Laden Sie eine Kopie herunter

DIESER NACHTRAG ZUR DATENVERARBEITUNG GILT, WENN SIE SICH ALS GESCHÄFTSKUNDE GEMÄSS DEN NUTZUNGSBEDINGUNGEN VON NITRO FÜR NITRO-DIENSTLEISTUNGEN ANGEMELDET HABEN. Für die VERARBEITUNG PERSONENBEZOGENER DATEN IM RAHMEN DER VEREINBARUNG GILT DIE UK-DSGVO. FALLS SIE SICH ALS EINZELPERSON ANMELDEN, BESUCHEN SIE BITTE DIE DATENSCHUTZRICHTLINIE VON NITRO, UM WEITERE INFORMATIONEN ÜBER DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN VON NITRO ZU ERHALTEN.

Nitro empfängt und verarbeitet personenbezogene Daten zum Nutzen und im Namen des Kunden bei der Bereitstellung des Dienstes gemäß den vom Kunden in den Datenverarbeitungsdetails festgelegten Anweisungen und Zwecken. Mit diesem Nachtrag zur Datenverarbeitung möchten die Parteien ihre spezifischen Vereinbarungen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung festlegen.

Standardmäßig fungiert Nitro als Auftragsverarbeiter und der Kunde als Verantwortlicher in Bezug auf die Dienste, die Nitro dem Kunden gemäß den Nutzungsbedingungen von Nitro zur Verfügung stellt. Dieser Nachtrag zur Datenverarbeitung ersetzt und ersetzt alle vorherigen Vereinbarungen, die (falls vorhanden) in Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz zwischen den Parteien im Zusammenhang mit den von Nitro angebotenen Diensten getroffen wurden.

Dieser Nachtrag zur Datenverarbeitung ergänzt die Nutzungsbedingungen und stellt einen Teil davon dar. Zusammen bilden die Nutzungsbedingungen und dieser Nachtrag zur Datenverarbeitung eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.

„Anhang“ bezeichnet jeden Anhang zu diesem Datenverarbeitungszusatz;

„Verantwortlicher“ bezieht sich auf den Kunden, wie in den Nutzungsbedingungen und dem jeweiligen Bestellformular angegeben;

„Details zur Datenverarbeitung“ bezeichnet Anhang 1 zum vorliegenden Nachtrag zur Datenverarbeitung, der weitere Einzelheiten zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten enthält, wie z. B. Zweck, Gegenstand und Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten;

„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur freien Verarbeitung personenbezogener Daten Bewegung dieser Daten und Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);

„Personenbezogene Daten“ sind personenbezogene Daten im Sinne der DSGVO des Vereinigten Königreichs, die Nitro zum Nutzen und im Namen des Kunden verarbeitet, wenn die Dienste gemäß den Anweisungen und Zwecken bereitgestellt werden, die der Kunde in den Datenverarbeitungsdetails definiert hat.

„Auftragsverarbeiter“ bezieht sich auf Nitro Software Inc., Anbieter der Dienste für den Kunden und wie in den Nutzungsbedingungen angegeben;

„Liste der Unterauftragsverarbeiter“ bezieht sich auf die von Nitro online zur Verfügung gestellte Liste der Unterauftragsverarbeiter , die die von Nitro für die Bereitstellung der Dienste und die Erfüllung der Verpflichtungen von Nitro im Rahmen der Vereinbarung im Allgemeinen beauftragten Unterauftragsverarbeiter umfasst. Nitro kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit gemäß dem in diesem Nachtrag zur Datenverarbeitung dargelegten Verfahren aktualisieren;

„Unterauftragsverarbeiter“ bezeichnet jeden Drittverarbeiter, der von Nitro mit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienste für den Kunden beauftragt wird;

„UK DSGVO“ bezeichnet die EU-DSGVO, wie sie gemäß Abschnitt 3 des EU-Austrittsgesetzes 2018 in nationales Recht des Vereinigten Königreichs umgesetzt und durch die Datenschutz-, Datenschutz- und elektronische Kommunikation-Änderungen (Änderungen usw.) (EU-Austritt) geändert wurde ) Verordnungen 2019 (in der jeweils gültigen Fassung);

„Personenbezogene Daten des Vereinigten Königreichs“ bezeichnet personenbezogene Daten, auf die die DSGVO des Vereinigten Königreichs anwendbar ist;

„Standardvertragsklauseln des Vereinigten Königreichs“ bezeichnet den Nachtrag zur internationalen Datenübertragung zu den Standardvertragsklauseln der EU-Kommission, herausgegeben vom Information Commissioner gemäß Abschnitt 119A(1) des Datenschutzgesetzes 2018, in der festgelegten Form und Weise Weitere Informationen finden Sie im Anhang 2 dieses Nachtrags zur Datenverarbeitung.

Alle anderen in Großbuchstaben geschriebenen Begriffe und Definitionen, die nicht ausdrücklich in diesem Nachtrag zur Datenverarbeitung definiert sind, werden gemäß den geltenden Datenschutzgesetzen oder den Nutzungsbedingungen von Nitro definiert.

3.1 Dieser Nachtrag zur Datenverarbeitung legt die Bedingungen für die Verarbeitung personenbezogener Daten durch Nitro fest, die vom Kunden oder auf Initiative des Kunden im Rahmen der Vereinbarung übermittelt werden. Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Datenverarbeitungsdetails (Anhang 1) aufgeführt.  

3.2 Die Verarbeitung erfolgt ausschließlich zum Nutzen des Kunden und zu dem vom Kunden in den Datenverarbeitungsdetails definierten Zweck. Nitro wird den Kunden unverzüglich informieren, wenn eine Weisung ihrer Meinung nach gegen geltendes Datenschutzrecht verstößt. Nitro verarbeitet die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des Kunden und verwendet diese personenbezogenen Daten nicht für eigene Zwecke, es sei denn, dies ist in den Nutzungsbedingungen ausdrücklich gestattet. Wenn Nitro gesetzlich dazu verpflichtet ist, mit der Verarbeitung personenbezogener Daten fortzufahren, wird Nitro den Kunden über diese Verpflichtung informieren, es sei denn, dies würde gegen geltende zwingende Vorschriften verstoßen.  

4.1 Dieser Nachtrag zur Datenverarbeitung gilt für alle Verarbeitungen personenbezogener Daten, die im Zusammenhang mit der Bereitstellung der Dienste für den Kunden durch Nitro durchgeführt werden, und gilt, solange Nitro personenbezogene Daten im Namen des Kunden im Rahmen der Vereinbarung verarbeitet . Dieser Nachtrag zur Datenverarbeitung ergänzt die Nutzungsbedingungen von Nitro und soll sicherstellen, dass die Parteien die Anforderungen der geltenden Datenschutzgesetze und -vorschriften für die Nutzung der Dienste durch den Kunden einhalten. 

4.2 Dieser Nachtrag zur Datenverarbeitung endet automatisch mit der Beendigung der Vereinbarung (oder zu dem Zeitpunkt, an dem die Verarbeitung durch Nitro beendet wird). Die Bestimmungen dieses Nachtrags zur Datenverarbeitung, die entweder ausdrücklich oder implizit (aufgrund ihrer Art) dazu bestimmt sind, nach Beendigung des Nachtrags zur Datenverarbeitung wirksam zu sein, bleiben über das Ende der Vereinbarung hinaus in Bezug auf die von oder auf Initiative des übermittelten personenbezogenen Daten bestehen Kunde im Rahmen der Vereinbarung.  

5.1 Nitro bietet angemessene Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um eine sichere Verarbeitung personenbezogener Daten zu gewährleisten und so den Schutz der Rechte der betroffenen Person zu gewährleisten. Die von Nitro implementierten TOMs sind in den Datenverarbeitungsdetails aufgeführt. Die TOMs können von Zeit zu Zeit von Nitro aktualisiert werden, Nitro stellt jedoch sicher, dass die allgemeine Sicherheit, die es zum Zeitpunkt der Umsetzung des Datenverarbeitungszusatzes implementiert hat, nicht herabgestuft wird. Der Kunde erkennt zum Zeitpunkt der Unterzeichnung oder Annahme dieses Nachtrags zur Datenverarbeitung an, dass die TOMs für die Verarbeitung seiner personenbezogenen Daten geeignet sind.   

5.2 Nitro ergreift alle geeigneten technischen und organisatorischen Maßnahmen gemäß Artikel 32 UK DSGVO, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. 

5.3 Wenn der Kunde Nitro im Rahmen der Vereinbarung vertrauliche personenbezogene Daten im Sinne der Artikel 9 und 10 UK DSGVO zur Verfügung stellt, wird der Kunde Nitro darüber schriftlich über Privacy@gonitro.com informieren. 

5.4 Falls der Kunde die Implementierung bestimmter technischer und organisatorischer Maßnahmen durch Nitro verlangt (die Nitro standardmäßig nicht implementiert hat), wird der Kunde Nitro für die Implementierung dieser zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieser Vereinbarung entschädigen Nachtrag zur Datenverarbeitung. 

5.5 Die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 UK-DSGVO oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 UK-DSGVO durch Nitro kann als Nachweis für ausreichende Garantien verwendet werden im Sinne der britischen DSGVO. 

6.1 Nitro wird personenbezogene Daten nicht länger aufbewahren, als es für die Verarbeitung dieser personenbezogenen Daten im Rahmen der Vereinbarung erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger als nötig zu speichern. Die anwendbare Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Datenverarbeitungsdetails festgelegt. 

6.2 Nitro löscht nach Wahl des Kunden alle personenbezogenen Daten oder gibt sie nach dem Ende der Bereitstellung der Dienste an den Kunden zurück und löscht vorhandene Kopien, es sei denn, das geltende Recht erfordert eine Speicherung der personenbezogenen Daten. Der Kunde erkennt an, dass die Dienste dem Kunden möglicherweise Download-Funktionen zur Verfügung stellen, die es dem Kunden ermöglichen, seine Daten herunterzuladen. Soweit solche Funktionalitäten verfügbar sind, wird der Kunde diese Funktionalitäten nutzen, um seine Daten zu extrahieren oder zu löschen. 

7.1 Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gilt.  

7.2 Nitro erkennt an und stimmt zu, dass nur diejenigen Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen, und zwar nur in dem Umfang, der für die Erfüllung der Vereinbarung vernünftigerweise erforderlich ist. Nitro stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen vertraglich zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. 

8.1 Unter Berücksichtigung der Art der Verarbeitung unternimmt Nitro alle angemessenen Anstrengungen, indem es geeignete technische und organisatorische Maßnahmen ergreift, um den Kunden bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen betroffener Personen zu unterstützen. 

8.2 Für jegliche Unterstützung, die Nitro im Zusammenhang mit der Bearbeitung solcher Anfragen von betroffenen Personen leistet, erstattet der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Nachtrags zur Datenverarbeitung. Eine solche Rückerstattung durch den Kunden gilt nicht, (i) wenn die betroffene Person ihre Rechte wegen einer Verletzung des Schutzes personenbezogener Daten geltend macht, die nachweislich Nitro zuzuschreiben ist, oder (ii) wenn die Unterstützung durch Nitro vier (4) Stunden nicht überschreitet der Arbeit während der Laufzeit der Vereinbarung. 

9.1 Sobald Nitro Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, benachrichtigt Nitro den Kunden unverzüglich darüber, indem es die in der Vereinbarung oder dem entsprechenden Bestellformular angegebene Kontaktperson kontaktiert (oder alternativ über die Benachrichtigungs-E-Mail-Adresse des Kunden oder (falls zutreffend) eine andere). andere E-Mail-Adresse, die der Kunde im Admin-Portal als Datenschutzkontakt angegeben hat). Der Ansprechpartner von Nitro für alle Datenschutzangelegenheiten kann per E-Mail kontaktiert werden: Privacy@gonitro.com. 

9.2 Auf Wunsch des Kunden informiert Nitro den Kunden über alle neuen Entwicklungen in Bezug auf eine Verletzung des Schutzes personenbezogener Daten und über die Maßnahmen, die ergriffen wurden, um deren Folgen zu begrenzen und die Wiederholung einer solchen Verletzung des Schutzes personenbezogener Daten zu verhindern. Es liegt in der Verantwortung des Kunden, jedwede Verletzung des Schutzes personenbezogener Daten bei Bedarf der Aufsichtsbehörde oder der/den betroffenen Person(en) zu melden.  

10.1 Der Kunde ermächtigt Nitro ausdrücklich, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten zur Erfüllung der Vereinbarung und zur Erleichterung der Bereitstellung der Dienste im Allgemeinen zu beauftragen. In diesem Umfang erteilt der Kunde Nitro eine allgemeine schriftliche Genehmigung zur Entscheidung, mit welchem/welchen Unterauftragsverarbeiter Nitro bei der Erfüllung seiner Verpflichtungen aus dem Vertrag zusammenarbeitet. Nitro veröffentlicht eine Unterauftragsverarbeiterliste , die sich auf die von Nitro beauftragten Unterauftragsverarbeiter bezieht.  

10.2 Nitro wird den Kunden über alle beabsichtigten Änderungen bezüglich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren, indem Nitro die in der Vereinbarung oder dem entsprechenden Bestellformular angegebene Kontaktperson (oder über die Benachrichtigungs-E-Mail-Adresse des Kunden oder (falls zutreffend) eine andere) kontaktiert E-Mail-Adresse, die der Kunde im Admin-Portal als Datenschutzkontakt angegeben hat). Der Kunde hat das Recht, der Ergänzung oder Ersetzung schriftlich gegenüber Nitro zu widersprechen. In einem solchen Fall werden die Parteien die Ergänzung, den Ersatz oder die Alternative nach Treu und Glauben und so schnell wie möglich nach der schriftlichen Einspruchsmitteilung des Kunden besprechen. 

10.3 Wenn Nitro einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragt, werden diesem Unterauftragsverarbeiter die gleichen oder ähnliche Datenschutzverpflichtungen, wie in diesem Datenverarbeitungszusatz dargelegt, durch eine schriftliche Vereinbarung auferlegt, insbesondere durch die Bereitstellung ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (und Einhaltung der relevanten technischen und organisatorischen Maßnahmen). Kommt ein Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet Nitro gegenüber dem Kunden weiterhin in vollem Umfang für die Erfüllung der Pflichten dieses Unterauftragsverarbeiters.  

11.1 Der Kunde erkennt an, dass Nitro in den Vereinigten Staaten von Amerika ansässig ist und genehmigt dadurch die internationale Übermittlung personenbezogener Daten zum Zwecke der Bereitstellung der Dienste. Eine solche internationale Datenübermittlung gilt als Weisung des Kunden. 

11.2 Wenn zu irgendeinem Zeitpunkt während der Laufzeit dieses Nachtrags zur Datenverarbeitung (i) Nitro gemäß der britischen Erweiterung des EU-US-Datenschutzrahmens (auch bekannt als „Datenbrücke zwischen Großbritannien und den USA“) zertifiziert ist („ Rahmen"); und (ii) dass das Rahmenwerk eine gültige Angemessenheitsentscheidung im Sinne von Artikel 45 UK DSGVO darstellt, dann erkennen die Parteien an, dass keine angemessenen Schutzmaßnahmen in Bezug auf Übertragungen zwischen dem Kunden und Nitro erforderlich sind.  

11.3 Sofern die in Abschnitt 11 dargelegten Bedingungen gelten.2 nicht anwendbar sind, schließen die Parteien die britischen Standardvertragsklauseln in der in Anhang 2 dieses Nachtrags zur Datenverarbeitung dargelegten Form und Weise ab, wobei diese Standardvertragsklauseln des Vereinigten Königreichs in diesen Nachtrag zur Datenverarbeitung aufgenommen werden und einen Teil davon bilden .   

11.4 Der Kunde erkennt an, dass gemäß Klausel 10 autorisierte Unterauftragsverarbeiter personenbezogene Daten auch in Drittländern verarbeiten können. Der Kunde gestattet solche Übermittlungen unter der Voraussetzung, dass Nitro alle notwendigen Schritte unternimmt, um sicherzustellen, dass diese Übermittlungen den Bestimmungen von Kapitel V der britischen DSGVO und anderen geltenden Datenschutzgesetzen entsprechen.  

11.5 Falls die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nach geltendem Recht, dem Nitro unterliegt, zwingend erforderlich ist, ist Nitro berechtigt, eine solche Übermittlung durchzuführen, und muss den Kunden vor einer solchen Verarbeitung über diese rechtliche Anforderung informieren. es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses. 

12.1 Wenn der Kunde eine Datenschutz-Folgenabschätzung („DPIA“) (Artikel 35 UK-DSGVO) oder eine vorherige Konsultation (Artikel 36 UK-DSGVO) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Erfüllung von durchführt Im Rahmen der Vereinbarung wird Nitro den Kunden angemessen unterstützen, indem er auf schriftliche Anfrage des Kunden Hilfe leistet. Der Kunde erstattet Nitro die gemäß Abschnitt 14 „Kosten“ dieses Nachtrags zur Datenverarbeitung geleistete Unterstützung. Eine solche Kostenerstattung gilt nicht, wenn (i) die von Nitro angeforderte Unterstützung während der Laufzeit der Vereinbarung weniger als vier (4) Arbeitsstunden beträgt oder (ii) die DSFA oder vorherige Konsultation durch personenbezogene Daten ausgelöst wird Der Verstoß ist nachweislich Nitro zuzuschreiben. 

13.1 Der Kunde hat das Recht, Prüfungen hinsichtlich der Einhaltung seiner Verpflichtungen aus diesem Datenverarbeitungszusatz und den geltenden Datenschutzgesetzen durch Nitro durchzuführen. Nitro wird alle angemessenen Anstrengungen unternehmen, um bei solchen Audits zu kooperieren und alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung seiner Verpflichtung erforderlich sind. Der Kunde muss Nitro mindestens einen (1) Monat vor dem Datum, an dem das Audit durchgeführt wird, über eine solche Prüfung informieren, indem er Nitro schriftlich über Privacy@gonitro.com benachrichtigt.  

13.2 Falls ein Audit durchgeführt wird, müssen alle beteiligten Parteien vor Beginn des Audits zunächst eine spezifische Geheimhaltungsvereinbarung von Nitro in Bezug auf dieses Audit und die Auditergebnisse unterzeichnen. Bei der Durchführung einer solchen Prüfung sind die Geheimhaltungspflichten der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen geheim halten und sie ausschließlich zur Überprüfung der Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften zum Datenschutz verwenden. Der Kunde hat die Wahl, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen. Allerdings muss dieser unabhängige Prüfer die in diesem Abschnitt genannte Geheimhaltungsvereinbarung ordnungsgemäß unterzeichnen. 

13.3 Beide Parteien und gegebenenfalls ihre Vertreter arbeiten auf Anfrage angemessen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.  

13.4 Der Kunde erstattet Nitro die von Nitro im Zusammenhang mit Prüfungen geleistete Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Nachtrags zur Datenverarbeitung. Es versteht sich, dass eine solche Erstattung nicht gilt, wenn (i) die Prüfung das Ergebnis eines Verstoßes gegen den Schutz personenbezogener Daten ist, der nachweislich Nitro zuzuschreiben ist, oder (ii) wenn die Unterstützung von Nitro vier (4) Arbeitsstunden während des Audits nicht überschreitet Laufzeit der Vereinbarung. 

14.1 Die im Rahmen dieses Datenverarbeitungszusatzes zu leistende Unterstützung, die Nitro dem Kunden in Rechnung stellen kann, wird auf der Grundlage der geleisteten Arbeitsstunden und der geltenden Standardstundensätze von Nitro berechnet (USD 295/Stunde ohne Steuern). Nitro stellt diese Beträge monatlich in Rechnung, hat aber auch das Recht, eine Vorauszahlung zu verlangen.  

14.2 Die Zahlung des Kunden an Nitro für die von Nitro im Rahmen dieses Datenverarbeitungszusatzes bereitgestellten Unterstützungs- und professionellen Dienstleistungen erfolgt gemäß den Bestimmungen der Nutzungsbedingungen.  

15.1 Vorbehaltlich des größtmöglichen gesetzlich zulässigen Umfangs gelten die Bestimmungen der Nutzungsbedingungen zur Haftungsbeschränkung auch für diesen Nachtrag zur Datenverarbeitung und die daraus entstehenden Schäden. 

16.1 Die Bestimmungen der Nutzungsbedingungen bezüglich Änderungen, gesamter Vereinbarung, Salvatorische Klausel, anwendbares Recht und zuständige Gerichte gelten für diesen Nachtrag zur Datenverarbeitung. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den britischen Standardvertragsklauseln haben, sofern zutreffend, die britischen Standardvertragsklauseln Vorrang. 

A. LISTE DER PARTEIEN

1. DATENEXPORTEUR
Name: Kunde, wie in der Vereinbarung und dem entsprechenden Bestellformular angegeben.

Adresse: Die Adresse des Datenexporteurs ist im Vertrag und im entsprechenden Bestellformular angegeben.

Name, Position und Kontaktdaten des Ansprechpartners: Es werden die Kontaktdaten des Ansprechpartners für den Datenexporteur festgelegt. Dies ist im Vertrag, im entsprechenden Bestellformular (und gegebenenfalls im Admin-Portal des Kunden) angegeben.

Aktivitäten, die für die übertragenen Daten relevant sind: Die Aktivitäten, die für die gemäß diesen UK-Standardvertragsklauseln übertragenen Daten relevant sind, werden unten in Abschnitt B „Beschreibung der Verarbeitung/Übermittlung“ beschrieben.

Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des entsprechenden Auftragsformulars wird davon ausgegangen, dass der Datenexporteur diesen Anhang I unterzeichnet hat.

Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

2. DATENIMPORTEUR(EN)
Name: Nitro Software Inc.

Adresse: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.

Name, Funktion und Kontaktdaten der Kontaktperson: Privacy@gonitro.com, 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.

Aktivitäten, die für die übertragenen Daten relevant sind: Die Aktivitäten, die für die gemäß diesen UK-Standardvertragsklauseln übertragenen Daten relevant sind, werden unten in Abschnitt B „Beschreibung der Verarbeitung/Übermittlung“ beschrieben.

Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des entsprechenden Auftragsformulars wird davon ausgegangen, dass der Datenimporteur diesen Anhang I unterzeichnet hat.

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

B. BESCHREIBUNG DER VERARBEITUNG/ÜBERTRAGUNG

1. GEGENSTAND DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN 

Der Vertragsgegenstand wird vom Kunden gemäß der Vereinbarung und dem entsprechenden Bestellformular bestimmt.

2. Art und Zweck der Verarbeitung personenbezogener Daten  

Die Art und der Zweck der Verarbeitung werden vom Kunden gemäß der Vereinbarung und dem entsprechenden Bestellformular bestimmt.

Standardmäßig dient eine solche Verarbeitung dazu, dem Kunden und seinen Nutzern die Dienste einschließlich aller ihrer Merkmale und Funktionalitäten zur Verfügung zu stellen und ganz allgemein Nitro die Erfüllung seiner vertraglichen Verpflichtungen aus der Vereinbarung zu ermöglichen. Ein solcher Zweck kann die Bereitstellung der Cloud-Dienste (zum Beispiel, aber nicht beschränkt auf die Bereitstellung des Kunden-Cloud-Portals, elektronische Signaturdienste, Analysedienste usw.) sowie die Bereitstellung von Support sein.

Die Art der Verarbeitung umfasst neben anderen Anweisungen des Kunden im Vertrag und im entsprechenden Bestellformular die Verarbeitung, Erhebung, Speicherung, Kommunikation und Übermittlung personenbezogener Daten.

3. PERSONENBEZOGENE DATEN VERARBEITET 

Abhängig von den innerhalb der Dienste verwendeten Funktionalitäten (z. B. Verwaltungsportal, elektronische Signaturdienste, Analysedienste usw.) und dem Inhalt der Kundendaten, die vom Kunden und seinen Benutzern in die Dienste hochgeladen werden, verarbeitet Nitro unterschiedliche Arten personenbezogener Daten.

Im Allgemeinen umfassen die von Nitro verarbeiteten personenbezogenen Daten ohne Einschränkung:

• Identifikationsdaten (zum Beispiel Benutzer- und Nutzungsdaten) 
• Dokumentdaten (zum Beispiel personenbezogene Daten, die in verarbeiteten PDF-Dokumenten enthalten sind) 

Eine detaillierte Übersicht über die Art der personenbezogenen Daten, die bei der Nutzung der Dienste verarbeitet werden, finden Sie im Trust Center von Nitro: Verarbeitung personenbezogener Daten

4. SENSITIVE DATEN 
Der Datenexporteur kann gemäß Abschnitt 5 sensible personenbezogene Daten in die personenbezogenen Daten aufnehmen.3 dieses Nachtrags zur Datenverarbeitung. Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel eine strenge Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufbewahrung eine Aufzeichnung des Zugriffs auf die Daten, Einschränkungen für die Weiterleitung oder zusätzliche Sicherheitsmaßnahmen: Es wird auf die TOMs verwiesen, die in den Datenverarbeitungsdetails unten aufgeführt oder referenziert sind.

5. KATEGORIE DER BETROFFENEN PERSONEN 

Die folgenden Kategorien betroffener Personen sind standardmäßig im Geltungsbereich:

• Alle Benutzer, die Zugriff auf die Dienste haben (einschließlich Administratorbenutzer, allgemeine Benutzer oder eingeladene Benutzer wie Unterzeichner). 
• Alle betroffenen Personen, die in den vom Kunden oder seinen Benutzern in die Dienste hochgeladenen Kundendaten enthalten sind.  

Der Kunde bestätigt, dass diese betroffenen Personen standardmäßig einer der folgenden Kategorien zugeordnet werden:

• Mitarbeiter des Kunden 
• Kunden des Kunden  
• Aussichten des Kunden 
• Lieferanten des Kunden 

6. UNTERVERARBEITENDE 

Nitro beauftragt Unterauftragsverarbeiter, um sicherzustellen, dass alle Funktionen innerhalb der Dienste verfügbar sind. Welche Unterauftragsverarbeiter anwendbar sind, hängt von der Nutzung der Dienste sowie den vom Kunden gewünschten Funktionalitäten und Einstellungen ab. Eine detaillierte Liste der von Nitro beauftragten Unterauftragsverarbeiter (einschließlich des Verfahrens, das wir bei der Beauftragung neuer Unterauftragsverarbeiter anwenden) finden Sie in unserem Trust Center: Unterauftragsverarbeiter und Unterauftragnehmer

7. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMs) 

Nitro setzt geeignete technische und organisatorische Maßnahmen um, um eine angemessene Sicherheit bei der Nutzung der Dienste zu gewährleisten. Wir aktualisieren diese Maßnahmen kontinuierlich. Eine detaillierte Übersicht über die getroffenen Maßnahmen finden Sie in unserem Trust Center im Abschnitt „Sicherheit“: „ Informationssicherheit“ und in unserer Informationssicherheitsrichtlinie. Unser Trust Center listet im Abschnitt „Compliance“: „Compliance“ auch die Zertifizierungen auf, über die Nitro verfügt.

8. AUFBEWAHRUNGSFRIST 

Nitro speichert personenbezogene Daten nicht länger als für die Bereitstellung der Dienste erforderlich. Abhängig von den Diensten und Funktionalitäten, die Sie als Kunde nutzen, können die geltenden Aufbewahrungsfristen unterschiedlich sein. Jeder Kunde kann Nitro auffordern, bestimmte Aufbewahrungsfristen für seine Umgebung zu konfigurieren (soweit dies technisch machbar ist).

Falls keine spezifischen Aufbewahrungsfristen konfiguriert wurden, werden personenbezogene Daten von Nitro standardmäßig bis zur Löschung durch den Kunden oder bis zur Beendigung der Vereinbarung zwischen Nitro und dem Kunden (zuzüglich maximal 30 Tagen) gespeichert, je nachdem, welcher der beiden Fälle zuerst eintritt. Eine detaillierte Übersicht über die Aufbewahrungsfristen finden Sie in unserem Trust Center: Verarbeitung personenbezogener Daten

9. HÄUFIGKEIT INTERNATIONALER ÜBERTRAGUNGEN 

Kontinuierlich, soweit erforderlich, um dem Kunden die Dienste bereitzustellen.

Nachtrag zur internationalen Datenübertragung zu den Standardvertragsklauseln der EU-Kommission

VERSION B1.0, in Kraft 21 März 2022

Dieser Nachtrag wurde vom Informationskommissar für Parteien herausgegeben, die eingeschränkte Übertragungen vornehmen. Der Informationsbeauftragte ist der Ansicht, dass er angemessene Schutzmaßnahmen für eingeschränkte Übertragungen vorsieht, wenn diese als rechtsverbindlicher Vertrag abgeschlossen werden.

Tabelle 1: Partys

Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln

Tabelle 3: Anhanginformationen

„Anhanginformationen“ bezeichnet die Informationen, die für die ausgewählten Module bereitgestellt werden müssen, wie im Anhang der genehmigten EU-SCCs (mit Ausnahme der Vertragsparteien) dargelegt, und die für diesen Nachtrag aufgeführt sind in:

Tabelle 4: Ende dieses Nachtrags, wenn sich der genehmigte Nachtrag ändert

Beitritt zu diesem Nachtrag

1. Jede Partei erklärt sich damit einverstanden, an die in diesem Nachtrag dargelegten Bedingungen gebunden zu sein, im Gegenzug stimmt die andere Partei ebenfalls zu, an diesen Nachtrag gebunden zu sein. 
2. Obwohl Anhang 1A und Klausel 7 der genehmigten EU-Standardvertragsklauseln die Unterschrift der Parteien erfordern, können die Parteien zum Zweck der Durchführung eingeschränkter Übertragungen diesem Nachtrag auf jede Art und Weise beitreten, die ihn für die Parteien rechtsverbindlich macht und erlaubt betroffene Personen, um ihre in diesem Nachtrag dargelegten Rechte durchzusetzen. Der Abschluss dieses Nachtrags hat die gleiche Wirkung wie die Unterzeichnung der genehmigten EU-SCCs und eines Teils der genehmigten EU-SCCs. 

Interpretation dieses Nachtrags

3. Wenn in diesem Nachtrag Begriffe verwendet werden, die in den genehmigten EU-SCCs definiert sind, haben diese Begriffe dieselbe Bedeutung wie in den genehmigten EU-SCCs. Darüber hinaus haben die folgenden Begriffe folgende Bedeutung: 

4. Dieser Nachtrag muss immer in einer Weise interpretiert werden, die mit den britischen Datenschutzgesetzen vereinbar ist und so, dass er der Verpflichtung der Parteien nachkommt, die angemessenen Schutzmaßnahmen bereitzustellen.  
5. Wenn die im Nachtrag zu den EU-Standardvertragsklauseln enthaltenen Bestimmungen die genehmigten Standardvertragsklauseln in irgendeiner Weise ändern, die gemäß den genehmigten EU-Standardvertragsklauseln oder dem genehmigten Nachtrag nicht zulässig ist, werden diese Änderungen nicht in diesen Nachtrag aufgenommen und die entsprechenden Bestimmungen der genehmigten EU-Standardvertragsklauseln treten an ihre Stelle. 
6. Bei Unstimmigkeiten oder Konflikten zwischen den britischen Datenschutzgesetzen und diesem Nachtrag gelten die britischen Datenschutzgesetze. 
7. Wenn die Bedeutung dieses Nachtrags unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die den britischen Datenschutzgesetzen am nächsten kommt.  
8. Alle Verweise auf Gesetze (oder spezifische Bestimmungen von Gesetzen) beziehen sich auf die Gesetze (oder spezifischen Bestimmungen), die sich im Laufe der Zeit ändern können. Dies gilt auch, wenn diese Gesetze (oder spezifischen Bestimmungen) nach Inkrafttreten dieses Nachtrags konsolidiert, neu erlassen und/oder ersetzt wurden.  

Hierarchie
9. Obwohl Klausel 5 der genehmigten EU-Standardvertragsklauseln festlegt, dass die genehmigten EU-Standardvertragsklauseln Vorrang vor allen zugehörigen Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass für eingeschränkte Übertragungen die Hierarchie in Abschnitt 10 Vorrang hat. 
10. Bei Widersprüchen oder Konflikten zwischen dem Genehmigten Nachtrag und den EU-Standardvertragsklauseln (sofern zutreffend) hat der Genehmigte Nachtrag Vorrang vor den EU-Standardvertragsklauseln, es sei denn (und soweit) die widersprüchlichen oder widersprüchlichen Bestimmungen des EU-Standardvertragsstandards (Addendum) dies vorsehen größerer Schutz für betroffene Personen; in diesem Fall haben diese Bedingungen Vorrang vor dem genehmigten Nachtrag. 
11. Wenn dieses Addendum EU-Standardvertragsklauseln (Addendum) enthält, die zum Schutz von Übertragungen gemäß der Datenschutz-Grundverordnung (EU) 2016/679 abgeschlossen wurden, erkennen die Parteien an, dass sich nichts in diesem Addendum auf diese EU-Standardvertragsklauseln (Addendum) auswirkt. 

Aufnahme und Änderung der EU-Standardvertragsklauseln
12. Dieser Nachtrag enthält den Nachtrag zu den EU-Standardvertragsklauseln, der im erforderlichen Umfang geändert wird, sodass: 

1. Sie agieren gemeinsam für Datenübermittlungen durch den Datenexporteur an den Datenimporteur, soweit die Datenschutzgesetze des Vereinigten Königreichs auf die Verarbeitung durch den Datenexporteur bei dieser Datenübermittlung Anwendung finden, und sie bieten angemessene Schutzmaßnahmen für diese Datenübermittlungen.  
2. Die Abschnitte 9 bis 11 setzen Klausel 5 (Hierarchie) des Addendums EU SCCs außer Kraft. Und 
3. Dieser Nachtrag (einschließlich der darin enthaltenen EU-Standardvertragsklauseln) unterliegt (1) den Gesetzen von England und Wales und (2) alle sich daraus ergebenden Streitigkeiten werden jeweils von den Gerichten von England und Wales entschieden es sei denn, die Parteien haben sich ausdrücklich für die Gesetze und/oder Gerichte Schottlands oder Nordirlands entschieden. 

13. Sofern die Parteien keine alternativen Änderungen vereinbart haben, die die Anforderungen von Abschnitt 12 erfüllen, gelten die Bestimmungen von Abschnitt 15 . 
14. An den genehmigten EU-Standardvertragsklauseln dürfen keine anderen Änderungen vorgenommen werden als die, die den Anforderungen von Abschnitt 12 entsprechen. 
15. Die folgenden Änderungen am Nachtrag zu den EU-Standardvertragsklauseln (für die Zwecke von Abschnitt 12) werden vorgenommen:  

1. Verweise auf die „Klauseln“ beziehen sich auf dieses Addendum, das die EU-Standardvertragsklauseln des Addendums enthält; 
2. In Klausel 2 streichen Sie die Wörter: 
   „und in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter Standardvertragsklauseln gemäß Artikel 28(7) der Verordnung (EU). ) 2016/679”;
3. Klausel 6 (Beschreibung der Übermittlung(en)) wird ersetzt durch: 
   „Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien der personenbezogenen Daten, die übermittelt werden, und der/die Zweck(e), für die sie erfolgen.“ (übertragen) sind diejenigen, die in Anhang IB aufgeführt sind, wobei die Datenschutzgesetze des Vereinigten Königreichs für die Verarbeitung des Datenexporteurs bei dieser Übertragung gelten.“;
4. Klausel 8.7(i) von Modul 1 wird wie folgt ersetzt: 
   „die Weiterübermittlung erfolgt in ein Land, für das Angemessenheitsvorschriften gemäß Abschnitt 17A der UK-DSGVO gelten“;
5. Klausel 8.8(i) der Module 2 und 3 wird wie folgt ersetzt: 
   „die Weiterübermittlung erfolgt in ein Land, das von Angemessenheitsvorschriften gemäß Abschnitt 17A der UK-DSGVO profitiert, der die Weiterübermittlung abdeckt;“
6. Verweise auf „Verordnung (EU) 2016/679“, „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen „in Bezug auf die Verarbeitung personenbezogener Daten und den freien Datenverkehr (Datenschutz-Grundverordnung)“ und „diese Verordnung“ werden alle durch „Datenschutzgesetze des Vereinigten Königreichs“ ersetzt. Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze ersetzt; 
7. Verweise auf die Verordnung (EU) 2018/1725 werden entfernt; 
8. Verweise auf „Europäische Union“, „Union“, „EU“, „EU-Mitgliedstaat“, „Mitgliedstaat“ und „EU oder Mitgliedstaat“ werden alle durch „UK“ ersetzt; 
9. Der Verweis auf „Klausel 12(c)(i)“ in Klausel 10(b)(i) von Modul eins wird durch „Klausel 11(c)(i)“ ersetzt; 
10. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;  
11. Die Begriffe „zuständige Aufsichtsbehörde“ und „Aufsichtsbehörde“ werden beide durch den „Informationsbeauftragten“ ersetzt; 
12. In Klausel 16(e) wird Unterabschnitt (i) ersetzt durch: 
    „Der Außenminister erlässt Vorschriften gemäß Abschnitt 17A des Datenschutzgesetzes 2018 , die die Übermittlung personenbezogener Daten an regeln auf welche diese Klauseln anwendbar sind;“;
13. Klausel 17 wird ersetzt durch: 
    „Diese Klauseln unterliegen den Gesetzen von England und Wales.“;
14. Klausel 18 wird ersetzt durch: 
    „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten von England und Wales entschieden.“ Eine betroffene Person kann auch vor den Gerichten eines beliebigen Landes im Vereinigten Königreich rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur einleiten. Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.“; Und
15. Die Fußnoten zu den genehmigten EU-Standardvertragsklauseln sind nicht Teil des Addendums, mit Ausnahme der Fußnoten 8, 9, 10 und 11.  

Änderungen dieses Addendums

1. Die Parteien können vereinbaren, die Klauseln 17 und/oder 18 des Nachtrags der EU-Standardvertragsklauseln zu ändern, um auf die Gesetze und/oder Gerichte Schottlands oder Nordirlands zu verweisen. 
2. Wenn die Parteien das Format der in Teil 1: Tabellen des genehmigten Nachtrags enthaltenen Informationen ändern möchten, können sie dies tun, indem sie der Änderung schriftlich zustimmen, vorausgesetzt, dass die Änderung die angemessenen Schutzmaßnahmen nicht beeinträchtigt. 
3. Von Zeit zu Zeit kann das ICO einen überarbeiteten genehmigten Nachtrag herausgeben, der:  
   
   1. nimmt angemessene und verhältnismäßige Änderungen am genehmigten Nachtrag vor, einschließlich der Korrektur von Fehlern im genehmigten Nachtrag; und/oder 
   2. spiegelt Änderungen der britischen Datenschutzgesetze wider; 
4. Im überarbeiteten genehmigten Nachtrag wird das Startdatum angegeben, ab dem die Änderungen des genehmigten Nachtrags wirksam werden, und ob die Parteien diesen Nachtrag einschließlich der Anhanginformationen überprüfen müssen. Dieser Nachtrag wird ab dem angegebenen Startdatum automatisch gemäß dem überarbeiteten genehmigten Nachtrag geändert.
5. Wenn das ICO einen überarbeiteten genehmigten Nachtrag gemäß Abschnitt 18 herausgibt und eine der in Tabelle 4 „Beendigung des Nachtrags bei Änderung des genehmigten Nachtrags“ ausgewählten Parteien als direkte Folge der Änderungen im genehmigten Nachtrag einen erheblichen, unverhältnismäßiger und nachweisbarer Anstieg von:  
   
   1. seine direkten Kosten für die Erfüllung seiner Verpflichtungen gemäß dem Nachtrag; und/oder  
   2. sein Risiko gemäß dem Addendum,  

und in beiden Fällen hat sie zunächst angemessene Schritte unternommen, um diese Kosten oder Risiken so zu reduzieren, dass sie nicht erheblich und unverhältnismäßig sind, dann kann diese Partei diesen Nachtrag am Ende einer angemessenen Kündigungsfrist beenden, indem sie den Vertragspartner für diesen Zeitraum schriftlich benachrichtigt anderen Vertragspartei vor dem Datum des Inkrafttretens des überarbeiteten genehmigten Nachtrags.

1. Die Parteien benötigen nicht die Zustimmung Dritter, um Änderungen an diesem Nachtrag vorzunehmen, alle Änderungen müssen jedoch in Übereinstimmung mit seinen Bedingungen vorgenommen werden. 

Laden Sie eine Kopie herunter