Zusatz zur Datenverarbeitung

Naumard LTD. (“YouHodler.com“) und die Gegenpartei, die diesen Bedingungen zustimmt (“Kunde“) einen Enterprise-Abonnementvertrag, die Nutzungsbedingungen von YouHodler.com, einen Self-Serve-Abonnementvertrag oder eine andere schriftliche oder elektronische Vereinbarung für bestimmte Optimierungs-, Sicherheits- und/oder andere Internet-Eigentumsdienste abgeschlossen haben (zusammen die“Bedienung“) bereitgestellt von YouHodler.com (der“Hauptvereinbarung“). Dieser Nachtrag zur Datenverarbeitung, ist Teil des Hauptabkommens.

Dieser Zusatz zur Datenverarbeitung tritt an dem Tag in Kraft und ersetzt alle zuvor geltenden Bestimmungen in Bezug auf ihren Gegenstand (einschließlich aller Änderungen, Vereinbarungen oder Ergänzungen zur Datenverarbeitung in Bezug auf den Dienst) ab dem Datum, an dem der Kunde auf seine Zustimmung geklickt hat oder die Parteien diesem Zusatz zur Datenverarbeitung anderweitig zugestimmt haben (“DPA-Datum des Inkrafttretens“).

Wenn Sie diesen Zusatz zur Datenverarbeitung im Namen des Kunden akzeptieren, garantieren Sie, dass: (a) Sie die volle rechtliche Befugnis haben, den Kunden an diesen Zusatz zur Datenverarbeitung zu binden; (b) Sie diesen Zusatz zur Datenverarbeitung gelesen und verstanden haben; und (c) Sie im Namen des Kunden diesem Zusatz zur Datenverarbeitung zustimmen. Wenn Sie nicht gesetzlich befugt sind, den Kunden zu binden, akzeptieren Sie diesen Zusatz zur Datenverarbeitung bitte nicht.

Bedingungen der Datenverarbeitung

Im Zusammenhang mit dem Service gehen die Parteien davon aus, dass YouHodler.com Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten kann (“ EEA “) und Vereinigtes Königreich, bestimmte personenbezogene Daten, für die der Kunde oder ein Mitglied der Kundengruppe gemäß den geltenden EU-Datenschutzgesetzen gegebenenfalls als Datenverantwortlicher oder Datenverarbeiter fungieren kann.

Die Parteien haben vereinbart, dieses DPA abzuschließen, um sicherzustellen, dass angemessene Schutzmaßnahmen in Bezug auf den Schutz dieser personenbezogenen Daten getroffen werden, wie es die EU-Datenschutzgesetze vorschreiben. Dementsprechend verpflichtet sich YouHodler.com, die folgenden Bestimmungen in Bezug auf alle personenbezogenen Daten einzuhalten, die vom oder für den Kunden an YouHodler.com übermittelt oder von oder für den Kunden, der den Dienst nutzt, gesammelt und verarbeitet werden.

1. Definitionen

1.1 In diesem DPA werden die folgenden Definitionen verwendet:

• „Angemessenes Land“ bezeichnet ein Land oder Gebiet, das nach den EU-Datenschutzgesetzen als Land oder Gebiet anerkannt ist, das einen angemessenen Schutz personenbezogener Daten bietet;
• „Partner“ bezeichnet in Bezug auf eine Partei jede Unternehmenseinheit, die diese Partei direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht (aber nur so lange, wie eine solche Kontrolle besteht);
• „YouHodler.com Group“ bedeutet YouHodler.com und eines seiner verbundenen Unternehmen;
• „Kundengruppe“ bezeichnet den Kunden und seine verbundenen Unternehmen, die im EWR oder im Vereinigten Königreich ansässig sind und/oder Geschäfte tätigen;
• „EU-Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums, ihrer Mitgliedstaaten und des Vereinigten Königreichs, die für die Verarbeitung personenbezogener Daten im Rahmen des Hauptabkommens gelten, einschließlich (falls zutreffend) der DSGVO;
• „GDPR“ bezeichnet die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr);
• „Personenbezogene Daten“ bedeutet alle Daten, die als 'definiert sind persönliche Daten' gemäß den EU-Datenschutzgesetzen und für die die EU-Datenschutzgesetze gelten und die YouHodler.com vom Kunden zur Verfügung gestellt werden und auf die YouHodler.com als Datenverarbeiter im Rahmen der Bereitstellung des Dienstes für den Kunden zugreift, diese speichert oder anderweitig verarbeitet; und
• „Verarbeitung“, „Verantwortlicher“, „betroffene Person“, „Aufsichtsbehörde“ und „Datenverarbeiter“ haben die ihnen in den EU-Datenschutzgesetzen zugeschriebene Bedeutung.
• Eine Entität „Controls“ ein anderes Unternehmen, wenn es: (a) die Mehrheit der Stimmrechte an ihm hält; (b) Mitglied oder Aktionär des Unternehmens ist und das Recht hat, die Mehrheit seines Verwaltungsrats oder eines gleichwertigen Leitungsorgans abzuberufen; (c) Mitglied oder Aktionär des Unternehmens ist und allein oder aufgrund einer Vereinbarung mit anderen Aktionären oder Mitgliedern die Mehrheit der Stimmrechte in dem Unternehmen kontrolliert; oder (d) das Recht hat, einen beherrschenden Einfluss auf es auszuüben gemäß seinen Gründungsdokumenten oder aufgrund eines Vertrags; und zwei Unternehmen werden so behandelt, als wären sie in „Gemeinsame Kontrolle“ wenn einer den anderen kontrolliert (direkt oder indirekt) oder beide (direkt oder indirekt) von derselben Einheit kontrolliert werden.

2. Status der Parteien

Die Art der gemäß diesem DPA verarbeiteten personenbezogenen Daten sowie der Gegenstand, die Dauer, die Art und der Zweck der Verarbeitung sowie die Kategorien der betroffenen Personen sind in Anhang 1 beschrieben.

• Jede Partei garantiert in Bezug auf personenbezogene Daten, dass sie die EU-Datenschutzgesetze einhält (und dafür sorgen wird, dass alle ihre Mitarbeiter die Einhaltung der EU-Datenschutzgesetze sicherstellen und wirtschaftlich angemessene Anstrengungen unternehmen, um sicherzustellen, dass ihre Unterauftragsverarbeiter die Vorschriften einhalten). Im Verhältnis zwischen den Parteien trägt der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten sowie für die Mittel, mit denen der Kunde personenbezogene Daten erworben hat.
• In Bezug auf die Rechte und Pflichten der Parteien aus dieser DPA in Bezug auf die personenbezogenen Daten erkennen die Parteien hiermit an und vereinbaren, dass der Kunde der Datenverantwortliche oder -verarbeiter ist und YouHodler.com gegebenenfalls ein Datenverarbeiter oder Unterauftragsverarbeiter ist. Dementsprechend erklärt sich YouHodler.com damit einverstanden, dass es alle personenbezogenen Daten gemäß seinen Verpflichtungen gemäß dieser DPA verarbeitet.
• Wenn der Kunde ein Datenverarbeiter ist, garantiert der Kunde YouHodler.com, dass die Anweisungen und Maßnahmen des Kunden in Bezug auf die personenbezogenen Daten, einschließlich der Ernennung von YouHodler.com als einem anderen Auftragsverarbeiter und des Abschlusses der Standardvertragsklauseln (Anlage 2), vom jeweiligen für die Verarbeitung Verantwortlichen genehmigt wurden.
• Wo und in dem Umfang verarbeitet YouHodler.com Daten, die definiert sind als „persönliche Daten' gemäß den EU-Datenschutzgesetzen als für die Datenverarbeitung Verantwortlicher gemäß den YouHodler.com Datenschutzrichtlinie, YouHodler.com wird in Bezug auf diese Verarbeitung die geltenden EU-Datenschutzgesetze einhalten
• Jede Partei ernennt innerhalb ihrer Organisation eine Person, die befugt ist, von Zeit zu Zeit auf Anfragen zu den personenbezogenen Daten zu antworten, und jede Partei muss solche Anfragen umgehend bearbeiten.

3. Verpflichtungen von YouHodler.com

In Bezug auf alle personenbezogenen Daten garantiert YouHodler.com, dass es:

1. verarbeitet personenbezogene Daten nur, um den Service bereitzustellen, und handelt nur in Übereinstimmung mit: (i) dieser DPA, (ii) den schriftlichen Anweisungen des Kunden, wie sie in der Hauptvereinbarung und dieser DPA dargestellt sind, und (iii) gemäß den geltenden Gesetzen;
2. informieren Sie den Kunden nach Kenntniserlangung, wenn nach Ansicht von YouHodler.com die Anweisungen des Kunden gemäß Klausel 3.1 (a) gegen die DSGVO verstoßen;
3. Ergreifen Sie angemessene technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das den mit der Verarbeitung personenbezogener Daten verbundenen Risiken angemessen ist, insbesondere zum Schutz vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten. Zu diesen Maßnahmen gehören ohne Einschränkung die in Anhang 3 aufgeführten Sicherheitsmaßnahmen;
4. angemessene Maßnahmen ergreifen, um sicherzustellen, dass nur autorisiertes Personal Zugriff auf diese personenbezogenen Daten hat und dass alle Personen, denen es den Zugriff auf die personenbezogenen Daten gestattet, zur Vertraulichkeit verpflichtet sind;
5. Informieren Sie den Kunden unverzüglich, nachdem Sie davon Kenntnis erlangt haben, über jede Sicherheitsverletzung, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die von YouHodler.com, seinen Unterauftragsverarbeitern oder einem anderen identifizierten oder unbekannten Dritten übertragen, gespeichert oder anderweitig verarbeitet werden (a“Sicherheitsverletzung “);
6. dem Kunden unverzüglich angemessene Zusammenarbeit und Unterstützung in Bezug auf eine Sicherheitsverletzung und alle angemessenen Informationen, die YouHodler.com besitzt, zu einer solchen Sicherheitsverletzung bereitzustellen, sofern sie den Kunden betrifft, einschließlich der folgenden, soweit dies bekannt ist:
   • die mögliche Ursache und die Folgen der Sicherheitsverletzung für die betroffenen Personen;
   • die Kategorien der betroffenen personenbezogenen Daten;
   • eine Zusammenfassung der möglichen Folgen für die betroffenen Personen;
   • eine Zusammenfassung der unbefugten Empfänger der personenbezogenen Daten; und
   • die von YouHodler.com ergriffenen Maßnahmen zur Schadensminderung;
7. keine öffentliche Ankündigung einer Sicherheitsverletzung machen (a“Hinweis auf einen Verstoß„) ohne vorherige schriftliche Zustimmung des Kunden, sofern dies nicht nach geltendem Recht vorgeschrieben ist;
8. den Kunden unverzüglich benachrichtigen, wenn er von einer betroffenen Person eine Anfrage zum Zugriff, zur Berichtigung oder Löschung der personenbezogenen Daten dieser Person erhält oder wenn eine betroffene Person der Verarbeitung dieser personenbezogenen Daten widerspricht oder eine Anfrage zur Datenübertragbarkeit in Bezug auf diese personenbezogenen Daten stellt (jeweils ein“Anfrage der betroffenen Person„). YouHodler.com beantwortet keine Anfrage einer betroffenen Person ohne die vorherige schriftliche Zustimmung des Kunden, es sei denn, es wird bestätigt, dass sich diese Anfrage auf den Kunden bezieht, dem der Kunde hiermit zustimmt. Soweit der Kunde nicht in der Lage ist, eine Anfrage einer betroffenen Person zu bearbeiten, wird YouHodler.com dem Kunden auf Anfrage des Kunden angemessene Unterstützung bieten, um diese Anfrage der betroffenen Person zu bearbeiten, soweit dies möglich ist und dem geltenden Recht entspricht. Der Kunde trägt alle Kosten, die YouHodler.com im Zusammenhang mit der Bereitstellung dieser Unterstützung entstehen;
9. außer in dem Umfang, der zur Einhaltung des geltenden Rechts erforderlich ist, löscht YouHodler.com nach Kündigung oder Ablauf der Hauptvereinbarung oder Abschluss des Dienstes alle personenbezogenen Daten (einschließlich Kopien davon), die gemäß dieser DPA verarbeitet werden;
10. Bieten Sie dem Kunden unter Berücksichtigung der Art der Verarbeitung und der Informationen, die YouHodler.com zur Verfügung stehen, die der Kunde vernünftigerweise in Bezug auf die Verpflichtungen von YouHodler.com gemäß den EU-Datenschutzgesetzen in Bezug auf Folgendes anfordert:
    • Datenschutzfolgenabschätzungen (wie ein solcher Begriff in der DSGVO definiert ist);
    • Benachrichtigungen an die Aufsichtsbehörde gemäß den EU-Datenschutzgesetzen und/oder Mitteilungen des Kunden an betroffene Personen als Reaktion auf eine Sicherheitsverletzung; und
    • vorausgesetzt, dass der Kunde alle Kosten trägt, die YouHodler.com im Zusammenhang mit der Erbringung dieser Unterstützung entstehen.

4. Unterverarbeitung

1. Der Kunde erteilt eine allgemeine Genehmigung: (a) YouHodler.com, andere Mitglieder der YouHodler.com-Gruppe als Unterauftragsverarbeiter zu ernennen, und (b) YouHodler.com und andere Mitglieder der YouHodler.com-Gruppe, externe Rechenzentrumsbetreiber sowie ausgelagerte Marketing-, Geschäfts-, Ingenieur- und Kundendienstanbieter als Unterauftragsverarbeiter zur Unterstützung der Erbringung des Dienstes zu benennen.
2. YouHodler.com führt eine Liste der Unterauftragsverarbeiter auf der YouHodler.com-Website und fügt der Liste die Namen der neuen und Ersatzunterauftragsverarbeiter hinzu, bevor diese mit der Unterverarbeitung personenbezogener Daten beginnen. Wenn der Kunde begründete Einwände gegen einen neuen oder Ersatz-Unterauftragsverarbeiter hat, muss er YouHodler.com innerhalb von zehn (10) Tagen nach der Benachrichtigung schriftlich über diese Einwände informieren, und die Parteien werden versuchen, die Angelegenheit nach Treu und Glauben zu lösen. Wenn YouHodler.com vernünftigerweise in der Lage ist, dem Kunden den Service gemäß der Hauptvereinbarung bereitzustellen, ohne den Unterauftragsverarbeiter zu verwenden, und nach eigenem Ermessen entscheidet, dies zu tun, hat der Kunde gemäß dieser Klausel 4.2 keine weiteren Rechte in Bezug auf die vorgeschlagene Verwendung des Unterauftragsverarbeiters. Wenn YouHodler.com nach eigenem Ermessen die Verwendung des Unterauftragsverarbeiters verlangt und nicht in der Lage ist, den Kunden innerhalb von neunzig (90) Tagen nach Mitteilung der Einwände durch den Kunden von der Eignung des Unterauftragsverarbeiters oder der zwischen YouHodler.com und dem Unterauftragsverarbeiter bestehenden Unterlagen und Schutzmaßnahmen zu überzeugen, kann der Kunde innerhalb von dreißig (30) Tagen nach Ablauf der oben genannten Frist von neunzig (90) Tagen das entsprechende Bestellformular und/oder die Anzeige kündigen Bestellungen mit einer Frist von mindestens dreißig (30) Tagen, ausschließlich in Bezug auf die Dienstleistung (en) an auf die sich die Verarbeitung personenbezogener Daten durch den vorgeschlagenen neuen Unterauftragsverarbeiter bezieht. Wenn der Kunde gemäß dieser Klausel 4.2 nicht rechtzeitig Einwände gegen einen neuen oder einen Ersatzunterauftragsverarbeiter erhebt, wird davon ausgegangen, dass der Kunde dem Unterauftragsverarbeiter zugestimmt und auf sein Widerspruchsrecht verzichtet hat. YouHodler.com kann einen neuen oder Ersatzunterauftragsverarbeiter verwenden, solange das Einspruchsverfahren in dieser Klausel 4.2 läuft.
3. YouHodler.com stellt sicher, dass jeder Unterauftragsverarbeiter, den es beauftragt, einen Aspekt des Dienstes in seinem Namen im Zusammenhang mit dieser DPA bereitzustellen, dies nur auf der Grundlage eines schriftlichen Vertrags tut, der solchen Unterauftragsverarbeitern Bedingungen auferlegt, die die personenbezogenen Daten im Wesentlichen nicht weniger schützen als die YouHodler.com in dieser DPA (die“ Relevante Begriffe „). YouHodler.com sorgt für die Erfüllung der relevanten Bedingungen durch diesen Unterauftragsverarbeiter und haftet gegenüber dem Kunden für jeden Verstoß dieser Person gegen die relevanten Bedingungen.

5. Prüfung und Aufzeichnungen

• YouHodler.com stellt dem Kunden in Übereinstimmung mit den EU-Datenschutzgesetzen die Informationen zur Verfügung, die sich im Besitz oder unter der Kontrolle von YouHodler.com befinden, die der Kunde vernünftigerweise anfordern kann, um nachzuweisen, dass YouHodler.com die Verpflichtungen der Datenverarbeiter nach dem EU-Datenschutzrecht in Bezug auf die Verarbeitung personenbezogener Daten einhält.
• Der Kunde kann sein Prüfungsrecht gemäß den EU-Datenschutzgesetzen in Bezug auf personenbezogene Daten über YouHodler.com ausüben und Folgendes bereitstellen:
  • einen Auditbericht, der nicht älter als achtzehn (18) Monate ist und von einem unabhängigen externen Prüfer erstellt wurde und aus dem hervorgeht, dass die technischen und organisatorischen Maßnahmen von YouHodler.com ausreichend sind und einem anerkannten Branchenprüfungsstandard entsprechen; und
  • zusätzliche Informationen, die sich im Besitz oder unter der Kontrolle von YouHodler.com befinden, an eine EU-Aufsichtsbehörde, wenn diese zusätzliche Informationen in Bezug auf die Verarbeitung personenbezogener Daten durch YouHodler.com im Rahmen dieser Datenschutzvereinbarung anfordert oder benötigt.

6. Datenübertragungen

1. Soweit die Verarbeitung personenbezogener Daten durch YouHodler.com in einem Land außerhalb des EWR stattfindet (außer in einem angemessenen Land), vereinbaren die Parteien, dass die von den EU-Behörden gemäß den EU-Datenschutzgesetzen genehmigten und in Anhang 2 aufgeführten Standardvertragsklauseln für diese Verarbeitung gelten, und YouHodler.com wird die Verpflichtungen des „Datenimporteurs“ in den Standardvertragsklauseln einhalten und der Kunde die Verpflichtungen von der „Datenexporteur“.
2. Der Kunde erkennt an und akzeptiert, dass die Erbringung des Dienstes im Rahmen des Hauptvertrags die Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter in Ländern außerhalb des EWR erfordern kann.
3. Wenn YouHodler.com bei der Erfüllung dieser DPA personenbezogene Daten an einen Unterauftragsverarbeiter außerhalb des EWR übermittelt (unbeschadet von Klausel 4), stellt YouHodler.com vor einer solchen Übertragung sicher, dass ein rechtlicher Mechanismus vorhanden ist, um die Angemessenheit dieser Verarbeitung sicherzustellen, wie zum Beispiel:
   • die Anforderung an YouHodler.com, Standardvertragsklauseln, die von den EU-Behörden gemäß den EU-Datenschutzgesetzen genehmigt und in Anhang 2 aufgeführt sind, zugunsten des Kunden auszuführen oder dafür zu sorgen, dass der Unterauftragsverarbeiter diese ausführt;
   • die Anforderung, dass der Unterauftragsverarbeiter gemäß den EU-USA zertifiziert sein muss Privacy Shield Framework; oder
   • das Vorhandensein anderer speziell genehmigter Schutzmaßnahmen für Datenübertragungen (wie sie in den EU-Datenschutzgesetzen anerkannt sind) und/oder eine von der Europäischen Kommission festgestellte Angemessenheit.
4. Die folgenden Bedingungen gelten für die in Anhang 2 aufgeführten Standardvertragsklauseln:
   • Der Kunde kann sein Prüfungsrecht gemäß Klausel 5.1 (f) der Standardvertragsklauseln gemäß Klausel 5.2 dieser DPA ausüben; und
   • YouHodler.com kann Unterauftragsverarbeiter gemäß den Bestimmungen der Abschnitte 4 und 6.3 dieser Datenschutzvereinbarung ernennen.

7. Allgemeines

1. Dieses DPA lässt die Rechte und Pflichten der Parteien aus dem Hauptabkommen unberührt, das weiterhin in vollem Umfang in Kraft und Wirkung bleibt. Im Falle eines Widerspruchs zwischen den Bedingungen dieser DPA und den Bedingungen der Hauptvereinbarung haben die Bedingungen dieser DPA Vorrang, soweit der Gegenstand die Verarbeitung personenbezogener Daten betrifft.
2. Die Haftung von YouHodler.com gemäß oder in Verbindung mit dieser DPA (einschließlich der Standardvertragsklauseln in Anhang 2) unterliegt den in der Hauptvereinbarung enthaltenen Haftungsbeschränkungen.
3. Dieses DPA gewährt keine Rechte Dritter, es ist ausschließlich zum Nutzen der Parteien und ihrer jeweiligen zulässigen Rechtsnachfolger und Abtretungsempfänger bestimmt und kommt keiner anderen Person zugute und kann auch nicht von einer anderen Person durchgesetzt werden.
4. Dieses DPA und alle damit verbundenen Maßnahmen unterliegen den Gesetzen des Bundesstaates Kalifornien und werden in Übereinstimmung mit diesen ausgelegt, ohne dass die Grundsätze des Kollisionsrechts in Kraft treten. Die Parteien stimmen der persönlichen Zuständigkeit und dem Gerichtsstand der Gerichte von San Francisco, Kalifornien, zu.
5. Diese DPA ist die endgültige, vollständige und ausschließliche Vereinbarung der Parteien in Bezug auf den Vertragsgegenstand und ersetzt und fasst alle vorherigen Diskussionen und Vereinbarungen zwischen den Parteien in Bezug auf diesen Gegenstand zusammen. Außer in Bezug auf in betrügerischer Absicht abgegebene Aussagen gelten keine anderen Zusicherungen oder Bedingungen und sind auch nicht Teil dieser DPA. Änderungen, Ergänzungen oder der Verzicht auf Rechte aus dem DPA sind nur wirksam, wenn sie schriftlich erfolgen und von einem bevollmächtigten Unterzeichner jeder Partei unterzeichnet wurden. Dieses DPA kann in Form von Gegenstücken ausgeführt werden, von denen jedes als Original betrachtet wird, die jedoch alle zusammen ein und dieselbe Vereinbarung bilden. Jede Person, die diese Vereinbarung unterzeichnet, erklärt und garantiert, dass sie ordnungsgemäß bevollmächtigt und rechtsfähig ist, diese DPA auszuführen und zu erfüllen. Jede Partei versichert und garantiert der anderen, dass die Ausführung und Lieferung dieses DPA sowie die Erfüllung der Verpflichtungen dieser Partei aus diesem Vertrag ordnungsgemäß genehmigt wurden und dass dieses DPA eine gültige und rechtsverbindliche Vereinbarung für jede dieser Parteien ist, die gemäß ihren Bedingungen durchsetzbar ist.

Anlage 1

Einzelheiten der personenbezogenen Daten und der Verarbeitungsaktivitäten

1. Zu den personenbezogenen Daten gehören: in Bezug auf Besucher der Online-Immobilien des Kunden Identifikationsdaten, Daten aus dem Berufsleben, Daten zum Privatleben, Verbindungsdaten oder Lokalisierungsdaten (einschließlich IP-Adressen). Der Kunde, seine Online-Besucher und/oder andere Partner können auch Inhalte auf die Online-Angebote des Kunden hochladen, die personenbezogene Daten und besondere Datenkategorien enthalten können, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird. Zu diesen besonderen Datenkategorien gehören unter anderem Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft und die Verarbeitung von Daten, die die Gesundheit oder das Sexualleben einer Person betreffen.
2. Die Dauer der Verarbeitung beträgt: frühestens (i) Ablauf/Kündigung des Hauptvertrags oder (ii) bis zu dem Datum, an dem die Verarbeitung für die Erfüllung ihrer Verpflichtungen aus dem Hauptvertrag durch eine der Parteien nicht mehr erforderlich ist (soweit zutreffend);
3. Die Verarbeitung umfasst: Verarbeitung, die für die Erbringung der Dienstleistung für den Kunden gemäß dem Hauptvertrag erforderlich ist;
4. Der (die) Zweck (e) der Verarbeitung ist/sind: notwendig für die Erbringung des Dienstes;
5. Personenbezogene Daten können die folgenden betroffenen Personen betreffen:
   • Potenzielle Kunden, Wiederverkäufer, Empfehlungsgeber, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind);
   • Mitarbeiter oder Kontaktpersonen der potenziellen Kunden, Kunden, Wiederverkäufer, Empfehlungsgeber, Unterauftragsverarbeiter, Geschäftspartner und Verkäufer (die natürliche Personen sind) des Kunden;
   • Mitarbeiter, Vertreter, Berater und Freiberufler des Kunden (die natürliche Personen sind); und/oder
   • Natürliche Personen, die vom Kunden zur Nutzung des Dienstes autorisiert wurden.

Anlage 2

EU-Standardvertragsklauseln von 2010, entnommen aus dem Anhang 2010/87/EU, EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Einführung

Beide Parteien haben sich auf die folgenden Vertragsklauseln geeinigt (die“ Klauseln „) um angemessene Schutzmaßnahmen in Bezug auf den Schutz der Privatsphäre und der Grundrechte und Grundfreiheiten natürlicher Personen für die Übermittlung der in Anlage 1 genannten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu treffen.

Vereinbarte Bedingungen

1. Definitionen

Für die Zwecke der Klauseln gilt:

1. „personenbezogene Daten“, „besondere Datenkategorien“, „Verarbeitung/Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde““ hat dieselbe Bedeutung wie in den EU-Datenschutzgesetzen 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
2. die „Datenexporteur“ bezeichnet die Stelle, die die personenbezogenen Daten übermittelt;
3. die „Datenimporteur“ bezeichnet den Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die zur Verarbeitung in seinem Namen nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln bestimmt sind, und der nicht dem System eines Drittlands unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der EU-Datenschutzgesetze 95/46/EG gewährleistet;
4. die „Unterprozessor“ bezeichnet jeden vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragten Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übertragung im Namen des Datenexporteurs gemäß seinen Anweisungen, den Bestimmungen der Klauseln und den Bedingungen des schriftlichen Untervertrags durchgeführt werden;
5. die „geltendes Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur ansässig ist; und
6. „technische und organisatorische Sicherheitsmaßnahmen„bezeichnet Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung, versehentlichem Verlust, Veränderung, unberechtigter Weitergabe oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk beinhaltet, sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung.

2. Einzelheiten der Übertragung

Die Einzelheiten der Übertragung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anlage 1 aufgeführt, die integraler Bestandteil der Klauseln ist.

3. Klausel über Drittbegünstigte

1. Die betroffene Person kann diese Klausel, Klausel 4.1 (b) bis (i), Klausel 5 (a) bis (e) und (g) bis (j), Klausel 6 (1) und (2), Klausel 7, Klausel 8 (2) und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur durchsetzen.
2. Die betroffene Person kann diese Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur tatsächlich verschwunden ist oder nicht mehr gesetzlich existiert, es sei denn, eine Nachfolgeeinheit hat vertraglich oder kraft Gesetzes die gesamten rechtlichen Verpflichtungen des Datenexporteurs übernommen, wodurch sie die Rechte und Pflichten des Datenexporteurs; in diesem Fall kann die betroffene Person sie gegenüber dieser Stelle durchsetzen.
3. Die betroffene Person kann gegenüber dem Unterauftragsverarbeiter diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und die Klauseln 9 bis 12 durchsetzen, wenn sowohl der Datenexporteur als auch der Datenimporteur tatsächlich verschwunden sind oder nicht mehr gesetzlich existieren oder zahlungsunfähig geworden sind, es sei denn, eine Nachfolgeeinheit hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder durch Betrieb von Gesetz, aufgrund dessen es die Rechte und Pflichten des Datenexporteurs übernimmt. In diesem Fall kann die betroffene Person diese gegenüber dieser Stelle durchsetzen. Diese Haftung des Unterauftragsverarbeiters gegenüber Dritten ist gemäß den Klauseln auf seine eigenen Verarbeitungsvorgänge beschränkt.
4. Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch einen Verband oder eine andere Stelle vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und sofern das nationale Recht dies zulässt.

4. Pflichten des Datenexporteurs

Der Datenexporteur stimmt zu und garantiert:

1. dass die Verarbeitung, einschließlich der Übermittlung selbst, der personenbezogenen Daten gemäß den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgt (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur ansässig ist, mitgeteilt wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
2. dass es den Datenimporteur angewiesen hat und während der gesamten Dauer der Verarbeitung personenbezogener Daten den Datenimporteur anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;
3. dass der Datenimporteur ausreichende Garantien in Bezug auf die in Anlage 2 zu diesem Vertrag aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen bietet;
4. dass nach Prüfung der Anforderungen des geltenden Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, zufälligem Verlust, Veränderung, unberechtigter Offenlegung oder unbefugtem Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk beinhaltet, und vor allen anderen unrechtmäßigen Formen der Verarbeitung, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten unter Berücksichtigung des Zustands der die Kunst und die Kosten ihrer Umsetzung;
5. dass es die Einhaltung der Sicherheitsmaßnahmen gewährleistet;
6. dass, falls die Übermittlung besondere Datenkategorien umfasst, die betroffene Person vor oder so bald wie möglich nach der Übertragung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der EU-Datenschutzgesetze 95/46/EG bietet;
7. alle vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Klausel 5 (b) und Klausel 8 (3) erhaltenen Benachrichtigungen an die Datenschutzaufsichtsbehörde weiterzuleiten, falls der Datenexporteur beschließt, die Übertragung fortzusetzen oder die Aussetzung aufzuheben;
8. den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anlage 2 und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie aller Verträge für Unterverarbeitungsdienste zur Verfügung zu stellen, die gemäß den Klauseln abgeschlossen werden müssen, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann es solche Geschäftsinformationen entfernen;
9. dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln; und
10. dass es die Einhaltung der Klausel 4 (a) bis (i) sicherstellt.

5. Pflichten des Datenimporteurs

Der Datenimporteur stimmt zu und garantiert:

1. die personenbezogenen Daten nur im Auftrag des Datenexporteurs und unter Einhaltung seiner Anweisungen und der Klauseln zu verarbeiten; falls er diese Einhaltung aus welchen Gründen auch immer nicht gewährleisten kann, verpflichtet er sich, den Datenexporteur unverzüglich über seine Unfähigkeit zu informieren. In diesem Fall ist der Datenexporteur berechtigt, die Datenübertragung auszusetzen und/oder den Vertrag zu kündigen;
2. dass sie keinen Grund zu der Annahme hat, dass die für sie geltenden Rechtsvorschriften sie daran hindern, die vom Datenexporteur erhaltenen Anweisungen und ihre vertraglichen Verpflichtungen zu erfüllen, und dass sie im Falle einer Änderung dieser Rechtsvorschriften, die voraussichtlich erhebliche negative Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben wird, den Datenexporteur unverzüglich über die Änderung informieren wird, sobald sie davon Kenntnis erlangt; in diesem Fall ist der Datenexporteur berechtigt, die Übertragung auszusetzen Daten und/oder Kündigung des Vertrags;
3. dass es vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen getroffen hat;
4. dass es den Datenexporteur umgehend über Folgendes informiert:
   • jedes rechtsverbindliche Ersuchen um Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, sofern nichts anderes verboten ist, wie z. B. ein strafrechtliches Verbot, die Vertraulichkeit einer Strafverfolgungsuntersuchung zu wahren;
   • jeder versehentliche oder unbefugte Zugriff; und
   • jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, sofern sie nicht anderweitig dazu ermächtigt wurde;
5. alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten umgehend und ordnungsgemäß zu bearbeiten und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;
6. auf Ersuchen des Datenexporteurs, seine Datenverarbeitungsanlagen einer Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen, die vom Datenexporteur oder einer Inspektionsstelle, die sich aus unabhängigen Mitgliedern zusammensetzt und über die erforderlichen beruflichen Qualifikationen verfügt und an eine Vertraulichkeitspflicht gebunden ist, durchgeführt wird und die gegebenenfalls vom Datenexporteur im Einvernehmen mit der Aufsichtsbehörde ausgewählt wird;
7. der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags für die Unterverarbeitung zur Verfügung zu stellen, sofern die Klauseln oder der Vertrag keine Geschäftsinformationen enthalten; in diesem Fall kann sie solche Geschäftsinformationen entfernen, mit Ausnahme von Anlage 2, die in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird;
8. dass es im Falle einer Unterverarbeitung den Datenexporteur zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt hat;
9. dass die Verarbeitungsdienste durch den Unterauftragsverarbeiter gemäß Klausel 11 ausgeführt werden;
10. dem Datenexporteur unverzüglich eine Kopie aller Unterverarbeitungsvereinbarungen zu senden, die es gemäß den Klauseln abschließt.

6. Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die aufgrund einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, vom Datenexporteur Anspruch auf Entschädigung für den erlittenen Schaden hat.
2. Wenn eine betroffene Person nicht in der Lage ist, einen Schadensersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, weil der Datenimporteur oder sein Unterauftragsverarbeiter gegen eine ihrer in Klausel 3 oder in Klausel 11 genannten Verpflichtungen verstoßen hat, weil der Datenexporteur faktisch verschwunden ist oder nicht mehr besteht oder zahlungsunfähig geworden ist, erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person eine Klage gegen den Datenimporteur geltend machen kann, als ob sie waren der Datenexporteur, es sei denn, eine Nachfolgeeinheit hat die gesamten rechtlichen Verpflichtungen der Daten übernommen Vertraglicher oder gesetzlicher Exporteur; in diesem Fall kann die betroffene Person ihre Rechte gegenüber dieser Stelle geltend machen. Der Datenimporteur darf sich nicht darauf verlassen, dass ein Unterauftragsverarbeiter seine Pflichten verletzt, um sich seiner eigenen Haftung zu entziehen.
3. ‍ Wenn eine betroffene Person nicht in der Lage ist, einen Anspruch gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend zu machen, weil sowohl der Datenexporteur als auch der Datenimporteur tatsächlich verschwunden sind oder nicht mehr gesetzlich existieren oder zahlungsunfähig geworden sind, erklärt sich der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person einen Anspruch gegen die Daten geltend machen kann Unterauftragsverarbeiter in Bezug auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln als ob es der Datenexporteur oder der Datenimporteur wäre, es sei denn, eine Nachfolgeeinheit hat vertraglich oder kraft Gesetzes die gesamten gesetzlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs übernommen. In diesem Fall kann die betroffene Person ihre Rechte gegenüber dieser Stelle geltend machen. Die Haftung des Unterauftragsverarbeiters ist gemäß den Klauseln auf seine eigenen Verarbeitungsvorgänge beschränkt.

7. Mediation und Gerichtsbarkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person akzeptiert, wenn sie sich gegen sie auf Rechte Dritter beruft und/oder Schadensersatz gemäß den Klauseln geltend macht:
   • die Streitigkeit einer Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu unterwerfen;
   • den Rechtsstreit an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur ansässig ist.
2. Die Parteien sind sich einig, dass die von der betroffenen Person getroffene Wahl ihre materiellen oder verfahrenstechnischen Rechte, Rechtsbehelfe gemäß anderen Bestimmungen des nationalen oder internationalen Rechts einzulegen, nicht beeinträchtigt.

8. Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur erklärt sich damit einverstanden, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder wenn eine solche Hinterlegung nach geltendem Datenschutzrecht erforderlich ist.
2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, eine Prüfung des Datenimporteurs und aller Unterauftragsverarbeiter durchzuführen, die denselben Umfang hat und denselben Bedingungen unterliegt, die für eine Prüfung des Datenexporteurs nach geltendem Datenschutzrecht gelten würden.
3. Der Datenimporteur informiert den Datenexporteur umgehend über das Bestehen von Rechtsvorschriften, die für ihn oder einen Unterauftragsverarbeiter gelten und die Durchführung einer Prüfung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 (b) vorgesehenen Maßnahmen zu ergreifen.

9. Geltendes Recht

Die Klauseln unterliegen den Gesetzen des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

10. Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu Geschäftsfragen hinzufügen, sofern sie der Klausel nicht widersprechen.

11. Unterverarbeitung

1. Der Datenimporteur darf ohne vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Namen des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungsvorgänge an Unterauftragnehmer vergeben. Vergibt der Datenimporteur seine Verpflichtungen aus den Klauseln mit Zustimmung des Datenexporteurs an Unterauftragnehmer, tut er dies nur im Rahmen einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt werden. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten aus einer solchen schriftlichen Vereinbarung nicht nach, haftet der Datenimporteur gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung.
2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Klausel über Drittbegünstigte gemäß Klausel 3 für Fälle vor, in denen die betroffene Person nicht in der Lage ist, den in Absatz 1 von Klausel 6 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil sie faktisch verschwunden sind oder nicht mehr gesetzlich nicht mehr existieren oder zahlungsunfähig geworden sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs übernommen hat oder Datenimporteur durch Vertrag oder kraft Gesetzes. Diese Haftung des Unterauftragsverarbeiters gegenüber Dritten ist gemäß den Klauseln auf seine eigenen Verarbeitungsvorgänge beschränkt.
3. Die Bestimmungen über Datenschutzaspekte bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt eine Liste der Unterverarbeitungsvereinbarungen, die gemäß den Klauseln geschlossen und vom Datenimporteur gemäß Klausel 5.1 (j) mitgeteilt wurden und die mindestens einmal jährlich aktualisiert wird. Die Liste muss der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung stehen.

12. Verpflichtung nach Beendigung der Dienstleistungen zur Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass bei Beendigung der Erbringung von Datenverarbeitungsdiensten der Datenimporteur und der Unterauftragsverarbeiter nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dem Datenexporteur bestätigen, dass er dies getan hat, sofern dem Datenimporteur keine Gesetze auferlegen, die ihn daran hindern, die übermittelten personenbezogenen Daten ganz oder teilweise zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeitet.
2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Anfrage des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen einer Prüfung der in Absatz 1 genannten Maßnahmen unterziehen.

Anlage 1

zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Die Mitgliedstaaten können nach ihren nationalen Verfahren alle zusätzlichen erforderlichen Informationen, die in dieser Anlage enthalten sein müssen, vervollständigen oder spezifizieren.

Datenexporteur

Der Datenexporteur ist (bitte geben Sie kurz Ihre Aktivitäten an, die für die Übertragung relevant sind):

Die Gegenpartei, die diesen Bedingungen zustimmt, und alle verbundenen Unternehmen dieser Entität mit Sitz im EWR, die Dienstleistungen von YouHodler.com oder seinen verbundenen Unternehmen gekauft haben.

Datenimporteur

Der Datenimporteur ist (bitte geben Sie kurz die für die Übertragung relevanten Aktivitäten an):

YouHodler.com, das personenbezogene Daten auf Anweisung des Datenexporteurs gemäß den Bedingungen der Vereinbarung zwischen dem Datenexporteur und YouHodler.com verarbeitet.

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):

Der Datenexporteur kann personenbezogene Daten an YouHodler.com und seine verbundenen Unternehmen übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird und die personenbezogene Daten der folgenden Kategorien von betroffenen Personen beinhalten können, aber nicht darauf beschränkt sind:

• Potenzielle Kunden, Wiederverkäufer, Empfehlungsgeber, Geschäftspartner und Lieferanten des Datenexporteurs (bei denen es sich um natürliche Personen handelt);
• Mitarbeiter oder Kontaktpersonen der potenziellen Kunden, Kunden, Wiederverkäufer, Empfehlungsgeber, Subunternehmer, Geschäftspartner und Verkäufer (die natürliche Personen sind) des Datenexporteurs;
• Mitarbeiter, Vertreter, Berater und Freiberufler des Datenexporteurs (die natürliche Personen sind); und/oder
• Natürliche Personen, die vom Datenexporteur autorisiert wurden, die von Naumard LTD für den Datenexporteur bereitgestellten Dienste zu nutzen.

Kategorien von Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):

Der Datenexporteur kann Naumard LTD und seinen verbundenen Unternehmen personenbezogene Daten übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird und die die folgenden Kategorien personenbezogener Daten beinhalten können, aber nicht darauf beschränkt sind:

• Namen, Titel, Position, Arbeitgeber, Kontaktinformationen (E-Mail, Telefon, Fax, Postanschrift usw.), Identifikationsdaten, Berufsdaten, persönliche Lebensdaten, Verbindungsdaten oder Lokalisierungsdaten (einschließlich IP-Adressen).

Besondere Datenkategorien (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen die folgenden speziellen Datenkategorien (bitte angeben):

Der Datenexporteur kann spezielle Datenkategorien an YouHodler.com und seine verbundenen Unternehmen übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird. Zu diesen besonderen Datenkategorien gehören unter anderem personenbezogene Daten mit Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft und die Verarbeitung von Daten, die die Gesundheit oder das Sexualleben einer Person betreffen.

Verarbeitungsvorgänge

Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungstätigkeiten (bitte angeben):

Das Ziel der Verarbeitung personenbezogener Daten durch YouHodler.com ist die Bereitstellung des Dienstes gemäß der Hauptvereinbarung.

Anlage 2

zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß den Klauseln 4 (d) und 5 (c) (oder dem beigefügten Dokument/Gesetz) ergriffen hat:

Siehe Anlage 3 zum DPA.

Anlage 3

Sicherheitsmaßnahmen

1. Der Datenimporteur/Unterauftragsverarbeiter hat ein Sicherheitsprogramm gemäß den Industriestandards implementiert und muss dieses aufrechterhalten.
2. Insbesondere muss das Sicherheitsprogramm des Datenimporteurs/Unterauftragsverarbeiters Folgendes beinhalten:

Zugangskontrolle der Verarbeitungsbereiche

Der Datenimporteur/Unterauftragsverarbeiter ergreift geeignete Maßnahmen, um zu verhindern, dass Unbefugte Zugang zu den Datenverarbeitungsgeräten (insbesondere Telefone, Datenbank- und Anwendungsserver und zugehörige Geräte) erhalten, in denen die personenbezogenen Daten verarbeitet oder verwendet werden, einschließlich:

• Einrichtung von Sicherheitsbereichen;
• Schutz und Einschränkung der Zugangswege;
• Festlegung von Zugangsberechtigungen für Mitarbeiter und Dritte, einschließlich der entsprechenden Dokumentation;
• jeder Zugriff auf das Rechenzentrum, in dem personenbezogene Daten gehostet werden, wird protokolliert, überwacht und verfolgt; und
• Das Rechenzentrum, in dem personenbezogene Daten gehostet werden, ist durch ein Sicherheitsalarmsystem und andere geeignete Sicherheitsmaßnahmen gesichert.

Zugangskontrolle zu Datenverarbeitungssystemen

Der Datenimporteur/Unterauftragsverarbeiter ergreift geeignete Maßnahmen, um zu verhindern, dass seine Datenverarbeitungssysteme von Unbefugten genutzt werden, darunter:

• Einsatz adäquater Verschlüsselungstechnologien;
• Identifizierung des Endgeräts und/oder des Endgerätenutzers gegenüber dem Datenimporteur/Unterauftragsverarbeiter und den Verarbeitungssystemen;
• automatische vorübergehende Sperrung des Benutzerterminals, wenn es inaktiv bleibt, Identifizierung und Passwort erforderlich, um es erneut zu öffnen;
• automatische vorübergehende Sperrung der Benutzer-ID bei Eingabe mehrerer falscher Passwörter, Protokolldatei der Ereignisse, Überwachung von Einbruchsversuchen (Warnmeldungen); und
• Jeder Zugriff auf Dateninhalte wird protokolliert, überwacht und verfolgt.

Zugriffskontrolle zur Nutzung bestimmter Bereiche von Datenverarbeitungssystemen

Der Datenimporteur/Unterauftragsverarbeiter verpflichtet sich, dass die zur Nutzung ihres Datenverarbeitungssystems berechtigten Personen nur in dem Umfang und Umfang auf die Daten zugreifen können, die von ihrer jeweiligen Zugriffserlaubnis (Autorisierung) abgedeckt sind, und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, geändert oder entfernt werden können. Dies soll durch verschiedene Maßnahmen erreicht werden, darunter:

• Mitarbeiterrichtlinien und Schulungen in Bezug auf die Zugriffsrechte jedes Mitarbeiters auf die personenbezogenen Daten;
• Zuordnung einzelner Endgeräte und/oder Endgerätebenutzer und Identifikationsmerkmale, die ausschließlich bestimmten Funktionen vorbehalten sind;
• Fähigkeit zur Überwachung von Personen, die personenbezogene Daten löschen, hinzufügen oder ändern;
• Weitergabe von Daten nur an autorisierte Personen, einschließlich Zuweisung differenzierter Zugriffsrechte und Rollen;
• Einsatz geeigneter Verschlüsselungstechnologien; und
• Kontrolle von Dateien, kontrollierte und dokumentierte Zerstörung von Daten.

Verfügbarkeitskontrolle

Der Datenimporteur/Unterauftragsverarbeiter ergreift geeignete Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind, einschließlich:

• Infrastrukturredundanz; und
• Das Backup wird an einem alternativen Standort gespeichert und kann bei einem Ausfall des Primärsystems wiederhergestellt werden.

Getriebesteuerung

Der Datenimporteur/Unterauftragsverarbeiter trifft geeignete Maßnahmen, um zu verhindern, dass die personenbezogenen Daten während ihrer Übertragung oder während des Transports der Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden. Dies wird durch verschiedene Maßnahmen erreicht, darunter:

• Einsatz geeigneter Firewall-, VPN- und Verschlüsselungstechnologien zum Schutz der Gateways und Pipelines, durch die die Daten übertragen werden;
• bestimmte streng vertrauliche Mitarbeiterdaten (z. B. personenbezogene Daten wie Personalausweisnummern, Kredit- oder Debitkartennummern) werden ebenfalls innerhalb des Systems verschlüsselt; und
• Bereitstellung einer Warnung des Benutzers bei unvollständiger Übertragung von Daten (Ende-zu-Ende-Überprüfung); und
• soweit möglich, werden alle Datenübertragungen protokolliert, überwacht und verfolgt.

Eingabesteuerung

Der Datenimporteur/Unterauftragsverarbeiter implementiert geeignete Maßnahmen zur Eingabekontrolle, darunter:

• eine Autorisierungsrichtlinie für die Eingabe, das Lesen, Ändern und Löschen von Daten;
• Authentifizierung des autorisierten Personals;
• Schutzmaßnahmen für die Dateneingabe in den Speicher sowie für das Lesen, Ändern und Löschen gespeicherter Daten;
• Verwendung eindeutiger Authentifizierungsdaten oder Codes (Passwörter);
• dafür zu sorgen, dass die Eingänge zu Datenverarbeitungsanlagen (die Räume, in denen sich die Computerausrüstung und die dazugehörige Ausrüstung befinden) verschlossen sind;
• automatisches Abmelden von Benutzer-IDs, die über einen längeren Zeitraum nicht verwendet wurden; und
• ein innerhalb der Organisation des Datenimporteurs/Unterauftragsverarbeiters erstellter Nachweis der Eingabegenehmigung; und
• elektronische Erfassung von Einträgen.

Trennung der Verarbeitung für verschiedene Zwecke

Der Datenimporteur/Unterauftragsverarbeiter ergreift geeignete Maßnahmen, um sicherzustellen, dass die für verschiedene Zwecke erhobenen Daten getrennt verarbeitet werden können, einschließlich:

• Der Zugriff auf Daten wird durch Anwendungssicherheit für die entsprechenden Benutzer getrennt;
• Module in der Datenbank des Datenimporteurs/Unterauftragsverarbeiters trennen, welche Daten für welchen Zweck verwendet werden, d. h. nach Funktionalität und Funktion;
• auf Datenbankebene werden Daten in verschiedenen normalisierten Tabellen gespeichert, getrennt nach Modul, Controller-Kunden oder Funktion, die sie unterstützen; und
• Schnittstellen, Batch-Prozesse und Berichte sind nur für bestimmte Zwecke und Funktionen konzipiert, sodass für bestimmte Zwecke gesammelte Daten getrennt verarbeitet werden.

Dokumentation

Der Datenimporteur/Unterauftragsverarbeiter wird die Dokumentation der technischen und organisatorischen Maßnahmen für den Fall von Audits und zur Beweissicherung aufbewahren. Der Datenimporteur/Unterauftragsverarbeiter ergreift angemessene Maßnahmen, um sicherzustellen, dass die von ihm beschäftigten Personen und andere Personen am betreffenden Arbeitsplatz die in dieser Anlage 2 aufgeführten technischen und organisatorischen Maßnahmen kennen und einhalten.

Überwachung

Der Datenimporteur/Unterauftragsverarbeiter trifft geeignete Maßnahmen, um die Zugangsbeschränkungen für die Systemadministratoren des Datenimporteurs/Unterauftragsverarbeiters zu überwachen und sicherzustellen, dass diese gemäß den eingegangenen Anweisungen handeln. Dies wird durch verschiedene Maßnahmen erreicht, darunter:

• individuelle Ernennung von Systemadministratoren;
• Verabschiedung geeigneter Maßnahmen, um die Zugangsprotokolle der Systemadministratoren zur Infrastruktur zu registrieren und sie mindestens sechs Monate lang sicher, korrekt und unverändert aufzubewahren;
• jährliche Prüfungen der Tätigkeit der Systemadministratoren zur Bewertung der Einhaltung der ihnen übertragenen Aufgaben, der vom Datenimporteur/Unterauftragsverarbeiter erhaltenen Anweisungen und der geltenden Gesetze;
• Führung einer aktuellen Liste mit den Identifikationsdaten der Systemadministratoren (z. B. Name, Vorname, Funktion oder Organisationsbereich) und den zugewiesenen Aufgaben und deren unverzügliche Bereitstellung an den Datenexporteur auf Anfrage.

Naumard LTD., Ergänzung zur Datenverarbeitung, Version 1.0