Datenverarbeitungsvertrag ("DPA")

Diese DPA ist Teil der Vereinbarung, die zwischen Sign In App ("Sign In Solutions" oder "SIS") und Ihnen (dem "Kunden") am Tag des Inkrafttretens (wie in der Vereinbarung definiert) geschlossen wurde. "Sign In Solutions" bezeichnet das Unternehmen, mit dem Sie die Vereinbarung geschlossen haben, und "wir" oder "uns" bezeichnet Sign In Solutions, und alle Verweise auf die Vereinbarung schließen diese DPA (einschließlich der Standardvertragsklauseln, wie unten definiert) ein.

Alle großgeschriebenen Begriffe, die in dieser DPA nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. Diese DPA gilt, wenn und nur insoweit SIS Ihre personenbezogenen Daten verarbeitet, die durch die geltenden Datenschutzgesetze und -vorschriften geschützt sind, die auf die Verarbeitung personenbezogener Daten im Rahmen dieser DPA anwendbar sind. Die Unterzeichnung der Vereinbarung durch SIS und den Kunden gilt als Unterzeichnung, Annahme und Zustimmung zu dieser DPA und den darin enthaltenen Standardvertragsklauseln.

Definitionen

Vertragbezeichnet die schriftliche oder elektronische Vereinbarung zwischen dem Kunden und SIS über die Bereitstellung von Produkten durch SIS an den Kunden.
Verbundene Unternehmenbezeichnet in Bezug auf die SIS diejenigen Unternehmen, die im Eigentum oder unter der Kontrolle der SIS stehen, die im Eigentum oder unter der Kontrolle der SIS stehen oder die mit der SIS in einem gemeinsamen Eigentum oder unter gemeinsamer Kontrolle stehen (siehe auchhttps://signinapp.com/terms/affiliated-companies/).
Anwendbare Datenschutzgesetzebezeichnet alle Datenschutz-, Sicherheits- oder Schutzgesetze oder -verordnungen, soweit sie auf die Verarbeitung personenbezogener Daten im Rahmen dieser DSGVO anwendbar sind, einschließlich aller verbindlichen Gesetze oder Verordnungen zur Ratifizierung, Umsetzung, Verabschiedung, Ergänzung oder Ersetzung der vorstehenden Bestimmungen; in jedem Fall in dem jeweils geltenden Umfang und in der jeweils aktualisierten, geänderten oder ersetzten Fassung.
Autorisiertes Personalist eine Person (insbesondere ein Angestellter, Zeit- oder Leiharbeitnehmer), die befugt ist, personenbezogene Daten im Auftrag von SIS zu verarbeiten.
Antrag der betroffenen Personbezeichnet einen Antrag einer betroffenen Person auf Ausübung ihrer Rechte in Bezug auf personenbezogene Daten, wie sie durch die geltenden Datenschutzgesetze gewährt werden.
Anweisungenbezeichnet die schriftlichen Anweisungen des Kunden an SIS, die SIS anweisen, die personenbezogenen Daten gemäß dem Vertrag, dieser DPA, durch die Nutzung der Merkmale und Funktionen der von SIS gemäß dem Vertrag bereitgestellten Produkte durch den Kunden oder wie anderweitig von bevollmächtigten Unterzeichnern beider Parteien schriftlich vereinbart zu verarbeiten.
Persönliche Daten des Kundenbezeichnet alle personenbezogenen Daten, die SIS im Namen des Kunden als Auftragsverarbeiter gemäß der Vereinbarung verarbeitet und wie in dieser DSGVO näher beschrieben.
Verletzung personenbezogener Datenbezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf personenbezogene Daten führt, die sich im Besitz oder unter der Kontrolle der SIS befinden (auch wenn sie von der SIS übermittelt oder gespeichert werden).
Sensible Datenbedeutet (a) Sozialversicherungsnummer, Reisepassnummer, Führerscheinnummer oder eine ähnliche Kennung; (b) Zahlungskartennummer; (c) Beschäftigungs-, Finanz-, genetische, biometrische oder Gesundheitsdaten; (d) Informationen über Rasse, ethnische Zugehörigkeit, Mitgliedschaft in einer Gewerkschaft oder Sexualleben; (e) Kontopasswörter; oder (f) andere Informationen, die unter die Definition von "besonderen Datenkategorien" gemäß den geltenden Datenschutzgesetzen fallen.
Produktebezeichnet die vom Kunden im Rahmen des Vertrags erworbenen Produkte.
Standardvertragsklauseln" oder ("SCCs" oder "Klauseln")bezeichnet (i) die von der Europäischen Kommission am 4. Juni 2021 veröffentlichten Standardvertragsklauseln für internationale Übermittlungen, die die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in Drittländer regeln, wie sie von der Europäischen Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ("EDÖB") in Bezug auf Datenübermittlungen in Drittländer angenommen wurden (zusammen "EU-SCCs"); (ii) das Addendum zum internationalen Datentransfer ("UK Transfer Addendum"), das vom UK Information Commissioner's Office ("UK ICO") für Datenübermittlungen aus dem Vereinigten Königreich in Drittländer angenommen wurde; oder (iii) alle ähnlichen Klauseln einer Datenschutzbehörde in Bezug auf Datenübermittlungen in Drittländer; oder (iv) alle Nachfolgeklauseln zu (i) - (iii).
Unterauftragsverarbeiterbezeichnet jede natürliche oder juristische Person, einschließlich der mit der SIS verbundenen Unternehmen, die von der SIS oder in deren Namen mit der Verarbeitung personenbezogener Daten im Zusammenhang mit dem Vertrag beauftragt wird.
Drittlandbezeichnet Länder, die, sofern sie durch die anwendbaren Datenschutzgesetze geregelt sind, keinen Angemessenheitsbeschluss einer anwendbaren Behörde in Bezug auf Datenübertragungen erhalten haben, einschließlich Aufsichtsbehörden wie die Europäische Kommission, die britische ICO oder der Schweizer EDÖB.

In dieser DPA haben die folgenden Begriffe (und alle im Wesentlichen ähnlichen Begriffe, wie sie in den anwendbaren Datenschutzgesetzen definiert sind) die Bedeutung und sind im Übrigen in Übereinstimmung mit den anwendbaren Datenschutzgesetzen auszulegen: "Geschäft", "Datenverantwortlicher", "Datenverarbeiter", "Betroffene Person”, "Verkauf", "Dienstleistungsanbieter", "Teilen", "Aufsichtsbehörde", "Verarbeitung(en)" und "Übertragung".

  1. Verarbeitung von Daten

    1. Rollen der Parteien. Im Verhältnis zwischen SIS und dem Kunden ist der Kunde der für die Verarbeitung der personenbezogenen Daten des Kunden Verantwortliche, und SIS verarbeitet die personenbezogenen Daten des Kunden nur als Auftragsverarbeiter, der im Namen des Kunden handelt, wie in Anhang A (Einzelheiten der Datenverarbeitung) dieser DPA beschrieben.
    2. Zweckbindung. SIS verarbeitet die personenbezogenen Daten des Kunden nur im Zusammenhang mit den in dieser DPA vorgesehenen Vereinbarungen und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden, es sei denn, das geltende Recht schreibt etwas anderes vor. Der Kunde weist SIS und seine Unterauftragsverarbeiter an, die personenbezogenen Daten des Kunden in dem Maße zu verarbeiten, wie es für die Bereitstellung der im Vertrag vorgesehenen Produkte und die Erfüllung seiner Verpflichtungen aus dem Vertrag erforderlich ist.
    3. Beschreibung der Verarbeitung. Eine Beschreibung der Art und des Zwecks der Verarbeitung, der Arten personenbezogener Daten, der Kategorien betroffener Personen und der Dauer der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie enthalten.
    4. Sensible Daten. Der Kunde ist dafür verantwortlich, dass vor der Übermittlung oder Verarbeitung sensibler Daten über die Produkte bzw. vor der Genehmigung der Übermittlung oder Verarbeitung sensibler Daten durch die Nutzer des Kunden geeignete Schutzmaßnahmen ergriffen werden. Der Kunde ergreift die zusätzlichen Maßnahmen (z. B. in Bezug auf Sicherheit und Einwilligung), die erforderlich sind, um solche sensiblen Daten in Übereinstimmung mit seinen Verpflichtungen gemäß allen anwendbaren Datenschutzgesetzen zu schützen.
    5. Drittländer. Soweit solche Daten im Rahmen dieser DSGVO in ein Drittland übermittelt werden, verpflichten sich die Parteien, die für solche Übermittlungen geltenden SCCs einzuhalten. Insbesondere unterliegen Übermittlungen personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum, der Schweiz oder dem Vereinigten Königreich von Großbritannien und Nordirland ("UK") in Drittländer den Standardvertragsklauseln, Modul Drei. Die für die Zwecke der SCC erforderlichen Informationen sind in Anhang C dieser DPA enthalten. Die SCC werden hiermit in die Vereinbarung aufgenommen, und die Annahme dieser DPA durch die Parteien stellt die Annahme und Unterzeichnung der Standardvertragsklauseln durch die Parteien dar. Sollten die Bestimmungen der Vereinbarung im Widerspruch zu den SCC stehen, so haben die Bestimmungen der SCC Vorrang. Ungeachtet des Vorstehenden können die Parteien für den Fall, dass Datenübertragungsmechanismen gemäß den anwendbaren Datenschutzgesetzen genehmigt werden, vereinbaren, diese Datenübertragungsmechanismen anstelle der Standardvertragsklauseln zu nutzen.
    6. Kunden-Compliance. Der Kunde muss bei der Nutzung der Produkte jederzeit personenbezogene Daten verarbeiten und die Anweisungen für die Verarbeitung personenbezogener Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen bereitstellen. Der Kunde sichert zu und gewährleistet, dass er alle erforderlichen Zustimmungen, Lizenzen und Genehmigungen für die Verarbeitung personenbezogener Daten im Rahmen dieser DPA eingeholt hat oder einholen wird und gegebenenfalls über eine gültige Rechtsgrundlage gemäß den geltenden Datenschutzgesetzen für die Verarbeitung personenbezogener Daten im Rahmen dieser DPA verfügt. Wenn der Kunde ein Datenverarbeiter von personenbezogenen Daten ist, sichert der Kunde zu und gewährleistet, dass die Anweisungen des Kunden und die Verarbeitung personenbezogener Daten, einschließlich der Ernennung von SIS als Unterauftragsverarbeiter, von dem jeweiligen Datenverantwortlichen genehmigt wurden. Der Kunde sichert ferner zu und gewährleistet, dass er (i) bei seiner Leistung im Rahmen dieser DPA alle geltenden Datenschutzgesetze einhalten wird und (ii) die Sicherheitspraktiken von SIS überprüft hat und anerkennt, dass diese Praktiken angemessen sind, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung im Rahmen dieser DPA entspricht.
    7. Mitteilungspflichten bezüglich der Anweisungen des Kunden. SIS benachrichtigt den Kunden unverzüglich schriftlich und ohne Verpflichtung zur Rechtsberatung, es sei denn, dies ist nach den geltenden Datenschutzgesetzen untersagt, wenn sie feststellt oder glaubt, dass eine Datenverarbeitungsanweisung des Kunden gegen die geltenden Datenschutzgesetze verstößt.
  2. Rückgabe oder Löschung von Daten

    1. Nach Fertigstellung der Produkte gibt SIS die personenbezogenen Daten gemäß dem Vertrag oder der anwendbaren Servicedokumentation zurück oder löscht sie, oder bietet dem Kunden die Möglichkeit, diese personenbezogenen Daten direkt über die vom Service zur Verfügung gestellten Tools oder Funktionen zu löschen. Die vorstehenden Verpflichtungen gelten nicht, (a) wenn die Löschung nach geltendem Recht (einschließlich geltender Datenschutzgesetze) oder auf Anordnung einer Regierungs- oder Aufsichtsbehörde nicht zulässig ist; (b) wenn SIS solche Persönlichen Daten für interne Aufzeichnungen und die Einhaltung gesetzlicher Verpflichtungen aufbewahrt; und (c) wenn das zu diesem Zeitpunkt aktuelle Datenaufbewahrungs- oder ähnliche Sicherungssystem von SIS Persönliche Daten speichert, vorausgesetzt, dass diese Daten in Übereinstimmung mit den in der Vereinbarung und dieser DPA beschriebenen Maßnahmen geschützt bleiben.
  3. Autorisiertes Personal

    1. SIS stellt sicher, dass alle autorisierten Mitarbeiter auf die Vertraulichkeit personenbezogener Daten hingewiesen werden und Vertraulichkeitsvereinbarungen abgeschlossen haben oder anderweitig verbindlichen Vertraulichkeitsverpflichtungen unterliegen, die es ihnen untersagen, personenbezogene Daten offenzulegen oder anderweitig zu verarbeiten, es sei denn, dies geschieht in Übereinstimmung mit den Anweisungen und ihren Verpflichtungen im Zusammenhang mit den Produkten.
    2. SIS ergreift wirtschaftlich angemessene Maßnahmen, um sicherzustellen, dass das autorisierte Personal eine Datenschutzsicherheitsschulung erhalten hat, die der Art seiner Verarbeitung personenbezogener Daten und den Anforderungen der geltenden Datenschutzgesetze entspricht.
  4. SIS-Unterauftragsverarbeiter

    1. Der Kunde erteilt SIS hiermit die allgemeine schriftliche Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung (einschließlich der Übertragung) personenbezogener Daten in Verbindung mit den Produkten gemäß diesem Abschnitt 4 zu beauftragen.
    2. Eine Liste der aktuellen Unterauftragsverarbeiter von SIS (die "Liste der Unterauftragsverarbeiter") ist unterhttps://signinapp.com/terms/sub-processors/verfügbar (diese URL kann von SIS von Zeit zu Zeit nach Mitteilung an den Kunden aktualisiert werden). Diese Unterauftragsverarbeiter gelten als vom Kunden autorisiert, personenbezogene Daten in Verbindung mit dieser DPA zu verarbeiten. Mindestens dreißig (30) Tage, bevor ein neuer Unterauftragsverarbeiter Zugang zu den personenbezogenen Daten des Kunden erhält oder an der Verarbeitung dieser Daten teilnimmt, nimmt SIS diesen Unterauftragsverarbeiter in die Liste der Unterauftragsverarbeiter auf und informiert den Kunden über diese Aktualisierung. Der Kunde kann einer solchen Beauftragung aus angemessenen Datenschutzgründen widersprechen, indem er SIS innerhalb von zehn (10) Tagen nach Erhalt der vorgenannten Mitteilung von SIS davon in Kenntnis setzt.
    3. Hat der Kunde einen begründeten Einwand gegen den neuen Unterauftragsverarbeiter erhoben und haben sich die Parteien nicht innerhalb einer angemessenen Frist auf eine Lösung geeinigt, so hat der Kunde das Recht, den Vertrag mit einer von SIS und dem Kunden gemeinsam festgelegten Frist zu kündigen, unbeschadet anderer gesetzlicher oder vertraglicher Rechtsmittel. In diesem Fall hat der Auftraggeber alle der SIS bis zum Zeitpunkt der Kündigung geschuldeten Gebühren und Kosten unverzüglich zu bezahlen.
    4. Erhebt der Kunde keine Einwände gegen die Beauftragung eines Dritten gemäß Abschnitt 4.2, so gilt dieser Dritte als Unterauftragsverarbeiter im Sinne dieser DPA.
    5. SIS stellt sicher, dass jeder Unterauftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten Verpflichtungen unterliegt, die im Wesentlichen denen entsprechen, denen SIS gemäß dieser DPA unterliegt.
    6. Die SIS haftet gegenüber dem Kunden für jede Verletzung dieser DPA, die durch die Handlungen oder Unterlassungen ihrer Unterauftragsverarbeiter verursacht wird.
    7. Wenn der Kunde und SIS die in Abschnitt 6 (Übermittlung personenbezogener Daten) beschriebenen Standardvertragsklauseln abgeschlossen haben, stellen die oben genannten Ermächtigungen die vorherige schriftliche Zustimmung des Kunden zur Untervergabe der Verarbeitung personenbezogener Daten durch SIS dar, wenn eine solche Zustimmung gemäß den Standardvertragsklauseln erforderlich ist.
  5. Sicherheit der personenbezogenen Daten

    1. Das SIS ergreift und unterhält geeignete technische und organisatorische Maßnahmen, die dazu bestimmt sind, (i) ein Sicherheitsniveau zu gewährleisten, das dem mit der Verarbeitung der personenbezogenen Daten verbundenen Risiko angemessen ist, und (ii) die personenbezogenen Daten vor unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen. Diese technischen und organisatorischen Maßnahmen umfassen Maßnahmen, die den in Anhang B dieser DPA dargelegten Maßnahmen entsprechen oder darüber hinausgehen.
  6. Übertragungen personenbezogener Daten

    1. Der Kunde nimmt zur Kenntnis und erklärt sich damit einverstanden, dass die SIS und ihre Unterauftragsverarbeiter personenbezogene Daten im Vereinigten Königreich von Großbritannien und Nordirland ("UK"), im Europäischen Wirtschaftsraum, in den Vereinigten Staaten von Amerika, in Kanada und an jedem anderen Ort, an dem die SIS oder ihre Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen, wie in der Liste der Unterauftragsverarbeiter aufgeführt, verarbeiten (einschließlich der Übermittlung) dürfen, sofern dies für die Bereitstellung der Produkte erforderlich ist. Die SIS wird zu jeder Zeit ein angemessenes Schutzniveau für die personenbezogenen Daten in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze und, soweit anwendbar, den nachstehenden Anforderungen gewährleisten.
    2. In Verbindung mit der Bereitstellung der Produkte an den Kunden kann SIS personenbezogene Daten aus einem Drittland empfangen, in einem Drittland verarbeiten oder in ein Drittland übermitteln (und kann seine Unterauftragsverarbeiter dazu ermächtigen), vorausgesetzt, dass SIS und seine Unterauftragsverarbeiter Maßnahmen ergreifen, um diese Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen angemessen zu schützen. Solche Maßnahmen können in dem Umfang, der nach diesen Gesetzen verfügbar und anwendbar ist, umfassen.
    3. Die Parteien verpflichten sich zum Abschluss und zur Einhaltung der Standardvertragsklauseln, die hiermit in diese DPA aufgenommen und in Anhang C näher erläutert werden. Insbesondere unterliegen Übermittlungen personenbezogener Daten aus der Europäischen Union, dem Europäischen Wirtschaftsraum, der Schweiz oder dem Vereinigten Königreich durch den Kunden an SIS oder von SIS an den Kunden in Drittländer den Standardvertragsklauseln, Modul zwei ("Verantwortlicher an Auftragsverarbeiter") und Modul drei ("Auftragsverarbeiter an Auftragsverarbeiter"). Die für die Zwecke der Standardvertragsklauseln erforderlichen Informationen sind in Anhang C zu dieser DPA enthalten. Soweit für die Übermittlung von Daten in ein Drittland Ersatz- oder zusätzliche angemessene Garantien oder Übermittlungsmechanismen gemäß den geltenden Datenschutzgesetzen erforderlich sind, vereinbaren die Parteien, diese so bald wie möglich umzusetzen und die entsprechenden Anforderungen für die Umsetzung in einer Anlage zu dieser DPA zu dokumentieren.
    4. Die Parteien bestätigen und vereinbaren, dass sie unter Berücksichtigung der betroffenen personenbezogenen Daten und Drittländer, der einschlägigen Sicherheitsmaßnahmen im Rahmen dieser Datenschutzvereinbarung und der an der Verarbeitung dieser personenbezogenen Daten beteiligten Parteien die Angemessenheit des im Rahmen dieser Datenschutzvereinbarung angenommenen Übermittlungsmechanismus bewertet und festgestellt haben, dass dieser Übermittlungsmechanismus angemessen gestaltet ist, um sicherzustellen, dass die gemäß dieser Datenschutzvereinbarung übermittelten personenbezogenen Daten im Bestimmungsland ein Schutzniveau genießen, das im Wesentlichen dem nach den geltenden Datenschutzgesetzen garantierten Schutzniveau entspricht.
  7. Zusammenarbeit, Audit und Aufzeichnungsanfragen

    1. Soweit gesetzlich zulässig, benachrichtigt SIS den Kunden unverzüglich nach Erhalt und Prüfung eines Antrags der betroffenen Person oder rät der betroffenen Person auf andere Weise, ihren Antrag direkt an den Kunden zu richten. In jedem Fall ist der Kunde für die Beantwortung einer solchen Anfrage verantwortlich.
    2. Auf Anfrage des Kunden und unter Berücksichtigung der Art der Verarbeitung, die auf eine Anfrage der betroffenen Person anwendbar ist, wendet SIS angemessene technische und organisatorische Maßnahmen an, um den Kunden in die Lage zu versetzen, seiner Verpflichtung zur Beantwortung einer solchen Anfrage der betroffenen Person nachzukommen und/oder diese Beantwortung nachzuweisen, vorausgesetzt, dass (i) der Kunde selbst nicht in der Lage ist, die Anfrage ohne die Unterstützung von SIS zu beantworten oder zu erfüllen, und (ii) SIS in der Lage ist, dies in Übereinstimmung mit allen anwendbaren Gesetzen, Regeln und Vorschriften zu tun. Der Kunde ist im Rahmen des gesetzlich Zulässigen für alle Kosten und Ausgaben verantwortlich, die durch eine solche Unterstützung durch SIS entstehen.
    3. Wenn SIS eine Vorladung, einen Gerichtsbeschluss, einen Durchsuchungsbefehl oder eine andere gesetzliche Aufforderung von einem Dritten, einer Strafverfolgungsbehörde, einer ausländischen Regierung oder einer anderen öffentlichen oder gerichtlichen Behörde erhält, die die Offenlegung von persönlichen Daten verlangt, wird SIS den Kunden, soweit gesetzlich zulässig, unverzüglich schriftlich über diese Aufforderung informieren. SIS wird solchen Anfragen Dritter nur dann nachkommen, wenn SIS festgestellt hat, dass sie rechtlich dazu verpflichtet ist; in diesem Fall wird SIS auf Kosten des Kunden in angemessener Weise mit ihm zusammenarbeiten, wenn der Kunde eine solche Offenlegung einschränken, bestreiten oder sich dagegen schützen möchte, soweit dies nach geltendem Recht zulässig ist. Der Kunde übernimmt das gesamte Risiko und die Haftung bei der Bearbeitung und Beantwortung solcher Anfragen Dritter und stellt SIS von allen Verlusten, Kosten, Schäden, Ansprüchen, Klagen, Prozessen, Forderungen und Verbindlichkeiten frei, die SIS aufgrund von oder im Zusammenhang mit Zugangsanfragen Dritter erleidet oder gegen sie erhoben werden.
    4. SIS wird unter Berücksichtigung der Art der Verarbeitung und der SIS zur Verfügung stehenden Informationen in angemessener Weise mit dem Kunden zusammenarbeiten und ihn bei der Erfüllung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen unterstützen, einschließlich der Verpflichtungen zur Durchführung einer Datenschutz-Folgenabschätzung, zur Beantwortung von Anfragen einer Aufsichtsbehörde oder zur Konsultation dieser Behörde oder zum Nachweis der Einhaltung der geltenden Datenschutzgesetze. Die hierin enthaltenen Verpflichtungen gelten nur, wenn SIS aufgrund der geltenden Datenschutzgesetze dazu verpflichtet ist und sofern der Kunde nicht anderweitig Zugang zu den entsprechenden Informationen oder Funktionen hat, die angefordert werden. Der Kunde ist im Rahmen des gesetzlich Zulässigen für alle Kosten und Ausgaben verantwortlich, die durch eine solche Unterstützung durch SIS entstehen.
    5. Auf Anfrage des Kunden und nicht öfter als einmal pro Kalenderjahr stellt SIS dem Kunden Kopien aller anwendbaren Bescheinigungsberichte oder -zertifikate zur Einsichtnahme zur Verfügung, die die Einhaltung der anwendbaren Datenschutzgesetze durch SIS in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen dieses Vertrags belegen. Ausschließlich wenn und soweit (i) dies durch die anwendbaren Datenschutzgesetze vorgeschrieben ist und (ii) diese Kopien der Bescheinigungsberichte oder Zertifizierungen nicht ausreichen, um die Einhaltung der anwendbaren Datenschutzgesetze durch SIS in Bezug auf die Verarbeitung der personenbezogenen Daten durch SIS im Rahmen dieses Vertrags nachzuweisen, stellt SIS dem Kunden zusätzliche Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser Verpflichtungen nachzuweisen, und ermöglicht und unterstützt Audits, einschließlich einvernehmlich vereinbarter und geleiteter Inspektionen der Datenverarbeitungsanlagen, die unter der Kontrolle von SIS stehen, durch den Kunden oder einen anderen, von SIS und dem Kunden einvernehmlich vereinbarten Prüfer.
    6. Ein Audit oder eine Inspektion, die gemäß Abschnitt 7.5 genehmigt wird, findet nur statt, nachdem der Kunde SIS mindestens 30 Tage vorher schriftlich darüber informiert hat, und zu einem Datum, zu einer Zeit und an einem Ort, die von SIS und dem Kunden gemeinsam vereinbart wurden. Audits dürfen den Geschäftsbetrieb von SIS nicht unangemessen beeinträchtigen, und der Umfang eines solchen Audits unterliegt einer angemessenen Vorabgenehmigung durch SIS. Die mit der Durchführung eines solchen Audits beauftragten Personen unterliegen einer Vertraulichkeitsvereinbarung mit der SIS. Die Arbeit, die SIS für die Teilnahme an einem Audit benötigt, kann zu zusätzlichen Gebühren (zu einem einvernehmlich festgelegten Stundensatz) führen, die vom Kunden zu zahlen sind, es sei denn, es wurde vor Beginn eines solchen Audits schriftlich etwas anderes vereinbart. Um sicherzustellen, dass SIS die geltenden Datenschutzgesetze und ihre vertraglichen Verpflichtungen in Bezug auf Datenschutz und Sicherheit einhält, erklärt sich der Kunde damit einverstanden, dass SIS dem Kunden keinen Zugang zu den Systemen oder Informationen von SIS in einer Weise gewährt, die die Sicherheit, den Datenschutz oder die Vertraulichkeit der vertraulichen oder geschützten Informationen anderer Kunden von SIS gefährden könnte.
    7. Alle gemäß diesem Abschnitt 7 offengelegten Informationen gelten als vertrauliche Informationen der SIS.
  8. Verletzung des Schutzes personenbezogener Daten

    1. Nach Bekanntwerden einer eindeutig festgestellten Verletzung des Schutzes personenbezogener Daten informiert SIS den Kunden unverzüglich (spätestens jedoch innerhalb von 72 Stunden) über die Verletzung des Schutzes personenbezogener Daten und ergreift die Maßnahmen, die SIS nach eigenem Ermessen für notwendig und angemessen hält, um die Verletzung des Schutzes personenbezogener Daten zu beheben (soweit die Behebung in der angemessenen Kontrolle von SIS liegt).
    2. SIS wird, unter Berücksichtigung der Art der Verarbeitung und der SIS vernünftigerweise zur Verfügung stehenden Informationen: (a) dem Kunden die angemessene Zusammenarbeit und Unterstützung zu gewähren, die der Kunde benötigt, um seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf die Benachrichtigung der zuständigen Aufsichtsbehörden und/oder der von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen nachzukommen; und (b) dem Kunden die in der angemessenen Kontrolle von SIS befindlichen Informationen über die Einzelheiten der Verletzung des Schutzes personenbezogener Daten zur Verfügung zu stellen, einschließlich, soweit zutreffend, der Art der Verletzung des Schutzes personenbezogener Daten, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze sowie der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
    3. Die in diesem Abschnitt 8 beschriebenen Verpflichtungen gelten nicht für den Fall, dass eine Verletzung des Schutzes personenbezogener Daten auf Handlungen oder Unterlassungen des Kunden zurückzuführen ist. Die Mitwirkung von SIS oder die Verpflichtung von SIS, eine Verletzung des Schutzes personenbezogener Daten gemäß diesem Abschnitt zu melden oder darauf zu reagieren, kann in keinem Fall als Anerkennung eines Verschuldens oder einer Haftung von SIS in Bezug auf die Verletzung des Schutzes personenbezogener Daten ausgelegt werden.
    4. Sofern dies nicht durch ein anwendbares Gesetz oder eine gerichtliche Anordnung untersagt ist, wird der Kunde SIS über alle rechtlichen Schritte Dritter im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten informieren, einschließlich, aber nicht beschränkt auf alle rechtlichen Schritte, die von einer staatlichen Stelle eingeleitet werden.
  9. Sonstiges

    1. Alle Mitteilungen an den Kunden im Rahmen dieser DPA sind per E-Mail an den vom Kunden benannten Systemadministrator für die Produkte und an die Kontaktperson "Rechtliche und datenschutzrechtliche Hinweise" zu richten, falls diese vom Kunden in Verbindung mit dem Vertrag angegeben wurde. Der Kunde kann diese Kontakte jederzeit per E-Mail an privacy@signinsolutions.com aktualisieren.
    2. Die Haftung der SIS und ihrer jeweiligen Mitarbeiter, Direktoren, leitenden Angestellten, verbundenen Unternehmen, Rechtsnachfolger und Bevollmächtigten (die "SIS-Parteien"), die sich aus dieser DPA ergibt oder mit ihr in Zusammenhang steht, gleichgültig, ob es sich um eine vertragliche Haftung, eine Haftung aus unerlaubter Handlung oder eine sonstige Haftungstheorie handelt, unterliegt dem Abschnitt "Gewährleistungsausschluss, Haftungsbeschränkung und Entschädigung" der Vereinbarung, und jede Bezugnahme in diesem Abschnitt auf die Haftung der SIS oder der SIS-Parteien bedeutet die Gesamthaftung der SIS-Parteien aus der Vereinbarung und dieser DPA zusammen.
    3. Diese DPA berührt nicht die Rechte und Pflichten der Parteien im Rahmen des Abkommens, das weiterhin uneingeschränkt gilt. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser DPA Vorrang. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang, jedoch nur insoweit, als die Standardvertragsklauseln Anwendung finden.
    4. Sofern diese DPA oder das anwendbare Datenschutzrecht nichts anderes vorsehen, vereinbaren der Kunde und SIS, dass die Streitbeilegungsbestimmungen der Vereinbarung (einschliesslich des anwendbaren Rechts und des Gerichtsstands) für diese DPA gelten.

Anhang A

Einzelheiten der Verarbeitung

  1. Datenexporteur:

    Name, Anschrift und Kontaktinformationen:
    Wie in der Vereinbarung vorgesehen.

    Tätigkeiten, die für die gemäß den Klauseln übermittelten Daten relevant sind:
    Erhalt der Produkte im Rahmen der Vereinbarung.

    Unterschrift und Datum:
    Wie in der Vereinbarung vorgesehen.

  2. Datenimporteur:

    Name: Sign In Solutions Inc.
    Adresse:
    150 2nd Ave N, Suite 1540 St. Petersburg FL, USA 33701

    Jason Mordeno: Globaler Datenschutzbeauftragterprivacy@signinsolutions.com

    Tätigkeiten, die für die gemäß den Klauseln übermittelten Daten relevant sind:
    Die Bereitstellung, Wartung und Sicherung der Produkte

    Unterschrift und Datum:
    Wie in der Vereinbarung vorgesehen.

  3. Details der Datenverarbeitung:
    1. Gegenstand: Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind die personenbezogenen Daten des Kunden.
    2. Dauer: Zwischen SIS und dem Kunden dauert die Datenverarbeitung im Rahmen dieser DPA bis zum Ablauf oder zur Beendigung des Vertrags gemäß dessen Bestimmungen.
    3. Zweck: SIS darf personenbezogene Daten des Kunden nur zu folgenden Zwecken verarbeiten: (i) Verarbeitung zur Erfüllung der Verpflichtungen aus der Vereinbarung; und (ii) Verarbeitung zur Erfüllung sonstiger angemessener Anweisungen des Kunden (z. B. per E-Mail oder Support-Tickets), die mit den Bedingungen des Vertrags übereinstimmen (einzeln und zusammen der "Zweck").
    4. Art der Verarbeitung: SIS unterstützt den Kunden bei der Nutzung der Produkte, wie im Vertrag näher beschrieben.
    5. Kategorien von betroffenen Personen: Mitarbeiter des Kunden und Nutzer (gemäß der Definition dieses Begriffs in der Vereinbarung)
    6. Kategorien von personenbezogenen Daten des Kunden: Der Kunde kann bestimmte personenbezogene Daten hochladen, übermitteln oder anderweitig an SIS bereitstellen, deren Umfang in der Regel vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die folgende Arten personenbezogener Daten umfassen können:

      • Identifizierungsdaten der betroffenen Personen (Vor- und Nachname), Kontaktinformationen (dazu können einige oder alle E-Mail-Adressen, Adressen, Telefonnummern sowie Standort- und IT-Informationen der betroffenen Person gehören (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten) und
      • Alle anderen personenbezogenen Daten, die Sie in Ihr Produktangebot für betroffene Personen aufnehmen, insbesondere sensible Daten, für die Sie die ausdrückliche Zustimmung einer betroffenen Person zur Verarbeitung dieser sensiblen Daten für die beabsichtigten Zwecke und vorbehaltlich der Klausel 1.4 dieser Datenschutzrichtlinie erhalten haben.
    7. Verarbeitungsvorgänge: Die personenbezogenen Daten des Kunden werden in Übereinstimmung mit dem Vertrag (einschließlich dieser DPA) verarbeitet und können den folgenden Verarbeitungsvorgängen unterworfen sein: Speicherung und andere Verarbeitungen, die erforderlich sind, um die Produkte und professionellen Produkte, die dem Kunden gemäß dem Vertrag zur Verfügung gestellt werden, bereitzustellen, zu warten und zu verbessern; und/oder Offenlegungen in Übereinstimmung mit dieser DPA und/oder wie durch geltendes Recht vorgeschrieben.

Anhang B

Technische und organisatorische Maßnahmen

SIS muss:

  1. Bereitstellung eines Niveaus an technischen und organisatorischen Maßnahmen (einschließlich angemessener Sicherheits- und Compliance-Maßnahmen in Bezug auf die Kategorien oder die Art der Kundendaten), das geeignet ist, vor dem Schaden zu schützen, der sich aus einer Verletzung des Datenschutzes ergeben könnte; dazu gehören unter anderem:
    1. Führung, Risiko und Compliance-Kontrollen
      • Führung - SIS unterhält ein Führungs-, Risiko- und Compliance-Programm, d.h. eine Reihe von Prozessen, Richtlinien und Verfahren, um im Einklang mit den einschlägigen Gesetzen, Vorschriften und Branchenstandards zu arbeiten;
      • Risiko - SIS verwaltet Risikorahmen, die Risiken für Technologie- und Datenverarbeitungssysteme identifizieren und verwalten;
      • Compliance - SIS unterhält Sicherheits- und Compliance-Prozesse und führt Audits durch, bei denen unsere Kontrollen mit dem Management und dem Schutz der Kundendaten geprüft werden;
    2. Sicherheitskontrollen der Infrastruktur
      • Überwachung - SIS unterhält Sicherheitsüberwachungssysteme, die unter anderem die Erkennung und Verhinderung von Eindringlingen, die Überwachung des Datenverkehrs und die Überwachung der Dateiintegrität umfassen.
      • Authentifizierung - SIS unterhält effektive Authentifizierungsprozesse, die den Schutz von Kundendaten gewährleisten (z.B. Mehrfaktor-Authentifizierung für privilegierten Zugang oder eingeschränkte Informationen);
      • Schwachstellenmanagement - SIS verfügt über eine definierte Politik und einen Prozess, der die Anforderungen für die Bewertung und das Management von Schwachstellen festlegt;
    3. Netzwerk-Sicherheitskontrollen
      • Zugangspunkte - SIS sorgt für die Authentifizierung und Überwachung der Zugriffsrechte beim Zugang zum Netzwerk und wendet technische Richtlinien an, um interne und externe Bedrohungen durch den Zugang zu verhindern;
      • Netzwerkmanagement von Rollen und Verantwortlichkeiten - definiert autorisierte Gruppen, Rollen und Verantwortlichkeiten für das Management von Netzwerkkomponenten;
      • System- und Sicherheitsereignisse/Firewalls - SIS protokolliert automatisch System- und Sicherheitsereignisse, überprüft die Protokolle in regelmäßigen Abständen, festgestellte Probleme werden untersucht und zeitnah behoben;
    4. Datensicherheitskontrollen
      • Technische und organisatorische Richtlinien - SIS verfügt über Prozesse für die Klassifizierung, die Verwaltung, den Zugriff, die Verwendung und die Vernichtung von Daten;
      • Verschlüsselung - SIS verschlüsselt Daten bei der Übertragung, während des Transports, im Ruhezustand und bei der Speicherung, indem es Verschlüsselungstools nach Industriestandard verwendet;
      • Verschlüsselungsschlüssel - SIS schützt die Sicherheit und Vertraulichkeit aller Verschlüsselungsschlüssel, die mit verschlüsselten Kundendaten verbunden sind;
      • Rollenbasierte Zugriffskontrollen - SIS praktiziert die Methode der geringsten Privilegien, die den Benutzerzugriff auf autorisierte Personen beschränkt;
      • Geplante Backups - SIS sichert die Kundendaten regelmäßig nach Bedarf des Kunden und stellt sicher, dass alle gesicherten Daten geeigneten Sicherheitsmaßnahmen unterliegen, die zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten erforderlich sind;

Anhang C

Standardvertragsklauseln

Die Parteien vereinbaren, dass personenbezogene Daten, die zwischen den Parteien und von diesen in Drittländer übermittelt werden, den Standardvertragsklauseln unterliegen, soweit diese anwendbar sind und wie sie in der DPA näher erläutert werden.

  1. Die Parteien erkennen die Bedeutung des Schutzes personenbezogener Daten und die rechtlichen Beschränkungen für die internationale Übermittlung solcher Daten in Drittländer an.
  2. Dementsprechend verpflichten sich die Parteien zur Einhaltung der DSGVO, des UK DPA 2018 und des Swiss DPA sowie anderer geltender Datenschutzgesetze, die die Standardvertragsklauseln oder ähnliche Grundsätze anerkennen, und schließen diese Standardvertragsklauseln ab, um sicherzustellen, dass die Übermittlung personenbezogener Daten in Drittländer rechtmäßig ist und einem angemessenen Datenschutz unterliegt. Soweit eine Übermittlung personenbezogener Daten unter Artikel 3 Absatz 2 der Datenschutz-Grundverordnung fällt, findet dieser Anhang C keine Anwendung.
  1. KLÄRUNG VON DEFINITIONEN UND BEGRIFFEN
    1. Die Begriffe "Datenverantwortlicher" oder "Verantwortlicher", "Datenexporteur", "Datenimporteur", "Datenverarbeiter" und "personenbezogene Daten" haben die Bedeutung gemäß der DSGVO, dem UK DPA 2018, dem Swiss DPA oder einem anderen anwendbaren Datenschutzgesetz, je nach Anwendbarkeit.
    2. Bei Übermittlungen personenbezogener Daten in Drittländer, die von außerhalb der EU stammen, werden Verweise auf die Datenschutz-Grundverordnung durch das geltende Datenschutzgesetz und Verweise auf die "EU", "Union" oder "Mitgliedstaat" durch die geltende Herkunftsregion ersetzt.
    3. Abschnitt 1 Klausel 1 (a) der Standardvertragsklauseln (Definition des Datenimporteurs): Der "Datenimporteur" ist das SIS.
    4. Abschnitt 1 Ziffer 1 (a) der Standardvertragsklauseln (Definition des Datenexporteurs): Der "Datenexporteur" ist der Kunde.
    5. Für Beanstandungen gegenüber Unterauftragsverarbeitern gemäß Abschnitt 1 Ziffer 9 gilt das Verfahren gemäß Abschnitt 4 dieser DPA.
  2. ANWENDBARE MODULE

    Bezug auf die Verarbeitung der anwendbaren personenbezogenen Daten:

    1. Wenn der Kunde Datenexporteur und für die Verarbeitung Verantwortlicher ist, und SIS Datenimporteur und für die Verarbeitung Verantwortlicher ist, gilt Modul 1.
    2. Wenn der Kunde Datenexporteur und für die Verarbeitung Verantwortlicher ist und SIS Datenimporteur und -verarbeiter ist, gilt Modul 2.
    3. Wenn der Kunde Datenexporteur und -verarbeiter und das SIS Datenimporteur und Unterverarbeiter ist, gilt Modul 3.
    4. Verweise auf Modul 4 in den SCC gelten nicht, und Formulierungen, die auf dieses Modul verweisen, werden nicht als Teil dieser DPA behandelt.
  3. ÄNDERUNGEN ODER AKTUALISIERUNGEN

    Soweit für den Export von Daten in ein Drittland zusätzliche angemessene Garantien gemäß den anwendbaren Datenschutzgesetzen, die die Standardvertragsklauseln oder ähnliche Grundsätze anerkennen, erforderlich sind, oder soweit die Standardvertragsklauseln durch ein solches Gesetz ersetzt werden oder nicht anerkannt werden, vereinbaren die Parteien, diese entweder unverzüglich umzusetzen oder eine andere annehmbare Methode für die Übermittlung solcher Daten zu verwenden und diesen Anhang C unverzüglich zu ändern, um diesen Anforderungen zu entsprechen.

  4. WIDERSPRÜCHE

    Sollten die Bestimmungen der Vereinbarung oder des DPA im Widerspruch zu den Standardvertragsklauseln stehen, haben die Bestimmungen der Standardvertragsklauseln Vorrang.

  5. STANDARDVERTRAGSKLAUSELN
    1. Die Standardvertragsklauseln gelten als in diese DPA aufgenommen und gelten wie nachstehend ergänzt:
    2. In Klausel 7 wird die "Andockklausel (fakultativ)" als einbezogen betrachtet.
    3. In Klausel 9 wird die Option 2 gewählt, und die Frist für die vorherige Benachrichtigung über die Hinzufügung oder den Austausch von Unterauftragsverarbeitern wird in der DPA festgelegt.
    4. In Klausel 11 wird die fakultative Sprache nicht angewendet.
    5. In Klausel 13 ist die zuständige Aufsichtsbehörde die irische Datenschutzkommission, wenn die EU-SCCs gelten, der EDÖB, wenn das Schweizer DPA gilt, und der UK Information Commissioner, wenn das UK Transfer Addendum gilt.
    6. In Klausel 17 wird Option 2 gewählt, und die Standardvertragsklauseln unterliegen dem irischen Recht, wenn die EU SCCs gelten, dem schweizerischen Recht, wenn das Swiss DPA gilt, und dem Recht von England und Wales, wenn das UK Transfer Addendum gilt.
    7. In Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands, wo die EU SCCs gelten, den Gerichten der Schweiz, wo das Swiss DPA gilt, und den Gerichten von England und Wales, wo das UK Transfer Addendum gilt, entschieden.
    8. Die Anhänge I und II der SCCs sind in den Anhängen A und B dieser DPA enthalten; Anhang III ist in der Liste der Unterauftragsverarbeiter enthalten.
    9. Für die Zwecke des UK Transfer Addendums werden die Standardvertragsklauseln in Übereinstimmung mit Teil 2 des UK Transfer Addendums ausgelegt; die Abschnitte 9 bis 11 des UK Transfer Addendums haben Vorrang vor Klausel 5 der EU SCCs und sowohl der "Importeur" als auch der "Exporteur" können das UK Transfer Addendum gemäß Abschnitt 19 des UK Transfer Addendums beenden.

    Mit dem Abschluss der DPA unterzeichnen die Parteien die geltenden Standardvertragsklauseln.