Data Processing Addendum

HINWEIS: Diese Übersetzung wurde automatisch generiert und dient nur der Bequemlichkeit. Diese automatisch generierte Übersetzung ist nicht mit der Qualität einer menschlichen Übersetzung vergleichbar und kann Fehler enthalten. Diese Übersetzung wird „WIE BESCHÄFTIGT“ bereitgestellt und ohne jegliche Gewährleistung bezüglich der Genauigkeit, Vollständigkeit oder Zuverlässigkeit der Übersetzung. Im Falle von Abweichungen zwischen der englischen Version dieses Vertrags und der in eine Fremdsprache übersetzten Version gilt nur die englische Version als gültig.

 

DATENVERARBEITUNGSANHANG
 

Dieser Datenverarbeitungszusatz („DPA“) ist Teil der Vereinbarung zwischen Sophos und dem Kunden über die Bereitstellung bestimmter Produkte und/oder Dienstleistungen durch Sophos an den Kunden („Hauptvertrag“) und wird ausdrücklich in diese integriert.. Sofern nicht anders definiert, haben alle Großschreibungen die in Abschnitt 1 unten angegebenen Bedeutungen.

 

DEFINITIONEN

  • 1.1. In diesem DPA haben die folgenden Begriffe die folgenden Bedeutungen:
     

    Affiliate„bedeutet in Bezug auf jede Partei eine Einheit, die diese Partei kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle steht.“ Für die Zwecke dieser Definition bedeutet „Steuerung„bedeutet die wirtschaftliche Eigentümerschaft von mehr als fünfzig Prozent (50 %) der Stimmrechte oder des Eigenkapitals einer Einheit oder das vertragliche oder rechtliche Recht, die Geschäftsführung einer solchen Einheit zu leiten;

    Anwendbare Datenschutzgesetzebedeutet alle Gesetze und Vorschriften, die für die Verarbeitung personenbezogener Daten des für die Verarbeitung Verantwortlichen gemäß der Hauptabmachung gelten, einschließlich, soweit zutreffend, der DSGVO, des britischen Datenschutzgesetzes und des CCPA

    Begünstigter„hat die in der MSP-Vereinbarung angegebene Bedeutung.“

    CCPA„bedeutet das California Consumer Privacy Act, geändert durch das California Privacy Rights Act von 2020), kodifiziert in Cal. Civ. Code §§ 1798.100 - 1798.199.100 und die dazu erlassenen Vorschriften zum California Consumer Privacy Act, Cal. Code Regs. tit. 11, div. 6, ch. 1, jeweils in der geänderten Fassung;

    Controllerbedeutet entweder: (a) der Kunde, wenn der Kunde ein Endbenutzer ist; (b) der Begünstigte, wenn der Kunde ein MSP ist; oder (c) der Endkunde, wenn der Kunde ein OEM ist;

    Steuereinheit-Persönliche Daten„bedeutet die personenbezogenen Daten, die Sophos im Auftrag des Verantwortlichen im Rahmen der Erbringung der Dienstleistungen verarbeitet;

    Kunde„bedeutet: (1) der Managed Service Provider oder der Managed Security Service Provider (jeweils als „MSP“ bezeichnet), wenn der Hauptabkommen zwischen Sophos und einem MSP („MSP-Vertrag“) besteht, (2) der Originalhersteller („OEM“), wenn das Hauptabkommen mit einem OEM geschlossen wird, der befugt ist, Sophos-Produkte in Kombination mit seinen eigenen Produkten als gebündelte Einheit an Dritte zu vertreiben, sublicenzieren oder zur Verfügung zu stellen („OEM-Vertrag“); (3) der Endbenutzer („Endbenutzer“), wenn das Hauptabkommen direkt mit dem Kunden geschlossen wird;

    Betroffene Personbedeutet die Person, auf die sich die personenbezogenen Daten des Verantwortlichen beziehen;

    Anträge der betroffenen Person„bezeichnet alle Anfragen von betroffenen Personen, die Rechte gemäß den anwendbaren Datenschutzgesetzen ausüben;

    EWR“ bedeutet den Europäischen Wirtschaftsraum, einschließlich der Mitgliedstaaten der Europäischen Union;

    Endkunde„hat die in der OEM-Vereinbarung angegebene Bedeutung;

    EU-SCC„bedeutet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die mit dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigt wurden;

    DSGVO„bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679, in der jeweils gültigen Fassung;

    Persönliche Daten„bedeutet „personenbezogene Daten“ oder „personenbezogene Informationen“, wie diese Begriffe gemäß den Anwendbaren Datenschutzgesetzen definiert sind, und umfasst alle Informationen, die sich auf eine Person beziehen. identifiziert oder identifizierbare Person oder Haushalt;

    Verletzung des Schutzes personenbezogener Daten„bedeutet eine Sicherheitsverletzung (die nicht durch den Kunden oder dessen Nutzer verursacht wurde), die zur zufälligen oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die personenbezogenen Daten des Verantwortlichen führt;

    Prozessor„bedeutet eine Person oder Einheit, die personenbezogene Daten im Namen und nach Anweisungen eines Verantwortlichen verarbeitet, einschließlich einer Einheit, die als „Dienstleister“ gemäß dem CCPA handelt;

    Begrenzter Transfer„bedeutet eine Übertragung personenbezogener Daten in ein Drittland, wenn eine solche Übertragung nach dem europäischen Datenschutzrecht ohne geeignete Übertragungsmechanismen, wie verbindliche Unternehmensregeln oder Standardvertragsklauseln, untersagt wäre;

    Dienstleistungen„bezeichnet alle Produkte, die von Sophos bereitgestellt und/oder Dienstleistungen, die von Sophos gemäß der Hauptabmachung erbracht werden;

    Sophos” bedeutet Sophos Limited, ein in England und Wales unter der Nummer 2096520 eingetragenes Unternehmen mit eingetragenem Firmensitz in The Pentagon, Abingdon, OX14 3YP, Vereinigtes Königreich;

    Standardvertragsklauseln„oder „SVC“ bedeutet: (i) wenn die DSGVO auf einen eingeschränkten Transfer anwendbar ist, die EU-SVC; (ii) wenn das britische Datenschutzrecht auf einen eingeschränkten Transfer anwendbar ist, das britische Addendum; und (iii) wenn das Schweizer Datenschutzgesetz auf einen eingeschränkten Transfer anwendbar ist, die Schweizer SVC;

    Unterauftragsverarbeiter„bedeutet jede von Sophos benannte Stelle, die mit der Datenverarbeitung betraut ist“ Aktivitäten bezogen auf die personenbezogenen Daten des Controllers;

    Aufsichtsbehörde„bedeutet die zuständige Regulierungsbehörde in Bezug auf anwendbare Datenschutzgesetze, einschließlich, falls zutreffend, einer Aufsichtsbehörde gemäß der DSGVO;

    Schweizer DPA„bedeutet das Schweizer Bundesgesetz über den Datenschutz vom 25. September 2020, in der jeweils gültigen Fassung;

    Schweizer SCCs„bedeutet die anwendbaren Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, die vom Schweizerischen Bundesbeauftragten für Datenschutz und die Informationsfreiheit („FDPIC“) ausgestellt, genehmigt oder anderweitig anerkannt wurden;

    Drittland„bedeutet ein Land außerhalb des EWR, des Vereinigten Königreichs („VK“) oder der Schweiz, das von der Europäischen Kommission oder einer gleichwertigen Stelle oder Person in der Schweiz oder im VK nicht als Land mit einem angemessenen Schutzniveau gemäß den Datenschutzgesetzen des EWR, des VK oder der Schweiz („Europäisches Datenschutzrecht”);

    UK-Addendum„bedeutet das Internationale Datenübertragungsaddendum zu den EU-Standardvertragsklauseln, das vom Informationskommissariat des Vereinigten Königreichs ausgestellt und dem Parlament gemäß § 119A des Datenschutzgesetzes von 2018 am 2. Februar 2022 vorgelegt wurde;

    “UK-Datenschutzgesetz„bedeutet das Datenschutzgesetz des Vereinigten Königreichs von 2018 und die DSGVO, wie sie durch Abschnitt 3 des Gesetzes des Vereinigten Königreichs über die Europäische Union (Austritt) von 2018 in das Recht des Vereinigten Königreichs übernommen wurden, jeweils in ihrer jeweils geltenden Fassung.

  • 1.2. In dieser DPA haben die Kleinbuchstaben „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“ und „Verarbeitung“ (und Ableitungen davon) die in den Anwendbaren Datenschutzgesetzen angegebenen Bedeutungen.
  • 1.3. Großgeschriebene Begriffe, die in dieser DPA nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in der Hauptabmachung zugeschrieben wird.
     

2. UMFANG
 

  • 2.1. Diese DPA gilt, wenn Sophos im Rahmen der Bereitstellung der Dienste personenbezogene Daten des Verantwortlichen im Namen des Kunden verarbeitet. Der Gegenstand und die Dauer der Verarbeitung personenbezogener Daten des Verantwortlichen durch Sophos, die Art und der Zweck der Verarbeitung, die Arten der zu verarbeitenden personenbezogenen Daten des Verantwortlichen und die Kategorien der betroffenen Personen werden in folgenden Dokumenten beschrieben: (a) dieser DPA; (b) der Hauptabkommen; (c) Anlage 1 (Einzelheiten zur Datenverarbeitung); und (d) die Anweisungen des Kunden, die gemäß Abschnitt 4 unten erteilt wurden.
  • 2.2. Der Kunde ist dafür verantwortlich, dass der Verantwortliche (a) eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten des Verantwortlichen hat, die von Sophos im Auftrag des Kunden durchgeführt wird, und (b) alle erforderlichen Einwilligungen der betroffenen Personen eingeholt hat, die für die Verarbeitung personenbezogener Daten des Verantwortlichen durch den Kunden und Sophos erforderlich sein könnten; und (c) anderweitig den geltenden Datenschutzgesetzen entspricht und sicherstellt, dass seine Anweisungen an Sophos zur Verarbeitung personenbezogener Daten des Verantwortlichen in jeder Hinsicht den geltenden Datenschutzgesetzen entsprechen.
  • 2.3. Die Parteien sind sich einig, dass Sophos in Bezug auf personenbezogene Daten des Verantwortlichen ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist und der Kunde entweder (a) der Verantwortliche ist, wenn der Kunde ein Endnutzer ist, oder (b) ein Auftragsverarbeiter für den Begünstigten oder den Endkunden ist, wenn der Kunde ein MSP oder OEM ist.
     

3. ANWEISUNGEN DES KUNDEN

  • 3.1. Der Kunde beauftragt Sophos mit der Verarbeitung der Daten des Verantwortlichen, soweit dies zum Zwecke der Bereitstellung und Durchführung der Dienstleistungen und wie in dieser DPA und dem Hauptabkommen anderweitig festgelegt, angemessen erforderlich ist („Kundenanweisungen”). Sophos verarbeitet die personenbezogenen Daten des Verantwortlichen gemäß den Anweisungen des Kunden, es sei denn (a) es wurde zwischen Sophos und dem Kunden eine andere schriftliche Vereinbarung getroffen; oder (b) dies ist gesetzlich vorgeschrieben (in einem solchen Fall wird Sophos den Kunden über diese rechtliche Verpflichtung informieren, bevor die Verarbeitung erfolgt, es sei denn, das Gesetz verbietet die Offenlegung dieser Informationen aus wichtigen Gründen des öffentlichen Interesses). Wenn der Kunde in Bezug auf die personenbezogenen Daten des Verantwortlichen als Auftragsverarbeiter auftritt, stellt der Kunde sicher, dass die Anweisungen des Kunden vom jeweiligen Verantwortlichen genehmigt wurden und nicht im Widerspruch zu Anweisungen stehen, die von diesem Verantwortlichen erteilt wurden.
  • 3.2. Wenn Sophos Kenntnis davon erlangt, dass die Anweisungen des Kunden gegen die geltenden Datenschutzgesetze verstoßen, wird es den Kunden unverzüglich darüber informieren und die Verarbeitung der personenbezogenen Daten des Verantwortlichen aussetzen.
  • 3.3. Ohne Einschränkung des Vorangegangenen, in dem Umfang, in dem die CCPA auf die personenbezogenen Daten des Verantwortlichen anwendbar ist, Sophos stimmt ferner zu, dass:
    • a. Sophos die personenbezogenen Daten des Verantwortlichen nicht für andere als den spezifischen Geschäftszweck der Erbringung der Dienstleistungen gemäß den Bedingungen dieser DPA und des Hauptabkommens und nicht anderweitig autorisiert durch anwendbare Gesetze verwenden, offenlegen oder anderweitig verarbeiten wird;
    • b. Sophos kann Unterauftragsverarbeiter zur Verarbeitung der personenbezogenen Daten des Verantwortlichen einsetzen, vorbehaltlich der Bedingungen in Abschnitt 7, und diese Beauftragung wird nicht als Verkauf der personenbezogenen Daten des Verantwortlichen angesehen;
    • c. Sophos wird die personenbezogenen Daten des Verantwortlichen nicht außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Sophos oder für eigene kommerzielle Zwecke von Sophos verarbeiten;
    • d. Sophos wird keine personenbezogenen Daten des Verantwortlichen „teilen“ oder „verkaufen“ (wie diese Begriffe im CCPA definiert sind);
    • e. Sophos wird sich daran halten mit seiner Verpflichtungen gemäß dem CCPA und wird den gleichen Datenschutz bieten, wie es der CCPA vorschreibt;
    • f. Wenn Sophos der Ansicht ist, dass es nicht in der Lage sein wird, die Bedingungen des CCPA einzuhalten, wird Sophos den Kunden unverzüglich benachrichtigen und dem Kunden das Recht einräumen, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass die personenbezogenen Daten des Verantwortlichen in einer Weise verarbeitet werden, die mit den Anforderungen des CCPA vereinbar ist. mit den Verpflichtungen des Verantwortlichen unter die CCPA;
    • g. Sophos wird die personenbezogenen Daten des Verantwortlichen nach Ablauf oder Beendigung des Hauptabkommens nicht mehr speichern, es sei denn, dies ist in Abschnitt 4.6 festgelegt.
  • 3.4. Sophos bestätigt, dass es die in Abschnitt 3.3 dargelegten Verpflichtungen versteht und einhalten wird.

     

4. VERPFLICHTUNGEN VON SOPHOS

  • 4.1. Zusammenarbeit. Unter Berücksichtigung der Art der Verarbeitung der personenbezogenen Daten des Verantwortlichen wird Sophos dem Kunden (oder, wenn der Kunde ein MSP oder OEM ist, dem Verantwortlichen) angemessene Unterstützung bieten, soweit dies notwendig ist, um: (i) auf Anfragen von betroffenen Personen zu reagieren, die ihre Rechte gemäß den anwendbaren Datenschutzgesetzen ausüben (einschließlich der Benachrichtigung des Kunden, wenn solche Anfragen eingehen, sofern es nicht selbst antwortet, es sei denn, der Kunde hat dies genehmigt), (ii) Datenschutz-Folgenabschätzungen oder andere Bewertungen durchzuführen, die gemäß den anwendbaren Datenschutzgesetzen erforderlich sind; und (iii) sich mit den Aufsichtsbehörden zu beraten und zusammenzuarbeiten, wie es die anwendbaren Datenschutzgesetze vorschreiben. Sophos behält sich das Recht vor, Eine Gebühr für eine solche Unterstützung erheben, wenn die Kosten für die Unterstützung einen geringen Betrag überschreiten.
  • 4.2. Anfragen von Dritten. Sofern gesetzlich nicht verboten, wird Sophos den Kunden über alle Datenschutzanfragen, Korrespondenzen, Anfragen oder Beschwerden informieren, die es von einer Aufsichtsbehörde, einer Justizbehörde oder einer Strafverfolgungsbehörde im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Verantwortlichen erhält („Anfrage von Drittanbietern”), wobei alle Details angegeben werden. Sophos wird nicht direkt auf die Anfrage eines Dritten antworten, es sei denn (1) auf schriftliche Anweisung des Kunden oder (2) wie von den anwendbaren Gesetzen vorgeschrieben.  
  • 4.3. Vertraulichkeit. Alle Mitarbeiter von Sophos, die die personenbezogenen Daten des Verantwortlichen verarbeiten, sind angemessen in Bezug auf ihre Verpflichtungen zum Datenschutz, zur Sicherheit und zur Vertraulichkeit geschult und unterliegen schriftlichen oder gesetzlichen Vertraulichkeitsverpflichtungen.
  • 4.4. Sicherheit. Sophos wird geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten und die personenbezogenen Daten des Verantwortlichen vor einem Verstoß gegen den Datenschutz zu schützen. Diese Maßnahmen berücksichtigen den aktuellen Stand der Technik, die Implementierungskosten und die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das Risiko unterschiedlicher Eintrittswahrscheinlichkeiten und Schweregrade für die Rechte und Freiheiten natürlicher Personen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Insbesondere umfassen die von Sophos ergriffenen Maßnahmen die in Anlage 2 dieser DPA beschriebenen Maßnahmen.
  • 4.5. Verletzung des Schutzes personenbezogener Daten. Nach Bestätigung des Auftretens eines Verstoßes gegen den Datenschutz informiert Sophos den Kunden unverzüglich und stellt alle zeitnahen Informationen und die Zusammenarbeit bereit, die der Kunde zum Zwecke der Erfüllung seiner Meldepflichten gemäß den anwendbaren Datenschutzgesetzen (und in Übereinstimmung mit den von diesen Gesetzen geforderten Zeitvorgaben) vernünftigerweise verlangen kann, damit der Kunde (und, wenn der Kunde ein MSP oder OEM ist, sein Verantwortlicher) seine Meldepflichten im Zusammenhang mit dem Verstoß gegen den Datenschutz erfüllen kann. Sophos wird ferner die angemessenen Maßnahmen ergreifen, die erforderlich sind, um die Auswirkungen des Verstoßes gegen den Datenschutz zu beheben oder zu mildern, und den Kunden über die Entwicklungen im Zusammenhang mit dem Verstoß gegen den Datenschutz auf dem Laufenden halten.
  • 4.6. Ende der Dienstleistungen. Am Ende der Bereitstellung der Dienstleistungen oder auf schriftliche Anfrage des Kunden, wird Sophos die personenbezogenen Daten des Verantwortlichen innerhalb einer angemessenen Frist nach dem Ende der Dienstleistungen oder der Anfragelöschen, es sei denn, dies ist aufgrund anwendbarer Gesetze oder zur Einhaltung gerichtlicher oder aufsichtsrechtlicher Anforderungen erforderlich. Wenn Sophos verpflichtet ist, personenbezogene Daten des Verantwortlichen zu speichern, wird Sophos Maßnahmen ergreifen, um die fortgesetzte Vertraulichkeit und Sicherheit der personenbezogenen Daten des Verantwortlichen so lange zu gewährleisten, wie sie gespeichert werden.

5. PRÜFUNGSRÄCHTE DES KUNDEN

  • 5.1. Der Kunde erkennt an, dass Sophos regelmäßig von unabhängigen externen Prüfern gemäß den SSAE 18 SOC 2-Standards geprüft wird. Auf angemessene Anfrage wird Sophos dem Kunden eine Kopie seines SOC 2-Prüfberichts zur Verfügung stellen, wobei diese Berichte den Vertraulichkeitsbestimmungen des Hauptabkommens als vertrauliche Informationen von Sophos unterliegen. Sophos wird auch auf angemessene schriftliche Prüfungsfragen des Kunden antworten, sofern der Kunde dieses Recht nicht mehr als einmal pro Jahr ausübt.
  • 5.2. Wenn der Kunde nach vernünftiger Ansicht der Ansicht ist, dass die gemäß Abschnitt 5.1 bereitgestellten Materialien nicht ausreichen, um die Einhaltung dieser DPA durch Sophos nachzuweisen, kann der Kunde schriftlich beantragen, dass Sophos dem Kunden alle Informationen zur Verfügung stellt, die vernünftigerweise notwendig sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen, und Audits, einschließlich Inspektionen, durch den Kunden oder den unabhängigen externen Prüfer des Kunden ermöglicht und unterstützt, vorbehaltlich stets der folgenden Bestimmungen:
    • h. Bevor der Kunde eine Überprüfung oder ein Audit gemäß diesem Abschnitt 5.2 anfordert, wird er die relevanten Drittanbieter-Zertifizierungen und -Audits berücksichtigen, die unter Abschnitt 5.1 beschrieben sind;
    • i. Der Kunde wird Sophos angemessene Frist, mindestens 30 Tage im Voraus, für eine Anfrage zur Durchführung einer Prüfung oder Inspektion gemäß diesem Abschnitt 5.2, mitteilen. Angabe des vorgeschlagenen Umfangs, der Dauer und des Startdatums der Prüfung;
    • j. wenn ein Drittanbieter-Auditor das Audit durchführt, muss dieser ein renommierter und gut etablierter Fachmann oder eine Firma sein, angemessenen Vertraulichkeitsverpflichtungen unterliegen und kein Konkurrent des Anbieters sein;
    • a. Der Kunde wird (und stellt sicher, dass seine Prüfer dies tun) ein solches Audit oder eine solche Inspektion während der normalen Geschäftszeiten von Sophos durchführen, um die Geschäftsaktivitäten so wenig wie möglich zu stören;
    • b. ein Audit oder eine Inspektion wird nicht häufiger als einmal jährlich durchgeführt, es sei denn, dies ist von einer Aufsichtsbehörde oder den geltenden Datenschutzgesetzen gefordert;
    • c. Der Kunde (oder seine Prüfer, je nach Fall) hat keinen Zugriff auf andere Kunden von Sophos (und deren Informationen);
    • d. außer wenn bei der Prüfung oder Inspektion ein Verstoß von Sophos gegen seine wesentlichen Verpflichtungen aus dieser DPA festgestellt wird, hat der Kunde Sophos für angemessene Kosten und Ausgaben zu erstatten, einschließlich aller Gebühren für die von Sophos, seinem Personal und seinen professionellen Beratern aufgewendete Zeit;
    • e. Der Kunde wird Sophos eine Kopie jedes Prüfberichts zur Verfügung stellen, der im Zusammenhang mit einem Audit erstellt wurde, das gemäß diesem Abschnitt 5.2 durchgeführt wurde, es sei denn, dies ist durch anwendbares Recht verboten;
    • f. Informationen, die aus dem Audit oder der Inspektion gewonnen wurden, müssen als vertrauliche Informationen von Sophos betrachtet werden.

6. UNTERAUFTRAGENNERIVERFÜHRER

  • 6.1. Sophos ist allgemein ermächtigt die  Teilverarbeiter zu verwenden, die aufgeführt sind unterhttps://www.sophos.com/en-us/legal/sub-processor(“Liste der Teilverarbeiter“), sowie die verbundenen Unternehmen von Sophos. Sophos kann zusätzliche Unterauftragsverarbeiter (jeder ein „Neuer Unterauftragsverarbeiter”) vorbehaltlich der in diesem Abschnitt 6 dargelegten Bedingungen.
  • 6.2. Sophos wird den Kunden über jede geplante Hinzufügung eines neuen Unterauftragsverarbeiters informieren, indem es die Details dieser Hinzufügung in der Liste der Unterauftragsverarbeiter veröffentlicht und dem Kunden eine E-Mail sendet.
  • 6.3. Wenn der Kunde innerhalb von 30 Tagen nach dieser Benachrichtigung nicht schriftlich gegen die Bestellung eines neuen Unterauftragsverarbeiters durch Sophos Einspruch erhebt (aus vernünftigen Gründen, die sich auf den Schutz der personenbezogenen Daten des Verantwortlichen beziehen), gilt dies als Zustimmung des Kunden zu diesem neuen Unterauftragsverarbeiter. Wenn der Kunde Einspruch erhebt, werden die Parteien angemessene Anstrengungen unternehmen, um innerhalb der folgenden dreißig (30) Tage alternative Vereinbarungen zu treffen. Wenn die Parteien innerhalb dieses Zeitrahmens keine Einigung erzielen können, kann der Kunde beschließen, den Teil der Dienstleistungen, der vom neuen Subprozessor betroffen ist, zu beenden, indem er Sophos eine schriftliche Mitteilung von dreißig (30) Tagen vorlegt, und Sophos genehmigt eine anteilige Rückerstattung oder Gutschrift für alle im Voraus bezahlten Gebühren für den nach der Kündigung verbleibenden Zeitraum.
  • 6.4. Sophos wird an Unterauftragsverarbeiter Datenschutzanforderungen stellen, die im Wesentlichen den in dieser DPA vorgesehenen Anforderungen entsprechen. Sophos bleibt für die Erfüllung der Verpflichtungen jedes Unterauftragsverarbeiters voll verantwortlich.
  • 6.5. Wenn die Einbindung von Unterauftragsverarbeitern einen eingeschränkten Transfer von Daten des Verantwortlichen erfordert, ist Sophos wird geeignete Übertragungsmechanismen implementieren und aufrechterhalten, um die Einhaltung der geltenden Datenschutzgesetze sicherzustellen.

7. INTERNATIONALE DATÜBERTRAGUNGEN

  • 7.1. Bestimmte Produkte ermöglichen es dem Kunden, den Speicherort der Daten des Verantwortlichen für diese Produkte auszuwählen, einschließlich in Rechenzentren, die sich außerhalb der Gerichtsbarkeit befinden könnten, in der die Daten ihren Ursprung haben. Zu diesen Standorten können gehören: (a) der Europäische Wirtschaftsraum, (b) das Vereinigte Königreich, (c) die Vereinigten Staaten von Amerika oder ein anderer Standort, der in der Hauptabmachung („Main Agreement“) angegeben sein kann.Zentrale Speicherort”). Für diese Produkte wird die Auswahl vom Kunden zum Zeitpunkt der Produktinstallation, Kontoeröffnung oder der ersten Nutzung des jeweiligen Produkts getroffen. Sobald der Kunde eine Auswahl getroffen hat, kann der zentrale Speicherort zu einem späteren Zeitpunkt nicht mehr geändert werden.
  • 7.2. Der Kunde stimmt hiermit zu, dass Sophos, unabhängig von der ausgewählten zentralen Speicherungsorte (falls zutreffend), personenbezogene Daten des Verantwortlichen international übertragen darf, vorbehaltlich der Einhaltung von anwendbare Datenschutzgesetze und die Bestimmungen dieser DPA. Wenn es sich bei der Übertragung um eine eingeschränkte Übertragung handelt, wird Sophos Implementieren und pflegen Sie geeignete Übertragungsmechanismen, wie z. B. Standardvertragsklauseln, um die Einhaltung der europäischen Datenschutzgesetze sicherzustellen.
  • 7.3. Soweit es sich um eingeschränkte Überweisungen handelt finden statt von die Kunde an Sophos:
    • 7.3.1. Die Standardvertragsklauseln werden hiermit ausdrücklich durch Verweis eingefügt und sind Teil dieser DPA; und
    • 7.3.2. Für die Zwecke der Standardvertragsklauseln:
      • 7.3.2.1. Hinsichtlich der personenbezogenen Daten des Verantwortlichen ist der Kunde der Datenexporteur und Sophos der Datenimporteur und ein Auftragsverarbeiter.
      • 7.3.2.2. Wenn der Kunde der Verantwortliche ist, gelten Modul 2 der Standardvertragsklauseln, vorbehaltlich der Bedingungen in Anlage 4. Wenn der Kunde ein Auftragsverarbeiter ist, der im Namen des Verantwortlichen handelt, gelten Modul 3 der Standardvertragsklauseln, vorbehaltlich der Bedingungen in Anlage 4.
      • 7.3.2.3. Die Unterzeichnung und das Datum der Hauptvereinbarung durch die Parteien gelten als Unterzeichnung und Datum der Standardvertragsklauseln.  

8. DURCHZUG

  • 8.1. Diese DPA tritt in Kraft, wenn (a) beide Parteien die Hauptvereinbarung unterzeichnen oder (b) das Datum, an dem die Hauptvereinbarung wirksam wird, wenn dies später ist, und endet mit dem früheren der folgenden Ereignisse: (i) dem Ablauf des Rechts des Kunden, die Dienste zu nutzen und zu erhalten, wie in der Hauptvereinbarung oder in einem verbundenen Lizenzrecht angegeben; und (ii) der Beendigung der Hauptvereinbarung.

9. ANDERER RECHTSAKT

  • 9.1. Jede Änderung dieser DPA ist nur dann gültig, wenn sie schriftlich erfolgt und von oder im Namen beider Parteien unterzeichnet ist.
  • 9.2. Die Haftung von Sophos gegenüber dem Kunden im Zusammenhang mit jeglichen Problemen, die aus oder im Zusammenhang mit dieser DPA entstehen, überschreitet in keinem Fall die Haftungsbeschränkungen von Sophos, die in der Hauptabmachung festgelegt sind. Die Haftungsbeschränkungen von Sophos, wie in der Hauptabmachung festgelegt, gelten kumulativ sowohl für die Hauptabmachung als auch für diese DPA, sodass ein einziges Haftungsbeschränkungsregime sowohl für die Hauptabmachung als auch für diese DPA gilt.
  • 9.3. Diese DPA (mit Ausnahme der SCCs) unterliegt den Gesetzen von England und Wales und wird in Übereinstimmung mit diesen ausgelegt, ohne Rücksicht auf Kollisionsnormen. Soweit nach geltendem Recht zulässig, sind die Gerichte von England ausschließlich für die Entscheidung jeglicher Streitigkeiten oder Ansprüche zuständig, die aus, unter oder im Zusammenhang mit dieser DPA entstehen können.
  • 9.4. Die Hauptabmachung, diese DPA und die Dokumente, auf die in der Hauptabmachung und dieser DPA ausdrücklich verwiesen wird, stellen die gesamte Vereinbarung zwischen den Parteien in Bezug auf personenbezogene Daten dar, die von Sophos im Zusammenhang mit der Hauptabmachung erhoben, verarbeitet und verwendet werden, und ersetzen alle vorherigen Vereinbarungen, Abmachungen und Verständigungen zwischen den Parteien in Bezug auf diesen Gegenstand.
  • 9.5. Soweit es zu einem Konflikt mit den Bedingungen dieser DPA und den Bedingungen jeglicher von den Parteien geschlossener SCCs kommt, haben die Bedingungen der anwendbaren SCCs (einschließlich aller Anhänge dazu) Vorrang.

10. ÄNDERUNGEN IM RECHT

  • 10.1. Wenn aufgrund einer Änderung der anwendbaren Datenschutzgesetze eine Änderung dieser DPA erforderlich ist, kann jede Partei der anderen Partei eine schriftliche Mitteilung über diese Änderung zukommen lassen. Die Parteien werden alle erforderlichen Änderungen an dieser DPA in gutem Glauben erörtern und aushandeln, um diese Änderungen zu berücksichtigen. Die Parteien werden ihre Zustimmung oder Genehmigung zu einer Änderung dieser DPA gemäß diesem Abschnitt 10 oder anderweitig nicht ohne triftigen Grund verweigern.

     

ANLAGEVERZEICHNIS

Anhang 1: DETAILS DER VERARBEITUNG 

Anhang 2: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN 

Anhang 3: ZUSÄTZLICHE BEDINGUNGEN FÜR EINGESCHRÄNKTE ÜBERMITTLUNGEN

Anlage (zu Anlage 3): Anhang zu den SCCs (Modul 2/Modul 3): Controller-zu-Verarbeiter/Verarbeiter-zu-Verarbeiter

 

Anlage 1

BESCHREIBUNG DER VERARBEITUNG

Diese Anlage 1 beschreibt die Verarbeitung, die Sophos als Verarbeiter im Auftrag des Kunden durchführt.

(a) Gegenstand der Verarbeitung

Sophos bietet Dienstleistungen an, die darauf ausgelegt sind, Sicherheitsbedrohungen innerhalb oder gegen Systeme, Netzwerke, Geräte, Dateien und andere vom Kunden bereitgestellte Daten zu erkennen, zu verhindern und zu verwalten oder Sophos bei der Erkennung, Verhinderung und Verwaltung von Sicherheitsbedrohungen zu unterstützen. Der Inhalt der in diesen Systemen, Netzwerken, Geräten, Dateien und anderen Daten gespeicherten Informationen wird ausschließlich vom Kunden bestimmt.

(b) Art und Zweck der Verarbeitungstätigkeiten

  • Bereitstellung der Dienstleistungen im Rahmen und gemäß der Vereinbarung.
  • Die personenbezogenen Daten des für die Verarbeitung Verantwortlichen unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten: Jede Operation oder Reihe von Operationen, die an personenbezogenen Daten oder an Datensätzen personenbezogener Daten im Rahmen der Bereitstellung der Dienstleistungen durchgeführt werden, wie Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Vernichtung.

(c) Dauer der Verarbeitungstätigkeiten:

Der Datenverantwortliche verarbeitet personenbezogene Daten für die Dauer des Hauptvertrags und in Übereinstimmung mit den Bestimmungen dieser DPA.
 

 (d) Betroffene Personen

Die personenbezogenen Daten des für die Verarbeitung Verantwortlichen betreffen die folgenden Kategorien von Betroffenen:

  • Personal und Endnutzer des für die Verarbeitung Verantwortlichen  
  • Andere Betroffene, deren personenbezogene Daten im Namen des für die Verarbeitung Verantwortlichen im Zusammenhang mit den Dienstleistungen verarbeitet werden

(e) Arten personenbezogener Daten

Die Daten des für die Verarbeitung Verantwortlichen umfassen die folgenden Datenkategorien:

  • Benutzernamen und andere Kennungen
  • Informationen zu Netzwerken und Netzwerkaktivitäten
  • Weitere Informationen, die im Zusammenhang mit den Diensten übermittelt oder verarbeitet werden können

(f) Besondere Datenkategorien (falls zutreffend)

Die Daten des für die Verarbeitung Verantwortlichen umfassen die folgenden besonderen Datenkategorien:

Der Inhalt aller in Sophos-Systemen, -Netzwerken, -Geräten, -Dateien und anderen Daten gespeicherten Informationen wird ausschließlich vom Kunden bestimmt. Sofern nicht anders angegeben, sind die Dienste von Sophos nicht darauf ausgelegt, besondere Datenkategorien zu verarbeiten.

Anlage 2

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Dieser Überblick zur Informationssicherheit gilt für die Unternehmensrichtlinien von Sophos zum Schutz der Daten des für die Verarbeitung Verantwortlichen.

 

Sicherheitsrichtlinien und -praktiken

Sophos verpflichtet sich, physische, technische, administrative oder organisatorische Sicherheitsmaßnahmen zu implementieren, die sich auf den Schutz personenbezogener Daten des Verantwortlichen gegen zufällige oder unrechtmäßige Zerstörung, Verlust, Zugriff oder Änderung von Daten des Verantwortlichen in Besitz oder Kontrolle von Sophos beziehen.  Sophos wird Richtlinien und Standards für den Schutz personenbezogener Daten des Verantwortlichen aufrechterhalten, die aus Branchenstandard-Frameworks stammen und einheitliche Sicherheits- und Datenschutzstandards für die Geschäftstätigkeit von Sophos festlegen.  

 

Organisatorische Sicherheit

Es liegt in der Verantwortung der Personen in der Organisation, sich an diese Praktiken und Standards zu halten. Um die Einhaltung dieser Praktiken und Standards in der Organisation zu erleichtern, bietet die Funktion der Informationssicherheit:

1. Strategie und Einhaltung von Richtlinien/Standards und Vorschriften, Sensibilisierung und Schulung, Risikobewertungen und -management, Management von Vertrags-Sicherheitsanforderungen, Anwendungs- und Infrastrukturberatung, Assurance-Tests und treibt die Sicherheitsrichtung des Unternehmens voran;

2. Sicherheitstests, Entwurf und Implementierung von Sicherheitslösungen, um die Übernahme von Sicherheitskontrollen in der gesamten Umgebung zu ermöglichen;

3. Sicherheitsbetrieb von implementierten Sicherheitslösungen, der Umgebung und den Vermögenswerten sowie das Management von Vorfallsreaktionsaktivitäten;

 

Personalsicherheit

Im Rahmen des Einstellungsprozesses und vorbehaltlich der lokalen Gesetze durchlaufen die Mitarbeiter bei der Einstellung einen Überprüfungsprozess. Die jährliche Compliance-Schulung von Sophos umfasst die Anforderung, dass die Mitarbeiter einen Online-Kurs über Informationssicherheit und Datenschutz absolvieren. Das Programm zur Sensibilisierung für Sicherheit kann auch Materialien enthalten, die speziell für bestimmte Funktionen entwickelt wurden.

 

Physische und Umweltsicherheit

Sophos ergreift Vorkehrungen, um sicherzustellen, dass alle Systeme, auf denen personenbezogene Daten des für die Verarbeitung Verantwortlichen gespeichert sind, in einer physisch sicheren Umgebung gewartet werden, um unbefugten physischen Zugriff zu verhindern, und dass Zugangsbeschränkungen an physischen Standorten, an denen personenbezogene Daten des für die Verarbeitung Verantwortlichen gespeichert sind, wie Gebäude, EDV-Anlagen und Aufbewahrungseinrichtungen für Aufzeichnungen, so gestaltet und implementiert sind, dass nur berechtigte Personen Zugang erhalten und dass jeder unbefugte Zugriff, der auftreten könnte, einschließlich, aber nicht beschränkt auf Zutrittskontrollen mit Ausweisen, Zugangsbeschränkungen zu sensiblen Bereichen, Alarmsystemen der Einrichtung sowie Besucherregistrierung und -protokolle, erkannt wird.

 

Kommunikations- und Betriebsmanagement

Sophos verwaltet Änderungen an seiner Infrastruktur, seinen Systemen und Anwendungen über ein formelles Change-Management-Programm, das darauf ausgelegt ist, die Integrität und Sicherheit der personenbezogenen Daten des für die Verarbeitung Verantwortlichen zu gewährleisten. Zu den Kontrollen gehören Tests, Geschäftsauswirkungsanalysen und gegebenenfalls die Genehmigung durch das Management. Es gibt Verfahren zur Reaktion auf Vorfälle im Zusammenhang mit Sicherheit und Datenschutz, die eine Vorfallanalyse, Eindämmung, Reaktion, Abhilfe, Berichterstattung und die Rückkehr zum normalen Betrieb umfassen können.

Zum Schutz vor Cyberangriffen können zusätzliche Kontrollen basierend auf dem Risiko implementiert werden. Zu diesen Kontrollen können gehören, aber nicht beschränkt sein auf, Richtlinien und Standards für die Informationssicherheit, eingeschränkter Zugang, Multifaktor-Authentifizierung, ausgewiesene Entwicklungs- und Testumgebungen, Malware-Erkennung; Scannen von E-Mail- und Webverkehr; verwaltete Erkennung und Reaktion, Protokollierung und Alarmierung bei wichtigen Ereignissen, Verfahren zur Handhabung von Informationen basierend auf dem Datentyp sowie System- und Anwendungsschwachstellen-Scan.

 

Zugriffskontrollen

Sophos hält angemessene Sicherheitsmaßnahmen und -verfahren bereit, um sicherzustellen, dass der Zugriff auf alle Systeme, die personenbezogene Daten des für die Verarbeitung Verantwortlichen speichern, durch den Einsatz von Zugriffskontrollsystemen geschützt wird, die jede Person, die Zugriff benötigt, eindeutig identifizieren, nur autorisierten Personen den Zugriff gewähren und gemäß dem Prinzip der geringsten Rechte verhindern, dass unbefugte Personen Zugriff auf personenbezogene Daten des für die Verarbeitung Verantwortlichen erhalten, den Umfang des jedem autorisierten Personen gewährten Zugriffs angemessen einschränken und kontrollieren und alle relevanten Zugriffsvorgänge protokollieren.

 

Kontrollen von Subunternehmern

Sophos ist dafür verantwortlich, dass seine Subunternehmer, die personenbezogene Daten des für die Verarbeitung Verantwortlichen verarbeiten, Daten-Sicherheitsprogramme unterhalten, die in Bezug auf den anwendbaren Dienst, für den ein solcher Subunternehmer beauftragt wurde, mindestens so streng sind wie die eigenen Programme von Sophos und in Übereinstimmung mit allgemein anerkannten Branchenstandards und -praktiken. Sophos unterhält ein Risikomanagementprogramm, das sich auf die Identifizierung, Bewertung und Validierung der Sicherheitskontrollen eines Anbieters konzentriert.

 

Systementwicklung und -wartung

Öffentlich veröffentlichte Schwachstellen von Drittanbietern werden auf ihre Anwendbarkeit in der Sophos-Umgebung überprüft. Basierend auf dem Risiko für das Geschäft und die Kunden von Sophos gibt es vorgegebene Zeitrahmen für die Behebung. Darüber hinaus werden anwendungsspezifische Schwachstellen-Scans und Bewertungen für neue und wichtige Anwendungen sowie die Infrastruktur basierend auf dem Risiko durchgeführt. Code-Reviews und Scanner werden in der Entwicklungsumgebung vor der Produktion verwendet, um Proaktiv Schwachstellen in der Codierung basierend auf dem Risiko zu erkennen. Diese Prozesse ermöglichen die proaktive Identifizierung von Schwachstellen sowie die Einhaltung von Vorschriften.

 

Einhaltung von Vorschriften

Die Abteilungen für Informationssicherheit, Recht, Datenschutz und Einhaltung von Vorschriften arbeiten daran, regionale Gesetze und Vorschriften zu ermitteln, die für Sophos gelten. Diese Anforderungen decken Bereiche wie das geistige Eigentum des Unternehmens und unserer Kunden, Softwarelizenzen, den Schutz personenbezogener Daten von Mitarbeitern und Kunden, Datenschutz- und Datenverarbeitungsverfahren, grenzüberschreitende Datenübermittlung, finanzielle und operative Verfahren, regulatorische Exportkontrollen im Zusammenhang mit Technologie und forensische Anforderungen ab. Mechanismen wie das Informationssicherheitsprogramm, interne und externe Audits/Bewertungen, Beratung durch interne und externe Rechtsanwälte, Bewertung interner Kontrollen, interne Penetrationstests und Schwachstellenbewertungen, Vertragsverwaltung, Sicherheitsbewusstsein, Sicherheitsberatung, Überprüfung von Ausnahmen von Richtlinien und Risikomanagement tragen dazu bei, die Einhaltung dieser Anforderungen zu gewährleisten.

 

        Anlage 3

ZUSÄTZLICHE BEDINGUNGEN FÜR EINGESCHRÄNKTE ÜBERMITTLUNGEN

Diese Anlage 3 enthält zusätzliche Bedingungen, die für eingeschränkte Übertragungen gelten, sowie die Informationen, die zur Vervollständigung der Anhänge (Anhänge I – III) zu den geltenden Standardvertragsklauseln erforderlich sind.

  1. Wenn der Kunde in Bezug auf die Daten des für die Verarbeitung Verantwortlichen als für die Verarbeitung Verantwortlicher gilt, gilt Modul 2 der Standardvertragsklauseln vorbehaltlich der Bedingungen dieses Anhangs 3.
  2. Wenn der Kunde in Bezug auf die Daten des für die Verarbeitung Verantwortlichen als Auftragsverarbeiter im Namen eines für die Verarbeitung Verantwortlichen handelt, gilt Modul 3 der Standardvertragsklauseln vorbehaltlich der Bedingungen dieses Anhangs 3.
  3. Für die Zwecke der EU-SCC:
    • 3.1. Klausel 7: Die optionale Andockklausel gilt nicht;
    • 3.2. Klausel 9(a): Option 2 (Allgemeine Ermächtigung) gilt und der Datenimporteur muss den Datenexporteur mindestens 30 Tage im Voraus von allen beabsichtigten Änderungen in schriftlicher Form benachrichtigen.
    • 3.3. Klausel 11: Die optionale Sprache gilt nicht.
    • 3.4. Klausel 17: Die EU-Standardvertragsklauseln unterliegen den Gesetzen der Republik Irland;
    • 3.5. Klausel 18: Streitigkeiten werden vor den Gerichten der Republik Irland beigelegt;
    • 3.6. Der Anhang zu den EU-Standardvertragsklauseln wird mit den Informationen im Anhang zu diesem Anhang 3 ausgefüllt.
  4. Für die Zwecke des britischen Anhangs, Folgende Regelungen gelten:
    • 4.1. Die für Tabelle 1 relevanten Angaben der Parteien sind in Anhang I des Anhangs zu diesem Anhang 3 aufgeführt;
    • 4.2. Für die Zwecke von Tabelle 2 wird das britische Addendum an die EU-SCC mit den oben genannten Optionen und Zeitplänen angehängt;
    • 4.3. Die in Tabelle 3 aufgeführten Informationen des Anhangs werden mit den Informationen in Anhang I und Anhang II des Anhangs zu diesem Anhang 3 ausgefüllt.
  5. Für die schweizerischen SCCsgelten die EU-SCCs wie folgt:
    • 5.1. Alle Verweise in den EU-SCCs auf die DSGVO sind als Verweise auf die Schweizer Datenschutzbehörde auszulegen;
    • 5.2. Verweise auf „EU“, „Union“, „Mitgliedstaat“ und „Recht des Mitgliedstaats“ sind je nach Fall als Verweise auf die Schweiz und das Schweizer Recht auszulegen;
    • 5.3. Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständigen Gerichte“ sind als Verweise auf die FDPIC und die zuständigen Gerichte in der Schweiz auszulegen;
    • 5.4. Die relevanten Anhänge der Schweizer SCCs werden mit den Informationen im Anhang zu diesem Anhang 3 ausgefüllt.

       

Anhang zu Anhang 3

ANHANG ZUM SCCS

MODUL 2 oder MODUL 3 (je nach Bedarf)

ANHANG I

A. VERTEILIGTE PARTEIEN

  1. Datenexporteur(en):  

    Name

    		Wie an Sophos im Rahmen des Hauptabkommens angegeben

    Anschrift

    		Wie an Sophos im Rahmen des Hauptabkommens angegeben
    Weitere Informationen, die zur Identifizierung der Organisation erforderlich sind Wie an Sophos im Rahmen des Hauptabkommens angegeben

    Name der Kontaktperson:

    Position:

    Kontaktdaten:

    		Wie an Sophos im Rahmen des Hauptabkommens angegeben
    Für die im Rahmen dieser SCC übertragenen Daten relevante AktivitätenDer Kauf von Produkten gemäß der Hauptvereinbarung

    Rolle

    		Verantwortlicher (wenn der Kunde der Endbenutzer ist) oder Auftragsverarbeiter (wenn der Kunde ein MSP oder OEM ist)

    Unterschrift und Datum des Datenausführers

    Datum und Unterschrift gemäß der Hauptvereinbarung

  2. Datenimporteur(en):
     

    Name

    Sophos Limited  

    Anschrift

    		The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Vereinigtes Königreich
    Weitere Informationen, die zur Identifizierung der Organisation erforderlich sind Wie in der Hauptvereinbarung definiert.

    Name der Kontaktperson:

    Position:

    Kontaktdaten:

    Datenschutzbeauftragter 

    dataprotection@sophos.com

    Für die im Rahmen dieser SCC übertragenen Daten relevante AktivitätenDie Bereitstellung von Produkten gemäß der Hauptvereinbarung

    Rolle

    Auftragsverarbeiter

    Unterschrift und Datum des Datenimporteurs: Datum und Unterschrift gemäß der Hauptvereinbarung 
     

B. BESCHREIBUNG DER ÜBERMITTLUNG

 

  • 1.1. Kategorien von Betroffenen, deren personenbezogene Daten übermittelt werden.
    Wie in Anlage 1 dargelegt.
  • 1.2. Kategorien von übertragene personenbezogene Daten.
    Wie in Anhang 1 dargelegt.

Übertragene sensible Daten (falls zutreffend) und angewendete Einschränkungen oder Sicherheitsmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie z. B. strenge Zweckbeschränkung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Protokollierung des Zugriffs auf die Daten, Einschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.

Wie in Anlage 1 dargelegt. Wenn sensible Daten übertragen werden, siehe Anhang 2 für etwaige angewendete Einschränkungen.

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Kontinuierlich.

Natur der Verarbeitung

Wie in Anlage 1 dargelegt.

Zweck(e) der Datenübertragung und der weiteren Verarbeitung

Wie in Anlage 1 dargelegt.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums herangezogen werden

Wie in Anlage 1 dargelegt.

Bei Übertragungen an (Unter-)Auftragsverarbeiter geben Sie außerdem den Gegenstand, die Art und die Dauer der Verarbeitung an

Wie in Anlage 1 dargelegt.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDEN

Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, oder wie anderweitig gemäß der DSGVO bestimmt.

ANHANG II - TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MAßNAHMEN ZUR SICHERHEIT DER DATEN

Wie in Anlage 2 zum DPA dargelegt.

ANHANG III – VERZEICHNIS DER UNTERAUFTRAGNEHMER

Nicht anwendbar, da die Parteien eine allgemeine Genehmigung für die Verwendung von Unterauftragnehmern vereinbart haben