Bedingungen & Richtlinien

Inkrafttreten: 18. September 2025

FÜR UNABHÄNGIGE SOFTWAREANBIETER („ISV“ oder „Auftragsverarbeiter“)

 DIESE DATENVERARBEITUNGSZUSATZ GILT, WENN SIE SICH FÜR DIE BEREITSTELLUNG VON NITRO-DIENSTLEISTUNGEN ALS ISV UNTER EINEM VERTRAG FÜR UNABHÄNGIGE SOFTWAREANBIETER REGISTRIERT HABEN (WIE IN ABSCHNITT 2 UNTEN DEFINIERT) UND DIE EU-DSGVO FÜR DIE VERARBEITUNG VON PERSONENBEZOGENEN DATEN IM RAHMEN DES VERTRAGS ANWENDBAR IST.

1. GELTUNGSBEREICH; ROLLEN DER PARTEIEN

Nitro erhält und verarbeitet personenbezogene Daten im Auftrag des ISV, wenn es die Dienstleistungen bereitstellt, gemäß den im Datenverarbeitungsdetails festgelegten Anweisungen und Zwecken. Durch diesen Datenverarbeitungsanhang möchten die Parteien ihre spezifischen Vereinbarungen hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Vertrags festlegen.

Nitro wird standardmäßig als Unterverarbeiter agieren und der ISV wird als Verarbeiter hinsichtlich der von Nitro an den ISV erbrachten Dienstleistungen agieren. Nitro erkennt an, dass der ISV im Namen des Datenverantwortlichen personenbezogene Daten verarbeitet. Dieser Datenverarbeitungszusatz ersetzt und ersetzt alle vorherigen Vereinbarungen (falls vorhanden) bezüglich der Verarbeitung personenbezogener Daten und des Datenschutzes zwischen den Parteien in Bezug auf die von Nitro unter der Vereinbarung angebotenen Dienstleistungen.

Dieser Datenverarbeitungszusatz ergänzt und ist Teil der Vereinbarung, und zusammen bilden die Vereinbarung und dieser Datenverarbeitungszusatz eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und dem Vertrag hat der Datenverarbeitungszusatz Vorrang.

2. DEFINITIONEN

„Vertrag“ bezeichnet den Vertrag für unabhängige Softwareanbieter, alle daran angehängten Pläne, die Nitro ISV-Bestellformulare und alle hierin durch Verweis einbezogenen Informationen aus dem Nitro-Partnerportal (sofern zutreffend);

„Anlage“ bezeichnet jede Anlage zu diesem Datenverarbeitungszusatz;

„Verantwortlicher“ bezeichnet den Kunden des Auftragsverarbeiters (der in Bezug auf den Vertrag als Endkunde angesehen wird), dem der Auftragsverarbeiter (d.h. der ISV) die integrierte Lösung (die Dienste, die von Nitro an den Auftragsverarbeiter bereitgestellt werden, umfasst) zur Verfügung stellt;

„Details zur Datenverarbeitung“ bezeichnet Anlage 1 zu diesem Datenverarbeitungszusatz, die weitere Details zu den Anweisungen des Verantwortlichen zur Verarbeitung personenbezogener Daten enthält, die vom Auftragsverarbeiter an Nitro übermittelt wurden, einschließlich Zweck, Gegenstand und Art der Verarbeitung sowie der Art personenbezogener Daten, die verarbeitet werden;

„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung);

„EU-Standardvertragsklauseln“ oder „SCCs“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, die von der Europäischen Kommission gemäß der Durchführungsentscheidung (EU) 2021/914 vom 4. Juni 2021 angenommen wurden, einschließlich der SCCs vom Auftragsverarbeiter zum Auftragsverarbeiter und Text aus Modul 3 solcher Standardvertragsklauseln, jedoch nicht aus irgendeinem anderen Modul und ohne die als optional gekennzeichneten Klauseln, wie sie von Zeit zu Zeit von einer zuständigen Behörde gemäß den relevanten Datenschutzgesetzen geändert oder ersetzt werden. Wenn das Europäische Parlament und der Rat einen aktualisierten Satz von EU-Standardvertragsklauseln annehmen, wird „EU-Standardvertragsklauseln“ die aktuellste Anpassung meinen;

„Nitro Sub-Auftragsverarbeiter-Liste“ bezieht sich auf die Liste der Nitro Sub-Auftragsverarbeiter, die online von Nitro bereitgestellt wird und die Nitro Sub-Auftragsverarbeiter umfasst, die Nitro für die Bereitstellung der Dienste und die Erfüllung von Nitros Verpflichtungen aus dem Vertrag im Allgemeinen einsetzt. Nitro kann die Nitro Sub-Auftragsverarbeiter-Liste von Zeit zu Zeit gemäß dem in diesem Datenverarbeitungszusatz festgelegten Verfahren aktualisieren;

„Nitro Sub-Auftragsverarbeiter“ bezeichnet jeden Dritten, der von Nitro für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienste an den Auftragsverarbeiter beauftragt wird;

„Personenbezogene Daten“ bezeichnet personenbezogene Daten, wie sie unter der EU-DSGVO definiert sind, die Nitro im Auftrag des Auftragsverarbeiters bei der Erbringung der Dienste gemäß den in den Details zur Datenverarbeitung festgelegten Anweisungen und Zwecken verarbeitet;

„SCCs vom Auftragsverarbeiter zu Auftragsverarbeiter“ bezeichnet Modul 3 der EU-Standardvertragsklauseln;

„Auftragsverarbeiter“ bezieht sich auf den ISV, wie im Vertrag und/oder dem entsprechenden Nitro ISV-Bestellformular identifiziert;

„Sub-Auftragsverarbeiter“ bezieht sich auf Nitro Software Inc., Anbieter der Dienste für den Auftragsverarbeiter.

Alle anderen Begriffe und Definitionen, die in Großbuchstaben geschrieben sind und die in diesem Datenverarbeitungszusatz nicht ausdrücklich definiert sind, sind wie in den geltenden Datenschutzgesetzen oder dem Vertrag festgelegt definiert.

3. ZWECK DIESEN DATENVERARBEITUNGSZUSATZES

3.1  Dieser Datenverarbeitungszusatz bestimmt die Bedingungen der Verarbeitung durch Nitro personenbezogener Daten im Auftrag des Auftragsverarbeiters im Rahmen des Vertrags. Die Art und der Zweck der Verarbeitung, eine Liste und die Art personenbezogener Daten sowie die Kategorien der betroffenen Personen sind in den Details zur Datenverarbeitung (Anlage 1) aufgeführt.

3.2  Die Verarbeitung erfolgt im Auftrag des Auftragsverarbeiters, der im Auftrag des Verantwortlichen handelt, und zu den in den Details zur Datenverarbeitung definierten Zwecken. Nitro wird den Auftragsverarbeiter unverzüglich informieren, wenn es der Meinung ist, dass eine Anweisung gegen die geltenden (datenschutzrechtlichen) Gesetze verstößt. Nitro verarbeitet personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen, die vom Auftragsverarbeiter an Nitro übermittelt wurden, wie in diesem Datenverarbeitungszusatz festgelegt und wird diese personenbezogenen Daten nicht für eigene Zwecke verwenden, es sei denn, dies ist ausdrücklich in den Nutzungsbedingungen erlaubt. Wenn Nitro rechtlich verpflichtet ist, eine Verarbeitung personenbezogener Daten durchzuführen, wird Nitro, es sei denn, dies würde gegen die geltenden zwingenden Vorschriften verstoßen, den Auftragsverarbeiter über diese Verpflichtung informieren. Der Auftragsverarbeiter kann solche Informationen an den Verantwortlichen weitergeben.

3.3  Der Auftragsverarbeiter garantiert, dass dieser Datenverarbeitungszusatz die Vereinbarungen zwischen dem Auftragsverarbeiter und dem Verantwortlichen widerspiegelt und der Auftragsverarbeiter garantiert auch kontinuierlich, dass der Verantwortliche die Beauftragung von Nitro als Sub-Auftragsverarbeiter und die Beauftragung von Nitro Sub-Auftragsverarbeitern, wie in Abschnitt 10 beschrieben, genehmigt hat.

4. LAUFZEIT

5. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

5.1  Nitro bietet angemessene Garantien in Bezug auf die Implementierung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um eine sichere Verarbeitung personenbezogener Daten zu gewährleisten, sodass der Schutz der Rechte der betroffenen Person gewährleistet ist. Die von Nitro umgesetzten TOMs sind in den Details zur Datenverarbeitung festgelegt. Die TOMs können von Nitro von Zeit zu Zeit aktualisiert werden; Nitro wird jedoch sicherstellen, dass die Gesamtsicherheit, die zum Zeitpunkt der Ausführung des Datenverarbeitungszusatzes umgesetzt wurde, nicht verschlechtert wird. Der Auftragsverarbeiter erkennt an, dass die TOMs ein angemessenes Sicherheitsniveau bieten, das dem Risiko der Verarbeitung personenbezogener Daten im Auftrag des Auftragsverarbeiters zum Zeitpunkt der Unterzeichnung oder Annahme dieses Datenverarbeitungszusatzes angemessen ist.

5.2  Nitro wird alle geeigneten technischen und organisatorischen Maßnahmen gemäß Artikel 32 der EU-DSGVO ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist.

5.3  Wenn Nitro verpflichtet wäre, sensible personenbezogene Daten, wie in den Artikeln 9 und 10 der EU-DSGVO im Rahmen des Vertrags beschrieben, zu verarbeiten, wird der Auftragsverarbeiter Nitro schriftlich darüber informieren unter privacy@gonitro.com.

5.4  Falls der Auftragsverarbeiter (oder der Verantwortliche) spezifische technische und organisatorische Maßnahmen anfordert, die von Nitro (die Nitro standardmäßig nicht implementiert hat) umgesetzt werden sollen, wird der Auftragsverarbeiter Nitro für die Umsetzung solcher zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen.

5.5  Die Einhaltung von Nitro gegenüber einem genehmigten Verhaltenskodex, wie in Artikel 40 der EU-DSGVO erwähnt, oder einem genehmigten Zertifizierungsmechanismus, wie in Artikel 42 der EU-DSGVO erwähnt, kann als Nachweis für ausreichende Garantien gemäß der EU-DSGVO verwendet werden.

6. SPEICHERDAUER

6.1  Nitro wird personenbezogene Daten nicht länger aufbewahren als für die Verarbeitung solcher personenbezogenen Daten im Rahmen des Vertrags erforderlich. Der Auftragsverarbeiter wird Nitro nicht anweisen, personenbezogene Daten länger als notwendig zu speichern. Die geltenden Aufbewahrungsfristen sind in den Details zur Datenverarbeitung festgelegt.

6.2  Nach Wahl des Auftragsverarbeiters wird Nitro alle personenbezogenen Daten nach Beendigung der Bereitstellung von Diensten löschen oder an den Auftragsverarbeiter zurückgeben und vorhandene Kopien löschen, es sei denn, das Recht der Union oder der Mitgliedstaaten verlangt die Speicherung der personenbezogenen Daten, die dann vom Auftragsverarbeiter an den Verantwortlichen übermittelt werden kann. Der Auftragsverarbeiter erkennt an, dass die Dienste möglicherweise Downloadfunktionen beinhalten, die dem Verantwortlichen zur Verfügung stehen, um dem Verantwortlichen zu ermöglichen, seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, stellt der Auftragsverarbeiter sicher, dass der Verantwortliche diese Funktionen verwendet, um seine Daten zu extrahieren oder zu löschen.

7. VERTRAULICHKEIT

7.1  Die Parteien haben im Vertrag eine Vertraulichkeitsklausel vereinbart, die für die Verarbeitung personenbezogener Daten im Rahmen des Vertrags gilt.

7.2  Nitro erkennt an und stimmt zu, dass nur diejenigen Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen und nur in dem Umfang, der vernünftigerweise erforderlich ist, um die Erfüllung des Vertrags sicherzustellen. Nitro stellt sicher, dass die Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, durch Vertrag zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

8. RECHTE DER BETROFFENEN PERSONEN

8.1. Unter Berücksichtigung der Art der Verarbeitung wird Nitro alle angemessenen Anstrengungen unternehmen, um dem Verantwortlichen, auf Anfrage des Auftragsverarbeiters, bei der Erfüllung der Verpflichtung des Verantwortlichen, auf Anfragen von betroffenen Personen zu reagieren, zu unterstützen, indem geeignete technische und organisatorische Maßnahmen ergriffen werden.

8.2  Für alle von Nitro geleistete Unterstützung im Zusammenhang mit der Behandlung solcher Anfragen von betroffenen Personen stellt der Auftragsverarbeiter Nitro gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes eine Entschädigung zur Verfügung. Eine solche Entschädigung durch den Auftragsverarbeiter gilt nicht (i) wenn die betroffene Person ihre Rechte aufgrund eines nachweislich Nitro zuzurechnenden Verstoßes gegen personenbezogene Daten geltend macht oder (ii) wenn eine solche Unterstützung durch Nitro vier (4) Arbeitsstunden während der Laufzeit des Vertrags nicht überschreitet.

9. MELDEPFLICHT

9.1  Nach Bekanntwerden eines Verstoßes gegen personenbezogene Daten wird Nitro den Auftragsverarbeiter ohne unangemessene Verzögerung darüber informieren, indem der im Vertrag angegebene Ansprechpartner (oder alternativ über die Benachrichtigungs-E-Mail-Adresse des Auftragsverarbeiters oder (sofern zutreffend) eine andere E-Mail-Adresse, die der Auftragsverarbeiter im Nitro-Partnerportal geteilt hat) kontaktiert wird. Der Ansprechpartner von Nitro für alle datenschutzbezogenen Angelegenheiten kann per E-Mail kontaktiert werden: privacy@gonitro.com.

9.2  Auf Anfrage des Auftragsverarbeiters wird Nitro den Auftragsverarbeiter über alle neuen Entwicklungen im Zusammenhang mit einem Verstoß gegen personenbezogene Daten informieren sowie über die Maßnahmen, die ergriffen wurden, um die Folgen einzuschränken und die Wiederholung eines solchen Verstoßes gegen personenbezogene Daten zu verhindern. Es liegt in der Verantwortung des Auftragsverarbeiters, die von Nitro erhaltenen Informationen an den Verantwortlichen weiterzuleiten, um dem Verantwortlichen die Erfüllung seiner Verpflichtung zur Meldung eines Verstoßes gegen personenbezogene Daten an die Aufsichtsbehörde oder die betroffenen Personen zu ermöglichen, wie gefordert.

10. SUB-AUFTRAGSVERARBEITUNG

10.1  Der Auftragsverarbeiter garantiert, dass Nitro vom Verantwortlichen ausdrücklich ermächtigt ist, Nitro Sub-Auftragsverarbeiter für die Verarbeitung personenbezogener Daten zur Durchführung des Vertrags und zur Erleichterung der Bereitstellung der Dienste im Allgemeinen einzusetzen. In diesem Zusammenhang erteilt der Auftragsverarbeiter Nitro eine allgemeine schriftliche Ermächtigung, darüber zu entscheiden, mit welchen Nitro Sub-Auftragsverarbeitern Nitro zur Erfüllung seiner Verpflichtungen aus dem Vertrag zusammenarbeitet. Nitro veröffentlicht eine Nitro Sub-Auftragsverarbeiter-Liste, die sich auf die Nitro Sub-Auftragsverarbeiter bezieht.

10.2  Nitro wird den Auftragsverarbeiter über alle beabsichtigten Änderungen bezüglich der Hinzufügung oder Ersetzung von Nitro Sub-Auftragsverarbeitern über den im Vertrag angegebenen Ansprechpartner des Auftragsverarbeiters (oder über die Benachrichtigungs-E-Mail-Adresse des Auftragsverarbeiters oder (sofern zutreffend) eine andere E-Mail-Adresse, die der Auftragsverarbeiter im Nitro-Partnerportal geteilt hat) informieren. Der Auftragsverarbeiter hat das Recht, der Hinzufügung oder Ersetzung durch schriftliche Mitteilung an Nitro zu widersprechen, wenn der Verantwortliche einen solchen Widerspruch gegen die Hinzufügung oder Ersetzung hätte. Die Parteien werden in diesem Fall die Hinzufügung, Ersetzung oder Alternative in gutem Glauben und so schnell wie möglich nach der schriftlichen Mitteilung des Widerspruchs des Auftragsverarbeiters besprechen.

10.3  Wenn Nitro einen Nitro Sub-Auftragsverarbeiter für die Durchführung spezifischer Verarbeitungsaktivitäten einsetzt, werden die gleichen oder ähnlichen Datenschutzpflichten, wie sie in diesem Datenverarbeitungszusatz festgelegt sind, durch schriftliche Vereinbarung dem Nitro Sub-Auftragsverarbeiter auferlegt, insbesondere mit der Bereitstellung ausreichender Garantien zur Implementierung geeigneter technischer und organisatorischer Maßnahmen (und der Einhaltung der relevanten technischen und organisatorischen Maßnahmen). Wenn ein Nitro Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nachkommt, haftet Nitro weiterhin vollumfänglich gegenüber dem Auftragsverarbeiter für die Erfüllung dieser Verpflichtung des Nitro Sub-Auftragsverarbeiters.

11. INTERNATIONALE DATENÜBERMITTLUNGEN

11.1  Der Auftragsverarbeiter nimmt zur Kenntnis, dass Nitro in den Vereinigten Staaten von Amerika ansässig ist und internationaler Übertragungen personenbezogener Daten für die Zwecke der Bereitstellung der Dienste zustimmt. Ein solcher internationaler Datenübergang gilt als Anweisung des Verantwortlichen, die vom Auftragsverarbeiter an Nitro übermittelt wird.

11.2  Wenn Nitro zu irgendeinem Zeitpunkt während der Laufzeit dieses Datenverarbeitungszusatzes unter dem EU-US-Datenrahmen (das „Rahmenwerk“) für die Dienste zertifiziert ist, erkennen die Parteien an, dass keine angemessenen Sicherungsmaßnahmen für die Übertragungen zwischen dem Auftragsverarbeiter und Nitro erforderlich sind.

11.3  Wenn die in Abschnitt 2 festgelegten Bedingungen nicht zutreffen, gehen der Auftragsverarbeiter (als "Datenexporteur") und Nitro (als "Datenimporteur") mit Wirkung vom Beginn der relevanten Übertragung in die SCCs vom Auftragsverarbeiter zu Auftragsverarbeiter ein. Anlage 1 zu den SCCs vom Auftragsverarbeiter zu Auftragsverarbeiter gilt als vorab mit den entsprechenden Abschnitten der Anlage 1 zu diesem Datenverarbeitungszusatz vorbefüllt. Anlage 2 zu den SCCs vom Auftragsverarbeiter zu Auftragsverarbeiter gilt als vorab mit den in Abschnitt 5 dieses Datenverarbeitungszusatzes enthaltenen Informationen vorbefüllt und:

• In Klausel 7 wird die optionale Dockingklausel nicht angewendet;
• In Klausel 9 gilt Option 2, und die Frist beträgt 30 Tage;
• In Klausel 11 gilt die optionale Abhilferegelung nicht;
• In Klausel 13(a) wird Folgendes eingefügt: Wenn der Datenexporteur in einem Mitgliedstaat der EU ansässig ist: Die Aufsichtsbehörde, die für die Gewährleistung der Einhaltung durch den Datenexporteur in Bezug auf die Datenübertragung gemäß der Verordnung (EU) 2016/679 zuständig ist, wie in Anlage I.C zu diesem Datenverarbeitungszusatz angegeben, handelt als zuständige Aufsichtsbehörde.
  Wenn der Datenexporteur nicht in einem Mitgliedstaat der EU ansässig ist, jedoch innerhalb des räumlichen Anwendungsbereichs der Verordnung (EU) 2016/679 gemäß Artikel 3(2) fällt und einen Vertreter gemäß Artikel 27(1) der Verordnung (EU) 2016/679 bestellt hat:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27(1) der Verordnung (EU) 2016/679 ansässig ist, wie in Anlage I.C angegeben, handelt als zuständige Aufsichtsbehörde.
  Wenn der Datenexporteur nicht in einem Mitgliedstaat der EU ansässig ist, jedoch innerhalb des räumlichen Anwendungsbereichs der Verordnung (EU) 2016/679 gemäß Artikel 3(2) fällt, ohne jedoch einen Vertreter gemäß Artikel 27(2) der Verordnung (EU) 2016/679 ernennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen, deren personenbezogene Daten unter diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie oder deren Verhalten überwacht wird, wohnhaft sind, wie in Anlage I.C angegeben, handelt als zuständige Aufsichtsbehörde.
• In Klausel 17 gilt Option 1, und die EU-Standardvertragsklauseln unterliegen den Gesetzen des Datenexporteurs; und 
• In Klausel 18(b) werden Streitigkeiten vor den Gerichten des Datenexporteurs entschieden. 

11.4  Der Auftragsverarbeiter erkennt an, dass Nitro Sub-Auftragsverarbeiter, die nach Klausel 9 genehmigt sind, ebenfalls personenbezogene Daten in Drittländern verarbeiten können. Nitro kann solche Übertragungen durchführen, sofern Nitro alle erforderlichen Schritte unternimmt, um sicherzustellen, dass solche Übertragungen den Bestimmungen von Kapitel V der EU-DSGVO und anderen geltenden Datenschutzgesetzen entsprechen.

11.5  Falls der Transfer personenbezogener Daten in ein Drittland oder eine internationale Organisation unter den geltenden EU- oder Mitgliedstaatengesetzen, denen Nitro unterliegt, zwingend vorgeschrieben ist, ist Nitro berechtigt, diesen Transfer durchzuführen und wird den Auftragsverarbeiter über diese rechtliche Anforderung informieren, bevor eine solche Verarbeitung stattfindet, es sei denn, dass diese gesetzliche Regelung den Hinweis aus wichtigen Gründen des öffentlichen Interesses verbietet. Der Auftragsverarbeiter kann solche Informationen an den Verantwortlichen weitergeben.

12. DATENSCHUTZ-FOLGENBEWERTUNG UND VORHERIGE KONSULTATION

12.1  Wenn der Verantwortliche eine Datenschutz-Folgenabschätzung („DPIA“) (Artikel 35 der EU-DSGVO) oder eine vorherige Konsultation (Artikel 36 der EU-DSGVO) in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Durchführung des Vertrags vornimmt, wird Nitro auf schriftliche Anfrage des Auftragsverarbeiters dem Verantwortlichen angemessen unterstützen. Der Auftragsverarbeiter wird Nitro für die geleistete Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen. Eine solche Kostenerstattung gilt nicht, wenn (i) die von Nitro angeforderte Unterstützung während der Laufzeit des Vertrags weniger als vier (4) Arbeitsstunden beträgt oder (ii) die DPIA oder die vorherige Konsultation durch einen nachweislich auf Nitro zurückzuführenden Verstoß gegen personenbezogene Daten ausgelöst wird. 

13. PRÜFRECHT

13.1  Auf Anfrage des Auftragsverarbeiters wird Nitro Prüfungen durch den Auftragsverarbeiter hinsichtlich der Einhaltung von Nitro mit seinen Verpflichtungen aus diesem Datenverarbeitungszusatz und den geltenden Datenschutzgesetzen gestatten. Nitro wird angemessene Anstrengungen unternehmen, um mit solchen Prüfungen zusammenzuarbeiten und alle Informationen bereitzustellen, die erforderlich sind, um die Einhaltung seiner Verpflichtungen nachzuweisen. Der Auftragsverarbeiter hat Nitro mindestens einen (1) Monat vor dem Datum, an dem die Prüfung durchgeführt werden soll, durch schriftliche Mitteilung unter Verwendung der E-Mail-Adresse privacy@gonitro.com darüber zu benachrichtigen.

13.2  Im Falle einer Prüfung müssen zuvor alle beteiligten Parteien einen spezifischen Geheimhaltungsvertrag, der von Nitro im Zusammenhang mit der Prüfung und den Prüfungsergebnissen ausgestellt wurde, unterzeichnen, bevor die Prüfung beginnt. Bei der Durchführung einer solchen Prüfung müssen die Vertraulichkeitsverpflichtungen der Parteien gegenüber Dritten berücksichtigt werden. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einer Prüfung gesammelten Informationen geheim halten und ausschließlich verwenden, um die Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften in Bezug auf den Datenschutz zu überprüfen. Der Auftragsverarbeiter hat die Option, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen; jedoch muss dieser unabhängige Prüfer den oben genannten Geheimhaltungsvertrag ordnungsgemäß unterzeichnen. Der Verantwortliche hat die gleichen Prüfungsrechte wie der Auftragsverarbeiter gemäß dieser Klausel.

13.3  Beide Parteien sowie, falls zutreffend, ihre Vertreter werden auf Anfrage angemessen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten.

13.4  Der Auftragsverarbeiter wird Nitro für die von Nitro im Zusammenhang mit der Prüfung bereitgestellten Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen. Es wird verstanden, dass diese Entschädigung nicht anwendbar ist, wenn (i) die Prüfung das Ergebnis eines nachweislichen Verstoßes gegen personenbezogene Daten ist, der Nitro zuzurechnen ist, oder (ii) wenn die Unterstützung durch Nitro vier (4) Arbeitsstunden während der Laufzeit des Vertrags nicht überschreitet.

14. KOSTEN

14.1  Die Unterstützung, die im Rahmen dieses Datenverarbeitungszusatzes von Nitro dem Auftragsverarbeiter bereitgestellt werden kann, wird auf Basis der geleisteten Stunden und der anwendbaren Standard-Stundensätze von Nitro (295 USD/Stunde, Steuern ausgeschlossen) abgerechnet. Nitro wird diese Beträge monatlich in Rechnung stellen, hat jedoch auch das Recht, eine Vorauszahlung zu verlangen.

14.2. Die Zahlung des Auftragsverarbeiters an Nitro für die Unterstützung und Dienstleistungen, die von Nitro gemäß diesem Datenverarbeitungszusatz bereitgestellt werden, erfolgt in Übereinstimmung mit den Bestimmungen im Vertrag.

15. HAFTUNG

16. SONSTIGES

ANLAGE 1 – DETAILS ZUR DATENVERARBEITUNG

A. LISTE DER PARTEIEN

1. Datenexporteur(e):

Name: ISV, wie im Vertrag (und/oder relevantem Nitro ISV-Bestellformular) identifiziert.

Adresse: Die Adresse des Datenexporteurs ist im Vertrag (und/oder relevantem Nitro ISV-Bestellformular) festgelegt.

Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten der Kontaktperson des Datenexporteurs sind im Vertrag (und/oder dem relevanten Nitro ISV-Bestellformular) oder im Nitro-Partnerportal aufgeführt.

Aktivitäten, die für die übertragenen Daten relevant sind: Die Aktivitäten, die für die unter diesen EU-Standardvertragsklauseln übertragenen Daten relevant sind, sind in Abschnitt B „Beschreibung der Verarbeitung/Übertragung“ unten beschrieben.

Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des Vertrags gilt der Datenexporteur als Unterzeichner dieser Anlage I.

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

2. Datenimporteur(e):

Name: Nitro Software Inc.

Adresse: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, United States.

Name, Position und Kontaktdaten der Kontaktperson: privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, United States.

Aktivitäten, die für die übertragenen Daten relevant sind: Die Aktivitäten, die für die unter diesen EU-Standardvertragsklauseln übertragenen Daten relevant sind, sind in Abschnitt B „Beschreibung der Verarbeitung/Übertragung“ unten beschrieben.

Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des Vertrags gilt der Datenexporteur als Unterzeichner dieser Anlage I.

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

B. BESCHREIBUNG DER VERARBEITUNG/ÜBERTRAGUNG

Der Gegenstand wird vom Auftragsverarbeiter, wie im Vertrag (und/oder relevantem Nitro ISV-Bestellformular) festgelegt, bestimmt.

Die Art und die Zwecke der Verarbeitung werden vom Auftragsverarbeiter, wie im Vertrag (und/oder relevantem Nitro ISV-Bestellformular) festgelegt, bestimmt.

Standardmäßig dient eine solche Verarbeitung dem Erreichen der Bereitstellung der Dienste, einschließlich aller seiner Funktionen und Merkmale, an den Auftragsverarbeiter (der diese dem Verantwortlichen zur Verfügung stellen wird) und allgemein dem Zweck, Nitro die Erfüllung seiner vertraglichen Verpflichtungen aus dem Vertrag zu ermöglichen. Zu diesen Zwecken kann die Bereitstellung der Cloud-Dienste über Integrationen (API) gehören (beispielsweise, aber nicht beschränkt auf die Bereitstellung von elektronischen Unterschriftsdiensten oder bestimmten PDF-Workflows usw.) sowie die Bereitstellung von Support.

Die Art der Verarbeitung umfasst, neben anderen von dem Auftragsverarbeiter im Vertrag (und/oder relevantem Nitro ISV-Bestellformular) gegebenen Anweisungen, die Verarbeitung, Sammlung, Speicherung, Kommunikation und Übertragung personenbezogener Daten.

Je nach den innerhalb der Dienste verwendeten Funktionen (z.B. elektronische Unterschriftsdienste, PDF-Workflows usw.) und den Inhalten der Endkundendaten, die als personenbezogene Daten gelten, die vom Auftragsverarbeiter oder dem Verantwortlichen in die Dienste hochgeladen werden, verarbeitet Nitro unterschiedliche Arten von personenbezogenen Daten. Im Allgemeinen umfassen die von Nitro verarbeiteten personenbezogenen Daten ohne Einschränkung:

• Identifikationsdetails (z.B. hinsichtlich der betroffenen Personen, die die Dienste nutzen - und Nutzungsmöglichkeiten)
• Dokumentendaten (z.B. personenbezogene Daten, die in bearbeiteten PDF-Dokumenten enthalten sind)

Ein detaillierter Überblick über die Art der verarbeiteten personenbezogenen Daten bei der Nutzung der Dienste ist über Nitros Vertrauenszentrum verfügbar: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data

Der Datensatz könnte sensible personenbezogene Daten gemäß Abschnitt 5.3 dieses Datenverarbeitungszusatzes enthalten. Sensible Daten, die übermittelt werden (sofern zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, z.B. strenge Zweckbegrenzungen, Zugangseinschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugriffs auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen: Verweis wird auf die in den Details zur Datenverarbeitung unten aufgeführten oder erwähnten TOMs gelegt.

Die folgenden Kategorien von betroffenen Personen sind standardmäßig im Geltungsbereich:

• Alle betroffenen Personen, die Zugang zu den Diensten haben (einschließlich Administratoren, allgemeine Benutzer oder eingeladene Benutzer wie Unterzeichner).
• Zusätzlich betroffene Personen, die in den Endkundendaten enthalten sind, die als personenbezogene Daten gelten, die in die Dienste vom Auftragsverarbeiter oder dem Verantwortlichen hochgeladen wurden. 

Der Auftragsverarbeiter bestätigt, dass diese betroffenen Personen standardmäßig als eine der folgenden Kategorien betrachtet werden:

• Benutzer der Dienste 
• Kunden des Auftragsverarbeiters 
  
  

Nitro engagiert Nitro Sub-Auftragsverarbeiter, um sicherzustellen, dass alle Funktionalitäten innerhalb der Dienste verfügbar sind. Welche Nitro Sub-Auftragsverarbeiter anwendbar sind, hängt von den verwendeten Diensten und den vom Auftragsverarbeiter oder dem Verantwortlichen angeforderten Funktionen und Setups ab. Eine detaillierte Liste der Nitro Sub-Auftragsverarbeiter (einschließlich des Verfahrens, das wir bei der Beauftragung neuer Nitro Sub-Auftragsverarbeiter anwenden) ist über unser Vertrauenszentrum verfügbar: https://www.gonitro.com/security-compliance/data-protection/subprocessors-and-subcontractors

Nitro implementiert geeignete technische und organisatorische Maßnahmen, um eine angemessene Sicherheit bei der Nutzung der Dienste sicherzustellen. Wir aktualisieren solche Maßnahmen kontinuierlich. Eine detaillierte Übersicht über die ergriffenen Maßnahmen ist auf unserem Vertrauenszentrum in unserem Bereich Sicherheit verfügbar: https://www.gonitro.com/security-compliance/security und in unserer Information Security Policy. Unser Vertrauenszentrum listet auch die Zertifizierungen auf, die Nitro im Abschnitt Compliance hält: https://www.gonitro.com/security-compliance/compliance

Nitro wird personenbezogene Daten nicht länger aufbewahren, als es für die Bereitstellung der Dienste erforderlich ist. Abhängig von den Diensten und den Funktionen, die der Auftragsverarbeiter oder der Verantwortliche nutzt, können die geltenden Aufbewahrungsfristen variieren. Der Auftragsverarbeiter, der im Auftrag des Verantwortlichen handelt, kann Nitro bitten, spezifische Aufbewahrungsfristen in seiner Umgebung zu konfigurieren (soweit dies technisch machbar ist).

Falls keine spezifischen Aufbewahrungsfristen konfiguriert sind, werden personenbezogene Daten standardmäßig von Nitro aufbewahrt, bis sie vom Auftragsverarbeiter oder dem Verantwortlichen gelöscht oder bis zur Beendigung des Vertrags zwischen Nitro und dem Auftragsverarbeiter (plus maximal 30 Tage) gespeichert werden, je nachdem, welches dieser beiden Szenarien zuerst eintritt. Eine detaillierte Übersicht über die Aufbewahrungsfristen ist über unser Vertrauenszentrum verfügbar: https://www.gonitro.com/security-compliance/data-protection/processing-of-personal-data.

Fortlaufend, sofern erforderlich, um die Dienste dem Auftragsverarbeiter bereitzustellen.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Bestimmen Sie die zuständigen Aufsichtsbehörde(n) gemäß Klausel 13 der EU-Standardvertragsklauseln: Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde, die für den Auftragsverarbeiter zuständig ist (oder, sofern relevant, für den Vertreter des Auftragsverarbeiters).