NACHTRAG ZUR DATENVERARBEITUNG

Gültig: 28 Oktober 2022

Dieser Zusatz zur Datenverarbeitung („DPA“) ist Teil der Nitro-Geschäftsbedingungen oder der Nitro-Nutzungsbedingungen, soweit anwendbar, die die Nutzung der Nitro-Dienste regeln („Vereinbarung“), die von und zwischen Ihnen oder dem Lizenznehmer (jeweils wie definiert in der entsprechenden Vereinbarung; und für die Zwecke dieser DPA werden Sie und der Lizenznehmer hierin als „Kunde“ bezeichnet) und Nitro Software, Inc. („Nitro“), um die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten durch widerzuspiegeln Nitro ausschließlich im Namen des Kunden im Rahmen der Vereinbarung. Beide Parteien werden als „Parteien“ und jeweils eine „Partei“ bezeichnet.

1 . Definitionen

Für die Zwecke dieser DPA haben die nachstehenden Begriffe die nachstehend dargelegte Bedeutung. Großgeschriebene Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die in der Vereinbarung angegebene Bedeutung.

(a) Verbundenes Unternehmen bedeutet jedes Unternehmen, das direkt oder indirekt das betreffende Unternehmen kontrolliert, von ihm kontrolliert wird oder mit ihm unter gemeinsamer Kontrolle steht, wobei sich „Kontrolle“ auf die Befugnis bezieht, das betreffende Unternehmen zu leiten oder die Leitung des betreffenden Unternehmens zu bewirken, unabhängig davon, ob (i) B. durch das Eigentum an stimmberechtigten Wertpapieren oder (ii) durch die Fähigkeit, die Managemententscheidungen eines solchen Unternehmens durch Vertrag oder anderweitig zu kontrollieren.

(b) API bezeichnet jede Anwendungsprogrammierschnittstelle, die Nitro dem Kunden in Verbindung mit der Vereinbarung zur Verfügung stellt.

(c) Anwendbare Datenschutzgesetze bezeichnet die Datenschutz-, Datenschutz- und Datensicherheitsgesetze und -vorschriften aller Gerichtsbarkeiten, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich, aber nicht beschränkt auf die europäischen Datenschutzgesetze und den CCPA, jeweils in der geänderten Fassung von Zeit zu Zeit.

(d) CCPA bezeichnet den California Consumer Privacy Act von 2018 und alle darunter verkündeten Vorschriften.

(e) Kundendaten bezeichnet Informationen, die Nitro zur Verfügung gestellt oder zur Verfügung gestellt werden, um sie im Namen des Kunden zu verarbeiten, um die Dienste auszuführen.

(f) Dokumentation bedeutet Benutzerhandbuch, Versionshinweise, Implementierungsanleitungen und sonstige technische Dokumentation in Bezug auf die Services oder Professional Services, die dem Kunden von Nitro zur Verfügung gestellt werden.

(g) EWR bezeichnet den Europäischen Wirtschaftsraum.

(h) Europäische Datenschutzgesetze bezeichnet die DSGVO und andere Datenschutzgesetze und -vorschriften der Europäischen Union, ihrer Mitgliedstaaten, der Schweiz, Islands, Liechtensteins, Norwegens und des Vereinigten Königreichs, jeweils in dem für die Verarbeitung anwendbaren Umfang Personenbezogene Daten im Rahmen der Vereinbarung.

(i) DSGVO bezeichnet die Verordnung (EU) 2016 / 679 des Europäischen Parlaments und des Rates vom 27 April 2016 in der jeweils gültigen Fassung.

(j) Informationssicherheitsvorfall bedeutet eine bekannte Verletzung der Sicherheit von Nitro, die zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten in Nitros Besitz, Verwahrung oder Kontrolle führt. Informationssicherheitsvorfälle umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht gefährden, einschließlich, aber nicht beschränkt auf, erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe oder andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

(k) Geistige Eigentumsrechte bezeichnet alle geistigen Eigentumsrechte weltweit, einschließlich: (i) Patente, Offenbarungen von Erfindungen (ob patentierbar oder nicht), Patentanmeldungen, Neuauflagen, erneute Prüfungen, Gebrauchsmusterrechte und Designrechte (eingetragen oder anderweitig) , und eingetragene oder andere gewerbliche Eigentumsrechte, (ii) Warenzeichen, Dienstleistungsmarken, Firmennamen, Handelsnamen, Internet-Identifikatoren, Handelsaufmachungen und andere ähnliche Herkunfts- oder Ursprungsbezeichnungen zusammen mit dem Firmenwert, der durch eines der Vorstehenden symbolisiert wird, (iii ) Urheberrechte, Urheberpersönlichkeitsrechte, Designrechte, Datenbankrechte, Datensammlungen und andere Sui-generis-Rechte, (iv) Geschäftsgeheimnisse oder andere Eigentumsrechte an vertraulichen Informationen oder technischen, regulatorischen und anderen Informationen, Designs, Ergebnissen, Techniken und anderem Wissen -wie, und (v) Anträge, Registrierungen und Verlängerungen für und alle damit verbundenen Rechte in Bezug auf das Vorstehende in jedem Teil der Welt.

(l) Personenbezogene Daten sind Kundendaten, die „personenbezogene Daten“, „personenbezogene Daten“ oder „personenbezogene Daten“ darstellen, die im anwendbaren Datenschutzgesetz definiert sind, oder Informationen ähnlicher Art, die dadurch geregelt werden, mit der Ausnahme, dass personenbezogene Daten solche nicht enthalten Informationen über Mitarbeiter oder Vertreter des Kunden, die im normalen Verlauf der Geschäftsbeziehung Geschäftskontakte von Nitro sind, wobei Nitro als Verantwortlicher für diese Informationen fungiert.

(m) Verarbeitung bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten oder an Sätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Abfrage , Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitiges Zurverfügungstellen, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung.

(n) Professionelle Dienstleistungen bezeichnet alle Dienstleistungen, die von Nitro in Bezug auf die Dienstleistungen erbracht werden, wie z. B. Aktivierung, Schulung, Konfiguration, Integration, Bewertung und Optimierung.

(o) Sicherheitsmaßnahmen hat die in Abschnitt 5 (a) (Sicherheitsmaßnahmen des Anbieters) festgelegte Bedeutung.

(p) Standardvertragsklauseln bezeichnet die zwingenden Bestimmungen der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittländern niedergelassene Auftragsverarbeiter in der durch die Entscheidung 2016 / 679 /EU und 2018 / der Europäischen Kommission festgelegten Form. 914 /EU und umgesetzt durch die Entscheidung 2021 / 914 der Europäischen Kommission vom 4 Juni 2021 .

(q) Unterauftragsverarbeiter bezeichnet Dritte, die Nitro mit der Verarbeitung personenbezogener Daten in Bezug auf die Dienste beauftragt.

(r) Dritte Unterauftragsverarbeiter hat die in Abschnitt 5 (Unterauftragsverarbeiter) von Anhang 1 festgelegte Bedeutung.

(s) Die Begriffe Verantwortlicher, betroffene Person, Auftragsverarbeiter und Aufsichtsbehörde, wie sie in dieser DPA verwendet werden , haben die in der DSGVO angegebene Bedeutung.

2 . Dauer und Umfang der DPA

(a) Diese DPA bleibt in Kraft, solange Nitro personenbezogene Daten verarbeitet, ungeachtet des Ablaufs oder der Kündigung der Vereinbarung.

(b) Anhang 1 (EU-Anhang) zu diesem DPA gilt ausschließlich für die Verarbeitung, die den europäischen Datenschutzgesetzen unterliegt.

(c) Anhang 2 (Kalifornien-Anhang) zu diesem DPA gilt ausschließlich für die Verarbeitung, die dem CCPA unterliegt, wenn der Kunde in Bezug auf diese Verarbeitung ein „Unternehmen“ oder „Dienstleister“ (wie im CCPA definiert) ist.

3 . Kundenanweisungen

Nitro verarbeitet personenbezogene Daten nur gemäß den Anweisungen des Kunden an Nitro. Dieses DPA ist ein vollständiger Ausdruck solcher Anweisungen, und die zusätzlichen Anweisungen des Kunden sind für Nitro nur gemäß einer von beiden Parteien unterzeichneten Änderung dieses DPA bindend. Der Kunde weist Nitro an, personenbezogene Daten zu verarbeiten, um die Dienste gemäß der Vereinbarung bereitzustellen.

4 . Analytik

Der Kunde erkennt an und stimmt zu, dass Nitro als Teil der Dienste:

(a) Erstellung und Ableitung von Verarbeitungselementen im Zusammenhang mit den Diensten, die zur Erbringung der Dienste erforderlich sind; und/oder

(b) anonymisierte und/oder aggregierte Daten, die den Kunden oder eine natürliche Person nicht identifizieren, zu erstellen und aus der Verarbeitung im Zusammenhang mit den Diensten abzuleiten und solche anonymisierten und/oder aggregierten Daten zu verwenden, zu veröffentlichen oder mit Dritten zu teilen, um die Produkte und Dienstleistungen von Nitro zu verbessern und/oder für seine anderen legitimen Geschäftszwecke.

5 . <>Sicherheit

(a) Sicherheitsmaßnahmen des Anbieters . Nitro wird technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gegen zufällige oder rechtswidrige Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder unbefugten Zugriff auf personenbezogene Daten („ Sicherheitsmaßnahmen “) implementieren und aufrechterhalten, wie in Anhang 3 (Sicherheitsmaßnahmen) beschrieben. Nitro kann die Sicherheitsmaßnahmen von Zeit zu Zeit ohne Vorankündigung aktualisieren, solange die aktualisierten Maßnahmen den Gesamtschutz personenbezogener Daten nicht wesentlich beeinträchtigen.

(b) Informationssicherheitsvorfälle . Nitro benachrichtigt den Kunden unverzüglich über jeden Informationssicherheitsvorfall, von dem der Kunde Kenntnis erlangt. Solche Benachrichtigungen können verfügbare Details des Informationssicherheitsvorfalls beschreiben, einschließlich einer Zusammenfassung der Schritte, die unternommen wurden, um die potenziellen Risiken zu mindern, und der Schritte, die Nitro dem Kunden empfiehlt, um den Informationssicherheitsvorfall anzugehen. Nitros Benachrichtigung oder Reaktion auf einen Informationssicherheitsvorfall wird nicht als Nitros Anerkennung eines Fehlers oder einer Haftung in Bezug auf den Informationssicherheitsvorfall ausgelegt.

(c) Sicherheitsverantwortlichkeiten und -bewertung des Kunden.

(i) Sicherheitsverantwortung des Kunden . Der Kunde erklärt sich damit einverstanden, dass der Kunde ohne Einschränkung der Verpflichtungen von Nitro gemäß Abschnitt 5 (Sicherheit) allein für seine Nutzung der Dienste verantwortlich ist, einschließlich (a) der angemessenen Nutzung der Dienste, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten Achtung der personenbezogenen Daten; (b) Sichern der Zugangsdaten, Systeme und Geräte zur Kontoauthentifizierung, die der Kunde für den Zugriff auf die Dienste verwendet; (c) Sicherung der Systeme und Geräte des Kunden, die Nitro zur Bereitstellung der Dienste verwendet; und (d) Sicherung personenbezogener Daten.

(ii) Sicherheitsbewertung des Kunden . Der Kunde erklärt sich damit einverstanden, dass die Dienste, die Sicherheitsmaßnahmen und die Verpflichtungen von Nitro gemäß diesem DPA angemessen sind, um die Bedürfnisse des Kunden zu erfüllen, einschließlich in Bezug auf alle Sicherheitsverpflichtungen des Kunden gemäß den geltenden Datenschutzgesetzen, und ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf angemessen ist die personenbezogenen Daten.

6 . Rechte der betroffenen Person

(a) Nitros Antrag auf Unterstützung durch betroffene Personen . Nitro wird (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten) dem Kunden die Unterstützung leisten, die vernünftigerweise erforderlich ist, damit der Kunde seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommen kann, um Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen zu erfüllen („ Daten Subjektanfragen “) in Bezug auf personenbezogene Daten, die sich im Besitz oder unter der Kontrolle von Nitro befinden. Der Kunde entschädigt Nitro für eine solche Unterstützung zu den jeweils aktuellen Tarifen für professionelle Dienstleistungen von Nitro, die dem Kunden auf Anfrage zur Verfügung gestellt werden.

(b) Verantwortung des Kunden für Anfragen. Wenn Nitro eine Anfrage einer betroffenen Person erhält, weist Nitro die betroffene Person an, die Anfrage an den Kunden zu senden, und der Kunde ist für die Beantwortung der Anfrage verantwortlich.

7 . Verantwortlichkeiten des Kunden

(a) Kunden-Compliance . Der Kunde muss seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommen. Der Kunde stellt sicher (und ist allein dafür verantwortlich), dass seine Anweisungen in Abschnitt 3 den geltenden Datenschutzgesetzen entsprechen und dass der Kunde alle Mitteilungen an Personen, auf die sich personenbezogene Daten beziehen, erteilt und alle Einwilligungen von ihnen eingeholt hat andere Parteien gemäß den geltenden Datenschutzgesetzen für den Kunden zur Verarbeitung personenbezogener Daten gemäß der Vereinbarung.

(b) Verbotene Daten . Der Kunde erklärt und garantiert gegenüber Nitro, dass Kundendaten ohne die vorherige schriftliche Zustimmung von Nitro keine Sozialversicherungsnummern oder andere von der Regierung ausgestellte Identifikationsnummern enthalten und nicht enthalten werden; biometrische Informationen; Passwörter für Online-Konten; Anmeldeinformationen zu allen Finanzkonten; Steuererklärungsdaten; Kreditauskünfte oder Verbraucherberichte; alle Zahlungskarteninformationen, die dem Payment Card Industry Data Security Standard unterliegen; Informationen, die dem Gramm-Leach-Bliley Act, dem Fair Credit Reporting Act oder den unter einem dieser Gesetze erlassenen Vorschriften unterliegen; Informationen, die Einschränkungen gemäß den geltenden Datenschutzgesetzen unterliegen, die personenbezogene Daten von Kindern regeln, einschließlich, aber nicht beschränkt auf alle Informationen über Kinder unter 13 Jahren; oder alle Informationen, die in besondere Datenkategorien (wie in der DSGVO definiert) fallen. Der Kunde erklärt ferner, dass Kundendaten keine geschützten Gesundheitsinformationen enthalten, die dem Health Insurance Portability and Accountability Act (HIPAA) oder ähnlichen Gesetzen in anderen Gerichtsbarkeiten unterliegen; andere Informationen über die Krankengeschichte, den geistigen oder körperlichen Zustand einer Person oder die medizinische Behandlung oder Diagnose durch einen Angehörigen der Gesundheitsberufe; oder Krankenversicherungsinformationen, es sei denn, der Kunde und Nitro haben separat einen HIPAA Business Associate Agreement abgeschlossen.

8 . Sonstig

Sofern nicht ausdrücklich durch die DPA geändert, bleiben die Bedingungen der Vereinbarung in vollem Umfang in Kraft und wirksam. Im Falle eines Konflikts oder Widerspruchs zwischen dieser DPA und den Bedingungen der Vereinbarung gilt diese DPA. Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung oder in einem damit verbundenen Bestellformular erkennen die Parteien an und stimmen zu, dass der Zugriff von Nitro auf personenbezogene Daten keinen Teil der von den Parteien in Bezug auf die Vereinbarung ausgetauschten Gegenleistung darstellt. Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung können alle Mitteilungen, die Nitro dem Kunden gemäß diesem DPA zukommen lassen muss oder darf, (a) in Übereinstimmung mit einer Mitteilungsklausel der Vereinbarung erfolgen; (b) an die primären Kontaktstellen von Nitro beim Kunden; oder (c) an eine vom Kunden bereitgestellte E-Mail-Adresse, um ihm dienstbezogene Mitteilungen oder Warnungen zukommen zu lassen. Der Kunde ist allein dafür verantwortlich sicherzustellen, dass diese Adressen für Benachrichtigungen gültig sind.

ANHANG 1 ZUM DPA-EU-ANHANG

8

1 . Verarbeitung von Daten

(a) Gegenstand und Einzelheiten der Verarbeitung . Die Parteien erkennen an und stimmen zu, dass (i) der Gegenstand der Verarbeitung im Rahmen der Vereinbarung die Bereitstellung der Dienste durch Nitro ist; (ii) die Dauer der Verarbeitung vom Erhalt personenbezogener Daten durch Nitro bis zur Löschung aller personenbezogenen Daten durch Nitro gemäß der Vereinbarung; (iii) Art und Zweck der Verarbeitung ist die Bereitstellung der Dienste; (iv) die betroffenen Personen, auf die sich die personenbezogenen Daten beziehen, sind der Kunde (sofern der Kunde eine Einzelperson ist), Benutzer der Dienste oder der Software von Nitro und Personen, deren personenbezogenen Daten vom Kunden generiert, geteilt oder hochgeladen wurden und/oder Benutzer der Dienste und/oder der Software von Nitro; und (v) die Kategorien personenbezogener Daten sind die personenbezogenen Daten, die vom Kunden oder Benutzern der Dienste und/oder der Software von Nitro generiert, geteilt, hochgeladen oder angefordert werden (was personenbezogene Daten enthalten kann, die in Dokumenten, Bildern und anderen Medien und Benutzer- generierte Inhalte wie Dokumente, Texte, Bilder und andere Inhalte).

(b) Rollen und Einhaltung gesetzlicher Vorschriften; Autorisierung . Die Parteien erkennen an und stimmen zu, dass (i) Nitro ein Verarbeiter personenbezogener Daten gemäß den europäischen Datenschutzgesetzen ist; (ii) der Kunde ein Verantwortlicher (oder ein Auftragsverarbeiter, der auf Anweisung eines Verantwortlichen handelt) von personenbezogenen Daten gemäß den europäischen Datenschutzgesetzen ist; und (iii) jede Partei wird die für sie in dieser Rolle geltenden Verpflichtungen gemäß den europäischen Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten erfüllen. Wenn der Kunde ein Verarbeiter ist, erklärt und garantiert der Kunde gegenüber Nitro, dass die Anweisungen und Handlungen des Kunden in Bezug auf personenbezogene Daten, einschließlich der Ernennung von Nitro als einem weiteren Verarbeiter, vom jeweiligen Verantwortlichen autorisiert wurden.

(c) Einhaltung von Anweisungen durch Nitro . Nitro verarbeitet personenbezogene Daten nur gemäß den Anweisungen des Kunden, die in diesem DPA angegeben sind, es sei denn, geltende europäische Datenschutzgesetze verlangen etwas anderes. In diesem Fall wird Nitro den Kunden benachrichtigen (es sei denn, dieses Gesetz verbietet Nitro dies).

(d) Datenlöschung . Nitro löscht alle personenbezogenen Daten auf den Systemen von Nitro auf schriftliche Anfrage des Kunden und nach dem Ende der Bereitstellung von Diensten und löscht vorhandene Kopien, es sei denn, die weitere Speicherung der personenbezogenen Daten ist durch (i) geltende Gesetze der Europäischen Union oder ihrer Mitgliedstaaten in Bezug auf personenbezogene Daten, die europäischen Datenschutzgesetzen unterliegen, oder (ii) anwendbaren Datenschutzgesetzen in Bezug auf alle anderen personenbezogenen Daten. Nitro wird einer solchen Anweisung so schnell wie möglich und spätestens 180 Tage nach einem solchen Ablauf oder einer solchen Beendigung nachkommen, es sei denn, geltende Datenschutzgesetze erfordern eine Speicherung. Der Kunde kann gegen eine zusätzliche Gebühr eine Kopie dieser personenbezogenen Daten von Nitro anfordern, indem er dies mindestens 30 Tage vor Ablauf oder Kündigung der Vereinbarung schriftlich anfordert. Nach der Zustimmung der Parteien zu einer solchen Belastung gemäß einem Arbeitsauftrag oder einer anderen Änderung der Vereinbarung stellt Nitro eine solche Kopie dieser personenbezogenen Daten bereit, bevor sie gemäß dieser Klausel gelöscht werden.

2 . Datensicherheit

(a) Nitro Sicherheitsmaßnahmen, Kontrollen und Unterstützung

(i) Nitro-Sicherheitsunterstützung . Auf schriftliche Anfrage stellt Nitro dem Kunden angemessene Unterstützung zur Verfügung, die erforderlich ist, damit der Kunde seinen Verpflichtungen in Bezug auf personenbezogene Daten gemäß den europäischen Datenschutzgesetzen, einschließlich der Artikel 32 bis 34 (einschließlich) der DSGVO, nachkommen kann, indem (a) Implementierung und Aufrechterhaltung der Sicherheitsmaßnahmen; (b) Einhaltung der Bestimmungen von Abschnitt 5 (b) (Informationssicherheitsvorfälle) des DPA; und (c) Einhaltung dieses Anhangs 1 . Der Kunde erkennt hiermit an und stimmt zu, dass solche Maßnahmen ausreichen, um dem Kunden die Einhaltung dieser Verpflichtungen zu ermöglichen.

(ii) Sicherheitskonformität durch Nitro-Mitarbeiter . Nitro stellt sicher, dass seine Mitarbeiter, die zum Zugriff auf personenbezogene Daten berechtigt sind, angemessenen Vertraulichkeitsverpflichtungen unterliegen.

(b) Überprüfungen und Audits der Einhaltung Der Kunde darf Nitros Einhaltung seiner Verpflichtungen aus diesem DPA höchstens einmal pro Kalenderjahr und bei anderen Gelegenheiten, die von den europäischen Datenschutzgesetzen vorgeschrieben sind, einschließlich der von der Aufsichtsbehörde des Kunden vorgeschriebenen, überprüfen. Nitro wird bei solchen Audits behilflich sein, indem es dem Kunden oder der Aufsichtsbehörde des Kunden die Informationen und Unterstützung zur Verfügung stellt, die für die Durchführung des Audits erforderlich sind. Wenn ein Dritter die Prüfung durchführen soll, kann Nitro dem Prüfer widersprechen, wenn der Prüfer nach begründeter Meinung von Nitro nicht unabhängig, ein Konkurrent von Nitro oder anderweitig offensichtlich ungeeignet ist. Ein solcher Einspruch von Nitro erfordert, dass der Kunde einen anderen Prüfer ernennt oder das Audit selbst durchführt. Um ein Audit anzufordern, muss der Kunde Nitro mindestens drei ( 3 ) Wochen vor dem vorgeschlagenen Auditdatum einen vorgeschlagenen Auditplan vorlegen und jeder externe Auditor muss eine übliche Geheimhaltungsvereinbarung unterzeichnen, die für Nitro beidseitig akzeptabel ist (eine solche Annahme nicht unangemessen vorenthalten werden) und die vertrauliche Behandlung aller im Zusammenhang mit der Prüfung ausgetauschten Informationen und etwaiger Berichte über die Ergebnisse oder Feststellungen derselben vorsehen. Der vorgeschlagene Auditplan muss den vorgeschlagenen Umfang, die Dauer und das Startdatum des Audits beschreiben. Nitro überprüft den vorgeschlagenen Prüfplan und stellt dem Kunden alle Bedenken oder Fragen zur Verfügung (z. B. alle Informationsanfragen, die die Sicherheit, den Datenschutz, die Privatsphäre, die Beschäftigung oder andere relevante Richtlinien von Nitro gefährden könnten). Nitro arbeitet mit dem Kunden zusammen, um einen endgültigen Auditplan zu vereinbaren. Nichts in diesem Abschnitt 2 (b) verpflichtet Nitro dazu, Vertraulichkeitspflichten zu verletzen. Wenn die im angeforderten Audit zu bewertenden Kontrollen oder Maßnahmen in einem SOC 2 Typ 2 , ISO oder einem ähnlichen Auditbericht behandelt werden, der von einem qualifizierten externen Auditor erstellt wurde und innerhalb von zwölf ( 12 ) Monaten nach dem Audit des Kunden erstellt wurde und Nitro bestätigt hat, dass seit dem Datum eines solchen Berichts keine wesentlichen nachteiligen Änderungen bei den geprüften Kontrollen bekannt geworden sind, stimmt der Kunde zu, diesen Bericht anzunehmen, anstatt eine Prüfung dieser Kontrollen oder Maßnahmen zu verlangen. Das Audit muss während der regulären Geschäftszeiten von Nitro durchgeführt werden, vorbehaltlich des vereinbarten endgültigen Auditplans und der Sicherheits- und/oder anderen relevanten Richtlinien von Nitro, und darf die Geschäftsaktivitäten von Nitro nicht unangemessen beeinträchtigen. Der Kunde wird Nitro unverzüglich über jede Nichteinhaltung informieren, die im Verlauf eines Audits entdeckt wird, und Nitro alle Auditberichte zur Verfügung stellen, die im Zusammenhang mit einem Audit gemäß diesem Abschnitt 2 (b) erstellt wurden, sofern dies nicht durch europäische Datenschutzgesetze verboten oder anderweitig von ihm angewiesen wird eine Aufsichtsbehörde. Der Kunde darf die Prüfberichte nur zum Zwecke der Erfüllung der behördlichen Prüfungsanforderungen des Kunden und/oder zur Bestätigung der Einhaltung der Anforderungen dieses DPA verwenden. Alle Audits gehen zu Lasten des Kunden. Der Kunde erstattet Nitro die Zeit, die Nitro und Dritte im Zusammenhang mit Audits oder Inspektionen gemäß diesem Abschnitt 2 (b) aufgewendet haben, zu den jeweils aktuellen Tarifen für professionelle Dienstleistungen von Nitro, die dem Kunden auf Anfrage zur Verfügung gestellt werden. Der Kunde ist für alle Gebühren verantwortlich, die von einem vom Kunden mit der Durchführung einer solchen Prüfung beauftragten Prüfer erhoben werden.

3 . Folgenabschätzungen und Konsultationen

Nitro wird (unter Berücksichtigung der Art der Verarbeitung und des Nitro zur Verfügung stehenden Informationen) den Kunden angemessen bei der Erfüllung seiner Verpflichtungen gemäß den Artikeln 35 und 36 der DSGVO unterstützen, indem sie (a) die Dokumentation zur Verfügung stellt, die relevante Aspekte beschreibt, wie Nitro Informationssicherheitsprogramm und die damit verbundenen Sicherheitsmaßnahmen enthält und (b) die anderen in der Vereinbarung enthaltenen Informationen, einschließlich dieser DPA, bereitzustellen.

4 . Datenübertragungen

(a) Datenverarbeitungseinrichtungen . Nitro kann, vorbehaltlich Abschnitt 4 (b) (Übertragungen aus dem EWR), personenbezogene Daten in den Vereinigten Staaten oder überall dort speichern und verarbeiten, wo Nitro oder seine Unterauftragsverarbeiter Einrichtungen unterhalten.

(b) Übertragungen aus dem EWR . Wenn der Kunde personenbezogene Daten aus dem EWR an Nitro in ein Land überträgt, das nach Ansicht der Europäischen Kommission keinen angemessenen Datenschutz bietet, unterliegt diese Übertragung den Standardvertragsklauseln, deren Bedingungen hiermit in diese DPA aufgenommen werden. Zur Förderung des Vorstehenden vereinbaren die Parteien, dass (i) der Kunde als Datenexporteur und Nitro als Datenimporteur gemäß den Standardvertragsklauseln auftritt; (ii) für die Zwecke von Anhang 1 der Standardvertragsklauseln sind die Kategorien betroffener Personen, Daten, besondere Datenkategorien (falls zutreffend) und die Verarbeitungsvorgänge wie in Abschnitt 1 (a) dargelegt. zu diesem Anhang 1 (Gegenstand und Einzelheiten der Verarbeitung); (iii) für die Zwecke von Anhang 2 der Standardvertragsklauseln sind die technischen und organisatorischen Maßnahmen die Sicherheitsmaßnahmen; (iv) der Datenimporteur stellt auf Anfrage des Datenexporteurs die Kopien der Unterauftragsverarbeitervereinbarungen zur Verfügung, die vom Datenimporteur gemäß Klausel 5 (j) der Standardvertragsklauseln an den Datenexporteur gesendet werden müssen, und kann von diesem Datenimporteur entfernt werden oder alle kommerziellen Informationen oder Klauseln, die nichts mit den Standardvertragsklauseln oder ihren Äquivalenten zu tun haben, im Voraus schwärzen; (v) die in Klausel 5 (f) und Klausel 12 ( 2 ) der Standardvertragsklauseln beschriebenen Audits werden gemäß Abschnitt 2 (b) dieses Anhangs 1 (Überprüfungen und Compliance-Audits); (vi) Die Autorisierungen des Kunden in Abschnitt 5 (Unterauftragsverarbeiter) dieses Anhangs 1 stellen die vorherige schriftliche Zustimmung des Kunden zur Untervergabe der Verarbeitung personenbezogener Daten durch Nitro dar, wenn eine solche Zustimmung gemäß Klausel 5 (h) erforderlich ist die Standardvertragsklauseln; und (vii) eine Bescheinigung über die Löschung personenbezogener Daten, wie in Klausel 12 ( 1 ) der Standardvertragsklauseln beschrieben, wird auf schriftliche Anfrage des Datenimporteurs bereitgestellt.

Ungeachtet des Vorstehenden gelten die Standardvertragsklauseln (oder Verpflichtungen, die denen der Standardvertragsklauseln entsprechen) nicht, soweit ein alternativer anerkannter Compliance-Standard für die Übermittlung personenbezogener Daten außerhalb des EWR gemäß den europäischen Datenschutzgesetzen gilt die Übertragung. Im Falle eines Konflikts oder Widerspruchs zwischen (a) diesem Anhang 1 und einer anderen Bestimmung dieser DPA gilt dieser Anhang 1 oder (b) die Standardvertragsklauseln und andere Bestimmungen dieser Vereinbarung, die Es gelten die Standardvertragsklauseln.

5 . Unterauftragsverarbeiter

(a) Zustimmung zur Beauftragung von Unterauftragsverarbeitern . Der Kunde autorisiert ausdrücklich die Beauftragung von Nitros Verbundenen Unternehmen als Unterauftragsverarbeiter und autorisiert allgemein die Beauftragung anderer Dritter als Unterauftragsverarbeiter („Unterauftragsverarbeiter von Drittanbietern “).

(b) Informationen über Unterauftragsverarbeiter . Informationen über Subprozessoren, einschließlich ihrer Funktionen und Standorte, sind verfügbar unter: https://www.gonitro.com/trust-center-data-protection/subprocessors-and-subcontractors (wie von Nitro von Zeit zu Zeit aktualisiert) oder eine andere Website-Adresse, die Nitro dem Kunden von Zeit zu Zeit zur Verfügung stellt (zusammen die „ Website des Unterauftragsverarbeiters“).

(c) Anforderungen für die Beauftragung von Unterauftragsverarbeitern . Bei der Beauftragung eines Unterauftragsverarbeiters schließt Nitro einen schriftlichen Vertrag mit diesem Unterauftragsverarbeiter ab, der Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in diesem DPA in Bezug auf personenbezogene Daten, soweit dies für die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen gilt. Nitro haftet für alle Verpflichtungen aus dem Vertrag, der an den Unterauftragsverarbeiter oder seine damit verbundenen Handlungen und Unterlassungen vergeben wird.

(d) Möglichkeit, Änderungen des Unterauftragsverarbeiters zu widersprechen . Wenn Nitro nach dem Datum des Inkrafttretens der Vereinbarung einen neuen Drittunterauftragsverarbeiter beauftragt, benachrichtigt Nitro den Kunden über die Beauftragung (einschließlich des Namens und Standorts des betreffenden Unterauftragsverarbeiters und der von ihm durchzuführenden Aktivitäten) durch Aktualisierung der Unterauftragsverarbeiter-Website oder auf andere schriftliche Weise . Wenn der Kunde einer solchen Beauftragung in einer schriftlichen Mitteilung an Nitro innerhalb von 15 Tagen nach Benachrichtigung über die Beauftragung aus angemessenen Gründen in Bezug auf den Schutz personenbezogener Daten widerspricht, werden der Kunde und Nitro nach Treu und Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zu finden auf einen solchen Einwand eingehen. Wenn die Parteien nicht in der Lage sind, innerhalb eines angemessenen Zeitrahmens eine für beide Seiten akzeptable Lösung zu erzielen, kann der Kunde als einziges und ausschließliches Rechtsmittel den Vertrag kündigen und die Dienste stornieren, indem er Nitro schriftlich benachrichtigt und Nitro alle fälligen und geschuldeten Beträge zahlt Vereinbarung zum Zeitpunkt einer solchen Kündigung.

(e) Ausreichende Zustimmung . Der Kunde erkennt hiermit an und stimmt zu, dass die vorstehenden Verfahren ausreichen, um die vorherige schriftliche Zustimmung des Kunden zur Unterverarbeitung gemäß Artikel 28 der DSGVO und in dem gemäß Klausel 5 (h) der Standardvertragsklauseln erforderlichen Umfang einzuholen.

ANHANG 2 ZUM ANHANG DPA KALIFORNIEN

  1. Für die Zwecke dieses Anhangs 2 haben die Begriffe „Geschäft“, „kommerzieller Zweck“, „verkaufen“ und „Dienstleister“ die ihnen im CCPA zugewiesene Bedeutung, und „personenbezogene Daten“ sind personenbezogene Daten, die sie darstellen personenbezogene Daten, die dem CCPA unterliegen.
  2. Es ist die Absicht der Parteien, dass Nitro in Bezug auf personenbezogene Daten ein Dienstleister ist. Nitro darf (a) keine personenbezogenen Daten verkaufen; (b) personenbezogene Daten für andere Zwecke als den spezifischen Zweck der Bereitstellung der Dienste aufzubewahren, zu verwenden oder offenzulegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung der personenbezogenen Daten für einen anderen kommerziellen Zweck als die Bereitstellung der Dienste; oder (c) die personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung zwischen Nitro und dem Kunden aufbewahren, verwenden oder offenlegen. Nitro bestätigt hiermit, dass es seine Verpflichtungen gemäß diesem Abschnitt 2 versteht und ihnen nachkommen wird.
  3. Die Parteien erkennen an, dass Nitros Aufbewahrung, Verwendung und Offenlegung personenbezogener Daten, die durch die im DPA dokumentierten Anweisungen des Kunden autorisiert sind, ein wesentlicher Bestandteil der Bereitstellung der Dienste durch Nitro und der Geschäftsbeziehung zwischen den Parteien sind.

ANHANG 3 ZU DPA-SICHERHEITSMASSNAHMEN

Der Schutz von Informationen ist der Hauptzweck der Informationssicherheit, der durch die Implementierung geeigneter Kontrollen erreicht wird, darunter Organisationsstrukturen, Richtlinien und Verfahren, Prozesse und technische IT-Kontrollen. Diese Kontrollen müssen entworfen, implementiert, überwacht, überprüft und verbessert werden, um sicherzustellen, dass die Informationsbestände von Nitro und seinen verbundenen Unternehmen, seinen Partnern oder Kunden jederzeit sicher sind. Siehe Technische Organisatorische Maßnahmen