Der Schutz der per­so­n­en­be­zo­ge­nen Dat­en von Indi­viduen ist ein grundle­gen­des Recht nach dem EU-Recht und wird derzeit durch die All­ge­meine Daten­schutzverord­nung (Verord­nung (EU) ²⁰¹⁶⁄₆₇₉) (die „DSG­VO“) geregelt. Die DSG­VO legt fest, dass die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en durch einen Auf­tragsver­ar­beit­er im Auf­trag eines Ver­ant­wortlichen durch einen schriftlichen Ver­trag geregelt wer­den muss, der unter anderem die Umstände und Bedin­gun­gen enthält, unter denen eine solche Ver­ar­beitung erfol­gen kann.

Diese Daten­schutzvere­in­barung (die „Vere­in­barung“ oder „DPA“) ist Teil der Nutzungs­be­din­gun­gen von Work­sec­tion, die unter worksection.com/en/agreement.html ver­füg­bar sind (die „Nutzungs­be­din­gun­gen“, die von Zeit zu Zeit aktu­al­isiert wer­den), oder ein­er anderen Vere­in­barung, die die Nutzung der Dien­ste von Work­sec­tion regelt („Vere­in­barung“), die zwis­chen Ihnen, dem Kun­den (wie im Ver­trag definiert — gemein­sam „Sie“, „Ihr“, „Kunde“) und Work­sec­tion LLC („Work­sec­tion“, „uns“, „wir“, „unser“) geschlossen wurde, um die Vere­in­barung der Parteien bezüglich der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en durch Work­sec­tion auss­chließlich im Auf­trag des Kun­den widerzus­piegeln. Bei­de Parteien wer­den als die „Parteien“ beze­ich­net und jede als „Partei“.

Die Parteien haben vere­in­bart, dass Work­sec­tion dem Kun­den ein cloud­basiertes Pro­jek­t­man­age­ment-Tool (hier­nach als „Dien­ste“ beze­ich­net) zur Ver­fü­gung stellen wird, im Rah­men dessen Work­sec­tion bes­timmte per­so­n­en­be­zo­gene Dat­en im Auf­trag des Kun­den in der Eigen­schaft als Auf­tragsver­ar­beit­er ver­ar­beit­en wird. Insofern erken­nen die Parteien die Notwendigkeit an, diese sep­a­rate Anlage einzuge­hen, um die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en durch Work­sec­tion im Auf­trag des Kun­den zu regeln. Durch die Nutzung der Dien­ste akzep­tiert der Kunde diese DPA und jed­er, der im Namen eines Unternehmens oder ein­er anderen juris­tis­chen Per­son in die Nutzungs­be­din­gun­gen ein­tritt, erk­lärt, die Befug­nis zu besitzen, diese Entität und deren ver­bun­de­nen Unternehmen an diese Bedin­gun­gen zu binden, in welchem Fall sich die Begriffe „Sie“ und „Ihr“ hier­auf beziehen. Falls Sie nicht in der Lage sind oder nicht zus­tim­men, diese DPA einzuhal­ten und gebun­den zu sein oder keine Befug­nis haben, den Kun­den oder eine andere Entität zu binden, geben Sie bitte keine per­so­n­en­be­zo­ge­nen Dat­en an uns weiter.

Für den Fall eines Kon­flik­ts zwis­chen bes­timmten Bes­tim­mungen dieser DPA und den Bes­tim­mungen der Vere­in­barung haben die Bes­tim­mungen dieser DPA Vor­rang vor den gegen­sät­zlichen Bes­tim­mungen der Vere­in­barung auss­chließlich in Bezug auf die Ver­ar­beitung per­so­n­en­be­zo­gen­er Daten.

Die in diesem Doku­ment nicht definierten Begriffe haben die Bedeu­tun­gen, die solchen Begrif­f­en in der Vere­in­barung zugewiesen sind.

(a) „Tochterge­sellschaft“ beze­ich­net jede Ein­heit, die direkt oder indi­rekt das Sub­jekt kon­trol­liert, von ihm kon­trol­liert wird oder unter gemein­samer Kon­trolle mit dem Sub­jekt ste­ht. „Kon­trolle“ bedeutet im Sinne dieser Def­i­n­i­tion den direk­ten oder indi­rek­ten Besitz oder die Kon­trolle von mehr als 50 % der Stimm­rechte der betrof­fe­nen Einheit.

(b) „Autorisierte Tochterge­sellschaft“ beze­ich­net jede der Tochtergesellschaft(en) des Kun­den, die aus­drück­lich berechtigt ist, die Dien­ste gemäß der Vere­in­barung zwis­chen dem Kun­den und Work­sec­tion zu nutzen, aber keinen eige­nen Ver­trag mit Work­sec­tion unterze­ich­net hat und somit keine „Kunde“ im Sinne der Vere­in­barung ist.

© „CCPA“ beze­ich­net das kali­for­nische Gesetz über den Daten­schutz von Ver­brauch­ern von 2018. Abschnitt 1798.100.

(d) Die Begriffe „Ver­ant­wortlich­er“, „Mit­glied­staat“, „Auf­tragsver­ar­beit­er“, „Ver­ar­beitung“ und „Auf­sichts­be­hörde“ haben die gle­iche Bedeu­tung wie in der DSG­VO. Die Begriffe „Unternehmen“, „Geschäft­szweck“, „Ver­brauch­er“ und „Dien­stan­bi­eter“ haben die gle­iche Bedeu­tung wie im CCPA.

Zur Klarstel­lung bedeutet im Rah­men dieser DPA „Ver­ant­wortlich­er“ auch „Unternehmen“ und „Auf­tragsver­ar­beit­er“ bedeutet auch „Dien­stan­bi­eter“, soweit der CCPA Anwen­dung find­et. In gle­ich­er Weise bezieht sich der Auf­tragsver­ar­beit­er auf den Unterauftragsverarbeiter.

(e) „Daten­schutzge­set­ze“ beze­ich­net alle gel­tenden und verbindlichen Daten­schutzrechte und ‑vorschriften, ein­schließlich der entsprechen­den Geset­ze und Vorschriften der Europäis­chen Union, des Europäis­chen Wirtschaft­sraums und deren Mit­glied­staat­en, der Schweiz, des Vere­inigten Kön­i­gre­ichs, Kanadas und der Vere­inigten Staat­en von Ameri­ka, die auf die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en gemäß der Vere­in­barung Anwen­dung find­en, ein­schließlich (ohne Ein­schränkung) der DSG­VO, der UK-DSG­VO und des CCPA, die auf die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en hierunter Anwen­dung find­en und zum Zeit­punkt der Leis­tung des Auf­trag­nehmers hierunter in Kraft sind.

(f) „Betrof­fen­er“ beze­ich­net die iden­ti­fizierte oder iden­ti­fizier­bare Per­son, auf die sich die per­so­n­en­be­zo­ge­nen Dat­en beziehen.

(g) „DSG­VO“ beze­ich­net die Verord­nung (EU) ²⁰¹⁶⁄₆₇₉ des Europäis­chen Par­la­ments und des Rates vom 27. April 2016 über den Schutz natür­lich­er Per­so­n­en bei der Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en und über den freien Verkehr solch­er Dat­en sowie die Aufhe­bung der Richtlin­ie 95/46/EG (All­ge­meine Datenschutzverordnung).

(h) „Per­so­n­en­be­zo­gene Dat­en“ oder „Per­sön­liche Infor­ma­tio­nen“ beze­ich­net alle Infor­ma­tio­nen, die eine iden­ti­fizierte, sich auf eine iden­ti­fizierte beziehende oder zur Iden­ti­fika­tion ein­er natür­lichen Per­son oder eines Ver­brauch­ers geeignet sind, und die auss­chließlich im Auf­trag des Kun­den von Work­sec­tion ver­ar­beit­et wer­den, gemäß dieser DPA und der Vere­in­barung zwis­chen Kunde und Worksection.

(i) „Dien­ste“ beze­ich­net das cloud­basierte Betrieb­ssys­tem (“Plat­tform”) und alle anderen Dien­ste, die dem Kun­den von Work­sec­tion im Rah­men der Vere­in­barung zur Ver­fü­gung gestellt werden.

(j) „Sicher­heits­doku­men­ta­tion“ beze­ich­net die Sicher­heits­doku­men­ta­tion, die spez­i­fisch für die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en durch Work­sec­tion gemäß der Vere­in­barung und dieser DPA anwend­bar ist, und die von Zeit zu Zeit aktu­al­isiert wird und über worksection.com/en/agreement.html zugänglich ist, oder anders von Work­sec­tion in zumut­barem Umfang zur Ver­fü­gung gestellt wird.

(k) „Beson­dere Dat­en“ beze­ich­net per­so­n­en­be­zo­gene Dat­en, die unter speziellen geset­zlichen Bes­tim­mungen geschützt sind und beson­dere Behand­lung erfordern, wie „beson­dere Kat­e­gorien von Dat­en“, „sen­si­ble Dat­en“ oder andere ähn­lichen Begriffe unter anwend­baren Daten­schutzge­set­zen, die Fol­gen­des umfassen kön­nen: (a) Sozialver­sicherungsnum­mer, Steuer­datei-Num­mer, Reisep­a­ss­num­mer, Führerschein­num­mer oder ähn­lich Iden­ti­fika­tor (oder Teile davon); (b) Kred­it- oder Deb­itkarten­num­mer; © finanzielle, kredit‑, genetis­che, bio­metrische oder Gesund­heitsin­for­ma­tio­nen; (d) Infor­ma­tio­nen, die auf Rasse oder eth­nis­che Herkun­ft, poli­tis­che Mei­n­un­gen, religiöse oder philosophis­che Überzeu­gun­gen oder Gew­erkschaft­szuge­hörigkeit, genetis­che Dat­en oder bio­metrische Dat­en zur ein­deuti­gen Iden­ti­fizierung ein­er natür­lichen Per­son schließen, Dat­en über die Gesund­heit oder das Sex­u­alleben oder die sex­uelle Ori­en­tierung ein­er Per­son oder Dat­en in Bezug auf strafrechtliche Verurteilun­gen und Straftat­en beziehen; und/oder (e) Kon­topass­wörter in unver­schlüs­sel­ter Form.

(l) „Unter­auf­tragsver­ar­beit­er“ beze­ich­net jede Drittpartei, die per­so­n­en­be­zo­gene Dat­en unter der Anleitung oder Auf­sicht von Work­sec­tion verarbeitet.

(m) „UK-DSG­VO“ beze­ich­net das Daten­schutzge­setz 2018, sowie die DSG­VO, soweit es Teil des Rechts von Eng­land und Wales, Schot­t­land und Nordir­land gemäß Abschnitt 3 des Geset­zes über den Aus­tritt der Europäis­chen Union (With­draw­al) Act 2018 ist und geän­dert wurde durch die Datenschutz‑, Pri­vatheits- und elek­tro­n­is­chen Kom­mu­nika­tionsverord­nung (Änderun­gen usw.) (EU-Aus­tritt) 2019 (SI ²⁰¹⁹⁄₄₁₉).

2.1. Umfang und Rollen. Diese Anlage gilt, wenn Kun­den­dat­en von Work­sec­tion im Auf­trag des Kun­den im Rah­men der Erbringung der Dien­ste ver­ar­beit­et werden.

2.2. Ein­hal­tung der Geset­ze. Jede Partei wird alle Geset­ze, Vorschriften und Regelun­gen ein­hal­ten, die auf sie anwend­bar und bindend sind, bei der Erfül­lung dieser Anlage, ein­schließlich aller geset­zlichen Anforderun­gen, die die Daten­ver­ar­beitung betreffen.

2.3. Die Art und der Zweck der Daten­ver­ar­beitung. Solange der Kunde die Dien­ste nutzt und infolgedessen, dass der Kunde die Dien­ste nutzt, wird Work­sec­tion Kun­den­dat­en im Auf­trag des Kun­den ver­ar­beit­en. Kun­den­dat­en umfassen, sind aber nicht beschränkt auf Namen, Adressen und Kon­tak­t­dat­en der ein­ge­lade­nen Nutzer des Kun­den sowie andere Arten per­so­n­en­be­zo­gen­er Dat­en, die der Kunde in ver­schiede­nen Pro­jek­ten, Samm­lun­gen und Boards in die Dien­ste hochlädt. Kun­den­dat­en kön­nen sich auf die Mitar­beit­er, Direk­toren, lei­t­en­den Angestell­ten, Kun­den und Sub­un­ternehmer des Kun­den beziehen, aber auch auf Dritte, die irgend­wie Teil eines vom Kun­den ver­wal­teten Pro­jek­ts sind, wenn die Dien­ste ver­wen­det wer­den. Kun­den­dat­en kön­nen auch tech­nis­che Dat­en, Nutzungs­dat­en, Qual­itätssta­tis­tiken und ähn­liche Infor­ma­tio­nen umfassen (ein­schließlich, aber nicht beschränkt auf geräte­spez­i­fis­che und stan­dort­basierte Metriken), die den Zugriff und die Nutzung der Dien­ste durch den Kun­den betreffen.

2.4. Anweisun­gen für die Daten­ver­ar­beitung. Work­sec­tion wird Kun­den­dat­en gemäß den doku­men­tierten Anweisun­gen des Kun­den ver­ar­beit­en, ein­schließlich hin­sichtlich der Über­mit­tlung per­so­n­en­be­zo­gen­er Dat­en in ein Drit­t­land oder an eine inter­na­tionale Organ­i­sa­tion, es sei denn, es ist nach gel­ten­dem Recht erforder­lich, dies anders zu tun. Etwaige zusät­zliche Kosten, die sich aus solchen Beschränkun­gen ergeben, gehen zu Las­ten des Kun­den. Die Parteien vere­in­baren, dass diese Anlage die voll­ständi­gen und endgülti­gen Anweisun­gen des Kun­den an Work­sec­tion hin­sichtlich der Ver­ar­beitung von Kun­den­dat­en darstellt. Eine Ver­ar­beitung außer­halb des Rah­mens dieser Anlage (sofern vorhan­den) erfordert eine vorherige schriftliche Vere­in­barung zwis­chen Work­sec­tion und dem Kun­den über zusät­zliche Anweisun­gen zur Ver­ar­beitung, ein­schließlich der Vere­in­barung über etwaige zusät­zliche Gebühren, die der Kunde Work­sec­tion für die Durch­führung solch­er Anweisun­gen zahlen wird. Der Kunde kann diese Anlage kündi­gen, wenn Work­sec­tion sich weigert, die vom Kun­den geforderten Anweisun­gen zu befol­gen, die außer­halb des Rah­mens dieser Anlage liegen.

2.5. Zugriff oder Nutzung. Work­sec­tion wird Kun­den­dat­en nicht zugreifen oder ver­wen­den, es sei denn, es ist notwendig, um die ange­forderten Dien­ste aufrechtzuer­hal­ten, zu verbessern und bereitzustellen.

2.6. Details der Ver­ar­beitung. Die Dauer der Ver­ar­beitung, die Art und der Zweck der Ver­ar­beitung, die Arten von Kun­den­dat­en und Kat­e­gorien von betrof­fe­nen Per­so­n­en, die unter dieser DPA ver­ar­beit­et wer­den, sind im Anhang 1 (Details der Ver­ar­beitung) zu dieser DPA weit­er spezifiziert.

2.7. Unter­stützung. Unter Berück­sich­ti­gung der Art der Ver­ar­beitung hil­ft Work­sec­tion dem Kun­den durch angemessene tech­nis­che und organ­isatorische Maß­nah­men, soweit dies möglich ist, um die Verpflich­tung des Kun­den zu erfüllen, auf Anfra­gen zur Ausübung der Rechte der betrof­fe­nen Per­so­n­en zu reagieren.

2.8. Offen­le­gung. Work­sec­tion wird Kun­den­dat­en nicht an die Regierung weit­ergeben, es sei denn, dies ist notwendig, um dem Gesetz oder ein­er gülti­gen und binden­den Anord­nung ein­er Strafver­fol­gungs­be­hörde (wie ein­er Vor­ladung oder gerichtlichen Anord­nung) nachzukom­men. Wenn eine Strafver­fol­gungs­be­hörde Work­sec­tion eine Anfrage nach Kun­den­dat­en sendet, wird Work­sec­tion ver­suchen, die Strafver­fol­gungs­be­hörde dazu zu brin­gen, dass die Dat­en direkt vom Kun­den ange­fordert wer­den. Im Rah­men dieser Bemühun­gen kann Work­sec­tion die grundle­gen­den Kon­tak­t­dat­en des Kun­den der Strafver­fol­gungs­be­hörde zur Ver­fü­gung stellen. Wenn Work­sec­tion gezwun­gen ist, Kun­den­dat­en an eine Strafver­fol­gungs­be­hörde weit­erzugeben, wird Work­sec­tion dem Kun­den eine angemessene Mit­teilung über die Anfrage geben, um dem Kun­den zu ermöglichen, eine Schutzanord­nung oder ein anderes angemessenes Rechtsmit­tel zu suchen, es sei denn, dazu ist Work­sec­tion geset­zlich verboten.

2.9. Per­son­al von Work­sec­tion. Work­sec­tion beschränkt sein Per­son­al, Kun­den­dat­en ohne Genehmi­gung von Work­sec­tion zu ver­ar­beit­en. Work­sec­tion wird angemessene ver­tragliche Verpflich­tun­gen gegenüber seinem Per­son­al aufer­legen, ein­schließlich rel­e­van­ter Verpflich­tun­gen bezüglich Ver­traulichkeit, Daten­schutz und Datensicherheit.

2.10. Kun­denkon­trollen. Work­sec­tion stellt dem Kun­den eine Rei­he von Sicher­heits­funk­tio­nen und ‑funk­tio­nen zur Ver­fü­gung, die der Kunde nutzen kann. Der Kunde ist dafür ver­ant­wortlich, die Dien­ste ord­nungs­gemäß (a) zu kon­fig­uri­eren, (b) die in Verbindung mit den Dien­sten ver­füg­baren Kon­trollen (ein­schließlich der Sicher­heit­skon­trollen) zu ver­wen­den, und © alle Schritte zu unternehmen, die der Kunde für angemessen hält, um eine angemessene Sicher­heit, Schutz, Löschung und Sicherung der Kun­den­dat­en zu gewährleis­ten, was den Ein­satz von Ver­schlüs­selung­stech­nolo­gie zum Schutz der Kun­den­dat­en vor unbefugtem Zugriff und die rou­tinemäßige Archivierung von Kun­den­dat­en umfassen kann.

3.1. Über­tra­gun­gen aus dem EWR und der Schweiz in Län­der, die ein angemessenes Daten­schutzniveau bieten. Per­so­n­en­be­zo­gene Dat­en kön­nen von EU-Mit­glied­staat­en, Nor­we­gen, Liecht­en­stein und Island (gemein­sam „EWR“) und der Schweiz in Län­der über­tra­gen wer­den, die gemäß den Angemessen­heit­sentschei­dun­gen der zuständi­gen Daten­schutzbe­hör­den des EWR, der Europäis­chen Union, der Mit­glied­staat­en oder der Europäis­chen Kom­mis­sion oder der Schweiz als gegenüber­liegen­des Land ein angemessenes Daten­schutzniveau bieten (“Angemessen­heit­sentschei­dun­gen”), wie zutr­e­f­fend, ohne dass eine weit­ere Schutz­maß­nahme erforder­lich ist.

3.2. Über­tra­gun­gen in andere Län­der. Falls die Ver­ar­beitung von per­so­n­en­be­zo­ge­nen Dat­en durch Work­sec­tion Über­tra­gun­gen (entwed­er direkt oder über eine Über­tra­gung) vom EWR oder der Schweiz in andere Län­der umfasst, die nicht Gegen­stand ein­er rel­e­van­ten Angemessen­heit­sentschei­dung waren, und solche Über­tra­gun­gen nicht über einen alter­na­tiv­en anerkan­nten Com­pli­ance-Mech­a­nis­mus erfol­gen, wie er von Work­sec­tion für die recht­mäßige Über­tra­gung per­so­n­en­be­zo­gen­er Dat­en (wie in der DSG­VO definiert) außer­halb des EWR oder der Schweiz angenom­men wer­den kann, gel­ten die „Stan­dard­ver­tragsklauseln 2021“ (wie von der Europäis­chen Kom­mis­sion in der Entschei­dung zur umset­zen­den Entschei­dung (EU) ²⁰²¹⁄₉₁₄ genehmigt) und die dazuge­höri­gen Anhänge und Anlagen.

Work­sec­tion wird tech­nis­che und organ­isatorische Maß­nah­men umset­zen, um Kun­den­dat­en gegen unbe­ab­sichtigte oder unrecht­mäßige Zer­störung oder unbe­ab­sichtigten Ver­lust, Verän­derung, unbefugte Ver­ar­beitung, Offen­le­gung und Zugriff zu schützen, die geset­zlich gefordert wer­den. Work­sec­tion wird ein Infor­ma­tion­ssicher­heit­spro­gramm aufrechter­hal­ten (ein­schließlich der Ver­ab­schiedung und Durch­set­zung intern­er Richtlin­ien und Ver­fahren), das darauf aus­gelegt ist, (a) dem Kun­den zu helfen, die Kun­den­dat­en gegen unbe­ab­sichtigte oder unrecht­mäßige Ver­luste, Zugriffe oder Offen­le­gun­gen abzu­sich­ern, (b) vernün­ftiger­weise vorherse­hbare interne Sicher­heit­srisiken und unbefugten Zugriff auf Work­sec­tion zu iden­ti­fizieren, und © Sicher­heit­srisiken zu min­imieren, ein­schließlich durch Risikobe­w­er­tung und regelmäßige Tests. Work­sec­tion wird einen oder mehrere Mitar­beit­er benen­nen, die für das Infor­ma­tion­ssicher­heit­spro­gramm ver­ant­wortlich sind und die koor­dinieren. Das Infor­ma­tion­ssicher­heit­spro­gramm wird Maß­nah­men in Bezug auf sowohl Net­zw­erk- als auch physis­che Sicher­heit umfassen und wird von Work­sec­tion peri­odisch über­prüft, um festzustellen, ob zusät­zliche oder andere Sicher­heits­maß­nah­men erforder­lich sind, um auf neue Sicher­heit­srisiken oder Ergeb­nisse, die durch die peri­odis­chen Über­prü­fun­gen gener­iert wer­den, zu reagieren. Wenn der Kunde wün­scht, dass Work­sec­tion weit­ere Maß­nah­men ergreift, wird Work­sec­tion dies in angemessen­em Umfang tun, die zusät­zlichen Kosten trägt jedoch der Kunde. Der Kunde bestätigt, dass er die in Anhang 2 fest­gelegten Maß­nah­men für angemessene tech­nis­che und organ­isatorische Sicher­heitsvorkehrun­gen in Bezug auf die Ver­ar­beitung per­so­n­en­be­zo­gen­er Dat­en hält.

Der Kunde ist allein ver­ant­wortlich für die Über­prü­fung der Infor­ma­tio­nen, die von Work­sec­tion in Bezug auf die Daten­sicher­heit bere­it­gestellt wer­den, und für die unab­hängige Fest­stel­lung, ob die Dien­ste den Anforderun­gen des Kun­den entsprechen, sowie dafür, dass die Mitar­beit­er und Berater des Kun­den die ihnen bezüglich der Daten­sicher­heit bere­it­gestell­ten Richtlin­ien befolgen.

Auf Anfrage des Kun­den und während der reg­ulären Geschäft­szeit­en wird Work­sec­tion seine Ein­rich­tun­gen zur Daten­ver­ar­beitung für die Prü­fung der Ver­ar­beitungstätigkeit­en, die durch die Anlage abgedeckt sind, vor­legen, die vom Kun­den auf Kosten des Kun­den durchge­führt wer­den soll.

7.1. Wenn Work­sec­tion von (a) unrecht­mäßigem Zugriff auf Kun­den­dat­en, die auf der Aus­rüs­tung von Work­sec­tion oder in den Ein­rich­tun­gen von Work­sec­tion gespe­ichert sind, oder (b) unbefugtem Zugriff auf diese Aus­rüs­tung oder Ein­rich­tun­gen Ken­nt­nis erlangt, der in bei­den Fällen zu Ver­lust, Offen­le­gung oder Änderung von Kun­den­dat­en führt (jew­eils ein „Sicher­heitsvor­fall“), wird Work­sec­tion unverzüglich: (a) den Kun­den über den Sicher­heitsvor­fall informieren; und (b) angemessene Maß­nah­men ergreifen, um die Auswirkun­gen zu min­dern und um etwaige Schä­den zu min­imieren, die aus dem Sicher­heitsvor­fall resultieren.

7.2. Der Kunde stimmt zu, dass:

(i) ein erfol­glos­er Sicher­heitsvor­fall nicht Gegen­stand dieses Abschnitts ist. Ein erfol­glos­er Sicher­heitsvor­fall ist ein­er, der nicht zu unbefugtem Zugriff auf Kun­den­dat­en oder auf die Aus­rüs­tung oder Ein­rich­tun­gen von Work­sec­tion, in denen Kun­den­dat­en gespe­ichert sind, führt und kann unter anderem Pings und andere Broad­cast-Angriffe auf Fire­walls oder Edge-Serv­er, Portscans, erfol­glose Anmelde­v­er­suche, Denial-of-Ser­vice-Angriffe, Pack­et-Sniff­ing (oder andere unbefugte Zugriffe auf Verkehrs­dat­en, die nicht über IP-Adressen oder Head­er hin­aus­ge­hen) oder ähn­liche Vor­fälle umfassen; und

(ii) die Verpflich­tung von Work­sec­tion, einen Sicher­heitsvor­fall gemäß diesem Abschnitt zu melden oder darauf zu reagieren, ist nicht und wird nicht als Anerken­nung von Schuld oder Haf­tung von Work­sec­tion in Bezug auf den Sicher­heitsvor­fall ausgelegt.

7.3. Sicher­heitsvor­fälle, falls vorhan­den, wer­den einem oder mehreren Admin­is­tra­toren des Kun­den von Work­sec­tion auf beliebigem Wege, den Work­sec­tion auswählt, ein­schließlich per E‑Mail, mit­geteilt. Es liegt in der alleini­gen Ver­ant­wor­tung des Kun­den, sicherzustellen, dass die Admin­is­tra­toren des Kun­den stets kor­rek­te Kon­tak­t­dat­en in Work­sec­tion aufrechterhalten.

8.1. Erlaubte Unter­auf­tragsver­ar­beit­er. Der Kunde stimmt zu, dass Work­sec­tion Unter­auf­tragsver­ar­beit­er ein­set­zen kann, um seinen ver­traglichen Verpflich­tun­gen unter dieser Vere­in­barung nachzukom­men oder bes­timmte Dien­stleis­tun­gen in seinem Namen zu erbrin­gen, wie z.B. Sup­port­di­en­ste. Work­sec­tion führt eine Liste von Unter­auf­tragsver­ar­beit­ern auf sein­er Web­site worksection.com/en/agreement.html. Work­sec­tion wird den Kun­den über beab­sichtigte Änderun­gen hin­sichtlich der Hinzufü­gung oder des Aus­tauschs von Unter­auf­tragsver­ar­beit­ern informieren, gegen die der Kunde Ein­spruch erheben kann. Der Kunde wird informiert, wenn Work­sec­tion die Liste der Unter­auf­tragsver­ar­beit­er auf sein­er Web­site aktu­al­isiert. Wenn der Kunde inner­halb von dreißig (30) Tagen nach Erhalt der Mitteilung/dem Aktu­al­isierungs­da­tum auf der Web­site keinen Ein­spruch erhebt, wird davon aus­ge­gan­gen, dass der Kunde keinen Ein­spruch erhoben hat. Im Falle eines Ein­spruchs des Kun­den hat Work­sec­tion das Recht, den Ein­spruch des Kun­den nach eigen­em Ermessen zu beseit­i­gen. Wenn (i) keine Kor­rek­tur­op­tion vernün­ftiger­weise ver­füg­bar ist; oder (ii) die Parteien keine ein­vernehm­liche Lösung find­en kon­nten, und (iii) der Ein­spruch inner­halb von dreißig (30) Tagen nach Erhalt des Ein­spruchs nicht behoben wurde, kann jede Partei die Nutzungs­be­din­gun­gen mit sofor­tiger Wirkung kündigen.

8.2. Verpflich­tun­gen der Unter­auf­tragsver­ar­beit­er. Wo Work­sec­tion einen Unter­auf­tragsver­ar­beit­er wie in diesem Abschnitt beschrieben autorisiert:

(i) wird Work­sec­tion den Zugriff des Unter­auf­tragsver­ar­beit­ers auf Kun­den­dat­en nur auf das Notwendi­ge beschränken, um die Dien­ste aufrechtzuer­hal­ten oder um die Dien­ste gemäß den Nutzungs­be­din­gun­gen und Work­sec­tion dem Kun­den bere­itzustellen, und Work­sec­tion wird dem Unter­auf­tragsver­ar­beit­er den Zugriff auf Kun­den­dat­en für andere Zwecke untersagen.

(ii) Work­sec­tion wird dem Unter­auf­tragsver­ar­beit­er angemessene ver­tragliche Verpflich­tun­gen schriftlich aufer­legen, die nicht weniger schützend sind als diese Anlage, ein­schließlich rel­e­van­ter ver­traglich­er Verpflich­tun­gen bezüglich Ver­traulichkeit, Daten­schutz, Daten­sicher­heit und Auditrecht­en; und

(iii) Work­sec­tion bleibt ver­ant­wortlich für die Ein­hal­tung der Verpflich­tun­gen dieser Anlage und für alle Hand­lun­gen oder Unter­las­sun­gen des Unter­auf­tragsver­ar­beit­ers, die dazu führen, dass Work­sec­tion gegen eine der Verpflich­tun­gen von Work­sec­tion aus dieser Anlage verstößt.

Falls Kun­den­dat­en während Insol­venz- oder Konkursver­fahren oder ähn­lichen Maß­nah­men durch Dritte beschlagnahmt wer­den, während sie von Work­sec­tion ver­ar­beit­et wer­den, wird Work­sec­tion den Kun­den ohne unangemessene Verzögerung informieren. Work­sec­tion wird ohne unangemessene Verzögerung alle rel­e­van­ten Parteien in einem solchen Ver­fahren (z.B. Gläu­biger, Konkursver­wal­ter) benachrichti­gen, dass alle Kun­den­dat­en, die diesen Ver­fahren unter­liegen, Eigen­tum und Ver­ant­wor­tung des Kun­den sind und dass die Kun­den­dat­en auss­chließlich im Ermessen des Kun­den stehen.

Nach Beendi­gung der Vere­in­barung und Ein­stel­lung der Dien­stleis­tun­gen hat der Kunde (angezeigt über die Plat­tform oder in ein­er schriftlichen Mit­teilung an den Auf­tragsver­ar­beit­er) die Wahl, dass der Auf­tragsver­ar­beit­er alle per­so­n­en­be­zo­ge­nen Dat­en, die er auss­chließlich im Auf­trag des Kun­den ver­ar­beit­et, auf die im Ver­trag beschriebene Weise löschen oder an den Kun­den zurück­geben soll, und der Auf­tragsver­ar­beit­er wird vorhan­dene Kopi­en dieser per­so­n­en­be­zo­ge­nen Dat­en löschen, es sei denn, die Daten­schutzge­set­ze ver­lan­gen etwas anderes. Soweit dies durch gel­tendes Recht genehmigt oder erforder­lich ist, kann der Auf­tragsver­ar­beit­er auch eine Kopie der per­so­n­en­be­zo­ge­nen Dat­en für Beweiszwecke und/oder zur Gel­tend­machung, Ausübung oder Abwehr von Recht­sansprüchen und/oder zur Erfül­lung rechtlich­er Verpflich­tun­gen aufbewahren.

Der Kunde kann per­so­n­en­be­zo­gene Dat­en an den Dienst über­mit­teln, die dann fol­gende Kat­e­gorien von betrof­fe­nen Per­so­n­en umfassen kön­nen, aber nicht darauf beschränkt sind:

● Ein­ge­ladene Nutzer des Kunden

● Mitar­beit­er des Kunden

● Berater des Kunden

● Vertreter des Kunden

● Berater des Kunden

● Geschäftspart­ner und Anbi­eter des Kun­den (die natür­liche Per­so­n­en sind)

Jede andere Drittpartei, mit der der Kunde entschei­det, über den Dienst zu kommunizieren.

Alle per­so­n­en­be­zo­ge­nen Dat­en, die in den Kun­den­dat­en enthal­ten sind, d. h. per­so­n­en­be­zo­gene Dat­en, die vom Kun­den über die Work­sec­tion-Kon­ten des Kun­den hochge­laden oder ander­weit­ig von Work­sec­tion im Auf­trag des Kun­den ver­ar­beit­et wer­den, im Zusam­men­hang mit der Nutzung der Dien­ste durch den Kunden.

Der Kunde erken­nt an und ver­ste­ht, dass die Dien­ste für Zusam­me­nar­beit und Pla­nung genutzt wer­den und dass sie nicht zur Ver­ar­beitung beson­der­er Kat­e­gorien per­so­n­en­be­zo­gen­er Dat­en konzip­iert sind.

Vor­be­haltlich etwaiger Abschnitte der DPA und/oder der Vere­in­barung, die sich mit der Dauer der Ver­ar­beitung und den Fol­gen des Ablaufs oder der Beendi­gung davon befassen, wird Work­sec­tion per­so­n­en­be­zo­gene Dat­en gemäß der DPA und der Vere­in­barung für die Dauer der Vere­in­barung ver­ar­beit­en, es sei denn, es wird schriftlich etwas anderes vere­in­bart. Der Kunde wird die hochge­lade­nen per­so­n­en­be­zo­ge­nen Dat­en in Übere­in­stim­mung mit seinen eige­nen Auf­be­wahrungsrichtlin­ien selb­st löschen.

Die Ver­ar­beitung erfol­gt kon­tinuier­lich, während der Kunde die Dien­ste in Anspruch nimmt.

Die per­so­n­en­be­zo­ge­nen Dat­en kön­nen fol­gen­den Ver­ar­beitungsak­tiv­itäten unter­zo­gen werden:

● Spe­icherung und andere Ver­ar­beitung, die erforder­lich sind, um die Dien­ste zu erbrin­gen, aufrechtzuer­hal­ten und zu verbessern, die dem Daten­ex­por­teur bere­it­gestellt werden;

● Bere­it­stel­lung von Kun­den- und tech­nis­chen Sup­port an den Datenexporteur;

● Offen­le­gun­gen gemäß der Vere­in­barung, wie durch das Gesetz gefordert.

Unter­auf­tragsver­ar­beit­er wer­den von Work­sec­tion für Web-Analy­sen, ERP, Kun­de­n­an­a­lytik, Kun­den­sup­port, Serv­er und Host­ing sowie E‑Mail-Funk­tio­nen eingesetzt.

Work­sec­tion hält Kun­den­dat­en ruhend mit ein­er Ver­schlüs­selungsstärke, die gle­ich­w­er­tig mit 256-Bit sym­metrisch­er Kryp­tografie oder bess­er ist, ver­schlüs­selt. Dat­en wer­den während der Über­tra­gung mit TLS 1.2 oder höher verschlüsselt.

Die Infra­struk­tur der Work­sec­tion-Dien­ste erstreckt sich über mehrere Rechen­zen­tren in ver­schiede­nen EU-Län­dern und in der Ukraine.

Work­sec­tion sichert Kun­den­dat­en in Echtzeit. Back­ups wer­den redun­dant in mehreren Rechen­zen­tren auf­be­wahrt und während der Über­tra­gung und im Ruhezu­s­tand mit branchenüblichen Ver­schlüs­selun­gen bei ein­er Ver­schlüs­selungsstärke, die ein­er 256-Bit sym­metrischen Kryp­tografie gle­ich­w­er­tig ist, verschlüsselt.

Work­sec­tion betreibt ein Sicher­heit­spro­gramm, das auf den ISO 27001-Stan­dards basiert. Dazu gehören Verwaltungs‑, organ­isatorische, tech­nis­che und physis­che Sicher­heits­maß­nah­men, die darauf abzie­len, die Ver­traulichkeit, Integrität und Ver­füg­barkeit von Kun­den­dat­en zu schützen. Work­sec­tion führt jährliche Drit­tan­bi­eter-Anwen­dungs- und Net­zw­erkpen­e­tra­tionstests durch.

Das Per­son­al von Work­sec­tion ist verpflichtet, für die Authen­tifizierung ein­deutige Benutzer­an­melde­dat­en und Geheimnisse zu verwenden.

Kun­den­dat­en wer­den mit TLS 1.2 oder höher während der Über­tra­gung zwis­chen dem Kun­den und Work­sec­tion sowie intern zwis­chen den Work­sec­tion-Sys­te­men verschlüsselt.

Kun­den­dat­en wer­den ver­schlüs­selt gespe­ichert, wobei branchenübliche 256-Bit sym­metrische Ver­schlüs­selun­gen ver­wen­det werden.

Work­sec­tion wen­det Stan­dards für den sicheren Soft­wa­reen­twick­lungsleben­szyk­lus (Secure SDLC) an, um zahlre­iche sicher­heit­srel­e­vante Aktiv­itäten für die Dien­ste in ver­schiede­nen Phasen des Pro­duk­tentste­hungszyk­lus von der Anforderungser­he­bung und Pro­duk­t­gestal­tung bis hin zur Pro­duk­te­in­führung durchzuführen. Diese Aktiv­itäten umfassen unter anderem die Durch­führung von (a) inter­nen Sicher­heit­sprü­fun­gen, bevor neue Dien­ste bere­it­gestellt wer­den; (b) jährliche Pen­e­tra­tionstests durch unab­hängige Dritte; und © Bedro­hungsmod­elle für neue Dien­ste, um poten­zielle Sicher­heit­sprob­leme zu identifizieren.