Zuletzt geändert: 8. August 2023 | Vorherige Versionen
Jibe und der Vertragspartner, der diesem Zusatz zustimmt („Partner“), haben eine Vereinbarung über die Bereitstellung der Auftragsverarbeiterdienste geschlossen (in der jeweils gültigen Fassung als die Vereinbarung).
Dieser Zusatz zur Datenverarbeitung (einschließlich der Anhänge, „Zusatz zur Datenverarbeitung“) wird von Jibe und Partner abgeschlossen und ergänzt die Vereinbarung. Dieser Zusatz zur Datenverarbeitung tritt ab dem Datum des Inkrafttretens der Nutzungsbedingungen in Kraft und ersetzt alle zuvor geltenden Bedingungen in Bezug auf den Gegenstand dieser Datenverarbeitung. Das gilt auch für Datenverarbeitungsbedingungen und Sicherheitsbestimmungen des Auftragsverarbeiters.
Wenn Sie diesen Zusatz zur Datenverarbeitung im Namen des Partners akzeptieren, bestätigen Sie, dass (a) Sie die uneingeschränkte rechtliche Befugnis haben, diesen Zusatz zur Datenverarbeitung zu akzeptieren, (b) diesen Zusatz zur Datenverarbeitung gelesen und verstanden haben und (c) diesem Zusatz zur Datenverarbeitung im Namen des Partners zustimmen. Falls Sie nicht dazu befugt sind, den Partner an diese Vereinbarung zu binden, akzeptieren Sie diesen Zusatz zur Datenverarbeitung nicht.
1. Einführung
Dieser Zusatz zur Datenverarbeitung spiegelt die Vereinbarung der Parteien zu den Bestimmungen zur Verarbeitung und Sicherheit bestimmter Daten im Zusammenhang mit den europäischen Datenschutzvorschriften und dem außereuropäischen Datenschutzrecht wider.
2. Begriffsbestimmungen und Auslegung
2.1 In diesem Zusatz zur Datenverarbeitung gilt Folgendes:
„Zusätzliches Produkt“ bezeichnet ein vonJibe oder einem Dritten bereitgestelltes Produkt, einen Dienst oder eine Anwendung, das (a) nicht Teil der Auftragsverarbeiterdienste ist und (b) auf die Benutzeroberfläche der Auftragsverarbeiterdienste zugreifen kann oder anderweitig in die Auftragsverarbeiterdienste integriert ist.
„Zusätzliche Bedingungen für außereuropäische Datenschutzvorschriften“ bezeichnet die zusätzlichen Bestimmungen in Anhang 3, die die Vereinbarung der Parteien zu den Bedingungen für die Verarbeitung bestimmter Daten in Zusammenhang mit bestimmten außereuropäischen Datenschutzvorschriften widerspiegeln.
„Land mit angemessenem Schutz“:
(a) für Daten, die gemäß der EU-DSGVO verarbeitet werden: der EWR oder ein Land oder Gebiet, das gemäß der EU-DSGVO einen angemessenen Datenschutz gewährleistet;
(b) für Daten, die gemäß der UK-DSGVO verarbeitet werden: das Vereinigte Königreich oder ein Land oder Gebiet, das gemäß der UK-DSGVO und dem Data Protection Act 2018 einen angemessenen Datenschutz gewährleistet und/oder
(c) für Daten, die gemäß dem schweizerischen Datenschutzgesetz verarbeitet werden: Die Schweiz oder ein Land oder Gebiet, das (i) in der Liste der Länder enthalten ist, deren Gesetzgebung ein angemessenes Schutzniveau bietet, wie es vom schweizerischen Datenschutz- und Informationskommissionsteam veröffentlicht ist, oder (ii) gemäß dem schweizerischen Datenschutzgesetz vom jeweiligen
„Alternative Übertragungslösung“ bezeichnet eine andere Lösung als die Standardvertragsklauseln, die die rechtmäßige Übertragung personenbezogener Daten in ein Drittland gemäß europäischen Datenschutzvorschriften ermöglicht, z. B. ein Datenschutzsystem, das anerkanntermaßen dafür sorgt, dass teilnehmende lokale Rechtssubjekte einen angemessenen Schutz gewährleisten.
„Datenvorfall“ bezeichnet eine Verletzung der Sicherheit von Jibe, die zur versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer nicht autorisierten Offenlegung von oder einem Zugriff auf personenbezogene Partnerdaten auf Systemen führt, die von Jibe verwaltet oder anderweitig kontrolliert werden. "Datenvorfälle" umfasst keine fehlgeschlagenen Versuche oder Aktivitäten, die die Sicherheit von personenbezogenen Partnerdaten nicht beeinträchtigen, einschließlich fehlgeschlagener Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
„Tool für betroffene Personen“ ist ein Tool, das (sofern vorhanden) einem Jibe-Unternehmen betroffenen Personen zur Verfügung steht, damit Jibe direkt und auf standardisierte Weise auf bestimmte Anfragen von betroffenen Personen in Bezug auf personenbezogene Partnerdaten reagieren kann (z. B. Online-Einstellungen für Werbung oder Deaktivierung des Browser-Plug-ins).
„EWR“ bezeichnet den Europäischen Wirtschaftsraum.
„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum kostenlosen Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
„Europäische Datenschutzvorschriften“ bezeichnet, je nach Anwendungsfall, (a) die DSGVO und/oder (b) das schweizerische Datenschutzgesetz.
„Europäisches Recht“ bedeutet, soweit anwendbar: (a) das Recht der EU oder der EU-Mitgliedstaaten (wenn die EU-DSGVO für die Verarbeitung von personenbezogenen Partnerdaten gilt); und/oder (b) das Recht des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs (wenn die DSGVO des Vereinigten Königreichs für die Verarbeitung von personenbezogenen Partnerdaten gilt).
„DSGVO“ bezeichnet, je nach Anwendungsfall, (a) die EU-DSGVO und/oder (b) die DSGVO (Vereinigtes Königreich).
„Jibe“ bezeichnet die Jibe-Rechtspersönlichkeit, die Vertragspartei der Vereinbarung ist.
„Jibe-Rechtspersönlichkeit“ bezeichnet Jibe Mobile, Inc, Jibe Mobile Limited oder eine andere Rechtspersönlichkeit, die Jibe Mobile, Inc. direkt oder indirekt kontrolliert, die von Jibe Mobile, Inc. kontrolliert wird oder unter gemeinsamer Kontrolle mit ihr steht.
„ISO 27001-Zertifizierung“: ISO/IEC 27001:2013-Zertifizierung oder eine vergleichbare Zertifizierung für die Auftragsverarbeiterdienste.
„Neuer Unterauftragsverarbeiter“ wird im Sinne der Definition in Abschnitt 11.1 (Einwilligung für die Beauftragung von Unterauftragsverarbeitern) verwendet.
„Außereuropäische Datenschutzvorschriften“ bezeichnet Datenschutzgesetze, die außerhalb des EWR, der Schweiz und des Vereinigten Königreichs gelten.
„Benachrichtigungs-E-Mail-Adresse“ bezeichnet die E-Mail-Adresse (sofern vorhanden): (i) die der Partner von Jibe erhält oder (ii) über die Benutzeroberfläche der Auftragsverarbeiterdienste oder eine andere von Jibe bereitgestellte Methode angegeben hat, um bestimmte Benachrichtigungen von Jibe zu diesem Zusatz zur Datenverarbeitung zu erhalten. Zur Klarstellung: Der Partner ist dafür verantwortlich, Jibe eine Benachrichtigungs-E-Mail-Adresse zur Verfügung zu stellen und Jibe über Aktualisierungen der Benachrichtigungs-E-Mail-Adresse zu informieren.
Personenbezogene Partnerdaten bezeichnet personenbezogene Daten, die von Jibe im Namen des Partners in der Bereitstellung der Auftragsverarbeiterdienste von Jibe verarbeitet werden.
„Standardvertragsklauseln für Partner“ bezeichnet die Standardvertragsklauseln (Verantwortlicher an Auftragsverarbeiter), die Standardvertragsklauseln (Auftragsverarbeiter an Verantwortlichen) und/oder die Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter), je nach Anwendungsfall.
Auftragsverarbeiterdienste bezeichnet RCS Business Messaging-Dienste (wie unter developers.google.com/business-communications/rcs-business-messaging beschrieben).
„Standardvertragsklauseln“ bezeichnet je nach Anwendungsfall die Standardvertragsklauseln für Partner und/oder die Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter, Jibe-Exporteur).
„Standardvertragsklauseln (Verantwortlicher an Auftragsverarbeiter)“ bezeichnet die Bestimmungen unter business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
„Standardvertragsklauseln (Auftragsverarbeiter an Verantwortlichen)“ bezeichnet die Bestimmungen unter business.safety.google/gdprprocessorterms/sccs/p2c.
„Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter)“ bezeichnet die Bestimmungen unter business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
„Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter, Jibe-Exporteur)“ bezeichnet die Bestimmungen unter business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
„Sicherheitsdokumentation“ bezeichnet die ISO 27001-Zertifizierung und alle anderen Sicherheitszertifizierungen oder -dokumente, die Jibe in Verbindung mit den Auftragsverarbeiterdiensten zur Verfügung stellt.
„Sicherheitsmaßnahmen“ hat die in Abschnitt 7.1.1 (Sicherheitsmaßnahmen von Jibe) angegebene Bedeutung.
„Unterauftragsverarbeiter“ bezeichnet Dritte, die gemäß diesem Zusatz zur Datenverarbeitung dazu berechtigt sind, logisch auf personenbezogene Partnerdaten zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste und zugehörigen technischen Support bereitzustellen.
„Aufsichtsbehörde“ bezeichnet, je nach Anwendungsfall, (a) eine „Aufsichtsbehörde“ im Sinne der EU-DSGVO und/oder (b) den „Datenschutzbeauftragten“ im Sinne der UK-DSGVO und/oder des schweizerischen Datenschutzgesetzes.
„Schweizerisches Datenschutzgesetz“ bezeichnet das Bundesgesetz über den Datenschutz vom 19. Juni 1992 der Schweiz.
„Laufzeit“ bezeichnet den Zeitraum vom Datum des Inkrafttretens bis zum Ende der Bereitstellung der Auftragsverarbeiterdienste gemäß der Vereinbarung durch Jibe.
„Datum des Inkrafttretens“ bezeichnet das Datum des Inkrafttretens der Vereinbarung.
„UK-DSGVO“ bezeichnet die an die Gesetzgebung des Vereinigten Königreichs angepasste und darin integrierte EU-DSGVO unter Berücksichtigung des UK European Union (Withdrawal) Act 2018 sowie anwendbare sekundäre Vorschriften dieses Gesetzes.
2.2 Die Begriffe Verantwortlicher, Betroffene Person, Personenbezogene Daten, Verarbeitung und Auftragsverarbeiter haben in diesem Zusatz zur Datenverarbeitung die in der DSGVO festgelegte Bedeutung. Die Begriffe Datenimporteur und Datenexporteur haben die in den Standardvertragsklauseln festgelegte Bedeutung.
2.3 Die Wörter einschließen und einschließlich bedeuten "einschließlich, aber nicht beschränkt auf". Alle Beispiele in diesem Zusatz zur Datenverarbeitung dienen nur der Veranschaulichung und sind nicht die einzigen Beispiele eines bestimmten Konzepts.
2.4 Jegliche Verweise auf einen rechtlichen Rahmen, ein Gesetz oder eine andere Gesetzgebung sind Änderungen, die von Zeit zu Zeit geändert oder neu festgelegt werden.
2.5 Soweit eine übersetzte Fassung dieses Zusatzes zur Datenverarbeitung nicht mit der englischen Version übereinstimmt, hat die englische Version Vorrang.
3. Dauer dieses Zusatzes zur Datenverarbeitung
Dieser Zusatz zur Datenverarbeitung tritt mit dem Datum des Inkrafttretens der Bedingungen in Kraft und bleibt unabhängig davon, ob die Laufzeit abgelaufen ist, bis zum Ablauf der Frist gültig, wenn Jibe alle personenbezogenen Daten des Partners gemäß diesem Zusatz zur Datenverarbeitung löscht.
4. Anwendung dieses Zusatzes zur Datenverarbeitung
4.1 Anwendung der europäischen Datenschutzvorschriften. Die Paragrafen 5 (Datenverarbeitung) bis 12 (Contact Jibe; Processing Records) (einschließlich) gelten nur, wenn die europäischen Datenschutzvorschriften auf die Verarbeitung von personenbezogenen Partnerdaten anwendbar sind, einschließlich, wenn:
(a) die Verarbeitung im Rahmen der Tätigkeit einer Niederlassung eines Partners im EWR oder im Vereinigten Königreich erfolgt und/oder
(b) Personenbezogene Partnerdaten sind personenbezogene Daten von betroffenen Personen, die sich im EWR oder im Vereinigten Königreich befinden, und die Verarbeitung bezieht sich auf das Angebot von Waren oder Dienstleistungen oder die Überwachung ihres Verhaltens im EWR oder im Vereinigten Königreich.
4.2 Anwendung auf Auftragsverarbeiterdienste. Dieser Zusatz zur Datenverarbeitung gilt nur für die Auftragsverarbeiterdienste, für die die Parteien diesem Zusatz zur Datenverarbeitung zugestimmt haben (z. B. (a) die Auftragsverarbeiterdienste, für die der Partner diesen Zusatz zur Datenverarbeitung akzeptiert hat; oder (b) wenn die Vereinbarung diesen Zusatz zur Datenverarbeitung durch Verweis in die Vereinbarung aufnimmt.
4.3 Einbindung zusätzlicher Nutzungsbedingungen für außereuropäische Datenschutzvorschriften. Die Zusatzbedingungen für außereuropäische Datenschutzvorschriften ergänzen diesen Zusatz zur Datenverarbeitung.
5. Verarbeitung von Daten
5.1 Rollen und Einhaltung gesetzlicher Vorschriften; Autorisierung.
5.1.1 Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Parteien bestätigen und erklären sich mit Folgendem einverstanden:
(a) In Anhang 1 werden der Gegenstand und die Details der Verarbeitung personenbezogener Partnerdaten beschrieben.
(b) Jibe ist ein Auftragsverarbeiter von personenbezogenen Daten von Partnern gemäß den europäischen Datenschutzvorschriften;
(c) der Partner gemäß dem europäischen Datenschutzrecht gegebenenfalls ein Verantwortlicher oder Auftragsverarbeiter von personenbezogenen Partnerdaten ist; und
(d) wird jede Partei die für sie geltenden Verpflichtungen gemäß den europäischen Datenschutzvorschriften in Bezug auf die Verarbeitung personenbezogener Partnerdaten einhalten.
5.1.2 Auftragsverarbeiter. Wenn der Partner ein Auftragsverarbeiter ist, gilt Folgendes:
(a) Der Partner gewährleistet, dass der jeweilige Verantwortliche Folgendes genehmigt hat: (i) die Anweisungen, (ii) die Ernennung von Jibe als weiteren Auftragsverarbeiter durch den Partner und (iii) die Beauftragung von Jibe für Unterauftragsverarbeiter gemäß Abschnitt 11 (Unterauftragsverarbeiter);
(b) Der Partner leitet unverzüglich jede Mitteilung, die von Jibe gemäß den Abschnitten 5.4 (Anleitungsbenachrichtigungen), 7.2.1 (Vorfallbenachrichtigung), 11.4 (Möglichkeit, dem Wechsel des Unterauftragsverarbeiters zu widersprechen) zur Verfügung gestellt wird, oder die sich auf alle Standardvertragsklauseln bezieht, an den entsprechenden Verantwortlichen weiter.
(c) Der Partner kann dem relevanten Verantwortlichen alle Informationen zur Verfügung stellen, die von Jibe gemäß den Abschnitten 7.4 (Sicherheitszertifizierung), 10.5 (Informationen zu Rechenzentren) und 11.2 (Informationen zu Unterauftragsverarbeitern) zur Verfügung gestellt werden.
5.2 Anweisungen des Partners. Durch den Abschluss dieses Zusatzes zur Datenverarbeitung weist der Partner Jibe an, nur personenbezogene Daten des Partners gemäß anwendbarem Recht zu verarbeiten: (a) um die Auftragsverarbeiterdienste und den damit verbundenen technischen Support bereitzustellen (b) gemäß der Nutzung der Auftragsverarbeiterdienste durch den Partner (einschließlich der Einstellungen und anderer Funktionen der Auftragsverarbeiterdienste) sowie des zugehörigen technischen Supports und (c) in der vorliegenden Dokumentation sowie
5.3 Jisbes Einhaltung der Weisungen. Jibe wird die Anweisungen befolgen, es sei denn, dies ist durch europäische Gesetze untersagt.
5.4 Benachrichtigungen über Weisungen. Jibe benachrichtigt den Partner unverzüglich, wenn nach Meinung von Jibe: (a) europäische Gesetze Jibe daran hindern, eine Weisung zu befolgen; (b) eine Weisung gegen europäische Datenschutzvorschriften verstößt; oder (c) Jibe anderweitig nicht in der Lage ist, eine Weisung zu befolgen. Dies gilt jeweils, sofern eine solche Benachrichtigung nicht durch europäisches Recht verboten ist. Dieser Paragraf 5.4 (Benachrichtigungen über Anweisungen) schränkt nicht die Rechte und Pflichten der beiden Parteien an anderer Stelle der Vereinbarung ein.
5.5 Zusätzliche Produkte. Wenn der Partner ein zusätzliches Produkt verwendet, können die Auftragsverarbeiterdienste zulassen, dass dieses zusätzliche Produkt auf personenbezogene Partnerdaten zugreift, soweit dies für die Interoperabilität des zusätzlichen Produkts mit den Auftragsverarbeiterdiensten erforderlich ist. Bei Bedarf schließen die Parteien separate Datenverarbeitungsbedingungen ein, um festzulegen, wie das zusätzliche Produkt personenbezogene Daten von Partnern verarbeitet.
6. Datenlöschung
6.1 Löschung während der Laufzeit.
6.1.1 Auftragsverarbeiterdienste mit Löschfunktion. Wenn während der Laufzeit
(a) die Funktionalität der Auftragsverarbeiterdienste die Option für den Partner umfasst, personenbezogene Partnerdaten zu löschen;
(b) Der Partner verwendet die Auftragsverarbeiterdienste, um bestimmte personenbezogene Partnerdaten zu löschen.
(c) die gelöschten personenbezogenen Partnerdaten, die der Partner nicht wiederherstellen kann (z. B. aus dem „Müll“), dann löscht Jibe diese personenbezogenen Daten des Partners so schnell wie mit vertretbarem Aufwand möglich, es sei denn, europäische Gesetze erfordern eine Speicherung.
6.1.2 Auftragsverarbeiterdienste ohne Löschfunktion. Wenn die Funktion der Auftragsverarbeiterdienste keine Möglichkeit umfasst, die personenbezogenen Daten des Partners zu löschen, ist Jibe während der Laufzeit verpflichtet, jedem angemessenen Antrag des Partners nachzukommen, dies zu tun, sofern dies aufgrund der Art und Funktionalität der Auftragsverarbeiterdienste möglich ist und sofern europäische Gesetze nicht die Speicherung verlangen. Jibe kann für jede Löschung von Daten gemäß diesem Abschnitt 6.1.2 (Auftragsverarbeiterdienste ohne Löschfunktion) eine Gebühr (basierend auf den angemessenen Kosten von Jibe) berechnen. Jibe teilt dem Partner vor einer solchen Datenlöschung weitere Einzelheiten zu allen anfallenden Gebühren und deren Berechnungsgrundlage mit.
6.2 Löschung, wenn die Laufzeit abläuft. Nach Ablauf der Laufzeit weist der Partner Jibe an, alle personenbezogenen Daten des Partners (einschließlich vorhandener Kopien) gemäß dem geltenden Recht aus den Systemen von Jibe zu löschen. Jibe wird dieser Anleitung so schnell wie möglich nachkommen, es sei denn, europäische Gesetze erfordern eine Speicherung.
7. Datensicherheit
7.1 Jibes Sicherheitsmaßnahmen und Unterstützung.
7.1.1 Jibe-Sicherheitsmaßnahmen. Jibe muss technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um personenbezogene Daten von Partnern vor versehentlicher oder unrechtmäßiger Löschung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, wie in Anhang 2 („Sicherheitsmaßnahmen“) beschrieben. Wie in Anhang 2 beschrieben, umfassen die Sicherheitsmaßnahmen Maßnahmen, (a) um personenbezogene Daten zu verschlüsseln, (b) um die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste von Jibe zu gewährleisten, (c) den zeitnahen Zugriff auf personenbezogene Daten nach einem Vorfall wiederherzustellen und (d) für regelmäßige Wirksamkeitsprüfungen. Jibe kann die Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, sofern diese Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der Sicherheit der Auftragsverarbeiterdienste führen.
7.1.2 Zugriff und Compliance. Jibe ermächtigt (a) seine Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter nur zum Zugriff auf die personenbezogenen Daten des Partners, soweit dies zur Einhaltung der Weisungen unbedingt erforderlich ist; (b) wird in Übereinstimmung mit dem Umfang seiner Leistung die entsprechenden Sicherheitsmaßnahmen für seine Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter ergreifen und (c) dafür sorgen, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten des Partners berechtigt sind, zur Einhaltung der Vertraulichkeit verpflichtet sind.
7.1.3 Jibes Sicherheitsunterstützung. Unter Berücksichtigung der Art der Verarbeitung personenbezogener Partnerdaten und der für Jibe verfügbaren Informationen unterstützt Jibe den Partner bei der Einhaltung der Verpflichtungen des Partners (oder, wenn der Partner ein Auftragsverarbeiter ist, der Verpflichtungen des entsprechenden Verantwortlichen) in Bezug auf die Sicherheit personenbezogener Daten und Verstöße gegen die personenbezogenen Daten, einschließlich der Verpflichtungen des Partners (oder, wenn der Partner ein Auftragsverarbeiter ist, der Verpflichtungen des entsprechenden Verantwortlichen) gemäß den Artikeln 32 gemäß
(a) Implementierung und Aufrechterhaltung der Sicherheitsmaßnahmen gemäß Abschnitt 7.1.1 (Jibes Sicherheitsmaßnahmen);
(b) Einhaltung der Bestimmungen von Abschnitt 7.2 (Datenvorfälle); und
(c) Bereitstellung der Sicherheitsdokumentation an den Partner gemäß Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation) und der Informationen in diesem Zusatz zur Datenverarbeitung.
7.2 Datenvorfälle.
7.2.1 Benachrichtigung über Vorfälle. Wenn Jibe von einem Datenvorfall erfahren wird, wird er: (a) den Partner unverzüglich und ohne unangemessene Verzögerung über den Datenvorfall informieren und (b) umgehend angemessene Schritte unternehmen, um den Schaden zu minimieren und personenbezogene Daten des Partners zu schützen.
7.2.2 Details zu Datenvorfällen. Benachrichtigungen gemäß Abschnitt 7.2.1 (Benachrichtigung über Vorfälle) enthalten folgende Informationen: die Art des Datenvorfalls, einschließlich der betroffenen Partnerressourcen; die Maßnahmen, die Jibe ergriffen hat oder treffen wird, um den Datenvorfall zu beheben und dessen potenzielles Risiko zu minimieren; die Maßnahmen, die Jibe empfiehlt, dem Partner zu empfehlen, um den Datenvorfall zu beheben, und Details einer Kontaktstelle, an der weitere Informationen angefordert werden können. Wenn es nicht möglich ist, alle diese Informationen zur selben Zeit zur Verfügung zu stellen, enthält die erste Benachrichtigung von Jibe die zu jenem Zeitpunkt verfügbaren Informationen. Weitere Informationen werden unverzüglich bereitgestellt, sobald sie verfügbar sind.
7.2.3 Zustellung der Benachrichtigung. Jibe sendet die Benachrichtigung über jeden Datenvorfall an die Benachrichtigungs-E-Mail-Adresse oder nach eigenem Ermessen (auch wenn der Partner keine Benachrichtigungs-E-Mail-Adresse angegeben hat) durch eine andere direkte Kommunikation (z. B. per Anruf oder Präsenztreffen). Der Partner ist allein dafür verantwortlich, die Benachrichtigungs-E-Mail-Adresse anzugeben und sicherzustellen, dass die Benachrichtigungs-E-Mail-Adresse aktuell und gültig ist.
7.2.4 Benachrichtigungen von Drittanbietern. Der Partner ist allein dafür verantwortlich, die für den Partner geltenden Gesetze zur Benachrichtigung über Vorfälle einzuhalten und alle Benachrichtigungspflichten Dritter im Zusammenhang mit einem Datenvorfall zu erfüllen.
7.2.5 Keine Anerkennung eines Verschuldens durch Jibe. Die Benachrichtigung von Jibe oder die Reaktion auf einen Datenvorfall gemäß diesem Paragrafen 7.2 (Datenvorfälle) wird nicht als Zustimmung durch einen Fehler oder eine Haftung in Bezug auf den Datenvorfall ausgelegt.
7.3 Sicherheitspflichten und -bewertung des Partners.
7.3.1 Sicherheitspflichten des Partners. Der Partner stimmt zu, dass unbeschadet der Verpflichtungen von Jibe gemäß den Abschnitten 7.1 (Jibes Sicherheitsmaßnahmen und Unterstützung) und 7.2 (Datenvorfälle):
(a) Der Partner ist für seine Nutzung der Auftragsverarbeiterdienste verantwortlich, einschließlich:
(i) passende Nutzung der Auftragsverarbeiterdienste, um ein dem Risiko in Bezug auf personenbezogene Partnerdaten angemessenes Sicherheitsniveau zu gewährleisten, und
(ii) die Sicherung der Anmeldedaten, Systeme und Geräte zur Kontoauthentifizierung, die der Partner für den Zugriff auf die Auftragsverarbeiterdienste verwendet; und
(b) Jibe ist nicht verpflichtet, personenbezogene Partnerdaten zu schützen, die der Partner außerhalb von Jibe und seinen Unterauftragsverarbeitern speichert oder überträgt.
7.3.2 Sicherheitsbewertung des Partners. Der Partner erkennt an, dass die von Jibe implementierten und verwalteten Sicherheitsmaßnahmen ein Sicherheitsniveau haben, das in Abschnitt 7.1.1 (Jibes Sicherheitsmaßnahmen) beschrieben wird. Diese Ebene sollte ein angemessenes Sicherheitsniveau bieten, das dem Risiko für personenbezogene Daten des Partners unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung personenbezogener Partner-Daten, dem Stand der Technik, den Kosten der Implementierung und den Risiken für Einzelpersonen entspricht.
7.4 Sicherheitszertifizierung. Zur Bewertung und Gewährleistung der anhaltenden Wirksamkeit der Sicherheitsmaßnahmen behält Jibe die ISO 27001-Zertifizierung oder andere angemessene Maßnahmen, um die Wirksamkeit der Sicherheitsmaßnahmen zu demonstrieren.
7.5 Überprüfungen und Compliance-Audits.
7.5.1 Überprüfungen der Sicherheitsdokumentation. Jibe stellt dem Partner die Sicherheitsdokumentation zur Überprüfung zur Verfügung, um zu zeigen, dass Jibe seinen Verpflichtungen aus diesem Zusatz zur Datenverarbeitung nachkommt.
7.5.2 Audit-Rechte des Partners.
(a) Jibe erlaubt dem Partner oder einem vom Partner beauftragten externen Prüfer, Audits (einschließlich Inspektionen) durchzuführen, um zu bestätigen, dass Jibe seinen Verpflichtungen gemäß diesem Zusatz zur Datenverarbeitung gemäß Abschnitt 7.5.3 (Zusätzliche Geschäftsbedingungen für Audits) nachkommt. Bei Audits stellt Jibe alle Informationen zur Verfügung, die für den Nachweis der Einhaltung erforderlich sind, und trägt zu solchen Audits bei, wie in Abschnitt 7.4 (Sicherheitszertifizierung) und in diesem Abschnitt 7.5 (Überprüfungen und Compliance-Audits) beschrieben.
(b) Wenn die Standardvertragsklauseln gemäß Abschnitt 10.2 (Eingeschränkte europäische Übertragungen) gelten, ermöglicht Jibe dem Partner (oder einem vom Partner beauftragten externen Prüfer) die Durchführung der in den anwendbaren Standardvertragsklauseln beschriebenen Prüfungen und im Rahmen dieser Audits alle Informationen, die von diesen Standardvertragsklauseln benötigt werden, gemäß Abschnitt 7.5.3 (Zusätzliche Geschäftsbedingungen für Audits).
(c) Der Partner kann auch einen Audit durchführen, um sich zu vergewissern, dass Jibe seinen Verpflichtungen gemäß diesem Zusatz zur Datenverarbeitung nachkommt. Dazu kann er alle Zertifikate bescheinigen, die von einem oder mehreren externen Prüfern für Jibe ausgestellt wurden (z. B. eine ISO 27001-Zertifizierung).
7.5.3 Zusätzliche Geschäftsbedingungen für Audits.
(a) Der Partner sendet jede Anfrage für eine Prüfung gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) an Jibe, wie in Abschnitt 12.1 (Kontaktiere Jibe) beschrieben.
(b) Nachdem Jibe eine Anfrage gemäß Abschnitt 7.5.3(a) erhalten hat, besprechen und vereinbaren Jibe und der Partner im Voraus das angemessene Startdatum, den Umfang und die Dauer der Sicherheits- und Vertraulichkeitskontrollen jeder Prüfung gemäß Abschnitt 7.5.2(a) oder 7.5.2(b).
(c) Jibe ist berechtigt, für Audits gemäß Abschnitt 7.5.2 (a) oder 7.5.2(b) eine Gebühr(basierend auf den angemessenen Kosten von Jibe) zu erheben. Jibe teilt dem Partner vor einer solchen Prüfung weitere Einzelheiten zu allen anfallenden Gebühren und deren Berechnungsgrundlage mit. Der Partner ist für alle Gebühren verantwortlich, die von einem vom Partner mit der Durchführung einer solchen Prüfung beauftragten externen Prüfer erhoben werden.
(d) Jidé kann Einspruch gegen jeglichen Auditor einlegen, der vom Partner mit der Durchführung eines Abschnitts gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) beauftragt wurde, wenn der Prüfer nach angemessener Meinung von Jibe nicht angemessen qualifiziert oder unabhängig, ein Wettbewerber von Jibe oder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Einwand von Jibe muss der Partner einen anderen Prüfer ernennen oder die Prüfung selbst durchführen.
(e) Nichts in diesem Zusatz zur Datenverarbeitung muss Jibe entweder gegenüber dem Partner oder einem externen Auditor offenlegen oder dem Partner oder einem externen Prüfer Zugriff auf Folgendes gewähren:
(i) Daten eines anderen Partners oder Kunden eines Jibe-Rechtssubjekts,
(ii) interne Buchhaltungs- oder Finanzdaten des Jibe-Rechtssubjekts,
(iii) Geschäftsgeheimnisse eines Jibe-Rechtssubjekts,
(iv) alle Informationen, die nach angemessener Einschätzung von Jibe: (A) die Sicherheit der Systeme oder Standorte von Jibe-Rechtspersönlichkeit beeinträchtigen oder (B) eine Verletzung der Verpflichtungen des Jibe-Rechtssubjekts gemäß den europäischen Datenschutzvorschriften oder seinen Sicherheits- und/oder Datenschutzverpflichtungen gegenüber dem Partner oder einem Dritten verursachen könnten oder
(v) Informationen, auf die der Partner oder ein externer Auditor aus Gründen zugreifen möchte, die nicht damit zusammenhängen, die Verpflichtungen des Partners gemäß den europäischen Datenschutzvorschriften nach Treu und Glauben zu erfüllen.
8. Folgenabschätzungen und Beratungen
Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Jibe zur Verfügung stehen, unterstützt Jibe den Partner bei der Einhaltung der Verpflichtungen des Partners (oder eines Auftragsverarbeiters, der Verpflichtungen des entsprechenden Verantwortlichen) in Bezug auf die Datenschutz-Folgenabschätzung und der vorherigen Beratung, einschließlich der Verpflichtungen des Partners oder des entsprechenden Verantwortlichen gemäß den Artikeln 35 und 36 der DSGVO:
(a) Bereitstellung der Sicherheitsdokumentation gemäß Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation);
(b) Bereitstellung der in diesem Zusatz zur Datenverarbeitung enthaltenen Informationen und
(c) Bereitstellung oder sonstige Bereitstellung von Materialien gemäß den Standardpraktiken von Jibe für andere Materialien, die sich auf die Art der Auftragsverarbeiterdienste und die Verarbeitung von personenbezogenen Partnerdaten beziehen (z. B. Hilfematerialien).
9. Rechte betroffener Personen
9.1 Antworten auf Anfragen betroffener Personen. Wenn Jibe ein Ersuchen von einer betroffenen Person in Bezug auf personenbezogene Partnerdaten erhält, autorisiert der Partner Jibe und erklärt Jibe hiermit, dass er:
(a) die direkte Bearbeitung der Anfrage der betroffenen Person gemäß der Standardfunktion des Tools der betroffenen Person (wenn die Anfrage über das Tool der betroffenen Person gestellt wurde) oder
(b) die betroffene Person anweisen, ihre Anfrage an den Partner zu senden, und der Partner ist für die Beantwortung einer solchen Anfrage verantwortlich, wenn die Anfrage nicht über ein Tool für betroffene Personen gestellt wird.
9.2 Unterstützung durch Jubes bei Anfragen betroffener Personen. Jibe unterstützt den Partner (oder, wenn der Partner ein Auftragsverarbeiter ist, der entsprechende Verantwortliche) bei der Erfüllung seiner Verpflichtungen gemäß der DSGVO, auf Anfragen zur Ausübung der Rechte der betroffenen Person zu reagieren, wobei immer die Art der Verarbeitung personenbezogener Daten von Partnern und gegebenenfalls Artikel 11 der DSGVO berücksichtigt wird, einschließlich (sofern zutreffend):
(a) Bereitstellung der Funktionalität der Auftragsverarbeiterdienste;
(b) Einhaltung der Verpflichtungen in Abschnitt 9.1 (Antworten auf Anfragen betroffener Personen); und
(c) sofern zutreffend für die Auftragsverarbeiterdienste. Bereitstellung der Tools für betroffene Personen.
9.3 Rektifizierung. Wenn der Partner feststellt, dass personenbezogene Partnerdaten falsch oder nicht mehr aktuell sind, ist er dafür verantwortlich, diese Daten zu korrigieren oder zu löschen, sofern dies gemäß den europäischen Datenschutzvorschriften erforderlich ist. Hierzu zählen auch die Funktionen der Auftragsverarbeiterdienste (sofern verfügbar).
10. Datenübertragungen
10.1 Einrichtungen zur Datenspeicherung und -verarbeitung. Vorbehaltlich des restlichen Paragrafen 10 (Datenübertragungen) kann Jibe personenbezogene Daten von Partnern in jedem Land verarbeiten, in dem Jibe oder ein Unterauftragsverarbeiter Einrichtungen betreibt.
10.2 Eingeschränkte europäische Übertragungen. Die Parteien erkennen an, dass die europäischen Datenschutzvorschriften keine Standardvertragsklauseln oder eine alternative Übertragungslösung erfordern, um personenbezogene Partnerdaten in einem Land mit angemessenem Schutz zu verarbeiten oder in ein solches Land zu übertragen.
Wenn personenbezogene Partnerdaten in ein anderes Land übertragen werden und für diese Übertragungen die europäischen Datenschutzvorschriften gelten (eingeschränkte europäische Übertragung), gilt Folgendes:
(a) Wenn Jibe eine alternative Übertragungslösung für eingeschränkte europäische Übertragungen verwendet, informiert Jibe den Partner über die entsprechende Lösung und stellt sicher, dass solche eingeschränkten europäischen Übertragungen gemäß dieser Lösung erfolgen; und/oder
(b) Wenn Jibe kein Adoptionsprogramm angenommen hat oder den Partner darüber informiert hat, dass er keine alternative Übertragungslösung für eingeschränkte europäische Übertragungen mehr anbietet, gilt Folgendes:
(i) Wenn die Adresse von Jibe in einem Land mit angemessenem Schutz ist:
(A) gelten die Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter, Jibe-Exporteur) für alle eingeschränkten europäischen Übertragungen von Jibe an Unterauftragsverarbeiter und
(B) wenn zusätzlich die Adresse des Partners nicht in einem Land mit angemessenem Schutz ist, gelten die Standardvertragsklauseln (Auftragsverarbeiter an Verantwortlichen) in Bezug auf eingeschränkte europäische Übertragungen zwischen Jibe und dem Partner (unabhängig davon, ob der Partner ein Verantwortlicher und/oder ein Auftragsverarbeiter ist) oder
(ii) Wenn die Adresse von Jibe nicht in einem Land mit angemessenem Schutz ist,
gelten die Standardvertragsklauseln (Verantwortlicher an Auftragsverarbeiter) und/oder die Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter) – je nachdem, ob der Partner ein Verantwortlicher und/oder Auftragsverarbeiter ist – in Bezug auf solche eingeschränkten europäischen Übertragungen zwischen dem Partner und Jibe; und
(c) Verweise auf Google LLC oder Google und Sie in einem der Standardvertragsklauseln an Jibe bzw. Partner.
10.3 Ergänzende Maßnahmen und Informationen. Jibe stellt dem Partner Informationen bereit, die für eingeschränkte europäische Übertragungen relevant sind, einschließlich Informationen zu ergänzenden Maßnahmen zum Schutz von personenbezogenen Partnerdaten, wie in Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation), in Anhang 2 (Sicherheitsmaßnahmen) und anderen Materialien in Bezug auf die Art der Auftragsverarbeiterdienste und die Verarbeitung personenbezogener Partnerdaten (z. B. Hilfeartikel) beschrieben.
10.4 Kündigung. Wenn der Partner auf der Basis seiner aktuellen oder beabsichtigten Nutzung der Auftragsverarbeiterdienste feststellt, dass die alternative Übertragungslösung und/oder die Standardvertragsklauseln (je nachdem, was zutrifft) keinen angemessenen Schutz der personenbezogenen Daten des Partners bieten, kann der Partner die Vereinbarung umgehend kündigen, indem er Jibe schriftlich schriftlich darüber informiert.
10.5 Informationen zu Rechenzentren. Informationen zu den Standorten der Google-LLC-Rechenzentren finden Sie unter www.google.com/about/datacenters/locations/index.html.
11. Unterauftragsverarbeiter
11.1 Zustimmung zur Beauftragung von Unterauftragsverarbeitern. Der Partner autorisiert ausdrücklich die Beauftragung der in Paragraf 11.2 (Informationen zu Unterauftragsverarbeitern) aufgeführten Unterauftragsverarbeiter zum Datum des Inkrafttretens der Bestimmungen. Darüber hinaus autorisiert der Partner im Allgemeinen die Beauftragung anderer Dritter als Unterauftragsverarbeiter („Neue Unterauftragsverarbeiter“), vorbehaltlich Paragraf 11.4 (Möglichkeit, dem Wechsel des Unterauftragsverarbeiters zu widersprechen).
11.2 Informationen zu Unterauftragsverarbeitern. Auf schriftliche Anfrage des Partners stellt Jube Informationen zu Unterauftragsverarbeitern und ihren Standorten bereit. Solche Anfragen müssen über die in Abschnitt 12.1 (Kontaktaufnahme von Jibe) dargelegten Kontaktdaten an Jibe gesendet werden.
11.3 Anforderungen für den Einsatz von Unterauftragsverarbeitern. Bei der Beauftragung eines Unterauftragsverarbeiters wird Jibe:
(a) durch einen schriftlichen Vertrag sicherstellen, dass:
(i) der Unterauftragsverarbeiter auf personenbezogene Daten des Partners nur in dem Umfang zugreift und sie nutzt, um die ihm übertragenen Verpflichtungen zu erfüllen, und dies in Übereinstimmung mit der Vereinbarung (einschließlich dieses Zusatzes zur Datenverarbeitung) tut; und
(ii) dem Unterauftragsverarbeiter die Datenschutzpflichten in diesem Zusatz zur Datenverarbeitung (gemäß Artikel 28(3) DSGVO, falls zutreffend) auferlegt werden, wenn die Verarbeitung personenbezogener Partnerdaten den europäischen Datenschutzvorschriften unterliegt
(b) uneingeschränkt für alle Verpflichtungen haften, die dem Unterauftragsverarbeiter übertragen werden, sowie für alle Handlungen und Unterlassungen von ihm.
11.4 Möglichkeit des Widerspruchs gegen Änderungen bei Unterauftragsverarbeitern
(a) Wenn ein neuer Unterauftragsverarbeiter während der Laufzeit beauftragt wird, informiert Jibe mindestens 30 Tage vor der Verarbeitung von personenbezogenen Partnerdaten die Verpflichtung des Partners (einschließlich des Namens und Standorts des entsprechenden Unterauftragsverarbeiters und der von ihm durchgeführten Aktivitäten), indem er eine E-Mail an die E-Mail-Adresse für Benachrichtigungen sendet.
(b) Der Partner kann gegen jeden neuen Unterauftragsverarbeiter Widerspruch einlegen, indem er die Vereinbarung sofort schriftlich schriftlich an Jibe kündigt, sofern der Partner dies innerhalb von 90 Tagen nach der Benachrichtigung über die Beauftragung des neuen Unterauftragsverarbeiters wie in Abschnitt 11.4(a) beschrieben teilt.
12. Jibe kontaktieren; Unterlagen verarbeiten
12.1 Kontakt mit Jibe. Wenn der Partner seine Rechte gemäß diesem Zusatz zur Datenverarbeitung ausübt, kann er Jibe über den RCS-Datenschutzkontakt von Jibe kontaktieren, der über issuetracker.google.com oder über andere von Jibe bereitgestellte Möglichkeiten erreichbar ist.
12.2 Jibes Verarbeitungsprotokolle. Jibe dokumentiert die Verarbeitungsaktivitäten gemäß der DSGVO. Der Partner erkennt an, dass Jibe gemäß der DSGVO (a) Aufzeichnungen bestimmter Informationen, einschließlich (i) des Namens und der Kontaktangaben der Auftragsverarbeiter und/oder des Verantwortlichen im Namen des Auftragsverarbeiters oder des Datenschutzbeauftragten des Auftragsverarbeiters oder des Datenschutzbeauftragten sowie (ii) der Aufsichtsbehörde des Partners (der Aufsichtsbehörde), der den jeweiligen Aufsichtsbehörden Informationen zur Verfügung stellt; Dementsprechend stellt der Partner in der entsprechenden Weise, falls erforderlich, solche Informationen über die Benutzeroberfläche der Auftragsverarbeiterdienste oder auf andere Weise, die von Jibe zur Verfügung gestellt werden, zur Verfügung und stellt die Benutzeroberfläche oder andere Mittel ein, damit die bereitgestellten Informationen immer korrekt und auf dem neuesten Stand sind.
12.3 Anfragen durch den Verantwortlichen. Wenn Jibe eine Anfrage oder Weisung von einer Drittpartei erhält, die angibt, ein Verantwortlicher für personenbezogene Daten des Partners zu sein, empfiehlt Jibe dem Drittanbieter, den Partner zu kontaktieren.
13. Haftung
Wenn die Vereinbarung durch folgende Gesetze geregelt wird:
(a) dem Bundesstaat der Vereinigten Staaten von Amerika, unabhängig von anderen Bestimmungen dieser Vereinbarung, ist die Gesamthaftung einer der Parteien gegenüber der anderen Partei im Rahmen oder in Verbindung mit diesem Zusatz zur Datenverarbeitung auf den maximalen monetären oder zahlungsbasierten Betrag beschränkt, der von der Haftung dieser Partei gemäß der Vereinbarung gedeckt ist (folglich ist der Ausschluss von Vertraulichkeits- oder Haftungsfreistellungen aus der Vereinbarung nicht auf die Haftungsbeschränkungen oder
(b) den Gesetzen eines anderen Landes als dem eines Bundesstaats der Vereinigten Staaten unterliegt, unterliegt die Gesamthaftung der Parteien und ihrer verbundenen Unternehmen im Rahmen oder in Verbindung mit diesem Zusatz zur Datenverarbeitung der Vereinbarung.
14. Auswirkungen dieses Zusatzes zur Datenverarbeitung
14.1 Rangfolge. Bei einem Konflikt oder einer Inkonsistenz zwischen den Standardvertragsklauseln, den Zusatzbedingungen für außereuropäische Datenschutzvorschriften, diesem Zusatz zur Datenverarbeitung und der übrigen Vereinbarung gilt die folgende Rangfolge.
(a) die Standardvertragsklauseln;
(b) die zusätzlichen Nutzungsbedingungen für außereuropäische Datenschutzvorschriften;
(c) die übrigen Informationen in diesem Zusatz zur Datenverarbeitung und
(d) die verbleibende Vereinbarung.
Mit Ausnahme von Änderungen in diesem Zusatz zur Datenverarbeitung bleibt die Vereinbarung in vollem Umfang in Kraft.
14.2 Keine Änderung der Standardvertragsklauseln. Kein Bestandteil der Vereinbarung (einschließlich dieses Zusatzes zur Datenverarbeitung) hat zum Ziel, Standardvertragsklauseln zu ändern oder ihnen zu widersprechen. Außerdem werden durch diese Vereinbarung nicht die grundlegenden Rechte oder Freiheiten betroffener Personen gemäß den europäischen Datenschutzvorschriften eingeschränkt.
14.3 Keine Auswirkungen auf die Bedingungen für Verantwortliche. Dieser Zusatz zur Datenverarbeitung hat keine Auswirkungen auf die separaten Bedingungen zwischen Jibe und dem Partner, die eine Beziehung zwischen Verantwortlichen für Messdienste für andere Dienste als den Auftragsverarbeiterdienst widerspiegeln.
14.4 Alte Standardvertragsklauseln für das Vereinigte Königreich. Ab dem 21. September 2022 oder ab dem Datum des Inkrafttretens der Vereinbarung, je nachdem, welches Datum später liegt, gelten die ergänzenden Bedingungen für die Übertragung der Standardvertragsklauseln für das Vereinigte Königreich. Sie ersetzen und beenden alle Standardvertragsklauseln, die gemäß der UK-DSGVO und dem Data Protection Act 2018 vereinbart und zuvor von den Partnern und Jibe vereinbart wurden (Alte UK-Standardvertragsklauseln). Dieser Paragraf 14.4 (Alte Standardvertragsklauseln für das Vereinigte Königreich) hat keine Auswirkungen auf die Rechte der Parteien oder die Rechte betroffener Personen, die sich aus den vorherigen Standardvertragsklauseln für das Vereinigte Königreich ergeben haben.
15. Änderungen an diesem Zusatz zur Datenverarbeitung
15.1 Änderungen an URLs. Von Zeit zu Zeit kann Jibe jede URL, auf die in diesem Zusatz zur Datenverarbeitung verwiesen wird, und die Inhalte unter einer solchen URL ändern.Hiervon ausgenommen ist die Änderung der Standardvertragsklauseln gemäß den Abschnitten 15.2(b) bis 15.2(d) (Änderungen des Zusatzes zur Datenverarbeitung gemäß den Bestimmungen der
15.2 Änderungen am Zusatz zur Datenverarbeitung. Jibe kann diesen Zusatz zur Datenverarbeitung ändern, wenn die Änderung:
(a) im Rahmen dieses Zusatzes zur Datenverarbeitung ausdrücklich erlaubt ist, einschließlich der in Paragraf 15.1 (Änderungen an URLs) beschriebenen Art und Weise;
(b) eine Änderung des Namens oder der Form einer juristischen Person;
(c) erforderlich ist, um anwendbares Recht, anwendbare Vorschriften, Gerichtsentscheidungen oder Vorgaben einzuhalten, die von einer staatlichen Aufsichtsbehörde oder Regierungsstelle erlassen wurden, oder die Einführung einer alternativen Übertragungslösung durch Jube widerspiegelt; oder
(d) nicht (i) eine Beeinträchtigung der Sicherheit der Auftragsverarbeiterdienste insgesamt einschränkt, (ii) den Umfang der Rechte für die Nutzung oder sonstige Verarbeitung von Daten im Rahmen der zusätzlichen Nutzungsbedingungen für außereuropäische Datenschutzgesetze oder -ordnungen auf ihrer eigenen
15.3 Benachrichtigung über Änderungen. Wenn Jibe diesen Zusatz zur Datenverarbeitung gemäß Abschnitt 15.2(c) oder (d) ändern möchte, informiert Jibe den Partner mindestens 30 Tage (oder eine kürzere Frist, die möglicherweise zur Einhaltung anwendbarer Gesetze, geltender Vorschriften, eines Gerichtsbeschlusses oder einer von einer staatlichen Aufsichtsbehörde ausgestellten Anleitung erforderlich ist), bevor die Änderung wirksam wird, indem er: (a) eine E-Mail-Benachrichtigung an den Partner sendet oder Wenn der Partner einer solchen Änderung widerspricht, kann der Partner die Vereinbarung ohne Angabe von Gründen innerhalb von 90 Tagen nach der Benachrichtigung durch Jibe kündigen.
Anhang 1: Gegenstand und Details der Datenverarbeitung
Vertragsinhalt
Die Bereitstellung der Auftragsverarbeiterdienste durch Jibe und der damit verbundene technische Support für den Partner.
Dauer der Verarbeitung
Die Laufzeit zuzüglich des Zeitraums vom Ende der Laufzeit bis zum Löschen aller personenbezogenen Partnerdaten durch Jibe gemäß diesem Zusatz zur Datenverarbeitung.
Art und Zweck der Verarbeitung
Jibe verarbeitet personenbezogene Daten von Partnern, einschließlich der Art der Auftragsverarbeiterdienste und der Anweisungen, die personenbezogene Daten von Partnern erfassen, aufzeichnen, organisieren, strukturieren, speichern, ändern, abrufen, verwenden, offenlegen, kombinieren, löschen und löschen, um die Auftragsverarbeiterdienste und den damit verbundenen technischen Support gemäß dieser Ergänzung zu verarbeiten.
Arten personenbezogener Daten
Personenbezogene Daten zu Personen, die Jibe über die Verarbeitungsdienste von (oder auf Anweisung des) Partners oder von Endnutzern des Partners zur Verfügung gestellt werden.
Kategorien betroffener Personen
Betroffene Personen sind die Personen, über die Jibe über die Auftragsverarbeiterdienste von (oder auf Anweisung von) oder vom Partner Daten erhält.
Anhang 2: Sicherheitsmaßnahmen
Ab dem Datum des Inkrafttretens werden die Sicherheitsmaßnahmen in diesem Anhang 2 von Jibe umgesetzt und aufrechterhalten. Jibe kann diese Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, sofern diese Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der Sicherheit der Auftragsverarbeiterdienste führen.
1. Rechenzentrum und Netzwerksicherheit
(a) Rechenzentren.
Infrastruktur. Jibe unterhält geografisch verteilte Rechenzentren. Jibe speichert alle Produktionsdaten in physisch sicheren Rechenzentren.
Redundanz. Infrastruktursysteme wurden entwickelt, um Single Points of Failure zu eliminieren und die Auswirkungen erwarteter Umweltrisiken zu minimieren. Doppelschaltungen, Switches, Netzwerke oder andere erforderliche Geräte helfen, diese Redundanz zu erreichen. Die Auftragsverarbeiterdienste sind so konzipiert, dass Jibe bestimmte Arten der vorbeugenden und korrektiven Wartung durchführen kann, ohne eine Unterbrechung hervorzurufen. Für alle Umweltschutzanlagen und -einrichtungen sind Verfahren zur vorbeugenden Wartung dokumentiert, die den Prozess und die Häufigkeit des Vorgangs gemäß den Hersteller- oder internen Spezifikationen detailliert beschreiben. Die präventive und korrektive Wartung der Rechenzentrumsausrüstung wird durch einen Standardprozess gemäß dokumentierten Verfahren geplant.
Stromversorgung. Die Stromversorgungssysteme des Rechenzentrums sind so ausgelegt, dass sie rund um die Uhr und 7 Tage die Woche ohne Beeinträchtigung des Dauerbetriebs redundant und wartungsfähig sind. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum eine primäre und eine alternative Stromquelle mit jeweils gleicher Kapazität bereitgestellt. Die Notstromversorgung erfolgt über verschiedene Mechanismen, z. B. durch unterbrechungsfreie Stromversorgungsbatterien (USV), die bei Stromausfällen, Stromausfällen, Überspannung, Unterspannung und Frequenz-Toleranzüberschreitungen eine durchgängig zuverlässige Stromabsicherung ermöglichen. Wenn die Stromversorgung des Energieversorgers unterbrochen wird, ist die Notstromversorgung so ausgelegt, dass das Rechenzentrum bei voller Kapazität bis zu 10 Minuten lang vorübergehend mit Strom versorgt wird, bis die Notstromgeneratoren die Versorgung übernehmen. Die Generatoren sind in der Lage, innerhalb von Sekunden automatisch zu starten und genügend Notstrom bereitzustellen, um das Rechenzentrum bei voller Leistung in der Regel für einen Zeitraum von mehreren Tagen zu betreiben.
Server-Betriebssysteme. Jibe-Server verwenden gehärtete Betriebssysteme, die an die besonderen Serveranforderungen des Unternehmens angepasst sind. Daten werden mit proprietären Algorithmen gespeichert, um die Datensicherheit und Redundanz zu erhöhen. Jibe verwendet einen Codeüberprüfungsprozess, um die Sicherheit des Codes zu erhöhen, der zur Bereitstellung der Auftragsverarbeiterdienste verwendet wird, und um die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.
Geschäftskontinuität. Jibe repliziert Daten über mehrere Systeme, um sie vor versehentlicher Zerstörung oder Verlust zu schützen. Jibe hat Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebes und Programme zur Notfallwiederherstellung konzipiert, die regelmäßig weiterentwickelt und getestet werden.
Verschlüsselungstechnologien. Die Sicherheitsrichtlinien von Jibe erfordern die Verschlüsselung ruhender Daten für alle Nutzerdaten, einschließlich personenbezogener Daten. Daten werden häufig auf mehreren Ebenen im Produktionsspeicher von Jibe in Rechenzentren verschlüsselt, einschließlich auf Hardwareebene, ohne dass Maßnahmen von Partnern oder Kunden erforderlich sind. Die Verwendung mehrerer Verschlüsselungsebenen bietet zusätzlichen redundanten Datenschutz und ermöglicht es Jibe, den optimalen Ansatz basierend auf den Anwendungsanforderungen auszuwählen. Alle personenbezogenen Daten werden auf Speicherebene verschlüsselt, in der Regel mit AES256. Jibe verwendet gängige kryptografische Bibliotheken, die das von FIPS 140-2 validierte Modul von Jibe implementieren, um die Verschlüsselung in den Prozessordiensten einheitlich zu implementieren.
(b) Netzwerke und Übertragung.
Datenübertragung. Rechenzentren sind in der Regel über private Hochgeschwindigkeitsverbindungen vernetzt, um eine sichere und schnelle Datenübertragung zwischen Rechenzentren zu gewährleisten. Dies soll verhindern, dass Daten während der elektronischen Übertragung ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden. Jibe überträgt Daten über Internet-Standardprotokolle.
Externe Angriffsfläche. Jibe nutzt mehrere Schichten von Netzwerkgeräten und Einbruchserkennung, um seine externe Angriffsfläche zu schützen. Jibe berücksichtigt potenzielle Angriffsvektoren und integriert angemessene, speziell entwickelte Technologien in von außen erreichbare Systeme.
Einbruchserkennung. Die Einbruchserkennung soll Einblicke in laufende Angriffsaktivitäten geben und angemessene Informationen liefern, um auf Vorfälle zu reagieren. Die Einbruchserkennung von Jibe umfasst:
Die strenge Kontrolle der Größe und des Aufbaus der Angriffsfläche von Jibe durch präventive Maßnahmen;
Intelligente Erkennungskontrollen an Dateneingabepunkten einsetzen
den Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch beheben.
Reaktion auf Vorfälle. Jibe überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle und das Sicherheitspersonal von Jibe wird umgehend auf bekannte Vorfälle reagieren.
Verschlüsselungstechnologien. Jibe stellt HTTPS-Verschlüsselung (auch TLS-Verbindung genannt) zur Verfügung. Jibe-Server unterstützen den ephemeren elliptischen Diffie-Hellman-Kryptografie-Schlüsselaustausch, der mit RSA und ECDSA signiert ist. Diese PFS-Methoden (Perfect Forward Secrecy) tragen dazu bei, den Traffic zu schützen und die Auswirkungen eines gehackten Schlüssels oder eines kryptografischen Durchbruchs zu minimieren.
2. Zutrittskontrollen und Zugriffssteuerung
(a) Website-Steuerelemente.
Rechenzentrums-Sicherheitsdienst vor Ort. Die Rechenzentren von Jibe unterhalten lokale Sicherheitsabläufe, die für alle physischen Sicherheitsfunktionen des Rechenzentrums 24 Stunden am Tag, 7 Tage die Woche verantwortlich sind. Das Sicherheitspersonal vor Ort kontrolliert Überwachungskameras (CCTV) und alle Alarmsysteme. Das Sicherheitspersonal vor Ort unternimmt regelmäßig Kontrollgänge innerhalb und außerhalb des Rechenzentrums.
Zugangsverfahren in Rechenzentren. Jibe unterhält formelle Zugangsverfahren für den physischen Zugang zu den Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, die einen elektronischen Kartenschlüssel erfordern, mit Alarmen, die mit dem Sicherheitsbetrieb vor Ort verbunden sind. Alle Personen, die das Rechenzentrum betreten, müssen sich identifizieren und bei dem Sicherheitsdienst vor Ort ausweisen. Der Zutritt zu den Rechenzentren ist nur autorisierten Mitarbeitern, Auftragnehmern und Besuchern gestattet. Nur autorisierte Mitarbeiter und Auftragnehmer dürfen Zugang zu diesen Einrichtungen mit elektronischem Kartenschlüssel anfordern. Anträge auf Zugang zu elektronischen Kartenschlüsseln für Rechenzentren müssen im Voraus und schriftlich gestellt werden und erfordern die Genehmigung des autorisierten Personals des Rechenzentrums. Alle anderen eintretenden Personen, die einen temporären Zutritt zu einem Rechenzentrum benötigen, müssen (i) im Voraus die Genehmigung durch den Manager des Rechenzentrums für das konkrete Rechenzentrum und die internen Bereiche einholen, die sie besuchen möchten, (ii) sich beim Sicherheitsdienst vor Ort anmelden und (iii) einen bewilligten Antrag auf Zugang zum Rechenzentrum vorweisen, der für diese Person ausgestellt wurde.
Sicherheitsgeräte für Rechenzentren vor Ort. Die Rechenzentren von Jibe verwenden einen elektronischen Kartenschlüssel und ein biometrisches Zugangskontrollsystem, das mit einem Systemalarm verbunden ist. Das Zugangskontrollsystem überwacht und protokolliert den elektronischen Kartenschlüssel jeder Person und wann sie auf Außentüren, Versand und Empfang und andere kritische Bereiche zugreift. Nicht autorisierte Aktivitäten und fehlgeschlagene Zugriffsversuche werden vom Zugangskontrollsystem protokolliert und gegebenenfalls untersucht. Der autorisierte Zugang im gesamten Geschäftsbetrieb und in den Rechenzentren ist anhand von Zonen und den beruflichen Verantwortlichkeiten der Person eingeschränkt. Die Brandschutztüren sind alarmgesichert. Videoüberwachungskameras sind sowohl innerhalb als auch außerhalb der Rechenzentren im Einsatz. Die Positionierung der Kameras wurde so konzipiert, dass sie strategische Bereiche abdecken, unter anderem die Umgebung, die Türen zum Gebäude des Rechenzentrums und den Versand/Empfang. Das Sicherheitspersonal vor Ort verwaltet die CCTV-Überwachungs-, Aufzeichnungs- und Kontrollausrüstung. Sichere Kabel in den Rechenzentren verbinden die CCTV-Geräte. Kameras zeichnen vor Ort über digitale Videorekorder 24 Stunden am Tag, 7 Tage die Woche auf. Die Aufzeichnungen der Überwachungssysteme werden je nach Aktivität mindestens 7 Tage aufbewahrt.
(b) Zugriffssteuerung.
Personal für Infrastruktursicherheit. Jibe hat und pflegt eine Sicherheitsrichtlinie für sein Personal und verlangt Sicherheitstraining als Teil des Trainingspakets für sein Personal. Das Infrastruktursicherheitspersonal von Jibe ist für die laufende Überwachung der Sicherheitsinfrastruktur von Jibe, die Überprüfung der Auftragsverarbeiterdienste und die Reaktion auf Sicherheitsvorfälle verantwortlich.
Zugriffskontrolle und Privilege Management. Administratoren und Nutzer des Partners müssen sich mit einem zentralen Authentifizierungssystem oder einem Einmalanmeldungssystem (Single Sign-On, SSO) authentifizieren, um die Auftragsverarbeiterdienste nutzen zu können.
Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinien. Die internen Datenzugriffsprozesse und -richtlinien von Jibe sollen verhindern, dass unbefugte Personen und/oder Systeme Zugriff auf Systeme erhalten, die zur Verarbeitung personenbezogener Daten verwendet werden. Jibe zielt darauf ab, seine Systeme so zu gestalten, dass (i) nur autorisierten Personen der Zugriff auf Daten ermöglicht wird, für die sie zugriffsberechtigt sind, und (ii) dafür gesorgt ist, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Aufzeichnung nicht ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden können. Die Systeme sind darauf ausgelegt, unangemessene Zugriffe zu erkennen. Jibe nutzt ein zentrales Zugriffsverwaltungssystem, um den Personalzugriff auf Produktionsserver zu steuern, und gewährt nur einer begrenzten Anzahl autorisierter Mitarbeiter Zugriff. LDAP, Kerberos und ein proprietäres System, das digitale Zertifikate nutzt, bieten Jibe sichere und flexible Zugriffsmöglichkeiten. Diese Mechanismen sind so konzipiert, dass nur genehmigte Zugriffsrechte auf Site-Hosts, Logs, Daten und Konfigurationsinformationen gewährt werden. Jibe erfordert die Verwendung eindeutiger Nutzer-IDs, starker Passwörter, der Bestätigung in zwei Schritten und sorgfältig überwachter Zugriffslisten, um das Risiko einer unbefugten Kontonutzung zu minimieren. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den beruflichen Verantwortlichkeiten des berechtigten Personals; Arbeitspflichtanforderungen, die zur Ausführung autorisierter Aufgaben erforderlich sind, und einem zwingenden Erfordernis. Die Gewährung oder Änderung von Zugriffsrechten muss außerdem den internen Datenzugriffsrichtlinien und Schulungen von Jibe entsprechen. Genehmigungen werden durch Workflow-Tools verwaltet, die Prüfaufzeichnungen aller Änderungen enthalten. Der Zugriff auf Systeme wird protokolliert, um einen Audit-Trail zur Rechenschaftspflicht zu erstellen. Wo Passwörter zur Authentifizierung eingesetzt werden (z. B. zum Log-in an Workstations), sind Passwortrichtlinien eingerichtet, die mindestens dem Industriestandard entsprechen. Diese Standards umfassen Einschränkungen der Wiederverwendung von Passwörtern und eine ausreichende Passwortstärke.
3. Daten
(a) Datenspeicherung, -isolierung und -Authentifizierung.
Jibe speichert Daten in einer mandantenfähigen Umgebung auf Servern, die Google LLC gehören. Daten, die Datenbank des Prozessordiensts und die Dateisystemarchitektur werden zwischen mehreren geografisch verteilten Rechenzentren repliziert. Jibe isoliert die Daten jedes Partners oder Kunden logisch. Ein zentrales Authentifizierungssystem wird für alle Prozessordienste verwendet, um die einheitliche Sicherheit der Daten zu erhöhen.
(b) Richtlinien zur Außerbetriebnahme und zum Löschen von Datenträgern.
Bei bestimmten Laufwerken mit Daten können Leistungsprobleme, Fehler oder Hardwareausfälle auftreten, die dazu führen, dass sie außer Betrieb genommen werden („Außer Betrieb genommener Datenträger“). Jeder außer Betrieb genommene Datenträger unterliegt einer Reihe von Prozessen zur Datenvernichtung (die „Richtlinien zur Zerstörung von Daten“), bevor er Jibes Unternehmen zur Wiederverwendung oder Vernichtung verlässt. Außer Betrieb genommene Datenträger werden in einem mehrstufigen Prozess gelöscht. Die vollständige Löschung muss daraufhin von mindestens zwei unabhängigen Prüfern bestätigt werden. Die Löschergebnisse werden anhand der Seriennummer des stillgelegten Datenträgers zur Nachverfolgung gespeichert. Abschließend wird der gelöschte stillgelegte Datenträger im Inventar zur Wiederverwendung freigegeben. Wenn der stillgelegte Datenträger aufgrund eines Hardwarefehlers nicht gelöscht werden kann, wird er sicher gespeichert, bis er zerstört werden kann. Jede Einrichtung wird regelmäßig geprüft, um die Einhaltung der Richtlinien zur Zerstörung von Daten zu überwachen.
(c) Pseudonymisierte Daten.
Online-Werbedaten werden üblicherweise Onlinekennungen zugeordnet, die für sich als pseudonymisiert gelten, das heißt, ohne die Verwendung zusätzlicher Informationen können sie keiner bestimmten Person zugeordnet werden. Jibe hat eine robuste Reihe von Richtlinien sowie technische und organisatorische Kontrollen eingerichtet, um die Trennung zwischen pseudonymisierten Daten und personenidentifizierbaren Nutzerdaten (d. h. Informationen, die allein verwendet werden können, um eine Person direkt zu identifizieren, zu kontaktieren oder genau zu finden), z. B. die Jibe-Kontodaten eines Nutzers. Jibe-Richtlinien ermöglichen nur den Informationsfluss zwischen pseudonymisierten und personenidentifizierbaren Daten unter strikten Umständen.
(d) Launch-Tests.
Jibe führt vor der Markteinführung Produkteinführungsprüfungen für neue Produkte und Funktionen durch. Hierzu gehört auch eine Datenschutzprüfung, die von speziell geschulten Privacy Engineers durchgeführt wird. Im Rahmen von Datenschutzprüfungen sorgen die Entwickler dafür, dass alle anwendbaren Jibe-Richtlinien eingehalten werden, einschließlich, aber nicht beschränkt auf Richtlinien in Bezug auf Pseudonymisierung und Datenaufbewahrung und -löschung.
4. Mitarbeitersicherheit
Die Jibe-Mitarbeiter sind verpflichtet, sich in Übereinstimmung mit den Richtlinien des Unternehmens in Bezug auf Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards zu verhalten. Jibe führt im angemessenen Umfang Hintergrundüberprüfungen durch, soweit dies im Einklang mit geltendem Recht, insbesondere mit anwendbarem nationalem Arbeitsrecht und anwendbaren gesetzlichen Bestimmungen steht.
Die Mitarbeiter sind verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen sowie den Erhalt und die Einhaltung der Vertraulichkeits- und Datenschutzbestimmungen von Jibe zu bestätigen. Mitarbeiter erhalten eine Sicherheitsschulung. Mitarbeiter, die mit personenbezogenen Daten von Partnern umgehen, müssen zusätzliche Anforderungen erfüllen, die ihrer Rolle entsprechen. Die Mitarbeiter von Jibe verarbeiten personenbezogene Daten von Partnern nicht ohne Autorisierung.
5. Sicherheit von Unterauftragsverarbeitern
Bevor Unterauftragsverarbeiter eingesetzt werden, führt Jibe eine Prüfung der Sicherheits- und Datenschutzpraktiken des Unterauftragsverarbeiters durch, um sicherzustellen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen Verhältnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht. Nachdem Jibe die Risiken des Unterauftragsverarbeiters bewertet hat, muss er die entsprechenden Vertragsbedingungen in Bezug auf Sicherheit, Vertraulichkeit und Datenschutz abschließen, vorbehaltlich der Anforderungen in Paragraf 11.3 (Anforderungen für die Beschäftigung von Unterauftragsverarbeitern).
Anhang 3: Zusatzbedingungen für außereuropäische Datenschutzvorschriften
Die folgenden Zusatzbedingungen für außereuropäische Datenschutzvorschriften ergänzen diesen Zusatz zur Datenverarbeitung:
- Ergänzung für LGPD-Auftragsverarbeiter unter business.safety.google/processorterms/lgpd (vom 27. August 2020)
- Ergänzung zu US-bundesstaatlichen Gesetzen unter business.safety.google/processorterms/us-state-laws (vom 12. Dezember 2022)
Verweise auf Google LLC oder Google in der Ergänzung für LGPD-Auftragsverarbeiter und die US-bundesstaatliche Ergänzung beziehen sich auf Jibe.
Zusatz zur Datenverarbeitung für Jibe, Version 4.0