Anhang zur Datenverarbeitung

SO FÜHREN SIE DIESEN DPA AUS:

Um diese DPA auszufüllen, senden Sie bitte eine E-Mail legal @digital.ai. Nach Erhalt einer gültig ausgefüllten DPA durch Digital.aiwird diese DPA rechtsverbindlich.

Eine PDF-Dokumentversion des DPA kann heruntergeladen werden hier zur Kundenrezension.

 

Anhang zur Datenverarbeitung

Dieser Datenschutznachtrag („DPA“) ist Teil der Vereinbarung (unten definiert) zwischen Digital.ai und Kunde für Digital.ai um Dienstleistungen für den Kunden bereitzustellen. Sofern hierin nicht anders definiert, haben alle großgeschriebenen Begriffe die ihnen in der jeweiligen Vereinbarung zugewiesene Bedeutung.

Digital.ai kann im Rahmen der Erbringung von Dienstleistungen für den Kunden gemäß der Vereinbarung personenbezogene Daten des Kunden verarbeiten, die der Datenschutz-Grundverordnung der Europäischen Union, Verordnung (EU) 2016/679 („EU-DSGVO„) und die EU-DSGVO, da sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 Teil des britischen Rechts ist („UK DSGVO“) (zusammen die „DSGVO“) oder andere Datenschutzgesetze. Diese DPA legt die Pflichten der Parteien in Bezug auf die Verarbeitung personenbezogener Daten gemäß der Vereinbarung fest.

Unter Berücksichtigung der hierin dargelegten gegenseitigen Verpflichtungen verpflichten sich die Parteien, die folgenden Bestimmungen einzuhalten, wobei jeder vernünftig und nach Treu und Glauben handelt.

 

1. DEFINITIONEN

 

"Mitgliedsorganisationen„bezeichnet jede natürliche oder juristische Person, die direkt oder indirekt eine Partei besitzt, kontrolliert oder von einer Partei kontrolliert wird oder unter gemeinsamer Kontrolle mit dieser steht, wobei Kontrolle als Besitz oder Leitung von mehr als 50 % der stimmberechtigten Aktien oder ähnlichen Eigentumsanteile an einer Partei definiert ist das kontrollierte Unternehmen.

 

"Zustimmung„bedeutet alle gegenwärtigen und zukünftigen Vereinbarungen zwischen Digital.ai und Kunde im Zusammenhang damit Digital.ai stellt Dienstleistungen bereit, die die Verarbeitung personenbezogener Daten im Namen des Kunden beinhalten, wie zum Beispiel einen Rahmenabonnementvertrag („MSA“) und alle für die Dienste geltenden Bestellungen. Diese DPA wird durch diesen Verweis in diese Vereinbarung(en) einbezogen.

 

"Controller„bezeichnet die Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

 

"Datenschutzgesetze„bezeichnet alle Datenschutzgesetze, die zum Schutz der Grundrechte und -freiheiten von Personen und ihres Rechts auf Privatsphäre im Hinblick auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich lokaler, staatlicher, nationaler und/oder ausländischer Gesetze und Vorschriften, der DSGVO und Umsetzungen der DSGVO in nationales Recht in der jeweils geänderten, ersetzten oder ersetzten Fassung.

 

"Personenbezogene Daten„bezeichnet alle Kundendaten (wie in der Vereinbarung definiert), die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen („Datensubjekt“), die datenschutzrechtlich geschützt ist.

 

"Verletzung personenbezogener Daten„bezeichnet eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt und bei der ein Verantwortlicher gemäß dem Datenschutzrecht zur Benachrichtigung verpflichtet ist zuständige Datenschutzbehörden oder betroffene Personen.

 

"In Bearbeitung” bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten oder an Sätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob dies automatisiert ist oder nicht, wie z. Offenlegung durch Übermittlung, Verbreitung oder anderweitige Zurverfügungstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Vernichtung.

 

"Prozessor„bezeichnet das Unternehmen, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

 

"Fähigkeiten„bezeichnet die Bereitstellung von Wartungs- und Supportdiensten und/oder die Bereitstellung von Software as a Service („SaaS“) und/oder anderen Diensten, gehostet, verwaltet oder anderweitig, die im Rahmen der Vereinbarung und zu deren Zwecken bereitgestellt werden Digital.ai Verarbeitet personenbezogene Daten im Auftrag des Kunden.

 

"Standardvertragsklauseln„bedeutet (i) wenn die EU-DSGVO Anwendung findet, die Klauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäisches Parlament und Rat, offiziell veröffentlicht unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj  ("2021 SCCs”); und (ii) wenn die UK-DSGVO Anwendung findet, die Standarddatenschutzklauseln, die gemäß Artikel 46 der UK-DSGVO angenommen oder zulässig sind, wie offiziell veröffentlicht unter https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 ("2010 SCCs").

 

"Subprozessor”Bedeutet a Digital.ai Partnerunternehmen oder Dritte, die von beauftragt werden Digital.ai im Zusammenhang mit den Diensten tätig ist und personenbezogene Daten gemäß dieser DPA verarbeitet.

 

"Aufsichtsbehörde„bezeichnet eine unabhängige öffentliche Behörde, die gemäß den geltenden Datenschutzgesetzen eingerichtet wurde.

 

2. VERARBEITUNG PERSÖNLICHER DATEN

 

2.1. Rolle der Parteien. Diese DPA gilt für die Verarbeitung personenbezogener Daten durch Digital.ai und seine Unterauftragsverarbeiter im Zusammenhang mit der Bereitstellung der Dienste. Für die Zwecke dieser DPA gilt: Digital.ai ist der Auftragsverarbeiter und der Kunde ist der Verantwortliche.

 

2.2. Umfang der Verarbeitung. Der Gegenstand und die Dauer der Verarbeitung personenbezogener Daten sind in der Vereinbarung festgelegt, in der die Bereitstellung der Dienstleistungen für den Kunden beschrieben wird. Die Art und Zwecke der Verarbeitung, für die personenbezogene Daten im Auftrag des Kunden verarbeitet werden, die Arten personenbezogener Daten und Kategorien betroffener Personen sind in dargelegt Anhang 1 zu dieser DPA.

 

2.3. Anweisungen. Digital.ai verarbeitet personenbezogene Daten nur im Namen und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden. Die Vereinbarung (einschließlich dieser DPA) stellt solche dokumentierten ersten Anweisungen zur Verarbeitung personenbezogener Kundendaten dar und jede Nutzung der Dienste stellt dann weitere Anweisungen dar. Digital.ai wird angemessene Anstrengungen unternehmen, um anderen angemessenen Anweisungen des Kunden nachzukommen, sofern diese mit den Bedingungen der Vereinbarungen im Einklang stehen, nach dem Datenschutzrecht erforderlich und technisch machbar sind. Digital.ai wird den Kunden informieren, wenn er einer Weisung nicht nachkommen kann oder in Digital.aiist der Meinung, dass jegliche Anweisungen des Kunden gegen geltende Datenschutzgesetze verstoßen.

 

2.4. Einhaltung von Gesetzen. Die Parteien verpflichten sich, alle geltenden Datenschutzgesetze einzuhalten, wie nachstehend näher erläutert:

 

2.4.1 Digital.ai muss alle geltenden Datenschutzgesetze einhalten Digital.ai in seiner Rolle als Verarbeiter in Bezug auf personenbezogene Daten. Bei der Bereitstellung der Dienste Digital.ai verarbeitet personenbezogene Daten in Übereinstimmung mit den dokumentierten Anweisungen des Kunden, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation (wie in Abschnitt 7 beschrieben). Digital.ai kann personenbezogene Daten auch dann verarbeiten, wenn dies durch geltende Datenschutzgesetze erforderlich ist. In diesem Fall ist dies der Fall Digital.ai muss den Kunden vor der Verarbeitung über diese rechtliche Anforderung informieren, es sei denn, das Gesetz verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.

 

2.4.2. Der Kunde muss in seiner Rolle als Verantwortlicher alle für den Kunden geltenden Datenschutzgesetze einhalten und alle erforderlichen Einwilligungen einholen und alle erforderlichen Benachrichtigungen bereitstellen, um den betroffenen Personen dies zu ermöglichen Digital.ai um die in diesem DPA vorgesehene Verarbeitung rechtmäßig durchzuführen. Der Kunde ist für die Richtigkeit und Qualität der personenbezogenen Daten sowie für die Art und Weise verantwortlich, mit der der Kunde die personenbezogenen Daten erlangt hat.

 

3. RECHTE DER BETROFFENEN PERSONEN

 

3.1. Anfragen betroffener Personen. Digital.ai wird, in einer Weise, die mit der Funktionalität der Dienste vereinbar ist und Digital.aiAls Auftragsverarbeiter bieten wir dem Kunden angemessene Unterstützung, damit er auf Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen reagieren kann („Anfragen betroffener Personen").

 

3.2. Beantwortung von Anfragen betroffener Personen. Der Kunde ist für die Beantwortung von Anfragen betroffener Personen verantwortlich. Wenn Digital.ai eine Anfrage einer betroffenen Person oder eine andere Beschwerde einer betroffenen Person bezüglich der Verarbeitung personenbezogener Daten erhält, Digital.ai wird den Kunden im gesetzlich zulässigen Umfang unverzüglich benachrichtigen, sofern die betroffene Person ausreichende Informationen zur Identifizierung des Kunden bereitgestellt hat. Sofern nicht gesetzlich vorgeschrieben, Digital.ai wird ohne die vorherige schriftliche Genehmigung oder Anweisung des Kunden nicht auf eine solche Anfrage einer betroffenen Person antworten, es sei denn, es geht darum, zu bestätigen, dass sich die Anfrage auf den Kunden bezieht.

 

4. AUFBEWAHRUNG UND LÖSCHUNG PERSONENBEZOGENER DATEN

 

4.1. Aufbewahrung personenbezogener Daten. Bei Beendigung der Vereinbarung der Parteien und/oder nach dem Ende der Bereitstellung der Dienste, für die diese DPA gilt, Digital.ai löscht oder gibt alle personenbezogenen Daten des Kunden in Übereinstimmung mit den Datenschutzgesetzen und/oder im Einklang mit den Bedingungen der Vereinbarung so schnell wie vernünftigerweise möglich zurück, es sei denn, geltendes Recht schreibt eine weitere Speicherung vor.

 

5. SICHERHEIT DER VERARBEITUNG

 

5.1. Sicherheitsmaßnahmen. Digital.ai wird geeignete technische und organisatorische Maßnahmen gemäß den Angaben in umsetzen und aufrechterhalten Anhang II gemäß dieser DPA, um personenbezogene Daten gemäß den geltenden Datenschutzgesetzen vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten zu schützen. Der Kunde ist dafür verantwortlich, eine unabhängige Entscheidung darüber zu treffen, ob die technischen und organisatorischen Maßnahmen für die Dienste den Anforderungen des Kunden entsprechen, einschließlich seiner Sicherheitsverpflichtungen gemäß den geltenden Datenschutzgesetzen.

 

5.2. Personal. Um personenbezogene Daten zu verarbeiten, Digital.ai und seine Unterauftragsverarbeiter dürfen nur autorisiertem Personal Zugang gewähren, das sich zu Vertraulichkeitsanforderungen verpflichtet hat, die mindestens so schützend sind wie die dieser DPA oder der Vereinbarung. Dieses Personal ist verpflichtet, personenbezogene Daten gemäß den Anweisungen des Kunden gemäß der Vereinbarung und nur in dem für die Erbringung der Dienstleistungen erforderlichen Umfang zu verarbeiten.

 

6. UNTERPROZESSOREN

 

6.1. Einsatz von Unterauftragsverarbeitern. Der Kunde autorisiert Digital.ai Unterauftragsverarbeiter gemäß dieser DPA zu beauftragen, vorausgesetzt, dass Digital.ai schließt mit diesen Unterauftragsverarbeitern eine schriftliche Vereinbarung ab, die mit den Bedingungen dieser Vereinbarung im Einklang steht. Digital.ai haftet für die Handlungen und Unterlassungen eines Unterauftragsverarbeiters im gleichen Umfang, als ob sie von diesem ausgeführt würden Digital.ai.

 

6.2. Liste der Unterauftragsverarbeiter. Die Liste der von verwendeten Unterprozessoren Digital.ai zur Erbringung der Dienstleistungen ab dem Datum des Inkrafttretens dieses DPA ist diesem als Anhang III beigefügt und wird veröffentlicht unter: https://info.digital.ai/rs/981-LQX-968/images/Digital.ai-Data-Protection-FAQ-2021.pdf  ("Liste der Unterauftragsverarbeiter"). Digital.ai muss den Kunden über alle beabsichtigten Ergänzungen oder Ersetzungen der Liste der Unterauftragsverarbeiter informieren, indem er die veröffentlichte Liste der Unterauftragsverarbeiter mindestens dreißig (30) Tage vor der Autorisierung eines neuen Unterauftragsverarbeiters zur Verarbeitung personenbezogener Daten aktualisiert.

 

6.3. Einspruchsrechte. Dieser Abschnitt 6.3 gilt, soweit der Kunde seinen Sitz im Europäischen Wirtschaftsraum hat („EWR"), das Vereinigte Königreich ("UK“) und/oder in der Schweiz oder wo anderweitig durch die für den Kunden geltenden Datenschutzgesetze vorgeschrieben. In einem solchen Fall widerspricht der Kunde aus berechtigten datenschutzrechtlichen Gründen Digital.aiWenn der Kunde einen neuen Unterauftragsverarbeiter in Anspruch nimmt, muss er dies umgehend und innerhalb von fünfzehn (15) Tagen danach tun Digital.ai's Mitteilung gemäß Abschnitt 6.2 oben, bereitstellen Digital.ai mit schriftlicher Mitteilung über den Einspruch. Im Falle eines solchen Widerspruchs Digital.ai wird wirtschaftlich angemessene Schritte unternehmen, um auf die vom Kunden vorgebrachten Einwände einzugehen, und dem Kunden eine angemessene schriftliche Erläuterung der Schritte geben, die zur Beseitigung dieses Einwands unternommen wurden.

 

7. DATENÜBERTRAGUNG

 

7.1. Überweisungen. Der Kunde autorisiert Digital.ai und seine Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten zum Zweck der Bereitstellung der Dienste, wobei die Verarbeitung die Durchführung notwendiger Übermittlungen personenbezogener Daten gemäß den Bestimmungen dieser DPA umfassen kann.

 

7.2. Eingeschränkte Übertragungen. Alle Übermittlungen personenbezogener Daten im Rahmen dieses DPA aus dem EWR, dem Vereinigten Königreich und/oder der Schweiz in Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze der oben genannten Gebiete gewährleisten („Eingeschränkte Länder„) unterliegen den entsprechenden Standardvertragsklauseln, die in dieser DPA enthalten sind. Die Übertragung safeDie in diesem Abschnitt 7 dargelegten Schutzmaßnahmen gelten für: (i) wenn die EU-DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem EWR oder der Schweiz in ein eingeschränktes Land; und (ii) wenn die DSGVO des Vereinigten Königreichs gilt, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein eingeschränktes Land; („Eingeschränkte Übertragungen").

 

7.3. Standardvertragsklauseln zwischen Verantwortlichem und Auftragsverarbeiter: Die Standardvertragsklauseln gelten für alle eingeschränkten Übermittlungen personenbezogener Daten vom Kunden (als „Datenexporteur“) an Digital.ai (als „Datenimporteur“) wie folgt:

 

7.3.1. Persönliche Daten der EU. In Bezug auf personenbezogene Daten, die durch die EU-DSGVO geschützt sind, gelten die Standardvertragsklauseln von 2021 wie folgt ergänzt: (i) Modul Zwei (Verantwortlicher bis Auftragsverarbeiter) gilt und die Module Eins, Drei und Vier werden vollständig gestrichen; (ii) Klausel 7 wird vollständig gestrichen und die Parteien können diesem DPA weitere Unternehmen hinzufügen, indem sie ein zusätzliches DPA (wie bereitgestellt) abschließen hier; (iii) in Klausel 9 gilt Option 2, wie in Abschnitt 6 dieser DPA beschrieben; (v) in Klausel 17 gilt Option 1 und die Standardvertragsklauseln 2021 unterliegen niederländischem Recht; (vi) in Klausel 18(b) werden Streitigkeiten vor den Gerichten der Niederlande beigelegt; und (vii) Anhang I und Anhang II der Standardvertragsklauseln 2021 werden mit den in den diesem DPA beigefügten Anhängen I und II aufgeführten Informationen ausgefüllt.

 

7.3.2. Schweizer personenbezogene Daten. Für die Zwecke der SCC 2021 soll der Begriff „Mitgliedstaat“ nicht so ausgelegt werden, dass er betroffene Personen in der Schweiz von der Möglichkeit ausschließt, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Klausel einzuklagen 18(c). Bis zum 31. Dezember 2022 und für jeden nach geltendem Schweizer Recht erforderlichen längeren Zeitraum schützen die SCC 2021 auch die Daten juristischer Personen im Geltungsbereich des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (SR 235.1; „DSG“). ).

 

7.3.3. Persönliche Daten aus dem Vereinigten Königreich. In Bezug auf personenbezogene Daten, die durch die DSGVO des Vereinigten Königreichs geschützt sind, gelten die Standardvertragsklauseln von 2010, soweit sie sich auf Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich beziehen. Alle zukünftigen Änderungen, Aktualisierungen oder geänderten Versionen der Standardvertragsklauseln von 2010, die von der britischen Datenschutzbehörde zum Zweck der Einhaltung der internationalen Datenübertragungsbestimmungen des UK Data Protection Act 2018 eingeführt werden, werden in die Vereinbarung aufgenommen und bilden einen Teil davon zwischen Kunde und Digital.ai. Anhang 1 und Anhang 2 der Standardvertragsklauseln von 2010 müssen mit den Informationen ausgefüllt werden, die in den Anhängen I und II dieses DPA aufgeführt sind.

 

7.4. Erläuterungen. Es ist weder die Absicht einer der Parteien noch die Wirkung dieser DPA, den Bestimmungen der Standardvertragsklauseln zu widersprechen oder sie einzuschränken. In keinem Fall schränkt dieses DPA die Rechte einer betroffenen Person oder einer zuständigen Aufsichtsbehörde ein. Nichts in dieser DPA ist so auszulegen, dass es Vorrang vor einer widersprüchlichen Klausel der SCCs 2010 oder der SCCs 2021 hat. Wenn in dieser DPA die Audit- und Unterauftragsverarbeiterregeln weiter spezifiziert werden, gelten diese Spezifikationen auch in Bezug auf die SCCs 2010 und die SCCs 2021.

 

7.5. Alternativer Datenübertragungsmechanismus. Zur Klarstellung: Sollte der in diesem Abschnitt 7 genannte Übertragungsmechanismus von einer Aufsichtsbehörde oder einem Gericht mit der entsprechenden Befugnis als ungültig erachtet werden, werden sich die Parteien nach Treu und Glauben bemühen, einen alternativen Mechanismus auszuhandeln (sofern verfügbar und erforderlich), um die Fortsetzung zu ermöglichen Übermittlung personenbezogener Daten.

 

8. Benachrichtigung über einen Verstoß gegen personenbezogene Daten

 

8.1. Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten. Digital.ai wird den Kunden umgehend und ohne unangemessene Verzögerung benachrichtigen, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die personenbezogene Daten des Kunden betrifft, die von verarbeitet werden Digital.ai und angemessene in seinem Besitz befindliche Informationen bereitzustellen, um den Kunden bei der Erfüllung seiner Pflichten zur Meldung einer Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen zu unterstützen. Digital.ai wird angemessene Anstrengungen unternehmen, um die Ursache eines solchen Verstoßes gegen den Schutz personenbezogener Daten zu ermitteln, und wird geeignete Maßnahmen ergreifen, um die Auswirkungen abzumildern und den Schaden, der sich aus dem Verstoß gegen den Schutz personenbezogener Daten ergibt, soweit wie möglich zu minimieren Digital.ai's angemessene Kontrolle. Die Benachrichtigung wird dem Kunden gemäß Abschnitt 8.2 zugestellt. Eine solche Benachrichtigung darf nicht als Eingeständnis eines Verschuldens oder einer Haftung seitens interpretiert oder ausgelegt werden Digital.ai.

 

8.2. Benachrichtigungszustellung. Benachrichtigungen über Verstöße gegen den Schutz personenbezogener Daten werden gegebenenfalls an einen oder mehrere geschäftliche, technische oder administrative Kontakte des Kunden übermittelt Digital.ai wählt aus, auch per E-Mail. Der Kunde ist dafür verantwortlich, sicherzustellen, dass er jederzeit korrekte Kontaktinformationen bereitstellt und pflegt.

 

9. PRÜFUNG

 

9.1. Informationsanfragen. Digital.ai stellt dem Kunden auf angemessene schriftliche Anfrage hin Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten des Kunden zur Verfügung, soweit dies zum Nachweis erforderlich ist Digital.aiDie Einhaltung der Verpflichtungen aus diesem DPA ist gewährleistet.

 

9.2. Kundenaudit. Digital.ai ermöglicht Inspektionsanfragen des Kunden (oder seines unabhängigen Prüfers) in Bezug auf die von ihm verarbeiteten personenbezogenen Daten Digital.ai um zu bestätigen Digital.aiEinhaltung dieser DPA, wenn: (a) Digital.ai keinen ausreichenden schriftlichen Nachweis über die Einhaltung der technischen und organisatorischen Maßnahmen erbracht hat, z. B. eine Zertifizierung der Einhaltung von ISO 27001 oder anderen Standards; (b) es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist; (c) eine Prüfung wird von der Aufsichtsbehörde des Kunden offiziell beantragt; oder (d) das Datenschutzrecht dem Kunden ein zwingendes Recht auf Vor-Ort-Einsicht einräumt; und vorausgesetzt, dass der Kunde dieses Recht nicht öfter als einmal pro Jahr ausübt, es sei denn, zwingende Datenschutzgesetze erfordern häufigere Kontrollen. Alle Informationen von Digital.ai gemäß diesem Abschnitt 9 unterliegen den Vertraulichkeitsverpflichtungen der Vereinbarung. Solche Inspektionen werden in einer Weise durchgeführt, die weder die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Kontinuität der inspizierten Einrichtungen, Netzwerke und Systeme beeinträchtigt noch darin verarbeitete vertrauliche Daten gefährdet.

 

9.3. Kosten der Prüfung. Der Kunde ist für die Kosten einer Prüfung verantwortlich, es sei denn, diese Prüfung ergibt einen wesentlichen Verstoß Digital.ai dieser DPA also Digital.ai Die Kosten der Prüfung trägt er selbst. Wenn eine Prüfung das feststellt Digital.ai gegen seine Pflichten aus diesem DPA verstoßen hat, Digital.ai wird den Verstoß auf eigene Kosten unverzüglich beheben.

 

 

10. Datenschutz-Folgenabschätzungen

 

10.1. Wenn der Kunde nach geltendem Datenschutzrecht dazu verpflichtet ist, eine Datenschutz-Folgenabschätzung oder vorherige Konsultation mit einer Aufsichtsbehörde im Zusammenhang mit der Nutzung der Dienste durch den Kunden durchzuführen, Digital.ai wird dem Kunden auf begründete Anfrage hin solche Dokumente zur Verfügung stellen, die allgemein für die Dienste verfügbar sind; zum Beispiel alle jeweils aktuellen SOC-2-Berichte der Service Organizational Control (SOC), ISO/IEC 27001:2013-Zertifizierungen und/oder vergleichbare branchenübliche Nachfolgeberichte, soweit sie auf die Dienste anwendbar sind.

 

10.2. Jede zusätzliche Unterstützung bei der Zusammenarbeit oder vorherige Konsultation mit einer Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben im Zusammenhang mit diesem Abschnitt 10, soweit nach dem Datenschutzrecht erforderlich, wird zwischen den Parteien unter Berücksichtigung der Art der Verarbeitung einvernehmlich vereinbart und Informationen zur Verfügung Digital.ai. Soweit gesetzlich zulässig, trägt der Kunde die dadurch entstehenden Kosten Digital.aiBereitstellung einer solchen Hilfeleistung

 

11. GENERAL

 

11.1. Kundenpartner. Der Kunde ist für die Koordination der gesamten Kommunikation verantwortlich Digital.ai im Namen seiner verbundenen Unternehmen bezüglich dieser DPA. Der Kunde erklärt, dass er befugt ist, dieser DPA und allen darin enthaltenen oder im Rahmen dieser DPA eingegangenen Standardvertragsklauseln beizutreten, Anweisungen zu erteilen und im Namen seiner verbundenen Unternehmen Mitteilungen oder Benachrichtigungen im Zusammenhang mit dieser DPA vorzunehmen und zu empfangen.

 

11.2. Konflikt. Das anwendbare Recht und die zuständigen Gerichte für diese DPA sind diejenigen der Hauptvereinbarung, der diese DPA beigefügt ist. Sollte es einen Konflikt oder eine Inkonsistenz zwischen dieser DPA und der Vereinbarung geben, hat diese DPA Vorrang, sofern sich der Konflikt oder die Inkonsistenz auf personenbezogene Daten bezieht.

 

11.3. Beendigung. Die Laufzeit dieser DPA endet gemäß den Bedingungen der Vereinbarung.

 

11.4. Sonstig. Jeder Verweis auf die DPA hierin bezieht sich auf diese DPA einschließlich ihrer Anhänge und/oder Anhänge. Die in dieser DPA enthaltenen Abschnittsüberschriften dienen nur zu Referenzzwecken und haben keinen Einfluss auf die Bedeutung oder Auslegung dieser DPA.

 

ZU URKUND DESSEN wird diese DPA abgeschlossen und wird zu einem verbindlichen Bestandteil der Vereinbarung(en) zwischen dem Kunden und Digital.ai, ab dem Datum der Unterschrift des Kunden unten. Wenn dieses Dokument von einer der Parteien elektronisch unterzeichnet wurde, hat diese Unterschrift die gleiche rechtliche Wirkung wie eine handschriftliche Unterschrift.

 

 

ANHANG I.

Beschreibung des Produkts der Verarbeitung

Dieser Anhang 1 dient zur Beschreibung des Produkts der Verarbeitung personenbezogener Daten des Kunden für die Zwecke der Standardvertragsklauseln 2010, der Standardvertragsklauseln 2021 und des geltenden Datenschutzrechts.

A. LISTE DER PARTEIEN

Datenexporteur(e):

 

1. Name: Kundenname wie in der geltenden Vereinbarung angegeben

 

Adresse Kundenadresse wie in der geltenden Vereinbarung angegeben

 

Name, Position und Kontaktdaten der Kontaktperson: Zeichnungsberechtigter für die maßgebliche Vereinbarung

 

Relevante Aktivitäten: Gebrauch von Digital.ai's Produkte und Dienstleistungen gemäß der Vereinbarung.

 

Unterschrift und Datum: Durch den Abschluss des DPA wird davon ausgegangen, dass der Datenexporteur die hierin enthaltenen Standardvertragsklauseln zum Zeitpunkt des Inkrafttretens des DPA unterzeichnet hat.

 

Rolle (Verantwortlicher/Auftragsverarbeiter):   Controller

 

Datenimporteur(e):

 

Name: Digital.ai Software, Inc.

 

Adresse 555 Fayetteville Street, Suite Nr. 210, Raleigh, North Carolina 27601

 

Name, Position und Kontaktdaten der Kontaktperson: legal @digital.ai

 

Relevante Aktivitäten: Bereitstellung Digital.ai's Produkte und Dienstleistungen gemäß der Vereinbarung.

 

Unterschrift und Datum: Durch den Abschluss des DPA wird davon ausgegangen, dass der Datenimporteur die hierin enthaltenen Standardvertragsklauseln zum Zeitpunkt des Inkrafttretens des DPA unterzeichnet hat.

 

Rolle (Verantwortlicher/Auftragsverarbeiter): Prozessor

 

B. BESCHREIBUNG DER ÜBERTRAGUNG

 

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden:

 

Zu den Kategorien der betroffenen Personen gehören die Benutzer des Kunden (wie in der Vereinbarung definiert). Digital.ai Produkte und Dienstleistungen.

 

Kategorien der übermittelten personenbezogenen Daten:

 

Identifikationsinformationen (Name, Titel, E-Mail-Adresse); Anmeldeinformationen (Benutzername und Passwort); Anmeldedaten (Zeit und Datum der Protokolle); Daten im Zusammenhang mit Supportanfragen der Benutzer.

 

Übertragene sensible Daten (falls zutreffend) und angewendete Einschränkungen bzw safeWachpersonal, das die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigt, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung einer Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterverarbeitung Übertragungen oder zusätzliche Sicherheitsmaßnahmen:

 

Es werden keine sensiblen Informationen verarbeitet Digital.ai.

 

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden):

 

Die Übermittlung erfolgt bei Cloud-Produkten und -Diensten fortlaufend und bei Supportanfragen einmalig.

 

Art der Verarbeitung:

 

Digital.ai fungiert als Verarbeiter der vom Kunden im Rahmen der Nutzung übermittelten personenbezogenen Daten Digital.ai's Produkte und Dienstleistungen; Die Art der Verarbeitung umfasst Übertragung, Speicherung und andere Verarbeitungsaktivitäten, die gemäß den Bedingungen der Vereinbarung festgelegt sind.

 

Zweck(e) der Datenübermittlung und Weiterverarbeitung:

 

Zur Verfügung stellen und unterstützen Digital.ais Produkte und Dienstleistungen für den Kunden, wie in der Vereinbarung (einschließlich dieser DPA) vereinbart.

 

Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden:

Für die Dauer der bestehenden Vereinbarung mit Digital.ai, sofern in der Vereinbarung nichts anderes angegeben oder anderweitig gesetzlich zulässig oder vorgeschrieben ist.

 

Geben Sie bei Übermittlungen an (Unter-) Auftragsverarbeiter auch Gegenstand, Art und Dauer der Verarbeitung an:

 

Digital.ai (Datenimporteur) nutzt die in der genannten Unterauftragsverarbeiter Liste der Unterauftragsverarbeiter dargelegt in Anhang III, Unterstützung Digital.ai bei der Bereitstellung seiner Produkte und Dienstleistungen für den Kunden (Datenexporteur). Der Gegenstand und die Dauer der Verarbeitung werden oben in dieser Anlage erläutert. Die Art der spezifischen Unterverarbeitungsdienste wird in der Liste der Unterauftragsverarbeiter näher erläutert in Anhang III aufgeführt sind.

 

 

C. Zuständige AUFSICHTSBEHÖRDE

 

Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Ziffer 13:

 

Die zuständige Aufsichtsbehörde bestimmt gemäß Ziffer 13 der Standardvertragsklauseln.

• Standardvertragsklauseln 2021: Das maßgebliche Recht der Standardvertragsklauseln 2021 ist das Recht der Niederlande.

• Standardvertragsklauseln von 2010: Die Standardvertragsklauseln von 2010 unterliegen den Gesetzen des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat, nämlich dem Vereinigten Königreich.

 

ANHANG II

Technische und organisatorische Sicherheitsmaßnahmen

Dieser Anhang II dient zur Beschreibung des Produkts der anwendbaren technischen und organisatorischen Maßnahmen für die Zwecke der Standardvertragsklauseln 2010, der Standardvertragsklauseln 2021 und des geltenden Datenschutzrechts.

Die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen wurden vom Datenimporteur umgesetzt, um unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Rechte ein angemessenes Maß an Sicherheit zu gewährleisten Freiheiten natürlicher Personen.

Beschreibung des Produkts der technischen und organisatorischen Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten:

Richtlinien, Verfahren und Standards zur Informationssicherheit. Digital.ai unterhält ein Informationssicherheitsprogramm (einschließlich der Annahme und Durchsetzung interner Richtlinien und Verfahren), das dazu dienen soll, personenbezogene Daten vor versehentlichem oder unrechtmäßigem Verlust, Zugriff oder Offenlegung zu schützen. Ein Rückblick auf alles Digital.ai Richtlinien, Verfahren und technische Standards zur Informationssicherheit werden mindestens einmal jährlich durchgeführt. Gegebenenfalls können Sicherungskopien personenbezogener Daten zur Verfügung gestellt und regelmäßig getestet werden, um die Integrität zu bestätigen und die Ausfallsicherheit nachzuweisen. In kritischen Systemen wird regelmäßig eine Schwachstellenbewertung durchgeführt, und mindestens einmal jährlich werden Penetrationstests durchgeführt.

Verschlüsselung. Digital.ai nutzt Verschlüsselungsmethoden, die gemäß den Best Practices der Branche als sicher gelten, um Daten sowohl im Ruhezustand als auch während der Übertragung zu sichern. Die verwendeten Verschlüsselungsmethoden erfüllen oder übertreffen Transport Layer Security (TLS) 1.2 oder Advanced Encryption Standard (AES) 256.

Audits. Wo anwendbar, Digital.ai wird externe Auditoren einsetzen und/oder interne Audits durchführen, um die Angemessenheit seiner Sicherheitsmaßnahmen gemäß den Standards ISO 27001, SOC 2 oder ISO 13485 zu überprüfen.

Zugangskontrollen. Benutzeridentifikation und -autorisierung. Digital.ai verwaltet Zugriffskontrollen und -richtlinien, um zu verwalten, welcher Zugriff auf das zulässig ist Digital.ai Netzwerk von jeder Netzwerkverbindung und jedem Benutzer, einschließlich der Verwendung von Firewalls oder funktional gleichwertiger Technologie und Authentifizierungskontrollen.

Physische Sicherheit. Physische Barrierekontrollen werden eingesetzt, um den unbefugten Zutritt zu Einrichtungen zu verhindern, in denen personenbezogene Daten entweder von oder in deren Auftrag verarbeitet werden Digital.ai. Die Kontrollen erfolgen sowohl am Perimeter als auch an den Gebäudezugängen. Der Zutritt erfordert in der Regel entweder eine elektronische Zugangskontrollvalidierung (z. B. Kartenzugangssysteme usw.) oder eine Validierung durch menschliches Sicherheitspersonal (z. B. Vertrags- oder interner Sicherheitsdienst, Rezeptionist usw.). Mitarbeitern und Auftragnehmern werden Lichtbildausweise zugewiesen, die getragen werden müssen, während sich die Mitarbeiter und Auftragnehmer in einer der Einrichtungen aufhalten. Besucher müssen sich bei ausgewiesenem Personal anmelden, müssen einen entsprechenden Ausweis vorlegen, erhalten einen Besucherausweis, den der Besucher tragen muss, während er sich in einer der Einrichtungen aufhält, und werden beim Besuch der Einrichtungen ständig von autorisierten Mitarbeitern oder Auftragnehmern begleitet.

Ereignisprotokollierung. Digital.aiDas Netzwerk und die Systeme von sind so konfiguriert, dass Systemfehler und Sicherheitsereignisse protokolliert werden und die Protokolldateien vor Änderungen durch Benutzer geschützt sind.

Systemkonfiguration. Digital.ai entwickelt, dokumentiert und pflegt eine aktuelle Basiskonfiguration für alle betroffenen Systeme. Die Baseline muss jährlich und bei Bedarf aufgrund von System-Upgrades, Patches oder anderen wesentlichen Änderungen überprüft und aktualisiert werden. Vorherige Konfigurationen zur Unterstützung des Rollbacks müssen beibehalten werden. Für Informationssysteme oder Computer mit erhöhten Sicherheitskontrollen muss eine Mindestgrundkonfiguration eingerichtet werden.

 

Weitere Informationen über Digital.ai's Sicherheitszertifizierungen und -praktiken befindet sich hier .ANHANG III

Liste der Unterauftragsverarbeiter

  • Amazon Web Services („AWS“)
    • Beschreibung des Produkts: Cloud-Dienstanbieter
  • Rackspace-Technologie
    • Beschreibung des Produkts: Cloud-Dienstanbieter

Andere Unterauftragsverarbeiter

  • ServiceRocket, Inc.
    • Beschreibung des Produkts: Cloudbasierte Kundensupport- und Implementierungsdienste
  • Pendo.io, Inc.
    • Beschreibung des Produkts: Cloudbasierte Softwareunterstützung und -analyse
  • Schneeflocke, Inc.
    • Beschreibung des Produkts: Database as a Service Provider
  • Zendesk
    • Beschreibung des Produkts: Kundendienstsoftware
  • Sumo Logic, Inc.
    • Beschreibung des Produkts: Cloudbasierte Softwaresicherheit und Protokollanalyse

 

 

 

CCPA-Nachtrag für Dienstanbieter

Dieser ergänzende CCPA-Nachtrag („Nachtrag„) ist Teil des DPA zwischen Digital.ai (Für die Zwecke dieses Addendums wird es als „Dienstanbieter") und Kunden wie in der maßgeblichen Vereinbarung angegeben.

 

Im Zuge der Bereitstellung von Dienstleistungen für den Kunden gemäß der Vereinbarung Digital.ai kann personenbezogene Daten des Unternehmens verarbeiten, die dem California Consumer Privacy Act, Cal. unterliegen. Zivil. Code § 1798.100 und folgende. ("CCPA“). Die folgenden Bedingungen werden in die Vereinbarung aufgenommen, um die Einhaltung des CCPA sicherzustellen.

Für die Zwecke dieses Nachtrags gelten die folgenden Definitionen zusätzlich zu den im DPA und in der Vereinbarung enthaltenen Definitionen, einschließlich aller Nachträge, die diese ergänzen können.

 

1. Definitionen.

1.1 In diesem Nachtrag haben die folgenden Begriffe die unten angegebene Bedeutung:

1.1.1 "Persönliche Informationen des Unternehmens„bezeichnet alle personenbezogenen Daten im Sinne des CCPA, die vom Dienstleister im Namen des Unternehmens oder seiner verbundenen Unternehmen gemäß oder im Zusammenhang mit der Vereinbarung verarbeitet werden;

1.1.2 "Verarbeitet" oder "In Bearbeitung„bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten des Unternehmens durchgeführt werden;

2. Verarbeitung personenbezogener Unternehmensdaten. Soweit die Erfüllung seiner Verpflichtungen aus der Vereinbarung durch den Dienstleister die Verarbeitung personenbezogener Daten des Unternehmens umfasst, erklärt sich der Dienstleister damit einverstanden wird nicht Persönliche Daten des Unternehmens für jeden Zweck, einschließlich kommerzieller Zwecke, aufzubewahren, zu verwenden oder offenzulegen, außer für den spezifischen Zweck der Erbringung der in der Vereinbarung für das Unternehmen festgelegten Dienstleistungen oder wie anderweitig durch das CCPA oder die von ihm erlassenen Vorschriften zulässig Generalstaatsanwalt von Kalifornien gemäß Cal. Zivil. Code § 1798.185.