Aktualisiert am: 16. August 2022.

 

Diese Datenübermittlungsvereinbarung („DÜV“) wird von und zwischen Celartem, Inc., handelnd unter dem Namen Extensis („Extensis“), und dem Kunden von [Extensis Online Services] („Kunde“) geschlossen, soweit der Kunde personenbezogene Daten an Extensis übermittelt oder Extensis den Zugriff auf personenbezogene Daten gestattet, die sich in einem Rechtsraum befinden, der besondere Schutzmaßnahmen für die Übermittlung von Informationen über internationale Grenzen hinweg erfordert, wie zum Beispiel der Europäische Wirtschaftsraum („EWR“).

  1. Allgemeines. Die Parteien vereinbaren, dass sie für jeden nicht unten aufgeführten Rechtsraum, der besondere Schutzmaßnahmen für die internationale Datenübermittlung vorschreibt, hiermit die EWR-Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus diesem Rechtsraum einhalten, sofern nichts anderes schriftlich vereinbart wird.
  2. Beschreibung der Verarbeitung und des Status der Parteien. In Anlage 1 ist der Status der Parteien nach dem einschlägigen Datenschutzrecht für jede für die Services relevante Verarbeitungsaktivität aufgeführt.
  3. Europäischer Wirtschaftsraum.
    1. EWR -Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln der Europäischen Union für die internationale Übermittlung aus dem Europäischen Wirtschaftsraum in Drittländer, Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021.
    2. Für die Übermittlung von Daten aus dem EWR, die nicht Gegenstand eines Angemessenheitsbeschlusses oder einer Ausnahmeregelung sind, nehmen die Parteien hiermit die EWR-Standardvertragsklauseln durch Verweis auf und erklären sich ferner mit den EWR-Standardvertragsklauseln einverstanden und an diese gebunden. Die Parteien verpflichten sich zur Auswahl der folgenden Optionen, die durch die EWR-Standardvertragsklauseln bereitgestellt werden.
      1. Controller-to-Controller-Informationen (Verantwortlicher zum Verantwortlichen) bei der internationalen Datenübermittlung
        • Klausel 11(a), Modul 1: Die Parteien wählen nicht die Option der unabhängigen Streitbeilegung.
        • Klausel 17, Modul 1: Die Parteien wählen Option 1. Die Parteien vereinbaren, dass die Gerichtsbarkeit in Irland liegt.
        • Klausel 18(b), Modul 1: Die Parteien vereinbaren, dass der Gerichtsstand die Gerichte in Irland sind.
        • Anhang I(A): Der Datenexporteur ist der Kunde und der Datenimporteur ist Extensis.
        • Anhang I(B): Die Parteien vereinbaren, dass in Liste 1 die Übermittlung beschrieben wird.
        • Anhang I(C): Die zuständige Aufsichtsbehörde ist die Data Protection Commission of Ireland.
        • Anhang II: Die Parteien vereinbaren, dass in Liste 2 die für die Übermittlung geltenden technischen und organisatorischen Maßnahmen beschrieben werden.
        • Anhang III: Die Parteien vereinbaren, dass in Liste 1 die relevanten Unterauftragsverarbeiter und ihre Rolle bei der Verarbeitung personenbezogener Daten beschrieben werden.
      2. Controller-to-Processor-Informationen (Verantwortlicher zum Auftragsverarbeiter) bei der internationalen Datenübermittlung
        • Klausel 9, Modul 2(a): Die Parteien wählen Option 2. Der Zeitraum beträgt 30 Tage.
        • Klausel 11(a), Modul 2: Die Parteien wählen nicht die Option der unabhängigen Streitbeilegung.
        • Klausel 17, Modul 2: Die Parteien wählen Option 1. Die Parteien vereinbaren, dass die Gerichtsbarkeit in Irland liegt.
        • Klausel 18, Modul 2: Die Parteien vereinbaren, dass der Gerichtsstand die Gerichte in Irland sind.
        • Anhang I(A): Der Datenexporteur ist der Kunde und der Datenimporteur ist Extensis. Der Status der Parteien als Verantwortliche oder Auftragsverarbeiter ist in Liste 1 beschrieben.
        • Anhang I(B): Die Parteien vereinbaren, dass in Liste 1 die Übermittlung beschrieben wird.
        • Anhang I(C): Die zuständige Aufsichtsbehörde ist die Data Protection Commission of Ireland.
        • Anhang II: Die Parteien vereinbaren, dass in Liste 2 die für die Übermittlung geltenden technischen und organisatorischen Maßnahmen beschrieben werden.
        • Anhang III: Die Parteien vereinbaren, dass in Liste 1 die relevanten Unterauftragsverarbeiter und ihre Rolle bei der Verarbeitung personenbezogener Daten beschrieben werden.
  4. Schweiz. Die Parteien stimmen den folgenden Änderungen an den EWR-Standardvertragsklauseln zu, damit diese auf die Übermittlung personenbezogener Daten aus der Schweiz anwendbar sind.
    • Die Parteien wenden für jegliche Datenübermittlung aus der Schweiz die Datenschutz-Grundverordnung (DSGVO) an.
    • Klausel 13 und Anhang I(C): Die zuständigen Behörden gemäß Klausel 13 und Anhang I(C) sind der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und gleichzeitig die oben genannte Behörde des EWR-Mitgliedstaats.
    • Klausel 17: Die Parteien vereinbaren, dass die Gerichtsbarkeit in [der Schweiz] liegt.
    • Klausel 18: Die Parteien vereinbaren, dass der Gerichtsstand [die Gerichte in der Schweiz] sind. Die Parteien vereinbaren, die EWR-Standardvertragsklauseln so auszulegen, dass betroffene Personen in der Schweiz ihre Rechte in Übereinstimmung mit Klausel 18(c) in der Schweiz einklagen können.
    • Die Parteien vereinbaren, die EWR-Standardvertragsklauseln so auszulegen, dass der Begriff „betroffene Personen“ auch Informationen über schweizerische juristische Personen umfasst, bis das revidierte Bundesgesetz über den Datenschutz in Kraft tritt.
  5. Vereinigtes Königreich.
    1. IDTA“ bezeichnet das vom ICO herausgegebene und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegte International Data Transfer Agreement (Internationale Datenübermittlungsvereinbarung), das vom UK Information Commissioner's Office von Zeit zu Zeit geändert wird.
    2. Für die Übermittlung von Daten aus dem Vereinigten Königreich, die nicht Gegenstand eines Angemessenheitsbeschlusses oder einer Ausnahmeregelung sind, nehmen die Parteien hiermit das IDTA durch Verweis auf und erklären sich ferner mit der Unterzeichnung dieser DÜV mit den obligatorischen Klauseln des IDTA einverstanden und an diese gebunden.
    3. Gemäß den Abschnitten 5.2 und 5.3 des IDTA vereinbaren die Parteien, dass die folgenden Informationen für die Tabellen 1–4 des IDTA relevant sind und dass durch die Änderung des Formats und des Inhalts der Tabellen keine der Parteien beabsichtigt, die angemessenen Schutzmaßnahmen (wie im IDTA definiert) zu verringern.
      • Tabelle 1: Die Angaben zu den Parteien, die wichtigsten Ansprechpartner, die Ansprechpartner der betroffenen Personen und die Unterschriften befinden sich im Unterschriftenblock der DÜV.
      • Tabelle 2:
        • Das für das IDTA geltende Recht ist das Recht von England und Wales.
        • Der primäre Ort für die Geltendmachung von Rechtsansprüchen durch die Parteien sind die Gerichte in England.
        • Die Status des Dataexporteurs und des Datenimporteurs sind in Abbildung 1 beschrieben.
        • Der Datenimporteur sichert zu und gewährleistet, dass die britische Datenschutz-Grundverordnung (DSGVO) nicht auf seine Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar ist.
        • Die Beziehung zwischen den Vereinbarungen, die die Datenschutzbedingungen zwischen den Parteien festlegen, einschließlich dieses Abschnitts, der DÜV und der Vereinbarung, ist in Abschnitt 1 der DÜV beschrieben.
        • Die Dauer, für die die Parteien personenbezogene Daten verarbeiten dürfen, ist in der DÜV festgelegt.
        • Das IDTA ist deckungsgleich mit der DÜV. Keine der Parteien kann das IDTA vor Ablauf der DÜV kündigen, es sei denn, eine der Parteien verstößt gegen das IDTA oder die Parteien treffen diesbezüglich eine schriftliche Vereinbarung.
        • Der Datenimporteur kann personenbezogene Daten an eine andere Organisation oder Person (die eine andere juristische Person ist) weitergeben, wenn diese Weitergabe mit den geltenden obligatorischen Klauseln des IDTA übereinstimmt.
        • Die Parteien überprüfen alle zwölf (12) Monate die in Tabelle 4 aufgeführten Sicherheitsanforderungen und die in Anhang 3 zu dieser DÜV beschriebenen zusätzlichen Maßnahmen.
      • Tabelle 3:
        • Die Kategorien der personenbezogenen Daten, der sensiblen Daten, der betroffenen Personen und der Zwecke der Verarbeitung sind in Anhang 1 beschrieben. Diese Beschreibung kann ausschließlich nach schriftlicher Vereinbarung zwischen den Parteien aktualisiert werden.
      • Tabelle 4:
        • Die von den Parteien getroffenen Sicherheitsmaßnahmen sind in Anhang 2 dieser DÜV beschrieben. Diese Sicherheitsmaßnahmen können ausschließlich nach schriftlicher Vereinbarung zwischen den Parteien aktualisiert werden.

 

Liste 1: Beschreibung der Verarbeitung

Verarbeitungsaktivität (Art und Zweck der Verarbeitung; Kategorien von betroffenen Personen)

Status der Parteien als Verantwortliche oder Auftragsverarbeiter

Status der Parteien als Datenexporteure oder -importeure

Kategorien von verarbeiteten personenbezogenen Daten

Kategorien von verarbeiteten sensiblen Daten

Häufigkeit der Übermittlung

Unterauftragsverarbeiter von Extensis, die die Verarbeitungsaktivität unterstützen

Anwendbares SCCs-Modul

Extensis verarbeitet personenbezogene Daten, um die Services bereitzustellen, oder erhält in Verbindung mit den Services personenbezogene Daten vom Kunden bzw. sammelt personenbezogene Daten im Namen des Kunden.

Der Kunde ist ein Verantwortlicher.

Extensis ist ein Auftragsverarbeiter.

 

Der Kunde ist der Datenexporteur.

Extensis ist der Datenimporteur und importiert Daten in die USA. 

Alle personenbezogenen Daten, die der Kunde Extensis zur Verfügung stellt oder die Extensis im Namen des Kunden sammelt.

Keine

Kontinuierlich

Amazon-Webdienste

Avalara

Azure

BlueSnap

Calendy

ChurnZero

Clarifai

Datadog

DoubleClick

Dynamics NAV

Facebook

Gong

google-analytics.com

HotJar

Hubspot

keylight Subscription Suite

Linkedin Sales Navigator

Mailchimp/Mandrill

Microsoft Corporation

Mimecast

Mission Cloud

NachoNacho

Okta

PartnerStack

Pendo

Revulytics (Revenera)

Salesforce

SendGrid

Slack

Surveymonkey

Zendesk

Zenduty

Zoom

Zuora

Modul 2

Extensis sammelt personenbezogene Daten von Mitarbeitern, Personal, Auftragnehmern oder Vertretern des Kunden, um professionelle Dienstleistungen zur Unterstützung der Services zu erbringen.

Der Kunde ist ein Verantwortlicher.

Extensis ist ein Verantwortlicher.

Der Kunde ist der Datenexporteur.

Extensis ist der Datenimporteur und importiert Daten in die USA.

Name, E-Mail-Adresse, andere Kontaktinformationen und eindeutige Endbenutzer-ID.

Zur Verdeutlichung: Extensis ist ein Auftragsverarbeiter in Bezug auf alle personenbezogenen Daten, die der Kunde über seine Kunden oder Endbenutzer bereitstellt.

Keine

Kontinuierlich

Modul 1

Extensis verarbeitet Kontodaten zur Erfüllung seiner Verpflichtungen aus dem Software-as-a-Service-Vertrag.

Der Kunde ist ein Verantwortlicher.

Extensis ist ein Verantwortlicher.

Der Kunde ist der Datenexporteur.

Extensis ist der Datenimporteur und importiert Daten in die USA.

Daten, die sich auf die Konten beziehen, die das Personal des Kunden in Verbindung mit der Nutzung der Services erstellen kann, einschließlich der Namen oder Kontaktinformationen von Personen, die vom Kunden autorisiert wurden, auf das Konto des Kunden zuzugreifen, sowie Rechnungsinformationen von Personen, die der Kunde mit seinem Konto verknüpft hat. 

Analyse-, Nutzungs-, Telemetriedaten und Protokolle, die Extensis generiert, wenn das Personal des Kunden die Services nutzt.

Daten, die Extensis unter Umständen zum Zweck der Identitätsprüfung erheben muss.

Keine

Kontinuierlich

Modul 1

Die Parteien verarbeiten personenbezogene Daten ihres jeweiligen Personals, um zum Beispiel (a) die Services zu verwalten und zu erbringen, (b) Rechnungen zu verwalten, (c) den Vertrag zu verwalten und alle damit verbundenen Streitigkeiten beizulegen, (d) allgemeine Anfragen zu beantworten und/oder zu stellen und (e) ihren jeweiligen gesetzlichen Verpflichtungen nachzukommen.

Der Kunde ist ein Verantwortlicher.

Extensis ist ein Verantwortlicher.

Der Kunde ist der Datenexporteur.

Extensis ist der Datenimporteur und importiert Daten in die USA.

Name, Titel und Kontaktinformationen des Personals der Parteien.

Keine

Kontinuierlich

Modul 1

 

Anhang 2: Technische und organisatorische Sicherheitsmaßnahmen

In seiner Eigenschaft als Auftragsverarbeiter hat Extensis eine schriftliche Richtlinie zur Informationssicherheit implementiert, die Folgendes regelt:

  • Rollen und Verantwortlichkeiten für die Verwaltung von Sicherheitskontrollen.
  • Disziplinarmaßnahmen für Mitarbeiter.
  • Verwaltung von Ausnahmen.
  • Risikobewertungen.
  • Mitarbeiterschulung.
  • Asset Management und Verschlüsselung.
  • Physische und ökologische Sicherheit.
  • Zugriffskontrollen.
  • Protokollierung und Überwachung.
  • Reaktion auf Vorfälle.
  • Business Continuity und Disaster Recovery.
  • Mobile Geräte und Telearbeit.

Extensis verwendet eine sichere Lösung, um die Übermittlung von personenbezogenen Daten mit Kunden zu unterstützen.