Bedingungen & Richtlinien

DIESE DATENVERARBEITUNGSZUSATZ GILT, WENN SIE SICH FÜR NITRO SIGN PREMIUM ODER NITRO IDENTITÄTSHUB UNTER DEN NITRO NUTZUNGSBEDINGUNGEN FÜR NITRO SIGN PREMIUM UND NITRO IDENTITÄTSHUB ANGEMELDET HABEN UND DIE EU-DSGVO AUF DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM ZUSAMMENHANG MIT DEM VERTRAG ANWENDBAR IST.

1.     Geltungsbereich; Rollen der Parteien

Nitro wird personenbezogene Daten im Interesse und im Auftrag des Kunden empfangen und verarbeiten, wenn die Dienstleistungen erbracht werden, gemäß den Anweisungen und dem Zweck, der vom Kunden in den Einzelheiten zur Datenverarbeitung festgelegt wird. Durch diesen Datenverarbeitungszusatz möchten die Parteien ihre spezifischen Vereinbarungen hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Vertrages festlegen.

Standardmäßig fungiert Nitro als Auftragsverarbeiter und der Kunde als verantwortliche Stelle in Bezug auf die von Nitro bereitgestellten Dienstleistungen gemäß den Nitro-Nutzungsbedingungen. Dieser Datenverarbeitungszusatz ersetzt und ersetzt alle vorhergehenden Vereinbarungen (falls vorhanden) zur Verarbeitung personenbezogener Daten und zum Datenschutz zwischen den Parteien bezüglich der von Nitro angebotenen Dienstleistungen.

Dieser Datenverarbeitungszusatz ergänzt und ist Teil der Nutzungsbedingungen, und zusammen bilden die Nutzungsbedingungen und dieser Datenverarbeitungszusatz eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Abweichungen oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen haben der Datenverarbeitungszusatz Vorrang.

2.     DEFINITIONEN

„Verantwortlicher“ bezieht sich auf den Kunden, wie in den Nutzungsbedingungen und dem zutreffenden Bestellformular angegeben;

„Details zur Datenverarbeitung“ bezeichnet die Datenverarbeitungsdetails, die im Bestellformular enthalten sind und die weitere Einzelheiten zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten wie den Zweck, das Objekt und die Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten enthalten;

„EU-DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung);

„Personenbezogene Daten“ bedeutet personenbezogene Daten, wie sie unter der EU-DSGVO definiert sind, die Nitro im Interesse und im Auftrag des Kunden verarbeitet, wenn die Dienstleistungen gemäß den Anweisungen und dem Zweck, der vom Kunden in den Details zur Datenverarbeitung festgelegt wurde;

„Auftragsverarbeiter“ bezieht sich auf Nitro Software Belgium NV, Anbieter der Dienstleistungen für den Kunden und wie in den Nutzungsbedingungen angegeben;

„Liste der Sub-Auftragsverarbeiter“ bezieht sich auf die Liste der Sub-Auftragsverarbeiter, die von Nitro online zur Verfügung gestellt wird und die Angaben zu den Sub-Auftragsverarbeitern enthält, die Nitro für die Bereitstellung der Dienstleistungen und die Erfüllung von Nitros Verpflichtungen nach dem Datenverarbeitungszusatz im Allgemeinen beauftragt hat. Nitro kann die Liste der Sub-Auftragsverarbeiter von Zeit zu Zeit gemäß dem in diesem Datenverarbeitungszusatz festgelegten Verfahren aktualisieren;

„Sub-Auftragsverarbeiter“ bezieht sich auf jeden Dritten, der von Nitro für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienstleistungen an den Kunden beauftragt wird;

Alle anderen Begriffe und Definitionen, die mit Großbuchstaben geschrieben sind und die nicht ausdrücklich in diesem Datenverarbeitungszusatz definiert sind, werden gemäß den geltenden Datenschutzgesetzen oder den Nutzungsbedingungen von Nitro definiert.

3.     ZIEL DIESEN DATENVERARBEITUNGSZUSATZES              
3.1                Dieser Datenverarbeitungszusatz bestimmt die Bedingungen der Verarbeitung durch Nitro von personenbezogenen Daten, die vom Kunden im Rahmen des Vertrags kommuniziert oder auf Initiative des Kunden bereitgestellt werden. Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Details zur Datenverarbeitung aufgeführt.

3.2                Die Verarbeitung erfolgt ausschließlich im Interesse des Kunden und zu dem Zweck, der vom Kunden in den Details zur Datenverarbeitung festgelegt wurde. Nitro wird den Kunden sofort informieren, wenn nach seiner Meinung eine Anweisung gegen die geltende (Datenschutz-)Gesetzgebung verstößt. Nitro wird die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten und diese personenbezogenen Daten nicht für eigene Zwecke verwenden, es sei denn, dies ist ausdrücklich in den Nutzungsbedingungen erlaubt. Wenn Nitro gesetzlich verpflichtet ist, mit der Verarbeitung personenbezogener Daten fortzufahren, wird Nitro, es sei denn, dies würde geltendes zwingendes Recht verletzen, den Kunden über diese Verpflichtung informieren.

4.     LAUFZEIT

4.1                Dieser Datenverarbeitungszusatz gilt für die gesamte Verarbeitung personenbezogener Daten, die im Rahmen der Bereitstellung der Dienstleistungen an den Kunden durch Nitro durchgeführt wird, und gilt solange Nitro personenbezogene Daten im Auftrag des Kunden im Rahmen des Vertrags verarbeitet. Dieser Datenverarbeitungszusatz ergänzt die Nutzungsbedingungen von Nitro und soll die Einhaltung der Anforderungen zu gewährleisten, die durch die geltenden Datenschutzgesetze und -verordnungen für die Nutzung der Dienstleistungen durch den Kunden auferlegt werden.

4.2                Dieser Datenverarbeitungszusatz endet automatisch mit der Beendigung des Vertrags (oder zu dem Zeitpunkt, zu dem die Verarbeitung durch Nitro eingestellt wird). Die Bestimmungen dieses Datenverarbeitungszusatzes, die ausdrücklich oder möglicherweise (je nach Art) dazu bestimmt sind, nach der Beendigung des Datenverarbeitungszusatzes Wirkung zu entfalten, bleiben nach Beendigung des Vertrags bezüglich der personenbezogenen Daten, die vom Kunden im Rahmen des Vertrags kommuniziert oder auf dessen Initiative bereitgestellt werden, bestehen.

5.     TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

5.1                Nitro bietet angemessene Garantien hinsichtlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um eine sichere Verarbeitung personenbezogener Daten zu gewährleisten und so die Rechte der betroffenen Personen zu schützen. Die von Nitro umgesetzten TOMs sind wie in den Einzelheiten zur Datenverarbeitung dargelegt. Die TOMs können von Nitro von Zeit zu Zeit aktualisiert werden, jedoch wird Nitro sicherstellen, dass die allgemeine Sicherheit, die zum Zeitpunkt der Ausführung des Datenverarbeitungszusatzes implementiert wurde, nicht herabgestuft wird. Der Kunde erkennt die TOMs zum Zeitpunkt der Unterzeichnung oder Akzeptanz dieses Datenverarbeitungszusatzes als angemessen für die Verarbeitung seiner personenbezogenen Daten an.

5.2                Nitro wird alle geeigneten technischen und organisatorischen Maßnahmen gemäß Artikel 32 EU-DSGVO ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist.

5.3                Wenn der Kunde sensible personenbezogene Daten im Sinne der Artikel 9 und 10 der EU-DSGVO im Rahmen des Vertrags an Nitro übermittelt, wird der Kunde solche Informationen in den Details zur Datenverarbeitung angeben.

5.4                Falls der Kunde bestimmte technische und organisatorische Maßnahmen anfordert, die Nitro nicht standardmäßig umgesetzt hat, wird der Kunde Nitro für die Umsetzung solcher zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen.

5.5                Die Einhaltung durch Nitro eines genehmigten Verhaltenskodex gemäß Artikel 40 der EU-DSGVO oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 der EU-DSGVO kann als Nachweis für ausreichende Garantien gemäß der EU-DSGVO verwendet werden.

6.     AUFBEWAHRUNG

6.1                Nitro wird personenbezogene Daten nicht länger aufbewahren, als es für die Verarbeitung solcher personenbezogenen Daten im Rahmen des Vertrags erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger als nötig zu speichern. Die geltende Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Details zur Datenverarbeitung festgelegt.

6.2                Nach Wahl des Kunden wird Nitro alle personenbezogenen Daten nach Beendigung der Bereitstellung der Dienstleistungen entweder löschen oder an den Kunden zurückgeben und vorhandene Kopien löschen, es sei denn, das Unionsrecht oder das nationale Recht verlangen die Speicherung der personenbezogenen Daten. Der Kunde erkennt an, dass die Dienstleistungen möglicherweise Download-Funktionen bereitstellen, um dem Kunden die Möglichkeit zu geben, seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, wird der Kunde diese Funktionen verwenden, um seine Daten zu extrahieren oder zu löschen.

7.     VERTRAULICHKEIT

7.1                Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags anwendbar ist.

7.2                Nitro erkennt an und stimmt zu, dass nur die Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen und nur insoweit, als dies vernünftigerweise für die Durchführung des Vertrags erforderlich ist. Nitro stellt sicher, dass Personen, die befugt sind, die personenbezogenen Daten zu verarbeiten, durch einen Vertrag zur Vertraulichkeit verpflichtet sind oder einer bestehenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

8.     RECHTE DER BETROFFENEN

8.1                Unter Berücksichtigung der Art der Verarbeitung wird Nitro alle angemessenen Anstrengungen unternehmen, indem es geeignete technische und organisatorische Maßnahmen ergreift, um den Kunden bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anfragen von betroffenen Personen zu unterstützen.

8.2                Für alle von Nitro im Rahmen der Bearbeitung solcher Anfragen von betroffenen Personen erbrachten Hilfen wird der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen. Eine solche Entschädigung durch den Kunden gilt nicht (i) wenn die betroffene Person ihre Rechte aufgrund eines nachgewiesenen Datenschutzvorfalls geltend macht, der Nitro zuzurechnen ist, oder (ii) wenn eine solche Unterstützung von Nitro vier (4) Stunden Arbeitszeit während der Laufzeit des Vertrags nicht überschreitet.

9.     MELDEPFLICHT

9.1                Sobald Nitro von einem Datenschutzvorfall Kenntnis erlangt, wird Nitro den Kunden unverzüglich informieren, indem es die im Vertrag oder im entsprechenden Bestellformular angegebene Kontaktperson kontaktiert (oder alternativ über die Benachrichtigungs-E-Mail-Adresse des Kunden). Die Kontaktperson von Nitro für alle mit Datenschutz zusammenhängenden Angelegenheiten kann per E-Mail unter privacy@gonitro.com erreicht werden.

9.2                Auf Antrag des Kunden wird Nitro den Kunden über alle neuen Entwicklungen hinsichtlich eines Datenschutzvorfalls und die ergriffenen Maßnahmen zur Eingrenzung der Konsequenzen und zur Verhinderung der Wiederholung eines solchen Datenschutzvorfalls informieren. Es liegt in der Verantwortung des Kunden, jeden Datenschutzvorfall der Aufsichtsbehörde oder den betroffenen Personen zu melden, soweit erforderlich.

10.   SUB-AUFSICHT

10.1             Der Kunde ermächtigt Nitro ausdrücklich, Sub-Auftragsverarbeiter für die Verarbeitung personenbezogener Daten zur Erfüllung des Vertrages und zur Erleichterung der Bereitstellung der Dienstleistungen im Allgemeinen zu beauftragen. In diesem Umfang erteilt der Kunde Nitro eine allgemeine schriftliche Ermächtigung, um zu entscheiden, mit welchen Unterauftragsverarbeitern Nitro zur Erfüllung seiner Verpflichtungen aus der Vereinbarung zusammenarbeitet. Nitro veröffentlicht eine Liste der Sub-Auftragsverarbeiter, die auf die von Nitro beauftragten Sub-Auftragsverarbeiter verweist.

10.2             Nitro wird den Kunden über beabsichtigte Änderungen bezüglich der Hinzufügung oder Ersetzung von Sub-Auftragsverarbeitern über die im Vertrag oder im entsprechenden Bestellformular angegebene Kontaktperson des Kunden (oder über die Benachrichtigungs-E-Mail-Adresse des Kunden) informieren. Der Kunde hat das Recht, der Hinzufügung oder dem Austausch schriftlich zu widersprechen. Die Parteien werden in diesem Fall in gutem Glauben die Hinzufügung, Ersetzung oder Alternative besprechen, sobald dies nach dem schriftlichen Einspruch des Kunden vernünftig möglich ist.

10.3             Wenn Nitro einen Sub-Auftragsverarbeiter für die Durchführung spezifischer Verarbeitungstätigkeiten beauftragt, werden die gleichen oder ähnlichen Datenschutzverpflichtungen, die in diesem Datenverarbeitungszusatz festgelegt sind, durch eine schriftliche Vereinbarung gegenüber diesem Sub-Auftragsverarbeiter auferlegt, insbesondere in Bezug auf ausreichende Garantien zur Implementierung geeigneter technischer und organisatorischer Maßnahmen (und die Einhaltung der geltenden technischen und organisatorischen Maßnahmen). Wenn ein Sub-Auftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, bleibt Nitro vollständig gegenüber dem Kunden für die Erfüllung der Verpflichtungen des Sub-Auftragsverarbeiters haftbar.

11.    INTERNATIONALE DATENÜBERTRAGUNGEN

11.1             Der Kunde ermächtigt internationale Übertragungen personenbezogener Daten zum Zwecke der Bereitstellung der Dienstleistungen. Solche internationalen Datenübertragungen gelten als Anweisung des Kunden. Der Kunde erkennt an, dass Sub-Auftragsverarbeiter, die gemäß Abschnitt 10 genehmigt sind, auch personenbezogene Daten in Drittländern verarbeiten können. Der Kunde gestattet solche Übertragungen, vorausgesetzt, Nitro trifft alle erforderlichen Schritte, um sicherzustellen, dass diese Übertragungen den Bestimmungen des Kapitels V der EU-DSGVO und anderen geltenden Datenschutzgesetzen entsprechen.

11.2             Falls die Übertragung personenbezogener Daten in ein Drittland oder eine internationale Organisation gemäß geltendem EU-Recht oder nationalem Recht, dem Nitro unterliegt, zwingend erforderlich ist, ist Nitro berechtigt, diese Übertragung durchzuführen und den Kunden vor dieser Verarbeitung über diese rechtlichen Anforderungen zu informieren, es sei denn, das Gesetz verbietet diese Information aus wichtigen Gründen des öffentlichen Interesses.

12.   DATENSCHUTZWIRKUNGSABWICKLUNG UND VORABKONSULTATION

12.1             Falls der Kunde eine Datenschutz-Folgenabschätzung („DPIA“) (Artikel 35 EU-DSGVO) oder eine Vorabkonsultation (Artikel 36 EU-DSGVO) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Durchführung des Vertrags durchführt, wird Nitro den Kunden durch angemessene Unterstützung gemäß der schriftlichen Anfrage des Kunden unterstützen. Der Kunde wird Nitro für die gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungsanhangs bereitgestellte Unterstützung entschädigen. Eine solche Kostenrückerstattung gilt nicht, wenn (i) die von Nitro angeforderte Unterstützung weniger als vier (4) Stunden Arbeitszeit während der Laufzeit des Vertrages in Anspruch nimmt, oder (ii) die DPIA oder Vorabkonsultation durch einen nachgewiesenen Datenschutzvorfall ausgelöst wird, der Nitro zuzurechnen ist.

13.    PRÜFRECHT

13.1             Der Kunde hat das Recht, Audits zur Einhaltung der Verpflichtungen von Nitro gemäß diesem Datenverarbeitungszusatz und der geltenden Datenschutzgesetzgebung durchzuführen. Nitro wird sich bemühen, solchen Audits zu kooperieren und alle Informationen zur Verfügung zu stellen, die zur Erfüllung seiner Verpflichtungen erforderlich sind. Der Kunde muss Nitro mindestens einen (1) Monat vor dem Datum, an dem das Audit durchgeführt wird, über ein solches Audit benachrichtigen, indem er Nitro eine schriftliche Mitteilung an privacy@gonitro.com zukommen lässt.

13.2             Im Falle eines durchgeführten Audits müssen alle beteiligten Parteien zunächst eine spezifische Vertraulichkeitsvereinbarung von Nitro hinsichtlich eines solchen Audits und der Audit-Ergebnisse vor Beginn des Audits unterzeichnen.

Bei der Durchführung eines solchen Audits sind die Vertraulichkeitsverpflichtungen der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen geheim halten und sie ausschließlich verwenden, um die Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften zum Datenschutz zu überprüfen. Der Kunde hat die Möglichkeit, das Audit selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen; dieser unabhängige Prüfer muss jedoch die in diesem Abschnitt angegebene Vertraulichkeitsvereinbarung unterzeichnen.

13.3             Beide Parteien und gegebenenfalls deren Vertreter werden auf Anfrage vernünftig mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten.

13.4             Der Kunde wird Nitro für die von Nitro im Zusammenhang mit dem Audit erbrachte Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen. Es wird verstanden, dass diese Rückerstattung nicht gilt, wenn (i) das Audit aus einem nachgewiesenen Datenschutzvorfall resultiert, der Nitro zuzurechnen ist, oder (ii) wenn Nitros Unterstützung vier (4) Stunden Arbeitszeit während der Laufzeit des Vertrags nicht überschreitet.

14.   KOSTEN

14.1             Die im Rahmen dieses Datenverarbeitungszusatzes zu erbringende Unterstützung, für die Nitro dem Kunden Gebühren berechnen kann, wird auf Basis der geleisteten Stunden und der geltenden Standard-Stundensätze von Nitro (195 EUR/Stunde, Steuern ausgenommen) berechnet. Nitro wird diese Beträge monatlich in Rechnung stellen, hat jedoch auch das Recht, eine Vorauszahlung zu verlangen.

14.2             Die Zahlungen des Kunden an Nitro für die Unterstützung und professionellen Dienstleistungen, die Nitro im Rahmen dieses Datenverarbeitungszusatzes erbringt, erfolgen gemäß den Bestimmungen in den Nutzungsbedingungen.

15.    HAFTUNG

15.1             Vorausgesetzt, es wird im größtmöglichen Umfang, der nach geltendem Recht zulässig ist, gelten die Bestimmungen der Nutzungsbedingungen zur Haftungsbeschränkung auch für diesen Datenverarbeitungszusatz und die daraus resultierenden Schäden.

16.    SONSTIGES

16.1             Die Bestimmungen der Nutzungsbedingungen zu Änderungen, Gesamtheit der Vereinbarung, Teilbarkeit, anwendbarem Recht und zuständigen Gerichten sind auf diesen Datenverarbeitungszusatz anwendbar.