Datenübermittlungsvereinbarung

Diese Datenübertragungsvereinbarung ("DTA") wird von und zwischen Celartem, Inc., handelnd unter dem Namen Extensis ("Extensis"), und dem Kunden von [Extensis Online Services] ("Kunde") geschlossen, soweit der Kunde personenbezogene Daten an Extensis übermittelt oder Extensis den Zugriff auf personenbezogene Daten gestattet, die sich in einem Rechtsraum befinden, der besondere Schutzmaßnahmen für die Übermittlung von Informationen über internationale Grenzen hinweg erfordert, wie beispielsweise der Europäische Wirtschaftsraum ("EWR").

1. Im Allgemeinen. Die Parteien vereinbaren, dass sie für jede Gerichtsbarkeit, die unten nicht aufgeführt ist und die besondere Schutzmaßnahmen für einen internationalen Datentransfer verlangt, hiermit die EWR-Standardvertragsklauseln für den Transfer personenbezogener Daten aus dieser Gerichtsbarkeit vereinbaren und an diese gebunden sind, sofern die Parteien nicht schriftlich etwas anderes vereinbaren.
2. Beschreibung der Verarbeitung und Status der Parteien. In Anlage 1 ist der Status der Parteien nach dem einschlägigen Datenschutzrecht für jede für die Dienste relevante Verarbeitungstätigkeit aufgeführt.
3. Europäischer Wirtschaftsraum.
   1. " EWR-Standardvertragsklauseln" bezeichnet die Standardvertragsklauseln der Europäischen Union für internationale Übermittlungen aus dem Europäischen Wirtschaftsraum in Drittländer, Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021.
   2. Für Übermittlungen aus dem EWR, die nicht Gegenstand eines Angemessenheitsbeschlusses oder einer Ausnahme sind, nehmen die Parteien hiermit die EWR-Standardvertragsklauseln durch Verweis auf und erklären sich ebenfalls mit den EWR-Standardvertragsklauseln einverstanden und an diese gebunden. Die Parteien vereinbaren, die folgenden Optionen zu wählen, die durch die EWR-Standardvertragsklauseln zur Verfügung gestellt werden.
      1. Information der für die Verarbeitung Verantwortlichen bei internationalen Datenübermittlungen
         • Klausel 11(a), Modul 1: Die Parteien wählen nicht die Option der unabhängigen Streitbeilegung.
         • Klausel 17, Modul 1: Die Parteien wählen die Option 1. Die Parteien vereinbaren, dass Irland der Gerichtsstand ist.
         • Klausel 18(b), Modul 1: Die Parteien vereinbaren, dass der Gerichtsstand die irischen Gerichte sind.
         • Anhang I(A): Der Datenexporteur ist der Kunde und der Datenimporteur ist Extensis.
         • Anhang I(B): Die Parteien vereinbaren, dass Anhang 1 die Übermittlung beschreibt.
         • Anhang I(C): Die zuständige Aufsichtsbehörde ist die Data Protection Commission of Ireland.
         • Anhang II: Die Parteien vereinbaren, dass in Anhang 2 die technischen und organisatorischen Maßnahmen beschrieben werden, die für die Übermittlung gelten.
         • Anhang III: Die Parteien vereinbaren, dass in Anhang 1 die relevanten Unterauftragsverarbeiter und ihre Rolle bei der Verarbeitung personenbezogener Daten beschrieben werden.
      2. Informationen zwischen Verantwortlichen und Auftragsverarbeitern bei internationalen Datenübermittlungen
         • Klausel 9, Modul 2(a): Die Parteien wählen Option 2. Die Frist beträgt 30 Tage.
         • Klausel 11(a), Modul 2: Die Parteien wählen nicht die Option der unabhängigen Streitbeilegung.
         • Klausel 17, Modul 2: Die Parteien wählen die Option 1. Die Parteien vereinbaren, dass Irland der Gerichtsstand ist.
         • Klausel 18, Modul 2: Die Parteien vereinbaren, dass der Gerichtsstand die irischen Gerichte sind.
         • Anhang I(A): Der Datenexporteur ist der Kunde und der Datenimporteur ist Extensis. Der Status der Parteien als für die Verarbeitung Verantwortliche oder Auftragsverarbeiter ist in Anhang 1 beschrieben.
         • Anhang I(B): Die Parteien sind sich einig, dass Anhang 1 die Übermittlung beschreibt.
         • Anhang I(C): Die zuständige Aufsichtsbehörde ist die Data Protection Commission of Ireland.
         • Anhang II: Die Parteien kommen überein, dass in Anhang 2 die technischen und organisatorischen Maßnahmen beschrieben werden, die für die Übermittlung gelten.
         • Anhang III: Die Parteien vereinbaren, dass in Anhang 1 die relevanten Unterauftragsverarbeiter und ihre Rolle bei der Verarbeitung personenbezogener Daten beschrieben werden.
4. Schweiz. Die Parteien vereinbaren die folgenden Änderungen an den EWR-Standardvertragsklauseln, damit diese auf die Übermittlung personenbezogener Daten aus der Schweiz anwendbar sind.
   • Die Parteien übernehmen den GDPR-Standard für alle Datenübermittlungen aus der Schweiz.
   • Klausel 13 und Anhang I(C): Die zuständigen Behörden gemäß Klausel 13 und Anhang I(C) sind der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte und gleichzeitig die oben genannte Behörde des EWR-Mitgliedstaats.
   • Klausel 17: Die Parteien vereinbaren, dass der Gerichtsstand [Schweiz] ist.
   • Klausel 18: Die Parteien vereinbaren, dass der Gerichtsstand [die Gerichte der Schweiz] ist. Die Parteien vereinbaren, die EWR-Standardvertragsklauseln so auszulegen, dass betroffene Personen in der Schweiz ihre Rechte gemäß Klausel 18(c) in der Schweiz einklagen können.
   • Die Parteien vereinbaren, die EWR-Standardvertragsklauseln so auszulegen, dass "betroffene Personen" bis zum Inkrafttreten des revidierten Bundesgesetzes über den Datenschutz auch Informationen über schweizerische juristische Personen umfassen.
5. Vereinigtes Königreich.
   1. "IDTA" bezeichnet das vom ICO herausgegebene und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegte International Data Transfer Agreement in der vom UK Information Commissioner's Office von Zeit zu Zeit geänderten Fassung.
   2. Für Übermittlungen aus dem Vereinigten Königreich, die nicht Gegenstand eines Angemessenheitsbeschlusses oder einer Ausnahmeregelung sind, nehmen die Parteien hiermit das IDTA durch Verweis auf und erklären sich durch die Unterzeichnung dieses DTA auch mit den obligatorischen Klauseln des IDTA einverstanden und an diese gebunden.
   3. Gemäß den Abschnitten 5.2 und 5.3 des IDTA vereinbaren die Parteien, dass die folgenden Informationen für die Tabellen 1 bis 4 des IDTA von Bedeutung sind und dass keine der Parteien durch die Änderung von Format und Inhalt der Tabellen beabsichtigt, die angemessenen Schutzmaßnahmen (wie im IDTA definiert) zu verringern.
      • Tabelle 1: Die Angaben der Parteien, die wichtigsten Ansprechpartner, die Ansprechpartner für die betroffenen Personen und die Unterschriften befinden sich im Unterschriftenblock des DTA.
      • Tabelle 2:
        • Das für das IDTA geltende Recht ist England und Wales.
        • Der primäre Gerichtsstand für Rechtsansprüche der Parteien sind die Gerichte in England.
        • Der Status des Datenexporteurs und des Datenimporteurs ist in Anlage 1 beschrieben.
        • Der Datenimporteur sichert zu und gewährleistet, dass die britische Datenschutz-Grundverordnung (GDPR) nicht auf seine Verarbeitung personenbezogener Daten im Rahmen des Abkommens anwendbar ist.
        • Das Verhältnis zwischen den Vereinbarungen, die die Datenschutzbedingungen zwischen den Parteien festlegen, einschließlich dieses Abschnitts, des DBA und der Vereinbarung, ist in Abschnitt 1 des DBA beschrieben.
        • Die Dauer, für die die Parteien personenbezogene Daten verarbeiten dürfen, ist im DBA festgelegt.
        • Das IDTA ist mit dem DTA deckungsgleich. Keine der Parteien kann das IDTA vor Ablauf des DTA kündigen, es sei denn, eine der Parteien verstößt gegen das IDTA oder die Parteien vereinbaren dies schriftlich.
        • Der Datenimporteur kann personenbezogene Daten an eine andere Organisation oder Person (die eine andere juristische Person ist) übermitteln, wenn eine solche Übermittlung mit den geltenden obligatorischen Klauseln des IDTA übereinstimmt.
        • Die Parteien werden die in Tabelle 4 aufgeführten Sicherheitsanforderungen und die in Anhang 3 dieses DTA beschriebenen zusätzlichen Maßnahmen alle zwölf (12) Monate überprüfen.
      • Tabelle 3:
        • Die Kategorien personenbezogener Daten, sensibler Daten, betroffener Personen und die Zwecke der Verarbeitung sind in Anlage 1 beschrieben. Diese Beschreibung kann nur durch schriftliche Vereinbarung der Parteien aktualisiert werden.
      • Tabelle 4:
        • Die von den Parteien getroffenen Sicherheitsmaßnahmen sind in Anlage 2 dieses DBA beschrieben. Diese Sicherheitsmaßnahmen können nur durch eine schriftliche Vereinbarung der Parteien aktualisiert werden.

 

Anhang 1: Beschreibung der Verarbeitung

Verarbeitung-stätigkeit (Art und Zweck der Verarbeitung; Kategorien von betroffenen Personen)	Status der Vertragsparteien als für die Verarbeitung Verantwortliche oder Auftragsverarbeiter	Status der Vertragsparteien als Datenexporteure oder -importeure	Kategorien der verarbeiteten personenbezogenen Daten	Kategorien verarbeiteter sensibler Daten	Häufigkeit der Übermittlung	Unterauftrag-sverarbeiter von Extensis, die die Verarbeitungstätigkeit unterstützen	Anwendbare SCCs Modul
Extensis verarbeitet personenbezogene Daten, um die Dienste zu erbringen, oder erhält im Zusammenhang mit den Diensten personenbezogene Daten vom Kunden oder erhebt personenbezogene Daten im Namen des Kunden.	Der Kunde ist ein Verantwortlicher. Extensis ist ein Auftragsverarbeiter.	Der Kunde ist der Datenexporteur. Extensis ist der Datenimporteur und importiert Daten in die Vereinigten Staaten.	Alle persönlichen Daten, die der Kunde Extensis zur Verfügung stellt oder die Extensis im Namen des Kunden sammelt.	Keine	Fortlaufend	Amazon Webdienste Avalara Azure BlueSnap Calendy ChurnZero Clarifai Datadog DoubleClick Dynamics NAV Facebook Gong google-analytics.com HotJar Hubspot keylight Abonnement-Suite Linkedin Vertriebsnavigator Mailchimp/Mandrill Microsoft Unternehmen Mimecast Mission Wolke NachoNacho Okta PartnerStack Pendo Revulytics (Revenera) Salesforce SendGrid Slack Surveymonkey Zendesk Zenduty Zoom Zuora	Modul 2
Extensis erhebt personenbezogene Daten von Mitarbeitern, Personal, Auftragnehmern oder Vertretern des Kunden, um professionelle Dienstleistungen zur Unterstützung der Services zu erbringen.	Der Kunde ist ein Controller. Extensis ist ein Controller.	Der Kunde ist der Datenexporteur. Extensis ist der Datenimporteur und importiert Daten in die Vereinigten Staaten.	Name, E-Mail-Adresse, andere Kontaktinformationen und eindeutige Endbenutzer-ID. Zur Klarstellung: Extensis ist ein Auftragsverarbeiter in Bezug auf alle personenbezogenen Daten, die der Kunde über seine Kunden oder Endbenutzer bereitstellt.	Keine	Fortlaufend		Baustein 1
Extensis verarbeitet Kontodaten, um seine Verpflichtungen aus dem Software-as-a-Service-Vertrag zu erfüllen.	Der Kunde ist ein Verantwortlicher. Extensis ist ein Controller.	Der Kunde ist der Datenexporteur. Extensis ist der Datenimporteur und importiert Daten in die Vereinigten Staaten.	Daten, die sich auf die Konten beziehen, die das Personal des Kunden in Verbindung mit der Nutzung der Dienste erstellen kann, einschließlich der Namen oder Kontaktinformationen von Personen, die vom Kunden autorisiert wurden, auf das Konto des Kunden zuzugreifen, sowie Rechnungsinformationen von Personen, die der Kunde mit seinem Konto verbunden hat. Analyse-, Nutzungs-, Telemetrie-, Daten- und Protokolldaten, die Extensis bei der Nutzung der Services durch Mitarbeiter des Kunden erstellt. Daten, die Extensis zum Zweck der Identitätsüberprüfung erheben muss.	Keine	Fortlaufend		Baustein 1
Die Parteien verarbeiten personenbezogene Daten ihrer jeweiligen Mitarbeiter, um z.B. (a) die Services zu verwalten und bereitzustellen, (b) Rechnungen zu verwalten, (c) den Vertrag zu verwalten und alle damit verbundenen Streitigkeiten beizulegen, (d) allgemeine Anfragen zu beantworten und/oder zu stellen und (e) ihren jeweiligen gesetzlichen Verpflichtungen nachzukommen.	Der Kunde ist ein Controller. Extensis ist ein Controller.	Der Kunde ist der Datenexporteur. Extensis ist der Datenimporteur und importiert Daten in die Vereinigten Staaten.	Name, Titel und Kontaktinformationen der Mitarbeiter der Parteien.	Keine	Fortlaufend		Baustein 1

 

Zeitplan 2: Technische und organisatorische Sicherheitsmaßnahmen

In seiner Eigenschaft als Auftragsverarbeiter hat Extensis eine schriftliche Informationssicherheitspolitik implementiert, die folgende Punkte behandelt

• Rollen und Verantwortlichkeiten für die Verwaltung von Sicherheitskontrollen.
• Disziplinarmaßnahmen für Mitarbeiter.
• Management von Ausnahmen.
• Risikobewertungen.
• Ausbildung der Mitarbeiter.
• Vermögensverwaltung und Verschlüsselung.
• Physische und umgebungsbezogene Sicherheit.
• Zugangskontrollen.
• Protokollierung und Überwachung.
• Reaktion auf Vorfälle.
• Geschäftskontinuität und Notfallwiederherstellung.
• Mobile Geräte und Telearbeit.

Extensis verwendet eine sichere Lösung, um den Transfer von persönlichen Daten mit Kunden zu erleichtern.