Zuletzt geändert: 2. November 2020
Jibe und die Gegenpartei, die diesem Zusatz zustimmt („Unternehmen“), haben eine Vereinbarung über die Erbringung der Auftragsdatenverarbeitungsdienste (in ihrer jeweils gültigen Fassung die Vereinbarung) geschlossen.
Dieser Zusatz zur Datenverarbeitung, einschließlich der Anhänge (der „Zusatz zur Datenverarbeitung“), wird zwischen Jibe und dem Unternehmen geschlossen und ergänzt die Vereinbarung. Dieser Zusatz zur Datenverarbeitung tritt ab dem Datum des Inkrafttretens der Bedingungen in Kraft und ersetzt alle zuvor anwendbaren Bedingungen in Bezug auf deren Gegenstand (einschließlich aller Datenverarbeitungs- und Sicherheitsbedingungen in Bezug auf die Auftragsverarbeiterdienste).
Wenn Sie diesen Zusatz zur Datenverarbeitung im Namen des Unternehmens akzeptieren, versichern Sie, dass (a) Sie die uneingeschränkte rechtliche Befugnis haben, das Unternehmen zur Einhaltung dieses Zusatzes zur Datenverarbeitung zu verpflichten, (b) Sie diesen Zusatz zur Datenverarbeitung gelesen und verstanden haben und (c) Sie diesem Zusatz zur Datenverarbeitung im Namen des Unternehmens zustimmen. Wenn Sie nicht rechtlich befugt sind, das Unternehmen zu binden, akzeptieren Sie diesen Zusatz zur Datenverarbeitung bitte nicht.
1. Einführung
Dieser Zusatz zur Datenverarbeitung spiegelt die Vereinbarung der Parteien in Bezug auf die Bedingungen für die Verarbeitung und Sicherheit personenbezogener Daten des Unternehmens im Zusammenhang mit dem europäischen Datenschutzrecht und bestimmten außereuropäischen Datenschutzgesetzen wider.
2. Begriffsbestimmungen und Auslegung
2.1 In diesem Zusatz zur Datenverarbeitung gelten folgende Definitionen:
„Zusätzliches Produkt“ bezeichnet ein Produkt, einen Dienst oder eine Anwendung, die von Jibe oder einem Drittanbieter bereitgestellt werden und (a) nicht Teil der Auftragsverarbeiterdienste sind und (b) über die Benutzeroberfläche der Auftragsverarbeiterdienste zugänglich sind oder anderweitig in die Auftragsverarbeiterdienste eingebunden sind.
„Zusatzbedingungen für außereuropäische Datenschutzvorschriften“ sind die in Anhang 3 genannten zusätzlichen Bedingungen. Sie stellen die Vereinbarung zwischen den Parteien bezüglich der Bedingungen dar, die für die Verarbeitung bestimmter Daten in Zusammenhang mit bestimmten außereuropäischen Datenschutzvorschriften gelten.
Verbundenes Unternehmen bezeichnet eine juristische Person, die eine Partei direkt oder indirekt kontrolliert, von einer der Parteien kontrolliert wird oder unter gemeinsamer Kontrolle mit einer der Parteien steht.
Personenbezogene Daten des Unternehmens bezeichnet personenbezogene Daten, die im Auftrag des Unternehmens durch Jibe im Rahmen der Erbringung der Auftragsverarbeiterdienste verarbeitet werden.
„Datenvorfall“ bezeichnet einen Verstoß gegen die Sicherheit von Jibe, der zur versehentlichen oder rechtswidrigen Vernichtung, zu Verlust, Änderung, unberechtigten Offenlegung von oder unberechtigtem Zugriff auf personenbezogene Daten des Unternehmens in Systemen führt, die von Jibe verwaltet oder anderweitig kontrolliert werden. „Datenvorfälle“ umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit der personenbezogenen Daten des Unternehmens nicht beeinträchtigen, einschließlich fehlgeschlagener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
Datenschutzvorschriften bezeichnet, je nach Anwendungsfall, (a) die europäischen Datenschutzvorschriften und/oder (b) die außereuropäischen Datenschutzvorschriften.
Tool für betroffene Personen bezeichnet ein Tool, das gegebenenfalls von einer Jibe-Rechtssubjektivität für betroffene Personen zur Verfügung gestellt wird und es Jibe ermöglicht, direkt und standardisiert auf bestimmte Anfragen von betroffenen Personen in Bezug auf personenbezogene Daten des Unternehmens zu reagieren (z. B. ein Browser-Plug-in zum Deaktivieren).
„EWR“ bezeichnet den Europäischen Wirtschaftsraum.
„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum kostenlosen Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
„Europäisches Datenschutzrecht“ bezeichnet, je nach Anwendungsfall, (a) die DSGVO und/oder (b) das Bundesgesetz über den Datenschutz vom 19. Juni 1992 (Schweiz).
„Europäisches oder nationales Recht“ bedeutet, soweit anwendbar: (a) das Recht der EU oder der EU-Mitgliedstaaten (wenn die EU-DSGVO für die Verarbeitung personenbezogener Daten des Unternehmens gilt) und/oder (b) das Recht des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs (wenn die DSGVO des Vereinigten Königreichs für die Verarbeitung personenbezogener Daten des Unternehmens gilt).
DSGVO bezeichnet, je nach Anwendungsfall, (a) die EU-DSGVO und/oder (b) die DSGVO (Vereinigtes Königreich).
„Jibe“ bezeichnet das Jibe-Rechtssubjekt, das Partei der Vereinbarung ist.
„Jibe-Affiliate-Unterauftragsverarbeiter“ hat die in Abschnitt 11.1 (Zustimmung zur Beauftragung von Unterauftragsverarbeitern) angegebene Bedeutung.
Jibe-Rechtsubjekt bezeichnet Jibe Mobile Inc., Jibe Mobile Limited oder ein anderes Tochterunternehmen von Jibe Mobile Inc.
„ISO 27001-Zertifizierung“ bedeutet eine Zertifizierung nach ISO/IEC 27001:2013 oder eine vergleichbare Zertifizierung für die Verarbeitungsdienste.
„Außereuropäische Datenschutzvorschriften“ sind Gesetze zum Schutz von Daten oder der Privatsphäre, die außerhalb des EWR, der Schweiz und des Vereinigten Königreichs gelten.
Benachrichtigungs-E-Mail-Adresse: Die E-Mail-Adresse, die (falls zutreffend) (i) vom Unternehmen an Jibe bereitgestellt oder (ii) vom Unternehmen über die Benutzeroberfläche der Verarbeitungsdienste oder andere von Jibe bereitgestellte Mittel zum Empfang bestimmter Benachrichtigungen von Jibe im Zusammenhang mit diesem Zusatz zur Datenverarbeitung angegeben wurde. Zur Klarstellung: Das Unternehmen ist dafür verantwortlich, Jibe eine E-Mail-Adresse für Benachrichtigungen zur Verfügung zu stellen und Jibe über Änderungen an der E-Mail-Adresse für Benachrichtigungen zu informieren.
„Auftragsverarbeiterdienste“ bezeichnet RCS Business Messaging-Dienste (wie unter https://developers.google.com/business-communications/rcs-business-messaging beschrieben).
„Sicherheitsdokumentation“ bezeichnet die ISO 27001-Zertifizierung und alle anderen Sicherheitszertifikate oder ‑dokumente, die Jibe im Zusammenhang mit den Verarbeitungsdiensten zur Verfügung stellt.
„Sicherheitsmaßnahmen“ hat die in Paragraf 7.1.1 (Sicherheitsmaßnahmen von Jibe) angegebene Bedeutung.
Standardvertragsklauseln sind die Standardvertragsklauseln der Europäischen Kommission unter https://privacy.google.com/businesses/gdprprocessorterms/sccs. Sie sind Standardbedingungen für den Datenschutz bei der Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten, wie in Artikel 46 der EU-DSGVO beschrieben.
„Unterauftragsverarbeiter“ bezeichnet Dritte, die gemäß diesem Zusatz zur Datenverarbeitung autorisiert sind, logisch auf personenbezogene Daten des Unternehmens zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste und den zugehörigen technischen Support bereitzustellen.
„Aufsichtsbehörde“ bedeutet, soweit anwendbar: (a) „Aufsichtsbehörde“ laut Definition der EU-DSGVO; und/oder (b) „Beauftragter“ laut Definition der UK-DSGVO.
„Laufzeit“ bezeichnet den Zeitraum zwischen dem Wirksamkeitsdatum und dem Ende der Bereitstellung der Verarbeitungsdienste durch Jibe gemäß der Vereinbarung.
Datum des Inkrafttretens bezeichnet das Datum des Inkrafttretens der Vereinbarung.
„Unterauftragsverarbeiter von Dritten“ hat die in Abschnitt 11.1 (Zustimmung zur Beauftragung von Unterauftragsverarbeitern) angegebene Bedeutung.
„UK-DSGVO“ bezeichnet die an die Gesetzgebung des Vereinigten Königreichs angepasste und darin integrierte EU-DSGVO unter Berücksichtigung des UK European Union (Withdrawal) Act 2018, sofern in Kraft.
2.2 Die Begriffe Verantwortlicher, betroffene Person, personenbezogene Daten, Verarbeitung und Auftragsverarbeiter haben in diesem Zusatz zur Datenverarbeitung die in der DSGVO festgelegte Bedeutung. Die Begriffe Datenimporteur und Datenexporteur haben die in den Mustervertragsklauseln festgelegte Bedeutung.
2.3 Die Begriffe „einschließlich“, „umfassen“ oder ähnliche Ausdrücke gelten als erläuternd und schränken den Sinn der Wörter, die diesen Begriffen vorangehen, nicht ein. Alle Beispiele in diesem Zusatz zur Datenverarbeitung dienen nur der Veranschaulichung und sind nicht als ausschließliche Beispiele für ein bestimmtes Konzept gedacht.
2.4 Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren zum jeweiligen Zeitpunkt gültige (gelegentlich geänderte oder überarbeitete) Fassung.
2.5 Wenn diese Nutzungsbedingungen zur Datenverarbeitung in eine andere Sprache übersetzt werden und die Übersetzung vom englischen Text abweicht, ist das englischsprachige Original maßgebend.
3. Dauer dieses Zusatzes zur Datenverarbeitung
Dieser Zusatz zur Datenverarbeitung tritt mit dem Datum des Inkrafttretens der Bedingungen in Kraft und bleibt ungeachtet des Ablaufs der Laufzeit so lange in Kraft, bis alle personenbezogenen Daten des Unternehmens von Jibe wie in diesem Zusatz zur Datenverarbeitung beschrieben gelöscht werden, wodurch er automatisch außer Kraft tritt.
4. Anwendbarkeit dieses Zusatzes zur Datenverarbeitung
4.1 Anwendung der europäischen Datenschutzvorschriften Die Abschnitte 5 (Verarbeitung von Daten) bis 12 (Jibe kontaktieren; Verarbeitung von Datensätzen) (einschließlich) gelten nur, soweit die europäischen Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten des Unternehmens anwendbar sind, einschließlich der folgenden Fälle:
(a) die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Unternehmens im EWR oder im Vereinigten Königreich erfolgt; und/oder
(b) personenbezogene Daten des Unternehmens personenbezogene Daten sind, die sich auf betroffene Personen beziehen, die sich im EWR oder im Vereinigten Königreich befinden, und sich die Verarbeitung auf das Angebot von Waren oder Dienstleistungen oder die Beobachtung des Verhaltens im EWR oder im Vereinigten Königreich bezieht.
4.2 Anwendung auf Auftragsverarbeitungsdienste Dieser Zusatz zur Datenverarbeitung gilt nur für die Auftragsdatenverarbeitungsdienste, für die die Parteien diesen Zusatz zur Datenverarbeitung vereinbart haben (z. B. (a) die Auftragsdatenverarbeitungsdienste, für die das Unternehmen geklickt hat, um diesen Zusatz zur Datenverarbeitung zu akzeptieren, oder (b) die Auftragsdatenverarbeitungsdienste, die Gegenstand der Vereinbarung sind, wenn diese den Zusatz zur Datenverarbeitung durch Verweis einbezieht).
4.3 Einbeziehung von Zusatzbedingungen für außereuropäische Datenschutzvorschriften Die Zusatzbedingungen für außereuropäische Datenschutzvorschriften ergänzen diese Datenverarbeitungsbedingungen.
5. Verarbeitung von Daten
5.1 Rollen und Compliance mit gesetzlichen Bestimmungen; Autorisierung.
5.1.1 Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Parteien bestätigen und erklären sich damit einverstanden, dass:
(a) Anhang 1 beschreibt den Gegenstand und die Details der Verarbeitung personenbezogener Daten des Unternehmens.
(b) Jibe ist ein Verarbeiter personenbezogener Daten des Unternehmens gemäß den europäischen Datenschutzgesetzen;
(c) das Unternehmen gemäß dem europäischen Datenschutzrecht hinsichtlich personenbezogener Daten des Unternehmens, je nach anwendbarem Fall, ein Verantwortlicher oder Auftragsverarbeiter ist; und
(d) hält jede Partei die für sie geltenden Verpflichtungen gemäß dem europäischen Datenschutzrecht in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens ein.
5.1.2 Autorisierung durch einen Dritten als Verantwortlichen. Ist das Unternehmen selbst ein Auftragsverarbeiter, so sichert es Jibe zu, dass seine Weisungen und Maßnahmen hinsichtlich personenbezogener Daten des Unternehmens, einschließlich der Einsetzung von Jibe als weiteren Auftragsverarbeiter, durch den betreffenden Verantwortlichen autorisiert wurden.
5.2 Anweisungen des Unternehmens Durch den Abschluss dieses Zusatzes zur Datenverarbeitung weist das Unternehmen Jibe an, personenbezogene Daten des Unternehmens nur gemäß anwendbarem Recht zu verarbeiten: (a) zur Bereitstellung der Auftragsverarbeiterdienste und des damit verbundenen technischen Supports; (b) wie weiter durch die Nutzung der Auftragsverarbeiterdienste durch das Unternehmen festgelegt (einschließlich durch die Einstellungen und Funktionalitäten der Auftragsverarbeiterdienste) und damit im Zusammenhang stehenden technischen Supports; (c) wie in der Vereinbarung, einschließlich dieses Zusatzes zur Datenverarbeitung, dokumentiert; und (d) wie weiter in anderen schriftlichen Anweisungen des Unternehmens dokumentiert, die von Jibe als Anweisungen im Sinne dieses Zusatzes zur Datenverarbeitung anerkannt werden.
5.3 Einhaltung der Anweisungen durch Jibe Jibe verpflichtet sich, die Weisungen, die in Paragraf 5.2 (Weisungen des Unternehmens) festgelegt sind (auch im Hinblick auf die Übermittlung von Daten) zu befolgen, es sei denn, europäisches oder nationales Recht, dem Jibe unterliegt, erfordert eine anderweitige Verarbeitung der personenbezogenen Daten des Unternehmens durch Jibe. In diesem Fall wird Jibe das Unternehmen informieren, es sei denn, ein solches Gesetz verbietet Jibe dies aus wichtigen Gründen des öffentlichen Interesses.
5.4 Zusätzliche Produkte. Wenn das Unternehmen zusätzliche Produkte verwendet, können die Auftragsverarbeiterdienste diesen zusätzlichen Produkten den Zugriff auf personenbezogene Daten des Unternehmens ermöglichen, sofern dies für die Interaktion zwischen diesen zusätzlichen Produkten und den Auftragsverarbeiterdiensten erforderlich ist. Dieser Zusatz zur Datenverarbeitung gilt nicht für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung von zusätzlichen Produkten, die vom Unternehmen verwendet werden, einschließlich personenbezogener Daten, die an solche oder von solchen zusätzlichen Produkten übertragen werden.
6. Datenlöschung
6.1 Löschung während der Laufzeit
6.1.1 Auftragsverarbeiterdienste mit Löschfunktion. Falls während der Laufzeit:
(a) die Softwarefunktionalitäten der Auftragsverarbeiterdienste dem Unternehmen eine Möglichkeit zur Verfügung stellen, personenbezogene Daten des Unternehmens zu löschen,
(b) das Unternehmen die Auftragsverarbeiterdienste dazu nutzt, bestimmte personenbezogene Daten des Unternehmens zu löschen und
(c) die gelöschten personenbezogenen Daten des Unternehmens vom Unternehmen nicht wiederhergestellt werden können (z. B. aus dem „Papierkorb“),
dann wird Jibe diese personenbezogenen Daten des Unternehmens von ihren Systemen so früh wie angemessen und praktikabel ist löschen, falls nicht ein europäisches oder nationales Gesetz eine Aufbewahrung vorschreibt.
6.1.2 Auftragsverarbeiterdienste ohne Löschfunktion Falls die Softwarefunktionalitäten der Auftragsverarbeiterdienste keine Möglichkeit vorsehen, die das Unternehmen in die Lage versetzt, während der Laufzeit personenbezogene Daten des Unternehmens zu löschen, dann wird Jibe jeder angemessenen Anfrage des Unternehmens entsprechen, um eine solche Löschung zu erreichen, soweit dies unter Berücksichtigung der Art und Funktionsweise der Auftragsverarbeiterdienste möglich ist. Jibe ist berechtigt, einen Ersatz der Kosten (basierend auf den angemessenen Aufwendungen von Jibe) für die Löschung von Daten nach diesem Abschnitt 6.1.2 (Datenverarbeitungsdienste ohne Löschfunktion) zu verlangen. Vor einer solchen Datenlöschung teilt Jibe dem Unternehmen weitere Details zu den anfallenden Gebühren und deren Berechnungsgrundlage mit.
6.2 Löschen nach Ablauf der Laufzeit Nach Ablauf der Laufzeit weist das Unternehmen Jibe an, alle personenbezogenen Daten des Unternehmens (einschließlich vorhandener Kopien) gemäß anwendbarem Recht aus den Systemen von Jibe zu löschen. Jibe kommt dieser Anweisung sobald wie möglich nach, es sei denn, europäisches oder nationales Recht schreibt eine Speicherung vor.
7. Datensicherheit
7.1 Sicherheitsmaßnahmen und Unterstützung von Jibe
7.1.1 Sicherheitsmaßnahmen von Jibe Jibe implementiert und unterhält technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten des Unternehmens vor versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff, wie in Anhang 2 („Sicherheitsmaßnahmen“) beschrieben. Jibe kann die Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, sofern dies die Gesamtsicherheit der Verarbeitungsdienste nicht beeinträchtigt.
7.1.2 Sicherheitscompliance durch Jibe-Mitarbeiter: Jibe stellt sicher, dass alle zur Verarbeitung personenbezogener Daten des Unternehmens berechtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Schweigepflicht unterliegen.
7.1.3 Sicherheitsunterstützung von Jibe. Das Unternehmen stimmt zu, dass Jibe das Unternehmen bei der Einhaltung aller Verpflichtungen des Unternehmens in Bezug auf die Sicherheit personenbezogener Daten und Datenpannen unterstützt (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Unternehmens und der Jibe zur Verfügung stehenden Informationen), einschließlich (falls zutreffend) der Verpflichtungen des Unternehmens gemäß den Artikeln 32 bis 34 (einschließlich) der DSGVO, und zwar folgendermaßen:
(a) Implementierung und Aufrechterhaltung der Sicherheitsmaßnahmen gemäß Abschnitt 7.1.1 (Sicherheitsmaßnahmen von Jibe);
(b) Einhaltung der Bestimmungen von Abschnitt 7.2 (Datenvorfälle); und
(c) Bereitstellung der Sicherheitsdokumentation für das Unternehmen gemäß Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation) und der in diesem Zusatz zur Datenverarbeitung enthaltenen Informationen.
7.2 Datenvorfälle
7.2.1 Benachrichtigung über Vorfälle. Wenn Jibe von einem Datenvorfall erfährt, wird Jibe (a) das Unternehmen unverzüglich über den Datenvorfall informieren und (b) unverzüglich angemessene Schritte ergreifen, um Schäden zu minimieren und personenbezogene Daten des Unternehmens zu schützen.
7.2.2 Details zum Datenvorfall. Gemäß Paragraf 7.2.1 (Benachrichtigung über Vorfälle) vorgenommene Benachrichtigungen beschreiben, soweit möglich, Details des Datenvorfalls, einschließlich der Schritte, die zur Minderung der potenziellen Risiken unternommen wurden und der Schritte, die Jibe dem Unternehmen zur Behebung des Datenvorfalls empfiehlt.
7.2.3 Zustellung der Benachrichtigung. Jibe sendet die Benachrichtigung über einen Datenvorfall an die Benachrichtigungs-E-Mail-Adresse oder nach Ermessen von Jibe (auch wenn das Unternehmen keine Benachrichtigungs-E-Mail-Adresse angegeben hat) durch andere direkte Kommunikation (z. B. per Telefonanruf oder persönliche Besprechung). Das Unternehmen ist allein dafür verantwortlich, eine E-Mail-Adresse für Benachrichtigungen zur Verfügung zu stellen und sicherzustellen, dass sie aktuell und gültig ist.
7.2.4 Benachrichtigungen von Dritten. Das Unternehmen ist allein dafür verantwortlich, die für das Unternehmen geltenden gesetzlichen Vorgaben für Benachrichtigungen bei Datenvorfällen einzuhalten und entsprechenden Meldepflichten gegenüber Dritten nachzukommen.
7.2.5 Keine Anerkennung eines Fehlers durch Jibe: Die Benachrichtigung oder Reaktion von Jibe über einen Datenvorfall gemäß diesem Abschnitt 7.2 (Datenvorfälle) gilt nicht als Anerkennung eines Verschuldens oder einer Haftung durch Jibe in Bezug auf den Datenvorfall.
7.3 Sicherheitspflichten und -bewertung des Unternehmens.
7.3.1 Sicherheitspflichten des Unternehmens. Das Unternehmen erklärt sich mit Folgendem einverstanden, unbeschadet der Verpflichtungen von Jibe gemäß den Abschnitten 7.1 (Sicherheitsmaßnahmen und -unterstützung von Jibe) und 7.2 (Datenvorfälle):
(a) Das Unternehmen ist für die Nutzung der Verarbeitungsdienste verantwortlich, einschließlich:
(i) die Auftragsdatenverarbeitung so zu nutzen, dass ein dem Risiko in Bezug auf die personenbezogenen Daten des Unternehmens angemessenes Sicherheitsniveau gewährleistet ist, und
(ii) die Sicherung der Anmeldedaten, Systeme und Geräte für die Kontoauthentifizierung, die das Unternehmen für den Zugriff auf die Auftragsverarbeiterdienste verwendet; und
(b) Jibe ist nicht zum Schutz von personenbezogenen Unternehmensdaten verpflichtet, die das Unternehmen außerhalb der Systeme von Jibe und seiner Auftragsverarbeiter speichert oder die das Unternehmen an solche Systeme überträgt.
7.3.2 Sicherheitsbewertung des Unternehmens. Das Unternehmen erkennt an und stimmt zu, dass die von Jibe in Abschnitt 7.1.1 (Sicherheitsmaßnahmen von Jibe) implementierten und aufrechterhaltenen Sicherheitsmaßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung personenbezogener Daten des Unternehmens sowie der Risiken für natürliche Personen ein Sicherheitsniveau bieten, das dem Risiko für personenbezogene Daten des Unternehmens angemessen ist.
7.4 Sicherheitszertifizierung Um die anhaltende Wirksamkeit der Sicherheitsmaßnahmen zu bewerten und zu gewährleisten, behält Jibe die ISO 27001-Zertifizierung bei.
7.5 Überprüfungen und Compliance-Audits
7.5.1 Überprüfungen der Sicherheitsdokumentation. Um nachzuweisen, dass Jibe seinen Verpflichtungen aus diesem Zusatz zur Datenverarbeitung nachkommt, stellt Jibe dem Kunden die Sicherheitsdokumentation zur Überprüfung zur Verfügung.
7.5.2 Auditrechte des Unternehmens.
(a) Jibe ermöglicht dem Unternehmen oder einem vom Unternehmen beauftragten externen Prüfer die Durchführung von Prüfungen (einschließlich Inspektionen), um die Einhaltung der Verpflichtungen von Jibe aus diesem Zusatz zur Datenverarbeitung gemäß Paragraf 7.5.3 (Zusätzliche Geschäftsbedingungen für Audits) zu überprüfen. Jibe leistet einen Beitrag zu solchen Audits, wie in Abschnitt 7.4 (Sicherheitszertifizierung) und in diesem Abschnitt 7.5 (Überprüfungen und Compliance-Audits) beschrieben.
(b) Wenn die Standardvertragsklauseln gemäß Paragraf 10.2 (Datenübertragungen) gelten, gestattet Jibe dem Unternehmen oder einem vom Unternehmen beauftragten externen Prüfer, Audits wie in den Standardvertragsklauseln beschrieben gemäß Paragraf 7.5.3 (Zusätzliche Geschäftsbedingungen für Audits) durchzuführen.
(c) kann auch eine Prüfung durchführen, um sich zu vergewissern, dass Jibe seine Verpflichtungen aus diesem Zusatz zur Datenverarbeitung einhält, indem er das Zertifikat für die ISO 27001-Zertifizierung überprüft (das das Ergebnis einer Prüfung durch einen externen Prüfer widerspiegelt).
7.5.3 Zusätzliche Geschäftsbedingungen für Audits.
(a) Das Unternehmen sendet alle Anträge auf eine Prüfung gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) an Jibe, wie in Abschnitt 12.1 (Kontakt mit Jibe) beschrieben.
(b) Nachdem Jibe eine Anfrage gemäß Paragraf 7.5.3(a) erhalten hat, vereinbaren Jibe und das Unternehmen im Voraus ein angemessenes Startdatum, den Umfang und die Dauer sowie die Sicherheits- und Vertraulichkeitskontrollen, die für jede Prüfung gemäß Paragraf 7.5.2(a) oder 7.5.2(b) gelten.
(c) Jibe kann für jede Prüfung gemäß Abschnitt 7.5.2 (a) oder 7.5.2(b) eine Gebühr(basierend auf den angemessenen Kosten von Jibe) erheben. Jibe teilt dem Unternehmen vor dem Audit weitere Einzelheiten zu allen anfallenden Gebühren und deren Berechnungsgrundlage mit. Das Unternehmen ist für alle Gebühren verantwortlich, die von einem vom Unternehmen mit der Durchführung einer solchen Prüfung beauftragten Prüfer erhoben werden.
(d) Jibe kann Einspruch gegen einen externen Prüfer erheben, der vom Unternehmen für eine Prüfung gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) beauftragt wurde, wenn der Prüfer nach vernünftiger Einschätzung von Jibe nicht angemessen qualifiziert oder unabhängig, ein Mitbewerber von Jibe oder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Einwand von Jibe muss das Unternehmen einen anderen Prüfer beauftragen oder die Prüfung selbst durchführen.
(e) Nichts in diesem Zusatz zur Datenverarbeitung verpflichtet Jibe dazu, dem Unternehmen oder einem externen Auditor folgende Informationen offenzulegen oder dem Unternehmen oder einem externen Auditor den Zugriff auf folgende Informationen zu gewähren:
(i) Daten eines anderen Kunden eines Jibe-Rechtssubjekts,
(ii) interne Buchhaltungs- oder Finanzdaten eines Jibe-Rechtssubjekts,
(iii) Geschäftsgeheimnisse eines Jibe-Rechtssubjekts;
(iv) Informationen, die nach vernünftigem Ermessen von Jibe: (A) die Sicherheit der Systeme oder Räumlichkeiten einer Jibe-Rechtssubjektivität gefährden könnten oder (B) dazu führen könnten, dass eine Jibe-Rechtssubjektivität ihre Verpflichtungen gemäß den europäischen Datenschutzgesetzen oder ihre Sicherheits- und/oder Datenschutzverpflichtungen gegenüber dem Unternehmen oder einem Dritten verletzt oder
(v) Informationen, auf die das Unternehmen oder sein externer Prüfer aus anderen Gründen als der Erfüllung der Verpflichtungen des Unternehmens gemäß den europäischen Datenschutzvorschriften nach Treu und Glauben zugreifen möchte.
7.5.4 Keine Änderung der Standardvertragsklauseln. Wenn die Standardvertragsklauseln gemäß Abschnitt 10.2 (Datenübertragungen) gelten, ändert oder wandelt nichts in diesem Abschnitt 7.5 (Überprüfungen und Compliance-Audits) irgendwelche Rechte oder Pflichten des Unternehmens oder von Jibe in Bezug auf die Standardvertragsklauseln um.
8. Folgenabschätzungen und Beratungen
Das Unternehmen stimmt zu, dass Jibe das Unternehmen bei der Einhaltung aller Verpflichtungen des Unternehmens in Bezug auf Datenschutzfolgenabschätzungen und vorherige Beratung unterstützt (unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Jibe zur Verfügung stehen), einschließlich (falls zutreffend) der Verpflichtungen des Unternehmens gemäß den Artikeln 35 und 36 der DSGVO, und zwar folgendermaßen:
(a) Bereitstellung der Sicherheitsdokumentation gemäß Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation);
(b) die Informationen, die bereits in diesem Zusatz zur Datenverarbeitung enthalten sind, bereitstellt; und
(c) Bereitstellung oder anderweitiges Verfügbarmachen anderer Materialien zu der Art der Auftragsverarbeiterdienste und der Datenverarbeitung von personenbezogenen Daten des Unternehmens (zum Beispiel Hilfematerialien), jeweils gemäß den Standardverfahren von Jibe.
9. Rechte betroffener Personen
9.1 Beantwortung von Anfragen betroffener Personen Wenn Jibe eine Anfrage einer betroffenen Person zu personenbezogenen Daten des Unternehmens erhält, wird Jibe:
(a) direkt auf die Anfrage der betroffenen Person in Übereinstimmung mit den Standard-Funktionen eines Tools für betroffene Personen antworten, sollte die Anfrage über das Tool für betroffene Personen gestellt werden, oder
(b) die betroffene Person bitten, ihre Anfrage an das Unternehmen zu richten, falls die Anfrage nicht über ein Tool für betroffene Personen eingereicht wurde; das Unternehmen trägt die alleinige Verantwortung für die Beantwortung einer solchen Anfrage.
9.2 Unterstützung durch Jibe bei Anfragen von betroffenen Personen Das Unternehmen erklärt sich damit einverstanden, dass Jibe das Unternehmen bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen von betroffenen Personen unterstützt (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Unternehmens und gegebenenfalls Artikel 11 der DSGVO), einschließlich (falls zutreffend) der Verpflichtung des Unternehmens, Anfragen zur Ausübung der Rechte der betroffenen Person gemäß Kapitel III der DSGVO zu beantworten, und zwar:
(a) die Bereitstellung der Funktionen der Auftragsverarbeiterdienste;
(b) durch Einhaltung der Verpflichtungen in Abschnitt 9.1 (Beantwortung von Anfragen betroffener Personen) und
(c) – sofern auf die Auftragsverarbeiterdienste anwendbar – durch Bereitstellung von Tools für betroffene Personen.
10. Datenübertragungen
10.1 Einrichtungen zur Datenspeicherung und -verarbeitung. Das Unternehmen stimmt zu, dass Jibe gemäß Abschnitt 10.2 (Datenübertragungen) personenbezogene Daten des Unternehmens in jedem Land speichern und verarbeiten kann, in dem Jibe oder einer seiner Unterauftragsverarbeiter Einrichtungen unterhalten.
10.2 Datenübertragungen
Wenn die Speicherung und/oder Verarbeitung personenbezogener Unternehmensdaten eine Übertragung personenbezogener Unternehmensdaten aus dem EWR, der Schweiz oder dem Vereinigten Königreich in ein Drittland umfasst, das nicht Gegenstand einer Angemessenheitsentscheidung gemäß der europäischen Datenschutzgesetzgebung ist:
(a) Das Unternehmen (als Datenexporteur) wird als Vertragspartner für die Standardvertragsklauseln mit Jibe (als Datenimporteur) angesehen;
(b) die Übertragungen den Standardvertragsklauseln unterliegen; und
(c) Verweise auf Google LLC und auf den Kunden in den Standardvertragsklauseln beziehen sich jeweils auf Jibe und das Unternehmen.
10.3 Informationen zu Rechenzentren. Informationen zu den Standorten der Google-Rechenzentren finden Sie unter www.google.com/about/datacenters/locations/index.html.
11. Unterauftragsverarbeiter
11.1 Zustimmung zur Beschäftigung von Unterauftragsverarbeitern. Das Unternehmen autorisiert ausdrücklich die Beauftragung der verbundenen Unternehmen von Jibe als Unterauftragsverarbeiter („Jibe-Unterauftragsverarbeiter“). Darüber hinaus autorisiert das Unternehmen generell die Beauftragung anderer Dritter als Unterauftragsverarbeiter („Drittanbieter-Unterauftragsverarbeiter“). Wenn die Standardvertragsklauseln gemäß Abschnitt 10.2 (Datenübertragungen) gelten, stellen die oben genannten Autorisierungen die vorherige schriftliche Einwilligung des Unternehmens in die Weitergabe der Verarbeitung personenbezogener Daten des Unternehmens durch Jibe dar.
11.2 Informationen zu Unterauftragsverarbeitern. Auf schriftliche Anfrage des Unternehmens stellt Jibe Informationen zu Auftragsverarbeitern und deren Standorten zur Verfügung. Alle entsprechenden Anträge müssen an Jibe gesendet werden. Verwenden Sie dazu die Kontaktdaten, die in Paragraf 12.1 (Kontakt mit Jibe aufnehmen) angegeben sind.
11.3 Voraussetzungen für die Beschäftigung von Unterauftragsverarbeitern. Bei der Beauftragung eines Unterauftragsverarbeiters gilt Folgendes:
(a) durch einen schriftlichen Vertrag sicherstellen, dass
(i) der Unterauftragsverarbeiter nur in dem Umfang auf personenbezogene Daten des Unternehmens zugreift und sie nutzt, wie es erforderlich ist, um die ihm übertragenen Verpflichtungen zu erfüllen, und dabei die Vereinbarung (einschließlich dieses Zusatzes zur Datenverarbeitung) und, sofern gemäß Paragraf 10.2 (Datenübertragungen) anwendbar, die Standardvertragsklauseln einhält; und
(ii) wenn die DSGVO für die Verarbeitung personenbezogener Daten des Unternehmens gilt, dem Unterauftragsverarbeiter die in Artikel 28(3) der DSGVO beschriebenen Datenschutzverpflichtungen auferlegt werden; und
(b) voll für alle Verpflichtungen haften, die an den Unterauftragsverarbeiter weitergegeben werden, sowie für dessen sämtliche Handlungen und Unterlassungen.
11.4 Möglichkeit des Widerspruchs gegen Änderungen bei Unterauftragsverarbeitern
(a) Wenn während der Laufzeit ein neuer Drittanbieter-Unterauftragsverarbeiter beauftragt wird, benachrichtigt Jibe das Unternehmen über die Beauftragung (einschließlich des Namens und Standorts des jeweiligen Unterauftragsverarbeiters und der Aktivitäten, die er ausführen wird), indem es mindestens 30 Tage, bevor der neue Drittanbieter-Unterauftragsverarbeiter personenbezogene Daten des Unternehmens verarbeitet, eine E-Mail an die Benachrichtigungs-E-Mail-Adresse sendet.
(b) Das Unternehmen kann Einspruch gegen einen neuen Unterauftragsverarbeiter erheben, indem es die Vereinbarung unverzüglich durch schriftliche Benachrichtigung an Jibe kündigt. Voraussetzung ist, dass das Unternehmen dies innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Beauftragung des neuen Unterauftragsverarbeiters gemäß Abschnitt 11.4(a) tut. Dieses Kündigungsrecht ist das einzige und ausschließliche Rechtsmittel des Unternehmens, wenn das Unternehmen einem neuen Dritten als Unterauftragsverarbeiter widerspricht.
12. Jibe kontaktieren; Verarbeitungsdaten
12.1 Jibe kontaktieren Das Unternehmen kann Jibe im Zusammenhang mit diesem Zusatz zur Datenverarbeitung über den RCS-Datenschutzkontakt von Jibe kontaktieren, der unter http://issuetracker.google.com oder über andere von Jibe gelegentlich bereitgestellte Möglichkeiten erreichbar ist.
12.2 Verzeichnis von Verarbeitungstätigkeiten von Jibe Das Unternehmen erkennt an, dass Jibe gemäß der DSGVO verpflichtet ist, (a) bestimmte Daten zu erheben und aufzubewahren, einschließlich des Namens und der Kontaktdaten jedes Auftragsverarbeiters und/oder Verantwortlichen, in dessen Auftrag Jibe tätig ist, und (falls zutreffend) des örtlichen Vertreters und des Datenschutzbeauftragten dieses Auftragsverarbeiters oder Verantwortlichen, und (b) diese Daten einer Aufsichtsbehörde zur Verfügung zu stellen. Dementsprechend muss das Unternehmen Jibe diese Daten nach Aufforderung – und soweit das auf das Unternehmen anwendbar ist – über die Benutzeroberfläche der Verarbeitungsdienste oder über andere von Jibe bereitgestellte Möglichkeiten an Jibe übermitteln. Es muss außerdem dafür sorgen, dass diese Daten jederzeit aktuell und korrekt sind.
13. Haftung
13.1 Haftungsobergrenze: Unabhängig von allen anderen Bestimmungen in der Vereinbarung ist die Gesamthaftung einer Partei gegenüber der anderen Partei im Rahmen oder im Zusammenhang mit diesem Zusatz zur Datenverarbeitung auf den maximalen monetären oder auszahlungsbasierten Betrag beschränkt, auf den die Haftung dieser Partei gemäß der Vereinbarung begrenzt ist.Ausschlüsse von Ansprüchen auf Vertraulichkeit oder Entschädigung aus der Haftungsbeschränkung der Vereinbarung gelten daher nicht für Ansprüche aus der Vereinbarung im Zusammenhang mit der europäischen oder nicht europäischen Datenschutzgesetzgebung. Durch keine Bestimmung dieses Abschnitts 13 (Haftung) wird die Haftung der beiden Parteien für Folgendes ausgeschlossen oder beschränkt: (a) Tod oder Körperschäden infolge der Fahrlässigkeit einer der Parteien oder deren Bevollmächtigten, Vertreter oder Mitarbeiter; (b) Betrug oder betrügerische Falschdarstellung; oder (c) Angelegenheiten, für die die Haftung nach geltendem Recht nicht ausgeschlossen oder beschränkt werden kann.
13.2 Haftung bei Anwendbarkeit der Standardvertragsklauseln Wenn die Standardvertragsklauseln gemäß Paragraf 10.2 (Datenübertragungen) gelten, unterliegt die gesamte kombinierte Haftung der einzelnen Parteien und ihrer verbundenen Unternehmen gegenüber der anderen Partei und ihren verbundenen Unternehmen im Rahmen oder im Zusammenhang mit der Vereinbarung und den Standardvertragsklauseln zusammen Paragraf 13.1 (Haftungsobergrenze).
14. Begünstigte Dritte
Wenn ein mit einer Partei verbundenes Unternehmen Partei der Standardvertragsklauseln ist, die gemäß Paragraf 10.2 (Datenübertragungen) gelten, ist dieses verbundene Unternehmen ein begünstigter Dritter in den Paragrafen 6.2 (Löschen nach Ablauf der Laufzeit), 7.5 (Überprüfungen und Complianceprüfungen), 9.1 (Antworten auf Anfragen von betroffenen Personen), 10.2 (Datenübertragungen), 11.1 (Zustimmung zur Beschäftigung von Unterauftragsverarbeitern) und 13.2 (Haftung bei Anwendung der Standardvertragsklauseln). Sollte Paragraf 14 (Begünstigte Dritte) einer anderen Klausel in der Vereinbarung widersprechen oder damit in Konflikt stehen, findet Paragraf 14 (Begünstigte Dritte) Anwendung.
15. Auswirkungen dieses Zusatzes zur Datenverarbeitung
Im Falle von Konflikten oder Abweichungen zwischen den Standardvertragsklauseln, den Zusatzbedingungen für außereuropäische Datenschutzgesetze, diesem Datenverarbeitungszusatz und den übrigen Bestimmungen der Vereinbarung gilt die folgende Rangfolge:
(a) die Standardvertragsklauseln;
(b) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften;
(c) den übrigen Teil dieser Datenverarbeitungsbedingungen; und
(d) der Rest der Vereinbarung.
Wird diese Vereinbarung (einschließlich eines Zusatzes) in eine andere Sprache übersetzt und ist der übersetzte Text im Widerspruch zum englischen Text oder nicht mit ihm vereinbar, ist der englische Text maßgeblich.
Mit Ausnahme der Änderungsvereinbarungen in diesem Zusatz zur Datenverarbeitung bleibt die Vereinbarung bindend.
16. Änderungen an diesem Zusatz zur Datenverarbeitung
16.1 Änderungen an URLs: Jibe kann gelegentlich Änderungen an den in diesem Zusatz zur Datenverarbeitung genannten URLs sowie den unter diesen URLs verfügbaren Inhalten vornehmen. Jibe darf die Standardvertragsklauseln jedoch nur gemäß den Abschnitten 16.2(b) bis 16.2(d) (Änderungen an den Datenverarbeitungsbedingungen) ändern oder eine neue Version der Standardvertragsklauseln einbeziehen, die gemäß der europäischen Datenschutzgesetzgebung verabschiedet werden kann. In jedem Fall dürfen die Änderungen die Gültigkeit der Standardvertragsklauseln gemäß der europäischen Datenschutzgesetzgebung nicht beeinträchtigen.
16.2 Änderungen an den Bedingungen zur Datenverarbeitung Jibe kann diesen Zusatz zur Datenverarbeitung ändern, wenn eine solche Änderung:
(a) ausdrücklich durch diesen Zusatz zur Datenverarbeitung erlaubt ist, einschließlich der in Paragraf 16.1 (Änderungen bei URLs) beschriebenen Fälle;
(b) einer Änderung des Namens oder der Rechtsform eines Rechtssubjekts Rechnung trägt;
(c) erforderlich ist, um anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde zu entsprechen, oder
(d) führt nicht zu (i) einer Beeinträchtigung der allgemeinen Sicherheit der Auftragsdatenverarbeitungsdienste, (ii) einer Ausweitung des Umfangs oder einer Aufhebung von Einschränkungen (x) im Fall der zusätzlichen Nutzungsbedingungen für außereuropäisches Datenschutzrecht der Rechte von Jibe zur Nutzung oder anderweitigen Verarbeitung der Daten im Geltungsbereich der zusätzlichen Nutzungsbedingungen für außereuropäisches Datenschutzrecht oder (y) im Fall des Rests dieser Datenverarbeitungsbedingungen der Verarbeitung personenbezogener Daten des Unternehmens durch Jibe, wie in Abschnitt 5.3 (Einhaltung von Anweisungen durch Jibe) beschrieben, und (iii) hat anderweitig keine erheblichen nachteiligen Auswirkungen auf die Rechte des Unternehmens gemäß diesem Zusatz zur Datenverarbeitung, wie von Jibe nach Treu und Glauben bestimmt.
16.3 Benachrichtigung über Änderungen Wenn Jibe beabsichtigt, diesen Zusatz zur Datenverarbeitung gemäß Paragraf 16.2(c) oder (d) zu ändern, informiert Jibe das Unternehmen mindestens 30 Tage (oder einen kürzeren Zeitraum, der zur Einhaltung anwendbarer Gesetze, anwendbarer Verordnungen, eines Gerichtsbeschlusses oder einer Richtlinie einer behördlichen Regulierungsbehörde oder Agentur erforderlich ist) vor Inkrafttreten der Änderung entweder durch: (a) Senden einer E-Mail an die Benachrichtigungs-E-Mail-Adresse oder (b) Benachrichtigung des Unternehmens über die Benutzeroberfläche für die Verarbeitungsdienste. Wenn das Unternehmen Einspruch gegen eine solche Änderung einlegt, kann es die Vereinbarung kündigen, indem es Jibe innerhalb von 90 Tagen nach der Information durch Jibe über die Änderung schriftlich benachrichtigt.
Anhang 1: Gegenstand und Details der Datenverarbeitung
Vertragsinhalt
Die Bereitstellung der Auftragsverarbeiterdienste und des damit verbundenen technischen Supports durch Jibe für das Unternehmen.
Dauer der Verarbeitung
Die Laufzeit zuzüglich des Zeitraums vom Ablauf der Laufzeit bis zum Löschen aller personenbezogenen Daten des Unternehmens durch Jibe gemäß diesem Zusatz zur Datenverarbeitung.
Art und Zweck der Verarbeitung
Jibe verarbeitet personenbezogene Daten des Unternehmens zum Zweck der Bereitstellung der Auftragsverarbeiterdienste und des zugehörigen technischen Supports für das Unternehmen gemäß diesem Zusatz zur Datenverarbeitung (einschließlich, sofern zutreffend für die Auftragsverarbeiterdienste und die in Paragraf 5.2 (Weisungen des Unternehmens) beschriebenen Anweisungen, des Erhebens, Aufzeichnens, Organisierens, Strukturierens, Speicherns, Änderns, Abrufens, Verwendens, Offenlegens, Kombinierens, Löschens und Vernichtens personenbezogener Daten des Unternehmens).
Arten personenbezogener Daten
Personenbezogene Daten zu natürlichen Personen, die Jibe über die Verarbeitungsdienste vom (oder auf Anweisung des) Unternehmens oder von den Endnutzern des Unternehmens zur Verfügung gestellt werden.
Kategorien betroffener Personen
Zu den betroffenen Personen zählen die Personen, über die Jibe Daten über die Verarbeitungsdienste vom (oder auf Anweisung des) Unternehmens oder von den Endnutzern des Unternehmens zur Verfügung gestellt werden.
Anhang 2: Sicherheitsmaßnahmen
Ab dem Datum des Inkrafttretens der Bedingungen implementiert und bewahrt Jibe die in diesem Anhang 2 aufgeführten Sicherheitsmaßnahmen. Jibe kann diese Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, vorausgesetzt dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Auftragsverarbeiterdienste führen.
1. Sicherheit von Rechenzentrum und Netzwerk
(a) Rechenzentren.
Infrastruktur. Jibe betreibt geografisch verteilte Rechenzentren. Jibe speichert alle Produktionsdaten in physisch gesicherten Rechenzentren.
Redundanz. Die Infrastruktursysteme wurden entwickelt, um Single Points of Failure (zentrale Schwachpunkte) zu beseitigen und um die Auswirkungen der zu erwartenden Umgebungsrisiken zu minimieren. Diese Redundanz wird mithilfe von Doppelschaltungen, Switches, Netzwerken oder anderen notwendigen Geräten hergestellt. Die Auftragsverarbeiterdienste sind so konzipiert, dass Jibe bestimmte vorbeugende und fehlerbehebende Instandhaltungsmaßnahmen ohne Unterbrechung durchführen kann. Für sämtliche Anlagen und Einrichtungen gibt es dokumentierte, vorbeugende Instandhaltungsverfahren, in denen der Prozess und die Häufigkeit von deren Durchführung in Übereinstimmung mit den Herstellervorgaben oder internen Vorgaben ausführlich beschrieben werden. Die vorbeugende und korrektive Wartung der Geräte des Rechenzentrums wird durch einen Standardprozess gemäß dokumentierter Verfahren geplant.
Stromversorgung. Die Stromversorgungssysteme der Rechenzentren sind redundant ausgelegt und können ohne Beeinträchtigung des Dauerbetriebs rund um die Uhr (24 Stunden am Tag und 7 Tage die Woche) gewartet werden. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum sowohl eine primäre als auch eine alternative Stromquelle mit jeweils gleicher Kapazität bereitgestellt. Die Notstromversorgung erfolgt über verschiedene Mechanismen, z. B. durch unterbrechungsfreie Stromversorgungsbatterien (USV), die bei Stromabschaltungen, Stromausfällen, Überspannung, Unterspannung und Frequenz-Toleranzüberschreitungen eine durchgängig zuverlässige Stromabsicherung ermöglichen. Falls die Stromversorgung des Energieversorgers unterbrochen wird, ist die Ersatzversorgung so entworfen, dass die Rechenzentren übergangsweise bei voller Last Energie für bis zu 10 Minuten erhalten sollen, bis die Dieselgeneratoren die Versorgung übernehmen. Die Dieselgeneratoren sind in der Lage, innerhalb von Sekunden automatisch hochzufahren, um genügend Notstrom bereitzustellen, damit das Rechenzentrum in der Regel über einen Zeitraum von Tagen bei voller Kapazität betrieben werden kann.
Server-Betriebssysteme. Jibe-Server verwenden gehärtete Betriebssysteme, die für die spezifischen Anforderungen des Betriebs angepasst sind. Die Daten werden mit proprietären Algorithmen gespeichert, um die Datensicherheit und Redundanz zu erhöhen. Jibe verwendet einen Codeüberprüfungsprozess, um die Sicherheit des Codes für die Bereitstellung der Auftragsverarbeiterdienste zu erhöhen und die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.
Geschäftskontinuität. Jibe repliziert Daten über mehrere Systeme, um sie vor versehentlicher Vernichtung oder Verlust zu schützen. Jibe hat Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs/Notfallwiederherstellungsprogramme konzipiert, die regelmäßig weiterentwickelt und getestet werden.
(b) Netzwerke und Übertragung.
Datenübertragung. Rechenzentren sind in der Regel über Hochgeschwindigkeitsdirektverbindungen (High-Speed-Private-Links) verbunden, um eine sichere und schnelle Datenübertragung zwischen den Rechenzentren bereit zu stellen. Dies soll verhindern, dass Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträger ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden. Jibe überträgt Daten über Internet-Standardprotokolle.
Externe Angriffsfläche. Jibe verwendet mehrere Schichten von Netzwerkgeräten und Einbruchserkennungssystemen, um die externe Angriffsfläche zu sichern. Jibe berücksichtigt potenzielle Angriffsvektoren und integriert geeignete, speziell entwickelte Technologien in nach außen gerichtete Systeme.
Intrusion Detection. Die Maßnahmen zur Einbruchserkennung zielen darauf ab, Einblicke in laufende Angriffsaktivitäten zu ermöglichen und angemessene Informationen zu liefern, um auf Vorfälle zu reagieren. Die Einbruchserkennung von Jibe umfasst:
die strenge Kontrolle von Größe und Zusammensetzung der Angriffsfläche von Jibe durch vorbeugende Maßnahmen;
den Einsatz intelligenter Erkennungsmechanismen an Datenerfassungspunkten; und
den Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch beheben.
Reaktion bei Vorfällen. Jibe überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle. Das Sicherheitspersonal von Jibe reagiert umgehend auf bekannte Vorfälle.
Verschlüsselungstechnologien. Jibe stellt HTTPS-Verschlüsselung (auch SSL- oder TLS-Verbindung genannt) zur Verfügung. Jibe-Server unterstützen den ephemeren elliptischen Diffie-Hellman-Kryptografie-Schlüsselaustausch, der mit RSA und ECDSA signiert ist. Diese Perfect-Forward-Secrecy-(PFS)-Methoden tragen dazu bei, den Datenverkehr zu schützen und die Auswirkungen eines kompromittierten Schlüssels oder eines kryptografischen Durchbruchs zu minimieren.
2. Zutrittskontrollen und Zugriffssteuerung
(a) Standortkontrollen.
Rechenzentrums-Sicherheitsdienst vor Ort. Die Rechenzentren von Jibe beschäftigen vor Ort einen Sicherheitsdienst, der rund um die Uhr (24 Stunden am Tag, 7 Tage die Woche) für alle Sicherheitsfunktionen des physischen Rechenzentrums verantwortlich ist. Das Sicherheitspersonal vor Ort kontrolliert Videoüberwachungskameras und alle Alarmsysteme.CCTV Das Sicherheitspersonal vor Ort unternimmt regelmäßig Kontrollgänge innerhalb und außerhalb des Rechenzentrums.
Zugangsverfahren in Rechenzentren. Jibe unterhält formelle Zugangsverfahren für den physischen Zugang zu Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, die für den Zugang einen elektronischen Kartenschlüssel erfordern, wobei Alarmanlagen mit dem Sicherheitsdienst vor Ort verbunden sind. Alle Personen, die das Rechenzentrum betreten, müssen sich identifizieren und beim Sicherheitsdienst vor Ort ausweisen. Der Zutritt zu den Rechenzentren ist nur autorisierten Mitarbeitern, Auftragnehmern und Besuchern gestattet. Nur autorisierte Mitarbeiter und Auftragnehmer dürfen Zugang zu diesen Einrichtungen mit elektronischem Kartenschlüssel anfordern. Anträge auf Zugang zu Rechenzentren mit einer elektronischen Schlüsselkarte müssen im Voraus und schriftlich beantragt werden und erfordern die Zustimmung des Vorgesetzten des Antragstellers und des Direktors des Rechenzentrums. Alle anderen Personen, die einen temporären Zugang zu einem Rechenzentrum benötigen, müssen: (i) im Voraus die Genehmigung durch den Manager des Rechenzentrums für das jeweilige Rechenzentrum und die internen Bereiche einholen, die sie besuchen möchten; (ii) sich beim Sicherheitsdienst vor Ort anmelden; und (iii) den Nachweis der Genehmigung eines Antrags auf Zugang zum Rechenzentrum vorlegen, der sich auf die betreffende Person bezieht.
Sicherheitsgeräte für Rechenzentren vor Ort. Die Rechenzentren von Jibe verwenden ein System mit elektronischen Schlüsselkarten und biometrischer Zugangskontrolle, das mit einem Alarmsystem verbunden ist. Das Zugangskontrollsystem überwacht und protokolliert den elektronischen Kartenschlüssel jeder Person und wann sie Zugang zu Außentüren, Versand und Empfang und anderen kritischen Bereichen hat. Unbefugte Aktivitäten und fehlgeschlagene Zutrittsversuche werden vom Zugangskontrollsystem protokolliert und gegebenenfalls untersucht. Der autorisierte Zugang im gesamten Geschäftsbetrieb und in den Rechenzentren ist auf Grundlage von Bereichen und den Aufgaben des Einzelnen beschränkt. Die Brandschutztüren in den Rechenzentren sind alarmgesichert. Überwachungskameras sind sowohl innerhalb als auch außerhalb der Rechenzentren in Betrieb. Die Positionierung der Kameras wurde so konzipiert, dass sie strategische Bereiche abdeckt, darunter unter anderem die Umgebung, Türen zum Rechenzentrumsgebäude und Versand/Annahme. Das Sicherheitspersonal vor Ort verwaltet die CCTV-Überwachungs-, Aufzeichnungs- und Kontrollausrüstung. Sichere Kabel in den Rechenzentren verbinden die Überwachungsgeräte. Die Kameras zeichnen vor Ort 24 Stunden am Tag, 7 Tage die Woche auf. Die Überwachungsaufzeichnungen werden je nach Aktivität mindestens 7 Tage lang aufbewahrt.
(b) Zugriffskontrolle
Personal für Infrastruktursicherheit. Jibe hat eine Sicherheitsrichtlinie für sein Personal erlassen und erhält diese aufrecht. Jibe verlangt von seinen Mitarbeitern die Teilnahme an einem Sicherheitstraining als Teil eines Schulungsprogramms. Das Personal für Infrastruktursicherheit von Jibe ist für die fortlaufende Überwachung der Sicherheitsinfrastruktur von Jibe, die Überprüfung der Auftragsverarbeiterdienste und die Reaktion auf Sicherheitsvorfälle verantwortlich.
Zugriffskontrolle und Privilege Management. Administratoren und Nutzer des Unternehmens müssen sich über ein zentrales Authentifizierungssystem oder über ein Einmalanmeldungssystem authentifizieren, um die Auftragsverarbeiterdienste nutzen zu können.
Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinien. Die internen Datenzugriffsprozesse und -richtlinien von Jibe sollen verhindern, dass unbefugte Personen und/oder Systeme Zugriff auf Systeme erhalten, die zur Verarbeitung personenbezogener Daten verwendet werden. Jibe ist bestrebt, die Systeme so zu gestalten, dass: (i) nur berechtigten Personen Zugang zu den Daten gewährt wird, für die sie zugriffsberechtigt sind; und (ii) sichergestellt ist, dass personenbezogene Daten ohne entsprechende Berechtigung während ihrer Verarbeitung, Nutzung und nach ihrer Speicherung nicht gelesen, kopiert, verändert oder gelöscht werden können. Die Systeme sind darauf ausgelegt, unangemessene Zugriffe zu erkennen. Jibe verwendet ein zentrales Zugriffsverwaltungssystem, um den Personalzugriff auf Produktionsserver zu kontrollieren, und gewährt nur einer begrenzten Anzahl autorisierter Mitarbeiter Zugriff. LDAP, Kerberos und ein proprietäres System, das SSH-Zertifikate verwendet, bieten Jibe sichere und flexible Zugriffsmechanismen. Diese Mechanismen sind so konzipiert, dass nur genehmigte Zugriffsrechte auf Site-Hosts, Protokolle, Daten und Konfigurationsinformationen gewährt werden. Jibe verlangt die Verwendung eindeutiger Nutzer-IDs, starker Passwörter, der 2-Faktor-Authentifizierung und sorgfältig überwachter Zugriffslisten, um das Risiko einer unbefugten Kontonutzung zu minimieren. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den beruflichen Verantwortlichkeiten des berechtigten Personals; verpflichtenden Anforderungen, die zur Erfüllung von Arbeitsaufgaben gestellt werden müssen und zu denen Berechtigung besteht, und dem Need-to-know-Prinzip. Die Gewährung oder Änderung von Zugriffsrechten muss außerdem den internen Datenzugriffsrichtlinien und Schulungen von Jibe entsprechen. Genehmigungen werden durch Workflow-Tools verwaltet, die Prüfaufzeichnungen aller Änderungen enthalten. Der Zugriff auf Systeme wird protokolliert, um einen Audit-Trail zur Rechenschaftspflicht zu erstellen. Wo Passwörter zur Authentifizierung eingesetzt werden (z.B. zum Login an Arbeitsplatzrechnern), sind Passwortrichtlinien eingerichtet worden, die mindestens dem Industriestandard entsprechen. Diese Standards umfassen Einschränkungen bei der Wiederverwendung von Passwörtern und eine ausreichende Passwortstärke.
3. Daten
(a) Datenspeicherung, Isolation und Authentifizierung.
Jibe speichert Daten in einer Multi-Tenant-Umgebung auf Servern, die im Eigentum von Jibe stehen. Die Daten, die Datenbanken der Auftragsverarbeiterdienste und die Architektur des Dateiverwaltungssystems werden in mehreren geografisch verteilten Rechenzentren repliziert. Jibe isoliert die Daten jedes Kunden logisch voneinander. Für alle Auftragsverarbeiterdienste wird übergreifend ein zentrales Authentifizierungssystem genutzt, um die allgemeine Datensicherheit zu erhöhen.
(b) Stilllegung und Richtlinien zur Zerstörung von Festplatten.
Bei bestimmten Datenträgern, die Daten enthalten, können Leistungsprobleme, Fehler oder Hardwareausfälle auftreten, die zu ihrer Außerbetriebnahme führen („Außer Betrieb genommener Datenträger“). Jeder außer Betrieb genommene Datenträger unterliegt einer Reihe von Prozessen zur Datenvernichtung (den Richtlinien zur Datenvernichtung), bevor er das Gelände von Jibe entweder zur Wiederverwendung oder zur Vernichtung verlässt. Außer Betrieb genommene Datenträger werden in einem mehrstufigen Prozess gelöscht. Die vollständige Löschung muss von mindestens zwei unabhängigen Prüfern bestätigt werden. Die Löschergebnisse werden anhand der Seriennummer des außer Betrieb genommenen Datenträgers zur Nachverfolgung gespeichert. Abschließend wird der gelöschte außer Betrieb genommene Datenträger im Inventar zur Wiederverwendung freigegeben. Wenn der außer Betrieb genommene Datenträger aufgrund eines Hardwarefehlers nicht gelöscht werden kann, wird er sicher aufbewahrt, bis er vernichtet werden kann. Jede Einrichtung wird regelmäßig auditiert, um zu überwachen, dass die Richtlinien zur Zerstörung von Daten eingehalten werden.
4. Mitarbeitersicherheit
Die Mitarbeiter von Jibe sind verpflichtet, sich in Übereinstimmung mit den Unternehmensrichtlinien in Bezug auf Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards zu verhalten. Jibe führt im angemessenen Umfang Hintergrundüberprüfungen durch, soweit dies im Einklang mit geltendem Recht, insbesondere mit anwendbarem nationalem Arbeitsrecht und anwendbaren gesetzlichen Bestimmungen steht.
Die Mitarbeiter sind verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen sowie den Erhalt und die Einhaltung der Vertraulichkeits- und Datenschutzbestimmungen von Jibe zu bestätigen. Das Personal erhält Sicherheitsschulungen. Mitarbeiter, die personenbezogene Daten des Unternehmens verarbeiten, müssen zusätzliche Anforderungen erfüllen, die ihrer Rolle entsprechen. Die Mitarbeiter von Jibe verarbeiten keine personenbezogenen Daten des Unternehmens ohne Autorisierung.
5. Sicherheit von Unterauftragsverarbeitern
Bevor Unterauftragsverarbeiter eingesetzt werden, führt Jibe zuerst eine Prüfung der Sicherheits- und Datenschutzpraxis des Unterauftragsverarbeiters durch, um dafür zu sorgen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen Verhältnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht. Nachdem Jibe die bestehenden Risiken der Zusammenarbeit mit einem Unterauftragsverarbeiter bewertet hat, muss dieser, unter Beachtung der in Paragraf 11.3 (Voraussetzungen für die Beschäftigung von Unterauftragsverarbeitern) dargelegten Voraussetzungen, entsprechenden Vertragsbedingungen bezüglich Sicherheit, Vertraulichkeit und Datenschutz zustimmen.
Anhang 3: Zusatzbedingungen für außereuropäische Datenschutzvorschriften
Die folgenden Zusatzbedingungen für außereuropäische Datenschutzvorschriften ergänzen diese Datenverarbeitungsbedingungen:
- CCPA-Zusatz für Dienstanbieter unter privacy.google.com/businesses/gdprprocessorterms/ccpa (Stand 27. August 2020)
- Ergänzung für LGPD-Auftragsverarbeiter unter privacy.google.com/businesses/gdprprocessorrterms/lgpd (Stand 27. August 2020)
Datenverarbeitungsbedingungen für Jibe, Version 2.0
27. August 2020