Bedingungen & Richtlinien

Im Hinblick auf die gegenseitigen Verpflichtungen, die in diesem Datenverarbeitungszusatz und allen Anhängen und Ausstellungen hierzu (der “Datenverarbeitungszusatz”) dargelegt sind, deren Angemessenheit akzeptiert wird, treten Nitro (wie in Abschnitt 2 der Nitro Nutzungsbedingungen definiert) und die im Bestellformular als Kunde bezeichnete juristische Person (“Kunde”) hiermit in diesen verbindlichen Vertrag ein, der zwischen den beiden Parteien gilt und für alle Dienste (wie in Abschnitt 2 der Nitro Nutzungsbedingungen definiert), die von Nitro bereitgestellt werden, anwendbar ist. Nitro und der Kunde können gemeinsam als die "Parteien" oder einzeln als "Partei" bezeichnet werden.

1. UMFANG; ROLLEN DER PARTIEN

Nitro wird personenbezogene Informationen im Interesse und im Auftrag des Kunden empfangen und verarbeiten, während es die Dienstleistungen bereitstellt, gemäß den Anweisungen und dem Zweck, die vom Kunden in den Datenschutzeinstellungen definiert sind. Dieser Datenverarbeitungszusatz legt die spezifischen Vereinbarungen der Parteien hinsichtlich der Verarbeitung personenbezogener Informationen im Rahmen dieses Datenverarbeitungszusatzes und der Vereinbarung fest.

Standardmäßig fungiert Nitro als Auftragsverarbeiter und der Kunde als Verantwortlicher in Bezug auf die von Nitro an den Kunden bereitgestellten Dienste gemäß den Nitro-Nutzungsbedingungen. Dieser Datenverarbeitungszusatz ersetzt und widerruft alle vorherigen Vereinbarungen, die (falls vorhanden) bezüglich der Verarbeitung personenbezogener Informationen und des Datenschutzes zwischen den Parteien in Bezug auf die von Nitro angebotenen Dienste getroffen wurden.

Dieser Datenverarbeitungszusatz ergänzt und bildet einen Teil der Nutzungsbedingungen, und zusammen stellen die Nutzungsbedingungen und dieser Datenverarbeitungszusatz ein einzelnes rechtliches Abkommen zwischen den Parteien dar. Im Falle von Uneinigkeiten oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.

2. DEFINITIONEN

„Anhang“ bezieht sich auf jeden Anhang zu diesem Datenverarbeitungszusatz;

„Verantwortlicher“ bezieht sich auf den Kunden, wie in den Nutzungsbedingungen und dem anwendbaren Bestellformular angegeben;

„Datenschutzdetails“ bezieht sich auf Anhang 1 zu diesem Datenverarbeitungszusatz, der die Anweisungen des Kunden zur Verarbeitung personenbezogener Informationen, wie den Zweck, den Gegenstand und die Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Informationen beschreibt;

„Betroffene Person“ oder ein entsprechender Begriff (wie „Person“) hat die in der geltenden Datenschutzgesetzgebung festgelegte Bedeutung oder, wo keine solchen Gesetze gelten, bedeutet es eine identifizierte oder identifizierbare natürliche Person, die mit dem Kunden in Beziehung steht;

„Datenpanne“ oder ein entsprechender Begriff (wie „Verletzung personenbezogener Daten“, „Sicherheitsvorfall“) hat die in der geltenden Datenschutzgesetzgebung festgelegte Bedeutung oder, wo keine solchen Gesetze gelten, bedeutet es jede (i) unbefugte Nutzung, Weitergabe oder andere Verarbeitung personenbezogener Informationen des Kunden, (ii) Diebstahl oder unbefugte Erfassung solcher personenbezogenen Informationen, (iii) ein Vorfall, der die Sicherheit solcher personenbezogener Informationen gefährdet;

„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung);

„Ausstellung“ bezieht sich auf jede Ausstellung zu diesem Datenverarbeitungszusatz;

„FADP“ bedeutet das Schweizerische Bundesgesetz über den Datenschutz (in der geänderten Fassung);

„Personenbezogene Informationen“ oder ein entsprechender Begriff (wie „personenbezogene Daten“ oder „personenbezogene Informationen“) hat die in der geltenden Datenschutzgesetzgebung festgelegte Bedeutung oder, wo keine solchen Gesetze gelten, bedeutet es alle Informationen, die allein oder in Verbindung mit anderen Informationen (wie Telefonnummer oder E-Mail-Adresse) von Nitro verwendet werden können, um eine bestimmte natürliche Person zu identifizieren;

„Auftragsverarbeiter“ bezieht sich auf Nitro Software Inc., Anbieter der Dienste für den Kunden und wie in den Nutzungsbedingungen angegeben;

„Unterauftragsverarbeiterliste“ bezieht sich auf die Liste der Unterauftragsverarbeiter, die von Nitro online zur Verfügung gestellt wird und die die von Nitro engagierten Unterauftragsverarbeiter für die Bereitstellung der Dienste und die Erfüllung von Nitros Verpflichtungen im Rahmen der

Vereinbarung im Allgemeinen umfasst. Nitro kann die Liste der Unterauftragsverarbeiter von Zeit zu Zeit gemäß dem in diesem Datenverarbeitungszusatz dargelegten Verfahren aktualisieren;

„Unterauftragsverarbeiter“ bezeichnet jeden Drittanbieter, der von Nitro zur Verarbeitung personenbezogener Informationen im Zusammenhang mit der Bereitstellung der Dienste für den Kunden engagiert wird;

„UK-DSGVO“ bezeichnet die EU-DSGVO, die durch die Bestimmungen des European Union Withdrawal Act 2018 in das britische nationales Recht überführt wurde und durch die Datenschutz-, Privatsphäre- und elektronischen Kommunikationsverordnung (Änderungen und ähnliches) (EU-Austritt) 2019 (in der geänderten Fassung) geändert wurde.

Alle anderen Begriffe und Definitionen, die mit Großbuchstaben geschrieben sind und die nicht ausdrücklich in diesem Datenverarbeitungszusatz definiert sind, sind wie in der geltenden Datenschutzgesetzgebung oder in den Nutzungsbedingungen von Nitro definiert.3 ZWECK DIESER DATENVERARBEITUNGSVEREINBARUNG

3.1 Dieser Datenverarbeitungszusatz bestimmt die Bedingungen der Verarbeitung personenbezogener Informationen durch Nitro. Die Art und der Zweck der Verarbeitung, eine Liste sowie die Art der personenbezogenen Informationen sowie die Kategorien der betroffenen Personen sind in den Datenschutzdetails (Anhang 1).

4. DAUER

4.1 Dieser Datenverarbeitungszusatz ist für alle Verarbeitungen personenbezogener Informationen anwendbar und gilt solange Nitro personenbezogene Informationen im Rahmen der Vereinbarung im Auftrag des Kunden verarbeitet. Dieser Datenverarbeitungszusatz ergänzt die Nutzungsbedingungen von Nitro und soll die Einhaltung der von den geltenden Datenschutzgesetzen und -vorschriften auferlegten Anforderungen für die Nutzung der Dienste durch den Kunden sicherstellen.

4.2 Dieser Datenverarbeitungszusatz endet automatisch mit der Kündigung der Vereinbarung (oder in dem Moment, in dem die Verarbeitung durch Nitro beendet wird). Die Bestimmungen dieses Datenverarbeitungszusatzes, die entweder ausdrücklich oder stillschweigend (nach ihrer Natur) beabsichtigt sind, nach Beendigung des Datenverarbeitungszusatzes in Kraft zu treten, bleiben nach Beendigung der Vereinbarung hinsichtlich der personenbezogenen Informationen bestehen, die - so wie die Verpflichtung des Kunden in diesem Kontext erfolgt - kommuniziert wurden.5 TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

5.1 Nitro hat geeignete technische und organisatorische Maßnahmen (“TOMs”) umgesetzt, um die Verarbeitung personenbezogener Informationen zu sichern. Die von Nitro umgesetzten TOMs sind in den Datenschutzdetails dargelegt und können von Nitro von Zeit zu Zeit aktualisiert werden, jedoch wird Nitro sicherstellen, dass die gesamte Sicherheit, die sie zum Zeitpunkt der Ausführung des Datenverarbeitungszusatzes implementiert hat, nicht herabgestuft wird. Der Kunde erkennt an, dass die TOMs zum Zeitpunkt der Unterzeichnung oder Akzeptanz dieses Datenverarbeitungszusatzes angemessen für die Verarbeitung seiner personenbezogenen Informationen sind.

5.2 Falls der Kunde anfordert, dass spezielle technische und organisatorische Maßnahmen von Nitro umgesetzt werden (die Nitro standardmäßig nicht implementiert hat), wird der Kunde Nitro für die Umsetzung solcher zusätzlichen Maßnahmen gemäß Abschnitt 11 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen.6 AUFBEWAHRUNG

6.1 Nitro wird personenbezogene Informationen nicht länger aufbewahren, als es für die Verarbeitung solcher personenbezogenen Informationen im Rahmen der Vereinbarung erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Informationen länger zu speichern, als es nötig ist. Die geltende Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Datenschutzdetails angegeben.

6.2 Nitro wird nach Beendigung der Bereitstellung von Dienstleistungen alle personenbezogenen Informationen an den Kunden löschen oder zurückgeben und bestehende Kopien löschen, es sei denn, das geltende Recht verlangt die Speicherung der personenbezogenen Informationen.6.2 Der Kunde erkennt an, dass die Dienste möglicherweise Downloadfunktionen beinhalten, die dem Kunden zur Verfügung stehen, um seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, wird der Kunde diese Funktionen verwenden, um seine Daten zu extrahieren oder zu löschen.

7. VERTRAULICHKEIT

7.1 Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die für die Verarbeitung personenbezogener Informationen im Rahmen der Vereinbarung gilt.7.2 Nitro erkennt an und stimmt zu, dass nur die Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Informationen beteiligt sind, über die personenbezogenen Informationen informiert werden dürfen und nur, soweit es nach den vernünftigen Anforderungen zur Erfüllung der Vereinbarung notwendig ist. Nitro stellt sicher, dass die zur Verarbeitung der personenbezogenen Informationen befugten Personen durch Vertrag zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

8. MELDEPFLICHT

8.1 Sobald Nitro von einer Datenpanne Kenntnis erlangt, wird Nitro, soweit es das geltende Recht oder eine Ausstellung zu diesem Datenverarbeitungszusatz erfordert, den Kunden unverzüglich darüber informieren, indem es den angegebenen Ansprechpartner in der Vereinbarung oder im betreffenden Bestellformular kontaktiert (oder alternativ die vom Kunden angegebene E-Mail-Adresse für Benachrichtigungen oder (sofern zutreffend) jede andere E-Mail-Adresse, die der Kunde im Admin-Portal als Datenschutzkontakt mitgeteilt hat). Der Ansprechpartner von Nitro für alle datenschutzbezogenen Angelegenheiten kann per E-Mail unter privacy@gonitro.com kontaktiert werden.

9. UNTERAUFTRAGVERARBEITUNG

9.1 Der Kunde autorisiert Nitro ausdrücklich, Unterauftragsverarbeiter für die Verarbeitung personenbezogener Informationen zur Erfüllung der Vereinbarung und zur allgemeinen Bereitstellung der Dienste einzusetzen. In diesem Umfang erteilt der Kunde Nitro eine allgemeine schriftliche Ermächtigung, um zu entscheiden, mit welchen Unterauftragsverarbeitern Nitro zur Erfüllung seiner Verpflichtungen aus der Vereinbarung zusammenarbeitet. Nitro veröffentlicht eine Unterauftragsverarbeiterliste, die sich auf die von Nitro engagierten Unterauftragsverarbeiter bezieht.

10. PRÜFRECHT

10.1 Der Kunde hat das Recht, Prüfungen hinsichtlich der Einhaltung der Verpflichtungen von Nitro aus diesem Datenverarbeitungsanhang und der geltenden Datenschutzgesetze durchzuführen. Nitro wird sich bemühen, solchen Audits zu kooperieren und alle Informationen zur Verfügung zu stellen, die zur Erfüllung seiner Verpflichtungen erforderlich sind. Der Kunde wird Nitro mindestens einen (1) Monat vor dem Datum, an dem das Audit durchgeführt wird, über ein schriftliches Schreiben benachrichtigen, per E-Mail an privacy@gonitro.com.

10.2 Falls ein Audit durchgeführt wird, müssen zunächst alle beteiligten Parteien eine spezifische Vertraulichkeitsvereinbarung unterzeichnen, die von Nitro in Bezug auf das Audit und die Prüfungsergebnisse ausgestellt wird, bevor das Audit beginnt.10,2 Bei der Durchführung eines solchen Audits sind die Vertraulichkeitsverpflichtungen der Parteien gegenüber Dritten zu berücksichtigen. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen geheim halten und sie ausschließlich verwenden, um die Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften zum Datenschutz zu überprüfen. Der Kunde hat die Möglichkeit, die Prüfung selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen; jedoch muss dieser unabhängige Prüfer die in diesem Abschnitt erwähnte Vertraulichkeitsvereinbarung ordnungsgemäß unterzeichnen.

10.3 Beide Parteien und, wo zutreffend, ihre Vertreter haben angemessen zu kooperieren, sofern dies von der zuständigen Aufsichtsbehörde im Zusammenhang mit der Prüfung verlangt wird.

10.4 Der Kunde wird Nitro für die Unterstützung, die Nitro in Bezug auf die Prüfungen bereitstellt, gemäß Abschnitt 11 „Kosten“ dieses Datenverarbeitungsanhangs entschädigen. Es wird verstanden, dass solche Erstattungen nicht gelten, wenn (i) das Audit die Folge einer nachgewiesenen Datenpanne ist, die Nitro zuzuschreiben ist, oder (ii) wenn die Unterstützung von Nitro während der Laufzeit der Vereinbarung vier (4) Arbeitsstunden nicht überschreitet.

11. KOSTEN

11.1 Die Unterstützung, die im Rahmen dieses Datenverarbeitungsanhangs erbracht wird, wird von Nitro in Rechnung gestellt, basierend auf den geleisteten Stunden und den anwendbaren Standard-Stundenlöhnen von Nitro (295 USD/Stunde, Steuern ausgeschlossen). Nitro wird diese Beträge monatlich in Rechnung stellen, hat jedoch auch das Recht, eine Vorauszahlungsgebühr zu verlangen.

11.2 Die Zahlung des Kunden an Nitro für Unterstützung und professionelle Dienstleistungen, die von Nitro im Rahmen dieses Datenverarbeitungsanhangs erbracht werden, erfolgt gemäß den Bestimmungen der Nutzungsbedingungen.

12. HAFTUNG

12.1 Im maximalen Umfang, der nach geltendem Recht zulässig ist, gelten die Bestimmungen der Nutzungsbedingungen über die Haftungsbeschränkung auch für diesen Datenverarbeitungsanhang und die daraus resultierenden Schäden.

13. Verschiedenes

13.1 Die Bestimmungen der Nutzungsbedingungen concerning changes, entire agreement, severability, applicaable laws and competent courts sind für diesen Datenverarbeitungszusatz anwendbar.

13.2 Dieser Datenverarbeitungszusatz wird durch die spezifischen Begriffsbestimmungen der CCPA ergänzt, die in Anhang 1 hierzu enthalten sind, soweit dies erforderlich ist, wie in Anhang 1 festgelegt.

BESCHREIBUNG DER VERARBEITUNG

1) GEGEBENHEIT DER VERARBEITUNG DER PERSONENBEZOGENEN INFORMATIONEN

Gegenstand wird vom Kunden bestimmt, wie im Rahmen der Vereinbarung und des entsprechenden Bestellformulars festgelegt.

2) DIE ART UND DER ZWECK DER VERARBEITUNG PERSONENBEZOGENER INFORMATIONEN

Die Art und der Zweck der Verarbeitung werden vom Kunden bestimmt, wie in der Vereinbarung und dem entsprechenden Bestellformular dargelegt.

Standardmäßig sollte dieser Zweck darin bestehen, den Dienst einschließlich aller Funktionen und Merkmale dem Kunden und seinen Benutzern zur Verfügung zu stellen und im Allgemeinen Nitro zu ermöglichen, seine vertraglichen Verpflichtungen im Rahmen der Vereinbarung zu erfüllen. Ein solcher Zweck kann darin bestehen, die Cloud-Dienste bereitzustellen (zum Beispiel, ohne Einschränkung, die Bereitstellung des Kundencloud-Portals, elektronischen Unterzeichnungsdiensten, Analytikdiensten usw.) sowie die Bereitstellung von Support.

Die Art der Verarbeitung umfasst neben anderen Anweisungen, die der Kunde in der Vereinbarung und dem entsprechenden Bestellformular gegeben hat, die Verarbeitung, Sammlung, Speicherung, Kommunikation und Übertragung personenbezogener Informationen.

3) VERARBEITETE PERSONENBEZOGENE INFORMATIONEN

Abhängig von den innerhalb der Dienste verwendeten Funktionalitäten (z.B. Kundenportal, elektronische Unterzeichnungsdienste, Analytikdienste usw.) und dem Inhalt der vom Kunden und seinen Benutzern in die Dienste hochgeladenen personenbezogenen Informationen verarbeitet Nitro verschiedene Arten von personenbezogenen Informationen. Im Allgemeinen umfasst die von Nitro verarbeiteten personenbezogenen Informationen ohne Einschränkung:

• Identifizierungsdaten (zum Beispiel Benutzer- und Nutzungsdaten)

• Dokumentendaten (zum Beispiel personenbezogene Informationen, die in PDF-Dokumenten verarbeitet werden)

  Eine detaillierte Übersicht über die Art der personenbezogenen Informationen, die bei der Nutzung der Dienste verarbeitet werden, finden Sie im Trust Center von Nitro: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data

4) KATEGORIE DER BETROFFENEN PERSONEN

Die folgenden Kategorien von betroffenen Personen sind standardmäßig im Geltungsbereich:

• Alle Benutzer, die Zugang zu den Dienstleistungen haben (einschließlich Administratoren, allgemeine Benutzer oder eingeladene Benutzer wie Unterzeichner).
• Alle von der Kunden hochgeladenen betroffenen Personen in die Dienstleistungen durch den Kunden oder seine Benutzer.

Der Kunde bestätigt, dass diese betroffenen Personen standardmäßig als eine der folgenden Kategorien betrachtet werden:

• Personal des Kunden
• Kunden des Kunden
• Interessenten des Kunden
• Lieferanten des Kunden

5) UNTERAUFTRAGVERARBEITER

Nitro engagiert Unterauftragsverarbeiter, um sicherzustellen, dass innerhalb der Dienstleistungen alle Funktionalitäten verfügbar sind. Welche Unterauftragsverarbeiter anwendbar sind, hängt von den genutzten Diensten sowie den Funktionen und der Konfiguration ab, die der Kunde verlangt. Eine detaillierte Liste der von Nitro engagierten Unterauftragsverarbeiter (einschließlich des Verfahrens, das wir bei der Einbindung neuer Unterauftragsverarbeiter anwenden) ist über unser Trust Center verfügbar: https://www.gonitro.com/trust-center/data-protection/subprocessors-and-subcontractors

6) TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMs)

Nitro implementiert geeignete technische und organisatorische Maßnahmen, um angemessene Sicherheit bei der Nutzung der Dienste zu gewährleisten. Wir aktualisieren solche Maßnahmen kontinuierlich. Eine detaillierte Übersicht über die getroffenen Maßnahmen ist über unser Trust Center im Abschnitt Sicherheit verfügbar: https://www.gonitro.com/trust-center/security und in unserer Information Security Policy. Unser Trust Center enthält auch die Zertifizierungen, die Nitro im Abschnitt Compliance hält: https://www.gonitro.com/trust-center/compliance.

7) AUFBEWAHRUNGSFRIST

Nitro wird personenbezogene Informationen nicht länger als notwendig für die Bereitstellung der Dienste speichern. Je nach den Diensten und den Funktionalitäten, die Sie als Kunde nutzen, können die geltenden Aufbewahrungsfristen unterschiedlich sein. Jeder Kunde kann Nitro bitten, spezifische Aufbewahrungsfristen in seiner Umgebung zu konfigurieren (soweit dies technisch möglich ist).

Falls keine spezifischen Aufbewahrungsfristen konfiguriert wurden, werden personenbezogene Informationen von Nitro standardmäßig gespeichert, bis sie vom Kunden gelöscht werden oder bis zur Beendigung der Vereinbarung zwischen Nitro und dem Kunden (plus maximal 30

Tagen), je nachdem, was zuerst eintritt. Ein detaillierter Überblick über die Aufbewahrungsfristen ist über unser Trust Center verfügbar: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.

8) KONTAKTDETAILS DES NITRO PRIVACY-TEAMS

privacy@gonitro.com
Nitro Software Inc.447 Sutter St, STE 405 #1015, San Francisco, CA 94108 Vereinigte Staaten

ANHANG 1 – CCPA-SPEZIFISCHE BEGRIFFE

1. Soweit Nitro persönliche Informationen von oder im Auftrag des Kunden erhält und diese Informationen dem CCPA unterliegen, gelten die folgenden Bestimmungen. Im Fall eines Konflikts zwischen diesem Anhang 1 und dem Datenverarbeitungsvertrag hat das erstere Vorrang.

1.1 CCPA. Soweit (a) Nitro persönliche Informationen von oder im Auftrag des Kunden erhält, um sie im Auftrag des Kunden zur Bereitstellung der Dienste zu verarbeiten, und (b) diese persönlichen Informationen dem CCPA unterliegen („Kunden-PI“), verpflichtet sich Nitro (i) alle Verpflichtungen, die für Nitro gemäß dem CCPA gelten, einzuhalten und das gleiche Maß an Datenschutz- und Sicherheitsmaßnahmen bereitzustellen, das vom CCPA gefordert wird; (ii) Kunden-PI nicht zu verkaufen oder zu teilen; (iii) Kunden-PI nicht zu speichern, zu verwenden oder offenzulegen (a) für andere Zwecke als die in diesem Datenverarbeitungsvertrag oder der Vereinbarung festgelegten Geschäftszwecke (einschließlich der Speicherung, Verwendung oder Offenlegung der Kunden-PI für einen kommerziellen Zweck, der nicht dem in diesem Datenverarbeitungsvertrag oder der Vereinbarung angegebenen Geschäftszweck entspricht) oder wie anderweitig vom CCPA erlaubt, oder (b) außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Nitro; (iv) Soweit der Kunde oder andere deidentifizierte Daten Nitro zur Verfügung stellt, wird Nitro (a) angemessene Maßnahmen ergreifen, um sicherzustellen, dass die deidentifizierten Daten nicht mit einer Person oder einem Haushalt in Verbindung gebracht werden können, (b) öffentlich zusichern, die Informationen in deidentifizierter Form zu behalten und zu verwenden und nicht zu versuchen, die Informationen wieder zu identifizieren, und (c) vertraglich jeden weiteren Empfänger verpflichten, alle Bestimmungen dieses Unterabsatzes (iv) einzuhalten; (v) Kunden-PI, die Nitro von oder im Auftrag des Kunden erhält, nicht mit persönlichen Informationen zu kombinieren, die es von oder im Auftrag einer anderen Person erhält oder die es durch eigenen Kontakt mit der Person erhebt, wobei Nitro Kunden-PI kombinieren darf, um jeden Geschäftszweck zu erfüllen, wie er in den einschlägigen Vorschriften, die gemäß dem CCPA erlassen wurden, definiert ist; (vi) den Kunden benachrichtigen, wenn er einen Subunternehmer mit der Verarbeitung von Kunden-PI beauftragt, und Kunden-PI gemäß einem schriftlichen Vertrag offenlegen, der Bedingungen enthält, die das gleiche Schutzniveau für die fraglichen PI bieten wie die vom CCPA geforderten; (vii) geeignete organisatorische und technische Maßnahmen implementieren, die den Anforderungen der Kunden-PI angemessen sind, um die Sicherheit der Kunden-PI und Systeme vor unbefugtem Zugriff, Zerstörung, Verwendung, Modifikation oder Offenlegung zu schützen; (viii) den Kunden benachrichtigen, wenn Nitro feststellt, dass es seine Verpflichtungen nach dem CCPA nicht mehr erfüllen kann; (ix) den Kunden benachrichtigen, wenn Nitro eine Anfrage erhält, die Datenschutzrechte von einer Person in Bezug auf die Kunden-PI dieser Person ausüben möchte (eine „Anfrage“). Nitro wird nicht anderweitig mit einer Person bezüglich seiner Anfrage kommunizieren, es sei denn, der Kunde weist Nitro an, dies zu tun, oder Nitro ist gesetzlich verpflichtet, mit einer Person zu kommunizieren. Nitro wird, in Übereinstimmung mit der Natur und Funktionalität der Dienste, die im Rahmen dieser DPA bereitgestellt werden, sowie mit der Rolle von Nitro als Dienstanbieter, dem Kunden angemessene Unterstützung bieten, um dem Kunden zu ermöglichen, auf eine Anfrage gemäß dem CCPA zu reagieren und dieser nachzukommen; und nicht mehr als einmal jährlich wird Nitro dem Kunden auf Anfrage Informationen bereitstellen, die zur Demonstration der Einhaltung dieses Abschnitts 1 vernünftigerweise erforderlich sind, einschließlich der Bereitstellung von Zusammenfassungen der anwendbaren Datenschutz- und Sicherheitsrichtlinien zur Überprüfung und Auditierung.

1.2 Zertifizierung. Soweit Nitro ein Auftragnehmer ist, zertifiziert Nitro, dass es die in Unterabschnitt 1.1 festgelegten Einschränkungen versteht und einhalten wird.

1.3 Nutzung von PI durch den Kunden. Soweit der Kunde Kunden-PI Nitro offenlegt, teilt oder anderweitig zur Verfügung stellt, geschieht dies für den spezifischen Geschäftszweck, der in diesem Datenverarbeitungsvertrag festgelegt ist. Der Kunde kann angemessene Schritte unternehmen, um sicherzustellen, dass Nitro die an Nitro übertragenen Kunden-PI in einer Weise verwendet, die mit den Verpflichtungen des Kunden gemäß dem CCPA übereinstimmt. Der Kunde kann nach angemessener Ankündigung an Nitro angemessene Schritte unternehmen, um die unbefugte Verwendung von Kunden-PI zu stoppen und zu beseitigen.

1.4 Definitionen. Großgeschriebene Begriffe, die in diesem Abschnitt 1 verwendet werden und in diesem Datenverarbeitungsvertrag nicht anders definiert sind, haben die in diesem CCPA zugewiesenen Bedeutungen. Für die Zwecke dieses Abschnitts 1 bedeutet „CCPA“ das kalifornische Gesetz über den Datenschutz der Verbraucher und alle zugehörigen Vorschriften, die geändert wurden (einschließlich durch das kalifornische Gesetz über die Datenschutzrechte und alle darauf gestützten Vorschriften).