Datenverarbeitungszusatz

Dieser Datenverarbeitungszusatz („DPA“) ist Bestandteil der Vereinbarung zwischen den Parteien und besteht aus den unten aufgeführten Bedingungen, die die Vereinbarung zwischen Skysnag Inc. („Skysnag“) und dem Kunden bezüglich der Verarbeitung von personenbezogenen Daten des Kunden (wie unten definiert) festlegen.

1. BEGRIFFSBESTIMMUNGEN

a. „Vereinbarung“ bedeutet, je nach Fall, den Hauptdienstleistungsvertrag oder eine ähnliche kommerzielle Vereinbarung zwischen Skysnag und dem Kunden hinsichtlich der Nutzung des Dienstes.

b. „Anwendbare Datenschutzgesetze“ bezeichnet alle geltenden Gesetze in Bezug auf Datenschutz, Datensicherheit und den grenzüberschreitenden Datentransfer, einschließlich, sofern zutreffend: (i) der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“); (ii) im Hinblick auf das Vereinigte Königreich, jede anwendbare nationale Gesetzgebung, die die DSGVO ersetzt oder in nationales Recht umwandelt oder ein anderes Gesetz in Bezug auf Daten und Datenschutz als Folge des Austritts des Vereinigten Königreichs aus der Europäischen Union („UK-DSGVO“); und (iii) das kalifornische Gesetz zum Datenschutz von Verbrauchern, Cal. Civ. Code §§ 1798.100 et seq. einschließlich der Änderungen durch das kalifornische Gesetz über die Rechte der Privatsphäre (zusammen „CCPA“), jeweils in der Fassung, wie diese Gesetze geändert, oder ersetzt wurden. Der Begriff „Anwendbare Datenschutzgesetze“ schließt Gesetze der Russischen Föderation oder der Volksrepublik China aus.

c. „Geschäftszweck“ hat die Bedeutung, die ihm im Rahmen des CCPA zugewiesen wird.

d. „CCPA-Verbraucher“ bezeichnet einen „Verbraucher“, wie dieser Begriff im CCPA definiert ist.

e. „Verantwortlicher“ hat die Bedeutung, die ihm gemäß der DSGVO und anderen anwendbaren Datenschutzgesetzen, die diese Terminologie verwenden, zugewiesen wird, und bedeutet auch „Unternehmen“, wie es im CCPA oder anderen anwendbaren Datenschutzgesetzen, die diese Terminologie verwenden, definiert ist.

f. „Kundendaten“ bezeichnet alle Daten, Informationen oder andere Materialien, die vom Kunden im Zuge der Nutzung des Dienstes bereitgestellt, hochgeladen, übermittelt oder dem Dienst zur Verfügung gestellt werden.

g. „IDTA“ bezeichnet den jeweils aktuellen Internationalen Datenübertragungszusatz zu den Standardvertragsklauseln der EU-Kommission, der vom britischen Informationsbeauftragten veröffentlicht wurde, eine aktuelle Version ist verfügbar unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.

h. „Betroffene Person“ bezeichnet eine identifizierbare natürliche Person, die direkt oder indirekt identifiziert werden kann, einschließlich, aber nicht beschränkt auf einen CCPA-Verbraucher.

i. „Europäischer Wirtschaftsraum“ oder „EWR“ bezeichnet die Mitgliedstaaten der Europäischen Union zusammen mit Island, Norwegen und Liechtenstein.

j. „Personenbezogene Daten“ bezeichnet (a) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei eine identifizierbare natürliche Person eine Person ist, die direkt oder indirekt, insbesondere anhand eines Identifikators, identifiziert werden kann; oder (b) als „Personenbezogene Daten“ oder „Persönliche Informationen“ durch anwendbare Datenschutzgesetze definiert wird (z. B. CCPA § 1798.140(o) oder DSGVO Art. 4).

k. „Auftragsverarbeiter“ und „Unterauftragsverarbeiter“ haben die Bedeutung, die in der DSGVO und anderen anwendbaren Datenschutzgesetzen, die diese Terminologie verwenden, festgelegt ist, und bedeuten auch „Dienstleister“ für die jeweilige Partei, wie es im CCPA oder anderen anwendbaren Datenschutzgesetzen, die diese Terminologie verwenden, definiert ist.

l. „Verarbeitung“ oder „Verarbeiten“ hat die Bedeutung, die in den anwendbaren Datenschutzgesetzen festgelegt ist.

m. „Sicherheitsvorfall“ bezeichnet jede unbefugte oder rechtswidrige Sicherheitsverletzung, die zur unbeabsichtigten oder rechtswidrigen Zerstörung, Verlust oder Veränderung von personenbezogenen Daten oder zur unbefugten Offenlegung oder dem unbefugten Zugriff auf personenbezogene Daten auf von Skysnag verwalteten oder anderweitig kontrollierten Systemen führt.

n. „Verkaufen“ oder „Verkauf“ haben die Bedeutung, die ihnen im CCPA zugewiesen wird.

o. „Sensible Daten“ bezeichnet Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, genetische Daten, biometrische Daten, Gesundheitsdaten, das Sexualleben oder die sexuelle Orientierung eines Betroffenen offenlegen oder andere Daten, die in den Rechtsordnungen, in denen Skysnag und der Kunde tätig sind, besonderen Beschränkungen unterliegen, die die Übertragung oder Verarbeitung von Daten betreffen, wie (nur als Beispiel) das Gesetz über die Portabilität und Verantwortung von Krankenversicherungen (Health Insurance Portability and Accountability Act), das Gesetz zum Schutz der Privatsphäre von Kindern im Internet (Children’s Online Privacy Protection Act), personenbezogene Daten über Kinder unter 16 Jahren und die Standards des PCI Security Standards Council.

p. „Dienst“ bezeichnet den Skysnag-Abonnementdienst, den der Kunde im Rahmen der Vereinbarung gemäß dem entsprechenden Bestellformular erhält, das von Skysnag schriftlich vereinbart wurde.

q. „Standardvertragsklauseln“ oder „SCCs“ bezeichnet (i) wenn die DSGVO gilt, die Standardvertragsklauseln, die der Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 zu den Standardvertragsklauseln für die Übertragung personenbezogener Daten in Drittländer beigefügt sind („EU SCCs“); und (ii) wenn die UK-DSGVO gilt, die EU SCCs, die durch den IDTA geändert wurden („UK SCCs“), die in diesen Zusatz aufgenommen sind, wie in Anhang A beschrieben.

2. GELTUNGSBEREICH UND ANWENDUNG

a. Rolle der Parteien Soweit Skysnag personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit der Vereinbarung verarbeitet, vereinbaren die Parteien, die in diesem DPA festgelegten Bestimmungen einzuhalten. In diesem Zusammenhang kann der Kunde als „Verantwortlicher“ und Skysnag als „Auftragsverarbeiter“ in Bezug auf die personenbezogenen Daten auftreten. Der Kunde handelt als „Datenexporteur“ und Skysnag als „Datenimporteur“ für die Zwecke der Standardvertragsklauseln. Skysnag ist untersagt, personenbezogene Daten zu verkaufen, zu speichern, zu verwenden oder offenzulegen, es sei denn, dies geschieht zur Erbringung des Dienstes gemäß der Vereinbarung und diesem DPA, und verpflichtet sich ferner, personenbezogene Daten nur insoweit zu sammeln, zu verkaufen oder zu verwenden, wie es zur Erfüllung seines Geschäftszwecks erforderlich ist. Zur Vermeidung von Zweifeln erhält Skysnag keine personenbezogenen Daten als Gegenleistung für den Dienst oder andere von Skysnag erbrachte oder bereitgestellte Leistungen. Für die Zwecke des CCPA erkennen die Parteien an und stimmen zu, dass Skysnag als „Dienstleister“ und nicht als „Dritte Partei“ handelt, wie diese Begriffe im CCPA definiert sind, bei der Erfüllung seiner Verpflichtungen gemäß der Vereinbarung.

3. DATENVERARBEITUNG

a. Anweisungen zur Datenverarbeitung Skysnag wird personenbezogene Daten nur gemäß den rechtmäßigen Anweisungen des Kunden und in Übereinstimmung mit der Vereinbarung verarbeiten, es sei denn, dies ist aufgrund geltenden Rechts erforderlich, dem Skysnag unterliegt. Der Kunde weist Skysnag hiermit an, personenbezogene Daten zu verarbeiten, um den Dienst gemäß der Vereinbarung und diesem DPA bereitzustellen, zu warten und zu verbessern, da diese Verarbeitung vom Kunden und seinen Nutzern im Rahmen der Nutzung des Dienstes initiiert wird. Eine Verarbeitung außerhalb des Rahmens der Vereinbarung erfordert die vorherige schriftliche Zustimmung der Parteien zu den zusätzlichen Anweisungen für die Verarbeitung. Nach Benachrichtigung wird Skysnag angemessene und geeignete Maßnahmen ergreifen, um die unbefugte Verarbeitung personenbezogener Daten zu stoppen und zu beheben. Ungeachtet anderslautender Bestimmungen stimmt der Kunde zu, dass er Skysnag keine personenbezogenen Daten zur Verfügung stellt oder zugänglich macht, es sei denn, dies ist für Skysnag unbedingt erforderlich, um die Dienste gemäß der Vereinbarung zu erbringen. Ungeachtet anderslautender Bestimmungen übernimmt Skysnag keine Haftung oder Verpflichtung im Rahmen der Vereinbarung, dieses DPA oder anderweitig in Bezug auf personenbezogene Daten, die Skysnag in Verletzung der vorstehenden Bestimmungen zur Verfügung gestellt, offengelegt oder anderweitig zugänglich gemacht wurden.

b. Einhaltung von Gesetzen Jede Partei wird alle anwendbaren Gesetze, Vorschriften und Bestimmungen (einschließlich der anwendbaren Datenschutzgesetze) bei der Erfüllung dieses DPA einhalten. Der Kunde ist für die Genauigkeit, Qualität, Integrität und Rechtmäßigkeit der personenbezogenen Daten verantwortlich. Skysnag bestätigt, dass es die Anforderungen dieses DPA versteht, einschließlich, aber nicht beschränkt auf die Anforderungen des CCPA, und dass es diese einhalten wird. Zur Vermeidung von Zweifeln lehnt Skysnag ausdrücklich jede Einhaltung von Gesetzen der Russischen Föderation oder der Volksrepublik China ab.

c. Zustimmungen Der Kunde erklärt und garantiert, dass er alle erforderlichen Zustimmungen gemäß den anwendbaren Datenschutzgesetzen in Bezug auf die Verarbeitung oder Übertragung personenbezogener Daten eingeholt hat.

d. Verarbeitungsdetails Die Kategorien und Arten von Daten sowie die Beschreibung der Verarbeitungsvorgänge sind in Anhang I der Standardvertragsklauseln angegeben, die als Anhang A diesem Dokument beigefügt sind. Der Kunde wird Skysnag keine (oder dazu veranlassen) sensiblen Daten zur Verarbeitung im Rahmen der Vereinbarung bereitstellen, und Skysnag übernimmt keinerlei Haftung für sensible Daten, sei es im Zusammenhang mit einem Sicherheitsvorfall oder anderweitig.

4. ÜBERTRAGUNG

a. Datenübertragungen Skysnag wird personenbezogene Daten, die aus dem EWR, dem Vereinigten Königreich und/oder der Schweiz stammen und/oder sich auf natürliche Personen aus dem EWR, dem Vereinigten Königreich und/oder der Schweiz beziehen, nur wie folgt übermitteln: (i) innerhalb der Staaten des EWR, des Vereinigten Königreichs und/oder der Schweiz, je nach Fall; oder (ii) in die Vereinigten Staaten, wie es durch die Standardvertragsklauseln geregelt ist, die durch Verweis in diese Vereinbarung aufgenommen wurden. Ungeachtet anderslautender Bestimmungen in diesem Dokument gelten die Standardvertragsklauseln und der IDTA nur für die Übermittlung personenbezogener Daten, die ausdrücklich durch die DSGVO oder die UK-DSGVO bzw. ein anderes anwendbares Gesetz oder eine Vorschrift geregelt sind, die ausdrücklich die Anwendung der Standardvertragsklauseln erfordert.

5. SICHERHEIT

a. Sicherheitsmaßnahmen Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere des Einflusses auf die betroffenen Personen, auf die sich die personenbezogenen Daten beziehen, wird Skysnag angemessene technische und organisatorische Sicherheitsmaßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, die Sicherheit, Integrität und Vertraulichkeit der personenbezogenen Daten zu schützen und zu bewahren, wie in Anhang II der Standardvertragsklauseln festgelegt, die als Anhang A diesem Dokument beigefügt sind.

b. Skysnag-Personal Skysnag wird den Zugriff seines Personals auf personenbezogene Daten (i) nur auf diejenigen Personen beschränken, die auf die personenbezogenen Daten zugreifen müssen, um den Dienst bereitzustellen; und (ii) auf diejenigen, die sich zur Vertraulichkeit verpflichtet haben oder anderweitig einer Vertraulichkeitsverpflichtung in Bezug auf die personenbezogenen Daten unterliegen.

c. Aufzeichnungen; Prüfungsstandards Skysnag wird relevante Aufzeichnungen in Bezug auf seine Informationssicherheitspraktiken führen. Auf Anfrage des Kunden wird Skysnag dem Kunden einmal pro Jahr eine Kopie von Prüfberichten oder Bewertungen eines Drittanbieters zur Verfügung stellen, wie beispielsweise einen Service Organization Controls Typ 2 oder 3 („SOC“) gemäß den Prüfungsstandards in den Statements on Standards for Attestation Engagements No. 16 (SSAE16) oder andere alternative Standards, die im Wesentlichen ISO 27001 gleichwertig sind („Bewertungen“); oder (b) wenn Skysnag solche Bewertungen nicht bereitstellen kann, wird Skysnag Antworten auf alle Fragen geben, die der Kunde vernünftigerweise zum Zweck der Überprüfung der Einhaltung dieses DPA durch Skysnag stellen kann („Fragebögen“). Zur Vermeidung von Zweifeln: Solche Bewertungen und ausgefüllte Fragebögen stellen vertrauliche Informationen dar und dürfen ohne die schriftliche Zustimmung von Skysnag nicht an Dritte weitergegeben werden, es sei denn, dies ist gesetzlich anders vorgeschrieben.

d. Benachrichtigung über Sicherheitsvorfälle Wenn Skysnag von einem Sicherheitsvorfall Kenntnis erlangt, wird Skysnag den Kunden unverzüglich, jedoch in keinem Fall später als innerhalb von 72 Stunden, über diesen Vorfall benachrichtigen und dem Kunden rechtzeitig Informationen und Unterstützung bereitstellen, da der Kunde möglicherweise verpflichtet ist, seinen Meldepflichten gemäß den anwendbaren Datenschutzgesetzen nachzukommen. Eine solche Benachrichtigung darf nicht als Anerkennung von Fehlern oder Haftung seitens Skysnag in Bezug auf den unbefugten Zugriff ausgelegt werden.

6. UNTERAUFTRAGSVERARBEITER

a. Ermächtigte Unterauftragsverarbeiter Der Kunde stimmt zu, dass Skysnag Unterauftragsverarbeiter einsetzen darf, um seine Verpflichtungen im Rahmen der Vereinbarung zu erfüllen. Die aktuelle Liste der Unterauftragsverarbeiter für den Dienst, die personenbezogene Daten verarbeiten, ist auf Anfrage verfügbar. Bevor Skysnag einen neuen Unterauftragsverarbeiter autorisiert, wird Skysnag den Kunden benachrichtigen. Der Kunde kann der Änderung widersprechen, indem er Skysnag innerhalb von 10 Tagen nach der Benachrichtigung informiert und die Begründung für den Widerspruch angibt. Eine solche Widerspruchsbenachrichtigung muss die vernünftigen Gründe für den Widerspruch erklären. Nach Erhalt einer solchen Benachrichtigung wird Skysnag angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung des Dienstes zur Verfügung zu stellen oder eine kommerziell vernünftige Änderung der Konfiguration oder Nutzung des Dienstes des Kunden zu empfehlen, um die Verarbeitung personenbezogener Daten durch den abgelehnten neuen Unterauftragsverarbeiter zu vermeiden, ohne den Kunden unangemessen zu belasten.

b. Verpflichtungen der Unterauftragsverarbeiter Wenn Skysnag einen Unterauftragsverarbeiter autorisiert, personenbezogene Daten gemäß diesem DPA zu verarbeiten, wird Skysnag mit jedem solchen Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließen, die mit den anwendbaren Datenschutzgesetzen übereinstimmt. Zur Vermeidung von Zweifeln sei klargestellt, dass Skysnag für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in gleichem Maße haftet, wie es haftbar wäre, wenn es die Dienstleistungen jedes Unterauftragsverarbeiters direkt unter den Bedingungen dieses DPA und der Vereinbarung erbringen würde.

7. ZUSAMMENARBEIT

a. Anfragen der betroffenen Personen Skysnag wird den Kunden über alle Anfragen informieren, die direkt von betroffenen Personen an Skysnag gerichtet werden, und dem Kunden die erforderliche angemessene Unterstützung bieten, die erforderlich ist, damit der Kunde solchen Anfragen der betroffenen Personen nachkommen kann. Skysnag wird nur auf solche Anfragen der betroffenen Personen direkt antworten, wenn es eine schriftliche Anfrage und Zustimmung des Kunden erhält, vorausgesetzt, dass (soweit es die anwendbaren Datenschutzgesetze zulassen) der Kunde für alle angemessenen Kosten verantwortlich ist, die durch die Bereitstellung dieser Unterstützung durch Skysnag entstehen, und die Anfragen die Geschäftstätigkeit von Skysnag nicht stören.

b. Unterstützung bei der Einhaltung Soweit gemäß Artikel 28(3) der DSGVO erforderlich, wird Skysnag den Kunden bei der Einhaltung der Artikel 35 und 36 der DSGVO unterstützen; insbesondere wird Skysnag den Kunden umgehend benachrichtigen, wenn es der Ansicht ist, dass seine Verarbeitung der personenbezogenen Daten des Kunden voraussichtlich ein hohes Risiko für die Datenschutzrechte der betroffenen Personen darstellen könnte, und wird auf angemessene Anfrage des Kunden diesen bei der Durchführung von Datenschutz-Folgenabschätzungen unterstützen und, wenn erforderlich, mit den Datenschutzbehörden konsultieren.

c. Datenlöschung Auf Anfrage des Kunden wird Skysnag alle personenbezogenen Daten in seinem Besitz vernichten. Diese Anforderung gilt nicht, soweit Skysnag gemäß geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren. In diesem Fall wird Skysnag angemessene Anstrengungen unternehmen, die personenbezogenen Daten zu isolieren und vor weiterer Verarbeitung zu schützen, außer soweit dies durch das betreffende Gesetz erforderlich ist.

8. ALLGEMEIN

a. Haftung Die Haftung jeder Partei, die sich aus oder im Zusammenhang mit diesem DPA ergibt (sei es vertraglich, deliktisch oder auf Grundlage einer anderen Haftungstheorie), unterliegt den Haftungsbeschränkungen, die in der Vereinbarung festgelegt sind.

b. Entschädigung Soweit gesetzlich zulässig, ist der Kunde für alle Kosten verantwortlich, die aus der Bereitstellung von Unterstützung und Zusammenarbeit durch Skysnag im Rahmen dieses DPA entstehen, einschließlich etwaiger Gebühren, die mit der Bereitstellung zusätzlicher Funktionen verbunden sind.

c. Kündigung Dieses DPA wird automatisch beendet, wenn das später eintritt von (i) der Kündigung der Vereinbarung; oder (ii) Skysnag die Verarbeitung personenbezogener Daten einstellt.

d. Konflikt Im Falle eines Konflikts zwischen der Vereinbarung und diesem DPA haben die Bedingungen dieses DPA Vorrang in dem Umfang, in dem der Konflikt besteht.

e. Salvatorische Klausel Falls ein Teil dieses DPA ungültig oder nicht durchsetzbar ist, bleibt der verbleibende Teil dieses DPA gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) nach Bedarf geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen und dabei die Absichten der Parteien so genau wie möglich zu wahren, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob der ungültige oder nicht durchsetzbare Teil nie enthalten gewesen wäre.

f. Änderung Dieses DPA darf nur durch ein späteres schriftliches Dokument geändert werden, das von beiden Parteien unterzeichnet wird.

Anhang A

Anwendbare Standardvertragsklauseln und ergänzende Bedingungen

1. Einbeziehung der Standardvertragsklauseln (SCCs) Die Parteien vereinbaren, dass die Standardvertragsklauseln (SCCs) hiermit durch Verweisung in diesen Zusatz aufgenommen werden, wie folgt: Modul 2: Übertragung vom Verantwortlichen an den Auftragsverarbeiter, bezüglich der personenbezogenen Daten des Kunden, die aus dem EWR, dem Vereinigten Königreich oder der Schweiz stammen.
2. Grenzüberschreitende Übertragungsmechanismen – EU und Schweiz Wenn die Vereinbarung die Übertragung personenbezogener Daten von betroffenen Personen, die in der EU oder der Schweiz ansässig sind oder aus diesen Ländern stammen, in Länder erfordert, die nicht von der Europäischen Kommission als Länder mit einem angemessenen Schutzniveau für personenbezogene Daten anerkannt sind, dann erfolgen solche Übertragungen gemäß den Übertragungsmechanismen, die in Modul Zwei (Übertragung vom Verantwortlichen an den Auftragsverarbeiter) der EU-Standardvertragsklauseln (SCCs) festgelegt sind. Wenn die EU-Standardvertragsklauseln optionale Bestimmungen (oder Bestimmungen mit mehreren Optionen) enthalten, gelten die folgenden Regelungen:

a. Klausel 7 (Docking-Klausel): Die optionale Bestimmung gilt.

b. Klausel 9(a) (Einsatz von Unterauftragsverarbeitern): Option 2 gilt, wobei der angegebene Zeitraum 10 Tage beträgt.

c. Klausel 11(a) (Wiedergutmachung): Die optionale Bestimmung gilt NICHT.

d. Klausel 17 (Anwendbares Recht): Option 1 gilt, wobei das Recht von Irland maßgeblich ist.

e. Klausel 18 (Wahl des Gerichtsstands und der Zuständigkeit): Die Gerichte Irlands haben die Zuständigkeit.

3. Grenzüberschreitende Übertragungsmechanismen – UK Wenn die Vereinbarung die Übertragung personenbezogener Daten von betroffenen Personen, die im Vereinigten Königreich ansässig sind, in Länder erfordert, die nicht vom britischen Informationsbeauftragten (ICO) als Länder mit einem angemessenen Schutzniveau für personenbezogene Daten anerkannt sind, dann erfolgen solche Übertragungen gemäß den EU-Standardvertragsklauseln (SCCs), die in den Abschnitten 1 und 2 dieses Anhangs detailliert und durch den IDTA geändert sind. In Bezug auf den IDTA:

a. Tabelle 1: Der „Exporteur“ ist der Datenexporteur und der „Importeur“ ist der Datenimporteur, wie beide in Anhang I der Standardvertragsklauseln (SCC) (unten) identifiziert sind. Durch die Unterzeichnung der Vereinbarung, des Zusatzes oder des Bestellformulars gelten der Importeur und der Exporteur als die IDTA unterzeichnet zu haben.

b. Tabelle 2:

i. Klausel 7 (Docking-Klausel): Die optionale Bestimmung gilt.

ii. Klausel 9(a) (Einsatz von Unterauftragsverarbeitern): Option 2 gilt, wobei der angegebene Zeitraum 10 Werktage beträgt.

iii. Klausel 11(a) (Wiedergutmachung): Die optionale Bestimmung gilt NICHT.

c. Tabelle 3: Die Informationen sind in Abschnitt 2 dieses Anhangs enthalten.

d. Tabelle 4: Nur der Exporteur (d. h. der Kunde) kann den IDTA gemäß Abschnitt 19 des IDTA beenden, wenn der britische ICO neue Änderungen am IDTA vornimmt.

4. Anhang 1 der Standardvertragsklauseln (SCCs) ist diesem Anhang A beigefügt.
5. Technische und organisatorische Maßnahmen Der Datenimporteur wird mindestens die in Anhang II der Standardvertragsklauseln (SCCs) festgelegten technischen und organisatorischen Maßnahmen umsetzen, die diesem Dokument beigefügt sind.
6. Ergänzende Bedingungen

a. Anweisungen zur Verarbeitung Dieser Zusatz und die Vereinbarung sind die vollständigen und endgültigen Anweisungen des Kunden für die Verarbeitung personenbezogener Daten des Kunden ab dem Datum des Inkrafttretens der aktuellen Version der Vereinbarung und der aktuellen Version dieses Zusatzes. Alle abweichenden Anweisungen müssen mit der aktuellen Version der Vereinbarung und der aktuellen Version dieses Zusatzes übereinstimmen. Für die Zwecke von Klausel 8.1(a) der Standardvertragsklauseln (SCCs) umfassen die Anweisungen für die Verarbeitung personenbezogener Daten auch die Weiterübertragungen an Dritte, die sich außerhalb Europas befinden, zur Erbringung der Dienste.

b. Verantwortung für Sicherheitsmaßnahmen Für die Zwecke von Klausel 8.6(a) der Standardvertragsklauseln (SCCs) ist der Kunde allein verantwortlich für die Feststellung, ob die in Anhang II der SCCs, der diesem Dokument beigefügt ist, festgelegten technischen und organisatorischen Maßnahmen sowie die von Skysnag dem Kunden anderweitig beschriebenen Maßnahmen den Anforderungen des Kunden entsprechen, und stimmt zu, dass diese technischen und organisatorischen Maßnahmen ein angemessenes Sicherheitsniveau bieten, wobei der Stand der Technik, die Implementierungskosten, die Art, der Umfang, der Kontext und der Zweck(e) der Verarbeitung der personenbezogenen Daten des Kunden sowie die Risiken für die betroffenen Personen angemessen berücksichtigt werden.

c. Löschung von Daten Für die Zwecke von Klausel 8.6 der Standardvertragsklauseln (SCCs) wird Skysnag die personenbezogenen Daten des Kunden in Übereinstimmung mit den jeweiligen Bestimmungen zur Datenlöschung und zur Löschzertifizierung, die in der Vereinbarung festgelegt sind, löschen. Zur Vermeidung von Zweifeln: Falls keine solchen Bestimmungen in der Vereinbarung festgelegt sind, wird Skysnag alle personenbezogenen Daten des Kunden innerhalb von 30 Tagen nach Beendigung der Vereinbarung löschen. Eine Zertifizierung der Löschung der personenbezogenen Daten des Kunden durch Skysnag, wie in den SCCs beschrieben, wird nur auf schriftliche Anfrage des Kunden bereitgestellt.

d. Datenschutzverletzungen. Für die Zwecke von Klausel 8.6(c) der Standardvertragsklauseln (SCCs) werden Datenschutzverletzungen gemäß Abschnitt 5(d) dieses Zusatzes behandelt.

e. Prüfungen Die Audits, die gemäß Klausel 8.9 der Standardvertragsklauseln (SCCs) durchgeführt werden dürfen, sind in Übereinstimmung mit den Verfahren durchzuführen und zu erfüllen, die in Abschnitt 5(c) dieses Zusatzes festgelegt sind.

f. Einsatz von Unterauftragsverarbeitern Für die Zwecke von Klausel 9 der Standardvertragsklauseln (SCCs) erteilt der Kunde Skysnag eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern, vorbehaltlich der in Abschnitt 6 dieses Zusatzes festgelegten Verfahren, und erteilt ferner diesen Unterauftragsverarbeitern eine allgemeine Genehmigung zur Beauftragung weiterer Unterauftragsverarbeiter sowie die Befugnis, solche weiteren Unterauftragsverarbeiter hinzuzufügen oder zu ersetzen.

g. Beschwerdebearbeitung Für die Zwecke von Klausel 11 der Standardvertragsklauseln (SCCs) wird Skysnag den Kunden ohne unangemessene Verzögerung informieren, wenn es eine Beschwerde von oder im Auftrag einer Person bezüglich der personenbezogenen Daten des Kunden erhält, und hat ansonsten keine Verpflichtung, eine solche Anfrage zu bearbeiten, es sei denn, dies wurde zwischen Skysnag und dem Kunden vereinbart.

h. Haftung gemäß den SCCs Die Haftung von Skysnag gemäß den SCCs in Klausel 12 ist auf Schäden begrenzt, die durch die Verarbeitung personenbezogener Daten des Kunden entstehen, wenn es seine Verpflichtungen der DSGVO, die speziell an Auftragsverarbeiter gerichtet sind, nicht eingehalten hat oder wenn es außerhalb der rechtmäßigen Anweisungen des Kunden gehandelt hat. Soweit dies gemäß den SCCs zulässig ist, unterliegt die Haftung jeder Partei gemäß den SCCs den Bestimmungen der Vereinbarung hinsichtlich der Haftungsbeschränkung.

i. Benachrichtigungen Für Benachrichtigungen gemäß Klausel 15.1(a) wird Skysnag die Benachrichtigung nur an den Kunden richten, und der Kunde ist verantwortlich für die Benachrichtigung der betroffenen Personen.

j. Benachrichtigungen an die Aufsichtsbehörde Die Parteien erkennen an und stimmen zu, dass, wenn Skysnag gemäß den SCCs verpflichtet ist, die zuständige Aufsichtsbehörde zu benachrichtigen, Skysnag dem Kunden zunächst die Einzelheiten der Benachrichtigung zur Verfügung stellt, wodurch dem Kunden ermöglicht wird, schriftlich vorab Input in die relevante Benachrichtigung zu geben, sofern der Kunde dies wünscht und ohne die rechtzeitige Benachrichtigung unangemessen zu verzögern.

k. Durchsetzung der Standardvertragsklauseln (SCCs) Der Datenexporteur kann die Bedingungen der Standardvertragsklauseln (SCCs) gegenüber dem Datenimporteur durchsetzen (und umgekehrt).

l. Unterzeichner Ungeachtet der Tatsache, dass die Standardvertragsklauseln (SCCs) hierdurch durch Verweisung aufgenommen werden, ohne dass die Unterschriftsseite der SCCs tatsächlich von den Parteien unterzeichnet wurde, wird vereinbart, dass die Unterzeichnung der Vereinbarung als die Unterzeichnung der SCCs durch jede Partei als Datenexporteur oder Datenimporteur (je nach Fall) gilt und dass jede Partei ordnungsgemäß autorisiert ist, dies im Namen des jeweiligen Datenexporteurs oder Datenimporteurs zu tun und diesen vertraglich zu binden.

m. Andere Übertragungsmechanismen Die Bestimmungen in diesem Zusatz lassen die Möglichkeit der Parteien unberührt, sich auf einen anderen rechtlich gültigen internationalen Datenübertragungsmechanismus für die Übertragung von Daten aus dem EWR zu stützen.

ANHANG 1

A. LISTE DER PARTEIEN

Datenexporteur(e):

• Name: Wie im Bestellformular oder in der Vereinbarung zwischen dem Kunden und Skysnag festgelegt.
• Adresse: Wie im Bestellformular oder in der Vereinbarung zwischen dem Kunden und Skysnag festgelegt.
• Adresse der Kontaktperson: [email protected].
• Aktivitäten, die für die unter diesen Klauseln übertragenen Daten relevant sind: Der Datenexporteur ist ein Kunde des Datenimporteurs und exportiert Daten, die sich auf die Nutzung der Produkte und Dienstleistungen des Datenimporteurs durch den Datenexporteur im Rahmen der Vereinbarung beziehen, wie unten ausführlicher beschrieben und im entsprechenden Bestellformular angegeben.
• Unterschrift und Datum: Wie im Bestellformular oder in der Vereinbarung zwischen dem Kunden und Skysnag festgelegt.
• Rolle: Verantwortlicher

Datenimporteur(e):

• Name: Skysnag Inc.
• Adresse: 548 Market St, PMB 97188, San Francisco, CA 94104-5401, USA
• Name, Position und Kontaktdaten der Kontaktperson : [Bitte fügen Sie den entsprechenden Ansprechpartner bei Skysnag ein.], [email protected]
• Aktivitäten, die für die unter diesen Klauseln übertragenen Daten relevant sind: Wie in der Vereinbarung und dem entsprechenden Bestellformular festgelegt.
• Unterschrift und Datum: Wie im Bestellformular oder in der Vereinbarung zwischen dem Kunden und Skysnag festgelegt.
• Rolle: Auftragsverarbeiter

B. BESCHREIBUNG DER ÜBERTRAGUNG

1. Kategorien der betroffenen Personen, deren personenbezogene Daten übertragen werden:

• Mitarbeiter oder Berater des Kunden
• Empfänger von E-Mails, die von Mitarbeitern oder Beratern des Kunden gesendet werden
• Dritte, die im E-Mail-Inhalt oder in Anhängen von E-Mails, die von Mitarbeitern oder Beratern des Kunden gesendet wurden, identifiziert und vom Ziel-E-Mail-Gateway abgelehnt wurden

1. Kategorien personenbezogener Daten, die übertragen werden:

• Name
• E-Mail Adresse
• Technische E-Mail-Header-Informationen
• Betreffzeile von E-Mails (zugänglich, aber nicht routinemäßig abgerufen oder übertragen)
• Informationen über Dritte (falls vorhanden), die im E-Mail-Inhalt oder in Anhängen von E-Mails, die von Mitarbeitern oder Beratern des Kunden gesendet wurden, identifiziert und vom Ziel-E-Mail-Gateway abgelehnt wurden

1. Übertragene sensible Daten (falls zutreffend):

• Keine

1. Häufigkeit der Übertragung:

• Kontinuierlich – nach Bedarf, um auf die im Vertrag beschriebenen Dienstleistungen zuzugreifen.

1. Art der Verarbeitung:

Skysnag bietet automatisierte Dienstidentifikation, Konfiguration und Verwaltung von Authentifizierungskontrollen, die es unseren Kunden ermöglichen, authentifizierte E-Mails zu senden, um die DMARC-Durchsetzung zu erreichen. Die Art der Verarbeitung variiert je nach den spezifischen Dienstleistungen, die von den Kunden ausgewählt werden.

Skysnag’s E-Mail-Authentifizierungsdienst:

• Skysnag benötigt keinen Zugriff auf die Systeme des Kunden und hat keinen Zugriff auf den E-Mail-Inhalt oder andere persönlich identifizierbare Informationen, außer in begrenzten Anwendungsfällen.
• Skysnag hat Zugriff auf die Kontaktinformationen des Account-Administrators (z. B. Namen und geschäftliche E-Mail-Adressen), die nur zur Lizenzvalidierung verwendet werden.
• Skysnag kann Zugriff auf IP-Adressen haben, die in DMARC-aggregierten Berichten bereitgestellt werden. Diese IP-Adressen stammen nicht von einzelnen Absendern, sondern von dem sendenden Dienst, der versucht, die E-Mail zuzustellen.
• Skysnag protokolliert diese Informationen und verwendet sie für betriebliche und analytische Zwecke.

Skysnag’s Mailbox Connector-Dienst:

• Erfordert API-Zugang zum Cloud-Mail-System des Kunden (z. B. Microsoft 365 oder Google Workspace).
• Der Connector analysiert die E-Mail-Header eingehender Nachrichten, um Dienste zu identifizieren, die im Auftrag der Organisation in das Cloud-Mail-System senden.
• Greift auf die Liste der Postfachbenutzer im Cloud-Mail-System des Kunden zu, die die E-Mail-Adresse des Benutzers umfasst.
• Für jeden Postfachbenutzer greift Skysnag auf die E-Mails im Postfach zu, um E-Mail-Adressen von Absendern und Empfängern sowie verschiedene technische Daten aus dem E-Mail-Header abzurufen. Die Betreffzeile ist zugänglich, wird jedoch nicht abgerufen.

Skysnag’s RUF+ Dienst:

• Sammelt und liefert dem Kunden die DMARC-Fehlermeldungen, die von Skysnags Standarddienst ausgeschlossen sind.
• DMARC-Fehlermeldungen können Header-Informationen oder Inhalte der betroffenen E-Mail-Nachricht enthalten, einschließlich Absender- und Empfängernamen und -e-Mails, der Betreffzeile, technischer Header-Informationen und möglicherweise einen Teil oder den gesamten Textkörper der E-Mail oder Anhänge.
• Für „Fehlalarme“, bei denen es sich um E-Mails handelt, die tatsächlich vom Kunden oder im Auftrag des Kunden gesendet wurden, sind diese Informationen personenbezogene Daten des Kunden.

1. Zweck(e) der Datenübertragung und -verarbeitung:

• Nach Bedarf, um die Vereinbarung und den Dienst gemäß einem Bestellformular zwischen den Parteien zu erfüllen.

1. Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden:

• Skysnag wird personenbezogene Daten so lange aufbewahren, wie es zur Erfüllung seiner Verpflichtungen gemäß den Bedingungen der Vereinbarung erforderlich ist.

1. Für Übertragungen an Unterauftragsverarbeiter, geben Sie bitte den Gegenstand, die Art und die Dauer der Verarbeitung an:

• Skysnag verwendet Cloud-Infrastrukturanbieter als Unterauftragsverarbeiter, um seinen Dienst bereitzustellen und alle personenbezogenen Daten im Rahmen der Vereinbarung zu verarbeiten. Diese Unterauftragsverarbeiter werden die personenbezogenen Daten unter der Kontrolle von Skysnag so lange aufbewahren, wie es erforderlich ist, damit Skysnag seine Verpflichtungen gemäß den Bedingungen der Vereinbarung erfüllen kann.
• Skysnag kann Unterauftragsverarbeiter einsetzen, um bei Support-Diensten zu unterstützen. Solche Unterauftragsverarbeiter können Zugriff auf den Namen und die Kontaktdaten (z. B. E-Mail-Adresse) der Person(en) haben, die die Support-Anfrage initiiert haben.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

• Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13:
• Die Datenschutzkommission von Irland

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MAßNAHMEN ZUR SICHERSTELLUNG DER SICHERHEIT DER DATEN

1. Drittanbieter-Bescheinigungen

• Skysnag führt unabhängige, externe Audits durch und erneuert diese, die die Wirksamkeit seiner Sicherheitskontrollen bestätigen. Auf Anfrage kann Skysnag solche Zertifikate oder Auditergebnisse dem Kunden zur Verfügung stellen.
• Beispiele für Zertifizierungen: •SOC 2 Typ II und SOC 3 Berichte („SOC“) • Andere relevante Sicherheitszertifikate

1. Richtlinien und Verfahren

• Skysnag führt ein formelles Sicherheitsprogramm, das wesentlichen Branchenstandards entspricht und darauf ausgelegt ist,
• Die Sicherheit und Integrität der Dienstleistungen sicherzustellen.
• Schutz vor Bedrohungen oder Gefahren für die Sicherheit oder Integrität vertraulicher Informationen.
• Unbefugten Zugriff auf vertrauliche Informationen verhindern.
• Schriftliche Sicherheitsmanagement-Richtlinien und -Verfahren umfassen:
• Zuweisung spezifischer Verantwortlichkeiten und Zuständigkeiten im Bereich der Datensicherheit.
• Ein formelles Risikomanagementprogramm, einschließlich regelmäßiger Risikobewertungen.
• Ein angemessenes Kontrollrahmenwerk, das die Sicherheit der Angebote schützt.

1. Zugangskontrollen

• Skysnag stellt sicher, dass alle autorisierten Mitarbeiter, die Zugang zum Netzwerk und/oder zu Systemen haben, mithilfe einzigartiger Identifikatoren, starker Passwörter und Multi-Faktor-Authentifizierung (MFA) authentifiziert werden.
• Wendet rollenbasierte Zugangskontrollen gemäß dem Prinzip der geringsten Privilegien an.
• Weist allen Systembenutzern einzigartige Benutzerkonten zu.
• Administrativer Zugang wird nur nach Genehmigung durch die IT- und/oder Engineering-Leitung gewährt.
• Kontrollen sind vorhanden, um den Zugang zu Informationssystemen und -einrichtungen auf ordnungsgemäß autorisierte Personen zu beschränken.

1. Netzwerkbezogene Anforderungen; Penetrationstests

• Verwendet Firewalls zum Schutz seiner Infrastruktur, die in der Lage sind, zustandsbehaftete Inspektion, Protokollierung, Unterstützung von IPSec-Standards, starke Verschlüsselung, SNMP-basiertes Monitoring und Anti-Spoofing zu gewährleisten.
• Führt mindestens einmal jährlich Netzpenetrationstests durch Dritte durch.
• Betreibt kontinuierliche Überwachung und Scans, wie erforderlich, um die Sicherheitsstandards zu erfüllen.

1. Physische und umweltspezifische Sicherheit

• Skysnag arbeitet hauptsächlich über Cloud-Dienste.
• Physische und umweltspezifische Kontrollen zum Schutz der Kundendaten und Produktionsumgebungen werden von Cloud-Service-Anbietern (z. B. AWS, Microsoft Azure) verwaltet.
• Überprüft jährlich die SOC 2 Typ II-Berichte der Cloud-Hosting-Anbieter, um die Einhaltung der besten Praktiken für physische und umweltspezifische Sicherheit sicherzustellen.

1. IT-Änderungs- und Konfigurationsmanagement

• Setzt angemessene Prozesse für das Änderungsmanagement, die Codeinspektion, wiederholbare Builds, die Trennung von Entwicklungs- und Produktionsumgebungen sowie Testpläne ein.
• Codeinspektionen beinhalten Prozesse zur Identifizierung von Schwachstellen und schädlichem Code.

1. Beschaffung von Systemen und Dienstleistungen

• Entwickelt, verbreitet und überprüft/aktualisiert regelmäßig eine formelle, dokumentierte Richtlinie zur Beschaffung von Systemen und Dienstleistungen, die Überlegungen zur Informationssicherheit umfasst.

1. Verschlüsselung

• Kundendaten werden während der Übertragung mit TLS v1.2 oder höher verschlüsselt.
• Schlüsselmanagementverfahren gewährleisten die Vertraulichkeit, Integrität und Verfügbarkeit kryptografischer Schlüsselinformationen.
• Verwendet AES 256-Bit-Verschlüsselung für ruhende Daten.

1. Schulung und Personal

• Bietet allen Mitarbeitern jährlich Schulungen zur Sicherheitsbewusstseinsbildung an, die Themen abdecken, die die Benutzer über Informationssicherheit und Schutzmaßnahmen gegen Datenverlust, Missbrauch oder Verstöße aufklären.
• Führt, soweit zutreffend, Hintergrundprüfungen bei Mitarbeitern und Bewerbern vor der Anstellung durch.
• Verlangt von Mitarbeitern, Beratern und Auftragnehmern, vor dem Zugriff auf geschützte Informationen eine Geheimhaltungs- oder Vertraulichkeitsvereinbarung zu unterzeichnen.

1. Notfallwiederherstellungsplan (DRP)

• Skysnag führt einen Notfallwiederherstellungsplan (DRP), der im Falle einer Katastrophe, die die E-Mail-Betrieb von Skysnag betrifft, verwendet werden soll.
• Der Plan enthält spezifische Teamverantwortlichkeiten und Verfahren, die befolgt werden müssen.
• Die Entscheidung, die Notfallwiederherstellungsverfahren einzuleiten, wird von den dafür vorgesehenen Mitarbeitern nach einer Beurteilung der Situation getroffen.

1. Geschäftskontinuitätsplan (BCP)

• Hält einen Geschäftskontinuitätsplan (BCP) für wesentliche Geschäftsprozesse vor, einschließlich Strategien zur Erreichung der in der zugehörigen Geschäftsimpact-Analyse festgelegten Wiederherstellungszeitpläne.
• Überprüft die Wiederherstellungsstrategien jährlich oder bei Änderungen.

1. Datenaufbewahrungsrichtlinie

• Bewahrt Daten für die Dauer auf, die vernünftigerweise erforderlich ist, um die in der Datenschutzerklärung genannten Zwecke zu erfüllen und wie es gesetzlich erforderlich oder zulässig ist.
• Anonyme und aggregierte Informationen können unbegrenzt gespeichert werden.

1. Reaktion auf Sicherheitsvorfälle

• Hält einen Sicherheitsvorfall-Reaktionsplan vor, der Verfahren umfasst, die im Falle eines Sicherheitsvorfalls befolgt werden müssen, der die vertraulichen Informationen des Kunden oder eine Anwendung oder ein System betrifft, das direkt mit dem Zugriff, der Verarbeitung, Speicherung, Kommunikation und/oder Übertragung der vertraulichen Informationen des Kunden verbunden ist.

1. Passwortrichtlinie

• Hält eine dokumentierte Passwortrichtlinie gemäß den NIST-Standards vor, die die relevanten Systeme, Anwendungen und Datenbanken abdeckt.
• Setzt bewährte Methoden für Passwörter um, um sich gegen unbefugte Nutzung von Passwörtern zu schützen.
• Salts und Hashes schützen die Benutzerkontenpasswörter, indem sie branchenübliche Verschlüsselungsalgorithmen anwenden, bevor diese gespeichert werden.

Durch die Annahme dieses Datenverarbeitungszusatzes stimmen die Parteien dessen Bedingungen als Teil der Vereinbarung zwischen Skysnag und dem Kunden zu.