Datenverarbeitungszusatz (DPA)
Der Schutz der personenbezogenen Daten von Individuen ist ein grundlegendes Recht nach dem EU-Recht und wird derzeit durch die Allgemeine Datenschutzverordnung (Verordnung (EU) 2016⁄679) (die „DSGVO“) geregelt. Die DSGVO legt fest, dass die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter im Auftrag eines Verantwortlichen durch einen schriftlichen Vertrag geregelt werden muss, der unter anderem die Umstände und Bedingungen enthält, unter denen eine solche Verarbeitung erfolgen kann.
Diese Datenschutzvereinbarung (die „Vereinbarung“ oder „DPA“) ist Teil der Nutzungsbedingungen von Worksection, die unter worksection.com/en/agreement.html verfügbar sind (die „Nutzungsbedingungen“, die von Zeit zu Zeit aktualisiert werden), oder einer anderen Vereinbarung, die die Nutzung der Dienste von Worksection regelt („Vereinbarung“), die zwischen Ihnen, dem Kunden (wie im Vertrag definiert — gemeinsam „Sie“, „Ihr“, „Kunde“) und Worksection LLC („Worksection“, „uns“, „wir“, „unser“) geschlossen wurde, um die Vereinbarung der Parteien bezüglich der Verarbeitung personenbezogener Daten durch Worksection ausschließlich im Auftrag des Kunden widerzuspiegeln. Beide Parteien werden als die „Parteien“ bezeichnet und jede als „Partei“.
Die Parteien haben vereinbart, dass Worksection dem Kunden ein cloudbasiertes Projektmanagement-Tool (hiernach als „Dienste“ bezeichnet) zur Verfügung stellen wird, im Rahmen dessen Worksection bestimmte personenbezogene Daten im Auftrag des Kunden in der Eigenschaft als Auftragsverarbeiter verarbeiten wird. Insofern erkennen die Parteien die Notwendigkeit an, diese separate Anlage einzugehen, um die Verarbeitung personenbezogener Daten durch Worksection im Auftrag des Kunden zu regeln. Durch die Nutzung der Dienste akzeptiert der Kunde diese DPA und jeder, der im Namen eines Unternehmens oder einer anderen juristischen Person in die Nutzungsbedingungen eintritt, erklärt, die Befugnis zu besitzen, diese Entität und deren verbundenen Unternehmen an diese Bedingungen zu binden, in welchem Fall sich die Begriffe „Sie“ und „Ihr“ hierauf beziehen. Falls Sie nicht in der Lage sind oder nicht zustimmen, diese DPA einzuhalten und gebunden zu sein oder keine Befugnis haben, den Kunden oder eine andere Entität zu binden, geben Sie bitte keine personenbezogenen Daten an uns weiter.
Für den Fall eines Konflikts zwischen bestimmten Bestimmungen dieser DPA und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser DPA Vorrang vor den gegensätzlichen Bestimmungen der Vereinbarung ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten.
1. DEFINITIONEN
Die in diesem Dokument nicht definierten Begriffe haben die Bedeutungen, die solchen Begriffen in der Vereinbarung zugewiesen sind.
(a) „Tochtergesellschaft“ bezeichnet jede Einheit, die direkt oder indirekt das Subjekt kontrolliert, von ihm kontrolliert wird oder unter gemeinsamer Kontrolle mit dem Subjekt steht. „Kontrolle“ bedeutet im Sinne dieser Definition den direkten oder indirekten Besitz oder die Kontrolle von mehr als 50 % der Stimmrechte der betroffenen Einheit.
(b) „Autorisierte Tochtergesellschaft“ bezeichnet jede der Tochtergesellschaft(en) des Kunden, die ausdrücklich berechtigt ist, die Dienste gemäß der Vereinbarung zwischen dem Kunden und Worksection zu nutzen, aber keinen eigenen Vertrag mit Worksection unterzeichnet hat und somit keine „Kunde“ im Sinne der Vereinbarung ist.
© „CCPA“ bezeichnet das kalifornische Gesetz über den Datenschutz von Verbrauchern von 2018. Abschnitt 1798.100.
(d) Die Begriffe „Verantwortlicher“, „Mitgliedstaat“, „Auftragsverarbeiter“, „Verarbeitung“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der DSGVO. Die Begriffe „Unternehmen“, „Geschäftszweck“, „Verbraucher“ und „Dienstanbieter“ haben die gleiche Bedeutung wie im CCPA.
Zur Klarstellung bedeutet im Rahmen dieser DPA „Verantwortlicher“ auch „Unternehmen“ und „Auftragsverarbeiter“ bedeutet auch „Dienstanbieter“, soweit der CCPA Anwendung findet. In gleicher Weise bezieht sich der Auftragsverarbeiter auf den Unterauftragsverarbeiter.
(e) „Datenschutzgesetze“ bezeichnet alle geltenden und verbindlichen Datenschutzrechte und ‑vorschriften, einschließlich der entsprechenden Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und deren Mitgliedstaaten, der Schweiz, des Vereinigten Königreichs, Kanadas und der Vereinigten Staaten von Amerika, die auf die Verarbeitung personenbezogener Daten gemäß der Vereinbarung Anwendung finden, einschließlich (ohne Einschränkung) der DSGVO, der UK-DSGVO und des CCPA, die auf die Verarbeitung personenbezogener Daten hierunter Anwendung finden und zum Zeitpunkt der Leistung des Auftragnehmers hierunter in Kraft sind.
(f) „Betroffener“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.
(g) „DSGVO“ bezeichnet die Verordnung (EU) 2016⁄679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und über den freien Verkehr solcher Daten sowie die Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung).
(h) „Personenbezogene Daten“ oder „Persönliche Informationen“ bezeichnet alle Informationen, die eine identifizierte, sich auf eine identifizierte beziehende oder zur Identifikation einer natürlichen Person oder eines Verbrauchers geeignet sind, und die ausschließlich im Auftrag des Kunden von Worksection verarbeitet werden, gemäß dieser DPA und der Vereinbarung zwischen Kunde und Worksection.
(i) „Dienste“ bezeichnet das cloudbasierte Betriebssystem (“Plattform”) und alle anderen Dienste, die dem Kunden von Worksection im Rahmen der Vereinbarung zur Verfügung gestellt werden.
(j) „Sicherheitsdokumentation“ bezeichnet die Sicherheitsdokumentation, die spezifisch für die Verarbeitung personenbezogener Daten durch Worksection gemäß der Vereinbarung und dieser DPA anwendbar ist, und die von Zeit zu Zeit aktualisiert wird und über worksection.com/en/agreement.html zugänglich ist, oder anders von Worksection in zumutbarem Umfang zur Verfügung gestellt wird.
(k) „Besondere Daten“ bezeichnet personenbezogene Daten, die unter speziellen gesetzlichen Bestimmungen geschützt sind und besondere Behandlung erfordern, wie „besondere Kategorien von Daten“, „sensible Daten“ oder andere ähnlichen Begriffe unter anwendbaren Datenschutzgesetzen, die Folgendes umfassen können: (a) Sozialversicherungsnummer, Steuerdatei-Nummer, Reisepassnummer, Führerscheinnummer oder ähnlich Identifikator (oder Teile davon); (b) Kredit- oder Debitkartennummer; © finanzielle, kredit‑, genetische, biometrische oder Gesundheitsinformationen; (d) Informationen, die auf Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder Gewerkschaftszugehörigkeit, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person schließen, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten beziehen; und/oder (e) Kontopasswörter in unverschlüsselter Form.
(l) „Unterauftragsverarbeiter“ bezeichnet jede Drittpartei, die personenbezogene Daten unter der Anleitung oder Aufsicht von Worksection verarbeitet.
(m) „UK-DSGVO“ bezeichnet das Datenschutzgesetz 2018, sowie die DSGVO, soweit es Teil des Rechts von England und Wales, Schottland und Nordirland gemäß Abschnitt 3 des Gesetzes über den Austritt der Europäischen Union (Withdrawal) Act 2018 ist und geändert wurde durch die Datenschutz‑, Privatheits- und elektronischen Kommunikationsverordnung (Änderungen usw.) (EU-Austritt) 2019 (SI 2019⁄419).
2. DATENVERARBEITUNG
2.1. Umfang und Rollen. Diese Anlage gilt, wenn Kundendaten von Worksection im Auftrag des Kunden im Rahmen der Erbringung der Dienste verarbeitet werden.
2.2. Einhaltung der Gesetze. Jede Partei wird alle Gesetze, Vorschriften und Regelungen einhalten, die auf sie anwendbar und bindend sind, bei der Erfüllung dieser Anlage, einschließlich aller gesetzlichen Anforderungen, die die Datenverarbeitung betreffen.
2.3. Die Art und der Zweck der Datenverarbeitung. Solange der Kunde die Dienste nutzt und infolgedessen, dass der Kunde die Dienste nutzt, wird Worksection Kundendaten im Auftrag des Kunden verarbeiten. Kundendaten umfassen, sind aber nicht beschränkt auf Namen, Adressen und Kontaktdaten der eingeladenen Nutzer des Kunden sowie andere Arten personenbezogener Daten, die der Kunde in verschiedenen Projekten, Sammlungen und Boards in die Dienste hochlädt. Kundendaten können sich auf die Mitarbeiter, Direktoren, leitenden Angestellten, Kunden und Subunternehmer des Kunden beziehen, aber auch auf Dritte, die irgendwie Teil eines vom Kunden verwalteten Projekts sind, wenn die Dienste verwendet werden. Kundendaten können auch technische Daten, Nutzungsdaten, Qualitätsstatistiken und ähnliche Informationen umfassen (einschließlich, aber nicht beschränkt auf gerätespezifische und standortbasierte Metriken), die den Zugriff und die Nutzung der Dienste durch den Kunden betreffen.
2.4. Anweisungen für die Datenverarbeitung. Worksection wird Kundendaten gemäß den dokumentierten Anweisungen des Kunden verarbeiten, einschließlich hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, es sei denn, es ist nach geltendem Recht erforderlich, dies anders zu tun. Etwaige zusätzliche Kosten, die sich aus solchen Beschränkungen ergeben, gehen zu Lasten des Kunden. Die Parteien vereinbaren, dass diese Anlage die vollständigen und endgültigen Anweisungen des Kunden an Worksection hinsichtlich der Verarbeitung von Kundendaten darstellt. Eine Verarbeitung außerhalb des Rahmens dieser Anlage (sofern vorhanden) erfordert eine vorherige schriftliche Vereinbarung zwischen Worksection und dem Kunden über zusätzliche Anweisungen zur Verarbeitung, einschließlich der Vereinbarung über etwaige zusätzliche Gebühren, die der Kunde Worksection für die Durchführung solcher Anweisungen zahlen wird. Der Kunde kann diese Anlage kündigen, wenn Worksection sich weigert, die vom Kunden geforderten Anweisungen zu befolgen, die außerhalb des Rahmens dieser Anlage liegen.
2.5. Zugriff oder Nutzung. Worksection wird Kundendaten nicht zugreifen oder verwenden, es sei denn, es ist notwendig, um die angeforderten Dienste aufrechtzuerhalten, zu verbessern und bereitzustellen.
2.6. Details der Verarbeitung. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten von Kundendaten und Kategorien von betroffenen Personen, die unter dieser DPA verarbeitet werden, sind im Anhang 1 (Details der Verarbeitung) zu dieser DPA weiter spezifiziert.
2.7. Unterstützung. Unter Berücksichtigung der Art der Verarbeitung hilft Worksection dem Kunden durch angemessene technische und organisatorische Maßnahmen, soweit dies möglich ist, um die Verpflichtung des Kunden zu erfüllen, auf Anfragen zur Ausübung der Rechte der betroffenen Personen zu reagieren.
2.8. Offenlegung. Worksection wird Kundendaten nicht an die Regierung weitergeben, es sei denn, dies ist notwendig, um dem Gesetz oder einer gültigen und bindenden Anordnung einer Strafverfolgungsbehörde (wie einer Vorladung oder gerichtlichen Anordnung) nachzukommen. Wenn eine Strafverfolgungsbehörde Worksection eine Anfrage nach Kundendaten sendet, wird Worksection versuchen, die Strafverfolgungsbehörde dazu zu bringen, dass die Daten direkt vom Kunden angefordert werden. Im Rahmen dieser Bemühungen kann Worksection die grundlegenden Kontaktdaten des Kunden der Strafverfolgungsbehörde zur Verfügung stellen. Wenn Worksection gezwungen ist, Kundendaten an eine Strafverfolgungsbehörde weiterzugeben, wird Worksection dem Kunden eine angemessene Mitteilung über die Anfrage geben, um dem Kunden zu ermöglichen, eine Schutzanordnung oder ein anderes angemessenes Rechtsmittel zu suchen, es sei denn, dazu ist Worksection gesetzlich verboten.
2.9. Personal von Worksection. Worksection beschränkt sein Personal, Kundendaten ohne Genehmigung von Worksection zu verarbeiten. Worksection wird angemessene vertragliche Verpflichtungen gegenüber seinem Personal auferlegen, einschließlich relevanter Verpflichtungen bezüglich Vertraulichkeit, Datenschutz und Datensicherheit.
2.10. Kundenkontrollen. Worksection stellt dem Kunden eine Reihe von Sicherheitsfunktionen und ‑funktionen zur Verfügung, die der Kunde nutzen kann. Der Kunde ist dafür verantwortlich, die Dienste ordnungsgemäß (a) zu konfigurieren, (b) die in Verbindung mit den Diensten verfügbaren Kontrollen (einschließlich der Sicherheitskontrollen) zu verwenden, und © alle Schritte zu unternehmen, die der Kunde für angemessen hält, um eine angemessene Sicherheit, Schutz, Löschung und Sicherung der Kundendaten zu gewährleisten, was den Einsatz von Verschlüsselungstechnologie zum Schutz der Kundendaten vor unbefugtem Zugriff und die routinemäßige Archivierung von Kundendaten umfassen kann.
3. GRZÜBERGREIFENDE DATENÜBERTRAGUNGEN
3.1. Übertragungen aus dem EWR und der Schweiz in Länder, die ein angemessenes Datenschutzniveau bieten. Personenbezogene Daten können von EU-Mitgliedstaaten, Norwegen, Liechtenstein und Island (gemeinsam „EWR“) und der Schweiz in Länder übertragen werden, die gemäß den Angemessenheitsentscheidungen der zuständigen Datenschutzbehörden des EWR, der Europäischen Union, der Mitgliedstaaten oder der Europäischen Kommission oder der Schweiz als gegenüberliegendes Land ein angemessenes Datenschutzniveau bieten (“Angemessenheitsentscheidungen”), wie zutreffend, ohne dass eine weitere Schutzmaßnahme erforderlich ist.
3.2. Übertragungen in andere Länder. Falls die Verarbeitung von personenbezogenen Daten durch Worksection Übertragungen (entweder direkt oder über eine Übertragung) vom EWR oder der Schweiz in andere Länder umfasst, die nicht Gegenstand einer relevanten Angemessenheitsentscheidung waren, und solche Übertragungen nicht über einen alternativen anerkannten Compliance-Mechanismus erfolgen, wie er von Worksection für die rechtmäßige Übertragung personenbezogener Daten (wie in der DSGVO definiert) außerhalb des EWR oder der Schweiz angenommen werden kann, gelten die „Standardvertragsklauseln 2021“ (wie von der Europäischen Kommission in der Entscheidung zur umsetzenden Entscheidung (EU) 2021⁄914 genehmigt) und die dazugehörigen Anhänge und Anlagen.
4. SICHERHEITSVERANTWORTUNGEN
Worksection wird technische und organisatorische Maßnahmen umsetzen, um Kundendaten gegen unbeabsichtigte oder unrechtmäßige Zerstörung oder unbeabsichtigten Verlust, Veränderung, unbefugte Verarbeitung, Offenlegung und Zugriff zu schützen, die gesetzlich gefordert werden. Worksection wird ein Informationssicherheitsprogramm aufrechterhalten (einschließlich der Verabschiedung und Durchsetzung interner Richtlinien und Verfahren), das darauf ausgelegt ist, (a) dem Kunden zu helfen, die Kundendaten gegen unbeabsichtigte oder unrechtmäßige Verluste, Zugriffe oder Offenlegungen abzusichern, (b) vernünftigerweise vorhersehbare interne Sicherheitsrisiken und unbefugten Zugriff auf Worksection zu identifizieren, und © Sicherheitsrisiken zu minimieren, einschließlich durch Risikobewertung und regelmäßige Tests. Worksection wird einen oder mehrere Mitarbeiter benennen, die für das Informationssicherheitsprogramm verantwortlich sind und die koordinieren. Das Informationssicherheitsprogramm wird Maßnahmen in Bezug auf sowohl Netzwerk- als auch physische Sicherheit umfassen und wird von Worksection periodisch überprüft, um festzustellen, ob zusätzliche oder andere Sicherheitsmaßnahmen erforderlich sind, um auf neue Sicherheitsrisiken oder Ergebnisse, die durch die periodischen Überprüfungen generiert werden, zu reagieren. Wenn der Kunde wünscht, dass Worksection weitere Maßnahmen ergreift, wird Worksection dies in angemessenem Umfang tun, die zusätzlichen Kosten trägt jedoch der Kunde. Der Kunde bestätigt, dass er die in Anhang 2 festgelegten Maßnahmen für angemessene technische und organisatorische Sicherheitsvorkehrungen in Bezug auf die Verarbeitung personenbezogener Daten hält.
5. VERANTWORTUNG DES KUNDEN
Der Kunde ist allein verantwortlich für die Überprüfung der Informationen, die von Worksection in Bezug auf die Datensicherheit bereitgestellt werden, und für die unabhängige Feststellung, ob die Dienste den Anforderungen des Kunden entsprechen, sowie dafür, dass die Mitarbeiter und Berater des Kunden die ihnen bezüglich der Datensicherheit bereitgestellten Richtlinien befolgen.
6. AUDIT
Auf Anfrage des Kunden und während der regulären Geschäftszeiten wird Worksection seine Einrichtungen zur Datenverarbeitung für die Prüfung der Verarbeitungstätigkeiten, die durch die Anlage abgedeckt sind, vorlegen, die vom Kunden auf Kosten des Kunden durchgeführt werden soll.
7. SICHERHEIT
7.1. Wenn Worksection von (a) unrechtmäßigem Zugriff auf Kundendaten, die auf der Ausrüstung von Worksection oder in den Einrichtungen von Worksection gespeichert sind, oder (b) unbefugtem Zugriff auf diese Ausrüstung oder Einrichtungen Kenntnis erlangt, der in beiden Fällen zu Verlust, Offenlegung oder Änderung von Kundendaten führt (jeweils ein „Sicherheitsvorfall“), wird Worksection unverzüglich: (a) den Kunden über den Sicherheitsvorfall informieren; und (b) angemessene Maßnahmen ergreifen, um die Auswirkungen zu mindern und um etwaige Schäden zu minimieren, die aus dem Sicherheitsvorfall resultieren.
7.2. Der Kunde stimmt zu, dass:
(i) ein erfolgloser Sicherheitsvorfall nicht Gegenstand dieses Abschnitts ist. Ein erfolgloser Sicherheitsvorfall ist einer, der nicht zu unbefugtem Zugriff auf Kundendaten oder auf die Ausrüstung oder Einrichtungen von Worksection, in denen Kundendaten gespeichert sind, führt und kann unter anderem Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Portscans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht über IP-Adressen oder Header hinausgehen) oder ähnliche Vorfälle umfassen; und
(ii) die Verpflichtung von Worksection, einen Sicherheitsvorfall gemäß diesem Abschnitt zu melden oder darauf zu reagieren, ist nicht und wird nicht als Anerkennung von Schuld oder Haftung von Worksection in Bezug auf den Sicherheitsvorfall ausgelegt.
7.3. Sicherheitsvorfälle, falls vorhanden, werden einem oder mehreren Administratoren des Kunden von Worksection auf beliebigem Wege, den Worksection auswählt, einschließlich per E‑Mail, mitgeteilt. Es liegt in der alleinigen Verantwortung des Kunden, sicherzustellen, dass die Administratoren des Kunden stets korrekte Kontaktdaten in Worksection aufrechterhalten.
8. UNTERAUFTRAGVERARBEITER
8.1. Erlaubte Unterauftragsverarbeiter. Der Kunde stimmt zu, dass Worksection Unterauftragsverarbeiter einsetzen kann, um seinen vertraglichen Verpflichtungen unter dieser Vereinbarung nachzukommen oder bestimmte Dienstleistungen in seinem Namen zu erbringen, wie z.B. Supportdienste. Worksection führt eine Liste von Unterauftragsverarbeitern auf seiner Website worksection.com/en/agreement.html. Worksection wird den Kunden über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern informieren, gegen die der Kunde Einspruch erheben kann. Der Kunde wird informiert, wenn Worksection die Liste der Unterauftragsverarbeiter auf seiner Website aktualisiert. Wenn der Kunde innerhalb von dreißig (30) Tagen nach Erhalt der Mitteilung/dem Aktualisierungsdatum auf der Website keinen Einspruch erhebt, wird davon ausgegangen, dass der Kunde keinen Einspruch erhoben hat. Im Falle eines Einspruchs des Kunden hat Worksection das Recht, den Einspruch des Kunden nach eigenem Ermessen zu beseitigen. Wenn (i) keine Korrekturoption vernünftigerweise verfügbar ist; oder (ii) die Parteien keine einvernehmliche Lösung finden konnten, und (iii) der Einspruch innerhalb von dreißig (30) Tagen nach Erhalt des Einspruchs nicht behoben wurde, kann jede Partei die Nutzungsbedingungen mit sofortiger Wirkung kündigen.
8.2. Verpflichtungen der Unterauftragsverarbeiter. Wo Worksection einen Unterauftragsverarbeiter wie in diesem Abschnitt beschrieben autorisiert:
(i) wird Worksection den Zugriff des Unterauftragsverarbeiters auf Kundendaten nur auf das Notwendige beschränken, um die Dienste aufrechtzuerhalten oder um die Dienste gemäß den Nutzungsbedingungen und Worksection dem Kunden bereitzustellen, und Worksection wird dem Unterauftragsverarbeiter den Zugriff auf Kundendaten für andere Zwecke untersagen.
(ii) Worksection wird dem Unterauftragsverarbeiter angemessene vertragliche Verpflichtungen schriftlich auferlegen, die nicht weniger schützend sind als diese Anlage, einschließlich relevanter vertraglicher Verpflichtungen bezüglich Vertraulichkeit, Datenschutz, Datensicherheit und Auditrechten; und
(iii) Worksection bleibt verantwortlich für die Einhaltung der Verpflichtungen dieser Anlage und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters, die dazu führen, dass Worksection gegen eine der Verpflichtungen von Worksection aus dieser Anlage verstößt.
9. BEURTEILUNGSPFLICHTEN
Falls Kundendaten während Insolvenz- oder Konkursverfahren oder ähnlichen Maßnahmen durch Dritte beschlagnahmt werden, während sie von Worksection verarbeitet werden, wird Worksection den Kunden ohne unangemessene Verzögerung informieren. Worksection wird ohne unangemessene Verzögerung alle relevanten Parteien in einem solchen Verfahren (z.B. Gläubiger, Konkursverwalter) benachrichtigen, dass alle Kundendaten, die diesen Verfahren unterliegen, Eigentum und Verantwortung des Kunden sind und dass die Kundendaten ausschließlich im Ermessen des Kunden stehen.
10. RÜCKGABE UND LÖSCHUNG PERSONENBEZOGENER DATEN
Nach Beendigung der Vereinbarung und Einstellung der Dienstleistungen hat der Kunde (angezeigt über die Plattform oder in einer schriftlichen Mitteilung an den Auftragsverarbeiter) die Wahl, dass der Auftragsverarbeiter alle personenbezogenen Daten, die er ausschließlich im Auftrag des Kunden verarbeitet, auf die im Vertrag beschriebene Weise löschen oder an den Kunden zurückgeben soll, und der Auftragsverarbeiter wird vorhandene Kopien dieser personenbezogenen Daten löschen, es sei denn, die Datenschutzgesetze verlangen etwas anderes. Soweit dies durch geltendes Recht genehmigt oder erforderlich ist, kann der Auftragsverarbeiter auch eine Kopie der personenbezogenen Daten für Beweiszwecke und/oder zur Geltendmachung, Ausübung oder Abwehr von Rechtsansprüchen und/oder zur Erfüllung rechtlicher Verpflichtungen aufbewahren.
ANHANG 1 — DETAILS DER VERARBEITUNG
Kategorien der betroffenen Personen.
Der Kunde kann personenbezogene Daten an den Dienst übermitteln, die dann folgende Kategorien von betroffenen Personen umfassen können, aber nicht darauf beschränkt sind:
● Eingeladene Nutzer des Kunden
● Mitarbeiter des Kunden
● Berater des Kunden
● Vertreter des Kunden
● Berater des Kunden
● Geschäftspartner und Anbieter des Kunden (die natürliche Personen sind)
Jede andere Drittpartei, mit der der Kunde entscheidet, über den Dienst zu kommunizieren.
Kategorien der Daten.
Alle personenbezogenen Daten, die in den Kundendaten enthalten sind, d. h. personenbezogene Daten, die vom Kunden über die Worksection-Konten des Kunden hochgeladen oder anderweitig von Worksection im Auftrag des Kunden verarbeitet werden, im Zusammenhang mit der Nutzung der Dienste durch den Kunden.
Der Kunde erkennt an und versteht, dass die Dienste für Zusammenarbeit und Planung genutzt werden und dass sie nicht zur Verarbeitung besonderer Kategorien personenbezogener Daten konzipiert sind.
Dauer der Verarbeitung.
Vorbehaltlich etwaiger Abschnitte der DPA und/oder der Vereinbarung, die sich mit der Dauer der Verarbeitung und den Folgen des Ablaufs oder der Beendigung davon befassen, wird Worksection personenbezogene Daten gemäß der DPA und der Vereinbarung für die Dauer der Vereinbarung verarbeiten, es sei denn, es wird schriftlich etwas anderes vereinbart. Der Kunde wird die hochgeladenen personenbezogenen Daten in Übereinstimmung mit seinen eigenen Aufbewahrungsrichtlinien selbst löschen.
Verarbeitungsoperationen und Häufigkeit.
Die Verarbeitung erfolgt kontinuierlich, während der Kunde die Dienste in Anspruch nimmt.
Die personenbezogenen Daten können folgenden Verarbeitungsaktivitäten unterzogen werden:
● Speicherung und andere Verarbeitung, die erforderlich sind, um die Dienste zu erbringen, aufrechtzuerhalten und zu verbessern, die dem Datenexporteur bereitgestellt werden;
● Bereitstellung von Kunden- und technischen Support an den Datenexporteur;
● Offenlegungen gemäß der Vereinbarung, wie durch das Gesetz gefordert.
Unterverarbeitungen.
Unterauftragsverarbeiter werden von Worksection für Web-Analysen, ERP, Kundenanalytik, Kundensupport, Server und Hosting sowie E‑Mail-Funktionen eingesetzt.
ANHANG 2 – TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN
Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten.
Worksection hält Kundendaten ruhend mit einer Verschlüsselungsstärke, die gleichwertig mit 256-Bit symmetrischer Kryptografie oder besser ist, verschlüsselt. Daten werden während der Übertragung mit TLS 1.2 oder höher verschlüsselt.
Maßnahmen zur Gewährleistung der laufenden Vertraulichkeit, Integrität und Verfügbarkeit sowie der Widerstandsfähigkeit von Verarbeitungssystemen und ‑diensten.
Die Infrastruktur der Worksection-Dienste erstreckt sich über mehrere Rechenzentren in verschiedenen EU-Ländern und in der Ukraine.
Maßnahmen, um die Fähigkeit sicherzustellen, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen.
Worksection sichert Kundendaten in Echtzeit. Backups werden redundant in mehreren Rechenzentren aufbewahrt und während der Übertragung und im Ruhezustand mit branchenüblichen Verschlüsselungen bei einer Verschlüsselungsstärke, die einer 256-Bit symmetrischen Kryptografie gleichwertig ist, verschlüsselt.
Prozesse für regelmäßige Tests zur Gewährleistung der Sicherheit der Verarbeitung.
Worksection betreibt ein Sicherheitsprogramm, das auf den ISO 27001-Standards basiert. Dazu gehören Verwaltungs‑, organisatorische, technische und physische Sicherheitsmaßnahmen, die darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Worksection führt jährliche Drittanbieter-Anwendungs- und Netzwerkpenetrationstests durch.
Maßnahmen zur Benutzeridentifikation und ‑autorisierung.
Das Personal von Worksection ist verpflichtet, für die Authentifizierung eindeutige Benutzeranmeldedaten und Geheimnisse zu verwenden.
Maßnahmen zum Schutz der Daten während der Übertragung.
Kundendaten werden mit TLS 1.2 oder höher während der Übertragung zwischen dem Kunden und Worksection sowie intern zwischen den Worksection-Systemen verschlüsselt.
Maßnahmen zum Schutz der Daten während der Speicherung.
Kundendaten werden verschlüsselt gespeichert, wobei branchenübliche 256-Bit symmetrische Verschlüsselungen verwendet werden.
Maßnahmen zur Sicherstellung der Systemsicherheit, einschließlich der Standardkonfiguration.
Worksection wendet Standards für den sicheren Softwareentwicklungslebenszyklus (Secure SDLC) an, um zahlreiche sicherheitsrelevante Aktivitäten für die Dienste in verschiedenen Phasen des Produktentstehungszyklus von der Anforderungserhebung und Produktgestaltung bis hin zur Produkteinführung durchzuführen. Diese Aktivitäten umfassen unter anderem die Durchführung von (a) internen Sicherheitsprüfungen, bevor neue Dienste bereitgestellt werden; (b) jährliche Penetrationstests durch unabhängige Dritte; und © Bedrohungsmodelle für neue Dienste, um potenzielle Sicherheitsprobleme zu identifizieren.
Zuletzt aktualisiert: 11. Juli 2022