Zusatz zur Datenverarbeitung

Zuletzt geändert: 2. November 2020

Jibe und die Gegenpartei, die diesem Nachtrag zustimmen („Unternehmen“), haben eine Vereinbarung über die Bereitstellung der Auftragsverarbeiterdienste (in der jeweils gültigen Fassung, „Vereinbarung“) getroffen.

Dieser Zusatz zur Datenverarbeitung (einschließlich der Anhänge, „Zusatz zur Datenverarbeitung“) wird von Jibe und dem Unternehmen abgeschlossen und ergänzt die Vereinbarung. Dieser Zusatz zur Datenverarbeitung tritt ab dem Datum des Inkrafttretens in Kraft und ersetzt alle zuvor geltenden Bestimmungen in Bezug auf den Vertragsinhalt (einschließlich der Datenverarbeitungs- und Sicherheitsbestimmungen, die mit den Auftragsverarbeiterdiensten zusammenhängen).

Wenn Sie diesen Zusatz zur Datenverarbeitung im Namen eines Unternehmens akzeptieren, gewährleisten Sie, dass (a) Sie die uneingeschränkte rechtliche Befugnis haben, das Unternehmen an diesen Zusatz zur Datenverarbeitung zu binden, (b) Sie diesen Zusatz zur Datenverarbeitung gelesen und verstanden haben und (c) diesem Zusatz zur Datenverarbeitung im Namen des Unternehmens zustimmen. Wenn Sie nicht die rechtliche Befugnis haben, das Unternehmen an diese Bedingungen zu binden, akzeptieren Sie diesen Zusatz zur Datenverarbeitung nicht.

1. Einführung

Dieser Zusatz zur Datenverarbeitung spiegelt die Vereinbarung der Parteien zu den Bedingungen für die Verarbeitung und Sicherheit personenbezogener Daten von Unternehmen im Zusammenhang mit den europäischen Datenschutzvorschriften und bestimmten außereuropäischen Datenschutzvorschriften wider.

2. Begriffsbestimmungen und Auslegung

2.1 In dieser Ergänzung zur Datenverarbeitung gilt Folgendes:

„Zusätzliches Produkt“ bezeichnet ein Produkt, einen Dienst oder eine Anwendung von Jibe oder einem Drittanbieter, der (a) nicht Teil der Auftragsverarbeiterdienste ist und (b) auf die Benutzeroberfläche der Auftragsverarbeiterdienste zugreifen kann oder anderweitig in die Auftragsverarbeiterdienste integriert ist.

„Zusätzliche Bedingungen für außereuropäische Datenschutzvorschriften“ bezeichnet die zusätzlichen Bestimmungen in Anhang 3, die die Vereinbarung der Parteien zu den Bedingungen für die Verarbeitung bestimmter Daten in Verbindung mit bestimmten außereuropäischen Datenschutzvorschriften widerspiegeln.

„Verbundenes Unternehmen“ bezeichnet eine Rechtspersönlichkeit, die eine Partei direkt oder indirekt kontrolliert, von dieser direkt oder indirekt kontrolliert wird oder mit dieser unter gemeinsamer direkter oder indirekter Kontrolle steht.

Personenbezogene Unternehmensdaten bezeichnet personenbezogene Daten, die von Jibe im Rahmen der Bereitstellung der Auftragsverarbeiterdienste durch Jibe im Auftrag des Unternehmens verarbeitet werden.

„Datenvorfall“ bezeichnet einen Verstoß gegen die Sicherheit von Jibe, der zur versehentlichen oder rechtswidrigen Vernichtung, zum Verlust, zur Änderung, einer nicht autorisierten Offenlegung von oder einem Zugriff auf personenbezogene Daten des Unternehmens auf Systemen führt, die von Jibe verwaltet oder anderweitig kontrolliert werden. Datenvorfälle umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit der personenbezogenen Unternehmensdaten nicht beeinträchtigen, einschließlich fehlgeschlagener Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

„Datenschutzvorschriften“ bezeichnet, je nach Anwendungsfall, (a) die europäischen Datenschutzvorschriften und/oder (b) die außereuropäischen Datenschutzvorschriften.

Tool für betroffene Personen bezeichnet ein Tool (sofern vorhanden), das von einer Jibe-Entität für betroffene Personen bereitgestellt wird, mit dem Jibe direkt und in standardisierter Weise auf bestimmte Anfragen von betroffenen Personen in Bezug auf personenbezogene Daten des Unternehmens reagieren kann (z. B. ein Browser-Plug-in zur Deaktivierung).

„EWR“ bezeichnet den Europäischen Wirtschaftsraum.

„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum kostenlosen Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

„Europäische Datenschutzvorschriften“ bezeichnet, je nach Anwendungsfall, (a) die DSGVO und/oder (b) das Bundesgesetz über den Datenschutz vom 19. Juni 1992 (Schweiz).

„Europäische oder nationale Gesetze“ bezeichnet, je nach Anwendungsfall, (a) das Recht der EU oder der EU-Mitgliedstaaten (wenn die EU-DSGVO für die Verarbeitung von personenbezogenen Daten des Unternehmens gilt) und/oder (b) das Gesetz des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs (wenn die DSGVO des Vereinigten Königreichs für die Verarbeitung von personenbezogenen Unternehmensdaten gilt).

DSGVO bezeichnet, je nach Anwendungsfall, (a) die EU-DSGVO und/oder (b) die DSGVO (Vereinigtes Königreich).

Jibe bezeichnet die Jibe-Rechtspersönlichkeit, die die Partei der Vereinbarung ist.

„Jibe-Affiliate-Unterauftragsverarbeiter“ hat die in Abschnitt 11.1 (Einwilligung zum Engagement von Unterauftragsverarbeitern) angegebene Bedeutung.

„Jibe-Rechtspersönlichkeit“ bezeichnet Jibe Mobile Inc., Jibe Mobile Limited oder andere Partner von Jibe Mobile Inc.

ISO 27001-Zertifizierung bezeichnet die Zertifizierung nach ISO/IEC 27001:2013 oder eine vergleichbare Zertifizierung für die Auftragsverarbeiterdienste.

„Außereuropäische Datenschutzvorschriften“ bezeichnet Gesetze zu Datenschutz oder Privatsphäre, die außerhalb des EWR, der Schweiz und des Vereinigten Königreichs gelten.

„Benachrichtigungs-E-Mail-Adresse“ bezeichnet die E-Mail-Adresse (sofern vorhanden): (i) vom Unternehmen an Jibe oder (ii) über das Unternehmensprofil über die Benutzeroberfläche der Auftragsverarbeiterdienste oder auf andere von Jibe bereitgestellte Mittel, um bestimmte Benachrichtigungen von Jibe zu diesem Zusatz zur Datenverarbeitung zu erhalten. Zur Klarstellung: Es liegt in der Verantwortung des Unternehmens, Jibe eine E-Mail-Adresse für Benachrichtigungen mitzuteilen und Jibe über Aktualisierungen der Benachrichtigungs-E-Mail-Adresse zu informieren.

Auftragsverarbeiterdienste bezeichnet RCS Business Messaging-Dienste (wie unter https://developers.google.com/business-communications/rcs-business-messaging beschrieben)

Sicherheitsdokumentation bezeichnet die ISO 27001-Zertifizierung sowie alle anderen Sicherheitszertifizierungen oder -dokumentationen, die Jibe im Zusammenhang mit den Auftragsverarbeiterdiensten zur Verfügung stellen kann.

„Sicherheitsmaßnahmen“ hat die in Abschnitt 7.1.1 (Sicherheitsmaßnahmen von Jibe) angegebene Bedeutung.

„Standardvertragsklauseln“: Die standardmäßigen Vertragsklauseln der Europäischen Kommission unter https://privacy.google.com/businesses/gdprprocessorterms/sccs. Dies sind Standardbedingungen für den Datenschutz bei der Übertragung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten, wie in Artikel 46 der EU-DSGVO beschrieben.

„Unterauftragsverarbeiter“ bezeichnet Dritte, die gemäß diesem Zusatz zur Datenverarbeitung berechtigt sind, logisch auf personenbezogene Daten des Unternehmens zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste und zugehörigen technischen Support bereitzustellen.

„Aufsichtsbehörde“ bezeichnet, je nach Anwendungsfall, (a) eine „Aufsichtsbehörde“ gemäß der Definition der EU-DSGVO und/oder (b) die „Provision“ gemäß der Definition der UK-DSGVO.

„Laufzeit“ bezeichnet den Zeitraum vom Datum des Inkrafttretens der Bedingungen bis zum Ende der Bereitstellung der Auftragsverarbeiterdienste gemäß der Vereinbarung durch Jibe.

„Datum des Inkrafttretens“ bezeichnet das Datum des Inkrafttretens der Vereinbarung.

Drittanbieter-Unterauftragsverarbeiter hat die in Abschnitt 11.1 (Einwilligung zum Einsatz von Unterauftragsverarbeitern) festgelegte Bedeutung.

DSGVO (Vereinigtes Königreich) bezeichnet die an die Gesetzgebung des Vereinigten Königreichs angepasste und darin integrierte DSGVO für die EU unter Berücksichtigung des UK European Union (Withdrawal) Act 2018 (falls dieser in Kraft ist).

2.2 Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ in dieser Ergänzung zur Datenverarbeitung haben die in der DSGVO festgelegte Bedeutung und die Begriffe Datenimporteur und Datenexporteur haben die in den Standardvertragsklauseln festgelegte Bedeutung.

2.3 Die Begriffe einschließlich, enthalten oder ein ähnlicher Ausdruck werden als illustrativ ausgelegt und schränken nicht den Sinn der Wörter ein, die diesen Begriffen vorangehen. Alle Beispiele in diesem Zusatz zur Datenverarbeitung dienen der Veranschaulichung und sind nicht die einzigen Beispiele für ein bestimmtes Konzept.

2.4 Jeder Verweis auf ein rechtliches Rahmenwerk, Gesetz oder eine sonstige gesetzliche Handlung ist ein Verweis darauf, der von Zeit zu Zeit geändert oder erlassen wird.

2.5 Wenn diese Datenverarbeitungsbedingungen in eine andere Sprache übersetzt werden und es zu Abweichungen zwischen dem englischen Text und dem übersetzten Text kommt, hat der englische Text Vorrang.

3. Dauer dieses Zusatzes zur Datenverarbeitung

Dieser Zusatz zur Datenverarbeitung tritt am Datum des Inkrafttretens der Bedingungen in Kraft und bleibt unabhängig von der Laufzeit der Vereinbarung in Kraft, bis alle personenbezogenen Daten des Unternehmens wie in diesem Zusatz zur Datenverarbeitung beschrieben von Jibe gelöscht werden.

4. Anwendung dieses Zusatzes zur Datenverarbeitung

4.1 Anwendbarkeit der europäischen Datenschutzvorschriften. Paragraf 5 (Verarbeitung von Daten) bis 12 (Kontaktaufnahme mit Jibe; Verarbeitung von Datensätzen) (einschließlich) gilt nur in dem Maße, in dem die europäischen Datenschutzvorschriften auf die Verarbeitung personenbezogener Unternehmensdaten anwendbar sind. Dazu gehören:

(a) die Verarbeitung im Rahmen einer Unternehmenseinrichtung im EWR oder im Vereinigten Königreich liegt und/oder

(b) Personenbezogene Daten von Unternehmen sind personenbezogene Daten von betroffenen Personen im EWR oder im Vereinigten Königreich und die Verarbeitung bezieht sich auf das Angebot von Waren oder Dienstleistungen oder die Überwachung ihres Verhaltens im EWR oder im Vereinigten Königreich.

4.2 Anwendung an Auftragsverarbeiterdienste. Dieser Zusatz zur Datenverarbeitung gilt nur für die Auftragsverarbeiterdienste, für die die Parteien diesem Zusatz zur Datenverarbeitung zugestimmt haben (z. B. (a) für die Auftragsverarbeiterdienste, für die das Unternehmen diesen Zusatz zur Datenverarbeitung angeklickt hat; oder (b) wenn die Vereinbarung diesen Zusatz zur Datenverarbeitung durch Verweis in die Vereinbarung aufnimmt.

4.3 Einbeziehung zusätzlicher Bestimmungen für außereuropäische Datenschutzvorschriften. Die zusätzlichen Bedingungen für außereuropäische Datenschutzvorschriften ergänzen diese Datenverarbeitungsbedingungen.

5. Verarbeitung von Daten

5.1 Rollen und Compliance mit gesetzlichen Bestimmungen; Autorisierung.

5.1.1 Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Parteien bestätigen und stimmen Folgendem zu:

(a) In Anhang 1 werden der Gegenstand und die Details zur Verarbeitung personenbezogener Unternehmensdaten beschrieben;

(b) Jibe ist ein Auftragsverarbeiter von personenbezogenen Daten des Unternehmens gemäß den europäischen Datenschutzvorschriften;

(c) Das Unternehmen ist, sofern zutreffend, ein Verantwortlicher oder Auftragsverarbeiter von personenbezogenen Unternehmensdaten gemäß den europäischen Datenschutzvorschriften; und

(d) wird jede Partei die für sie geltenden Verpflichtungen gemäß den europäischen Datenschutzvorschriften in Bezug auf die Verarbeitung von personenbezogenen Unternehmensdaten einhalten.

5.1.2 Autorisierung durch einen Dritten als Verantwortlicher. Wenn das Unternehmen ein Auftragsverarbeiter ist, garantiert das Unternehmen gegenüber Jibe, dass die Anweisungen und Maßnahmen des Unternehmens in Bezug auf personenbezogene Daten des Unternehmens, einschließlich der Ernennung von Jibe als weiterer Auftragsverarbeiter, vom entsprechenden Verantwortlichen genehmigt wurden.

5.2 Anweisungen des Unternehmens. Durch die Zustimmung zu diesem Zusatz zur Datenverarbeitung weist das Unternehmen Jibe an, die personenbezogenen Daten des Unternehmens nur in Übereinstimmung mit dem anwendbaren Recht zu verarbeiten: (a) um die Auftragsverarbeiterdienste und zugehörigen technischen Support bereitzustellen; (b) wie durch die Nutzung der Dienste des Auftragsverarbeiters durch das Unternehmen (einschließlich in den Einstellungen und anderen Funktionen des Auftragsverarbeiters) genauer angegeben; und jeglichen zugehörigen technischen Support; (c) wie in dieser Dokumentation

5.3 Jibes Einhaltung der Weisungen. Jibe wird die Anweisungen in Abschnitt 5.2 (Anweisungen des Unternehmens) befolgen (einschließlich in Bezug auf Datenübertragungen), es sei denn, europäische oder nationale Gesetze, denen Jibe unterliegt, verlangen eine andere Verarbeitung personenbezogener Unternehmensdaten durch Jibe.

5.4 Zusätzliche Produkte. Wenn das Unternehmen ein zusätzliches Produkt verwendet, können die Auftragsverarbeiterdienste zulassen, dass dieses zusätzliche Produkt auf personenbezogene Daten des Unternehmens zugreift, die für die Interaktion des zusätzlichen Produkts mit den Auftragsverarbeiterdiensten erforderlich sind. Dieser Zusatz zur Datenverarbeitung gilt nicht für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung eines zusätzlichen, vom Unternehmen verwendeten Produkts, einschließlich personenbezogener Daten, die an oder von diesem zusätzlichen Produkt übertragen werden.

6. Datenlöschung

6.1 Löschen während der Laufzeit.

6.1.1 Auftragsverarbeiterdienste mit Löschfunktion. Wenn während der Laufzeit:

(a) die Funktionalität der Auftragsverarbeiterdienste die Option für das Unternehmen umfasst, personenbezogene Daten des Unternehmens zu löschen,

(b) Das Unternehmen verwendet die Auftragsverarbeiterdienste, um bestimmte personenbezogene Daten des Unternehmens zu löschen.

(c) die gelöschten personenbezogenen Daten des Unternehmens nicht wiederhergestellt werden können (z. B. aus dem Papierkorb),

wird Jibe solche personenbezogenen Daten des Unternehmens so schnell wie nach vernünftigem Ermessen möglich aus dem System löschen, es sei denn, europäisches oder nationales Recht verlangt eine Speicherung.

6.1.2 Auftragsverarbeiterdienste ohne Löschfunktion. Wenn die Funktionalität der Auftragsverarbeiterdienste während der Laufzeit keine Option für das Unternehmen umfasst, personenbezogene Daten des Unternehmens zu löschen, hält Jibe angemessene Anfragen von dem Unternehmen ein, um eine solche Löschung zu ermöglichen, soweit dies möglich ist, wobei die Art und Funktionalität der Auftragsverarbeiterdienste berücksichtigt werden kann. Jibe kann eine Gebühr (basierend auf den angemessenen Kosten von Jibe) für das Löschen von Daten gemäß diesem Abschnitt 6.1.2 (Auftragsverarbeiterdienste ohne Löschfunktion) erheben. Jibe wird dem Unternehmen weitere Details zu den anfallenden Gebühren und deren Berechnung bereitstellen, bevor solche Daten gelöscht werden.

6.2 Löschen der Laufzeit. Nach Ablauf der Laufzeit weist das Unternehmen Jibe an, alle personenbezogenen Daten des Unternehmens (einschließlich vorhandener Kopien) gemäß den geltenden Gesetzen aus den Systemen von Jibe zu löschen. Jibe wird dieser Anweisung sobald wie möglich nachkommen, sofern keine europäischen oder nationalen Gesetze eine Aufbewahrung vorschreiben.

7. Datensicherheit

7.1 Jibes Sicherheitsmaßnahmen und Unterstützung.

7.1.1 Jibes Sicherheitsmaßnahmen. Jibe wird technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten des Unternehmens vor zufälliger oder unrechtmäßiger Löschung, Verlust, nicht autorisierter Offenlegung oder unbefugtem Zugriff zu schützen, wie in Anhang 2 (die Sicherheitsmaßnahmen) beschrieben. Jibe kann die Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, vorausgesetzt, dass diese Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der Sicherheit des Dienstes insgesamt führen.

7.1.2 Die Sicherheitscompliance durch Jibe Staff.Jibe gewährleistet, dass sich alle Personen, die zur Verarbeitung personenbezogener Daten des Unternehmens autorisiert sind, zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitspflicht unterliegen.

7.1.3 Jibes Sicherheitsunterstützung. Das Unternehmen erklärt sich damit einverstanden, dass Jibe das Unternehmen dabei unterstützt, die Einhaltung von Verpflichtungen des Unternehmens in Bezug auf die Sicherheit personenbezogener Daten und Datenpannen zu gewährleisten (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Unternehmens und der für Jibe verfügbaren Informationen), einschließlich (sofern zutreffend) der Verpflichtungen des Unternehmens gemäß den Artikeln 32 bis 34 (einschließlich) der DSGVO, durch:

(a) Implementierung und Aufrechterhaltung der Sicherheitsmaßnahmen gemäß Abschnitt 7.1.1 (Jibes Sicherheitsmaßnahmen);

(b) Einhaltung der Bestimmungen in Abschnitt 7.2 (Datenvorfälle) und

(c) Bereitstellung der Sicherheitsdokumentation an das Unternehmen gemäß Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation) und der Informationen in dieser Ergänzung zur Datenverarbeitung.

7.2 Datenvorfälle.

7.2.1 Benachrichtigung über Vorfälle. Wenn Jibe auf einen Datenvorfall aufmerksam wird, wird Jibe: (a) das Unternehmen unverzüglich und ohne unangemessene Verzögerung über den Datenvorfall informieren und (b) umgehend angemessene Schritte unternehmen, um Schaden zu minimieren und personenbezogene Daten des Unternehmens zu schützen.

7.2.2 Details zu Datenvorfällen. Benachrichtigungen gemäß Abschnitt 7.2.1 (Vorfallbenachrichtigung) beschreiben so weit wie möglich Details zum Datenvorfall, einschließlich der Schritte, die zur Behebung der potenziellen Risiken ergriffen wurden, und Maßnahmen, die Jiu empfiehlt, um dem Datenvorfall zu begegnen.

7.2.3 Zustellung der Benachrichtigung. Jibe sendet die Benachrichtigung über jegliche Datenvorfälle an die Benachrichtigungs-E-Mail-Adresse oder nach eigenem Ermessen (auch wenn das Unternehmen keine Benachrichtigungs-E-Mail-Adresse angegeben hat) durch andere direkte Kommunikation (z. B. per Telefon oder durch ein persönliches Treffen). Das Unternehmen ist allein für die Bereitstellung der Benachrichtigungs-E-Mail-Adresse und die Gewährleistung verantwortlich, dass die Benachrichtigungs-E-Mail-Adresse aktuell und gültig ist.

7.2.4 Benachrichtigungen von Dritten. Das Unternehmen ist allein für die Einhaltung der für das Unternehmen geltenden Gesetze zur Benachrichtigung von Vorfällen und der Erfüllung aller Verpflichtungen von Dritten zur Benachrichtigung in Bezug auf Datenvorfälle verantwortlich.

7.2.5 Keine Bestätigung des Fehlers durch Jibe.Jibe bezüglich eines Datenvorfalls gemäß diesem Abschnitt 7.2 (Datenvorfälle) gilt nicht als Bestätigung eines Fehlers oder einer Haftung in Bezug auf den Datenvorfall.

7.3 Sicherheitsverantwortung und -bewertung des Unternehmens.

7.3.1 Zuständigkeiten des Unternehmens für die Sicherheit. Das Unternehmen stimmt unbeschadet der Verpflichtungen aus Jibe gemäß Abschnitt 7.1 (Jibes Sicherheitsmaßnahmen und Unterstützung) und 7.2 (Datenvorfälle) zu,

(a) Das Unternehmen ist für seine Nutzung der Auftragsverarbeiterdienste verantwortlich, einschließlich:

(i) die ordnungsgemäße Nutzung der Auftragsverarbeiterdienste, um ein angemessenes Sicherheitsniveau zu gewährleisten, das dem Risiko für personenbezogene Daten des Unternehmens angemessen ist, und

(ii) der Schutz der Anmeldedaten, Systeme und Geräte zur Kontoauthentifizierung, die das Unternehmen für den Zugriff auf die Auftragsverarbeiterdienste verwendet, und

(b) Jibe ist nicht verpflichtet, personenbezogene Daten des Unternehmens zu schützen, die das Unternehmen außerhalb von Jibe und seinen Systemen von Unterauftragsverarbeitern speichert oder überträgt.

7.3.2 Sicherheitsbewertung des Unternehmens. Das Unternehmen erkennt an und stimmt zu, dass die von Jibe in Abschnitt 7.1.1 (Sicherheitsmaßnahmen von Jibe) implementierten und verwalteten Sicherheitsmaßnahmen unter Berücksichtigung des Standes der Technik, der Kosten der Implementierung, der Art der Anwendung, des Umfangs, des Kontexts und der Zwecke der Verarbeitung personenbezogener Unternehmensdaten sowie der Risiken für Einzelpersonen ein dem Unternehmen angemessenes Sicherheitsniveau bieten.

7.4 Sicherheitszertifizierung. Jibe wird die ISO 27001-Zertifizierung aufrechterhalten, um die kontinuierliche Wirksamkeit der Sicherheitsmaßnahmen zu gewährleisten.

7.5 Überprüfungen und Compliance-Audits.

7.5.1 Überprüfung der Sicherheitsdokumentation. Jibe stellt die Sicherheitsdokumentation zur Überprüfung durch den Kunden zur Verfügung, um die Einhaltung der Verpflichtungen aus diesem Zusatz zur Datenverarbeitung durch Jibe zu demonstrieren.

7.5.2 Auditrechte des Unternehmens.

(a) Jibe gestattet dem Unternehmen oder einem vom Unternehmen beauftragten externen Prüfer, Audits (einschließlich Inspektionen) durchzuführen, um zu bestätigen, dass Jibe seine Verpflichtungen gemäß diesem Zusatz zur Datenverarbeitung gemäß Abschnitt 7.5.3 (Zusätzliche Geschäftsbedingungen für Audits) erfüllt.

(b) Wenn die Standardvertragsklauseln unter Abschnitt 10.2 (Datenübermittlungen) gelten, ermöglicht Jibe der Gesellschaft oder einem vom Unternehmen beauftragten externen Prüfer, Audits wie in den Standardvertragsklauseln gemäß Abschnitt 7.5.3 (Zusätzliche Geschäftsbedingungen für Audits) beschrieben durchzuführen.

(c) können auch einen Audit durchführen, um sich zu vergewissern, dass Jibe seine Verpflichtungen gemäß diesem Zusatz zur Datenverarbeitung einhält. Sehen Sie sich dazu das Zertifikat für die ISO 27001-Zertifizierung an, das das Ergebnis eines Audits durch einen externen Prüfer widerspiegelt.

7.5.3 Zusätzliche Geschäftsbedingungen für Audits

(a) Das Unternehmen wird einen Antrag auf Prüfung gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) an Jibe senden, wie in Abschnitt 12.1 (Kontaktaufnahme mit Jibe) beschrieben.

(b) Nach Eingang einer Anfrage gemäß Paragraf 7.5.3(a) vereinbaren Jibe und das Unternehmen vorab ein angemessenes Startdatum, den Umfang und die Dauer von Sicherheits- und Vertraulichkeitskontrollen, die für jede Prüfung gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) gelten.

(c) Jibe kann für jede Prüfung gemäß Abschnitt 7.5.2 (a) oder 7.5.2(b) eine Gebühr(basierend auf den angemessenen Kosten von Jibe) verlangen. Vor einer solchen Prüfung teilt Jibe der Gesellschaft weitere Details zu allen anfallenden Gebühren und deren Berechnungsgrundlage mit. Das Unternehmen ist für alle Gebühren verantwortlich, die von einem vom Unternehmen beauftragten externen Prüfer erhoben werden.

(d) Jib kann Widerspruch gegen einen von dem Unternehmen beauftragten externen Prüfer einlegen, um einen Audit gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) durchzuführen, wenn der Prüfer nach angemessener Einschätzung von Jibe nicht angemessen qualifiziert oder unabhängig, ein Mitbewerber von Jibe oder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Einwand von Jibe muss das Unternehmen einen anderen Prüfer ernennen oder die Prüfung selbst durchführen.

(e) Nichts in diesem Zusatz zur Datenverarbeitung verpflichtet Jibe dazu, dem Unternehmen oder einem unabhängigen Prüfer Zugriff zu gewähren oder dem Unternehmen oder dessen externen Prüfer Zugriff zu gewähren auf:

(i) Daten eines anderen Kunden einer Jibe-Rechtspersönlichkeit;

(ii) interne Buchhaltungs- oder Finanzdaten der Jibe-Rechtspersönlichkeit;

(iii) Geschäftsgeheimnisse einer Jibe-Rechtspersönlichkeit;

und

(v) Informationen, auf die das Unternehmen oder ein externer Prüfer aus anderen Gründen als die Erfüllung der Verpflichtungen des Unternehmens gemäß den europäischen Datenschutzvorschriften zugreifen möchte.

7.5.4 Keine Änderung von Standardvertragsklauseln. Wenn die Standardvertragsklauseln unter Abschnitt 10.2 (Übertragung von Daten) gelten, ändert sich nichts in diesem Abschnitt 7.5 (Überprüfungen und Compliance-Audits) in Bezug auf die Rechte oder Verpflichtungen des Unternehmens oder Jibe gemäß den Standardvertragsklauseln.

8. Folgenabschätzungen und Beratungen

Das Unternehmen erklärt sich damit einverstanden, dass Jibe das Unternehmen bei der Einhaltung von Verpflichtungen in Bezug auf Datenschutz-Folgenabschätzungen und vorheriger Beratung (unter Berücksichtigung der Art der Verarbeitung und der für Jibe verfügbaren Informationen) unterstützt, einschließlich (sofern zutreffend) der Verpflichtungen des Unternehmens gemäß den Artikeln 35 und 36 der DSGVO durch:

(a) Bereitstellung der Sicherheitsdokumentation gemäß Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation);

(b) die Bereitstellung der in diesem Zusatz zur Datenverarbeitung enthaltenen Informationen und

(c) die Bereitstellung oder sonstige Bereitstellung von Materialien in Übereinstimmung mit den Standardverfahren von Jibe oder andere Materialien, die sich auf die Art der Auftragsverarbeiterdienste und die Verarbeitung von personenbezogenen Unternehmensdaten beziehen (z. B. Hilfematerialien).

9. Rechte betroffener Personen

9.1 Antworten auf Anfragen betroffener Personen. Wenn Jibe eine Anfrage von einer betroffenen Person in Bezug auf personenbezogene Daten des Unternehmens erhält, wird Jibe:

(a) Wenn die Anfrage über das Tool für betroffene Personen gestellt wird, sollten Sie direkt auf den Antrag der betroffenen Person antworten, sofern dies mit der Standardfunktionalität des Tools der betroffenen Person übereinstimmt.

(b) Sollte die Anfrage nicht über ein Tool für betroffene Personen gestellt werden, raten Sie der betroffenen Person, ihre Anfrage an das Unternehmen zu senden. Das Unternehmen ist dann für die Beantwortung einer solchen Anfrage verantwortlich.

9.2 Jibes Hilfe bei Anfragen von betroffenen Personen. Das Unternehmen erklärt sich damit einverstanden, dass Jibe das Unternehmen bei der Erfüllung der Verpflichtungen des Unternehmens in Bezug auf die Beantwortung von Anfragen betroffener Personen unterstützt (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Unternehmens und, falls zutreffend), Artikel 11 der DSGVO, einschließlich (sofern zutreffend) der Verpflichtung des Unternehmens, auf die Ausübung der Rechte der betroffenen Person in Kapitel III der DSGVO zu reagieren, durch:

(a) die Bereitstellung der Funktionen der Auftragsverarbeiterdienste

(b) Einhaltung der Verpflichtungen in Paragraf 9.1 (Antworten auf Anfragen betroffener Personen) und

(c) falls zutreffend für die Auftragsverarbeiterdienste, die Tools der betroffenen Person zur Verfügung stellen.

10. Datenübertragungen

10.1 Einrichtungen zur Datenspeicherung und -verarbeitung. Das Unternehmen stimmt zu, dass Jibe vorbehaltlich Paragraf 10.2 (Datenübertragungen) personenbezogene Daten des Unternehmens in jedem Land speichern und verarbeiten darf, in dem Jibe oder ein Unterauftragsverarbeiter Einrichtungen hat.

10.2 Übertragung von Daten.

Wenn die Speicherung und/oder Verarbeitung von personenbezogenen Unternehmensdaten eine Übertragung von personenbezogenen Unternehmensdaten aus dem EWR, der Schweiz oder dem Vereinigten Königreich in ein Drittland umfasst, das keinem Angemessenheitsbeschluss gemäß den europäischen Datenschutzvorschriften unterliegt:

(a) Es wird davon ausgegangen, dass das Unternehmen (als Datenexporteur) die Standardvertragsklauseln mit Jibe als Datenimporteur abgeschlossen hat.

(b) unterliegen die Übertragungen den Standardvertragsklauseln; und

(c) Verweise auf Google LLC und den Kunden in den Standardvertragsklauseln sind Jibe bzw. das Unternehmen.

10.3 Informationen zu Rechenzentren. Informationen zu den Rechenzentren von Google finden Sie unter www.google.com/about/datacenters/locations/index.html.

11. Unterauftragsverarbeiter

11.1 Zustimmung zur Beschäftigung von Unterauftragsverarbeitern. Das Unternehmen autorisiert ausdrücklich die Beteiligung der verbundenen Unternehmen von Jibe als Unterauftragsverarbeiter („Jibe-Unterauftragnehmer zur Datenverarbeitung“). Außerdem autorisiert das Unternehmen generell die Beteiligung anderer Dritter als Unterauftragsverarbeiter („Unterauftragsverarbeiter der Drittparteien“). Wenn die Standardvertragsklauseln unter Abschnitt 10.2 („Datenübermittlungen“ gelten) stellen die oben genannten Autorisierungen der Daten der Gesellschaft durch die oben beschriebene Genehmigung der Gesellschaft die persönliche Datenverarbeitung der Gesellschaft dar.

11.2 Informationen zu Unterauftragsverarbeitern. Auf Anfrage des Unternehmens stellt Jube Informationen zu Unterauftragsverarbeitern und deren Standorten bereit. Solche Anfragen müssen über die in Abschnitt 12.1 (Jiba kontaktieren) angegebenen Kontaktdaten an Jibe gesendet werden.

11.3 Voraussetzungen für die Beschäftigung von Unterauftragsverarbeitern. Bei der Beauftragung eines Unterauftragsverarbeiters wird Jibe:

(a) durch einen schriftlichen Vertrag sicherstellen, dass

(i) der Unterauftragsverarbeiter nur auf die personenbezogenen Daten des Unternehmens zugreift und diese verwendet, soweit dies erforderlich ist, um die ihm übertragenen Verpflichtungen zu erfüllen, und dies in Übereinstimmung mit der Vereinbarung (einschließlich dieses Zusatzes zur Datenverarbeitung) und, sofern anwendbar, gemäß Abschnitt 10.2 (Datenübermittlungen) geschieht, und

(ii) wenn die DSGVO für die Verarbeitung von personenbezogenen Daten des Unternehmens gilt, werden dem Unterauftragsverarbeiter die Datenschutzverpflichtungen aus Artikel 28(3) der DSGVO auferlegt.

(b) voll für alle Verpflichtungen haften, die dem Unterauftragsverarbeiter übertragen werden, sowie für alle Handlungen und Unterlassungen des Unterauftragsverarbeiters.

11.4 Möglichkeit des Widerspruchs gegen Änderungen bei Unterauftragsverarbeitern

(a) Wenn während der Laufzeit ein neuer Dritter Unterauftragsverarbeiter beauftragt wird, informiert Jibe das Unternehmen über die Beschäftigung (einschließlich des Namens und des Standorts des entsprechenden Unterauftragsverarbeiters und der von ihm ausgeführten Aktivitäten), indem mindestens 30 Tage vor der Verarbeitung der personenbezogenen Daten des neuen Dritten ein Auftragsverarbeiter an die Benachrichtigungs-E-Mail-Adresse gesendet wird.

(b) Das Unternehmen kann gegen jeden neuen dritten Unterauftragsverarbeiter Widerspruch einlegen, indem es die Vereinbarung unverzüglich nach schriftlicher Mitteilung an Jibe kündigt, vorausgesetzt, das Unternehmen stellt eine solche Mitteilung innerhalb von 90 Tagen nach der Information über den Einsatz des neuen dritten Unterauftragsverarbeiters bereit, wie in Abschnitt 11.4(a) beschrieben. Dieses Kündigungsrecht ist das einzige und ausschließliche Rechtsmittel des Unternehmens, wenn das Unternehmen einem neuen Drittunterauftragsverarbeiter widerspricht.

12. Jibe kontaktieren; Datensätze verarbeiten

12.1 Kontakt mit Jibe. Das Unternehmen kann Jibe im Zusammenhang mit diesem Zusatz zur Datenverarbeitung über den RCS-Datenschutzkontakt von Jibe kontaktieren, der über http://issuetracker.google.com oder auf andere von Jibe gelegentlich zur Verfügung gestellte Weise erreichbar ist.

12.2 Jibes Datenverarbeitungsunterlagen. Das Unternehmen erkennt an, dass Jibe gemäß der DSGVO verpflichtet ist, (a) bestimmte Daten zu erfassen und zu verwalten, einschließlich des Namens und der Kontaktdaten der Auftragsverarbeiter und/oder der Verantwortlichen, in deren Namen Jibe handelt, und (b) gegebenenfalls dem zuständigen Vertreter und Datenschutzbeauftragten des Auftragsverarbeiters oder (b) diese Informationen einer Aufsichtsbehörde zur Verfügung zu stellen. Dementsprechend stellt das Unternehmen Jibe, soweit angefordert und zutreffend, diese Informationen über die Benutzeroberfläche der Auftragsverarbeiterdienste oder auf andere von Jibe bereitgestellte Mittel bereit und verwendet diese Benutzeroberfläche oder andere Mittel, um sicherzustellen, dass alle bereitgestellten Informationen korrekt und aktuell sind.

13. Haftung

13.1 Haftungsobergrenze.Ungeachtet anderer Bestimmungen in der Vereinbarung ist die Gesamthaftung einer Partei gegenüber der anderen Partei im Rahmen oder im Zusammenhang mit diesem Zusatz zur Datenverarbeitung auf den maximalen monetären oder zahlungsbasierten Betrag beschränkt, in dem die Haftung dieser Partei gemäß der Vereinbarung gedeckelt ist (der Ausschluss von Vertraulichkeits- oder Haftungsausschlüssen der europäischen Haftungsfreistellung gilt nicht für Haftungsfreistellungen gemäß europäischem Datenschutzrecht). Durch keinen Inhalt dieses Paragrafen 13 (Haftung) wird die Haftung der beiden Parteien für Folgendes ausgeschlossen oder begrenzt: (a) Tod oder Personenschäden infolge von Fahrlässigkeit oder Fahrlässigkeit ihrer Mitarbeiter oder Vertreter; (b) Betrug oder betrügerische Falschdarstellung oder (c) Angelegenheiten, für die die Haftung gemäß geltendem Recht nicht ausgeschlossen oder begrenzt werden kann.

13.2 Haftung bei Anwendung der Standardvertragsklauseln. Wenn die Standardvertragsklauseln unter Abschnitt 10.2 (Datenübermittlungen) gelten, unterliegt die Gesamthaftung jeder Partei und ihrer verbundenen Unternehmen gegenüber der anderen Partei und ihren verbundenen Unternehmen im Rahmen dieser Vereinbarung und der Standardvertragsklauseln dem Paragrafen 13.1 (Haftungsobergrenze).

14. Begünstigte Dritte

Wenn das verbundene Unternehmen einer Partei eine Partei der Standardvertragsklauseln ist, die gemäß Abschnitt 10.2 (Übertragung von Daten) gelten, dann ist der Affiliate ein begünstigter Dritter aus Paragraf 6.2 (Löschung nach Ablauf der Laufzeit), 7.5 (Überprüfungen und Compliance-Audits), 9.1 (Reaktion auf betroffene Personen) und 1.2. Soweit Paragraf 14 (Begünstigte Dritte) in Konflikt steht oder mit anderen Klauseln der Vereinbarung in Konflikt steht, gilt Paragraf 14 (Begünstigte Dritte).

15. Auswirkungen dieses Zusatzes zur Datenverarbeitung

Im Fall eines Konflikts oder einer Inkonsistenz zwischen den Standardvertragsklauseln, den zusätzlichen Bedingungen für außereuropäische Datenschutzvorschriften, diesem Zusatz zur Datenverarbeitung und der übrigen Vereinbarung gilt die folgende Rangfolge:

(a) die Standardvertragsklauseln;

(b) die zusätzlichen Bedingungen für außereuropäische Datenschutzvorschriften;

(c) die verbleibenden Bestimmungen dieser Datenverarbeitungsbedingungen und

(d) den Rest der Vereinbarung.

Wenn diese Vereinbarung (einschließlich etwaiger Ergänzungen) in eine andere Sprache übersetzt wird und der übersetzte Text nicht mit dem englischen Text in Konflikt steht oder nicht übereinstimmt, ist der englische Text maßgeblich.

Vorbehaltlich der Änderungen in diesem Zusatz zur Datenverarbeitung bleibt die Vereinbarung uneingeschränkt wirksam.

16. Änderungen an diesem Zusatz zur Datenverarbeitung

16.1 URL-Änderungen

16.2 Änderungen an den Datenverarbeitungsbedingungen. Jibe kann diesen Zusatz zur Datenverarbeitung ändern, wenn die Änderung:

(a) gemäß diesem Zusatz zur Datenverarbeitung, einschließlich der in Paragraf 16.1 (Änderungen an URLs) beschriebenen, ist dies ausdrücklich zulässig.

(b) Änderung des Namens oder der Form einer juristischen Person;

(c) erforderlich ist, um anwendbares Recht, anwendbare Vorschriften, Gerichtsentscheidungen oder Vorgaben einzuhalten, die von einer staatlichen Regulierungsbehörde oder Regierungsbehörde erlassen wurden; oder

(d) (i) keine Beeinträchtigung der Sicherheit der Auftragsverarbeiterdienste insgesamt; (ii) eine Erweiterung des Umfangs oder die Entfernung von Einschränkungen (x) für die zusätzlichen Bedingungen für außereuropäische Datenschutzvorschriften; die Rechte von Jibe zur Nutzung oder anderweitigen Verarbeitung der Daten im Rahmen der zusätzlichen Bestimmungen für oder

16.3 Benachrichtigung über Änderungen. Wenn Jibe beabsichtigt hat, diese Ergänzung zur Datenverarbeitung gemäß Abschnitt 16.2(c) oder (d) zu ändern, informiert Jibe das Unternehmen mindestens 30 Tage (oder eine kürzere Frist, die gegebenenfalls zur Einhaltung anwendbarer Gesetze, geltender Vorschriften, einer Gerichtsentscheidung oder einer von einer staatlichen Regulierungsbehörde erlassenen Anweisung) erforderlich ist, bevor die Änderung entweder: (a) durch Senden einer E-Mail an die Benachrichtigungsgesellschaft oder Wenn das Unternehmen einer solchen Änderung widerspricht, kann das Unternehmen die Vereinbarung durch eine schriftliche Mitteilung an Jibe innerhalb von 90 Tagen nach der Information durch Jibe über die Änderung kündigen.

Anhang 1: Gegenstand und Details der Datenverarbeitung

Vertragsinhalt

Jibes Bereitstellung der Auftragsverarbeiterdienste und damit zusammenhängender technischer Support für das Unternehmen

Dauer der Verarbeitung

Die Laufzeit zuzüglich des Zeitraums vom Ablauf der Laufzeit bis zum Löschen aller personenbezogenen Daten des Unternehmens durch Jibe gemäß diesem Zusatz zur Datenverarbeitung.

Art und Zweck der Verarbeitung

Jibe verarbeitet die personenbezogenen Daten des Unternehmens zum Zweck der Bereitstellung der Auftragsverarbeiterdienste und des damit verbundenen technischen Supports für das Unternehmen gemäß diesem Datenverarbeitungszusatz (einschließlich der Nutzungsbedingungen für die Auftragsverarbeiterdienste und die in Abschnitt 5.2 (Anleitung des Unternehmens) beschriebenen Anleitungen) zum Erfassen, Aufzeichnen, Organisieren, Strukturieren, Speichern, Ändern, Abrufen, Verwenden, Offenlegen, Kombinieren, Löschen und Löschen von personenbezogenen Daten.

Arten personenbezogener Daten

Personenbezogene Daten, die sich auf natürliche Personen beziehen, die Jibe über die Verarbeitungsdienste durch (oder auf Anweisung des) Unternehmens oder der Endnutzer des Unternehmens zur Verfügung gestellt werden.

Kategorien betroffener Personen

Betroffene Personen sind Personen, über die Jibe über die Verarbeitungsdienste von (oder auf Anweisung des) Unternehmens oder der Endnutzer des Unternehmens Daten erhält.

Anhang 2: Sicherheitsmaßnahmen

Ab dem Datum des Inkrafttretens der Bestimmungen implementiert und pflegt Jibe die Sicherheitsmaßnahmen in diesem Anhang 2. Jibe kann diese Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der Sicherheit der Auftragsverarbeiterdienste insgesamt führen.

1. Rechenzentrums- und Netzwerksicherheit

(a) Rechenzentren.

Infrastruktur. Jibe unterhält geografisch verteilte Rechenzentren. Jibe speichert alle Produktionsdaten in physisch sicheren Rechenzentren.

Redundanz. Infrastruktursysteme wurden entwickelt, um Single Points of Failure zu eliminieren und die Auswirkungen der zu erwartenden Umweltrisiken zu minimieren. Dual-Schaltkreise, Switches, Netzwerke oder andere erforderliche Geräte tragen zu dieser Redundanz bei. Die Auftragsverarbeiterdienste sind so konzipiert, dass Jibe bestimmte Arten der vorbeugenden und korrektiven Wartung ohne Unterbrechung durchführen kann. Für alle Umgebungsgeräte und -einrichtungen sind Verfahren zur vorbeugenden Wartung dokumentiert, die den Prozess und die Häufigkeit der Leistung gemäß den Hersteller- oder internen Spezifikationen detailliert beschreiben. Die präventive und korrektive Wartung der Rechenzentrumsausrüstung wird durch einen Standardprozess gemäß dokumentierten Verfahren geplant.

Stromversorgung. Die Stromversorgungssysteme der Rechenzentren sind redundant ausgelegt und können ohne Beeinträchtigung des Dauerbetriebs rund um die Uhr (24 Stunden am Tag und 7 Tage die Woche) betrieben werden. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum eine primäre und eine alternative Stromquelle mit jeweils gleicher Kapazität bereitgestellt. Die Notstromversorgung erfolgt über verschiedene Mechanismen, z. B. durch unterbrechungsfreie Stromversorgungsbatterien (USV), die bei Stromausfällen, Stromausfällen, Überspannung, Unterspannung und Frequenz-Toleranzüberschreitungen eine durchgängig zuverlässige Stromabsicherung gewährleisten. Falls die Stromversorgung des Energieversorgers unterbrochen wird, ist die Notstromversorgung so ausgelegt, dass das Rechenzentrum bis zu 10 Minuten lang mit voller Kapazität versorgt wird, bis die Dieselgeneratorsysteme übernehmen. Die Dieselgeneratoren sind in der Lage, innerhalb von Sekunden automatisch hochzufahren, um genügend Notstrom bereitzustellen, um das Rechenzentrum in der Regel über einen Zeitraum von Tagen mit voller Kapazität zu betreiben.

Server-Betriebssysteme. Jibe-Server verwenden gehärtete Betriebssysteme, die an die besonderen Serveranforderungen des Unternehmens angepasst sind. Die Daten werden mit proprietären Algorithmen gespeichert, um die Datensicherheit und Redundanz zu erhöhen. Jibe verwendet einen Codeüberprüfungsprozess, um die Sicherheit des Codes für die Bereitstellung der Auftragsverarbeiterdienste zu erhöhen und die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.

Geschäftskontinuität. Jibe repliziert Daten über mehrere Systeme, um eine versehentliche Zerstörung oder einen versehentlichen Verlust zu verhindern. Jibe hat seine Programme zur Aufrechterhaltung des Geschäftsbetriebs und zur Notfallwiederherstellung regelmäßig entwickelt und getestet.

(b) Netzwerke und Übertragung.

Datenübertragung. Rechenzentren sind in der Regel über private Hochgeschwindigkeitsverbindungen verbunden, um eine sichere und schnelle Datenübertragung zwischen Rechenzentren zu ermöglichen. Dies soll verhindern, dass Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträger ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden. Jibe überträgt Daten über Internet-Standardprotokolle.

Externe Angriffsfläche. Jibe verwendet mehrere Ebenen von Netzwerkgeräten und Einbruchserkennung, um seine externe Angriffsfläche zu schützen. Jibe berücksichtigt potenzielle Angriffsvektoren und bindet geeignete, speziell entwickelte Technologien in von außen erreichbare Systeme ein.

Intrusion Detection. Die Angriffserkennung soll Einblicke in laufende Angriffsaktivitäten geben und angemessene Informationen für die Reaktion auf Vorfälle bereitstellen. Die Angriffserkennung von Jibe umfasst:

1. Die strenge Kontrolle der Größe und des Aufbaus von Jibes Angriffsfläche durch vorbeugende Maßnahmen;

2. Intelligente Erkennungskontrollen an Dateneingabepunkten; und

3. Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch beheben.

Reaktion bei Vorfällen. Jibe überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle und das Sicherheitspersonal von Jibe reagiert umgehend auf bekannte Vorfälle.

Verschlüsselungstechnologien. Jibe stellt HTTPS-Verschlüsselung (auch SSL- oder TLS-Verbindung genannt) zur Verfügung. Jibe-Server unterstützen sitzungsspezifische Elliptische-Kurven-Diffie-Hellman-Schlüsselaustausche, die mit RSA und ECDSA signiert sind. Diese Perfect Forward Secrecy-Methoden (PFS-Methoden) tragen zum Schutz des Traffics bei und minimieren die Auswirkungen eines manipulierten Schlüssels oder eines kryptografischen Durchbruchs.

2. Zutrittskontrollen und Zugriffssteuerung

(a) Standortkontrollen.

Sicherheitsdienst vor Ort. Die Rechenzentren von Jibe haben einen Sicherheitsdienst vor Ort, der rund um die Uhr für alle Sicherheitsfunktionen des physischen Rechenzentrums verantwortlich ist. Das Sicherheitspersonal vor Ort überwacht Überwachungskameras (CCTV") und alle Alarmsysteme. Das Sicherheitspersonal vor Ort führt regelmäßig interne und externe Patrouillen des Rechenzentrums durch.

Zugangsverfahren für Rechenzentren. Jibe unterhält formelle Verfahren für den physischen Zugang zu den Rechenzentren. Die Rechenzentren befinden sich in Einrichtungen, die einen elektronischen Kartenschlüssel erfordern, mit Alarmen, die mit dem Sicherheitsdienst vor Ort verbunden sind. Alle Personen, die das Rechenzentrum betreten, müssen sich identifizieren und bei den Sicherheitsvorgängen vor Ort einen Identitätsnachweis vorlegen. Nur autorisierte Mitarbeiter, Auftragnehmer und Besucher haben Zutritt zu den Rechenzentren. Nur autorisierte Mitarbeiter und Auftragnehmer dürfen den Zugang zu diesen Einrichtungen mit einem elektronischen Kartenschlüssel beantragen. Anträge für elektronische Schlüsselkarten für den Zugang zu Rechenzentren müssen im Voraus und schriftlich erfolgen und die Genehmigung durch den Manager des Anfragenden und den Direktor des Rechenzentrums erfordern. Alle anderen Teilnehmer, die einen temporären Rechenzentrumszugriff benötigen, müssen (i) im Voraus die Genehmigung durch die Manager des Rechenzentrums für das spezifische Rechenzentrum und die internen Bereiche einholen, die sie besuchen möchten, (ii) sich beim Sicherheitsdienst vor Ort anmelden und (iii) auf einen genehmigten Rechenzentrumszugang verweisen, der die Person als genehmigt identifiziert.

Sicherheitsgeräte für Rechenzentren vor Ort. Die Rechenzentren von Jibe nutzen ein elektronisches Schlüsselkartensystem und ein biometrisches Zugangskontrollsystem, das mit einem Systemalarm verbunden ist. Das Zugangskontrollsystem überwacht und protokolliert den elektronischen Kartenschlüssel jeder Person und wann sie auf Perimetertüren, Versand und Empfang und andere kritische Bereiche zugreift. Nicht autorisierte Aktivitäten und fehlgeschlagene Zugriffsversuche werden vom Zugriffssteuerungssystem protokolliert und gegebenenfalls untersucht. Der autorisierte Zugriff im gesamten Geschäftsbetrieb und in den Rechenzentren ist je nach Zone und den Aufgaben des Einzelnen eingeschränkt. Die Brandschutztüren in den Rechenzentren sind alarmgesichert. Überwachungskameras sind sowohl innerhalb als auch außerhalb der Rechenzentren im Einsatz. Die Positionierung der Kameras wurde so konzipiert, dass sie strategische Bereiche abdeckt, unter anderem den Perimeter, Türen zum Rechenzentrumsgebäude und Versand/Empfang. Das Sicherheitspersonal vor Ort verwaltet das Monitoring, die Aufzeichnung und die Steuerung von Überwachungskameras. Sichere Kabel in den Rechenzentren verbinden die Überwachungskamerageräte. Kameras zeichnen vor Ort 24 Stunden am Tag, 7 Tage die Woche über digitale Videorekorder auf. Die Überwachungsaufzeichnungen werden je nach Aktivität mindestens 7 Tage lang aufbewahrt.

(b) Zugriffskontrolle

Personal für Infrastruktursicherheit. Jibe hat und pflegt eine Sicherheitsrichtlinie für sein Personal und verlangt Sicherheitstraining als Teil des Trainingspakets für sein Personal. Das Sicherheitspersonal der Infrastruktur von Jibe ist für die laufende Überwachung der Sicherheitsinfrastruktur von Jibe, die Überprüfung der Auftragsverarbeiterdienste und die Reaktion auf Sicherheitsvorfälle verantwortlich.

Zugriffskontrolle und Privilege Management. Administratoren und Nutzer des Unternehmens müssen sich über ein zentrales Authentifizierungssystem oder über ein Einmalanmeldungssystem (SSO) authentifizieren, um die Auftragsverarbeiterdienste nutzen zu können.

Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinien. Die internen Datenzugriffsprozesse und -richtlinien von Jibe sollen verhindern, dass unbefugte Personen und/oder Systeme Zugriff auf Systeme erhalten, die zur Verarbeitung personenbezogener Daten verwendet werden. Jibe zielt darauf ab, die Systeme so zu gestalten, dass (i) nur autorisierten Personen der Zugriff auf Daten gewährt wird, für die sie zugriffsberechtigt sind, und (ii) sichergestellt ist, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Aufzeichnung nicht ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden können. Die Systeme sind darauf ausgelegt, unangemessene Zugriffe zu erkennen. Jibe setzt ein zentralisiertes Zugriffsverwaltungssystem zur Kontrolle des Personalzugriffs auf Produktionsserver ein und bietet nur einer begrenzten Anzahl autorisierter Mitarbeiter Zugriff. LDAP, Kerberos und ein proprietäres System, das SSH-Zertifikate verwendet, bieten Jibe sichere und flexible Zugriffsmechanismen. Diese Mechanismen sind so konzipiert, dass nur genehmigte Zugriffsrechte für Website-Hosts, Logs, Daten und Konfigurationsinformationen gewährt werden. Jibe setzt die Verwendung eindeutiger Nutzer-IDs, starker Passwörter, der Bestätigung in zwei Schritten und sorgfältig überwachter Zugriffslisten voraus, um das Risiko einer nicht autorisierten Kontonutzung zu minimieren. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den beruflichen Verantwortlichkeiten des autorisierten Personals; Anforderungen der beruflichen Pflichten, die zur Ausführung autorisierter Aufgaben erforderlich sind; außerdem ein Informationsbedarf. Die Gewährung oder Änderung von Zugriffsrechten muss außerdem den internen Datenzugriffsrichtlinien und -schulungen von Jibe entsprechen. Genehmigungen werden durch Workflow-Tools verwaltet, die Prüfaufzeichnungen aller Änderungen enthalten. Der Zugriff auf Systeme wird protokolliert, um einen Audit-Trail zur Rechenschaftspflicht zu erstellen. Wenn Passwörter für die Authentifizierung verwendet werden (z.B. die Anmeldung bei Workstations), werden Passwortrichtlinien implementiert, die mindestens dem Branchenstandard entsprechen. Zu diesen Standards gehören Einschränkungen für die Wiederverwendung von Passwörtern und eine ausreichende Passwortstärke.

3. Daten

(a) Datenspeicherung, Isolation und Authentifizierung.

Jibe speichert Daten in einer mandantenfähigen Umgebung auf Servern, die Jibe gehören. Daten, die Datenbank der Auftragsverarbeiterdienste und die Dateisystemarchitektur werden zwischen mehreren geografisch verteilten Rechenzentren repliziert. Jibe isoliert die Daten jedes Kunden logisch. Für alle Prozessordienste wird ein zentrales Authentifizierungssystem verwendet, um die einheitliche Sicherheit von Daten zu erhöhen.

(b) Richtlinien zur Außerbetriebnahme und zum Löschen von Datenträgern.

Bei einigen Laufwerken, die Daten enthalten, können Leistungsprobleme, Fehler oder Hardwarefehler auftreten, die zur Außerbetriebnahme führen („Außer Betrieb genommene Laufwerke). Jeder außer Betrieb genommene Datenträger unterliegt einer Reihe von Zerstörungsprozessen („Richtlinien zur Zerstörung von Datenvor der Wiederverwendung“) Stillgelegte Laufwerke werden in einem mehrstufigen Prozess gelöscht. Die vollständige Löschung muss von mindestens zwei unabhängigen Prüfern bestätigt werden. Die Löschergebnisse werden zur Nachverfolgung mit der Seriennummer des stillgelegten Laufwerks protokolliert. Schließlich wird das gelöschte außer Betrieb genommene Laufwerk für die Wiederverwendung und erneute Bereitstellung in das Inventar freigegeben. Wenn der außer Betrieb genommene Datenträger aufgrund eines Hardwarefehlers nicht gelöscht werden kann, wird er sicher aufbewahrt, bis er zerstört werden kann. Jede Einrichtung wird regelmäßig geprüft, um die Einhaltung der Richtlinien zur Zerstörung von Daten zu überwachen.

4. Mitarbeitersicherheit

Jibe-Mitarbeiter sind verpflichtet, sich gemäß den Richtlinien des Unternehmens zu Vertraulichkeit, Geschäftsethik, angemessener Nutzung und professionellen Standards zu verhalten. Jibe führt im angemessenen Umfang Hintergrundüberprüfungen durch, soweit dies im Einklang mit den geltenden lokalen Arbeitsgesetzen und gesetzlichen Bestimmungen steht.

Das Personal ist verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen sowie den Erhalt und die Einhaltung der Vertraulichkeits- und Datenschutzrichtlinien von Jibe zu bestätigen. Mitarbeiter erhalten eine Sicherheitsschulung. Mitarbeiter, die mit personenbezogenen Daten des Unternehmens umgehen, müssen zusätzliche Anforderungen erfüllen, die ihrer Rolle entsprechen. Jibes Personal verarbeitet keine personenbezogenen Daten des Unternehmens ohne Genehmigung.

5. Sicherheit von Unterauftragsverarbeitern

Vor der Aufnahme von Unterauftragsverarbeitern führt Jibe eine Prüfung der Sicherheits- und Datenschutzpraktiken der Unterauftragsverarbeiter durch, um sicherzustellen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen Verhältnis zum Datenzugriff und zum Umfang der beauftragten Dienstleistungen steht. Nachdem Jibe die vom Unterauftragsverarbeiter vorgelegten Risiken bewertet hat, ist der Unterauftragsverarbeiter gemäß den Anforderungen in Abschnitt 11.3 (Anforderungen für die Beschäftigung von Unterauftragsverarbeitern) verpflichtet, angemessene Bedingungen für Sicherheit, Vertraulichkeit und Datenschutz abzuschließen.

Anhang 3: Zusatzbedingungen für außereuropäische Datenschutzvorschriften

Die folgenden zusätzlichen Bedingungen für außereuropäische Datenschutzvorschriften ergänzen diese Datenverarbeitungsbedingungen:

• Ergänzung für Dienstanbieter zum CCPA unter privacy.google.com/businesses/gdprprocessorterms/ccpa (Stand 27. August 2020)
• Ergänzung für LGPD-Auftragsverarbeiter unter privacy.google.com/businesses/gdprprocessorrterms/lgpd (Stand 27. August 2020)

Datenverarbeitungsbedingungen für Jibe, Version 2.0

27. August 2020