelegten Maßnahmen entsprechen oder diese übertreffen.

  6. Übertragungen personenbezogener Daten
    1. Nur soweit zutreffend oder wenn dies für die Bereitstellung der Produkte durch SIS erforderlich ist, erkennt der Kunde an und stimmt zu, dass SIS und seine Unterauftragsverarbeiter personenbezogene Daten im Vereinigten Königreich von Großbritannien und Nordirland („UK“), im Europäischen Wirtschaftsraum, in den Vereinigten Staaten von Amerika, in Kanada, in Neuseeland und an jedem anderen Ort, an dem SIS oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen, wie in der Unterauftragsverarbeiter-Vereinbarung dargelegt. SIS wird jederzeit ein angemessenes Schutzniveau für die personenbezogenen Daten gemäß den Anforderungen der geltenden Datenschutzgesetze und, soweit zutreffend, den nachstehenden Anforderungen gewährleisten.
    2. Im Zusammenhang mit der Bereitstellung der Produkte an den Kunden ist SIS berechtigt (und kann ihre Unterauftragsverarbeiter hierzu ermächtigen), personenbezogene Daten aus einem Drittland zu empfangen, innerhalb eines Drittlandes zu verarbeiten oder in ein Drittland zu übermitteln, sofern SIS und ihre Unterauftragsverarbeiter Maßnahmen ergreifen, um diese Daten im Einklang mit den geltenden Datenschutzgesetzen angemessen zu schützen. Solche Maßnahmen können – soweit nach diesen Gesetzen verfügbar und anwendbar – insbesondere Folgendes umfassen:
    3. Die Vereinbarung der Parteien, die Standardvertragsklauseln abzuschließen und einzuhalten, die hiermit in diese DPA aufgenommen werden und in Anhang C näher ausgeführt sind. Insbesondere unterliegen Übermittlungen personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum, der Schweiz oder dem Vereinigten Königreich durch den Kunden an SIS oder von SIS an den Kunden in Drittländern den Standardvertragsklauseln, Modul Zwei („Auftragsverarbeiter zum Auftragsverarbeiter“) und Modul Drei („Auftragsverarbeiter zum Auftragsverarbeiter“). Die für die Zwecke der SCC erforderlichen Informationen sind in Anhang C dieser DPA enthalten. Soweit für die Übermittlung von Daten in ein Drittland Ersatz- oder zusätzliche geeignete Schutzmaßnahmen oder Übermittlungsmechanismen gemäß den geltenden Datenschutzgesetzen erforderlich sind, vereinbaren die Parteien, diese so bald wie möglich umzusetzen und die Anforderungen für die Umsetzung in einem Anhang zu dieser DPA zu dokumentieren.
    4. Die Parteien erkennen an und vereinbaren, dass sie unter Berücksichtigung, ohne Einschränkung, die personenbezogenen Daten und Drittländer im Geltungsbereich, die relevanten Sicherheitsmaßnahmen gemäß dieser DPA und die relevanten Parteien, die an der Verarbeitung dieser personenbezogenen Daten beteiligt sind, eine Bewertung der Angemessenheit des hierunter angenommenen relevanten Übermittlungsmechanismus durchgeführt und festgestellt haben, dass dieser Übermittlungsmechanismus angemessen gestaltet ist, um sicherzustellen, dass personenbezogene Daten, die gemäß dieser DPA übermittelt werden, im Zielland ein Schutzniveau genießen, das im Wesentlichen dem gemäß den geltenden Datenschutzgesetzen garantierten Schutzniveau entspricht.
  7. Zusammenarbeit, Audit und Aufzeichnungsanfragen
    1. SIS benachrichtigt den Kunden im gesetzlich zulässigen Umfang unverzüglich nach Erhalt und Überprüfung einer Anfrage einer betroffenen Person oder weist die betroffene Person anderweitig an, ihre Anfrage direkt an den Kunden zu richten. In beiden Fällen ist der Kunde für die Beantwortung einer solchen Anfrage verantwortlich.
    2. Auf Wunsch des Kunden und unter Berücksichtigung der Art der Verarbeitung, die für eine Anfrage einer betroffenen Person gilt, ergreift SIS geeignete technische und organisatorische Maßnahmen, damit der Kunde seiner Verpflichtung zur Beantwortung einer solchen Anfrage einer betroffenen Person nachkommen und/oder die Einhaltung dieser Verpflichtung nachweisen kann, vorausgesetzt, dass (i) der Kunde selbst ohne die Unterstützung von SIS nicht in der Lage ist, die Anfrage zu beantworten oder zu erfüllen, und (ii) SIS dazu in Übereinstimmung mit allen geltenden Gesetzen, Vorschriften und Bestimmungen in der Lage ist. Der Kunde ist, soweit gesetzlich zulässig, für alle Kosten und Aufwendungen verantwortlich, die SIS im Zusammenhang mit der Unterstützung bei einer Anfrage einer betroffenen Person entstehen, jedoch nur, wenn diese Kosten aufgrund unangemessener oder übermäßiger Anfragen entstehen.
    3. Wenn SIS eine Vorladung, einen Gerichtsbeschluss, einen Haftbefehl oder eine andere rechtliche Aufforderung von einem Dritten, einer Strafverfolgungsbehörde, einer ausländischen Regierung oder einer anderen öffentlichen oder gerichtlichen Behörde erhält, die die Offenlegung personenbezogener Daten verlangt, wird SIS, soweit gesetzlich zulässig, den Kunden unverzüglich schriftlich über eine solche Aufforderung informieren. SIS kommt solchen Anfragen Dritter nur nach, wenn SIS festgestellt hat, dass dies gesetzlich vorgeschrieben ist. In diesem Fall leistet SIS dem Kunden angemessene Unterstützung, gegebenenfalls auf Kosten des Kunden, wenn dieser die Offenlegung einschränken, anfechten oder sich dagegen schützen möchte, soweit dies nach geltendem Recht zulässig ist. Der Kunde übernimmt alle Risiken und Haftungen im Zusammenhang mit der Bearbeitung und Beantwortung solcher Anfragen Dritter, soweit diese Haftung aus den Verarbeitungsaktivitäten des Kunden resultiert. Der Kunde und SIS bleiben für Verstöße gegen geltende Datenschutzgesetze, einschließlich der DSGVO, haftbar, die sich direkt aus ihren eigenen Handlungen, Unterlassungen oder der Nichteinhaltung ihrer Verpflichtungen als Datenverantwortlicher und Datenverarbeiter ergeben. Der Kunde stellt SIS von allen Verlusten, Kosten, Schäden, Ansprüchen, Klagen, Forderungen und Verbindlichkeiten frei, die SIS aufgrund oder im Zusammenhang mit der Nichteinhaltung seiner Verpflichtungen als Datenverantwortlicher entstehen oder gegen SIS geltend gemacht werden, sofern diese Haftung nicht auf die Nichteinhaltung der Verpflichtungen von SIS gemäß den geltenden Datenschutzgesetzen zurückzuführen ist.
    4. SIS wird unter Berücksichtigung der Art der Verarbeitung und der SIS zur Verfügung stehenden Informationen dem Kunden angemessene Zusammenarbeit und Unterstützung gewähren, damit dieser seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommen kann, einschließlich aller Verpflichtungen zur Durchführung einer Datenschutz-Folgenabschätzung, zur Beantwortung von Anfragen oder zur Konsultation von Aufsichtsbehörden oder zum Nachweis der Einhaltung der geltenden Datenschutzgesetze. Die hierunter fallenden Verpflichtungen gelten nur, wenn dies von SIS gemäß den geltenden Datenschutzgesetzen verlangt wird und sofern der Kunde keinen anderen Zugang zu den angeforderten relevanten Informationen oder Funktionen hat. Der Kunde ist im gesetzlich zulässigen Umfang für alle Kosten und Aufwendungen verantwortlich, die durch eine solche Unterstützung durch SIS entstehen.

    5. Auf Verlangen des Kunden und höchstens einmal pro Kalenderjahr stellt SIS dem Kunden Kopien aller einschlägigen Prüfberichte, Zertifizierungen und/oder sonstigen Unterlagen zur Verfügung, die die Einhaltung der geltenden Datenschutzgesetze durch SIS in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen dieser Datenschutzvereinbarung belegen. Diese Unterlagen stehen zur Einsicht unter https://trust.signinsolutions.com zur Verfügung. Nur sofern und soweit (i) dies nach den geltenden Datenschutzgesetzen erforderlich ist und (ii) die vorgenannten Prüfberichte oder Zertifizierungen nicht ausreichen, um die Einhaltung der geltenden Datenschutzgesetze durch SIS in Bezug auf die Verarbeitung der personenbezogenen Daten nach dieser Datenschutzvereinbarung nachzuweisen, stellt SIS dem Kunden zusätzliche Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser Verpflichtungen nachzuweisen, und ermöglicht bzw. unterstützt Audits, einschließlich einvernehmlich vereinbarter und koordinierter Prüfungen derjenigen Datenverarbeitungseinrichtungen, die sich unter der Kontrolle von SIS befinden, und die vom Kunden oder einem von SIS und dem Kunden einvernehmlich benannten Prüfer durchgeführt werden.

    6. Jede gemäß Abschnitt 7.5 genehmigte Prüfung oder Bewertung findet erst statt, nachdem der Kunde SIS mindestens 30 Tage im Voraus schriftlich darüber informiert hat und zu einem zwischen SIS und dem Kunden vereinbarten Termin, Zeitpunkt und Ort. Prüfungen dürfen den Geschäftsbetrieb von SIS nicht unangemessen beeinträchtigen, und der Umfang einer solchen Prüfung unterliegt der vorherigen Genehmigung durch SIS. Die für die Durchführung einer solchen Prüfung verantwortlichen Personen unterliegen einer Vertraulichkeitsvereinbarung mit SIS. Die von SIS für die Teilnahme an einer Prüfung erforderlichen Arbeiten können zu zusätzlichen Gebühren führen (nur wenn die Prüfungsanforderungen übermäßig oder unangemessen sind und zu einem gemeinsam vereinbarten Stundensatz, der vor Beginn der Prüfung schriftlich vereinbart wird). Um sicherzustellen, dass SIS die geltenden Datenschutzgesetze und seine vertraglichen Verpflichtungen in Bezug auf Datenschutz und -sicherheit einhält, erklärt sich der Kunde damit einverstanden, dass SIS nicht verpflichtet ist, dem Kunden Zugang zu den Systemen oder Informationen von SIS in einer Weise zu gewähren, die die Sicherheit, Privatsphäre oder Vertraulichkeit der vertraulichen oder geschützten Informationen anderer Kunden von SIS gefährden könnte.
    7. Alle gemäß diesem Abschnitt 7 offengelegten Informationen gelten als vertrauliche Informationen von SIS.
  8. Verletzung des Schutzes personenbezogener Daten
    1. Nachdem SIS Kenntnis von einer eindeutig identifizierten Verletzung des Schutzes personenbezogener Daten erlangt hat, informiert SIS den Kunden unverzüglich (spätestens jedoch innerhalb von 72 Stunden) über die Verletzung des Schutzes personenbezogener Daten und ergreift nach eigenem Ermessen die Maßnahmen, die SIS für notwendig und angemessen hält, um diese Verletzung des Schutzes personenbezogener Daten zu beheben (soweit die Behebung im Rahmen der angemessenen Kontrolle von SIS liegt).
    2. SIS wird unter Berücksichtigung der Art der Verarbeitung und der SIS vernünftigerweise zur Verfügung stehenden Informationen: (a) dem Kunden angemessene Zusammenarbeit und Unterstützung gewähren, die erforderlich ist, damit der Kunde seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf die Benachrichtigung der zuständigen Aufsichtsbehörden und/oder der von einer solchen Verletzung des Schutzes personenbezogener Daten betroffenen betroffenen Personen nachkommen kann; und (b) dem Kunden Informationen zur Verfügung stellen, die sich in der angemessenen Kontrolle von SIS befinden und die Einzelheiten der Verletzung des Schutzes personenbezogener Daten betreffen, einschließlich, soweit zutreffend, der Art der Verletzung des Schutzes personenbezogener Daten, der Kategorien und der ungefähren Anzahl der betroffenen betroffenen Personen und personenbezogenen Datensätze sowie der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
    3. Die in diesem Abschnitt 8 beschriebenen Verpflichtungen gelten nicht, wenn eine Verletzung des Schutzes personenbezogener Daten auf Handlungen oder Unterlassungen des Kunden zurückzuführen ist. Die Zusammenarbeit oder Verpflichtung von SIS, eine Verletzung des Schutzes personenbezogener Daten gemäß diesem Abschnitt zu melden oder darauf zu reagieren, darf in keinem Fall als Anerkennung eines Verschuldens oder einer Haftung seitens SIS in Bezug auf die Verletzung des Schutzes personenbezogener Daten ausgelegt werden.
    4. Sofern dies nicht durch geltende Gesetze oder gerichtliche Anordnungen untersagt ist, wird der Kunde SIS über alle rechtlichen Schritte Dritter im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten informieren, einschließlich, aber nicht beschränkt auf rechtliche Schritte, die von staatlichen Stellen eingeleitet werden.
  9. Sonstiges
    1. Alle Mitteilungen an den Kunden im Rahmen dieser Datenschutzvereinbarung (DPA) erfolgen per E-Mail und werden an den vom Kunden benannten Systemadministrator für die Produkte sowie – sofern vom Kunden im Zusammenhang mit dem Vertrag angegeben – an den Ansprechpartner für rechtliche und datenschutzrechtliche Mitteilungen gerichtet. Der Kunde kann diese Kontaktdaten jederzeit aktualisieren, indem er eine E-Mail an privacy@signinsolutions.com sendet.
    2. Die Haftung von SIS und seinen jeweiligen Mitarbeitern, Direktoren, Führungskräften, verbundenen Unternehmen, Nachfolgern und Rechtsnachfolgern (die „SIS-Parteien“) aus oder im Zusammenhang mit dieser DPA, sei es aufgrund eines Vertrags, einer unerlaubten Handlung oder einer anderen Haftungstheorie, unterliegt dem Abschnitt „Haftungsbeschränkung und Haftungsausschluss“ der Vereinbarung, und jede Bezugnahme in diesem Abschnitt auf die Haftung von SIS oder den SIS-Parteien bedeutet die Gesamthaftung der SIS-Parteien gemäß der Vereinbarung und dieser DPA zusammen.
    3. Diese DPA lässt die Rechte und Pflichten der Parteien gemäß der Vereinbarung unberührt, die weiterhin in vollem Umfang gültig und wirksam bleiben. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser DPA Vorrang. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang, jedoch nur insoweit, als die Standardvertragsklauseln Anwendung finden.
    4. Sofern in dieser DPA oder den geltenden Datenschutzgesetzen nichts anderes vorgeschrieben ist, vereinbaren der Kunde und SIS, dass die Streitbeilegungsbestimmungen der Vereinbarung (einschließlich des anwendbaren Rechts und des Gerichtsstands) für diese DPA gelten.

Anhang A

Details der Datenverarbeitung

  1. Datenexporteur:

    Name, Anschrift und Kontaktinformationen:
    Wie in der Vereinbarung vorgesehen.

    Tätigkeiten im Zusammenhang mit den gemäß den Klauseln übermittelten Daten:
    Erhalt der Produkte gemäß dem Vertrag.

    Unterschrift und Datum:
    Wie im Vertrag angegeben.

  2. Datenimporteur:

    Name:
    Sign In Solutions Inc.

    Anschrift:
    150 2nd Ave N, Suite 1540 St. Petersburg, FL 33701 USA

    Kontaktinformationen für Datenschutz und Datensicherheit:
    Jason Mordeno – Global Privacy Officer
    privacy@signinsolutions.com

    Tätigkeiten im Zusammenhang mit den gemäß den Klauseln übermittelten Daten:
    Bereitstellung, Wartung und Sicherung der Produkte.

    Unterschrift und Datum:
    Wie im Vertrag angegeben.

  3. Einzelheiten zur Datenverarbeitung:
    1. Gegenstand: Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind die personenbezogenen Daten des Kunden.
    2. Dauer: Zwischen SIS und dem Kunden gilt die Datenverarbeitung im Rahmen dieser DPA bis zum Ablauf oder zur Kündigung der Vereinbarung gemäß deren Bestimmungen.
    3. Zweck: SIS verarbeitet personenbezogene Daten des Kunden nur für die folgenden Zwecke: (i) Verarbeitung zur Erfüllung seiner Verpflichtungen aus dem Vertrag; und (ii) Verarbeitung zur Einhaltung aller anderen angemessenen Anweisungen des Kunden (z. B. per E-Mail oder Support-Tickets), die mit den Bestimmungen des Vertrags vereinbar sind (einzeln und zusammenfassend als „Zweck” bezeichnet).
    4. Art der Verarbeitung: SIS unterstützt den Kunden bei der Nutzung der Produkte, wie in der Vereinbarung näher beschrieben.
    5. Kategorien von betroffenen Personen: Mitarbeiter und Nutzer des Kunden (wie in der Vereinbarung definiert)

    6. Kategorien von personenbezogenen Daten des Kunden: Der Kunde kann bestimmte personenbezogene Daten an SIS hochladen, übermitteln oder auf andere Weise bereitstellen, deren Umfang in der Regel vom Kunden nach eigenem Ermessen festgelegt und kontrolliert wird und die folgende Arten von personenbezogenen Daten umfassen können:

      • Identifizierungsdaten der betroffenen Personen (Vor- und Nachname), Kontaktdaten (die teilweise oder vollständig die E-Mail-Adresse, Anschrift, Telefonnummer und den Standort der betroffenen Person umfassen können) sowie IT-Daten (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten) und
      • Alle anderen personenbezogenen Daten, die Sie in Ihre Instanz der Produkte zur Eingabe durch betroffene Personen aufnehmen möchten, insbesondere sensible Daten, für deren Verarbeitung Sie die ausdrückliche Zustimmung einer betroffenen Person für die beabsichtigten Zwecke und vorbehaltlich Klausel 1.4 dieser DPA erhalten haben, sensible Daten.
    7. Verarbeitungsvorgänge: Die personenbezogenen Daten des Kunden werden gemäß der Vereinbarung (einschließlich dieser DPA) verarbeitet und können folgenden Verarbeitungsvorgängen unterzogen werden: Speicherung und sonstige Verarbeitung, die zur Bereitstellung, Wartung und Verbesserung der dem Kunden gemäß der Vereinbarung bereitgestellten Produkte und professionellen Produkte erforderlich ist; und/oder Offenlegungen gemäß dieser DPA und/oder gemäß den geltenden Gesetzen.

Anhang B

Technische und organisatorische Maßnahmen

SIS verpflichtet sich:

Bereitstellung eines Niveaus an technischen und organisatorischen Maßnahmen (einschließlich angemessener Sicherheits- und Compliance-Maßnahmen in Bezug auf die Kategorien oder die Art der Kundendaten), das geeignet ist, vor dem Schaden zu schützen, der sich aus einer Verletzung des Datenschutzes ergeben könnte; dazu gehören unter anderem:

1. Governance-, Risiko- und Compliance-Kontrollen

  • Governance – SIS unterhält ein Governance-, Risiko- und Compliance-Programm, das eine Reihe von Prozessen, Praktiken, Maßnahmen, Richtlinien und Verfahren umfasst, um in Übereinstimmung mit den einschlägigen Gesetzen, Vorschriften und Industriestandards zu arbeiten.
  • Risiko – SIS verwaltet Risikorahmenwerke, die Risiken für Technologie, Organisation und Datenverarbeitungssysteme identifizieren und verwalten.
  • Compliance – SIS unterhält Prozesse und Praktiken für Sicherheit, Datenschutz und Compliance und führt Bewertungen und Audits durch, bei denen unsere Kontrollen im Hinblick auf die Verwaltung und den Schutz von Kundendaten überprüft werden.
  • Rahmenwerke – SIS unterhält Rahmenwerke, Kontrollen und Kriterien für den globalen Datenschutz, die Informationssicherheit und die geltenden Gesetze und Vorschriften.
  • Zertifizierungen und Bescheinigungen – SIS verfügt über eine nach ISO 27001 akkreditierte Zertifizierung für sein Informationssicherheits-Managementsystem und hält separat SOC 2 Typ II + CCPA + GDPR-Bescheinigungsberichte für zusätzliche und anwendbare komplexe Produktkategorien, die die Einhaltung strenger Sicherheits- und Compliance-Standards bestätigen. 

Sign In Solutions Produkte:

Enterprise Visitor Management; Compliance; Workspace

SOC2 Typ II (C.4: Datenschutz, Sicherheit, Verfügbarkeit, Vertraulichkeit) Bescheinigungsbericht

SOC2 Typ II: US CCPA + EU DSGVO Bescheinigungsbericht

ISO27001 ISMS-akkreditierte Zertifizierung

Sign In App Produkte:

App Visitor Management and SwipedOn 

 SOC2 Typ II (C.1: Nur Sicherheit) Bescheinigungsbericht

ISO27001 ISMS-akkreditierte Zertifizierung 

Sign In App Sub-Produkte:

Scheduling; Central Record

 ISO27001 ISMS-akkreditierte Zertifizierung 

2. Datensicherheitskontrollen
  • Technische und organisatorische Richtlinien – SIS verfügt über Richtlinien und Prozesse für die Klassifizierung, Verwaltung, den Zugriff, die Nutzung und die Vernichtung von Daten.
  • Verschlüsselung – SIS verschlüsselt Daten bei der Übertragung, während des Transports, im Ruhezustand und bei der Speicherung unter Verwendung von Verschlüsselungstools und -methoden nach Industriestandard.
  • Verschlüsselungsschlüssel – SIS gewährleistet die Sicherheit und Vertraulichkeit aller Verschlüsselungsschlüssel, die mit verschlüsselten Kundendaten in Verbindung stehen.
  • Rollenbasierte Zugriffskontrollen – SIS wendet das Prinzip der geringsten Privilegien an, wodurch der Benutzerzugriff auf autorisierte Personen beschränkt wird.
  • Reaktion auf Vorfälle, Geschäftskontinuität und Notfallwiederherstellung – SIS verfügt über einen Plan zur Reaktion auf Vorfälle, um Sicherheitsvorfälle im Zusammenhang mit personenbezogenen Daten zu verwalten und zu melden. Die Geschäftskontinuität wird durch regelmäßige und sichere Datensicherungen unterstützt, um die Integrität zu gewährleisten. Notfallwiederherstellungspläne ermöglichen eine zeitnahe Wiederherstellung des Betriebs nach Störungen, wobei regelmäßige Tests durchgeführt werden, um die Bereitschaft und Compliance aufrechtzuerhalten.

3. Cybersicherheitskontrollen

  • Zugriffskontrolle und Identitätsprüfung – Der Zugriff auf die Vermögenswerte und Ressourcen von SIS wird durch Durchsetzungsmaßnahmen, Identitätsprüfungsprotokolle, mehrstufige Zugriffskontrollen, adaptive Authentifizierungsmaßnahmen und Sitzungsmanagementprozesse kontrolliert.
  • Anwendungshärtung und Sicherheitsbaselines – SIS wendet Anwendungshärtungstechniken an, um die Sicherheit seiner Plattform zu verstärken, darunter die Deaktivierung nicht essenzieller Dienste, die Implementierung sicherer Konfigurationen und die Einhaltung von Sicherheitsbaselines, die den etablierten Cybersicherheitsstandards der Branche entsprechen.
  • Bedrohungsinformationen und Reaktion – SIS mindert Risiken für kontrollierte Umgebungen durch kontinuierliche Bedrohungsinformationen und Reaktionsmechanismen, darunter die fortlaufende Suche nach Anzeichen für Kompromittierungen, die Durchführung von Isolierungsmaßnahmen und die Zusammenarbeit mit Bedrohungsinformationsnetzwerken, wodurch eine widerstandsfähige Sicherheitslage gestärkt und aufrechterhalten wird.
  • Kontinuierliche Sicherheitsbewertung und Penetrationstests – SIS führt regelmäßig und nach Bedarf Sicherheitsbewertungen und Penetrationstests durch, um Schwachstellen in den Kontrollen proaktiv zu identifizieren und zu beheben.

4. Sicherheitskontrollen für die Infrastruktur

  • Überwachung – SIS unterhält Sicherheitsüberwachungssysteme, darunter unter anderem zur Erkennung und Verhinderung von Eindringversuchen, zur Überwachung des Datenverkehrs und zur Überwachung der Dateiintegrität.
  • Schwachstellen- und Patch-Management – SIS verfügt über eine definierte Richtlinie und einen definierten Prozess, die Anforderungen für die Bewertung und das Management von Schwachstellen festlegen. Es werden regelmäßig Schwachstellenscans durchgeführt und Patches werden je nach Schweregrad der Schwachstellen zeitnah bereitgestellt.
  • Praktiken zur kontinuierlichen Integration/kontinuierlichen Bereitstellung (CI/CD) – SIS integriert Sicherheitsprüfungen in die CI/CD-Pipeline, um eine sichere Code-Bereitstellung zu ermöglichen. Dazu gehören automatisierte Code-Scans, Abhängigkeitsprüfungen und Sicherheitstests in jeder Phase des CI/CD-Prozesses, wodurch eine sichere und widerstandsfähige Infrastruktur gefördert wird.

5. Anwendungssicherheitskontrollen

  • Sicherer Softwareentwicklungslebenszyklus (S-SDLC) – SIS hält sich an einen sicheren Entwicklungslebenszyklus (S-SDLC), der sichere Codierungspraktiken, Codeüberprüfungen und fortlaufende Sicherheitstests umfasst. Entwickler werden in sicheren Codierungsstandards geschult, und der Anwendungscode wird während der gesamten Entwicklung auf Schwachstellen überprüft, um potenzielle Risiken proaktiv anzugehen.
  • Kontrollierte Konfigurations- und Bereitstellungsprozesse – SIS wendet strenge Kontrollen für Konfigurations- und Bereitstellungsprozesse an. Eine versionskontrollierte Umgebung wird für nachvollziehbare Änderungen genutzt, wobei für die Bereitstellung in der Produktion Genehmigungen erforderlich sind. Es werden regelmäßige Konfigurationsüberprüfungen durchgeführt, um Fehlkonfigurationen zu vermeiden, die sich auf die Anwendungssicherheit auswirken könnten.
  • Kontinuierliche Anwendungsüberwachung – SIS setzt spezielle Tools für die Überwachung auf Anwendungsebene ein, um Systeminteraktionen, ungewöhnliche Zugriffsmuster und Abweichungen vom erwarteten Anwendungsverhalten zu verfolgen.
  • Risikomanagement für Bibliotheken und Komponenten – SIS überprüft regelmäßig die Sicherheit der in die Anwendung integrierten sicheren Bibliotheken und sicheren Quellkomponenten. Vor der Implementierung werden Sicherheitsbewertungen der Abhängigkeiten durchgeführt, und es werden regelmäßige Updates angewendet, um die Risiken von Schwachstellen aus externen Quellen zu mindern.

6. Netzwerksicherheitskontrollen

  • Zugangspunkte – SIS verwaltet die Authentifizierung und Überwachung von Zugriffsrechten auf das Netzwerk und wendet technische Richtlinien an, um interne und externe Bedrohungen durch den Zugriff zu verhindern.
  • Netzwerkmanagement von Rollen und Verantwortlichkeiten – definiert autorisierte Gruppen, Rollen und Verantwortlichkeiten für die Verwaltung von Netzwerkkomponenten.
  • Systemereignisse, Sicherheitsereignisse und Firewalls – SIS protokolliert automatisch System- und Sicherheitsereignisse, überprüft die Protokolle regelmäßig, identifizierte Probleme werden untersucht und zeitnah behoben.

Anhang C

Standardvertragsklauseln

Die Parteien vereinbaren, dass personenbezogene Daten, die zwischen den Parteien und von den Parteien in Drittländer übermittelt werden, den Standardvertragsklauseln unterliegen, soweit diese anwendbar sind und wie in der DPA näher ausgeführt.

  1. Die Parteien erkennen die Bedeutung des Schutzes personenbezogener Daten und die gesetzlichen Beschränkungen für die internationale Übermittlung solcher Daten in Drittländer an.
  2. Dementsprechend vereinbaren die Parteien, die DSGVO, das britische Datenschutzgesetz von 2018 (UK DPA 2018) und das Schweizer Datenschutzgesetz (Swiss DPA) sowie andere geltende Datenschutzgesetze, die die Standardvertragsklauseln oder ähnliche Grundsätze anerkennen, einzuhalten und schließen diese Standardvertragsklauseln ab, um sicherzustellen, dass die Übermittlung personenbezogener Daten in Drittländer rechtmäßig ist und einem angemessenen Datenschutz unterliegt. Soweit eine Übermittlung personenbezogener Daten Artikel 3 Absatz 2 der DSGVO unterliegt, findet dieser Anhang C keine Anwendung.

 

  1. KLARSTELLUNG VON DEFINITIONEN UND BEGRIFFEN

    1. Die Begriffe „Datenverantwortlicher“ oder „Verantwortlicher“, „Datenexporteur“, „Datenimporteur“, „Datenverarbeiter“ und „personenbezogene Daten“ haben die Bedeutung gemäß der DSGVO, dem britischen Datenschutzgesetz von 2018, dem Sc
    2. Bei der Übermittlung personenbezogener Daten aus Ländern außerhalb der EU an Drittländer werden Verweise auf die Datenschutz-Grundverordnung durch das geltende Datenschutzgesetz ersetzt und Verweise auf die „EU“, die „Union“ oder „Mitgliedstaaten“ durch die geltende Herkunftsregion.
    3. Abschnitt 1 Absatz 1 (a) der Standardvertragsklauseln (Definition des Datenimporteurs): Der „Datenimporteur“ ist SIS.

    4. Abschnitt 1 Klausel 1 (a) der Standardvertragsklauseln (Definition des Datenexporteurs): Der „Datenexporteur“ ist der Kunde.
    5. In Bezug auf Einwände gegen Unterauftragsverarbeiter gemäß Abschnitt 1 Klausel 9 gilt das in Abschnitt 4 dieser DPA festgelegte Verfahren.

  2. ANWENDBARE MODULE

    In Bezug auf die Verarbeitung anwendbarer personenbezogener Daten:

    1. Wenn der Kunde Datenexporteur und Verantwortlicher ist und SIS Dateneinführer und Verantwortlicher ist, gilt Modul 1.
    2. Wenn der Kunde ein Datenexporteur und Verantwortlicher ist und SIS ein Datenimporteur und Auftragsverarbeiter ist, gilt Modul 2.
    3. Wenn der Kunde ein Datenexporteur und Auftragsverarbeiter ist und SIS ein Datenimporteur und Unterauftragsverarbeiter ist, gilt Modul 3.
    4. Verweise auf Modul 4 in den SCCs gelten nicht, und Formulierungen, die sich auf dieses Modul beziehen, sind nicht als Teil dieser DPA zu betrachten.
  3. ÄNDERUNGEN ODER AKTUALISIERUNGEN

    Soweit für die Übermittlung von Daten in ein Drittland zusätzliche angemessene Schutzmaßnahmen gemäß den geltenden Datenschutzgesetzen erforderlich sind, die die Standardvertragsklauseln oder ähnliche Grundsätze anerkennen, oder soweit die Standardvertragsklauseln gemäß diesen Gesetzen ersetzt oder aufgehoben werden oder nicht anerkannt werden, vereinbaren die Parteien, diese unverzüglich umzusetzen oder eine andere akzeptable Methode für die Übermittlung dieser Daten zu verwenden und diesen Anhang C unverzüglich entsprechend zu ändern, um diesen Anforderungen nachzukommen.

  4. KONFLIKTE

    Wenn die Bestimmungen der Vereinbarung oder der DPA im Widerspruch zu den Standardvertragsklauseln stehen, haben die Bestimmungen der Standardvertragsklauseln Vorrang.

  5. STANDARDVERTRAGSKLAUSELN
    1. Die Standardvertragsklauseln gelten als Bestandteil dieser DPA und finden in der nachstehenden Fassung Anwendung:
    2. In Klausel 7 gilt die „Docking-Klausel (optional)” als Bestandteil.
    3. In Klausel 9 wird Option 2 ausgewählt, und die Frist für die vorherige Ankündigung der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern entspricht den Bestimmungen der DPA.
    4. In Klausel 11 findet die optionale Formulierung keine Anwendung.
    5. In Klausel 13 ist die zuständige Aufsichtsbehörde die irische Datenschutzkommission, wenn die EU-SCCs gelten, die FDPIC, wenn die Schweizer DPA gilt, und der britische Information Commissioner, wenn der britische Transferzusatz gilt.
    6. In Klausel 17 wird Option 2 ausgewählt, und die Standardvertragsklauseln unterliegen dem Recht Irlands, wenn die EU-SCCs gelten, dem Recht der Schweiz, wenn die Schweizer DPA gilt, und dem Recht von England und Wales, wenn der UK Transfer Addendum gilt.
    7. In Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt, wenn die EU-SCC gelten, vor den Gerichten der Schweiz, wenn die Schweizer Datenschutzbehörde gilt, und vor den Gerichten von England und Wales, wenn der britische Transferzusatz gilt.
    8. Die Anhänge I und II der SCC sind in den Anlagen A und B dieser DPA enthalten; Anhang III ist in der Unterauftragsverarbeiter
    9. Für die Zwecke des UK-Transferzusatzes werden die Standardvertragsklauseln gemäß Teil 2 des UK-Transferzusatzes ausgelegt; die Abschnitte 9 bis 11 des UK-Transferzusatzes haben Vorrang vor Klausel 5 der EU-SCCs, und sowohl der „Importeur” als auch der „Exporteur” können den UK-Transferzusatz gemäß Abschnitt 19 des UK-Transferzusatzes kündigen.

    Mit dem Abschluss der DPA gelten die Parteien als Unterzeichner der geltenden Standardvertragsklauseln.

    Anhang D
    Liste der verbundenen Unternehmen

     
    Sign In App Ltd, eine nach englischem Recht gegründete Gesellschaft mit Sitz in 4 Waterside Way, Northampton, England, NN4 7XD, Handelsregisternummer: 08516772
    Sign In App SL, ein nach spanischem Recht gegründetes Unternehmen mit Sitz in PS De La Castellana 40, 8 28046 Madrid, Spanien, mit der Steuernummer NIF: B02651354
    Sign In App Inc., ein in Delaware eingetragenes Unternehmen mit Sitz in 16192 Coastal Highway, Lewes, Delaware 19958-9776
    Sign In Solutions Inc., ein in Delaware eingetragenes Unternehmen mit Sitz in 150 2nd Ave N, Ste 1540, St. Petersburg, FL 33701
    Sign In Enterprise Inc., ein nach dem Recht der Provinz British Columbia gegründetes Unternehmen mit Sitz in 150 2nd Ave N, Ste 1540, St. Petersburg, FL 33701, und seine hundertprozentige Tochtergesellschaft Traction Guest Corp.
    Sign In Compliance Inc., ein in Delaware eingetragenes Unternehmen mit Sitz in 150 2nd Ave N, Ste 1540, St. Petersburg, FL 33701
    Sign In Workspace ApS, ein nach dänischem Recht gegründetes Unternehmen mit Sitz in Firskovvej 18a, 2800 Lyngby, Dänemark
    SwipedOn Ltd, ein nach neuseeländischem Recht gegründetes Unternehmen mit Sitz in 1/115 The Strand, Tauranga 3110, Neuseeland, und der Handelsregisternummer 655878.

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    Anhang zur DSGVO und britischen DSGVO zum DPA

    Dieser Anhang zur DSGVO und britischen DSGVO (dieser „Anhang zur DSGVO und britischen DSGVO“) ergänzt das DPA oder die Vereinbarung zwischen den Parteien, die die Verarbeitung personenbezogener Daten regelt. Dieser Anhang zur DSGVO und britischen DSGVO gilt, wenn die DSGVO oder britische DSGVO für die Interaktion der Software und Dienste von SIS mit den entsprechenden personenbezogenen Daten gilt. Sofern in diesem Anhang zur DSGVO und britischen DSGVO nicht anders definiert, werden alle großgeschriebenen Begriffe durch das DPA oder die Vereinbarung definiert.

 

  1. Verarbeitungskontrollen. Die E-Mail-Adresse von SIS zum Datenschutz unter privacy@signinsolutions.com kann verwendet werden, um die Parteien bei der Erfüllung ihrer Verpflichtungen gemäß der DSGVO zu unterstützen, einschließlich der Verpflichtung, auf Anfragen von betroffenen Personen zu reagieren. Unter Berücksichtigung der Art der Interaktionen mit der Software und den Diensten sind sich die Parteien einig, dass es unwahrscheinlich ist, dass ein Auftragsverarbeiter oder Unterauftragsverarbeiter Kenntnis davon erlangt, dass personenbezogene Daten, die im Rahmen eines Übertragungsmechanismus übertragen werden, unrichtig oder veraltet sind oder sein könnten. Sollte ein Auftragsverarbeiter oder Unterauftragsverarbeiter dennoch feststellen, dass im Rahmen eines Übertragungsmechanismus übermittelte personenbezogene Daten unrichtig oder veraltet sind, wird er den Verantwortlichen unverzüglich darüber informieren. Der Auftragsverarbeiter wird mit dem Verantwortlichen zusammenarbeiten, um im Rahmen des Übertragungsmechanismus übermittelte unrichtige oder veraltete personenbezogene Daten zu löschen oder zu berichtigen, beispielsweise durch Beantwortung entsprechender Anfragen, die über Datenschutz-Webformulare eingehen.
  2. Spezifischer Zweck. Obwohl die Software und die Dienste keine besonderen Kategorien personenbezogener Daten ausdrücklich anfordern oder erfordern, erklärt der Verantwortliche, dass er die erforderliche und ausdrückliche Einwilligung für die Verarbeitung besonderer Kategorien personenbezogener Daten für die folgenden spezifischen Zwecke erhalten hat: (i) Verarbeitung zur Erfüllung seiner Verpflichtungen aus der Vereinbarung; und (ii) Verarbeitung zur Einhaltung aller anderen angemessenen Anweisungen des Verantwortlichen (z. B. per E-Mail oder Support-Tickets), die mit den Bestimmungen der Vereinbarung vereinbar sind, sowie aller anderen Dienste, die in einer Vereinbarung zwischen den Parteien von Zeit zu Zeit beschrieben werden.
  3. Anweisungen des Verantwortlichen. Die Parteien vereinbaren, dass die DPA und die Vereinbarung die dokumentierten Anweisungen des Verantwortlichen hinsichtlich der Verarbeitung personenbezogener Daten darstellen („dokumentierte Anweisungen“). Zusätzliche Anweisungen, die über den Umfang der dokumentierten Anweisungen hinausgehen (sofern vorhanden), bedürfen einer vorherigen schriftlichen Vereinbarung zwischen den Parteien, einschließlich einer Vereinbarung über etwaige zusätzliche Gebühren für die Ausführung solcher Anweisungen. Unter Berücksichtigung der Art der Verarbeitung sind sich die Parteien einig, dass es unwahrscheinlich ist, dass ein Auftragsverarbeiter oder Unterauftragsverarbeiter sich eine Meinung darüber bilden kann, ob die dokumentierten Anweisungen gegen die DSGVO oder die britische DSGVO verstoßen. Wenn der Auftragsverarbeiter oder Unterauftragsverarbeiter eine solche Meinung bildet, wird er den Verantwortlichen darüber informieren, woraufhin der Verantwortliche berechtigt ist, seine dokumentierten Anweisungen zurückzuziehen oder zu ändern.

CCPA-Nachtrag („CCPA-Bedingungen“)

Diese SIS-CCPA-Bedingungen („CCPA-Bedingungen“) ergänzen die DPA und andere Vereinbarungen zwischen den Parteien, wenn der California Consumer Privacy Act von 2018 („CCPA“) oder der California Privacy Rights Act von 2020 („CPRA“) für den Zugriff, die Nutzung oder sonstige Verarbeitung von „personenbezogenen Daten“ (wie in CCPA oder CPRA definiert und angewendet) durch die Parteien gilt. Sofern in diesen CCPA-Bedingungen nicht anders definiert, werden alle großgeschriebenen Begriffe durch die DPA oder die Vereinbarung definiert.

Die Parteien vereinbaren und bestätigen jeweils, dass sie in Bezug auf personenbezogene Daten, die sie von der anderen Partei unter Umständen erhalten, unter denen die empfangende Partei als Dienstleister auftritt und die sich noch nicht im Besitz dieser empfangenden Partei befinden, als Dienstleister agieren und Folgendes unterlassen werden: (a) personenbezogene Daten zu speichern, zu verwenden oder offenzulegen, außer wie in einer Vereinbarung zwischen den Parteien und gemäß dem CCPA oder CPRA zulässig, oder (b) personenbezogene Daten zu verkaufen oder weiterzugeben.

Diese CCPA-Bedingungen schränken keine anderen Datenschutzverpflichtungen ein, die eine der Parteien im Rahmen einer Vereinbarung zwischen den Parteien eingegangen ist, und führen auch nicht zu einer Einschränkung dieser Verpflichtungen.

 

Zuletzt aktualisiert: 23. August 2025.
Jason Mordeno, Global Privacy and Data Protection Officer