Bioherby Datenschutz-Zusatzvereinbarung - DPA Data Processing Addendum
Bioherby Datenschutz-Zusatzvereinbarung - DPA Data Processing Addendum
Der 24. Januar 2024
Diese Datenschutz-Zusatzvereinbarung und ihre Anhänge (die "DPA") spiegeln die Vereinbarung wider, die zwischen Bioherby und dem Kunden (wie nachstehend definiert) getroffen wurde, zusammen die "Parteien", in Bezug auf die Verarbeitung von Kundendaten (wie nachstehend definiert) gemäß den geltenden Nutzungsbedingungen oder anderen schriftlichen oder elektronischen Vereinbarungen, die auf diese DPA Bezug nehmen, unter denen Bioherby Kundendaten verarbeitet, die den geltenden Datenschutzgesetzen unterliegen (die "Vereinbarung").
Diese DPA wird gemäß den Bedingungen der Vereinbarung in die Vereinbarung aufgenommen. Diese DPA ändert die Vereinbarung und tritt mit ihrer Aufnahme in die Vereinbarung in Kraft, wie in der Vereinbarung oder Bestellung zwischen Bioherby und dem Kunden festgelegt.
Nach ihrer Aufnahme in die Vereinbarung wird diese DPA einen integralen Bestandteil der Vereinbarung bilden, ohne dass zusätzliche Unterschriften erforderlich sind. Ungeachtet anderslautender Bestimmungen in der Vereinbarung gilt im Konfliktfall zwischen dieser DPA und der Vereinbarung diese DPA.
-
DEFINITIONEN.
Im Sinne dieser DPA haben die folgenden Begriffe, sofern der Kontext nichts anderes erfordert, die folgenden Bedeutungen. Andere hier nicht definierte Großbuchstabenbegriffe haben die gleiche Bedeutung wie in der Vereinbarung festgelegt.
(a) "Tochterunternehmen" bezeichnet eine Einheit, die im Besitz oder unter der Kontrolle des betreffenden Unternehmens steht oder die im Besitz oder unter der Kontrolle des betreffenden Unternehmens steht oder unter gemeinsamer Kontrolle steht, wobei "Kontrolle" die Befugnis zur Leitung oder Führung der Geschäfte einer Einheit bedeutet und "Besitz" das wirtschaftliche Eigentum von fünfzig Prozent (50%) oder mehr der Stimmrechte oder anderer gleichwertiger Stimmrechtsanteile der betreffenden Einheit bedeutet;
(b) "Anwendbares Datenschutzrecht" umfasst alle anwendbaren Gesetze zum Datenschutz und zur Privatsphäre, einschließlich, soweit anwendbar, der europäischen Datenschutzgesetze, des CCPA, des Virginia Consumer Data Protection Act, des Connecticut Data Privacy Act, des Utah Consumer Privacy Act, des Colorado Privacy Act und anderer anwendbarer US-Bundesstaaten Datenschutzgesetze;
(c) "CCPA" bezeichnet den California Consumer Privacy Act, wie durch den California Privacy Rights Act geändert, und die dazu erlassenen Vorschriften;
(d) "Verantwortlicher" bezeichnet das Unternehmen, das die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt, einschließlich eines "Unternehmens", wie es in den geltenden Datenschutzgesetzen definiert ist;
(e) "Kunde" bezeichnet das Unternehmen, das die Vereinbarung mit Bioherby für die Nutzung oder den Zugang zu den Diensten abschließt;
(f) "Kundendaten" bezeichnet die in Anhang I dieser DPA beschriebenen personenbezogenen Daten, für die der Kunde der Verantwortliche ist;
(g) "Betroffene Person", "Verarbeiten", "Verarbeitet" oder "Verarbeitung" haben jeweils die in den geltenden Datenschutzgesetzen festgelegte Bedeutung;
(h) "Europäische Datenschutzgesetze" umfassen die DSGVO, das Datenschutzgesetz 2018 des Vereinigten Königreichs ("UK") und das Schweizerische Bundesgesetz über den Datenschutz, jeweils in der jeweils aktuellen Fassung oder Ersatzfassung;
(i) "EU-Standardvertragsklauseln" bezeichnet die von der Kommission mit der Durchführungsentscheidung (EU) 2021/914 vom 4. Juni 2021 genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates;
(j) "DSGVO" bezeichnet die Datenschutz-Grundverordnung der Europäischen Union (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten ("EU-DSGVO") und die EU-DSGVO in der jeweils in das Recht des Vereinigten Königreichs eingeführten Fassung ("UK-DSGVO"), jeweils in der jeweils aktuellen oder ersetzten Fassung;
(k) "Personenbezogene Daten" bezeichnet personenbezogene Daten oder personenbezogene Informationen (wie in den geltenden Datenschutzgesetzen definiert), die dem anwendbaren Datenschutzrecht unterliegen;
(l) "Personenbezogener Datenschutzverstoß" bezeichnet einen Sicherheitsverstoß, der zur unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Veränderung, unbefugten Offenlegung oder unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt;
(m) "Auftragsverarbeiter" bezeichnet das Unternehmen, das im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet, einschließlich, soweit anwendbar, eines "Dienstleisters", wie dieser Begriff in den geltenden Datenschutzgesetzen definiert ist;
(n) "Aufsichtsbehörde" bezeichnet die Datenschutzaufsichtsbehörde, die für die Verarbeitung personenbezogener Daten zuständig ist;
(o) "Bioherby" bezeichnet Bioherby Thailand TLD. oder jedes Tochterunternehmen von Bioherby, das eine Vereinbarung mit dem Kunden abschließt;
(p) "Dienste" bezeichnet die von Bioherby dem Kunden im Rahmen der Vereinbarung erbrachten Dienstleistungen;
(q) "Standardvertragsklauseln" bezeichnet gemeinsam die EU-Standardvertragsklauseln und die Vereinbarung über die internationale Datenübermittlung des Vereinigten Königreichs (wie in Abschnitt 6 (c) dieser DPA beschrieben); und
(r) "Unterauftragsverarbeiter" bezeichnet (i) jeden von dem Auftragsverarbeiter beauftragten Auftragsverarbeiter oder (ii) einen Auftragsverarbeiter, der ein Tochterunternehmen des Auftragsverarbeiters ist.
-
VERARBEITUNG VON KUNDENDATEN.
(a) Die Parteien erkennen an und stimmen zu, dass der Kunde in Bezug auf die Verarbeitung von Kundendaten der Verantwortliche (der "Datenverantwortliche") ist und Bioherby ein Auftragsverarbeiter (der "Datenverarbeiter") ist. Bioherby wird Kundendaten gemäß den Anweisungen des Kunden gemäß diesem Abschnitt und in Abschnitt 4 (Verpflichtungen des Datenverarbeiters) verarbeiten.
(b) Bioherby wird Kundendaten (i) gemäß der Vereinbarung; (ii) auf Anfrage des Kunden bei der Nutzung oder dem Zugriff auf die Dienste; oder (iii) zur Erfüllung anderer vernünftiger Anweisungen des Datenverantwortlichen verarbeiten (z. B. per E-Mail oder Support-Tickets), die mit den Bestimmungen dieser DPA im Einklang stehen (einzeln und gemeinsam der "Zweck"). Die Arten von personenbezogenen Daten und Kategorien von betroffenen Personen, die im Rahmen dieser DPA verarbeitet werden, der Gegenstand, die Natur, der Zweck und die Dauer der Verarbeitung sind in Anhang I zu dieser DPA näher festgelegt. Wenn die Tochterunternehmen des Kunden Abonnements für die Dienste direkt bei Bioherby gemäß der Vereinbarung erworben haben, ändert diese DPA die Bedingungen der Vereinbarung in Bezug auf diese Abonnements, und jedes solche Tochterunternehmen gilt für die Zwecke dieser DPA als "Datenverantwortlicher". Der Kunde ist verantwortlich für die Koordinierung aller Kommunikationen mit Bioherby und den Tochterunternehmen des Kunden im Rahmen dieser DPA und hat das Recht, alle im Zusammenhang mit dieser DPA stehenden Kommunikationen in seinem Namen und im Namen seiner Tochterunternehmen vorzunehmen und zu erhalten.
-
DATENVERANTWORTLICHER.
(a) Der Datenverantwortliche verpflichtet sich, bei der Nutzung der Dienste Kundendaten in Übereinstimmung mit den Anforderungen des anwendbaren Datenschutzrechts zu verarbeiten. Die Anweisungen des Datenverantwortlichen zur Verarbeitung von Kundendaten müssen mit dem anwendbaren Datenschutzrecht in Einklang stehen. Der Datenverantwortliche trägt die alleinige Verantwortung für die Genauigkeit, Qualität und Rechtmäßigkeit der Kundendaten und die Art und Weise, wie der Datenverantwortliche die Kundendaten erhalten hat.
(b) Der Datenverantwortliche gewährleistet, dass er alle erforderlichen Rechte hat, die Kundendaten dem Datenverarbeiter zur Verarbeitung im Rahmen der Dienstleistungen zur Verfügung zu stellen. Soweit dies nach dem anwendbaren Datenschutzrecht erforderlich ist, ist der Datenverantwortliche dafür verantwortlich, sicherzustellen, dass die erforderlichen Einwilligungen der betroffenen Personen für diese Verarbeitung eingeholt werden, und für die Aufrechterhaltung eines Verzeichnisses solcher Einwilligungen. Sollte eine solche Einwilligung von der betroffenen Person widerrufen werden, ist der Datenverantwortliche dafür verantwortlich, den Datenverarbeiter über den Widerruf zu informieren, und der Datenverarbeiter bleibt für die Umsetzung von Anweisungen des Datenverantwortlichen zur weiteren Verarbeitung der Kundendaten verantwortlich, die mit den Bestimmungen dieser DPA im Einklang stehen.
-
VERPFLICHTUNGEN DES DATENVERARBEITERS.
4.1 Soweit der Datenverarbeiter Kundendaten im Auftrag des Datenverantwortlichen verarbeitet, wird er:
(a) Die Kundendaten nur gemäß den schriftlichen Anweisungen des Datenverantwortlichen verarbeiten, soweit dies für die Erbringung der Dienste erforderlich ist, einschließlich der Übermittlung von personenbezogenen Daten an Drittländer, es sei denn, dies ist erforderlich, um geltenden Gesetzen in der EEA, EEA-Mitgliedstaaten, dem Vereinigten Königreich oder der Schweiz zu entsprechen, denen der Datenverarbeiter unterliegt.
In einem solchen Fall wird der Datenverarbeiter den Datenverantwortlichen, soweit dies gesetzlich zulässig ist, vor der Verarbeitung über diese rechtliche Verpflichtung informieren. Der Datenverarbeiter wird den Datenverantwortlichen unverzüglich informieren, wenn seiner Meinung nach eine Anweisung gegen die Datenschutzgesetze der EEA, EEA-Mitgliedstaaten, des Vereinigten Königreichs oder der Schweiz verstößt;
(b) sicherstellen, dass alle Personen oder Parteien, die zur Verarbeitung der Kundendaten autorisiert sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen;
(c) jederzeit eine angemessene schriftliche Sicherheitsrichtlinie für die Verarbeitung von Kundendaten haben, in der in jedem Fall die in Abschnitt 5 unten genannten Maßnahmen beschrieben sind.
4.2 Soweit nicht durch geltendes Recht, den Vertrag oder diese DPA gestattet, darf bioherby (1) Kundendaten außerhalb der für die Erbringung der Dienste erforderlichen Maßnahmen nicht speichern, nutzen oder offenlegen; (2) Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und bioherby nicht speichern, nutzen oder offenlegen; (3) Kundendaten "verkaufen" oder "teilen" (wie in geltendem Datenschutzrecht definiert); und (4) Kundendaten nicht mit Informationen außerhalb der Kundendaten kombinieren, es sei denn, dies ist zur Erbringung der Dienste erforderlich. Die Parteien erkennen an und stimmen zu, dass die Offenlegung von Kundendaten durch den Kunden an bioherby keinen Teil einer zwischen den Parteien ausgetauschten monetären oder anderweitig wertvollen Gegenleistung bildet.
Bioherby wird die für einen Datenverarbeiter geltenden Verpflichtungen nach geltendem Datenschutzrecht einhalten und Kundendaten den gleichen Datenschutzschutz bieten, wie ihn das geltende Datenschutzrecht vorschreibt. Der Kunde hat das Recht, angemessene Schritte zu unternehmen, um sicherzustellen, dass bioherby Kundendaten in einer Weise verwendet, die mit den Verpflichtungen des Kunden nach geltendem Datenschutzrecht übereinstimmt, indem er seine Prüfungsrechte gemäß Abschnitt 5 dieser DPA ausübt. Bioherby wird den Kunden informieren, wenn es seine Verpflichtungen nach geltendem Datenschutzrecht nicht mehr erfüllen kann. Nach Mitteilung an bioherby kann der Kunde angemessene und geeignete Schritte zur Behebung der Verwendung von Kundendaten durch bioherby in Verletzung dieser DPA unternehmen.
-
SICHERHEIT
(a) Unter Berücksichtigung des Standes der Technik, der Implementierungskosten, des Charakters, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos von unterschiedlichen Wahrscheinlichkeiten und Schweregraden für die Rechte und Freiheiten der betroffenen Personen, unbeschadet etwaiger anderer Sicherheitsstandards, auf die sich die Parteien geeinigt haben, werden der Datenverantwortliche und der Datenverarbeiter angemessene technische und organisatorische Maßnahmen zur Sicherung der Sicherheit, Vertraulichkeit und Integrität der Kundendaten ergreifen, die dem Risiko angemessen sind. Diese Maßnahmen umfassen die in Anhang II beigefügten Maßnahmen.
(b) Der Datenverarbeiter überwacht regelmäßig die gemäß diesem Abschnitt 5 umgesetzten Maßnahmen. Der Datenverarbeiter kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren, sofern solche Aktualisierungen nicht zu einer Verschlechterung der Gesamtsicherheit der Dienste führen.
(c) Die Parteien werden in gutem Glauben die Kosten, falls vorhanden, verhandeln, die für die Umsetzung wesentlicher Änderungen erforderlich sind, die durch spezifische aktualisierte Sicherheitsanforderungen des geltenden Datenschutzrechts oder von Aufsichtsbehörden zustande kommen.
(d) Auf Anfrage des Datenverantwortlichen, unter Beachtung der Vertraulichkeitsverpflichtungen im Vertrag, wird der Datenverarbeiter dem Datenverantwortlichen Informationen über die im Rahmen dieses Abschnitts 5 getroffenen Maßnahmen zur Verfügung stellen, um sicherzustellen, dass der Datenverantwortliche seine Verpflichtungen aus dieser DPA erfüllt.
Diese Informationen können Übersichten über die Berichte von Drittanbietern oder Zertifizierungen des Datenverarbeiters (die aus Sicherheitsgründen geschwärzt sein können) umfassen. Der Datenverantwortliche kann den Datenverarbeiter gemäß der "Mitteilungen"-Sektion im Vertrag kontaktieren, um eine Vor-Ort-Prüfung der Verfahren des Datenverarbeiters im Zusammenhang mit dem Schutz von Kundendaten anzufordern, jedoch nur in dem Umfang, der nach dem geltenden Datenschutzrecht erforderlich ist. Der Datenverantwortliche kann eine solche Prüfung höchstens einmal im Jahr durchführen, sofern dies nicht nach dem geltenden Datenschutzrecht erforderlich ist.
Der Datenverantwortliche erstattet dem Datenverarbeiter die für eine solche Vor-Ort-Prüfung aufgewendete Zeit zu den jeweils aktuellen Sätzen des Datenverarbeiters, die auf Anfrage verfügbar sind. Der Datenverantwortliche benachrichtigt den Datenverarbeiter mindestens dreißig (30) Tage im Voraus über seine Anforderung zur Durchführung einer solchen Vor-Ort-Prüfung, und der Datenverantwortliche und der Datenverarbeiter vereinbaren vor Beginn einer solchen Prüfung einvernehmlich den Umfang, den Zeitpunkt, die Dauer und die Vergütung der Prüfung. (Alle Vergütungssätze sind angemessen und berücksichtigen die von dem Datenverarbeiter aufgewendeten Ressourcen.)
Der Datenverantwortliche benachrichtigt den Datenverarbeiter umgehend über jede während des Verlaufs einer solchen Prüfung festgestellte Nichtkonformität, und der Datenverarbeiter wird alle bestätigten Nichtkonformitäten nach besten Kräften beheben. Die Ergebnisse jeder im Rahmen dieser Klausel durchgeführten Prüfung gelten als vertrauliche Informationen von bioherby. Wenn die Standardvertragsklauseln auf diese DPA anwendbar sind, stimmt der Datenverantwortliche zu, seine Prüfungsrechte gemäß den Standardvertragsklauseln gemäß diesem Abschnitt 5(d) auszuüben, und der Datenverantwortliche hat gemäß den Standardvertragsklauseln das Recht, seine Anweisungen gemäß der "Mitteilungen"-Sektion des Vertrags schriftlich zu ändern.
-
INTERNATIONALE ÜBERTRAGUNGEN
(a) Im Zusammenhang mit der Durchführung des Vertrags erklären sich die Parteien hiermit bereit, sich an die Bestimmungen von Modul Zwei (Controller to Processor Module) der EU-Standardvertragsklauseln und an alle anderen Abschnitte der EU-Standardvertragsklauseln mit allgemeiner Anwendung (im Folgenden "C2P SCCs") zu halten, die hiermit durch Bezugnahme in diese DPA aufgenommen werden, um angemessene Schutzmaßnahmen für Übertragungen von Kundendaten aus der EEA und/oder der Schweiz in die Vereinigten Staaten gemäß den europäischen Datenschutzgesetzen zu implementieren.
Der Datenverantwortliche wird die Verpflichtungen des Exporteurs in den EU-Standardvertragsklauseln einhalten, und der Datenverarbeiter wird die Verpflichtungen des Importeurs in den EU-Standardvertragsklauseln in Bezug auf diese übertragenen Kundendaten einhalten. Zu diesem Zweck vereinbaren die Parteien, dass für die C2P SCCs:
(i) wird jede Partei die andere Partei schriftlich benachrichtigen, wenn sie die "Docking-Klausel" in Klausel 7 der C2P SCCs hinzufügen muss;
(ii) In Klausel 9 gilt Option 2, und die Frist für die Vorankündigung von Änderungen der Sub-Verarbeitung wird gemäß Abschnitt 7 (Sub-Verarbeitung) dieser DPA festgelegt;
(iii) In Klausel 11 findet die optionale Sprache keine Anwendung;
(iv) In Klausel 17 (Option 1) unterliegen die 2021 Standard Contractual Clauses dem Recht der Tschechischen Republik.
(v) In Klausel 18(b) werden Streitigkeiten vor den Gerichten der Tschechischen Republik beigelegt;
(vi) Anhang I der C2P SCCs gilt als abgeschlossen mit den in Anhang I dieser DPA aufgeführten Informationen;
(vii) Anhang II der C2P SCCs gilt als abgeschlossen mit den in Anhang II dieser DPA aufgeführten Informationen.
(b) Soweit die Übertragung von Kundendaten dem Schweizer Bundesgesetz über den Datenschutz unterliegt, gelten die folgenden Bestimmungen: (i) Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (FDPIC) wird die zuständige Aufsichtsbehörde gemäß Klausel 13 der C2P SCCs sein; (ii) Die Parteien verpflichten sich, den EU-GDPR-Standard in Bezug auf die Verarbeitung
von Kundendaten einzuhalten, die vom Schweizer Bundesgesetz über den Datenschutz geregelt sind; (iii) Der Begriff "Mitgliedsstaat" in den C2P SCCs wird nicht so interpretiert, dass er die betroffenen Personen in der Schweiz von der Möglichkeit ausschließt, ihre Rechte an ihrem gewöhnlichen Wohnsitz (Schweiz) gemäß Klausel 18(c) der C2P SCCs geltend zu machen; und (iv) Verweise auf die "DSGVO" in den C2P SCCs gelten soweit die Übertragung von Kundendaten dem Schweizer Bundesgesetz über den Datenschutz unterliegt.
(c) Hinsichtlich der Übertragung von Kundendaten aus dem Vereinigten Königreich und gemäß dem UK GDPR erklären sich die Parteien bereit, sich an das UK International Data Transfer Agreement (Version A1.0) zu halten, das von der britischen Datenschutzbehörde Information Commissioner herausgegeben und gemäß § 119A des Datenschutzgesetzes von 2018 am 2. Februar 2022 dem Parlament vorgelegt wurde (in der jeweils überarbeiteten Fassung), das hiermit durch Bezugnahme in diese DPA aufgenommen wird. Die Parteien vereinbaren, dass zu den Zwecken des UK IDTA:
(i) In Tabelle 1 werden die Angaben der Parteien und die Kontaktdaten automatisch mit den in Anhang I dieser DPA aufgeführten relevanten Informationen vervollständigt;
(ii) In Tabelle 2 ist England und Wales das anwendbare Recht des IDTA und der Hauptort für rechtliche Ansprüche, die von den Parteien geltend gemacht werden; der Exporteur ist ein Datenverantwortlicher, und der Importeur ist der Datenverarbeiter oder Sub-Verarbeiter des Exporteurs; die UK GDPR gilt für die Verarbeitung der übertragenen Daten durch den Importeur; die Bezugnahme auf die "Linked Agreement" bezieht sich auf diese DPA; die Laufzeit des IDTA entspricht der Laufzeit des Linked Agreement; die Parteien können das IDTA (vor Ablauf der Bedingungen oder bei Änderungen des genehmigten IDTA) gemäß den Kündigungsbestimmungen des Vertrags und dieser DPA beenden; der Importeur KANN die übertragenen Daten an eine andere Organisation oder Person (die eine andere juristische Person ist) gemäß Abschnitt 16.1 (Übertragung von Daten) übertragen; das erste Überprüfungsdatum ist das wirksame Datum des Linked Agreement, und die Parteien müssen die Sicherheitsanforderungen mindestens einmal im Jahr überprüfen.
(iii) In Tabelle 3 werden die Abschnitte zu den Einzelheiten der übertragenen Daten automatisch mit den in Anhang I dieser DPA aufgeführten relevanten Details vervollständigt, und diese übertragenen Daten werden automatisch aktualisiert, wenn solche Details im Linked Agreement aktualisiert werden;
(iv) In Tabelle 4 werden die Abschnitte zur Sicherheit automatisch mit den in Anhang II dieser DPA beschriebenen Sicherheitsmaßnahmen vervollständigt, und diese Sicherheitsanforderungen werden automatisch aktualisiert, wenn solche Sicherheitsmaßnahmen im Linked Agreement aktualisiert werden; und
(v) Teil 4 der zwingenden Klauseln des IDTA wird automatisch mit folgender Bestimmung vervollständigt: "Zwingende Klauseln des genehmigten IDTA, die Vorlage IDTA A.1.0, die von der ICO herausgegeben und gemäß § 5.4 dieser zwingenden Klauseln dem Parlament vorgelegt wurde."
(e) Soweit die EU-Standardvertragsklauseln später geändert, ersetzt oder von einem Gericht mit Zuständigkeit für ungültig erklärt werden, vereinbaren der Kunde und bioherby hiermit, dass die jeweils aktualisierten oder neuen Versionen automatisch ab dem Datum der Anwendbarkeit auf diese DPA angewendet und in diese aufgenommen werden.
(f) Die Parteien vereinbaren ferner, dass bioherby im Falle der Ausübung eines Kündigungsrechts durch den Kunden gemäß den C2P SCCs.
MISCELLANEOUS
(a) Die Haftung jeder Partei und ihrer jeweiligen Tochtergesellschaften, insgesamt betrachtet, die sich aus oder im Zusammenhang mit dieser DPA ergibt, unterliegt den Abschnitten der Vereinbarung, die die Haftungsbeschränkungen regeln, und jede Bezugnahme in solchen Abschnitten auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und all ihrer Tochtergesellschaften gemäß der Vereinbarung und aller DPA zusammen.
(b) Diese DPA und alle Streitigkeiten oder Ansprüche, die sich daraus oder im Zusammenhang damit ergeben, einschließlich außervertraglicher Streitigkeiten und Ansprüche, unterliegen den für die Vereinbarung geltenden Gesetzen, von der diese DPA ein Teil ist.
(c) Diese DPA endet automatisch mit dem Ablauf oder der vorzeitigen Beendigung der Vereinbarung.
ANHANG I ZUR DPA
A. LISTE DER PARTEIEN
-
Datenexporteur(en):
Name, Adresse, Name der Kontaktperson, Position und Kontaktdaten: Die Identität und die Kontaktdaten des Datenexporteurs entsprechen denen in der Vereinbarung zwischen den Parteien. Der Datenexporteur (Kunde) ist der Verantwortliche.
Für die unter den C2P SCCs übertragenen Daten relevante Aktivitäten: Der Erhalt von Dienstleistungen gemäß der Vereinbarung.
Unterschrift und Datum: Die Unterzeichnung dieser Anlage I, Abschnitt A, der C2P SCCs wird jeweils als Unterschrift jeder Partei für diesen Anhang I, Abschnitt A, der C2P SCCs behandelt.
-
Datenimporteur(en):
Name, Adresse, Name der Kontaktperson, Position und Kontaktdaten: Die Identität und die Kontaktdaten des Datenimporteurs, einschließlich einer Kontaktperson mit Verantwortung für den Datenschutz, wie sie in der Vereinbarung zwischen den Parteien festgelegt ist. Der Datenimporteur (bioherby) ist der Verarbeiter.
Für die unter den C2P SCCs übertragenen Daten relevante Aktivitäten: Erbringung von Dienstleistungen für den Kunden gemäß der Vereinbarung.
Unterschrift und Datum: Die Unterzeichnung dieser DPA durch den Datenverarbeiter und den Kunden gilt als Unterschrift von Anhang I, Abschnitt A, der C2P SCCs.
B. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien der betroffenen Personen, deren personenbezogene Daten übertragen werden: Mitarbeiter, Berater, Auftragnehmer, Agenten und/oder Dritte, mit denen der Datenverantwortliche Geschäfte tätigt oder auf andere Weise Daten erhebt.
Kategorien der übertragenen personenbezogenen Daten: Die personenbezogenen Daten, die gemäß der Vereinbarung von Kunden an oder über die Dienste übertragen werden können, umfassen unter anderem: Vor- und Nachname, Position, Kontaktdaten, IP-Adresse und Gerätekennung.
Übertragung von sensiblen Daten (falls zutreffend) und angewandte Beschränkungen oder Sicherheitsmaßnahmen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strenge Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die spezielle Schulungen absolviert haben), Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen: Keine. Kunden dürfen keine sensiblen Daten oder besondere Kategorien von Daten als Teil der Kundendaten übertragen.
Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden): Kontinuierlich, solange der Kunde die Dienste nutzt.
Art der Verarbeitung: Die Art der Verarbeitung besteht in der Erbringung der Dienstleistungen für den Kunden, die die Verarbeitung von Kundendaten einschließt. Kundendaten unterliegen den Verarbeitungstätigkeiten, die der Datenverarbeiter durchführen muss, um die Dienstleistungen gemäß der Vereinbarung zu erbringen.
Zweck(e) der Datenübertragung und weiteren Verarbeitung: Kundendaten werden für die in Abschnitt 2 dieser DPA definierten Zwecke verarbeitet.
Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird: Für die Dauer der Vereinbarung.
Für Übertragungen an (Unter-)Auftragsverarbeiter geben Sie auch Gegenstand, Art und Dauer der Verarbeitung an: Wie in Abschnitt 7 dieser DPA beschrieben.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Identifizieren Sie die zuständige Aufsichtsbehörde/n gemäß Klausel 13 der C2P SCCs: Die Aufsichtsbehörde der Tschechischen Republik.
ANHANG II ZUR DPA
bioherby kann diese Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern solche Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der Gesamtsicherheit der Dienste führen.
A. Rechenzentrum
-
bioherby speichert alle Produktionsdaten in physisch sicheren Rechenzentren.
-
Die Infrastruktursysteme sind so konzipiert, dass Einzelstellen für Ausfälle beseitigt und die Auswirkungen von erwarteten Umweltrisiken minimiert werden. Doppelte Schaltkreise, Schalter, Netzwerke oder andere notwendige Geräte tragen zur Bereitstellung dieser Redundanz bei. Die Dienste sind so konzipiert, dass bioherby bestimmte Arten von vorbeugenden und korrektiven Wartungsarbeiten ohne Unterbrechung durchführen kann. Alle Umweltausrüstungen und -anlagen verfügen über dokumentierte vorbeugende Wartungsverfahren, die den Prozess und die Häufigkeit der Durchführung gemäß den Hersteller- oder internen Spezifikationen beschreiben. Die vorbeugende und korrektive Wartung der Rechenzentrumseinrichtungen erfolgt gemäß dokumentierten Verfahren im Rahmen eines standardisierten Änderungsprozesses.
-
Die Stromversorgungssysteme des Rechenzentrums sind redundant und wartbar, ohne die kontinuierlichen Betriebszeiten von 24 Stunden am Tag und 7 Tagen in der Woche zu beeinträchtigen. In den meisten Fällen stehen für kritische Infrastrukturkomponenten im Rechenzentrum sowohl eine primäre als auch eine alternative Stromquelle mit gleicher Kapazität zur Verfügung. Backup-Stromversorgung erfolgt über verschiedene Mechanismen wie unterbrechungsfreie Stromversorgungen (USV), die zuverlässigen Schutz vor Stromausfällen, Spannungsausfällen, Über- und Unterspannung und Abweichungen von der Toleranzfrequenz bieten. Bei einem Stromausfall wird Backup-Stromversorgung bereitgestellt, die das Rechenzentrum bis zu 10 Minuten lang bei voller Kapazität mit transitorischem Strom versorgt, bis die Dieselgenerator-Systeme einspringen. Die Dieselgeneratoren sind in der Lage, sich automatisch innerhalb von Sekunden zu starten und ausreichend Notstrom für den vollen Betrieb des Rechenzentrums für einen Zeitraum von in der Regel Tagen bereitzustellen.
-
bioherby hat Geschäftsfortführungsplanung und Disaster-Recovery-Tests regelmäßig geplant und durchgeführt.
-
Wenn Benutzerdaten von bioherby außerhalb des Rechenzentrums elektronisch kopiert werden, wird angemessene physische Sicherheit aufrechterhalten und die Daten werden jederzeit verschlüsselt.
B. Zugangskontrolle
-
Verhindern von unbefugtem Zugriff auf Dienste:
-
bioherby hostet seine Dienste bei ausgelagerten Cloud-Infrastrukturanbietern.
-
Darüber hinaus unterhält bioherby Vertragsbeziehungen zu Anbietern, um die Dienstleistung gemäß der DPA zu erbringen. bioherby verlässt sich auf vertragliche Vereinbarungen, Datenschutzrichtlinien und Verfahren zur Einhaltung der Anbieter, um die von diesen Anbietern verarbeiteten oder gespeicherten Daten zu schützen.
-
bioherby hostet seine Dienstleistungsinfrastruktur bei mehrmandantenfähigen, ausgelagerten Infrastrukturanbietern.
-
bioherby hat eine einheitliche Passwortrichtlinie für seine Dienste und entsprechende Tools und Funktionen implementiert. Alle Passwörter müssen definierte Mindestanforderungen erfüllen und werden verschlüsselt gespeichert. Benutzer, die über die Benutzeroberfläche auf die Dienste zugreifen, müssen sich vor dem Zugriff auf nicht öffentliche Benutzerdaten authentifizieren.
-
Benutzerdaten werden in mehrmandantenfähigen Speichersystemen gespeichert, auf die Benutzer nur über Anwendungsbenuzterschnittstellen und Anwendungsprogrammierschnittstellen zugreifen können. Benutzern ist der direkte Zugriff auf die zugrunde liegende Anwendungsinfrastruktur nicht gestattet. Das Berechtigungsmodell in den einzelnen Tools und Funktionen der Dienste ist so gestaltet, dass nur die entsprechend zugewiesenen Personen auf relevante Funktionen, Ansichten und Anpassungsoptionen zugreifen können. Die Berechtigung für Datensätze erfolgt durch Validierung der Berechtigungen des Benutzers.
-
Öffentliche Service-APIs können mit einem API-Schlüssel aufgerufen werden.
-
-
Verhindern unbefugter Dienstnutzung: bioherby nutzt folgende Zugriffskontrollen und Erkennungsfähigkeiten für die internen Netzwerke, die seine Dienste unterstützen:
C. Übertragungskontrolle
bioherby stellt auf jeder seiner Anmeldeschnittstellen HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet) zur Verfügung. Die HTTPS-Implementierung von bioherby verwendet branchenübliche Algorithmen und Zertifikate.
-
Die Mechanismen zur Netzwerkzugriffskontrolle sind so konzipiert, dass sie verhindern, dass Netzwerkverkehr mit nicht autorisierten Protokollen die Dienstleistungsinfrastruktur erreicht. Die implementierten technischen Maßnahmen unterscheiden sich zwischen den Infrastrukturanbietern und umfassen Implementierungen von Virtual Private Cloud (VPC), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.
-
bioherby hat eine Web Application Firewall (WAF)-Lösung implementiert, um internetzugängliche Anwendungen zu schützen. Die WAF ist so konzipiert, dass sie Angriffe auf öffentlich verfügbare Netzwerkdienste identifiziert und verhindert.
-
Es werden Sicherheitsüberprüfungen der in den bioherby-Quellcode-Repositories gespeicherten Teile des Codes durchgeführt, um bewährte Praktiken im Codieren und erkennbare Softwarefehler zu überprüfen.
-
bioherby führt jährlich Penetrationstests durch. Ziel der Penetrationstests ist es, vorhersehbare Angriffsvektoren und potenzielle Missbrauchsszenarien zu identifizieren und zu lösen.
-
Ein Bug-Bounty-Programm lädt unabhängige Sicherheitsforscher ein und ermutigt sie, Sicherheitsmängel ethisch zu entdecken und offenzulegen. bioherby hat ein Bug-Bounty-Programm implementiert, um die Möglichkeiten zur Zusammenarbeit mit der Sicherheitsgemeinschaft zu erweitern und die Verteidigung der Dienste gegen ausgefeilte Angriffe zu verbessern.
-
Berechtigungsanforderungen. Ein Teil der Mitarbeiter von bioherby und seinen Tochtergesellschaften hat über kontrollierte Schnittstellen Zugriff auf Benutzerdaten. Der Zweck der Bereitstellung dieses Zugriffs für einen Teil der Mitarbeiter besteht darin, effektiven Kundensupport zu bieten, potenzielle Probleme zu beheben, auf Sicherheitsvorfälle zu reagieren und Datensicherheit zu gewährleisten. Die Mitarbeiter von bioherby und seinen Tochtergesellschaften sind verpflichtet, sich in Übereinstimmung mit den Richtlinien von bioherby bezüglich Vertraulichkeit, Geschäftsethik, angemessener Nutzung und professioneller Standards zu verhalten.
-
-
D. EingabekontrollVerfügbarkeitskontrolle
-
bioherby hat seine Infrastruktur so konzipiert, dass umfangreiche Informationen zum Systemverhalten, zum empfangenen Datenverkehr, zur Systemauthentifizierung und zu anderen Anfragen von Anwendungen teilweise protokolliert werden. Interne Systeme aggregieren Protokolldaten und benachrichtigen die entsprechenden Mitarbeiter über bösartige, unbeabsichtigte oder anomale Aktivitäten. Mitarbeiter von bioherby, einschließlich des Sicherheitsteams, reagieren auf bekannte Vorfälle.
-
bioherby führt eine Aufzeichnung über bekannte Sicherheitsvorfälle, die eine Beschreibung, Daten und Uhrzeiten relevanter Aktivitäten sowie die Bearbeitung des Vorfalls enthält. Verdächtige und bestätigte Sicherheitsvorfälle werden von Sicherheits-, Betriebs- oder Supportmitarbeitern untersucht, und angemessene Maßnahmen zur Lösung werden identifiziert und dokumentiert. Für bestätigte Vorfälle wird bioherby geeignete Schritte unternehmen, um Schäden oder unbefugte Offenlegungen für Benutzer zu minimieren.
-
Wenn bioherby Kenntnis von unrechtmäßigem Zugriff auf von bioherby in seinen Diensten gespeicherte Daten erhält, wird bioherby:
-
die betroffenen Benutzer über den Vorfall informieren;
-
eine Beschreibung der Schritte bereitstellen, die bioherby unternimmt, um den Vorfall zu lösen; und
-
Statusaktualisierungen an den Benutzerkontakt bereitstellen, wie von bioherby für notwendig erachtet.
-
-
Benachrichtigungen über Vorfälle, sofern vorhanden, werden in der von bioherby gewählten Form an einen oder mehrere Benutzerkontakte geliefert, dies kann per E-Mail oder Telefon erfolgen.
-
Die Infrastrukturanbieter unternehmen kommerziell angemessene Anstrengungen, um eine Mindestverfügbarkeit von 99,8 % sicherzustellen. Die Anbieter wahren eine Mindestredundanz von N+1 für Strom, Netzwerk und HVAC-Dienste.
-
Backup- und Replikationsstrategien sind so konzipiert, dass Redundanz und Ausfallschutz während eines erheblichen Verarbeitungsausfalls gewährleistet sind. Die Daten von bioherby werden in mehreren dauerhaften Datenspeichern gesichert und über mehrere Verfügbarkeitszonen repliziert. Bioherby unternimmt kommerziell angemessene Anstrengungen, um häufige, verschlüsselte Backups von geschützten Daten zu erstellen, die in geografisch getrennten Standorten gespeichert werden.
-
Wenn möglich, sind Produktionsdatenbanken so konzipiert, dass Daten zwischen mindestens einer primären und einer sekundären Datenbank repliziert werden. Alle Datenbanken werden mindestens nach Branchenstandards gesichert und gewartet.
-
Die Dienste sind darauf ausgelegt, Redundanz und nahtlose Ausfallsicherheit zu gewährleisten. Die Serverinstanzen, die die Dienste unterstützen, sind ebenfalls so konzipiert, dass einzelne Ausfallpunkte vermieden werden, um den Betrieb von bioherby bei der Wartung und Aktualisierung der Dienstanwendungen und des Backends zu unterstützen und gleichzeitig die Ausfallzeiten zu minimieren.
Bioherby 2024