Letzte Änderung: 8. August 2023 | Vorherige Versionen
Jibe und die Gegenpartei, die diesem Zusatz zustimmt („Partner“), haben eine Vereinbarung zur Bereitstellung der Verarbeitungsdienste (die „Vereinbarung“) geschlossen, die von Zeit zu Zeit geändert werden kann.
Dieser Zusatz zur Datenverarbeitung, einschließlich der Anhänge (der „Zusatz zur Datenverarbeitung“), wird zwischen Jibe und dem Partner geschlossen und ergänzt die Vereinbarung. Dieser Zusatz zur Datenverarbeitung tritt ab dem Datum des Inkrafttretens der Bedingungen in Kraft und ersetzt alle zuvor anwendbaren Bedingungen in Bezug auf deren Gegenstand (einschließlich aller Datenverarbeitungs- und Sicherheitsbedingungen in Bezug auf die Auftragsverarbeiterdienste).
Wenn Sie diesen Zusatz zur Datenverarbeitung im Namen des Partners akzeptieren, gewährleisten Sie, dass (a) Sie die uneingeschränkte rechtliche Befugnis haben, den Partner an diesen Zusatz zur Datenverarbeitung zu binden, (b) Sie diesen Zusatz zur Datenverarbeitung gelesen und verstanden haben und (c) Sie im Namen des Partners diesem Zusatz zur Datenverarbeitung zustimmen. Wenn Sie nicht rechtlich befugt sind, den Partner an diese Vereinbarung zu binden, akzeptieren Sie dieses Addendum zur Datenverarbeitung bitte nicht.
1. Einführung
Dieser Zusatz zur Datenverarbeitung spiegelt die Vereinbarung der Parteien über die Bedingungen für die Verarbeitung und Sicherheit bestimmter Daten im Zusammenhang mit europäischen und außereuropäischen Datenschutzgesetzen wider.
2. Begriffsbestimmungen und Auslegung
2.1 In diesem Zusatz zur Datenverarbeitung gelten folgende Definitionen:
„Zusätzliches Produkt“ bezeichnet ein Produkt, einen Dienst oder eine Anwendung, die von Jibe oder einem Drittanbieter bereitgestellt werden und (a) nicht Teil der Auftragsverarbeiterdienste sind und (b) über die Benutzeroberfläche der Auftragsverarbeiterdienste zugänglich sind oder anderweitig in die Auftragsverarbeiterdienste eingebunden sind.
„Zusatzbedingungen für außereuropäische Datenschutzvorschriften“ sind die in Anhang 3 genannten zusätzlichen Bedingungen. Sie stellen die Vereinbarung zwischen den Parteien bezüglich der Bedingungen dar, die für die Verarbeitung bestimmter Daten in Zusammenhang mit bestimmten außereuropäischen Datenschutzvorschriften gelten.
„Land mit angemessenem Schutz“ bedeutet:
(a) bei Datenverarbeitung, die der EU-DSGVO unterliegt: den EWR oder ein Land oder Gebiet, das gemäß der EU-DSGVO einen angemessenen Datenschutz gewährleistet;
(b) bei Datenverarbeitung, die der UK GDPR unterliegt: das Vereinigte Königreich oder ein Land oder Gebiet, das gemäß der UK GDPR und dem Data Protection Act 2018 einen angemessenen Datenschutz gewährleistet, und/oder
(c) für Daten, die gemäß dem schweizerischen Datenschutzgesetz verarbeitet werden: die Schweiz oder ein Land oder Gebiet, das (i) in der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten Liste der Staaten aufgeführt ist, deren Gesetzgebung ein angemessenes Datenschutzniveau gewährleistet, oder das (ii) gemäß dem schweizerischen Datenschutzgesetz vom Bundesrat der Schweiz als Gebiet oder Land anerkannt ist, das einen angemessenen Datenschutz gewährleistet, in keinem Fall jedoch auf der Grundlage eines optionalen Datenschutzrahmens.
„Alternative Übertragungslösung“ bezeichnet eine andere Lösung als die Standardvertragsklauseln, die die rechtmäßige Übertragung personenbezogener Daten in ein Drittland gemäß europäischen Datenschutzvorschriften ermöglicht, z. B. ein Datenschutzrahmen, der dafür sorgt, dass die teilnehmenden lokalen Rechtssubjekte einen angemessenen Schutz bieten.
„Datenvorfall“ bezeichnet einen Verstoß gegen die Sicherheit von Jibe, der zur versehentlichen oder rechtswidrigen Vernichtung, zu Verlust, Änderung, unberechtigten Offenlegung von oder unberechtigtem Zugriff auf personenbezogene Daten von Partnern in Systemen führt, die von Jibe verwaltet oder anderweitig kontrolliert werden. „Datenvorfälle“ umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit der personenbezogenen Daten des Partners nicht beeinträchtigen, einschließlich fehlgeschlagener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
„Tool für betroffene Personen“ bezeichnet ein Tool, das gegebenenfalls von einer Jibe-Rechtssubjektivität für betroffene Personen bereitgestellt wird und es Jibe ermöglicht, direkt und standardisiert auf bestimmte Anfragen von betroffenen Personen in Bezug auf personenbezogene Daten von Partnern zu reagieren (z. B. Einstellungen für Onlinewerbung oder ein Browser-Plug-in zum Deaktivieren).
„EWR“ bezeichnet den Europäischen Wirtschaftsraum.
EU-DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum kostenlosen Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
„Europäisches Datenschutzrecht“ bezeichnet, je nach Anwendungsfall, (a) die DSGVO und/oder (b) das Schweizer Datenschutzgesetz.
„Europäisches Recht“ bedeutet, soweit anwendbar: (a) das Recht der EU oder der EU-Mitgliedstaaten (wenn die EU-DSGVO für die Verarbeitung personenbezogener Daten des Partners gilt); und/oder (b) das Recht des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs (wenn die DSGVO des Vereinigten Königreichs für die Verarbeitung personenbezogener Daten des Partners gilt).
„DSGVO“ bezeichnet, je nach Anwendungsfall, (a) die EU-DSGVO und/oder (b) die DSGVO (Vereinigtes Königreich).
„Jibe“ bezeichnet die Jibe-Rechtspersönlichkeit, die Partei der Vereinbarung ist.
„Jibe-Rechtssubjekt“ bezeichnet Jibe Mobile, Inc., Jibe Mobile Limited oder jede andere juristische Person, die Jibe Mobile, Inc. direkt oder indirekt kontrolliert, von dieser direkt oder indirekt kontrolliert wird oder mit dieser unter gemeinsamer direkter oder indirekter Kontrolle steht.
„ISO 27001-Zertifizierung“ bedeutet eine Zertifizierung nach ISO/IEC 27001:2013 oder eine vergleichbare Zertifizierung für die Verarbeitungsdienste.
„Neuer Unterauftragsverarbeiter“ hat die in Abschnitt 11.1 (Zustimmung zur Beauftragung von Unterauftragsverarbeitern) angegebene Bedeutung.
„Außereuropäische Datenschutzvorschriften“ sind Gesetze zum Schutz von Daten oder der Privatsphäre, die außerhalb des EWR, der Schweiz und des Vereinigten Königreichs gelten.
„E-Mail-Adresse für Benachrichtigungen“ bezeichnet die E-Mail-Adresse, die (falls zutreffend) (i) vom Partner an Jibe angegeben oder (ii) vom Partner über die Benutzeroberfläche der Verarbeitungsdienste oder andere von Jibe bereitgestellte Mittel zum Empfang bestimmter Benachrichtigungen von Jibe im Zusammenhang mit diesem Zusatz zur Datenverarbeitung bestimmt wurde. Zur Klarstellung: Der Partner ist dafür verantwortlich, Jibe eine E-Mail-Adresse für Benachrichtigungen zur Verfügung zu stellen und Jibe über Änderungen an der E-Mail-Adresse für Benachrichtigungen zu informieren.
Personenbezogene Daten des Partners bezeichnet personenbezogene Daten, die im Auftrag des Partners durch Jibe im Rahmen der Erbringung der Auftragsverarbeiterdienste verarbeitet werden.
„Standardvertragsklauseln für Partner“ bezeichnet je nach Anwendungsfall die Standardvertragsklauseln (Verantwortlicher an Auftragsverarbeiter), die Standardvertragsklauseln (Auftragsverarbeiter an Verantwortlichen) und/oder die Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter).
„Verarbeitungsdienste“ bezeichnet RCS Business Messaging-Dienste (wie unter developers.google.com/business-communications/rcs-business-messaging beschrieben).
„Standardvertragsklauseln“ bezeichnet je nach Anwendbarkeit die Standardvertragsklauseln für Partner und/oder die Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter, Jibe-Exporteur).
„Standardvertragsklauseln (Verantwortlicher an Auftragsverarbeiter)“ bezeichnet die Bestimmungen unter business.safety.google/gdprcontrollerterms/sccs/eu-c2p-dpa.
„Standardvertragsklauseln (Auftragsverarbeiter an Verantwortlichen)“ bezeichnet die Bestimmungen unter business.safety.google/gdprprocessorterms/sccs/p2c.
„Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter)“ bezeichnet die Bestimmungen unter business.safety.google/gdprprocessorterms/sccs/eu-p2p-dpa.
„Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter, Jibe-Exporteur)“ bezeichnet die Bestimmungen unter business.safety.google/gdprprocessorterms/sccs/eu-p2p-intra-group.
„Sicherheitsdokumentation“ bezeichnet die ISO 27001-Zertifizierung und alle anderen Sicherheitszertifizierungen oder -dokumente, die Jibe im Zusammenhang mit den Verarbeitungsdiensten zur Verfügung stellt.
„Sicherheitsmaßnahmen“ hat die in Abschnitt 7.1.1 (Sicherheitsmaßnahmen von Jibe) angegebene Bedeutung.
„Unterauftragsverarbeiter“ bezeichnet Dritte, die gemäß diesem Zusatz zur Datenverarbeitung autorisiert sind, logisch auf personenbezogene Daten des Partners zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste und den zugehörigen technischen Support bereitzustellen.
„Aufsichtsbehörde“ bedeutet, soweit zutreffend: (a) eine „Aufsichtsbehörde“ im Sinne der EU-DSGVO und/oder (b) der „Datenschutzbeauftragte“ im Sinne der UK-DSGVO und/oder des schweizerischen Datenschutzgesetzes.
„Schweizer Datenschutzgesetz“ bezeichnet das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992.
Laufzeit bezeichnet den Zeitraum zwischen dem Wirksamkeitsdatum und dem Ende der Bereitstellung der Verarbeitungsdienste durch Jibe gemäß der Vereinbarung.
„Datum des Inkrafttretens der Bedingungen“ bezeichnet das Datum des Inkrafttretens der Vereinbarung.
„UK-DSGVO“ bezeichnet die EU-DSGVO in der geänderten und in das britische Recht übernommenen Fassung gemäß dem UK European Union (Withdrawal) Act 2018 (sofern in Kraft) sowie anwendbare sekundäre Vorschriften dieses Gesetzes.
2.2 Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben in diesem Zusatz zur Datenverarbeitung die in der DSGVO festgelegte Bedeutung. Die Begriffe „Datenimporteur“ und „Datenexporteur“ haben die in den anwendbaren Standardvertragsklauseln festgelegte Bedeutung.
2.3 Die Wörter einschließen und einschließlich bedeuten „einschließlich, aber nicht beschränkt auf“. Alle Beispiele in diesem Zusatz zur Datenverarbeitung dienen nur der Veranschaulichung und sind nicht als ausschließliche Beispiele für ein bestimmtes Konzept gedacht.
2.4 Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren zum jeweiligen Zeitpunkt gültige (gelegentlich geänderte oder überarbeitete) Fassung.
2.5 Soweit eine übersetzte Fassung dieses Zusatzes zur Datenverarbeitung nicht mit der englischen Fassung übereinstimmt, hat die englische Fassung Vorrang.
3. Gültigkeitsdauer dieses Zusatzes zur Datenverarbeitung
Dieser Zusatz zur Datenverarbeitung tritt mit dem Datum des Inkrafttretens der Bedingungen in Kraft und bleibt ungeachtet des Ablaufs der Laufzeit so lange in Kraft, bis Jibe alle personenbezogenen Daten des Partners wie in diesem Zusatz zur Datenverarbeitung beschrieben gelöscht hat, wodurch er automatisch außer Kraft tritt.
4. Anwendbarkeit dieses Zusatzes zur Datenverarbeitung
4.1 Anwendung der europäischen Datenschutzvorschriften Die Abschnitte 5 (Verarbeitung von Daten) bis 12 (Jibe kontaktieren; Datensätze verarbeiten) (einschließlich) gelten nur, soweit die europäischen Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten des Partners anwendbar sind, z. B. in folgenden Fällen:
(a) die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Partners im EWR oder im Vereinigten Königreich erfolgt; und/oder
(b) personenbezogene Daten des Partners personenbezogene Daten von betroffenen Personen sind, die sich im EWR oder im Vereinigten Königreich befinden, und die Verarbeitung sich auf das Angebot von Waren oder Dienstleistungen oder die Überwachung ihres Verhaltens im EWR oder im Vereinigten Königreich bezieht.
4.2 Anwendung auf Auftragsverarbeitungsdienste Dieser Zusatz zur Datenverarbeitung gilt nur für die Auftragsverarbeitungsdienste, für die die Parteien diesen Zusatz zur Datenverarbeitung vereinbart haben (z. B. (a) die Auftragsverarbeitungsdienste, für die der Partner auf „Akzeptieren“ geklickt hat, um diesen Zusatz zur Datenverarbeitung zu akzeptieren, oder (b) die Auftragsverarbeitungsdienste, die Gegenstand der Vereinbarung sind, wenn dieser Zusatz zur Datenverarbeitung durch Verweis in die Vereinbarung aufgenommen wurde).
4.3 Einbeziehung von Zusatzbedingungen für außereuropäische Datenschutzvorschriften Die Zusatzbedingungen für außereuropäische Datenschutzvorschriften ergänzen diesen Zusatz zur Datenverarbeitung.
5. Verarbeitung von Daten
5.1 Rollen und Compliance mit gesetzlichen Bestimmungen; Autorisierung.
5.1.1 Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Parteien bestätigen und erklären sich damit einverstanden, dass:
(a) Anhang 1 beschreibt den Gegenstand und die Details der Verarbeitung personenbezogener Daten des Partners.
(b) Jibe ist ein Auftragsverarbeiter personenbezogener Daten von Partnern gemäß den europäischen Datenschutzgesetzen;
(c) der Partner gemäß dem europäischen Datenschutzrecht hinsichtlich der personenbezogenen Daten des Partners, je nach anwendbarem Fall, ein Verantwortlicher oder Auftragsverarbeiter ist; und
(d) hält jede Partei die für sie geltenden Verpflichtungen gemäß dem europäischen Datenschutzrecht in Bezug auf die Verarbeitung personenbezogener Daten des Partners ein.
5.1.2 Auftragsverarbeiterpartner. Wenn der Partner ein Auftragsverarbeiter ist:
(a) Der Partner garantiert fortlaufend, dass der jeweilige Verantwortliche (i) die Weisungen, (ii) die Ernennung von Jibe als weiteren Auftragsverarbeiter durch den Partner und (iii) die Beauftragung von Unterauftragsverarbeitern durch Jibe wie in Abschnitt 11 (Unterauftragsverarbeiter) beschrieben genehmigt hat.
(b) Der Partner leitet unverzüglich jede Mitteilung, die Jibe gemäß den Abschnitten 5.4 (Benachrichtigungen über Weisungen), 7.2.1 (Meldung eines Vorfalls) und 11.4 (Möglichkeit, dem Wechsel des Unterauftragsverarbeiters zu widersprechen) zur Verfügung stellt oder die sich auf eine beliebige Standardvertragsklausel bezieht, an den entsprechenden Verantwortlichen weiter.
(c) Der Partner kann dem zuständigen Verantwortlichen alle Informationen zur Verfügung stellen, die von Jibe gemäß den Abschnitten 7.4 (Sicherheitszertifizierung), 10.5 (Informationen zu Rechenzentren) und 11.2 (Informationen zu Unterauftragsverarbeitern) zur Verfügung gestellt werden.
5.2 Anweisungen des Partners Durch den Abschluss dieses Zusatzes zur Datenverarbeitung weist der Partner Jibe an, personenbezogene Daten des Partners nur gemäß anwendbarem Recht zu verarbeiten: (a) zur Bereitstellung der Auftragsverarbeiterdienste und des damit verbundenen technischen Supports; (b) wie weiter durch die Nutzung des Partners der Auftragsverarbeiterdienste festgelegt (einschließlich durch die Einstellungen und Funktionalitäten der Auftragsverarbeiterdienste) und damit im Zusammenhang stehenden technischen Supports; (c) wie in der Vereinbarung, einschließlich dieses Zusatzes zur Datenverarbeitung, dokumentiert; und (d) wie weiter in allen anderen schriftlichen Anweisungen des Partners dokumentiert, die von Jibe als Anweisungen im Sinne dieses Zusatzes zur Datenverarbeitung anerkannt werden (zusammen die Anweisungen).
5.3 Einhaltung der Anweisungen durch Jibe Jibe befolgt die Weisungen, es sei denn, dies ist durch europäisches Recht untersagt.
5.4 Benachrichtigungen über Anweisungen. Jibe benachrichtigt den Partner unverzüglich, wenn Jibe der Ansicht ist, dass (a) europäisches Recht Jibe verbietet, einer Weisung nachzukommen, (b) eine Weisung gegen europäisches Datenschutzrecht verstößt oder (c) Jibe anderweitig nicht in der Lage ist, einer Weisung nachzukommen. Dies gilt jeweils, sofern eine solche Benachrichtigung nicht durch europäisches Recht verboten ist. Dieser Abschnitt 5.4 (Benachrichtigungen zu Anleitungen) schränkt nicht die Rechte und Pflichten der beiden Parteien an anderer Stelle der Vereinbarung ein.
5.5 Zusätzliche Produkte. Wenn der Partner Zusatzprodukte verwendet, können die Auftragsverarbeiterdienste diesen Zusatzprodukten den Zugriff auf personenbezogene Daten des Partners ermöglichen, sofern dies für die Interaktion zwischen diesen Zusatzprodukten und den Auftragsverarbeiterdiensten erforderlich ist. Sofern erforderlich, schließen die Parteien separate Bedingungen zur Datenverarbeitung ab, in denen festgelegt wird, wie personenbezogene Daten des Partners im Rahmen des Zusatzprodukts verarbeitet werden.
6. Datenlöschung
6.1 Löschung während der Laufzeit
6.1.1 Auftragsverarbeiterdienste mit Löschfunktion. Falls während der Laufzeit:
(a) die Softwarefunktionalitäten der Auftragsverarbeiterdienste dem Partner eine Möglichkeit zur Verfügung stellen, personenbezogene Daten des Partners zu löschen,
(b) der Partner die Auftragsverarbeiterdienste dazu nutzt, bestimmte personenbezogene Daten des Partners zu löschen und
(c) die gelöschten personenbezogenen Daten des Partners nicht vom Partner wiederhergestellt werden können (z. B. aus dem Papierkorb), dann löscht Jibe diese personenbezogenen Daten des Partners so bald wie möglich aus seinen Systemen, es sei denn, europäisches Recht schreibt eine Aufbewahrung vor.
6.1.2 Auftragsverarbeiterdienste ohne Löschfunktion. Falls die Softwarefunktionalitäten der Auftragsverarbeiterdienste keine Möglichkeit vorsehen, die den Partner in die Lage versetzt, während der Laufzeit personenbezogene Daten des Partners zu löschen, dann wird Jibe jeder angemessenen Anfrage des Partners entsprechen, um eine solche Löschung zu erreichen, soweit dies unter Berücksichtigung der Art und Funktionsweise der Auftragsverarbeiterdienste möglich ist und falls nicht europäisches Recht eine Aufbewahrung vorschreibt. Jibe ist berechtigt, einen Ersatz der Kosten (basierend auf den angemessenen Aufwendungen von Jibe) für die Löschung von Daten nach diesem Abschnitt 6.1.2 (Datenverarbeitungsdienste ohne Löschfunktion) zu verlangen. Vor einer solchen Löschung wird Jibe dem Partner weitere Details zu den jeweils entstehenden Kosten und die Grundlage für die Berechnung dieser Kosten zur Verfügung stellen.
6.2 Löschen nach Ablauf der Laufzeit. Nach Ablauf der Laufzeit weist der Partner Jibe an, alle personenbezogenen Daten des Partners (einschließlich vorhandener Kopien) gemäß anwendbarem Recht aus den Systemen von Jibe zu löschen. Jibe wird dieser Weisung so schnell wie möglich nachkommen, es sei denn, europäisches Recht sieht eine Speicherung vor.
7. Datensicherheit
7.1 Sicherheitsmaßnahmen und ‑unterstützung von Jibe
7.1.1 Sicherheitsmaßnahmen von Jibe. Jibe implementiert und hält technische und organisatorische Maßnahmen aufrecht, um personenbezogene Daten von Partnern vor versehentlicher oder unrechtmäßiger Löschung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, wie in Anhang 2 („Sicherheitsmaßnahmen“) beschrieben. Wie in Anhang 2 beschrieben, umfassen die Sicherheitsmaßnahmen Maßnahmen zur (a) Verschlüsselung personenbezogener Daten, (b) Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste von Jibe, (c) Wiederherstellung des zeitnahen Zugriffs auf personenbezogene Daten nach einem Vorfall und (d) regelmäßigen Wirksamkeitstests. Jibe kann die Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, sofern solche Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der Sicherheit der Auftragsverarbeiterdienste insgesamt führen.
7.1.2 Zugriff und Compliance. Jibe (a) autorisiert seine Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter, auf personenbezogene Daten des Partners nur in dem Maße zuzugreifen, wie es zur Erfüllung der Weisungen unbedingt erforderlich ist; (b) ergreift geeignete Maßnahmen, um die Einhaltung der Sicherheitsmaßnahmen durch seine Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter sicherzustellen, soweit dies für deren Leistungsumfang relevant ist; und (c) sorgt dafür, dass alle Personen, die zur Verarbeitung personenbezogener Daten des Partners berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
7.1.3 Sicherheitsunterstützung von Jibe. Unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Partners und der Jibe zur Verfügung stehenden Informationen unterstützt Jibe den Partner bei der Einhaltung seiner Verpflichtungen (oder, wenn der Partner ein Auftragsverarbeiter ist, der Verpflichtungen des entsprechenden Verantwortlichen) in Bezug auf die Sicherheit personenbezogener Daten und Datenpannen, einschließlich der Verpflichtungen des Partners (oder, wenn der Partner ein Auftragsverarbeiter ist, der Verpflichtungen des entsprechenden Verantwortlichen) gemäß den Artikeln 32 bis 34 (einschließlich) der DSGVO, und zwar folgendermaßen:
(a) Implementierung und Aufrechterhaltung der Sicherheitsmaßnahmen gemäß Abschnitt 7.1.1 (Sicherheitsmaßnahmen von Jibe);
(b) Einhaltung der Bestimmungen von Abschnitt 7.2 (Datenvorfälle); und
(c) Bereitstellung der Sicherheitsdokumentation für den Partner gemäß Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation) und der in diesem Zusatz zur Datenverarbeitung enthaltenen Informationen.
7.2 Datenvorfälle
7.2.1 Benachrichtigung über Vorfälle. Wenn Jibe von einem Datenvorfall erfährt, wird Jibe (a) den Partner unverzüglich über den Datenvorfall informieren und (b) unverzüglich angemessene Schritte ergreifen, um Schäden zu minimieren und personenbezogene Daten des Partners zu schützen.
7.2.2 Details zu Datenvorfällen. Benachrichtigungen gemäß Paragraf 7.2.1 (Meldung eines Vorfalls) beschreiben: die Art des Datenvorfalls, einschließlich der betroffenen Partnerressourcen; die Maßnahmen, die Jibe ergriffen hat oder plant, um den Datenvorfall zu beheben und das potenzielle Risiko zu mindern; die Maßnahmen, die Jibe dem Partner zur Behebung des Datenvorfalls empfiehlt, sofern zutreffend; und die Kontaktdaten einer Kontaktperson, bei der weitere Informationen eingeholt werden können. Wenn es nicht möglich ist, alle diese Informationen zur selben Zeit zur Verfügung zu stellen, enthält die erste Benachrichtigung von Jibe die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden unverzüglich bereitgestellt, sobald sie verfügbar sind.
7.2.3 Zustellung der Benachrichtigung. Jibe sendet seine Benachrichtigung über einen Datenvorfall an die Benachrichtigungs-E-Mail-Adresse oder nach Ermessen von Jibe (auch wenn der Partner keine Benachrichtigungs-E-Mail-Adresse angegeben hat) durch andere direkte Kommunikation (z. B. per Telefonanruf oder persönlicher Besprechung). Der Partner ist allein dafür verantwortlich, eine E-Mail-Adresse für Benachrichtigungen zur Verfügung zu stellen und sicherzustellen, dass sie aktuell und gültig ist.
7.2.4 Benachrichtigungen von Dritten. Der Partner ist allein dafür verantwortlich, die für ihn geltenden gesetzlichen Vorgaben für Benachrichtigungen bei Datenvorfällen einzuhalten und entsprechenden Meldepflichten gegenüber Dritten nachzukommen.
7.2.5 Keine Anerkennung eines Verschuldens durch Jibe. Die Benachrichtigung oder Reaktion von Jibe über einen Datenvorfall gemäß diesem Paragraf 7.2 (Datenvorfälle) gilt nicht als Anerkennung eines Verschuldens oder einer Haftung durch Jibe in Bezug auf den Datenvorfall.
7.3 Sicherheitspflichten und -bewertung des Partners
7.3.1 Sicherheitspflichten des Partners. Der Partner erklärt sich mit Folgendem einverstanden, unbeschadet der Verpflichtungen von Jibe gemäß den Abschnitten 7.1 (Sicherheitsmaßnahmen und -unterstützung von Jibe) und 7.2 (Datenvorfälle):
(a) Der Partner ist für die Nutzung der Verarbeitungsdienste verantwortlich, einschließlich:
(i) die Auftragsdatenverarbeitung so zu nutzen, dass ein dem Risiko in Bezug auf die personenbezogenen Daten des Partners angemessenes Sicherheitsniveau gewährleistet ist, und
(ii) die Sicherung der Anmeldedaten, Systeme und Geräte für die Kontoauthentifizierung, die der Partner für den Zugriff auf die Auftragsverarbeiterdienste verwendet; und
(b) Jibe ist nicht zum Schutz von personenbezogenen Daten des Partners verpflichtet, die der Partner außerhalb der Systeme von Jibe und seiner Unterauftragnehmer speichert oder die der Partner an solche Systeme überträgt.
7.3.2 Sicherheitsbewertung des Partners. Der Partner erkennt an, dass die von Jibe implementierten und aufrechterhaltenen Sicherheitsmaßnahmen gemäß Paragraf 7.1.1 (Sicherheitsmaßnahmen von Jibe) ein Sicherheitsniveau bieten, das dem Risiko für personenbezogene Daten des Partners angemessen ist, wobei Art, Umfang, Kontext und Zweck der Verarbeitung personenbezogener Daten des Partners, der Stand der Technik, die Kosten der Implementierung und die Risiken für Einzelpersonen berücksichtigt werden.
7.4 Sicherheitszertifizierung Um die anhaltende Wirksamkeit der Sicherheitsmaßnahmen zu bewerten und zu gewährleisten, behält Jibe die ISO 27001-Zertifizierung oder andere geeignete Maßnahmen bei, um die Wirksamkeit der Sicherheitsmaßnahmen zu belegen.
7.5 Überprüfungen und Compliance-Audits
7.5.1 Überprüfungen der Sicherheitsdokumentation. Um nachzuweisen, dass Jibe seinen Verpflichtungen aus diesem Zusatz zur Datenverarbeitung nachkommt, stellt Jibe dem Partner die Sicherheitsdokumentation zur Überprüfung zur Verfügung.
7.5.2 Auditrechte des Partners.
(a) Jibe ermöglicht dem Partner oder einem vom Partner beauftragten externen Prüfer die Durchführung von Prüfungen (einschließlich Inspektionen), um die Einhaltung der Verpflichtungen von Jibe aus dieser Ergänzung zur Datenverarbeitung gemäß Paragraf 7.5.3 (Zusätzliche Geschäftsbedingungen für Audits) zu überprüfen. Während Audits stellt Jibe alle Informationen zur Verfügung, die für den Nachweis der Einhaltung erforderlich sind, und trägt zu solchen Audits bei, wie in Abschnitt 7.4 (Sicherheitszertifizierung) und in diesem Abschnitt 7.5 (Überprüfungen und Compliance-Audits) beschrieben.
(b) Wenn die Standardvertragsklauseln gemäß Paragraf 10.2 (Eingeschränkte europäische Übertragungen) gelten, gestattet Jibe dem Partner (oder einem vom Partner beauftragten externen Prüfer) die Durchführung von Audits wie in den anwendbaren Standardvertragsklauseln beschrieben und stellt während dieser Audits alle von diesen Standardvertragsklauseln geforderten Informationen zur Verfügung, jeweils gemäß Paragraf 7.5.3 (Zusätzliche Geschäftsbedingungen für Audits).
(c) Der Partner kann auch eine Prüfung durchführen, um sich zu vergewissern, dass Jibe seine Verpflichtungen aus diesem Zusatz zur Datenverarbeitung einhält, indem er die Zertifikate prüft, die Jibe von externen Prüfern ausgestellt wurden (z. B. eine ISO 27001-Zertifizierung).
7.5.3 Zusätzliche Geschäftsbedingungen für Audits.
(a) Der Partner sendet alle Anträge auf eine Prüfung gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) an Jibe, wie in Abschnitt 12.1 (Kontakt mit Jibe) beschrieben.
(b) Nachdem Jibe eine Anfrage gemäß Paragraf 7.5.3(a) erhalten hat, vereinbaren Jibe und der Partner vorab ein angemessenes Startdatum, den Umfang und die Dauer sowie die Sicherheits- und Vertraulichkeitskontrollen, die für jede Prüfung gemäß Paragraf 7.5.2(a) oder 7.5.2(b) gelten.
(c) Jibe kann für jede Prüfung gemäß Abschnitt 7.5.2 (a) oder 7.5.2(b) eine Gebühr(basierend auf den angemessenen Kosten von Jibe) erheben. Jibe teilt dem Partner vor einer solchen Prüfung weitere Details zu den anfallenden Gebühren und deren Berechnungsgrundlage mit. Der Partner ist für alle Gebühren verantwortlich, die von einem vom Partner mit der Durchführung eines solchen Audits beauftragten Prüfer erhoben werden.
(d) Jibe kann einem vom Partner beauftragten Prüfer widersprechen, um Prüfungen gemäß Abschnitt 7.5.2(a) oder 7.5.2(b) durchzuführen, wenn der Prüfer nach vernünftiger Einschätzung von Jibe nicht angemessen qualifiziert oder unabhängig, ein Mitbewerber von Jibe oder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Einwand von Jibe muss der Partner einen anderen Prüfer beauftragen oder die Prüfung selbst durchführen.
(e) Nichts in diesem Zusatz zur Datenverarbeitung verpflichtet Jibe dazu, dem Partner oder seinem externen Auditor folgende Informationen offenzulegen oder ihm bzw. dem externen Auditor den Zugriff auf folgende Informationen zu gewähren:
(i) Daten eines anderen Partners oder Kunden eines Jibe-Rechtssubjekts,
(ii) interne Buchhaltungs- oder Finanzdaten eines Jibe-Rechtssubjekts,
(iii) Geschäftsgeheimnisse eines Jibe-Rechtssubjekts;
(iv) Informationen, die nach vernünftigem Ermessen von Jibe: (A) die Sicherheit der Systeme oder Räumlichkeiten einer Jibe-Rechtssubjektivität gefährden könnten oder (B) dazu führen könnten, dass eine Jibe-Rechtssubjektivität ihre Verpflichtungen gemäß den europäischen Datenschutzgesetzen oder ihre Sicherheits- und/oder Datenschutzverpflichtungen gegenüber dem Partner oder einem Dritten verletzt oder
(v) Informationen, auf die der Partner oder sein externer Auditor aus anderen Gründen als der Erfüllung der Verpflichtungen des Partners gemäß den europäischen Datenschutzvorschriften nach Treu und Glauben zugreifen möchte.
8. Folgenabschätzungen und Beratungen
Jibe unterstützt den Partner (unter Berücksichtigung der Art der Verarbeitung und der Jibe zur Verfügung stehenden Informationen) bei der Einhaltung seiner Verpflichtungen (oder, wenn der Partner ein Auftragsverarbeiter ist, der Verpflichtungen des entsprechenden Verantwortlichen) in Bezug auf Datenschutzfolgenabschätzungen und vorherige Konsultationen, einschließlich (falls zutreffend) der Verpflichtungen des Partners oder des entsprechenden Verantwortlichen gemäß den Artikeln 35 und 36 der DSGVO, und zwar folgendermaßen:
(a) Bereitstellung der Sicherheitsdokumentation gemäß Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation);
(b) die Informationen, die bereits in diesem Zusatz zur Datenverarbeitung enthalten sind, bereitstellt; und
(c) Bereitstellung oder anderweitiges Verfügbarmachen anderer Materialien zu der Art der Auftragsverarbeiterdienste und der Datenverarbeitung von personenbezogenen Daten des Partners (zum Beispiel Hilfematerialien), jeweils gemäß den Standardverfahren von Jibe.
9. Rechte betroffener Personen
9.1 Beantwortung von Anfragen betroffener Personen Wenn Jibe eine Anfrage einer betroffenen Person zu personenbezogenen Daten des Partners erhält, ermächtigt der Partner Jibe, sie direkt zu beantworten, und Jibe benachrichtigt ihn, dass Jibe
(a) direkt auf die Anfrage der betroffenen Person in Übereinstimmung mit den Standard-Funktionen des Tools für betroffene Personen antworten, sollte die Anfrage über das Tool für betroffene Personen gestellt werden, oder
(b) die betroffene Person anweisen wird, ihre Anfrage an den Partner zu richten, und der Partner dann für die Beantwortung der Anfrage verantwortlich ist (im Fall, dass die Anfrage nicht über ein Tool für betroffene Personen erfolgt).
9.2 Unterstützung durch Jibe bei Anfragen von betroffenen Personen Jibe unterstützt den Partner (oder, falls der Partner ein Auftragsverarbeiter ist, den entsprechenden Verantwortlichen) bei der Erfüllung seiner Verpflichtungen gemäß der DSGVO, Anfragen zur Ausübung der Rechte der betroffenen Person zu beantworten. Dabei wird in jedem Fall die Art der Verarbeitung personenbezogener Daten des Partners und gegebenenfalls Artikel 11 der DSGVO berücksichtigt, einschließlich (falls zutreffend):
(a) die Bereitstellung der Funktionen der Auftragsverarbeiterdienste;
(b) durch Einhaltung der Verpflichtungen in Abschnitt 9.1 (Beantwortung von Anfragen betroffener Personen) und
(c) – sofern auf die Auftragsverarbeiterdienste anwendbar – durch Bereitstellung von Tools für betroffene Personen.
9.3 Berichtigung Wenn der Partner feststellt, dass personenbezogene Daten des Partners falsch oder nicht mehr aktuell sind, ist er für die Berichtigung oder Löschung dieser Daten verantwortlich, falls dies laut den europäischen Datenschutzgesetzen vorgeschrieben ist. Hierzu sind gegebenenfalls (sofern verfügbar) die Funktionen der Dienste des Auftragsverarbeiters zu nutzen.
10. Datenübertragungen
10.1 Einrichtungen zur Datenspeicherung und -verarbeitung. Vorbehaltlich des übrigen vorliegenden Abschnitts 10 (Datenübertragungen) kann Jibe personenbezogene Daten von Partnern in jedem Land verarbeiten, in dem Jibe oder einer seiner Unterauftragsverarbeiter Einrichtungen unterhalten.
10.2 Eingeschränkte europäische Übertragungen. Die Parteien erkennen an, dass das europäische Datenschutzrecht keine Standardvertragsklauseln und keine alternative Übertragungslösung erfordert, damit personenbezogene Daten des Partners in einem Land mit angemessenem Datenschutzniveau verarbeitet oder dorthin übertragen werden können.
Wenn personenbezogene Daten des Partners in ein anderes Land übertragen werden und für die Übertragung europäisches Datenschutzrecht gilt („Eingeschränkte europäische Übertragung“), gilt Folgendes:
(a) Wenn Jibe eine alternative Übertragungslösung für eingeschränkte europäische Übertragungen anbietet, informiert Jibe den Partner über die entsprechende Lösung und stellt sicher, dass eingeschränkte europäische Übertragungen in Übereinstimmung mit dieser Lösung durchgeführt werden; und/oder
(b) Wenn Jibe keine alternative Übertragungslösung für eingeschränkte europäische Übertragungen anbietet oder den Partner darüber informiert, dass Jibe eine solche Lösung nicht mehr anbietet, gilt Folgendes:
(i) Wenn die Adresse von Jibe in einem Land mit angemessenem Datenschutzniveau ist,
(A) gelten die Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter, Jibe-Exporteur) für alle eingeschränkten europäischen Übertragungen von Jibe an Unterauftragsverarbeiter und
(B) Wenn zusätzlich die Adresse des Partners nicht in einem Land mit angemessenem Datenschutzniveau ist, gelten die Standardvertragsklauseln (Auftragsverarbeiter an Verantwortlichen) in Bezug auf eingeschränkte europäische Übermittlungen zwischen Jibe und dem Partner (unabhängig davon, ob der Partner ein Verantwortlicher und/oder Auftragsverarbeiter ist). Oder:
(ii) Wenn die Adresse von Jibe nicht in einem Land mit angemessenem Datenschutzniveau ist:
die Standardvertragsklauseln (Verantwortlicher an Auftragsverarbeiter) und/oder die Standardvertragsklauseln (Auftragsverarbeiter an Auftragsverarbeiter) gelten – je nachdem, ob der Partner ein Verantwortlicher und/oder Auftragsverarbeiter ist – für eingeschränkte europäische Übermittlungen zwischen dem Partner und Jibe.
(c) Verweise auf Google LLC oder Google und auf Sie in den Standardvertragsklauseln beziehen sich jeweils auf Jibe und Partner.
10.3 Ergänzende Maßnahmen und Informationen. Jibe stellt dem Partner Informationen zu eingeschränkten Übermittlungen in die EU zur Verfügung, einschließlich Informationen zu ergänzenden Maßnahmen zum Schutz personenbezogener Daten des Partners, wie in Abschnitt 7.5.1 (Überprüfungen der Sicherheitsdokumentation), Anhang 2 (Sicherheitsmaßnahmen) und anderen Materialien zur Art der Verarbeitungsdienste und der Verarbeitung personenbezogener Daten des Partners (z. B. Hilfeartikel) beschrieben.
10.4 Kündigung. Wenn der Partner aufgrund seiner aktuellen oder beabsichtigten Nutzung der Verarbeitungsdienste zu dem Schluss kommt, dass die alternative Übertragungslösung und/oder die Standardvertragsklauseln (SCCs) keine angemessenen Schutzmaßnahmen für die personenbezogenen Daten des Partners bieten, kann er die Vereinbarung schriftlich kündigen.
10.5 Informationen zu Rechenzentren. Informationen zu den Standorten der Rechenzentren von Google LLC finden Sie unter www.google.com/about/datacenters/locations/index.html.
11. Unterauftragsverarbeiter
11.1 Zustimmung zur Beauftragung von Unterauftragsverarbeitern. Der Partner autorisiert ausdrücklich die Beauftragung der in Abschnitt 11.2 (Informationen zu Unterauftragsverarbeitern) aufgeführten Unterauftragsverarbeiter zum Datum des Inkrafttretens der Bedingungen. Darüber hinaus genehmigt der Partner vorbehaltlich Abschnitt 11.4 (Möglichkeit, dem Wechsel des Unterauftragsverarbeiters zu widersprechen) im Allgemeinen die Beauftragung anderer Dritter als Unterauftragsverarbeiter („Neue Unterauftragsverarbeiter“).
11.2 Informationen zu Unterauftragsverarbeitern. Auf schriftliche Anfrage des Partners stellt Jibe Informationen zu Unterauftragsverarbeitern und deren Standorten zur Verfügung. Alle entsprechenden Anträge müssen an Jibe gesendet werden. Verwenden Sie dazu die Kontaktdaten, die in Paragraf 12.1 (Kontakt mit Jibe aufnehmen) angegeben sind.
11.3 Anforderungen an den Einsatz von Unterauftragsverarbeitern. Bei der Beauftragung eines Unterauftragsverarbeiters gilt Folgendes:
(a) durch einen schriftlichen Vertrag sicherstellen, dass
(i) der Unterauftragsverarbeiter nur in dem Umfang auf personenbezogene Daten des Partners zugreift und sie nutzt, wie es erforderlich ist, um die ihm übertragenen Verpflichtungen zu erfüllen, und dabei die Vereinbarung (einschließlich dieses Zusatzes zur Datenverarbeitung) einhält; und
(ii) dem Unterauftragsverarbeiter die in diesem Zusatz zur Datenverarbeitung beschriebenen Datenschutzpflichten (gemäß Artikel 28(3) DSGVO, falls zutreffend) auferlegt werden, wenn europäisches Datenschutzrecht für die Verarbeitung personenbezogener Partnerdaten gilt; und
(b) voll für alle Verpflichtungen haften, die an den Unterauftragsverarbeiter weitergegeben werden, sowie für dessen sämtliche Handlungen und Unterlassungen.
11.4 Möglichkeit des Widerspruchs gegen Änderungen bei Unterauftragsverarbeitern
(a) Wenn während der Laufzeit ein neuer Unterauftragsverarbeiter beauftragt wird, benachrichtigt Jibe den Partner mindestens 30 Tage, bevor der neue Unterauftragsverarbeiter personenbezogene Daten des Partners verarbeitet, über diese Beauftragung (einschließlich des Namens und Standorts des jeweiligen Unterauftragsverarbeiters und der Aktivitäten, die er ausführen wird) per E-Mail an die Benachrichtigungs-E-Mail-Adresse.
(b) Der Partner kann einem neuen Unterauftragsverarbeiter widersprechen, indem er die Vereinbarung mit einer ordentlichen Kündigung über eine schriftliche Mitteilung an Jibe kündigt. Voraussetzung ist, dass der Partner dies innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Beauftragung des neuen Unterauftragsverarbeiters gemäß Abschnitt 11.4(a) tut.
12. Jibe kontaktieren; Verarbeitungsdaten
12.1 Jibe kontaktieren Wenn der Partner seine Rechte gemäß diesem Zusatz zur Datenverarbeitung ausübt, kann er sich über den RCS-Datenschutzkontakt von Jibe unter issuetracker.google.com oder über andere von Jibe bereitgestellte Möglichkeiten an Jibe wenden.
12.2 Verzeichnis von Verarbeitungstätigkeiten von Jibe Jibe führt entsprechend den Erfordernissen der DSGVO eine angemessene Dokumentation über seine Verarbeitungsaktivitäten. Der Partner erkennt an, dass Jibe gemäß der DSGVO verpflichtet ist, (a) bestimmte Informationen zu erheben und aufzubewahren, einschließlich (i) des Namens und der Kontaktdaten jedes Auftragsverarbeiters und/oder Verantwortlichen, in dessen Auftrag Jibe tätig ist, und (falls zutreffend) des örtlichen Vertreters und des Datenschutzbeauftragten dieses Auftragsverarbeiters oder Verantwortlichen sowie (ii) gegebenenfalls der zuständigen Aufsichtsbehörde des Partners gemäß den entsprechenden SCCs und (b) diese Informationen allen zuständigen Aufsichtsbehörden zur Verfügung zu stellen. Dementsprechend muss der Partner Jibe diese Daten nach Aufforderung – und soweit das auf den Partner anwendbar ist – über die Benutzeroberfläche der Verarbeitungsdienste oder über andere von Jibe eventuell dafür bereitgestellte Möglichkeiten an Jibe übermitteln. Er muss außerdem dafür sorgen, dass diese Daten jederzeit aktuell und korrekt sind.
12.3 Anfragen durch den Verantwortlichen. Wenn Jibe eine Anfrage oder Weisung von einem Dritten erhält, der angibt, ein Verantwortlicher für personenbezogene Daten des Partners zu sein, empfiehlt Jibe dem Dritten, den Partner zu kontaktieren.
13. Haftung
Wenn die Vereinbarung den Gesetzen der folgenden Länder unterliegt:
(a) einem Bundesstaat der USA unterliegt, ist die Gesamthaftung jeder Partei gegenüber der anderen Partei aus oder im Zusammenhang mit diesem Zusatz zur Datenverarbeitung unabhängig von allen anderen Bestimmungen in der Vereinbarung auf den maximalen monetären oder auszahlungsbasierten Betrag beschränkt, auf den die Haftung dieser Partei gemäß der Vereinbarung begrenzt ist. Ausschlüsse der Vertraulichkeit oder Erstattungsansprüche aus der Haftungsbeschränkung der Vereinbarung gelten daher nicht für Ansprüche aus der Vereinbarung im Zusammenhang mit der europäischen oder nicht europäischen Datenschutzgesetzgebung.
(b) nicht den Gesetzen eines Bundesstaates der USA unterliegt, sondern denen eines anderen Landes, richtet sich die gesamte kombinierte Haftung der Parteien und ihrer verbundenen Unternehmen im Rahmen oder in Verbindung mit diesem Zusatz zur Datenverarbeitung nach der Vereinbarung.
14. Auswirkungen dieses Zusatzes zur Datenverarbeitung
14.1 Rangfolge. Im Falle von Konflikten oder Widersprüchen zwischen den Standardvertragsklauseln, den Zusatzbedingungen für außereuropäische Datenschutzgesetze, diesem Zusatz zur Datenverarbeitung und der übrigen Vereinbarung gilt die folgende Rangfolge:
(a) die Standardvertragsklauseln;
(b) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften;
(c) den Rest dieses Zusatzes zur Datenverarbeitung; und
(d) der Rest der Vereinbarung.
Mit Ausnahme der Änderungsvereinbarungen in diesem Zusatz zur Datenverarbeitung bleibt die Vereinbarung bindend.
14.2 Keine Änderung der Standardvertragsklauseln. Kein Bestandteil der Vereinbarung (einschließlich dieses Zusatzes zur Datenverarbeitung) hat zum Ziel, Standardvertragsklauseln zu ändern oder ihnen zu widersprechen. Außerdem werden durch diese Vereinbarung nicht die grundlegenden Rechte oder Freiheiten von betroffenen Personen gemäß dem europäischen Datenschutzrecht beeinträchtigt.
14.3 Keine Auswirkungen auf die Datenverarbeitungsbedingungen Dieser Zusatz zur Datenverarbeitung hat keine Auswirkungen auf separate Bedingungen zwischen Jibe und dem Partner, die eine Beziehung zwischen den beiden Verantwortlichen für einen anderen Dienst als die Verarbeitungsdienste widerspiegeln.
14.4 Alte Standardvertragsklauseln für das Vereinigte Königreich. Ab dem 21. September 2022 oder dem Datum des Inkrafttretens der Vereinbarung, je nachdem, was später eintritt, gelten die ergänzenden Bedingungen für die Übertragung gemäß der UK-DSGVO in den Standardvertragsklauseln. Diese ersetzen und beenden alle Standardvertragsklauseln, die gemäß der UK-DSGVO und dem Data Protection Act 2018 genehmigt und zuvor vom Partner und Jibe vereinbart wurden („Legacy UK SCCs“). Paragraf 14.4 (Alte Standardvertragsklauseln für das Vereinigte Königreich) verletzt weder die Rechte einer Partei noch die Rechte einer betroffenen Person, die gemäß den alten Standardvertragsklauseln für das Vereinigte Königreich entstanden sind.
15. Änderungen an diesem Zusatz zur Datenverarbeitung
15.1 Änderungen an URLs: Jibe kann von Zeit zu Zeit jede URL ändern, auf die in diesem Zusatz zur Datenverarbeitung verwiesen wird, und die Inhalte unter dieser URL. Jibe darf die Standardvertragsklauseln jedoch nur gemäß den Paragrafen 15.2(b) bis 15.2(d) (Änderungen am Zusatz zur Datenverarbeitung) ändern oder eine neue Version der Standardvertragsklauseln einbeziehen, die gemäß den europäischen Datenschutzgesetzen verabschiedet werden kann. In jedem Fall dürfen die Änderungen die Gültigkeit der Standardvertragsklauseln gemäß den europäischen Datenschutzgesetzen nicht beeinträchtigen.
15.2 Änderungen am Zusatz zur Datenverarbeitung Jibe kann diesen Zusatz zur Datenverarbeitung ändern, wenn eine solche Änderung:
(a) ausdrücklich durch diesen Zusatz zur Datenverarbeitung erlaubt ist, einschließlich der Beschreibung in Paragraf 15.1 (Änderungen bei URLs);
(b) einer Änderung des Namens oder der Rechtsform eines Rechtssubjekts Rechnung trägt;
(c) erforderlich ist, um anwendbares Recht, anwendbare Vorschriften, Gerichtsentscheidungen oder Vorgaben einzuhalten, die von einer staatlichen Regulierungs- oder Aufsichtsbehörde erlassen wurden, oder die Einführung einer alternativen Übertragungslösung durch Jibe darzustellen; oder
(d) führt (i) nicht zu einer Beeinträchtigung der Gesamtsicherheit der Auftragsdatenverarbeitungsdienste, (ii) erweitert nicht den Umfang oder entfernt keine Einschränkungen (x) im Fall der zusätzlichen Nutzungsbedingungen für außereuropäisches Datenschutzrecht die Rechte von Jibe, die Daten im Geltungsbereich der zusätzlichen Nutzungsbedingungen für außereuropäisches Datenschutzrecht zu verwenden oder anderweitig zu verarbeiten, oder (y) im Fall des Rests dieses Zusatzes zur Datenverarbeitung die Verarbeitung personenbezogener Daten des Partners durch Jibe, wie in Paragraf 5.3 (Einhaltung der Anweisungen durch Jibe) beschrieben, und (iii) hat keine anderweitigen erheblichen nachteiligen Auswirkungen auf die Rechte des Partners gemäß diesem Zusatz zur Datenverarbeitung, wie von Jibe nach Treu und Glauben bestimmt.
15.3 Benachrichtigung über Änderungen Wenn Jibe beabsichtigt, diesen Zusatz zur Datenverarbeitung gemäß Paragraf 15.2(c) oder (d) zu ändern, benachrichtigt Jibe den Partner mindestens 30 Tage (oder einen kürzeren Zeitraum, der zur Einhaltung anwendbaren Rechts, anwendbarer Bestimmungen, eines Gerichtsbeschlusses oder einer von einer Aufsichtsbehörde oder Behörde erlassenen Richtlinie erforderlich ist) vor Inkrafttreten der Änderung entweder durch: (a) Senden einer E-Mail an die Benachrichtigungs-E-Mail-Adresse oder (b) Benachrichtigung des Partners über die Benutzeroberfläche für die Verarbeitungsdienste. Wenn der Partner Einspruch gegen eine solche Änderung einlegt, kann er die Vereinbarung mit einer ordentlichen Kündigung kündigen. Dazu muss er Jibe innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Änderung schriftlich informieren.
Anhang 1: Gegenstand und Details der Datenverarbeitung
Vertragsinhalt
Jibe stellt dem Partner die Auftragsverarbeiterdienste und damit im Zusammenhang stehenden technischen Support bereit.
Dauer der Verarbeitung
Die Laufzeit zuzüglich des Zeitraums vom Ende der Laufzeit bis zum Löschen aller personenbezogenen Daten des Partners durch Jibe gemäß diesem Zusatz zur Datenverarbeitung.
Art und Zweck der Verarbeitung
Jibe verarbeitet personenbezogene Daten des Partners, einschließlich (je nach Art der Auftragsverarbeitungsdienste und der Anweisungen) Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Änderung, Abruf, Verwendung, Offenlegung, Kombination, Löschung und Vernichtung personenbezogener Daten des Partners zum Zweck der Bereitstellung der Auftragsverarbeitungsdienste und des zugehörigen technischen Supports für den Partner gemäß diesem Zusatz zur Datenverarbeitung.
Arten personenbezogener Daten
Personenbezogene Daten zu natürlichen Personen, die Jibe über die Verarbeitungsdienste vom (oder auf Anweisung des) Partners oder von den Endnutzern des Partners zur Verfügung gestellt werden.
Kategorien betroffener Personen
Zu den betroffenen Personen zählen die Personen, über die Jibe Daten über die Auftragsverarbeiterdienste vom (oder auf Anweisung des) Partners zur Verfügung gestellt werden.
Anhang 2: Sicherheitsmaßnahmen
Ab dem Datum des Inkrafttretens der Bedingungen implementiert und bewahrt Jibe die in diesem Anhang 2 aufgeführten Sicherheitsmaßnahmen. Jibe kann diese Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, vorausgesetzt dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Auftragsverarbeiterdienste führen.
1. Sicherheit von Rechenzentrum und Netzwerk
(a) Rechenzentren.
Infrastruktur. Jibe betreibt geografisch verteilte Rechenzentren. Jibe speichert alle Produktionsdaten in physisch gesicherten Rechenzentren.
Redundanz. Die Infrastruktursysteme wurden entwickelt, um Single Points of Failure (zentrale Schwachpunkte) zu beseitigen und um die Auswirkungen der zu erwartenden Umgebungsrisiken zu minimieren. Diese Redundanz wird mithilfe von Doppelschaltungen, Switches, Netzwerken oder anderen notwendigen Geräten hergestellt. Die Auftragsverarbeiterdienste sind so konzipiert, dass Jibe bestimmte vorbeugende und fehlerbehebende Instandhaltungsmaßnahmen ohne Unterbrechung durchführen kann. Für sämtliche Anlagen und Einrichtungen gibt es dokumentierte, vorbeugende Instandhaltungsverfahren, in denen der Prozess und die Häufigkeit von deren Durchführung in Übereinstimmung mit den Herstellervorgaben oder internen Vorgaben ausführlich beschrieben werden. Die vorbeugende und korrektive Wartung der Geräte des Rechenzentrums wird durch einen Standardprozess gemäß dokumentierter Verfahren geplant.
Stromversorgung. Die Stromversorgungssysteme der Rechenzentren sind redundant ausgelegt und können ohne Beeinträchtigung des Dauerbetriebs rund um die Uhr (24 Stunden am Tag und 7 Tage die Woche) gewartet werden. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum sowohl eine primäre als auch eine alternative Stromquelle mit jeweils gleicher Kapazität bereitgestellt. Die Notstromversorgung erfolgt über verschiedene Mechanismen, z. B. durch unterbrechungsfreie Stromversorgungsbatterien (USV), die bei Stromabschaltungen, Stromausfällen, Überspannung, Unterspannung und Frequenz-Toleranzüberschreitungen eine durchgängig zuverlässige Stromabsicherung ermöglichen. Falls die Stromversorgung des Energieversorgers unterbrochen wird, ist die Ersatzversorgung so ausgelegt, dass die Rechenzentren übergangsweise bei voller Last Energie für bis zu 10 Minuten erhalten, bis die Notstromgeneratoren die Versorgung übernehmen. Die Generatoren sind in der Lage, innerhalb von Sekunden automatisch hochzufahren, um genügend Notstrom bereitzustellen, damit das Rechenzentrum in der Regel über einen Zeitraum von Tagen bei voller Kapazität betrieben werden kann.
Server-Betriebssysteme. Jibe-Server verwenden gehärtete Betriebssysteme, die für die spezifischen Anforderungen des Betriebs angepasst sind. Die Daten werden mit proprietären Algorithmen gespeichert, um die Datensicherheit und Redundanz zu erhöhen. Jibe verwendet einen Codeüberprüfungsprozess, um die Sicherheit des Codes für die Bereitstellung der Auftragsverarbeiterdienste zu erhöhen und die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.
Geschäftskontinuität. Jibe repliziert Daten über mehrere Systeme, um sie vor versehentlicher Vernichtung oder Verlust zu schützen. Jibe hat Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs und Programme zur Notfallwiederherstellung entworfen, entwickelt diese weiter und testet sie.
Verschlüsselungstechnologien. Die Sicherheitsrichtlinien von Jibe schreiben die Verschlüsselung inaktiver Daten für alle Nutzerdaten, einschließlich personenbezogener Daten, vor. Die Verschlüsselung von Daten erfolgt im Produktionsspeicher-Stack von Jibe in Rechenzentren oft auf mehreren Ebenen, auch auf der Hardware-Ebene, ohne dass ein Eingriff seitens Partnern oder Kunden erforderlich ist. Die Verwendung mehrerer Verschlüsselungsebenen bietet zusätzlichen redundanten Datenschutz und gibt Jibe die Möglichkeit, basierend auf den Anwendungsanforderungen den jeweils optimalen Ansatz zu bestimmen. Alle personenbezogenen Daten werden auf Speicherebene verschlüsselt, im Allgemeinen mit AES-256. Jibe verwendet gemeinsame kryptografische Bibliotheken, in die das nach FIPS 140-2 validierte Modul von Jibe eingebunden ist, um die Verschlüsselung in allen Verarbeitungsdiensten einheitlich zu implementieren.
(b) Netzwerke und Übertragung.
Datenübertragung. Rechenzentren sind in der Regel über Hochgeschwindigkeitsdirektverbindungen (High-Speed-Private-Links) verbunden, um eine sichere und schnelle Datenübertragung zwischen den Rechenzentren bereit zu stellen. Dies soll verhindern, dass Daten während des elektronischen Transports ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden. Jibe überträgt Daten über Internet-Standardprotokolle.
Externe Angriffsfläche. Jibe verwendet mehrere Schichten von Netzwerkgeräten und Einbruchserkennungssystemen, um die externe Angriffsfläche zu sichern. Jibe berücksichtigt potenzielle Angriffsvektoren und integriert geeignete, speziell entwickelte Technologien in nach außen gerichtete Systeme.
Einbruchserkennung. Die Maßnahmen zur Einbruchserkennung zielen darauf ab, Einblicke in laufende Angriffsaktivitäten zu ermöglichen und angemessene Informationen zu liefern, um auf Vorfälle zu reagieren. Die Einbruchserkennung von Jibe umfasst:
die strenge Kontrolle von Größe und Zusammensetzung der Angriffsfläche von Jibe durch vorbeugende Maßnahmen;
den Einsatz intelligenter Erkennungsmechanismen an Datenerfassungspunkten; und
den Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch beheben.
Reaktion auf Vorfälle. Jibe überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle. Das Sicherheitspersonal von Jibe reagiert umgehend auf bekannte Vorfälle.
Verschlüsselungstechnologien. Jibe stellt HTTPS-Verschlüsselung (auch als TLS-Verbindung bezeichnet) zur Verfügung. Jibe-Server unterstützen den ephemeren elliptischen Diffie-Hellman-Kryptografie-Schlüsselaustausch, der mit RSA und ECDSA signiert ist. Diese Perfect Forward Secrecy-Methoden (PFS-Methoden) tragen dazu bei, den Datenverkehr zu schützen und die Auswirkungen eines kompromittierten Schlüssels oder eines kryptografischen Durchbruchs zu minimieren.
2. Zutrittskontrollen und Zugriffssteuerung
(a) Zutrittskontrollen.
Rechenzentrums-Sicherheitsdienst vor Ort. Die Rechenzentren von Jibe beschäftigen vor Ort einen Sicherheitsdienst, der rund um die Uhr (24 Stunden am Tag, 7 Tage die Woche) für alle Sicherheitsfunktionen des physischen Rechenzentrums verantwortlich ist. Das Sicherheitspersonal vor Ort kontrolliert Videoüberwachungskameras und alle Alarmsysteme.CCTV Das Sicherheitspersonal vor Ort unternimmt regelmäßig Kontrollgänge innerhalb und außerhalb des Rechenzentrums.
Zutrittsverfahren in Rechenzentren. Jibe unterhält formelle Zugangsverfahren für den physischen Zugang zu Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, die für den Zugang einen elektronischen Kartenschlüssel erfordern, wobei Alarmanlagen mit dem Sicherheitsdienst vor Ort verbunden sind. Alle Personen, die das Rechenzentrum betreten, müssen sich identifizieren und beim Sicherheitsdienst vor Ort ausweisen. Der Zutritt zu den Rechenzentren ist nur autorisierten Mitarbeitern, Auftragnehmern und Besuchern gestattet. Nur autorisierte Mitarbeiter und Auftragnehmer dürfen Zugang zu diesen Einrichtungen mit elektronischem Kartenschlüssel anfordern. Anträge für den Zugang zu Rechenzentren mit einer elektronischen Schlüsselkarte müssen im Voraus und schriftlich beantragt werden und erfordern die Zustimmung des autorisierten Rechenzentrumspersonals. Alle anderen Personen, die einen temporären Zugang zu einem Rechenzentrum benötigen, müssen: (i) im Voraus die Genehmigung durch den Manager des Rechenzentrums für das jeweilige Rechenzentrum und die internen Bereiche einholen, die sie besuchen möchten; (ii) sich beim Sicherheitsdienst vor Ort anmelden; und (iii) den Nachweis der Genehmigung eines Antrags auf Zugang zum Rechenzentrum vorlegen, der sich auf die betreffende Person bezieht.
Sicherheitsgeräte für Rechenzentren vor Ort. Die Rechenzentren von Jibe verwenden einen elektronischen Kartenschlüssel und ein biometrisches Zugangskontrollsystem, das mit einem Systemalarm verbunden ist. Das Zugangskontrollsystem überwacht und protokolliert den elektronischen Kartenschlüssel jeder Person und wann sie Zugang zu Außentüren, Versand und Empfang und anderen kritischen Bereichen hat. Unbefugte Aktivitäten und fehlgeschlagene Zutrittsversuche werden vom Zugangskontrollsystem protokolliert und gegebenenfalls untersucht. Der berechtigte Zugang im gesamten Geschäftsbetrieb und in den Rechenzentren ist nach Bereichen und den beruflichen Verantwortlichkeiten des Einzelnen eingeschränkt. Die Brandschutztüren sind alarmgesichert. Überwachungskameras sind sowohl innerhalb als auch außerhalb der Rechenzentren in Betrieb. Die Positionierung der Kameras wurde so konzipiert, dass sie strategische Bereiche abdeckt, darunter unter anderem die Umgebung, Türen zum Rechenzentrumsgebäude und Versand/Annahme. Das Sicherheitspersonal vor Ort verwaltet die CCTV-Überwachungs-, Aufzeichnungs- und Kontrollausrüstung. Sichere Kabel in den Rechenzentren verbinden die Überwachungsgeräte. Die Kameras zeichnen vor Ort 24 Stunden am Tag, 7 Tage die Woche auf. Die Aufnahmen werden mindestens für 7 Tage in Abhängigkeit von den jeweiligen Aktivitäten aufbewahrt.
(b) Zugriffssteuerung.
Personal für Infrastruktursicherheit. Jibe hat eine Sicherheitsrichtlinie für sein Personal erlassen und erhält diese aufrecht. Jibe verlangt von seinen Mitarbeitern die Teilnahme an einem Sicherheitstraining als Teil eines Schulungsprogramms. Das Personal für Infrastruktursicherheit von Jibe ist für die fortlaufende Überwachung der Sicherheitsinfrastruktur von Jibe, die Überprüfung der Auftragsverarbeiterdienste und die Reaktion auf Sicherheitsvorfälle verantwortlich.
Zugriffskontrolle und Privilege Management. Administratoren und Nutzer des Partners müssen sich über ein zentrales Authentifizierungssystem oder über ein Einmalanmeldungssystem authentifizieren, um die Auftragsverarbeiterdienste nutzen zu können.
Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinien. Die internen Datenzugriffsprozesse und -richtlinien von Jibe sollen verhindern, dass unbefugte Personen und/oder Systeme Zugriff auf Systeme erhalten, die zur Verarbeitung personenbezogener Daten verwendet werden. Jibe ist bestrebt, die Systeme so zu gestalten, dass: (i) nur berechtigten Personen Zugang zu den Daten gewährt wird, für die sie zugriffsberechtigt sind; und (ii) sichergestellt ist, dass personenbezogene Daten ohne entsprechende Berechtigung während ihrer Verarbeitung, Nutzung und nach ihrer Speicherung nicht gelesen, kopiert, verändert oder gelöscht werden können. Die Systeme sind darauf ausgelegt, unangemessene Zugriffe zu erkennen. Jibe verwendet ein zentrales Zugriffsverwaltungssystem, um den Personalzugriff auf Produktionsserver zu kontrollieren, und gewährt nur einer begrenzten Anzahl autorisierter Mitarbeiter Zugriff. LDAP, Kerberos und ein proprietäres System, das digitale Zertifikate verwendet, bieten Jibe sichere und flexible Zugriffsmechanismen. Diese Mechanismen sind so konzipiert, dass nur genehmigte Zugriffsrechte auf Website-Hosts, Protokolle, Daten und Konfigurationsinformationen gewährt werden. Jibe verlangt die Verwendung eindeutiger Nutzer-IDs, starker Passwörter, der 2-Faktor-Authentifizierung und sorgfältig überwachter Zugriffslisten, um das Risiko einer unbefugten Kontonutzung zu minimieren. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den beruflichen Verantwortlichkeiten des berechtigten Personals; verpflichtenden Anforderungen, die zur Erfüllung von Arbeitsaufgaben gestellt werden müssen und zu denen Berechtigung besteht, und dem Need-to-know-Prinzip. Die Gewährung oder Änderung von Zugriffsrechten muss außerdem den internen Datenzugriffsrichtlinien und Schulungen von Jibe entsprechen. Genehmigungen werden durch Workflow-Tools verwaltet, die Prüfaufzeichnungen aller Änderungen enthalten. Der Zugriff auf Systeme wird protokolliert, um einen Audit-Trail zur Rechenschaftspflicht zu erstellen. Wo Passwörter zur Authentifizierung eingesetzt werden (z. B. zum Log-in an Arbeitsplatzrechnern), sind Passwortrichtlinien eingerichtet worden, die mindestens dem Industriestandard entsprechen. Diese Standards umfassen Einschränkungen bei der Wiederverwendung von Passwörtern und eine ausreichende Passwortstärke.
3. Daten
(a) Datenspeicherung, Isolation und Authentifizierung.
Jibe speichert Daten in einer Multi-Tenant-Umgebung auf Servern, die im Eigentum von Google LLC stehen. Die Daten, die Datenbanken der Auftragsverarbeiterdienste und die Architektur des Dateiverwaltungssystems werden in mehreren geografisch verteilten Rechenzentren repliziert. Jibe isoliert die Daten jedes Partners oder Kunden logisch voneinander. Für alle Auftragsverarbeiterdienste wird übergreifend ein zentrales Authentifizierungssystem genutzt, um die allgemeine Datensicherheit zu erhöhen.
(b) Richtlinien zur Außerbetriebnahme und Zerstörung von Festplatten.
Bei bestimmten Datenträgern, die Daten enthalten, können Leistungsprobleme, Fehler oder Hardwareausfälle auftreten, die zu ihrer Außerbetriebnahme führen („Außer Betrieb genommener Datenträger“). Jeder außer Betrieb genommene Datenträger unterliegt einer Reihe von Prozessen zur Datenvernichtung (den Richtlinien zur Datenvernichtung), bevor er das Firmengelände von Jibe entweder zur Wiederverwendung oder zur Vernichtung verlässt. Außer Betrieb genommene Datenträger werden in einem mehrstufigen Prozess gelöscht. Die vollständige Löschung muss von mindestens zwei unabhängigen Prüfern bestätigt werden. Die Löschergebnisse werden anhand der Seriennummer des außer Betrieb genommenen Datenträgers zur Nachverfolgung gespeichert. Abschließend wird der gelöschte außer Betrieb genommene Datenträger im Inventar zur Wiederverwendung freigegeben. Wenn der außer Betrieb genommene Datenträger aufgrund eines Hardwarefehlers nicht gelöscht werden kann, wird er sicher aufbewahrt, bis er vernichtet werden kann. Jede Einrichtung wird regelmäßig auditiert, um zu überwachen, dass die Richtlinien zur Zerstörung von Daten eingehalten werden.
(c) Pseudonymisierte Daten
Daten aus Onlinewerbung werden häufig mit Online-IDs verknüpft, die für sich genommen als „pseudonym“ gelten, d.h., sie können ohne zusätzliche Informationen nicht einer bestimmten Person zugeordnet werden. Jibe hat eine Reihe robuster Richtlinien sowie technische und organisatorische Kontrollen eingeführt, um die Trennung zwischen pseudonymen Daten und personenidentifizierbaren Nutzerinformationen (d. h. Informationen, die allein verwendet werden können, um eine natürliche Person direkt zu identifizieren, zu kontaktieren oder genau zu lokalisieren) zu gewährleisten, z. B. die Jibe-Kontodaten eines Nutzers. Die Jibe-Richtlinien erlauben den Datenfluss zwischen pseudonymen und personenidentifizierbaren Daten nur in streng begrenzten Fällen.
(d) Startüberprüfungen
Jibe führt vor der Markteinführung eine Einführungsüberprüfung für neue Produkte und Funktionen durch. Dazu gehört auch eine Datenschutzprüfung durch speziell geschulte Datenschutzexperten. Bei Datenschutzüberprüfungen achten Datenschutzexperten darauf, dass alle anwendbaren Jibe-Richtlinien eingehalten werden, einschließlich, aber nicht beschränkt auf Richtlinien zur Pseudonymisierung und Datenaufbewahrung und ‑löschung.
4. Mitarbeitersicherheit
Die Mitarbeiter von Jibe sind verpflichtet, sich in Übereinstimmung mit den Richtlinien des Unternehmens in Bezug auf Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards zu verhalten. Jibe führt im angemessenen Umfang Hintergrundüberprüfungen durch, soweit dies im Einklang mit geltendem Recht, insbesondere mit anwendbarem nationalem Arbeitsrecht und anwendbaren gesetzlichen Bestimmungen steht.
Die Mitarbeiter sind verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen sowie den Erhalt und die Einhaltung der Vertraulichkeits- und Datenschutzbestimmungen von Jibe zu bestätigen. Das Personal erhält Sicherheitsschulungen. Mitarbeiter, die personenbezogene Daten von Partnern verarbeiten, müssen zusätzliche Anforderungen erfüllen, die ihrer Rolle entsprechen. Die Mitarbeiter von Jibe verarbeiten keine personenbezogenen Daten von Partnern ohne Autorisierung.
5. Sicherheit von Unterauftragsverarbeitern
Bevor Unterauftragsverarbeiter eingesetzt werden, führt Jibe zuerst eine Prüfung der Sicherheits- und Datenschutzpraxis des Unterauftragsverarbeiters durch, um dafür zu sorgen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen Verhältnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht. Nachdem Jibe die bestehenden Risiken der Zusammenarbeit mit einem Unterauftragsverarbeiter bewertet hat, muss dieser, unter Beachtung der in Paragraf 11.3 (Voraussetzungen für die Beschäftigung von Unterauftragsverarbeitern) dargelegten Voraussetzungen, entsprechenden Vertragsbedingungen bezüglich Sicherheit, Vertraulichkeit und Datenschutz zustimmen.
Anhang 3: Zusatzbedingungen für außereuropäische Datenschutzvorschriften
Die folgenden Zusatzbedingungen für außereuropäische Datenschutzvorschriften ergänzen diesen Zusatz zur Datenverarbeitung:
- Ergänzung für LGPD-Auftragsverarbeiter unter business.safety.google/processorterms/lgpd (Stand 27. August 2020)
- Ergänzung zu den Gesetzen von US-Bundesstaaten unter business.safety.google/processorterms/us-state-laws (Stand: 12. Dezember 2022)
Verweise auf Google LLC oder Google in der Ergänzung für LGPD-Auftragsverarbeiter und in der Ergänzung für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze beziehen sich auf Jibe.
Zusatz zur Datenverarbeitung für Jibe, Version 4.0