Dieses Datenverarbeitungszusatzdokument ("DPA") ändert und ist Teil des Vertrags (wie unten definiert) zwischen dem Anbieter und Ihnen als Nutzer der Dienste des Anbieters ("Kunde"). 

Für die Zwecke dieser DPA haben die folgenden Begriffe die folgende Bedeutung:

• "Vereinbarungen" bedeutet jede Vereinbarung zwischen Anbieter und Kunde für die Dienstleistungen, unabhängig von einem Titel, wie "Bestellformular", "Verkaufsauftrag", "Nutzungsbedingungen", "Dienstleistungsbedingungen", "SaaS-Vereinbarung" oder "Dienstleistungsvereinbarung".
• "Verantwortlicher" hat die im GDPR definierte Bedeutung.
• "Kundenkonto und Nutzungsdaten" bedeutet Informationen über den Kunden, die der Kunde dem Anbieter im Zusammenhang mit der Erstellung und Verwaltung eines Kontos zur Verfügung stellt, wie die Vor- und Nachnamen, Benutzername, E-Mail-Adresse sowie Rechnungs- und Zahlungsinformationen von Personen, die mit einem Konto verbunden sind. Dies umfasst auch statistische oder analytische Informationen über die Nutzung des Dienstes durch den Kunden und alle abgeleiteten Daten. 
• "Kundendaten" bedeutet die vom Anbieter im Zusammenhang mit der Bereitstellung der Dienstleistungen verarbeiteten Daten, wie im Vertrag beschrieben, mit Ausnahme von Kundenkonto- und Nutzungsdaten.
• "Kundenpersonenbezogene Daten" bedeutet Kundendaten, die aus personenbezogenen Daten bestehen.
• "Datenschutzgesetz(e)" bedeutet jede anwendbare Gesetzgebung oder Regelung, die sich auf die Verarbeitung personenbezogener Daten bezieht, einschließlich (a) des California Consumer Privacy Act und seiner Durchführungsverordnungen; (b) des GDPR (wie unten definiert) und der damit verbundenen Datenschutz- und Privatsphäregesetze der Mitgliedstaaten des Europäischen Wirtschaftsraums; (c) des Datenschutzgesetzes 2018 des Vereinigten Königreichs ("UK GDPR"); und (d) des Schweizerischen Bundesgesetzes über den Datenschutz ("Schweizer DPA"), jeweils wie anwendbar und in der jeweils geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung.
• "Europäischer Raum" bedeutet die Europäische Union, den Europäischen Wirtschaftsraum, die Schweiz und das Vereinigte Königreich von Großbritannien und Nordirland ("UK"). 
• "GDPR" bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung).
• "Personenbezogene Daten" bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die der Anbieter im Auftrag des Kunden gemäß dem Vertrag verarbeitet. 
• "Verletzung personenbezogener Daten" bedeutet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugang zu personenbezogenen Daten führt. Eine Verletzung personenbezogener Daten umfasst keine erfolglosen Versuche oder Aktivitäten, die die Vertraulichkeit, Verfügbarkeit oder Integrität von Kundendaten oder vertraulichen Informationen nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe und andere ähnliche Vorfälle.
• "Verarbeiten" oder "Verarbeitung" bedeutet jede Operation oder Reihe von Operationen, die an personenbezogenen Daten oder an Mengen personenbezogener Daten durchgeführt wird, unabhängig davon, ob dies automatisiert erfolgt, wie z.B. Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Zerstörung.
• "Beschränkter Transfer" bedeutet (a) wo der GDPR Anwendung findet, einen Transfer von Kundenpersonenbezogenen Daten oder Kundenkonto- und Nutzungsdaten aus dem EWR in ein Land außerhalb des EWR, das nicht Gegenstand einer Angemessenheitsentscheidung der Europäischen Kommission ist; (b) wo der Schweizer DPA Anwendung findet, einen Transfer von Kundenpersonenbezogenen Daten oder Kundenkonto- und Nutzungsdaten aus der Schweiz in ein Land, das nicht Gegenstand einer Angemessenheitsentscheidung des Schweizerischen Bundesdatenschutz- und Informationsbeauftragten ist; und (c) wo der UK GDPR Anwendung findet, einen Transfer von Kundenpersonenbezogenen Daten oder Kundenkonto- und Nutzungsdaten aus dem Vereinigten Königreich in ein Land, das nicht Gegenstand von Angemessenheitsregelungen gemäß Abschnitt 17A des Datenschutzgesetzes des Vereinigten Königreichs von 2018 ist.
• "Standardvertragsklauseln" bedeutet (a) wo der GDPR Anwendung findet, die standardmäßigen Vertragsklauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über standardmäßige Vertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ("EU SCCs") angehängt sind; (b) wo der UK GDPR Anwendung findet, den International Data Transfer Addendum zu den Standardvertragsklauseln der EU-Kommission, herausgegeben vom britischen Informationsbeauftragten, Version B1.0, in Kraft seit dem 21. März 2022 ("UK SCCs"); und (c) wo der Schweizer DPA Anwendung findet, die anwendbaren standardmäßigen Datenschutzklauseln, die vom Schweizerischen Bundesdatenschutz- und Informationsbeauftragten herausgegeben, genehmigt oder anerkannt wurden (die "Schweizer SCCs"), jeweils wie von Zeit zu Zeit aktualisiert.
• "Drittländer" bedeutet Länder, die, wie es die anwendbaren Datenschutzgesetze erfordern können, keine Angemessenheitsentscheidung von einer zuständigen Behörde in Bezug auf grenzüberschreitende Datenübertragungen personenbezogener Daten erhalten haben, einschließlich Regulierungsbehörden wie der Europäischen Kommission, UK ICO oder Schweizer FDPIC.

Die großgeschriebenen Begriffe, die oben verwendet, aber nicht definiert sind, haben die im Vertrag dargelegten Bedeutungen. Sofern in dieser DPA nicht anders vorgesehen, haben die Begriffe "Geschäft", "geschäftlicher Zweck", "kommerzieller Zweck", "Auftragnehmer", "Verantwortlicher", "Verarbeiten", "Auftragsverarbeiter", "Unterauftragsverarbeiter", "Betroffene", "deidentifizieren", "Verkaufen", "Dienstanbieter", "Teilen" und "Dritte" die gleiche Bedeutung wie in den anwendbaren Datenschutzgesetzen, und ihre verwandten Begriffe werden entsprechend ausgelegt. Alle anderen großgeschriebenen Begriffe haben die gleiche Bedeutung wie im Vertrag.

2.1. Kundendaten. Die Parteien stimmen zu, dass der Anbieter ein Auftragsverarbeiter in Bezug auf die Verarbeitung von Kundendaten ist. 

2.2. Konto- und Nutzungsdaten. Die Parteien stimmen zu, dass der Kunde und der Anbieter unabhängige Verantwortliche in Bezug auf die Verarbeitung von Kundenkonto- und Nutzungsdaten sind, und jede Partei wird ihren Verpflichtungen als Verantwortlicher nachkommen und stimmt zu, der anderen Partei angemessene Unterstützung zu leisten, wenn dies von den Datenschutz 2.3. Schutzgesetzen. In Bezug auf Kundenkonto- und Nutzungsdaten findet diese DPA keine Anwendung, außer in Abschnitt 7.

Der Zweck der Verarbeitung gemäß dieser DPA besteht darin, die Dienste gemäß den anwendbaren Vereinbarungen bereitzustellen. Anhang A (Beschreibung der Verarbeitung und Übertragungsdetails) beschreibt den Gegenstand und die Einzelheiten der Verarbeitung personenbezogener Daten.

3.1. Der Kunde stimmt zu, dass (a) er seinen Verpflichtungen als Verantwortlicher gemäß der DSGVO und anderen Datenschutzgesetzen, in denen dieses Konzept in Bezug auf die Verarbeitung personenbezogener Daten anerkannt ist, nachkommen muss und alle Verarbeitungsanweisungen, die er dem Anbieter gemäß Abschnitt 4.1 erteilt; (b) er die erforderlichen Mitteilungen gemacht und alle Zustimmungen und Rechte eingeholt hat, die von den Datenschutzgesetzen erforderlich sind, damit der Anbieter die personenbezogenen Daten des Kunden gemäß der Vereinbarung und dieser DPA verarbeiten kann; und (c) die Verarbeitung der personenbezogenen Daten des Kunden durch den Anbieter in Übereinstimmung mit den dokumentierten Anweisungen des Kunden gemäß Abschnitt 4.1 eine rechtmäßige Grundlage für die Verarbeitung gemäß Artikel 6 der DSGVO und anderen Datenschutzgesetzen haben wird, die eine rechtmäßige Grundlage für die Verarbeitung erfordern. 

3.2. Wenn der Kunde ein Auftragsverarbeiter ist, erklärt und garantiert der Kunde dem Anbieter, dass die Anweisungen und Handlungen des Kunden in Bezug auf die personenbezogenen Daten des Kunden, einschließlich der Ernennung des Anbieters als weiteren Auftragsverarbeiter, ordnungsgemäß von dem relevanten Verantwortlichen autorisiert wurden. Der Kunde muss den Anbieter von allen Ansprüchen, Klagen, Verfahren, Kosten, Schäden und Verbindlichkeiten (einschließlich, aber nicht beschränkt auf staatliche Ermittlungen, Beschwerden und Klagen) sowie angemessenen Anwaltsgebühren, die aus einer Verletzung dieses Abschnitts durch den Kunden entstehen, freistellen, verteidigen und schadlos halten. Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung unterliegen die Entschädigungspflichten des Kunden gemäß diesem Abschnitt keinen Haftungsbeschränkungen in der Vereinbarung.

4.1. Der Kunde weist den Anbieter an, die personenbezogenen Daten des Kunden zu verarbeiten, um die in der Vereinbarung dokumentierten Dienstleistungen bereitzustellen, es sei denn, das geltende Recht verlangt etwas anderes. Um Zweifel auszuschließen, stellt diese DPA die dokumentierten Anweisungen des Kunden an den Anbieter dar, die personenbezogenen Daten des Kunden im Zusammenhang mit der Bereitstellung der Dienstleistung durch den Anbieter an den Kunden zu verarbeiten. Der Anbieter muss den Kunden umgehend informieren, wenn er nach eigener Einschätzung der Meinung ist, dass eine Anweisung gegen geltendes Recht verstößt.

4.2. Wenn der Anbieter die personenbezogenen Daten des Kunden in seiner Eigenschaft als Auftragsverarbeiter verarbeitet, wird der Anbieter personenbezogene Daten nur in dem Umfang verwenden, aufbewahren, offenlegen oder anderweitig verarbeiten, wie es erforderlich ist, um im Auftrag des Kunden zu handeln und zu dem spezifischen Geschäftszweck, die Dienstleistungen bereitzustellen. Der Anbieter wird die personenbezogenen Daten des Kunden nicht "verkaufen" und in Übereinstimmung mit den Anweisungen des Kunden, einschließlich der in der Vereinbarung beschriebenen, verfahren. Der Anbieter wird keine personenbezogenen Daten verkaufen oder teilen, noch verwenden, aufbewahren, offenlegen oder anderweitig personenbezogene Daten außerhalb seiner Geschäftsbeziehung zum Kunden oder für einen anderen Zweck (einschließlich des kommerziellen Zwecks des Anbieters) verwenden, es sei denn, dies ist gesetzlich erforderlich oder erlaubt. Der Anbieter wird den Kunden informieren, wenn der Anbieter feststellt, dass er seinen Verpflichtungen gemäß den Datenschutzgesetzen nicht mehr nachkommen kann. Der Anbieter oder wenn, nach vernünftiger Einschätzung des Anbieters, eine der Anweisungen des Kunden gegen Datenschutzgesetze verstößt. Der Kunde behält sich das Recht vor, angemessene und geeignete Maßnahmen zu ergreifen, um (i) sicherzustellen, dass die Verarbeitung personenbezogener Daten durch den Anbieter mit den Verpflichtungen des Kunden gemäß den Datenschutzgesetzen übereinstimmt, und (ii) die unbefugte Nutzung personenbezogener Daten zu beenden und zu beheben. Der Anbieter bestätigt, dass er die Einschränkungen dieses Abschnitts 4.2 versteht.

4.3. Der Anbieter hat das Recht, personenbezogene Daten ausschließlich (i) insoweit zu verwenden, wie es notwendig ist, um (a) seinen Verpflichtungen aus der Vereinbarung und dieser DPA nachzukommen; (b) um die Dienstleistungen zu betreiben, zu verwalten, zu testen, zu warten und zu verbessern, einschließlich als Teil seiner Geschäftstätigkeit; (c) um aggregierte Statistiken über die Dienstleistungen in einer Weise offenzulegen, die eine individuelle Identifizierung oder Wiederidentifizierung des Kunden, der Kundendaten, personenbezogener Daten, einschließlich ohne Einschränkung eines einzelnen Geräts oder einer einzelnen Person, verhindert; und/oder (d) die Dienstleistungen vor einer Bedrohung für die Dienstleistungen oder personenbezogene Daten zu schützen; oder (ii) wenn dies durch einen Gerichtsbeschluss eines Gerichts oder einer autorisierten Regierungsbehörde erforderlich ist, vorausgesetzt, dass zuvor eine Mitteilung an den Kunden erfolgt; (iii) wie anderweitig ausdrücklich durch die Vereinbarung, diese DPA oder den Kunden autorisiert.

4.4. Der Anbieter wird keine personenbezogenen Daten, die der Anbieter im Auftrag des Kunden verarbeitet, mit personenbezogenen Daten kombinieren, die er von oder im Auftrag einer anderen Person oder Personen erhält, oder die er aus seiner eigenen Interaktion mit Einzelpersonen sammelt, vorausgesetzt, der Anbieter kann personenbezogene Daten kombinieren, um einen Geschäftszweck zu erfüllen, der gemäß der Vereinbarung zur Erbringung der Dienstleistungen erlaubt oder erforderlich ist.

4.5. Der Anbieter wird angemessene kommerzielle Anstrengungen unternehmen, um sicherzustellen, dass Personen, die vom Anbieter autorisiert sind, personenbezogene Daten des Kunden zu verarbeiten, angemessenen Vertraulichkeitsverpflichtungen unterliegen. 

4.6. Der Anbieter wird, unter Berücksichtigung der Art der Verarbeitung, angemessene kommerzielle Anstrengungen unternehmen, um dem Kunden, auf Kosten des Kunden, durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Verpflichtung des Kunden zu helfen, auf Anfragen zur Ausübung der Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten gemäß den Datenschutzgesetzen zu reagieren.

4.7. Der Anbieter wird dem Kunden auf Anfrage Nachweise über die Einhaltung seiner Verpflichtungen aus dieser DPA und den geltenden Datenschutzgesetzen bereitstellen, wie z.B. Zusammenfassungsberichte zu SOC II Typ 2 oder ISO27001-Sicherheitsaudits oder gleichwertigen, auf Anfrage des Kunden und nicht mehr als einmal pro Jahr, es sei denn, die Anfrage steht im Zusammenhang mit einem Vorfall von personenbezogenen Daten oder einer behördlichen Anfrage im Zusammenhang mit der Nutzung der Dienstleistungen durch den Kunden.

4.8. Nach Wahl des Kunden wird der Anbieter auf Anfrage alle personenbezogenen Daten des Kunden innerhalb von dreißig (30) Tagen nach Beendigung der Bereitstellung der Dienstleistungen an den Kunden löschen oder an den Kunden zurückgeben und vorhandene Kopien löschen, es sei denn, das geltende Recht verlangt die Aufbewahrung personenbezogener Daten.

4.9. Der Anbieter wird den Kunden umgehend benachrichtigen, wenn der Anbieter tatsächlich von einem Vorfall mit personenbezogenen Daten Kenntnis erlangt, vorausgesetzt, dass die Bereitstellung einer solchen Mitteilung oder eine Antwort des Anbieters nicht als Anerkennung von Schuld oder Haftung in Bezug auf einen solchen Vorfall mit personenbezogenen Daten ausgelegt wird.

4.10. Der Anbieter wird geeignete technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten des Kunden zu schützen, die die Anforderungen (a) gemäß den Datenschutzgesetzen und (b) Anhang B dieser DPA erfüllen oder übertreffen. Der Kunde erkennt an, dass die in Anhang B beschriebenen Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass der Anbieter die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen die allgemeine Sicherheit der Dienstleistungen nicht beeinträchtigen oder verringern.

5.1. Unbeschadet der Bestimmungen in Abschnitt 4 gelten bei der Verarbeitung personenbezogener Daten von betroffenen Personen, die sich im Europäischen Wirtschaftsraum ("EU-Personenbezogene Daten") befinden, die folgenden zusätzlichen Bedingungen:

a) Der Anbieter muss, unter Berücksichtigung der Art der Verarbeitung und der dem Anbieter verfügbaren Informationen, angemessene kommerzielle Anstrengungen unternehmen, um den Kunden auf dessen Kosten bei der Einhaltung der Verpflichtungen des Kunden gemäß den Artikeln 32 bis 36 der DSGVO zu unterstützen; und

b) Der Anbieter muss auf angemessene Anfrage des Kunden Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um eine wesentliche Einhaltung der Verpflichtungen in diesem DPA nachzuweisen, und Audits (jedes ein "Audit") ermöglichen und dazu beitragen, auf Kosten des Kunden, einschließlich Inspektionen von Verarbeitungseinrichtungen, die unter der Kontrolle des Anbieters stehen, die vom Kunden oder einem anderen vom Kunden gewählten Prüfer (ein "Prüfer") durchgeführt werden, während der normalen Geschäftszeiten und nach angemessener vorheriger Ankündigung, vorausgesetzt, dass kein Prüfer ein Wettbewerber des Anbieters ist, und ferner vorausgesetzt, dass der Kunde unter keinen Umständen Zugang zu den Informationen eines anderen Kunden des Anbieters hat und die gemäß diesem Abschnitt 5.1(b) bereitgestellten Offenlegungen ("Audit-Informationen") als vertrauliche Informationen des Anbieters behandelt werden und den Vertraulichkeitsverpflichtungen im Vertrag unterliegen, und ferner vorausgesetzt, dass kein Audit durchgeführt wird, es sei denn, der Kunde hat angefordert und der Anbieter hat Dokumentationen gemäß diesem Abschnitt bereitgestellt und der Kunde vernünftigerweise feststellt, dass ein Audit weiterhin erforderlich ist, um eine wesentliche Einhaltung der Verpflichtungen in diesem DPA nachzuweisen. Unbeschadet der Allgemeinheit einer Bestimmung im Vertrag muss der Kunde den gleichen Sorgfaltsgrad zum Schutz der Audit-Informationen anwenden, den er zum Schutz seiner eigenen vertraulichen und proprietären Informationen verwendet, und in jedem Fall nicht weniger als einen angemessenen Sorgfaltsgrad unter den gegebenen Umständen, und der Kunde haftet für jede unsachgemäße Offenlegung oder Verwendung von Audit-Informationen durch den Kunden oder seine Vertreter.

6.1. Subunternehmer unterstützen den Anbieter bei der Verarbeitung personenbezogener Daten, wie in diesem DPA dargelegt. Der Anbieter wird vertragliche Vereinbarungen mit Subunternehmern treffen, die das gleiche Niveau an Datenschutzkonformität und Informationssicherheit erfordern, wie es in diesem DPA vorgesehen ist. Durch den Abschluss des Vertrags und dieses DPA stimmt der Kunde der Verarbeitung personenbezogener Daten durch die Offenlegung und Übertragung personenbezogener Daten an die unter den Subunternehmern aufgeführten Subunternehmer zu unter https://www.pdffiller.com/en/subprocessors.htm ("Subunternehmerliste"). Der Anbieter wird den Kunden über beabsichtigte Änderungen zur Hinzufügung oder Ersetzung von Subunternehmern in seiner Subunternehmerliste informieren, indem er mindestens zehn (10) Kalendertage vor der Verarbeitung personenbezogener Daten durch den neuen Subunternehmer eine aktualisierte Liste der Subunternehmer veröffentlicht. 

6.2. Der Kunde kann solchen Änderungen innerhalb von fünf (5) Kalendertagen nach Erhalt einer solchen Mitteilung schriftlich widersprechen, vorausgesetzt, dass dieser Widerspruch auf angemessenen Gründen im Zusammenhang mit dem Datenschutz basiert (ein "Widerspruch"), indem er pdfFiller Subunternehmer-Aktionsformular einreicht. Im Falle eines Widerspruchs werden die Parteien solche Bedenken in gutem Glauben besprechen, mit dem Ziel, eine Lösung zu erreichen. Wenn es den Parteien nicht gelingt, eine Lösung wie im vorherigen Satz beschrieben zu erreichen, kann der Kunde, als sein einziges und ausschließliches Rechtsmittel, den Vertrag aus Bequemlichkeit kündigen, vorausgesetzt, der Kunde gibt dem Anbieter innerhalb von fünf (5) Kalendertagen nach der Information über die Beauftragung des Subunternehmers schriftliche Mitteilung. Der Kunde hat keinen Anspruch auf Rückerstattung von Gebühren, die vor dem Datum einer Kündigung gemäß diesem Abschnitt gezahlt wurden.

7.1. Der Kunde stimmt der Übertragung und der Verarbeitung von EU-Personenbezogenen Daten in den Vereinigten Staaten von Amerika zu.

7.2. Übertragungen aus dem EWR. Wenn eine eingeschränkte Übertragung aus dem EWR erfolgt, sind die EU-Standardvertragsklauseln in diese DPA integriert und gelten für die Übertragung wie folgt:

         a) In Bezug auf eingeschränkte Übertragungen vom Kunden an den Anbieter gilt Modul Eins, wenn sowohl der Kunde als auch der Anbieter Verantwortliche sind, Modul Zwei gilt, wenn der Kunde Verantwortlicher und der Anbieter Auftragsverarbeiter ist, und Modul Drei gilt, wenn sowohl der Kunde als auch der Anbieter Auftragsverarbeiter sind.

         b) In Klausel 7 gilt die optionale Docking-Klausel nicht;

         c) In Klausel 9 der Module Zwei und Drei gilt Option 2, und der Zeitraum für die vorherige Mitteilung über Änderungen bei Unterauftragsverarbeitern ist in Abschnitt 6 dieser DPA festgelegt.

         d) In Klausel 11 gilt die optionale Sprache nicht

         e) In Klausel 17 gilt Option 1 mit dem anwendbaren Recht, das im Abschnitt Wahl des Rechts; Gerichtsstand des Vertrags festgelegt ist. Wenn der Vertrag nicht dem Recht eines EU-Mitgliedstaates unterliegt, unterliegen die Standardvertragsklauseln entweder (i) dem Recht von Irland oder (ii) wenn der Vertrag dem Recht des Vereinigten Königreichs unterliegt, dem Recht von England und Wales.

         f) In Klausel 18(b) werden Streitigkeiten vor den Gerichten am anwendbaren Gerichtsstand des Vertrags beigelegt. Wenn der Vertrag kein EU-Mitgliedstaatgericht als zuständig für die Beilegung von Streitigkeiten oder Klagen, die sich aus oder im Zusammenhang mit diesem Vertrag ergeben, benennt, stimmen die Parteien zu, dass die Gerichte entweder (i) Irland oder (ii) wenn der Vertrag das Vereinigte Königreich als zuständig benennt, die Gerichte von England und Wales ausschließlich zuständig sind, um Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, zu lösen. Für betroffene Personen, die ihren Wohnsitz gewöhnlich in der Schweiz haben, sind die Gerichte der Schweiz ein alternativer Gerichtsstand für Streitigkeiten.

         g) Anhang I der Standardvertragsklauseln wird mit den Informationen in Anhang A dieser DPA ergänzt; und

         h) Anhang II der Standardvertragsklauseln wird mit den Informationen in Anhang B dieser DPA ergänzt, und Anhang III der Standardvertragsklauseln wird mit den Informationen in der Liste der Unterauftragsverarbeiter ergänzt.

7.3. Übertragungen aus der Schweiz. Im Falle von Übertragungen von Daten aus der Schweiz haben (a) allgemeine und spezifische Verweise in den EU-Standardvertragsklauseln auf die DSGVO oder EU- oder Mitgliedstaatengesetze die gleiche Bedeutung wie der entsprechende Verweis in der Schweizer DPA, sofern anwendbar; und (b) jede andere Verpflichtung in den EU-Standardvertragsklauseln, die vom Mitgliedstaat, in dem der Datenexporteur oder die betroffene Person ansässig ist, bestimmt wird, bezieht sich auf eine Verpflichtung gemäß der Schweizer DPA, sofern anwendbar.

7.4. Übertragungen aus dem Vereinigten Königreich. Wenn eine eingeschränkte Übertragung aus dem Vereinigten Königreich erfolgt, ist der UK Transfer Addendum in diese DPA integriert und gilt für die Übertragung. Der UK Transfer Addendum wird mit den Informationen in Abschnitt 7.2, der Liste der Unterauftragsverarbeiter und den Anhängen A und B dieser DPA ergänzt; und sowohl "Importeur" als auch "Exporteur" sind in Tabelle 4 ausgewählt.

7.5. Wenn der Anbieter einen alternativen Datenexportmechanismus (einschließlich einer neuen Version oder eines Nachfolgers der Standardvertragsklauseln oder des Privacy Shield, das gemäß dem Datenschutzrecht angenommen wurde) für die Übertragung personenbezogener Daten einführt, die in dieser DPA nicht beschrieben sind ("Alternativer Übertragungsmechanismus"), gilt der alternative Übertragungsmechanismus anstelle eines anwendbaren Übertragungsmechanismus, der in dieser DPA beschrieben ist (aber nur insoweit, als dieser alternative Übertragungsmechanismus dem Datenschutzrecht entspricht und sich auf die Gebiete erstreckt, in die personenbezogene Daten übertragen werden).

8.1. Die Bedingungen dieser DPA haben Vorrang, soweit es einen Konflikt zwischen den Bedingungen dieser DPA und den Bedingungen des Vertrags gibt. Im Falle eines Konflikts zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln hinsichtlich personenbezogener Daten aus der EU, der Schweiz oder dem Vereinigten Königreich Vorrang. Sofern nicht ausdrücklich durch diese DPA geändert oder modifiziert, bleiben die Bedingungen und Bestimmungen des Vertrags unverändert und in vollem Umfang in Kraft. Sofern nicht in Abschnitt 3 dieser DPA dargelegt, unterliegen die in dieser DPA enthaltenen Verpflichtungen (a) etwaigen Haftungsbeschränkungen, die im Vertrag dargelegt sind, und (b) zusätzlich zu den anderen im Vertrag enthaltenen Verpflichtungen. Diese DPA kann elektronisch ausgeführt werden, einschließlich der Nutzung der elektronischen Signaturdienste des Anbieters.

Dieser Abschnitt im Dokument enthält die Kontaktdaten der Parteien für die Mitteilungen gemäß dieser DPA.

• Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden

Vertreter des Kunden; Vertreter von Partnern; Nutzer und Besucher der Dienste, einschließlich, aber nicht beschränkt auf Empfänger von in die Dienste hochgeladenen Dateien; und Personen, die in den in die Dienste hochgeladenen Dateien erwähnt werden.

• Kategorien von übertragenen personenbezogenen Daten

EU-Personenbezogene Daten, die sich auf die oben beschriebene Kategorie von betroffenen Personen beziehen. Die EU-Personenbezogenen Daten hängen von den jeweiligen Diensten ab, könnten jedoch Folgendes umfassen: Name, E-Mail-Adresse, demografische Daten, IP-Adresse, Arbeitgeber, Adresse, Geolokalisierung, Telefonnummer, Beruf und Position sowie alle von Kunden und Nutzern der Dienste und Besuchern der Dienste (einschließlich, aber nicht beschränkt auf Empfänger von in die Dienste hochgeladenen Dateien) im Zusammenhang mit den Diensten bereitgestellten EU-Personenbezogenen Daten, einschließlich der personenbezogenen Daten des Kunden, die in den in die Dienste hochgeladenen Dateien enthalten sind.

• Übertragene sensible Daten (sofern zutreffend) und angewandte Einschränkungen oder Sicherheitsvorkehrungen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strenge Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Protokollierung des Zugriffs auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.

Der Inhalt der personenbezogenen Daten ist vielfältig und unter der Kontrolle des Datenexporteurs, kann jedoch von Zeit zu Zeit, abhängig von den jeweiligen Diensten, sensible Daten gemäß den relevanten Datenschutzgesetzen enthalten. 

• Übertragungsfrequenz

Übertragungen erfolgen kontinuierlich für die Dauer, die für die Erbringung der Dienste, alle anderen im Vertrag festgelegten Zwecke und in Übereinstimmung mit den geltenden Gesetzen und Vorschriften erforderlich ist.

• Art der Verarbeitung

Die EU-Personenbezogenen Daten unterliegen einer grundlegenden Verarbeitung, einschließlich, aber nicht beschränkt auf Erhebung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Sperrung, Löschung oder Zerstörung zum Zweck der Bereitstellung von Diensten durch den Anbieter an den Kunden gemäß den Bedingungen des Vertrags.

• Übertragungszweck(e)

EU-Personenbezogene Daten unterliegen den im Vertrag beschriebenen Verarbeitungsoperationen. 

• Aufbewahrungsfrist oder deren Kriterien

Bei der Bereitstellung solcher Dienste für den Kunden wird der Anbieter die EU-Personenbezogenen Daten gemäß den Anweisungen des Kunden für die Dauer des Vertrags verarbeiten.

• Übertragungen an Unterauftragsverarbeiter

Alle autorisierten Unterauftragsverarbeiter sind verpflichtet, die gleichen oder wesentlich ähnlichen technischen und organisatorischen Maßnahmen, Verantwortlichkeiten und Verpflichtungen umzusetzen und aufrechtzuerhalten, wie sie vom Anbieter gemäß dieser DPA gefordert werden.

• Geschäftszweck(e) für die Verarbeitung personenbezogener Informationen von kalifornischen Verbrauchern

Für die Verarbeitung, die kalifornische Verbraucher betrifft, gelten nur die folgenden und überprüften Geschäftszwecke für die Verarbeitung personenbezogener Daten:

     Hilfe zur Gewährleistung von Sicherheit und Integrität, soweit die Nutzung der personenbezogenen Informationen des Verbrauchers für diese Zwecke angemessen notwendig und verhältnismäßig ist 

     Debugging zur Identifizierung und Behebung von Fehlern, die die bestehende beabsichtigte Funktionalität beeinträchtigen. 

     Erbringung von Dienstleistungen im Auftrag des Unternehmens, einschließlich der Pflege oder Wartung von Konten, Bereitstellung von Kundenservice, Verarbeitung oder Erfüllung von Bestellungen und Transaktionen, Überprüfung von Kundeninformationen, Verarbeitung von Zahlungen, Bereitstellung von Finanzierungen, Bereitstellung von Analyse-Diensten, Bereitstellung von Speicher oder Bereitstellung ähnlicher Dienstleistungen im Auftrag des Unternehmens. 

     Durchführung interner Forschung für technologische Entwicklung und Demonstration. 

     Durchführung von Aktivitäten zur Überprüfung oder Aufrechterhaltung der Qualität oder Sicherheit eines Dienstes oder Geräts, das im Besitz des Unternehmens ist, hergestellt wurde, für das Unternehmen hergestellt wurde oder vom Unternehmen kontrolliert wird, und zur Verbesserung, Aktualisierung oder Erweiterung des Dienstes oder Geräts, das im Besitz des Unternehmens ist, hergestellt wurde, für das Unternehmen hergestellt wurde oder vom Unternehmen kontrolliert wird. 

     Um einen anderen Dienstleister oder Auftragnehmer als Unterauftragnehmer zu behalten und zu beschäftigen, sofern der Unterauftragnehmer die Anforderungen für einen Dienstleister oder Auftragnehmer gemäß CCPA erfüllt. 

     Um die Qualität der Dienstleistungen, die es dem Unternehmen bietet, zu verbessern oder zu steigern, selbst wenn dieser Geschäftszweck nicht im schriftlichen Vertrag angegeben ist, der gemäß CCPA erforderlich ist, vorausgesetzt, der Dienstanbieter verwendet die personenbezogenen Daten nicht, um Dienstleistungen im Auftrag einer anderen Person zu erbringen. 

Um Daten-Sicherheitsvorfälle zu verhindern, zu erkennen oder zu untersuchen oder sich gegen böswillige, betrügerische oder illegale Aktivitäten zu schützen, selbst wenn dieser Geschäftszweck nicht im schriftlichen Vertrag angegeben ist.

〇 Prüfung im Zusammenhang mit der Zählung von Anzeigenimpressionen für einzigartige Besucher, Überprüfung der Positionierung und Qualität von Anzeigenimpressionen sowie Prüfung der Einhaltung dieser Spezifikation und anderer Standards.

〇 Bereitstellung von Werbe- und Marketingdiensten, mit Ausnahme von kontextübergreifender Verhaltenswerbung, an den Verbraucher, vorausgesetzt, dass ein Dienstanbieter oder Auftragnehmer zum Zweck der Werbung und des Marketings die personenbezogenen Informationen von Verbrauchern, die sich abgemeldet haben, nicht mit personenbezogenen Informationen kombiniert, die der Dienstanbieter oder Auftragnehmer von oder im Auftrag des Unternehmens erhält, oder von einer anderen Person oder Personen erhält oder aus seiner eigenen Interaktion mit Verbrauchern sammelt. 

〇 Kurzfristige, vorübergehende Nutzung, einschließlich, aber nicht beschränkt auf, nicht personalisierte Werbung, die als Teil der aktuellen Interaktion eines Verbrauchers mit dem Unternehmen angezeigt wird, vorausgesetzt, dass die personenbezogenen Informationen des Verbrauchers nicht an einen anderen Dritten offengelegt werden und nicht verwendet werden, um ein Profil über den Verbraucher zu erstellen oder die Erfahrung des Verbrauchers außerhalb der aktuellen Interaktion mit dem Unternehmen zu verändern.

• Wenn der Datenexporteur in einem EU-Mitgliedstaat ansässig ist, wird die Aufsichtsbehörde, die für die Sicherstellung der Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur verantwortlich ist, als zuständige Aufsichtsbehörde fungieren.
• Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel 3 Absatz 2 fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaates, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 ansässig ist, wird als zuständige Aufsichtsbehörde fungieren.
• Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Datenschutzkommission (DPC) – 21 Fitzwilliam Square, South Dublin 2, D02 RD28 Irland wird als zuständige Aufsichtsbehörde fungieren.
• Wenn der Datenexporteur im Vereinigten Königreich ansässig ist oder in den räumlichen Anwendungsbereich der britischen Datenschutzgesetze und -verordnungen fällt, wird das Informationskommissariat als zuständige Aufsichtsbehörde fungieren.
• Wenn der Datenexporteur in der Schweiz ansässig ist oder in den räumlichen Anwendungsbereich der Schweizer Datenschutzgesetze und -verordnungen fällt, wird der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte als zuständige Aufsichtsbehörde fungieren, soweit der relevante Datentransfer durch die Schweizer Datenschutzgesetze und -verordnungen geregelt ist.

• Programm. Der Anbieter wird ein schriftliches Informationssicherheitsprogramm ("Informationssicherheitsprogramm") implementieren und aufrechterhalten, das angemessen geeignete administrative, technische und organisatorische Schutzmaßnahmen enthält, die mit diesem Anhang übereinstimmen. 
• Zugriffskontrollen. Der Anbieter wird Maßnahmen ergreifen, um: (a) das "Prinzip der geringsten Privilegien" einzuhalten, gemäß dem der Zugriff auf personenbezogene Daten durch das Personal des Anbieters auf der Grundlage des Bedarfs beschränkt wird; und (b) den Zugriff seines Personals auf personenbezogene Daten umgehend zu beenden, wenn dieser Zugriff für die Erfüllung des Vertrags nicht mehr erforderlich ist.
• Kontoverwaltung. Der Anbieter wird die Erstellung, Nutzung und Löschung aller Kontoberechtigungen verwalten, die zum Zugriff auf die Schlüssel-Infrastruktur des Anbieters verwendet werden, einschließlich der Anforderung einer Multi-Faktor-Authentifizierung in allen kritischen Systemen. 
• Schwachstellenmanagement. Der Anbieter wird (a) regelmäßig automatisierte Schwachstellenscanning-Tools verwenden, um das Produktionssystem des Anbieters auf Schwachstellen zu scannen, einschließlich, aber nicht beschränkt auf Penetrationstests, und (b) Patch-Management- und Software-Update-Tools implementieren, wie von den Anbietern dieser Tools mitgeteilt. 
• Sicherheitssegmentierung. Der Anbieter wird den Informationsfluss auf mehrschichtige Weise überwachen, erkennen und einschränken, indem er Tools wie Firewalls, Proxys und netzwerkbasierte Intrusion-Detection-Systeme verwendet. 
• Datenverlustprävention. Der Anbieter wird Maßnahmen zur Verlustprävention einsetzen, um personenbezogene Daten während der Nutzung, der Übertragung und im Ruhezustand zu identifizieren, zu überwachen und zu schützen. Solche Prozesse und Tools zur Datenverlustprävention umfassen: (a) automatisierte Tools, die darauf ausgelegt sind, Versuche der Datenexfiltration zu identifizieren; und (b) die Verwendung von sicherheitszertifikatbasierter Verschlüsselung.
• Verschlüsselung. Der Anbieter wird alle personenbezogenen Daten, die der Anbieter über öffentliche Netzwerke überträgt, mit branchenüblichen Verschlüsselungstools verschlüsseln. 
• Pseudonymisierung. Der Anbieter wird branchenübliche Pseudonymisierungstechniken verwenden, um personenbezogene Daten zu schützen, wo immer dies möglich und mit den Dienstleistungen vereinbar ist. 
• Physische Schutzmaßnahmen. Der Anbieter wird physische Zugangskontrollen aufrechterhalten, um die physischen Räumlichkeiten des Anbieters zu sichern, in denen sich die relevante Computerumgebung des Anbieters befindet, die zur Verarbeitung personenbezogener Daten verwendet wird, einschließlich eines Zugangskontrollsystems, das es dem Anbieter ermöglicht, den physischen Zugang zu jeder Einrichtung des Anbieters zu kontrollieren. 
• Administrative Schutzmaßnahmen. Bevor der Anbieter seinen Mitarbeitern Zugang zu den personenbezogenen Daten des Kunden gewährt, wird der Anbieter kommerziell angemessene Maßnahmen ergreifen: (a) die Zuverlässigkeit solcher Mitarbeiter zu überprüfen; und (b) angemessene Sicherheitsschulungen für solche Mitarbeiter bereitzustellen.