Inhalte springen
Legal: Banner with Media - Background

Privacy 

HINWEIS: Diese Übersetzung wurde automatisch erstellt und dient nur zur Bequemlichkeit. Diese automatisch generierte Übersetzung ist nicht mit der Qualität einer menschlichen Übersetzung vergleichbar und kann Fehler enthalten. Diese Übersetzung wird „WIE BESEHEN“ bereitgestellt und ohne jegliche Gewähr für die Genauigkeit, Vollständigkeit oder Zuverlässigkeit der Übersetzung. Im Falle von Abweichungen zwischen der englischen Version dieses Vertrags und der in eine Fremdsprache übersetzten Version ist nur die englische Version gültig.

DATENVERARBEITUNGSANHANG

Dieser Datenverarbeitungsanhang („ DPA “) ist Teil des zwischen Sophos und dem Kunden geschlossenen Vertrags über die Bereitstellung bestimmter Produkte und/oder Dienstleistungen durch Sophos an den Kunden („ Hauptvertrag “). Sofern nicht anders definiert, haben alle großgeschriebenen Begriffe die in Abschnitt 1 unten angegebenen Bedeutungen.

1. DEFINITIONEN

1.1 In diesem DPA haben die folgenden Begriffe die folgenden Bedeutungen:

Affiliate “ bezeichnet in Bezug auf jede Partei ein verbundenes Unternehmen, das diese Partei kontrolliert, von dieser kontrolliert wird oder unter gemeinsamer Kontrolle mit dieser Partei steht. Für die Zwecke dieser Definition bedeutet „ Kontrolle “ den wirtschaftlichen Besitz von mehr als fünfzig Prozent (50%) der Stimmrechte oder des Eigenkapitals in einer Einheit oder das vertragliche oder rechtliche Recht, die Geschäftsführung dieser Einheit zu leiten;

Anwendbare Datenschutzgesetze “ bezeichnet alle Gesetze und Vorschriften, die für die Verarbeitung von personenbezogenen Daten des Verantwortlichen gemäß dem Hauptvertrag gelten, einschließlich, wo relevant, der DSGVO, des britischen Datenschutzgesetzes und des CCPA;

Begünstigter “ hat die Bedeutung, die ihm im MSP-Vertrag zugewiesen wird;

CCPA “ bezeichnet das kalifornische Gesetz über den Datenschutz von Verbrauchern, geändert durch das kalifornische Gesetz über Datenschutzrechte von 2020, kodifiziert in Cal. Civ. Code §§ 1798.100 - 1798.199.100 und die dazu erlassenen Vorschriften des kalifornischen Gesetzes über den Datenschutz von Verbrauchern, Cal. Code Regs. tit. 11, div. 6, ch. 1, jeweils geändert;

Verantwortlicher “ bedeutet entweder: (a) der Kunde, wenn der Kunde ein Endbenutzer ist; (b) der Begünstigte, wenn der Kunde ein MSP ist; oder (c) der Endkunde, wenn der Kunde ein OEM ist;

Personenbezogene Daten des Verantwortlichen “ bezeichnet die personenbezogenen Daten, die Sophos im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Dienstleistungen verarbeitet;

Customer “ bedeutet: (1) der Managed Service Provider oder der Managed Security Service Provider (jeweils als „ MSP “ bezeichnet), wenn der Hauptvertrag zwischen Sophos und einem MSP („ MSP Agreement “) besteht, (2) der Originalgerätehersteller („ OEM “), wenn der Hauptvertrag mit einem OEM besteht, der berechtigt ist, Sophos-Produkte in Kombination mit seinen Produkten als Teil einer gebündelten Einheit an Dritte zu vertreiben, unterlizenzieren oder verfügbar zu machen („ OEM Agreement “); (3) der Endbenutzer („ End User “), wenn der Hauptvertrag direkt mit dem Kunden besteht;

Data Subject “ bedeutet die Person, auf die sich die Controller personenbezogenen Daten bezieht;

Data Subject Requests “ bedeutet alle Anfragen von betroffenen Personen, die Rechte gemäß den anwendbaren Datenschutzgesetzen ausüben;

EEA“ bedeutet den Europäischen Wirtschaftsraum, einschließlich der Mitgliedstaaten der Europäischen Union;

End Customer “ hat die Bedeutung, die ihm im OEM-Vertrag zugewiesen wird;

EU SCCs “ bedeutet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, genehmigt durch den Durchführungsbeschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021;

GDPR “ bedeutet die Datenschutz-Grundverordnung (EU) 2016/679, die von Zeit zu Zeit geändert wird;

Personal Data “ bedeutet „personenbezogene Daten“ oder „persönliche Informationen“, wie diese Begriffe in den anwendbaren Datenschutzgesetzen definiert sind, und umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare Person oder einen Haushalt beziehen;

Personal Data Breach “ bedeutet eine Sicherheitsverletzung (außer verursacht durch den Kunden oder dessen Benutzer), die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf die personenbezogenen Daten des Controllers führt;

Processor “ bedeutet eine Person oder Einheit, die personenbezogene Daten im Auftrag und nach den Anweisungen eines Controllers verarbeitet, einschließlich jeder Einheit, die als „Dienstanbieter“ gemäß dem CCPA handelt;

Restricted Transfer “ bedeutet eine Übermittlung personenbezogener Daten in ein Drittland, bei der eine solche Übermittlung gemäß dem europäischen Datenschutzrecht in Abwesenheit geeigneter Übermittlungsmechanismen, wie z. B. verbindlichen Unternehmensregeln oder Standardvertragsklauseln, verboten wäre;

Services “ bedeutet alle Produkte, die von Sophos gemäß dem Hauptvertrag bereitgestellt werden und/oder Dienstleistungen, die von Sophos erbracht werden;

Sophos “ bedeutet die Sophos-Einheit, die als Vertragspartner von Sophos im Hauptvertrag identifiziert ist;

Standard Contractual Clauses“ oder „SCCs“ bedeutet: (i) wo die GDPR auf einen Restricted Transfer anwendbar ist, die EU SCCs; (ii) wo das britische Datenschutzrecht auf einen Restricted Transfer anwendbar ist, das UK Addendum; und (iii) wo das Schweizer DPA auf einen Restricted Transfer anwendbar ist, die Schweizer SCCs;

Sub-Processor “ bedeutet jede Einheit, die von Sophos ernannt wird, um Datenverarbeitungsaktivitäten im Zusammenhang mit den personenbezogenen Daten des Controllers durchzuführen;

Supervisory Authority “ bedeutet die zuständige Aufsichtsbehörde in Bezug auf die anwendbaren Datenschutzgesetze, einschließlich, wo anwendbar, einer Aufsichtsbehörde, wie sie in der GDPR definiert ist;

Schweizer DPA“ bedeutet das Schweizer Datenschutzgesetz vom 25. September 2020, das von Zeit zu Zeit geändert wird;

Schweizer SCCs“ bedeutet die anwendbaren Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten an Drittländer, die vom Schweizer Bundesbeauftragten für Datenschutz und Informationssicherheit („FDPIC“) herausgegeben, genehmigt oder anderweitig anerkannt wurden;

Drittland“ bedeutet ein Land außerhalb des EWR, des Vereinigten Königreichs („UK“) oder der Schweiz, das von der Europäischen Kommission oder einer gleichwertigen Stelle oder Person in der Schweiz oder im Vereinigten Königreich nicht als ein Land bezeichnet wurde, das ein angemessenes Schutzniveau gemäß den Datenschutzgesetzen des EWR, des Vereinigten Königreichs oder der Schweiz gewährleistet („Europäisches Datenschutzrecht“);

UK Addendum“ bedeutet das International Data Transfer Addendum zu den EU SCCs, das vom Informationsbeauftragten des Vereinigten Königreichs herausgegeben und am 2. Februar 2022 dem Parlament gemäß Section 119A des Datenschutzgesetzes von 2018 vorgelegt wurde;

UK Datenschutzrecht“ bedeutet das Datenschutzgesetz des Vereinigten Königreichs von 2018 und die DSGVO, die durch Abschnitt 3 des Gesetzes über den Austritt des Vereinigten Königreichs aus der Europäischen Union von 2018 in das Recht des Vereinigten Königreichs übernommen wurde, jeweils von Zeit zu Zeit geändert.

1.2. In diesem DPA haben die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“ und „Verarbeitung“ (und deren Ableitungen) die in den anwendbaren Datenschutzgesetzen festgelegten Bedeutungen.

1.3. Die in diesem DPA nicht anders definierten Begriffe haben die Bedeutung, die ihnen im Hauptvertrag zugewiesen wird.

2. GELTUNGSBEREICH

2.1. Dieses DPA gilt, wenn Sophos personenbezogene Daten des Verantwortlichen im Auftrag des Kunden im Rahmen der Bereitstellung der Dienstleistungen verarbeitet. Gegenstand und Dauer der Verarbeitung personenbezogener Daten des Verantwortlichen durch Sophos, die Art und der Zweck der Verarbeitung, die Arten der zu verarbeitenden personenbezogenen Daten des Verantwortlichen und die Kategorien der betroffenen Personen sind wie folgt beschrieben: (a) dieses DPA; (b) der Hauptvertrag; (c) Anhang 1 (Details zur Datenverarbeitung); und (d) die Anweisungen des Kunden, die gemäß Abschnitt 4 unten erteilt wurden.

2.2. Der Kunde ist dafür verantwortlich, sicherzustellen, dass der Verantwortliche (a) eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten des Verantwortlichen durch Sophos im Auftrag des Kunden hat, (b) alle erforderlichen Mitteilungen bereitgestellt und alle notwendigen Einwilligungen für die Verarbeitung personenbezogener Daten des Verantwortlichen durch Sophos eingeholt hat; und (c) anderweitig mit den anwendbaren Datenschutzgesetzen konform ist und sicherstellt, dass seine Anweisungen an Sophos für die Verarbeitung personenbezogener Daten des Verantwortlichen in allen Belangen mit den anwendbaren Datenschutzgesetzen übereinstimmen.

2.3. Die Parteien vereinbaren, dass Sophos in Bezug auf personenbezogene Daten des Verantwortlichen ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist und der Kunde entweder (a) der Verantwortliche ist, wenn der Kunde ein Endbenutzer ist, oder (b) ein Auftragsverarbeiter für den Begünstigten oder den Endkunden, wenn der Kunde ein MSP oder OEM ist.

3. KUNDENANWEISUNGEN

3.1. Der Kunde weist Sophos an, die personenbezogenen Daten des Verantwortlichen in dem Maße zu verarbeiten, wie es zur Bereitstellung und Durchführung der Dienstleistungen angemessen erforderlich ist, und wie es anderweitig in diesem DPA und dem Hauptvertrag festgelegt ist („Kundenanweisungen“). Sophos wird die personenbezogenen Daten des Verantwortlichen gemäß den Kundenanweisungen verarbeiten, es sei denn (a) es wurde schriftlich etwas anderes zwischen Sophos und dem Kunden vereinbart; oder (b) wie es ein Gesetz, dem Sophos unterliegt, erfordert (in diesem Fall wird Sophos den Kunden vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dieses Gesetz verbietet die Bereitstellung solcher Informationen aus wichtigen Gründen des öffentlichen Interesses). Wenn der Kunde als Auftragsverarbeiter in Bezug auf personenbezogene Daten des Verantwortlichen handelt, wird der Kunde sicherstellen, dass die Kundenanweisungen von dem relevanten Verantwortlichen autorisiert wurden und nicht im Widerspruch zu Anweisungen stehen, die von diesem Verantwortlichen erteilt wurden.

3.2. Wenn Sophos Kenntnis davon erlangt, dass die Kundenanweisungen gegen die anwendbaren Datenschutzgesetze verstoßen, wird es den Kunden umgehend darüber informieren und die

3.3. Ohne die vorstehenden Bestimmungen einzuschränken, stimmt Sophos, soweit das CCPA auf die personenbezogenen Daten des Verantwortlichen anwendbar ist, ferner zu, dass:

  1. Sophos wird personenbezogene Daten des Verantwortlichen nicht verwenden, offenlegen oder anderweitig verarbeiten, außer zu dem spezifischen Geschäftszweck, die Dienstleistungen gemäß den Bedingungen dieses DPA und des Hauptvertrags zu erbringen, und wie es die geltenden Gesetze anderweitig zulassen;
  2. Sophos kann Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten des Verantwortlichen engagieren, vorbehaltlich der Bestimmungen von Abschnitt 7, und ein solches Engagement gilt nicht als Verkauf personenbezogener Daten des Verantwortlichen;
  3. Sophos wird personenbezogene Daten des Verantwortlichen nicht außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Sophos oder für die eigenen kommerziellen Zwecke von Sophos verarbeiten;
  4. Sophos wird keine personenbezogenen Daten des Verantwortlichen „teilen“ oder „verkaufen“ (wie diese Begriffe im CCPA definiert sind);
  5. Sophos wird seinen Verpflichtungen gemäß dem CCPA nachkommen und den gleichen Datenschutz bieten, der vom CCPA gefordert wird;
  6. Wenn Sophos der Ansicht ist, dass es nicht in der Lage sein wird, die Bedingungen des CCPA einzuhalten, wird Sophos den Kunden umgehend benachrichtigen und dem Kunden das Recht einräumen, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass die personenbezogenen Daten des Verantwortlichen in einer Weise verarbeitet werden, die mit den Verpflichtungen des Verantwortlichen gemäß dem CCPA übereinstimmt;
  7. Sophos wird personenbezogene Daten des Verantwortlichen nach Ablauf oder Beendigung des Hauptvertrags nicht aufbewahren, es sei denn, dies ist in Abschnitt 4.6 festgelegt.

3.4. Sophos bestätigt, dass es die in Abschnitt 3.3 festgelegten Verpflichtungen versteht und einhalten wird.

4. SOPHOS VERPFLICHTUNGEN

4.1. Zusammenarbeit. Unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Verantwortlichen wird Sophos dem Kunden (oder, falls der Kunde ein MSP oder OEM ist, dem Verantwortlichen) angemessene Unterstützung bieten, um: (i) auf Anfragen von betroffenen Personen zu reagieren, die ihre Rechte gemäß den geltenden Datenschutzgesetzen ausüben (einschließlich der Benachrichtigung des Kunden, wenn er eine solche Anfrage erhält, vorausgesetzt, dass er nicht selbst antwortet, es sei denn, er wurde vom Kunden dazu autorisiert), (ii) Datenschutz-Folgenabschätzungen oder andere Bewertungen durchzuführen, die gemäß den geltenden Datenschutzgesetzen erforderlich sind; und (iii) mit Aufsichtsbehörden zu konsultieren und zusammenzuarbeiten, wie es die geltenden Datenschutzgesetze erfordern. Sophos behält sich das Recht vor, für eine solche Unterstützung Gebühren zu erheben, wenn die Kosten für die Unterstützung einen nominalen Betrag überschreiten.

4.2. Anfragen Dritter. Sofern gesetzlich nicht verboten, wird Sophos den Kunden über jede Datenschutzanfrage, Korrespondenz, Anfrage oder Beschwerde informieren, die es von einer Aufsichtsbehörde, einer gerichtlichen Behörde oder einer Strafverfolgungsbehörde im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Verantwortlichen erhält ("Anfrage Dritter"), und vollständige Einzelheiten dazu bereitstellen. Sophos wird nicht direkt auf die Anfrage Dritter antworten, es sei denn (1) auf schriftliche Anweisung des Kunden oder (2) wie es die geltenden Gesetze vorschreiben.

4.3. Vertraulichkeit. Alle Mitarbeiter von Sophos, die die personenbezogenen Daten des Verantwortlichen verarbeiten, werden angemessen in Bezug auf ihre Datenschutz-, Sicherheits- und Vertraulichkeitsverpflichtungen geschult und unterliegen schriftlichen oder gesetzlichen Vertraulichkeitsverpflichtungen.

4.4. Sicherheit. Sophos wird angemessene technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist, und um die personenbezogenen Daten des Verantwortlichen vor einem Verstoß gegen personenbezogene Daten zu schützen. Solche Maßnahmen werden den Stand der Technik, die Kosten der Umsetzung sowie die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie das Risiko unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen berücksichtigen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist. Insbesondere umfassen die von Sophos ergriffenen Maßnahmen diejenigen, die in Anhang 2 dieser DPA beschrieben sind.

4.5. Verletzung personenbezogener Daten. Nach Bestätigung des Auftretens einer Verletzung personenbezogener Daten wird Sophos den Kunden ohne unangemessene Verzögerung informieren und alle rechtzeitig erforderlichen Informationen und Kooperationen bereitstellen, die der Kunde vernünftigerweise benötigt, um seinen Meldepflichten bei Datenverletzungen gemäß (und in Übereinstimmung mit den erforderlichen Fristen) dem anwendbaren Datenschutzrecht nachzukommen. Sophos wird ferner Maßnahmen und Handlungen ergreifen, die vernünftigerweise erforderlich sind, um die Auswirkungen der Verletzung personenbezogener Daten zu beheben oder zu mindern, und wird den Kunden über Entwicklungen im Zusammenhang mit der Verletzung personenbezogener Daten informieren.

4.6 Ende der Dienstleistungen. Am Ende der Erbringung der Dienstleistungen oder auf schriftliche Anfrage des Kunden wird Sophos die personenbezogenen Daten des Verantwortlichen innerhalb einer angemessenen Frist nach dem Ende der Dienstleistungen oder der Anfrage löschen, es sei denn, das anwendbare Recht verlangt etwas anderes oder es ist erforderlich, um gerichtlichen oder Compliance-Anforderungen nachzukommen. Wenn Sophos verpflichtet ist, personenbezogene Daten des Verantwortlichen aufzubewahren, wird Sophos Schritte unternehmen, um die fortdauernde Vertraulichkeit und Sicherheit der personenbezogenen Daten des Verantwortlichen so lange zu gewährleisten, wie sie aufbewahrt werden.

5. PRÜFRECHTE DES KUNDEN

5.1. Der Kunde erkennt an, dass Sophos über eine ISO 27001-Zertifizierung verfügt und regelmäßig von unabhängigen Dritten gemäß den SSAE 18 SOC 2-Standards geprüft wird. Auf begründete Anfrage wird Sophos dem Kunden eine Kopie seines SOC 2-Prüfberichts zur Verfügung stellen, der den Vertraulichkeitsbestimmungen des Hauptvertrags als vertrauliche Information von Sophos unterliegt. Die ISO 27001-Zertifizierung von Sophos ist öffentlich über das Sophos Trust Centre unter https://www.sophos.com/de-de/trust/business-certifications verfügbar. Sophos wird auch auf angemessene schriftliche Prüfungsfragen, die der Kunde an ihn richtet, antworten, vorausgesetzt, der Kunde wird dieses Recht nicht mehr als einmal pro Jahr ausüben.

5.2. Wenn der Kunde nach angemessener Auffassung der Meinung ist, dass die in Abschnitt 5.1 bereitgestellten Materialien unzureichend sind, um die Einhaltung dieser DPA durch Sophos nachzuweisen, kann der Kunde schriftlich anfordern, dass Sophos dem Kunden alle Informationen zur Verfügung stellt, die vernünftigerweise erforderlich sind, um die Einhaltung der in dieser DPA festgelegten Verpflichtungen nachzuweisen, und Prüfungen, einschließlich Inspektionen, durch den Kunden oder einen unabhängigen externen Prüfer des Kunden zuzulassen und zu unterstützen, stets unter Berücksichtigung der folgenden Bestimmungen :

  1. Vor der Beantragung einer Überprüfung oder Prüfung gemäß diesem Abschnitt 5.2 wird der Kunde die relevanten Drittanbieter-Zertifizierungen und Prüfungen von Sophos gemäß Abschnitt 5.1 berücksichtigen;
  2. Der Kunde wird Sophos mindestens 30 Tage im Voraus eine angemessene schriftliche Mitteilung über eine Anfrage zur Durchführung einer Prüfung oder Inspektion gemäß diesem Abschnitt 5.2 geben, indem er den vorgeschlagenen Umfang, die Dauer und das Startdatum der Prüfung bereitstellt;
  3. Wenn ein Drittanbieterprüfer die Prüfung durchführt, muss dieser Drittanbieterprüfer ein seriöser und gut etablierter Fachmann oder eine Firma sein, die angemessenen Vertraulichkeitsverpflichtungen unterliegt und kein Wettbewerber von Sophos ist;
  4. Der Kunde wird (und wird sicherstellen, dass seine Prüfer) eine solche Prüfung oder Inspektion während der normalen Geschäftszeiten von Sophos mit minimalen Störungen der Geschäftstätigkeiten durchführen;
  5. Eine Prüfung oder Inspektion wird nicht mehr als einmal jährlich durchgeführt, es sei denn, dies ist von einer Aufsichtsbehörde oder geltenden Datenschutzgesetzen erforderlich;
  6. Der Kunde (oder seine Prüfer, je nach Fall) hat keinen Zugang zu anderen Kunden von Sophos (und deren Informationen);
  7. Es sei denn, die Prüfung oder Inspektion zeigt ein Versäumnis von Sophos auf, seinen wesentlichen Verpflichtungen aus dieser DPA nachzukommen, hat der Kunde Sophos die angemessenen Kosten und Auslagen zu erstatten, die Sophos entstanden sind, einschließlich aller Gebühren für die von Sophos, seinen Mitarbeitern und seinen professionellen Beratern aufgewendete Zeit;
  8. Der Kunde hat Sophos eine Kopie des Prüfberichts zur Verfügung zu stellen, der im Zusammenhang mit einer Prüfung gemäß diesem Abschnitt 5.2 erstellt wurde, es sei denn, dies ist durch geltendes Recht untersagt;
  9. Informationen, die aus der Prüfung oder Inspektion gewonnen werden, müssen als vertrauliche Informationen von Sophos betrachtet werden.

6. UNTERAUFTRAGNEHMER

6.1. Sophos ist allgemein berechtigt , die Unterauftragnehmer, die aufgeführt sind unter https://www.sophos.com/de-de/legal/sub-processor (“Liste der Unterauftragnehmer”), sowie Sophos-Tochtergesellschaften. Sophos kann zusätzliche Unterauftragnehmer (jeweils ein „Neuer Unterauftragnehmer”) unter den in diesem Abschnitt 6 festgelegten Bedingungen beauftragen.

6.2. Sophos wird den Kunden über jede beabsichtigte Hinzufügung neuer Unterauftragnehmer informieren, indem die Einzelheiten dieser Hinzufügung in die Liste der Unterauftragnehmer eingestellt, dem Kunden eine E-Mail gesendet oder eine Mitteilung im Produkt bereitgestellt wird. Der Kunde erkennt an, dass jede dieser Benachrichtigungsmethoden eine Mitteilung für die Zwecke dieses Abschnitts darstellt.

6.3. Wenn der Kunde innerhalb von 30 Tagen nach dieser Mitteilung schriftlich gegen die Ernennung eines neuen Unterauftragnehmers durch Sophos (aus angemessenen Gründen, die den Schutz personenbezogener Daten des Verantwortlichen betreffen) keinen Widerspruch erhebt, gilt der Kunde als mit diesem neuen Unterauftragnehmer einverstanden. Wenn der Kunde Widerspruch einlegt, werden die Parteien angemessene Anstrengungen unternehmen, um innerhalb der folgenden dreißig (30) Tage alternative Vereinbarungen zu treffen. Wenn die Parteien innerhalb des genannten Zeitrahmens keine Einigung erzielen können, kann der Kunde wählen, den Teil der Dienstleistungen, der von dem neuen Unterauftragnehmer betroffen ist, durch schriftliche Mitteilung an Sophos mit einer Frist von dreißig (30) Tagen zu kündigen, und Sophos wird eine anteilige Rückerstattung oder Gutschrift aller im Voraus gezahlten Gebühren für den Zeitraum nach der Kündigung genehmigen.

6.4. Sophos wird den Unterauftragnehmern Datenschutzanforderungen auferlegen, die im Wesentlichen den in dieser DPA vorgesehenen Anforderungen entsprechen. Sophos bleibt voll verantwortlich für die Erfüllung der Verpflichtungen jedes Unterauftragnehmers.

6.5. Wenn die Beauftragung von Unterauftragnehmern einen eingeschränkten Transfer personenbezogener Daten des Verantwortlichen erfordert, wird Sophos angemessene Übertragungsmechanismen implementieren und aufrechterhalten, um die Einhaltung der geltenden Datenschutzgesetze sicherzustellen.

7. INTERNATIONALE DATENÜBERTRAGUNGEN

7.1. Bestimmte Produkte ermöglichen es dem Kunden, auszuwählen, wo die personenbezogenen Daten des Verantwortlichen für diese Produkte gehostet werden, einschließlich in Rechenzentren, die sich möglicherweise außerhalb der Gerichtsbarkeit befinden, in der die Daten stammen. Diese Standorte können (a) den Europäischen Wirtschaftsraum, (b) das Vereinigte Königreich, (c) die Vereinigten Staaten von Amerika oder einen anderen Standort, der im Hauptvertrag angegeben werden kann, umfassen („Zentraler Speicherort“). Für diese Produkte erfolgt die Auswahl durch den Kunden zum Zeitpunkt der Produktinstallation, der Kontoerstellung oder der ersten Nutzung des betreffenden Produkts. Sobald der zentrale Speicherort vom Kunden ausgewählt wurde, kann dieser zu einem späteren Zeitpunkt nicht mehr geändert werden.

7.2. Der Kunde stimmt hiermit zu, dass, unabhängig vom ausgewählten zentralen Speicherort (sofern relevant), Sophos personenbezogene Daten des Verantwortlichen international übertragen kann, vorbehaltlich der Einhaltung der geltenden Datenschutzgesetze und der Bestimmungen dieser DPA. Wenn die Übertragung eine eingeschränkte Übertragung ist, wird Sophos angemessene Übertragungsmechanismen implementieren und aufrechterhalten, wie Standardvertragsklauseln, um die Einhaltung der europäischen Datenschutzgesetze sicherzustellen.

7.3. Soweit eingeschränkte Übertragungen stattfinden vom Kunden an Sophos:

  1. Die Standardvertragsklauseln sind hiermit ausdrücklich durch Verweis einbezogen und sind Teil dieser DPA; und
  2. Für die Zwecke der Standardvertragsklauseln:
    1. In Bezug auf die personenbezogenen Daten des Verantwortlichen ist der Kunde der Datenexporteur und Sophos der Datenimporteur und ein Auftragsverarbeiter.
    2. Wenn der Kunde der Verantwortliche ist, gilt Modul 2 der Standardvertragsklauseln, vorbehaltlich der Bedingungen von Anhang 3. Wenn der Kunde ein Auftragsverarbeiter ist, der im Auftrag des Verantwortlichen handelt, gilt Modul 3 der Standardvertragsklauseln, vorbehaltlich der Bedingungen von Anhang 3.
    3. Die Unterschrift und Datierung der Parteien im Hauptvertrag wird als Unterschrift und Datierung der Standardvertragsklauseln angesehen. 

8. DAUER

8.1. Diese DPA tritt in Kraft bei (a) der Unterzeichnung des Hauptvertrags durch beide Parteien oder (b) dem Datum, an dem der Hauptvertrag wirksam wird, falls später, und bleibt bis zum früheren der folgenden Zeitpunkte in Kraft: (i) das Ende des Rechts des Kunden zur Nutzung und zum Erhalt der Dienstleistungen, wie im Hauptvertrag oder in einer damit verbundenen Lizenzberechtigung angegeben; und (ii) die Beendigung des Hauptvertrags.

9. ANDERE VORSCHRIFTEN

9.1. Änderungen dieser DPA sind nur gültig, wenn sie schriftlich erfolgen und von oder im Namen jeder Partei unterzeichnet werden.

9.2. In keinem Fall darf die Haftung von Sophos gegenüber dem Kunden, die aus oder im Zusammenhang mit dieser DPA entsteht, die von Sophos im Hauptvertrag festgelegten Haftungsbeschränkungen überschreiten. Die Haftungsbeschränkungen von Sophos, wie im Hauptvertrag festgelegt, gelten insgesamt sowohl für den Hauptvertrag als auch für diese DPA, sodass ein einzelnes Haftungsregime sowohl für den Hauptvertrag als auch für diese DPA gilt.

9.3. Diese DPA (ausgenommen die SCCs) unterliegt den Gesetzen von England und Wales und ist nach diesen auszulegen, ohne Rücksicht auf die Grundsätze des internationalen Privatrechts. Soweit dies nach geltendem Recht zulässig ist, haben die Gerichte von England die ausschließliche Zuständigkeit zur Entscheidung über Streitigkeiten oder Ansprüche, die aus oder im Zusammenhang mit dieser DPA entstehen können.

9.4. Die Hauptvereinbarung, diese DPA und die in der Hauptvereinbarung und dieser DPA ausdrücklich genannten Dokumente stellen die gesamte Vereinbarung zwischen den Parteien in Bezug auf die von Sophos im Zusammenhang mit der Hauptvereinbarung gesammelten, verarbeiteten und verwendeten personenbezogenen Daten dar und ersetzen alle vorherigen Vereinbarungen, Regelungen und Verständnisse zwischen den Parteien zu diesem Thema.

9.5. Im Falle eines Konflikts zwischen den Bedingungen dieser DPA und den Bedingungen etwaiger von den Parteien abgeschlossener SCCs haben die Bedingungen der anwendbaren SCCs (einschließlich aller Anhänge dazu) Vorrang.

10. ÄNDERUNGEN DES RECHTS

10.1. Wenn eine Änderung dieser DPA aufgrund einer Änderung der anwendbaren Datenschutzgesetze erforderlich ist, kann jede Partei der anderen Partei schriftlich von dieser Änderung Mitteilung machen. Die Parteien werden in gutem Glauben über alle notwendigen Änderungen dieser DPA diskutieren und verhandeln, um solche Änderungen zu berücksichtigen. Die Parteien werden die Zustimmung oder Genehmigung zur Änderung dieser DPA gemäß diesem Abschnitt 10 oder anderweitig nicht unangemessen verweigern.

LISTE DER ANLAGEN

Anlage 1: DETAILS DER VERARBEITUNG

Anlage 2: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Anlage 3: ZUSÄTZLICHE BEDINGUNGEN FÜR EINGESCHRÄNKTE ÜBERTRAGUNGEN

Anhang (zu Anlage 3): Anhang zu den SCCs (Modul 2/Modul 3): Verantwortlicher zu Auftragsverarbeiter / Auftragsverarbeiter zu Auftragsverarbeiter

Anlage 1

BESCHREIBUNG DER VERARBEITUNG

Diese Anlage 1 beschreibt die Verarbeitung, die Sophos als Auftragsverarbeiter im Auftrag des Kunden durchführen wird.

(a) Gegenstand der Verarbeitung

Sophos bietet Dienstleistungen an, die darauf ausgelegt sind, Sicherheitsbedrohungen innerhalb oder gegen Systeme, Netzwerke, Geräte, Dateien und andere vom Kunden bereitgestellte Daten zu erkennen, zu verhindern und zu verwalten oder Sophos dabei zu unterstützen, diese Bedrohungen zu erkennen, zu verhindern und zu verwalten. Der Inhalt aller Informationen, die in diesen Systemen, Netzwerken, Geräten, Dateien und anderen Daten gespeichert sind, wird ausschließlich vom Kunden bestimmt.

(b) Art und Zweck der Verarbeitungsoperationen

  • Bereitstellung der Dienstleistungen gemäß und im Einklang mit dem Vertrag.
  • Die personenbezogenen Daten des Verantwortlichen unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten:
    Jede Operation oder Menge von Operationen, die im Rahmen der Bereitstellung der Dienstleistungen an personenbezogenen Daten oder an Mengen von personenbezogenen Daten durchgeführt wird, wie z.B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung.

(c) Dauer der Verarbeitungsoperationen :

Die personenbezogenen Daten des Verantwortlichen werden für die Dauer des Hauptvertrags und gemäß den Bestimmungen dieser DPA verarbeitet.

(d) Betroffene Personen

Die personenbezogenen Daten des Verantwortlichen betreffen die folgenden Kategorien von betroffenen Personen:

  • Personal und Endbenutzer des Verantwortlichen
  • Andere betroffene Personen, deren personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit den Dienstleistungen verarbeitet werden

(e) Arten von personenbezogenen Daten

Die personenbezogenen Daten des Verantwortlichen betreffen die folgenden Kategorien von Daten:

  • Benutzernamen und andere Identifikatoren
  • Netzwerk- und Netzwerkaktivitätsinformationen 
  • Andere Informationen, die im Zusammenhang mit den Dienstleistungen übertragen oder verarbeitet werden können

(f) Besondere Kategorien von Daten (sofern zutreffend)

Die personenbezogenen Daten des Verantwortlichen betreffen die folgenden besonderen Kategorien von Daten:

Der Inhalt aller Informationen, die in den Sophos-Systemen, -Netzwerken, -Geräten, -Dateien und anderen Daten gespeichert sind, wird ausschließlich vom Kunden bestimmt. Sofern nicht anders angegeben, sind die Dienste von Sophos nicht darauf ausgelegt, besondere Kategorien von Daten zu verarbeiten.

Anlage 2

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Diese Übersicht zur Informationssicherheit gilt für die Unternehmensrichtlinien von Sophos zum Schutz personenbezogener Daten des Verantwortlichen.

Sicherheitspraktiken und -richtlinien

Sophos verpflichtet sich, physische, technische, administrative oder organisatorische Schutzmaßnahmen zu implementieren, die den Schutz solcher personenbezogenen Daten des Verantwortlichen gegen zufällige oder rechtswidrige Zerstörung, Verlust, Zugriff oder Veränderung von Daten des Verantwortlichen in Besitz oder Kontrolle von Sophos betreffen. Sophos wird Richtlinien und Standards zum Schutz personenbezogener Daten des Verantwortlichen aufrechterhalten, die aus branchenüblichen Rahmenwerken stammen und einheitliche Sicherheits- und Datenschutzstandards für die Betriebe von Sophos festlegen.

Organisatorische Sicherheit

Es liegt in der Verantwortung der Personen in der gesamten Organisation, diese Praktiken und Standards einzuhalten. Um die Unternehmenskonformität mit diesen Praktiken und Standards zu erleichtern, bietet die Funktion der Informationssicherheit:

  1. trategie und Einhaltung von Richtlinien/Standards und Vorschriften, Bewusstsein und Schulung, Risikobewertungen und -management, Management der Sicherheitsanforderungen von Verträgen, Beratung zu Anwendungen und Infrastruktur, Sicherheitstests und Steuerung der Sicherheitsrichtung des Unternehmens;
  2. Sicherheitstests, Design und Implementierung von Sicherheitslösungen zur Ermöglichung der Einführung von Sicherheitskontrollen in der Umgebung;
  3. Sicherheitsoperationen der implementierten Sicherheitslösungen, der Umgebung und Vermögenswerte sowie das Management von Maßnahmen zur Reaktion auf Vorfälle.

Personalsicherheit

Im Rahmen des Einstellungsprozesses und vorbehaltlich des lokalen Rechts durchlaufen die Mitarbeiter einen Screening-Prozess bei der Einstellung. Die jährliche Compliance-Schulung von Sophos umfasst die Anforderung, dass Mitarbeiter einen Online-Kurs zur Informationssicherheit und zum Datenschutz absolvieren. Das Sicherheitsbewusstseinsprogramm kann auch Materialien bereitstellen, die spezifisch für bestimmte Arbeitsfunktionen sind.

Physische und Umweltsicherheit

Sophos trifft Vorkehrungen, um sicherzustellen, dass alle Systeme, die personenbezogene Daten des Verantwortlichen hosten, in einer physisch sicheren Umgebung gewartet werden, um unbefugten physischen Zugriff zu verhindern, und dass Zugangsbeschränkungen an physischen Standorten, die personenbezogene Daten des Verantwortlichen enthalten, wie Gebäude, Computeranlagen und Aufbewahrungsorte für Unterlagen, so gestaltet und umgesetzt werden, dass der Zugang nur autorisierten Personen gestattet wird und um unbefugten Zugriff, der auftreten kann, zu erkennen, einschließlich, aber nicht beschränkt auf Zugangskontrollen mit Ausweisen, Zugangsbeschränkungen zu sensiblen Bereichen, Alarmanlagen sowie Besucherregistrierung und -protokolle.

Kommunikations- und Betriebsmanagement

Sophos verwaltet Änderungen an seiner Infrastruktur, seinen Systemen und Anwendungen durch ein formelles Änderungsmanagementprogramm, das darauf ausgelegt ist, die Integrität und Sicherheit der personenbezogenen Daten des Verantwortlichen zu gewährleisten. Die Kontrollen umfassen Tests, Geschäftsfolgenanalysen und die Genehmigung durch das Management, wo dies angemessen ist. Es gibt Verfahren zur Reaktion auf Vorfälle für Sicherheits- und Datenschutzvorfälle, die die Analyse von Vorfällen, Eindämmung, Reaktion, Behebung, Berichterstattung und die Rückkehr zum Normalbetrieb umfassen können.

Um sich gegen Cyberangriffe zu schützen, können zusätzliche Kontrollen basierend auf dem Risiko implementiert werden. Solche Kontrollen können unter anderem Informationssicherheitsrichtlinien und -standards, eingeschränkten Zugang, Mehrfaktorauthentifizierung, festgelegte Entwicklungs- und Testumgebungen, Malware-Erkennung, Scannen von E-Mail- und Webverkehr, verwaltete Erkennung und Reaktion, Protokollierung und Alarmierung bei wichtigen Ereignissen, Verfahren zur Informationsverarbeitung basierend auf dem Datentyp sowie System- und Anwendungs-Schwachstellenscans umfassen.

Zugangskontrollen

Sophos hält angemessene Sicherheitsmaßnahmen und -verfahren aufrecht, um sicherzustellen, dass der Zugang zu allen Systemen, die personenbezogene Daten des Verantwortlichen hosten, durch den Einsatz von Zugangskontrollsystemen geschützt wird, die jede Person, die Zugang benötigt, eindeutig identifizieren, den Zugang nur autorisierten Personen gewähren und auf dem Prinzip der minimalen Berechtigungen basieren, unbefugten Personen den Zugang zu personenbezogenen Daten des Verantwortlichen verwehren, den Umfang des gewährten Zugangs für autorisierte Personen angemessen begrenzen und alle relevanten Zugangsereignisse protokollieren.

Kontrollen von Subunternehmern

Sophos ist verantwortlich dafür, sicherzustellen, dass seine Subunternehmer, die personenbezogene Daten des Verantwortlichen verarbeiten, Programme zur Datensicherheit aufrechterhalten, die mindestens so streng sind wie die eigenen Programme von Sophos in Bezug auf die jeweilige Dienstleistung, für die der Subunternehmer engagiert wurde, und gemäß allgemein anerkannten Branchenstandards und -praktiken. Sophos wird ein Risikomanagementprogramm aufrechterhalten, das sich auf die Identifizierung, Bewertung und Validierung der Sicherheitskontrollen eines Anbieters konzentriert.

Systementwicklung und -wartung

Öffentlich veröffentlichte Schwachstellen von Drittanbietern werden auf ihre Anwendbarkeit in der Sophos-Umgebung überprüft. Basierend auf dem Risiko für das Geschäft von Sophos und dessen Kunden gibt es vorgegebene Zeitrahmen für die Behebung. Darüber hinaus werden Schwachstellenscans und -bewertungen an neuen und wichtigen Anwendungen sowie an der Infrastruktur basierend auf dem Risiko durchgeführt. Codeüberprüfungen und Scanner werden in der Entwicklungsumgebung vor der Produktion verwendet, um proaktiv Codierungsanfälligkeiten basierend auf dem Risiko zu erkennen. Diese Prozesse ermöglichen die proaktive Identifizierung von Schwachstellen sowie die Einhaltung von Vorschriften.

Einhaltung

Die Abteilungen für Informationssicherheit, Recht, Datenschutz und Compliance arbeiten daran, regionale Gesetze und Vorschriften zu identifizieren, die für Sophos gelten. Diese Anforderungen betreffen Bereiche wie das geistige Eigentum des Unternehmens und unserer Kunden, Softwarelizenzen, den Schutz personenbezogener Daten von Mitarbeitern und Kunden, Datenschutz- und Datenverfahrensrichtlinien, grenzüberschreitende Datenübertragungen, finanzielle und betriebliche Verfahren, regulatorische Exportkontrollen im Bereich Technologie und forensische Anforderungen. Mechanismen wie das Informationssicherheitsprogramm, interne und externe Audits/Bewertungen, Konsultationen mit internen und externen Rechtsberatern, die Bewertung interner Kontrollen, interne Penetrationstests und Schwachstellenbewertungen, Vertragsmanagement, Sicherheitsbewusstsein, Sicherheitsberatung, Überprüfungen von Ausnahmen bei Richtlinien und Risikomanagement tragen dazu bei, die Einhaltung dieser Anforderungen voranzutreiben.

Anlage 3

Zusätzliche Bedingungen für eingeschränkte Übertragungen 

Diese Anlage 3 enthält zusätzliche Bedingungen, die für eingeschränkte Übertragungen gelten, sowie die Informationen, die erforderlich sind, um die Anhänge (Anlagen I – III) zu den geltenden Standardvertragsklauseln auszufüllen.

1. Wenn der Kunde ein Verantwortlicher in Bezug auf die personenbezogenen Daten des Verantwortlichen ist, gilt Modul 2 der Standardvertragsklauseln, vorbehaltlich der Bedingungen dieser Anlage 3.

2. Wenn der Kunde ein Auftragsverarbeiter ist, der im Auftrag eines Verantwortlichen in Bezug auf die personenbezogenen Daten des Verantwortlichen handelt, gilt Modul 3 der SCCs, vorbehaltlich der Bedingungen dieser Anlage 3.

3. Für die Zwecke der EU-SCCs:

3.1. Klausel 7: Die optionale Docking-Klausel findet keine Anwendung;

3.2. Klausel 9(a): Option 2 (Allgemeine Genehmigung) findet Anwendung und der Datenimporteur hat den Datenexporteur mindestens 30 Tage im Voraus schriftlich über beabsichtigte Änderungen zu informieren.

3.3. Klausel 11: Die optionale Sprache findet keine Anwendung.

3.4. Klausel 17: Die EU-SCCs unterliegen dem Recht der Republik Irland;

3.5. Klausel 18: Streitigkeiten werden vor den Gerichten der Republik Irland entschieden;

3.6. Der Anhang zu den EU-SCCs wird mit den Informationen im Anhang zu dieser Anlage 3 ausgefüllt.

4. Für die Zwecke des UK Addendum, gilt Folgendes:

4.1. Die Einzelheiten der Parteien, die für Tabelle 1 relevant sind, sind in Anlage I des Anhangs zu dieser Anlage 3 aufgeführt;

4.2. Für die Zwecke von Tabelle 2 wird das UK Addendum den EU-SCCs mit denselben Optionen und Fristen, die oben angegeben sind, angefügt;

4.3. Die in Tabelle 3 aufgeführten Anhangsinformationen werden mit den Informationen in Anhang I und Anhang II des Anhangs zu dieser Anlage 3 ausgefüllt.

5. Für die Zwecke der Schweizer SCCs gelten die EU SCCs wie folgt:

5.1. Alle Verweise in den EU SCCs auf die DSGVO sind als Verweise auf das Schweizer DSG zu interpretieren.

5.2. Verweise auf "EU", "Union", "Mitgliedstaat" und "Mitgliedstaatenrecht" sind als Verweise auf die Schweiz und das Schweizer Recht zu interpretieren, je nach Fall;

5.3. Verweise auf die "zuständige Aufsichtsbehörde" und "zuständige Gerichte" sind als Verweise auf den FDPIC und die zuständigen Gerichte in der Schweiz zu interpretieren;

5.4. Die relevanten Anhänge der Schweizer SCCs werden mit den Informationen im Anhang zu dieser Anlage 3 ausgefüllt.

Anhang zu Anlage 3 

ANHANG ZU DEN SCCS

MODUL 2 oder MODUL 3 (je nach Anwendbarkeit)

ANHANG I 

A. LISTE DER PARTEIEN

1. Datenexporteur(e):

Name:Wie im Hauptvertrag an Sophos übermittelt
Adresse:Wie im Hauptvertrag an Sophos übermittelt
Name, Position und Kontaktdaten der Kontaktperson:Wie im Hauptvertrag an Sophos übermittelt
Aktivitäten, die für die über diese SCCs übertragenen Daten relevant sind:Der Kauf von Produkten, wie im Hauptvertrag dargelegt
Rolle:Verantwortlicher (wenn der Kunde der Endnutzer ist) oder Auftragsverarbeiter
(wenn der Kunde ein MSP oder OEM ist)
Unterschrift und Datum des Datenexporteurs:Datum und Unterschrift wie im Hauptvertrag festgelegt


2. Datenimporteur(e):

Name:Sophos
Adresse:Das Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Großbritannien
Name, Position und Kontaktdaten der Kontaktperson:Datenschutzbeauftragter unter [email protected]
Aktivitäten, die für die über diese SCCs übertragenen Daten relevant sind:Die Bereitstellung von Produkten wie im Hauptvertrag festgelegt
Rolle:Auftragsverarbeiter
Unterschrift und Datum des Datenimporteurs:Datum und Unterschrift wie im Hauptvertrag festgelegt


B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden:

  • Wie in Anhang 1 festgelegt.

Kategorien von personenbezogenen Daten, die übertragen werden:

  • Wie in Anhang 1 dargelegt.

Übertragene sensible Daten (sofern zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strenge Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Protokollierung des Zugriffs auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen:

  • Wie in Anhang 1 festgelegt. Wenn sensible Daten übertragen werden, siehe Anhang 2 für angewandte Einschränkungen.

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden):

  • Kontinuierlich.

Art der Verarbeitung:

  • Wie in Anhang 1 festgelegt.

Zweck(e) der Datenübertragung und der weiteren Verarbeitung:

  • Wie in Anhang 1 festgelegt.

Der Zeitraum, in dem die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:

  • Wie in Anhang 1 festgelegt.

Für Übertragungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben:

  • Wie in Anhang 1 festgelegt.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des Mitgliedstaates, in dem der Datenexporteur ansässig ist, oder wie anderweitig gemäß der DSGVO festgelegt.

ANHANG II - TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR SICHERSTELLUNG DER DATENSICHERHEIT

Wie in Anhang 2 zur DPA dargelegt.

ANHANG III – LISTE DER UNTERAUFTRAGSVERARBEITER

Nicht anwendbar, da die Parteien einer allgemeinen Genehmigung zur Verwendung von Unterauftragsverarbeitern zugestimmt haben.


Überarbeitungsdatum: 1. Juli 2026