Bedingungen & Richtlinien

DERSEIN DATENVERARBEITUNGSZUSATZ GILT, WENN SIE SICH ALS BUSINESS-KUNDE FÜR NITRO-DIENSTLEISTUNGEN UNTER DEN NITRO NUTZUNGSBEDINGUNGEN ANGEMELDET HABEN UND DIE EU GDPR FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM RAHMEN DES VERTRAGS GILT. FALLS SIE SICH ALS EINZELPERSON ANGEMELDET HABEN, BESUCHEN SIE BITTE NITROS DATENSCHUTZRICHTLINIE FÜR WEITERE INFORMATIONEN DARÜBER, WIE NITRO IHRE PERSONENBEZOGENEN DATEN VERARBEITET.

1. ANWENDUNGSBEREICH; ROLLEN DER PARTEIEN

Nitro wird personenbezogene Daten im Auftrag und zum Nutzen des Kunden erhalten und verarbeiten, während die Dienstleistungen erbracht werden, gemäß den Anweisungen und dem Zweck, die vom Kunden in den Datenverarbeitungsdetails festgelegt sind. Durch diesen Datenverarbeitungszusatz möchten die Parteien ihre spezifischen Vereinbarungen hinsichtlich der Verarbeitung personenbezogener Daten im Rahmen des Vertrages festlegen.

Standardmäßig fungiert Nitro als Auftragsverarbeiter und der Kunde als verantwortliche Stelle in Bezug auf die von Nitro bereitgestellten Dienstleistungen gemäß den Nitro-Nutzungsbedingungen. Dieser Datenverarbeitungszusatz ersetzt und ersetzt alle vorhergehenden Vereinbarungen (falls vorhanden) zur Verarbeitung personenbezogener Daten und zum Datenschutz zwischen den Parteien bezüglich der von Nitro angebotenen Dienstleistungen.

Dieser Datenverarbeitungszusatz ergänzt und ist Teil der Nutzungsbedingungen, und zusammen bilden die Nutzungsbedingungen und dieser Datenverarbeitungszusatz eine einzige rechtliche Vereinbarung zwischen den Parteien. Im Falle von Abweichungen oder Widersprüchen zwischen diesem Datenverarbeitungszusatz und den Nutzungsbedingungen hat der Datenverarbeitungszusatz Vorrang.

2. DEFINITIONEN

„Anhang“ bedeutet jeden Anhang zu diesem Datenverarbeitungszusatz;

„SCCs Controller zu Processor" bedeutet Modul 2 der EU-Standardvertragsklauseln, die in der Durchführungsentscheidung der Kommission (EU) 2021/914 vom 4. Juni 2021 über die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, in der jeweils geltenden Fassung;

„Verantwortlicher“ bezeichnet den Kunden, wie in den Nutzungsbedingungen und dem entsprechenden Bestellformular angegeben;

„Details zur Datenverarbeitung“ bedeutet Anhang 1 zu diesem Datenverarbeitungszusatz, der weitere Einzelheiten zu den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten wie den Zweck, das Objekt und die Art der Verarbeitung sowie die Art der verarbeiteten personenbezogenen Daten enthält;

„EU GDPR“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung);

„EU-Standardvertragsklauseln“ oder „SCCs“ bedeuten die von der Europäischen Kommission gemäß der Durchführungsentscheidung der Kommission (EU) 2021/914 vom 4. Juni 2021 verabschiedeten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, einschließlich der SCCs Controller zu Processor und dem Text des Moduls zwei solcher Standardvertragsklauseln und nicht irgendeinem anderen Modul und nicht einschließlich von Bestimmungen, die in den Klauseln als fakultativ gekennzeichnet sind, in der jeweils geltenden Fassung. Wenn das Europäische Parlament und der Rat einen aktualisierten Satz von EU-Standardvertragsklauseln verabschieden, bezieht sich „EU-Standardvertragsklauseln“ auf die aktuellste Anpassung;

„Personenbezogene Daten“ bedeutet personenbezogene Daten, wie sie unter der EU GDPR definiert sind und die Nitro zum Nutzen und im Auftrag des Kunden verarbeitet, während die Dienstleistungen gemäß den Anweisungen und dem Zweck verarbeitet werden, die der Kunde in den Details zur Datenverarbeitung definiert;

„Auftragsverarbeiter“ bezeichnet Nitro Software Inc., Anbieter der Dienstleistungen für den Kunden, und wie in den Nutzungsbedingungen angegeben;

„Unterauftragsverarbeiterliste“ bezieht sich auf die von Nitro online zur Verfügung gestellte Liste von Unterauftragsverarbeitern, die die von Nitro für die Bereitstellung der Dienstleistungen engagierten Unterauftragsverarbeiter umfasst und die Erfüllung von Nitros Verpflichtungen aus dem Zusatz im Allgemeinen. Nitro kann die Unterauftragsverarbeiterliste von Zeit zu Zeit aktualisieren, gemäß dem im Datenverarbeitungszusatz festgelegten Verfahren;

„Unterauftragsverarbeiter“ bedeutet jeden Drittanbieter, der von Nitro für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienstleistungen für den Kunden engagiert wird;

Alle anderen Begriffe und Definitionen, die mit Großbuchstaben geschrieben sind und die nicht ausdrücklich in diesem Datenverarbeitungszusatz definiert sind, werden wie in den einschlägigen Datenschutzgesetzen oder Nitros Nutzungsbedingungen festgelegt definiert.

3. GEGEBENHEITEN DIESES DATENVERARBEITUNGSZUSATZES

3.1 Dieser Datenverarbeitungszusatz bestimmt die Bedingungen der Verarbeitung durch Nitro personenbezogener Daten, die vom Kunden im Rahmen des Vertrages kommuniziert werden oder auf Initiative des Kunden.

Die Art und der Zweck der Verarbeitung, eine Liste und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in den Details zur Datenverarbeitung (Anhang 1) aufgeführt.

3.2 Die Verarbeitung erfolgt ausschließlich zugunsten des Kunden und zu dem Zweck, den der Kunde in den Details zur Datenverarbeitung definiert hat. Nitro wird den Kunden umgehend informieren, wenn nach seiner Auffassung eine Anweisung gegen die geltenden (Datenschutz-)Gesetze verstößt. Nitro wird die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten und diese personenbezogenen Daten nicht für eigene Zwecke verwenden, es sei denn, dies ist in den Nutzungsbedingungen ausdrücklich gestattet. Sofern Nitro gesetzlich verpflichtet ist, mit der Verarbeitung personenbezogener Daten fortzufahren, wird Nitro, es sei denn, dies würde gegen geltende zwingende Vorschriften verstoßen, den Kunden über eine solche Verpflichtung informieren.

4. LEBENSDAUER

4.1 Dieser Datenverarbeitungszusatz gilt für alle Verarbeitungen personenbezogener Daten, die im Rahmen der Bereitstellung der Dienstleistungen für den Kunden durch Nitro durchgeführt werden, und gilt, solange Nitro personenbezogene Daten im Auftrag des Kunden im Rahmen des Vertrages verarbeitet. Dieser Datenverarbeitungszusatz ergänzt die Nitro-Nutzungsbedingungen und soll sicherstellen, dass die Parteien die Anforderungen der geltenden Datenschutzgesetze und -vorschriften für die Nutzung der Dienstleistungen durch den Kunden einhalten.

4.2 Dieser Datenverarbeitungszusatz endet automatisch mit der Beendigung des Vertrages (oder zu dem Zeitpunkt, zu dem die Verarbeitung durch Nitro beendet wird). Die Bestimmungen dieses Datenverarbeitungszusatzes, die ausdrücklich oder implizit (in Anbetracht ihrer Natur) beabsichtigt sind, nach Beendigung des Datenverarbeitungszusatzes Wirkung zu haben, überdauern das Ende des Vertrages in Bezug auf die personenbezogenen Daten, die vom Kunden im Rahmen des Vertrages kommuniziert werden oder auf Initiative des Kunden.

5. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

5.1 Nitro bietet angemessene Garantien bezüglich der Implementierung geeigneter technischer und organisatorischer Maßnahmen („TOMs“), um eine sichere Verarbeitung personenbezogener Daten sicherzustellen, sodass der Schutz der Rechte der betroffenen Personen gewährleistet ist. Die von Nitro implementierten TOMs sind in den Details zur Datenverarbeitung aufgeführt. Nitro kann die TOMs von Zeit zu Zeit aktualisieren, jedoch wird Nitro sicherstellen, dass die Gesamt-Sicherheit, die zu dem Zeitpunkt der Ausführung dieses Datenverarbeitungszusatzes implementiert wurde, nicht herabgestuft wird. Der Kunde erkennt an, dass die TOMs zum Zeitpunkt der Unterzeichnung oder Akzeptanz dieses Datenverarbeitungszusatzes für die Verarbeitung seiner personenbezogenen Daten angemessen sind.

5.2 Nitro wird alle geeigneten technischen und organisatorischen Maßnahmen gemäß Artikel 32 der EU-DSGVO ergreifen, um ein angemessenes Sicherheitsniveau zu gewährleisten, das dem Risiko entspricht.

5.3 Sollte der Kunde sensible personenbezogene Daten gemäß den Artikeln 9 und 10 der EU-DSGVO im Rahmen des Vertrages an Nitro übermitteln, wird der Kunde Nitro schriftlich darüber informieren unter privacy@gonitro.com.

5.4 Falls der Kunde spezifische technische und organisatorische Maßnahmen von Nitro anfordert (die Nitro standardmäßig nicht implementiert hat), wird der Kunde Nitro die Kosten für die Implementierung solcher zusätzlichen Maßnahmen gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes erstatten.

5.5 Die Einhaltung durch Nitro eines genehmigten Verhaltenskodex gemäß Artikel 40 der EU-DSGVO oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 der EU-DSGVO kann als Beweismittel für ausreichende Garantien gemäß der EU-DSGVO verwendet werden.

6. AUFBEWAHRUNG

6.1 Nitro wird personenbezogene Daten nicht länger aufbewahren, als dies für die Verarbeitung solcher personenbezogenen Daten im Rahmen des Vertrages erforderlich ist. Der Kunde wird Nitro nicht anweisen, personenbezogene Daten länger als notwendig zu speichern. Die geltende Aufbewahrungsfrist (wie vom Kunden definiert) ist in den Details zur Datenverarbeitung aufgeführt.

6.2 Nach Wahl des Kunden wird Nitro alle personenbezogenen Daten nach Beendigung der Erbringung der Dienstleistungen an den Kunden zurückgeben oder löschen und bestehende Kopien löschen, es sei denn, das Unions- oder Mitgliedstaatengesetz verlangt die Speicherung personenbezogener Daten. Der Kunde erkennt an, dass die Dienstleistungen Funktionen zum Herunterladen bereitstellen können, die dem Kunden zur Verfügung stehen, um seine Daten herunterzuladen. Soweit solche Funktionen verfügbar sind, wird der Kunde diese Funktionen nutzen, um seine Daten zu extrahieren oder zu löschen.

7. VERTRAULICHKEIT

7.1 Die Parteien haben in den Nutzungsbedingungen eine Vertraulichkeitsklausel vereinbart, die für die Verarbeitung personenbezogener Daten im Rahmen des Vertrages gilt.

7.2 Nitro erkennt an und stimmt zu, dass nur diejenigen Mitarbeiter, Auftragnehmer oder Vertreter von Nitro, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die personenbezogenen Daten informiert werden dürfen und zwar nur insoweit, wie dies vernünftigerweise erforderlich ist, um den Vertrag zu erfüllen. Nitro stellt sicher, dass Personen, die befugt sind, die personenbezogenen Daten zu verarbeiten, vertraglich zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

8. RECHTE DER BETROFFENEN

8.1 Unter Berücksichtigung der Art der Verarbeitung wird Nitro alle angemessenen Anstrengungen unternehmen, um dem Kunden bei der Erfüllung seiner Verpflichtung zu helfen, auf Anfragen von betroffenen Personen zu reagieren.

8.2 Für alle von Nitro im Rahmen der Bearbeitung solcher Anfragen von betroffenen Personen erbrachten Unterstützungen wird der Kunde Nitro gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes entschädigen. Eine solche Erstattung durch den Kunden findet nicht statt (i), falls die betroffene Person ihre Rechte aufgrund eines nachweislich auf Nitro zurückzuführenden Vorfalls personenbezogener Daten geltend macht, oder (ii) wenn solche Unterstützung von Nitro vier (4) Stunden Arbeit während der Laufzeit des Vertrages nicht übersteigt.

9. MELDEPFLICHT

9.1 Sobald Nitro von einem Vorfall personenbezogener Daten Kenntnis erlangt, wird Nitro den Kunden ohne unangemessene Verzögerung informieren, indem er die im Vertrag oder im relevanten Bestellformular angegebene Kontaktperson oder alternativ die E-Mail-Adresse des Kunden oder (falls zutreffend) eine andere E-Mail-Adresse kontaktiert, die der Kunde im Admin-Portal als Datenschutzkontakt angegeben hat. Die Kontaktperson von Nitro für alle datenschutzrechtlichen Angelegenheiten kann per E-Mail unter privacy@gonitro.com kontaktiert werden.

9.2 Auf Anfrage des Kunden wird Nitro den Kunden über alle neuen Entwicklungen bezüglich eines Vorfalls personenbezogener Daten und über die ergriffenen Maßnahmen zur Begrenzung seiner Folgen und zur Verhinderung der Wiederholung eines solchen Vorfalls informieren. Es liegt in der Verantwortung des Kunden, jeden Vorfall personenbezogener Daten der Aufsichtsbehörde oder den betroffenen Personen wie erforderlich zu melden.

10. UNTERAUFTRAG-VERARBEITUNG

10.1 Der Kunde ermächtigt Nitro ausdrücklich, Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten für die Leistung des Vertrages zu engagieren und die Bereitstellung der Dienstleistungen im Allgemeinen zu erleichtern. In diesem Umfang gewährt der Kunde Nitro eine allgemeine schriftliche Ermächtigung zu entscheiden, mit welchen Unterauftragsverarbeitern Nitro für die Erfüllung seiner Verpflichtungen aus dem Vertrag zusammenarbeitet. Nitro veröffentlicht eine Unterauftragsverarbeiterliste, die auf die von Nitro engagierten Unterauftragsverarbeiter verweist.

10.2 Nitro wird den Kunden über beabsichtigte Änderungen bezüglich der Hinzufügung oder des Austausches von Unterauftragsverarbeitern über die im Vertrag oder im relevanten Bestellformular angegebene Kontaktperson des Kunden informieren (oder über die E-Mail-Adresse des Kunden oder (falls zutreffend) eine andere E-Mail-Adresse kontaktieren, die der Kunde im Admin-Portal als Datenschutzkontakt angegeben hat). Der Kunde hat das Recht, der Hinzufügung oder dem Austausch zu widersprechen, indem er Nitro schriftlich anspricht. Die Parteien werden in einem solchen Fall in gutem Glauben und so schnell wie möglich nach der schriftlichen Einspruchsmitteilung des Kunden über die Hinzufügung, den Austausch oder die Alternative sprechen.

10.3 Wo Nitro einen Unterauftragsverarbeiter für die Durchführung spezifischer Verarbeitungsaktivitäten einsetzt, werden dieselben oder ähnliche Datenschutzverpflichtungen, die in diesem Datenverarbeitungszusatz festgelegt sind, dem Unterauftragsverarbeiter durch einen schriftlichen Vertrag auferlegt, insbesondere um ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bereitzustellen (und die relevanten technischen und organisatorischen Maßnahmen einzuhalten). Sollte ein Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen nicht nachkommen, bleibt Nitro dem Kunden gegenüber voll haftbar für die Erfüllung der Verpflichtungen dieses Unterauftragsverarbeiters.

11. INTERNATIONALE DATENÜBERTRAGUNGEN

11.1 Der Kunde erkennt an, dass Nitro in den Vereinigten Staaten ansässig ist, und autorisiert internationale Übertragungen personenbezogener Daten zum Zwecke der Bereitstellung der Dienstleistungen. Eine solche internationale Datenübertragung wird als Anweisung des Kunden betrachtet.

11.2 Wenn Nitro zu irgendeinem Zeitpunkt während der Laufzeit dieses Datenverarbeitungszusatzes für die Dienstleistungen nach dem EU-US Datenschutzrahmen (dem „Rahmen“) zertifiziert ist, erkennen die Parteien an, dass keine geeigneten Garantien für die Übertragungen zwischen dem Kunden und Nitro erforderlich sind.

11.3 Wo die in Abschnitt 11.2 festgelegten Bedingungen nicht zutreffen, treten der Kunde (als „Datenexporteur“) und Nitro (als „Datenimporteur“) mit Wirkung vom Beginn der relevanten Übertragung in die SCCs Controller zu Processor ein. Anhang 1 zu den SCCs Controller zu Processor gilt als vorab ausgefüllt mit den entsprechenden Abschnitten von Anhang 1 zu diesem Datenverarbeitungszusatz. Anhang 2 zu den SCCs Controller zu Processor gilt als vorab ausgefüllt mit den in Abschnitt 5 zu diesem Datenverarbeitungszusatz enthaltenen Informationen, und:

1. in Klausel 7 wird die optionale Docking-Klausel nicht gelten;
2. in Klausel 9 gilt Option 2, und die Frist beträgt 30 Tage;
3. in Klausel 11 gilt die optionale Entschädigungsphrase nicht;
4. in Klausel 13(a) wird Folgendes eingefügt: Wo der Datenexporteur in einem Mitgliedstaat der EU ansässig ist: Die Aufsichtsbehörde mit der Verantwortung für die Einhaltung der Vorschriften des Datenexporteurs gemäß der Verordnung (EU) 2016/679 in Bezug auf die Datenübertragung, wie in Anhang I.C zu diesem Datenverarbeitungszusatz angegeben, hat als dafür zuständige Aufsichtsbehörde zu agieren.
   Wo der Datenexporteur nicht in einem Mitgliedstaat der EU ansässig ist, jedoch in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt, gemäß deren Artikel 3 (2) und einen Vertreter gemäß Artikel 27 (1) der Verordnung (EU) 2016/679 ernannt hat:] Die Aufsichtsbehörde des Mitgliedstaates, in dem der Vertreter im Sinne von Artikel 27 (1) der Verordnung (EU) 2016/679 ansässig ist, wie in Anhang I.C angegeben, hat als zuständige Aufsichtsbehörde zu agieren. Wo der Datenexporteur nicht in einem Mitgliedstaat der EU ansässig ist, jedoch in den Anwendungsbereich der Verordnung (EU) 2016/679 fällt gemäß deren Artikel 3 (2), ohne jedoch einen Vertreter gemäß Artikel 27 (2) der Verordnung (EU) 2016/679 ernennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übertragen werden oder deren Verhalten überwacht wird, ansässig sind, wie in Anhang I.C angegeben, hat als zuständige Aufsichtsbehörde zu agieren.
5. in Klausel 17 gilt Option 1, und die EU-Standardvertragsklauseln unterliegen den Gesetzen des Datenexporteurs; und
6. in Klausel 18(b) sind Streitigkeiten vor den Gerichten des Datenexporteurs zu entscheiden.

11.4 Der Kunde erkennt an, dass Unterauftragsverarbeiter, die gemäß Klausel 9 autorisiert sind, ebenfalls personenbezogene Daten in Drittländern verarbeiten können. Der Kunde gestattet solche Übertragungen, unter der Voraussetzung, dass Nitro alle notwendigen Schritte unternimmt, um sicherzustellen, dass diese Übertragungen den Bestimmungen von Kapitel V der EU GDPR und anderen geltenden Datenschutzgesetzen entsprechen.

11.5 Sofern die Übertragung personenbezogener Daten in ein Drittland oder an eine internationale Organisation gemäß den geltenden EU- oder Mitgliedstaatgesetzen, denen Nitro unterliegt, zwingend erforderlich ist, ist Nitro berechtigt, eine solche Übertragung durchzuführen und wird den Kunden über diese rechtliche Verpflichtung vor der Verarbeitung informieren, es sei denn, dieses Gesetz verbietet derartige Informationen aus wichtigen Gründen des öffentlichen Interesses.

12. DATENSCHUTZ-FOLGENABSCHÄTZE UND VORABKONSULTATION

12.1 Wenn der Kunde eine Datenschutz-Folgenabschätzung („DPIA“) (Artikel 35 EU-DSGVO) oder eine Vorabkonsultation (Artikel 36 EU-DSGVO) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen der Erfüllung des Vertrages durchführt, wird Nitro den Kunden auf schriftliche Anfrage angemessen unterstützen. Der Kunde wird Nitro die Kosten für die Unterstützung gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes erstatten. Eine solche Kostenerstattung gilt nicht, wenn (i) die beantragte Unterstützung von Nitro weniger als vier (4) Arbeitsstunden während der Laufzeit des Vertrages beträgt, oder (ii) die DPIA oder die Vorabkonsultation durch einen nachweislich auf Nitro zurückzuführenden Vorfall personenbezogener Daten ausgelöst wird.

13. AUDITRECHT

13.1 Der Kunde hat das Recht, Audits hinsichtlich der Einhaltung von Nitro mit seinen Verpflichtungen aus diesem Datenverarbeitungszusatz und den geltenden Datenschutzgesetzen durchzuführen. Nitro wird alle angemessenen Anstrengungen unternehmen, um bei solchen Audits zu kooperieren und alle notwendigen Informationen zur Verfügung zu stellen, um seine Einhaltung seiner Verpflichtung nachzuweisen. Der Kunde wird Nitro mindestens einen (1) Monat im Voraus über ein solches Audit informieren, indem er Nitro schriftlich über privacy@gonitro.com informiert.

13.2 Sofern ein Audit durchgeführt wird, müssen alle beteiligten Parteien zunächst eine spezifische Vereinbarung zur Vertraulichkeit unterzeichnen, die von Nitro im Zusammenhang mit einem solchen Audit und den Auditergebnissen ausgegeben wird, bevor das Audit beginnt. Bei der Durchführung eines solchen Audits müssen die Vertraulichkeitsverpflichtungen der Parteien gegenüber Dritten berücksichtigt werden. Sowohl die Parteien als auch ihre Prüfer müssen die im Zusammenhang mit einem Audit gesammelten Informationen geheim halten und diese ausschließlich verwenden, um ihre Einhaltung des Datenverarbeitungszusatzes und der geltenden Gesetze und Vorschriften zum Datenschutz zu überprüfen. Der Kunde hat die Möglichkeit, das Audit selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen, wobei dieser unabhängige Prüfer jedoch die in diesem Abschnitt genannte Vereinbarung zur Vertraulichkeit ordnungsgemäß unterzeichnen muss.

13.3 Sowohl die Parteien als auch, wo angebracht, ihre Vertreter werden auf Anfrage angemessen mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten.

13.4 Der Kunde wird Nitro die Unterstützung, die Nitro im Zusammenhang mit Audit(s) bereitstellt, gemäß Abschnitt 14 „Kosten“ dieses Datenverarbeitungszusatzes erstatten. Es wird verstanden, dass eine solche Erstattung nicht gilt, wenn (i) das Audit das Ergebnis eines nachweislich auf Nitro zurückzuführenden Vorfalls personenbezogener Daten ist oder (ii) die Unterstützung von Nitro vier (4) Arbeitsstunden während der Laufzeit des Vertrages nicht übersteigt.

14. KOSTEN

14.1 Die Unterstützung, die im Rahmen dieses Datenverarbeitungszusatzes erbracht werden soll, für die Nitro dem Kunden Kosten in Rechnung stellen kann, wird auf der Grundlage der geleisteten Arbeitsstunden und der geltenden standardmäßigen Stundensätze von Nitro (USD 295/Stunde, Steuern ausgeschlossen) in Rechnung gestellt. Nitro wird diese Beträge monatlich in Rechnung stellen, hat jedoch auch das Recht, eine Vorauszahlung zu verlangen.

14.2 Die Zahlung des Kunden an Nitro für die Unterstützung und die von Nitro unter diesem Datenverarbeitungszusatz erbrachten professionellen Dienstleistungen erfolgt gemäß den Bestimmungen in den Nutzungsbedingungen.

15. HAFTUNG

15.1 Soweit es nach geltendem Recht maximal zulässig ist, gelten die Bestimmungen der Nutzungsbedingungen

die sich auf die Haftungsbeschränkung beziehen, auch für diesen Datenverarbeitungszusatz und die daraus resultierenden Schäden.

16. SONSTIGES

16.1 Die Bestimmungen der Nutzungsbedingungen betreffend Änderungen, die gesamte Vereinbarung, Teilbarkeit, geltendes Recht und zuständige Gerichte sind auf diesen Datenverarbeitungszusatz anwendbar. Bei Widersprüchen oder Unstimmigkeiten zwischen diesem Datenverarbeitungszusatz und den EU-Standardvertragsklauseln, sofern zutreffend, haben die EU-Standardvertragsklauseln Vorrang.

A. LISTE DER PARTEIEN

1) Datenexporteur:

• Name: Kunde, wie im Vertrag und dem entsprechenden Bestellformular angegeben.
• Adresse: Die Adresse des Datenexporteurs ist im Vertrag und dem entsprechenden Bestellformular angegeben.
• Name, Position und Kontaktdaten der Kontaktperson: Die Kontaktdaten der Kontaktperson für den Datenexporteur sind im Vertrag, dem entsprechenden Bestellformular (und, falls zutreffend, im Admin-Portal des Kunden) angegeben.
• Aktivitäten, die für die übertragenen Daten relevant sind: Die Aktivitäten, die für die im Rahmen dieser EU-Standardvertragsklauseln übertragenen Daten relevant sind, sind im Abschnitt B „Beschreibung der Verarbeitung/Übertragung“ weiter unten beschrieben.
• Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des entsprechenden Bestellformulars gilt der Datenexporteur als diesen Anhang I unterzeichnet zu haben.
• Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

2) Datenimporteur:

• Name: Nitro Software Inc.
• Adresse: 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
• Name, Position und Kontaktdaten der Kontaktperson: privacy@gonitro.com, Nitro Software Inc. 447 Sutter St, STE 405 #1015, San Francisco, CA 94108, Vereinigte Staaten.
• Aktivitäten, die für die übertragenen Daten relevant sind: Die Aktivitäten, die für die im Rahmen dieser EU-Standardvertrags-klauseln übertragenen Daten relevant sind, sind im Abschnitt B „Beschreibung der Verarbeitung/Übertragung“ weiter unten beschrieben.
• Unterschrift und Datum: Durch die Unterzeichnung oder Annahme des entsprechenden Bestellformulars gilt der Datenimporteur als diesen Anhang I unterzeichnet zu haben.
• Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter

B. BESCHREIBUNG DER VERARBEITUNG/ÜBERTRAGUNG

1)  GEGENSTAND DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN

Der Gegenstand wird vom Kunden festgelegt, wie im Vertrag und dem entsprechenden Bestellformular angegeben.

2)  DIE ART UND DER ZWECK DER VERARBEITUNG PERSONENBEZOGENER DATEN

Die Art und der Zweck der Verarbeitung werden vom Kunden festgelegt, wie im Vertrag und dem entsprechenden Bestellformular angegeben.

Standardmäßig soll die Verarbeitung dazu dienen, die Dienstleistungen einschließlich aller Funktionen und Merkmale dem Kunden und dessen Nutzern zur Verfügung zu stellen und allgemein zu ermöglichen, dass Nitro seine vertraglichen Verpflichtungen aus dem Vertrag erfüllt. Zu diesem Zweck kann es sein, dass die Cloud-Dienste zur Verfügung gestellt werden (zum Beispiel, jedoch nicht beschränkt auf, die Bereitstellung des Kunden-Cloud-Portals, elektronischer Signaturdienste, Analyse-Dienste usw.) sowie die Bereitstellung von Support.

Die Art der Verarbeitung umfasst unter anderem die vom Kunden im Vertrag und dem entsprechenden Bestellformular gegebenen Anweisungen die Verarbeitung, Sammlung, Speicherung, Kommunikation und Übertragung personenbezogener Daten.

3)  VERARBEITETE PERSONENBEZOGENE DATEN

Je nach den innerhalb der Dienste genutzten Funktionen (z.B. Admin-Portal, elektronische Signaturdienste, Analyse-Dienste usw.) und dem Inhalt der vom Kunden und seinen Nutzern in den Dienst hochgeladenen Kundendaten verarbeitet Nitro unterschiedliche Arten von personenbezogenen Daten.

Im Allgemeinen umfassen die von Nitro verarbeiteten personenbezogenen Daten ohne Einschränkung:

• Identifikationsmerkmale (zum Beispiel Nutzer- und Nutzungsdetails)
• Dokumentdaten (zum Beispiel personenbezogene Daten, die in bearbeiteten PDF-Dokumenten enthalten sind)

Eine detaillierte Übersicht über die Art der personenbezogenen Daten, die bei der Nutzung der Dienstleistungen verarbeitet werden, ist im Trust-Center von Nitro verfügbar: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data

4)  SENSIBLE DATEN

Der Datenexporteur kann sensible personenbezogene Daten gemäß Abschnitt 5.3 dieses Datenverarbeitungszusatzes in den personenbezogenen Daten enthalten. Übertragene sensible Daten (sofern zutreffend) und angegebene Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strenge Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich nur für geschultes Personal) sowie die Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für die Weiterübertragung oder zusätzliche Sicherheitsmaßnahmen: Hierbei wird auf die in den Details zur Datenverarbeitung aufgeführten oder genannten TOMs verwiesen.

5)  KATEGORIE DER BETROFFENEN PERSONEN

Die folgenden Kategorien von betroffenen Personen sind standardmäßig im Umfang:

• Alle Nutzer, die Zugang zu den Dienstleistungen haben (dazu zählen Admin-Nutzer, allgemeine Nutzer oder eingeladene Nutzer wie Unterzeichner).
• Alle betroffenen Personen, die in die Kundendaten aufgenommen wurden, die vom Kunden oder seinen Nutzern in die Dienstleistungen hochgeladen wurden.

Der Kunde bestätigt, dass diese betroffenen Personen grundsätzlich zu einer der folgenden Kategorien gehören:

• Personal des Kunden
• Kunden des Kunden
• Interessenten des Kunden
• Lieferanten des Kunden

6) UNTERAUFTRAGVERARBEITER

Nitro beauftragt Unterauftragsverarbeiter, um sicherzustellen, dass alle Funktionen innerhalb der Dienstleistungen verfügbar sind. Welche Unterauftragsverarbeiter anwendbar sind, hängt von den genutzten Dienstleistungen und den vom Kunden angeforderten Funktionen und der Konfiguration ab. Eine detaillierte Liste der von Nitro eingesetzten Unterauftragsverarbeiter (einschließlich des Verfahrens, das wir bei der Beauftragung neuer Unterauftragsverarbeiter anwenden) ist über unser Trust-Center verfügbar: https://www.gonitro.com/trust-center/data-protection/subprocessors-and-subcontractors

7) TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (TOMs)

Nitro implementiert geeignete technische und organisatorische Maßnahmen, um angemessene Sicherheit bei der Nutzung der Dienstleistungen zu gewährleisten. Wir aktualisieren diese Maßnahmen kontinuierlich. Eine detaillierte Übersicht über die ergriffenen Maßnahmen ist in unserem Trust-Center im Bereich Sicherheit erhältlich: https://www.gonitro.com/trust-center/security und in unserer Informationssicherheitspolitik. Unser Trust-Center listet auch die Zertifizierungen auf, die Nitro im Bereich Compliance erhält: https://www.gonitro.com/trust-center/compliance.

8) AUFBEWAHRUNGSDAUER

Nitro wird personenbezogene Daten nicht länger speichern als notwendig für die Bereitstellung der Dienstleistungen. Abhängig von den Dienstleistungen und den Funktionen, die Sie als Kunde nutzen, können die geltenden Aufbewahrungsfristen unterschiedlich sein. Jeder Kunde kann Nitro bitten, spezifische Aufbewahrungsfristen in seiner Umgebung zu konfigurieren (soweit dies technisch möglich ist).

Falls keine spezifischen Aufbewahrungsfristen konfiguriert wurden, werden personenbezogene Daten standardmäßig von Nitro bis zur Löschung durch den Kunden oder bis zur Beendigung des Vertrages zwischen Nitro und dem Kunden (zuzüglich maximal 30 Tage) gespeichert, wobei der zuerst eintretende Zustand gilt. Eine detaillierte Übersicht über die Aufbewahrungsfristen ist in unserem Trust-Center verfügbar: https://www.gonitro.com/trust-center/data-protection/processing-of-personal-data.

9) FREQUENZ DER INTERNATIONALEN ÜBERTRAGUNGEN

Fortlaufend, wenn erforderlich, um die Dienstleistungen dem Kunden bereitzustellen.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 der EU-Standardvertragsklauseln: Die zuständige Aufsichtsbehörde ist die für den Kunden zuständige Aufsichtsbehörde (oder gegebenenfalls diejenige, die für den Vertreter des Kunden zuständig ist).