Nachtrag zur Datenverarbeitung (Kunde)
Zuletzt aktualisiert: Dezember 20, 2023
Übersicht
Dieses Addendum zur Datenverarbeitung, einschließlich seiner Anhänge ("DPA") gilt für alle Dienstleistungen, die für den im Bestellformular aufgeführten Kunden ("Kunde"), von OPSWAT Inc. und seinen verbundenen Unternehmen ("OPSWAT") als Auftragsverarbeiter oder Unterauftragsverarbeiter in dem Umfang, in dem personenbezogene Daten verarbeitet werden.
Der Kunde und OPSWAT werden hierin jeweils als eine "Partei" und zusammen als "Parteien".
Diese DPA ergänzt alle Vereinbarungen zwischen den Parteien, einschließlich, aber nicht beschränkt auf die Allgemeinen Geschäftsbedingungen von OPSWAT, die Geschäftsbedingungen für professionelle Dienstleistungen von OPSWAT, die Servicebedingungen für Cybersecurity Assessment von OPSWAToder andere Verkaufs-, Lizenz- oder ähnliche Vereinbarungen, falls zutreffend (die"Vereinbarung"), und bleibt für die Dauer der Laufzeit in Kraft.
Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, ist der Gegenstand, die Art und der Zweck der Verarbeitung im Rahmen dieser DSGVO die Erbringung der Dienstleistungen im Rahmen des Abkommens, und die Kategorien personenbezogener Daten und die Kategorien betroffener Personen sind diejenigen, die für die Erbringung der Dienstleistungen im Rahmen des Abkommens erforderlich sind.
Diese DPA tritt ab dem Datum des Inkrafttretens der DPA in Kraft und ersetzt alle zuvor geltenden Datenverarbeitungs- und Sicherheitsbedingungen.
1. Begriffsbestimmungen
Für die Zwecke dieser DPA haben die nachstehenden Begriffe die nachstehend angegebene Bedeutung. Großgeschriebene Begriffe, die in dieser DPA verwendet, aber nicht anderweitig definiert werden, haben die in der Vereinbarung festgelegte Bedeutung.
"Verbundene Unternehmen"bezeichnet in Bezug auf jede Partei die Unternehmen, die diese Partei kontrollieren, von ihr kontrolliert werden oder mit ihr unter gemeinsamer Kontrolle stehen.
"Aggregierte Daten"sind Statistiken, Benchmarks, Messwerte und andere Informationen oder Daten, die durch Entfernen von persönlichen oder anderen Informationen anonymisiert wurden, so dass die Daten nicht einer bestimmten Person oder einem bestimmten Kunden zugeordnet werden können (unter Verwendung von wirtschaftlich vertretbarem Aufwand oder wie von den geltenden Gesetzen vorgeschrieben).
"Geltende Gesetze" bezeichnet anwendbare nationale, bundesstaatliche, staatliche und lokale Gesetze, Regeln, Richtlinien, gerichtliche oder behördliche Anordnungen und Vorschriften.
"Audit-Berichte"bedeutet ISO 27001, SSAE 16 SOC II oder ein ähnlicher Auditbericht, der von einem qualifizierten Drittprüfer erstellt wurde.
"Kontrolle"bedeutet das wirtschaftliche Eigentum an mehr als fünfzig Prozent (50 %) der Stimmrechte oder des Eigenkapitals eines Unternehmens.
"Persönliche Daten des Kunden"sind Informationen über eine identifizierte oder identifizierbare natürliche Person, die durch die Datenschutzgesetzgebung geschützt sind und die der Kunde OPSWAT zur Verfügung stellt oder die OPSWAT im Namen des Kunden auf andere Weise verarbeitet, in jedem Fall in Verbindung mit der Bereitstellung oder als Teil der Dienstleistungen gemäß der Vereinbarung zu jedem Zeitpunkt bis zur Beendigung der Vereinbarung.
"Verbundene Unternehmen mit Datenverantwortung" bezeichnet die verbundenen Unternehmen des Kunden, die nicht ihr eigenes Bestellformular oder den Vertrag mit OPSWAT unterzeichnet haben und die (a) der Datenschutzgesetzgebung unterliegen und (b) die Dienste gemäß dem Vertrag nutzen dürfen.
"Datenschutz-Gesetzgebung" bezeichnet die geltenden Gesetze, einschließlich, aber nicht beschränkt auf die Gesetze des EWR und/oder der Mitgliedsstaaten (wie GDPR), des Vereinigten Königreichs und der Schweiz, die auf die Verarbeitung personenbezogener Kundendaten im Rahmen der Vereinbarung anwendbar sind (in allen Fällen in ihrer geänderten, ersetzten oder ersetzten Fassung).
"Betroffene Person"ist die Person, auf die sich die persönlichen Daten des Kunden beziehen.
"EWR" bezeichnet den Europäischen Wirtschaftsraum.
"GDPR"bezeichnet die Allgemeine Datenschutzverordnung EU 2016/679.
"Informationssicherheitsvorfall" bezeichnet eine Sicherheitsverletzung, die zu einer versehentlichen oder unrechtmäßigen Zerstörung oder einem versehentlichen Verlust, einer Änderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf personenbezogene Kundendaten im Besitz, in der Obhut oder der Kontrolle von OPSWATführt. "Informationssicherheitsvorfälle" umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit der persönlichen Kundendaten nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
"Bestellformular" bedeutet ein Anmelde- oder Bestelldokument.
"Verarbeitung"bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit den personenbezogenen Daten des Kunden durchgeführt werden, einschließlich der Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, des Abrufs, der Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, des Abgleichs oder der Kombination, der Einschränkung oder Löschung der personenbezogenen Daten des Kunden. Die Begriffe "Verarbeitung", "Verarbeitungen" und "verarbeitet" sind entsprechend zu verstehen.
"SCC" bezeichnet den Beschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, der von Zeit zu Zeit geändert, neu gefasst oder ersetzt werden kann.
"Sicherheitsmaßnahmen" bezeichnet die technischen und organisatorischen Maßnahmen, die OPSWAT zum Schutz der personenbezogenen Daten des Kunden einsetzt, wie in Abschnitt 5.1 (OPSWAT's Security Measures) näher beschrieben.
"DienstleistungenDer Begriff "Dienstleistungen" wird in der Vereinbarung definiert und bezeichnet darüber hinaus die Dienstleistungen und/oder Produkte, die OPSWAT dem Kunden im Rahmen der Vereinbarung gemäß den Angaben in einem Bestellformular bereitstellt.
"Unterauftragsverarbeiter" sind Dritte, die nicht OPSWAT sind und die von OPSWAT im Rahmen dieser DPA beauftragt und ermächtigt wurden, personenbezogene Daten des Kunden im Zusammenhang mit den Dienstleistungen zu verarbeiten.
"Begriff" hat die in Abschnitt 2 festgelegte Bedeutung.
2. Dauer des DPA
Diese DPA tritt mit dem Inkrafttreten des Abkommens in Kraft und erlischt automatisch bei Beendigung des Abkommens.
3. Verarbeitung der Daten
3.1 Umfang der Verarbeitung; Anweisungen des Kunden; OPSWAT Einhaltung der Anweisungen des Kunden. Mit dem Abschluss dieser DPA weist der Kunde OPSWAT an, personenbezogene Daten des Kunden nur in Übereinstimmung mit der Datenschutzgesetzgebung zu verarbeiten. OPSWAT wird personenbezogene Daten des Kunden nur in Übereinstimmung mit den Anweisungen des Kunden verarbeiten: (a) um die Dienstleistungen zu erbringen; (b) wie durch die Vereinbarung, einschließlich dieser DPA, autorisiert; und (c) wie in anderen schriftlichen Anweisungen dokumentiert, die vom Kunden zur Verfügung gestellt und von OPSWAT schriftlich als Anweisungen für die Zwecke dieser DPA anerkannt wurden, es sei denn, geltende Gesetze schreiben etwas anderes vor. Der Gegenstand und die Einzelheiten der Verarbeitung sind in Anhang 1 (Einzelheiten der Verarbeitung) beschrieben.
3.2 Verantwortlichkeiten des Kunden. Der Kunde sichert zu und gewährleistet, dass (a) der Kunde alle erforderlichen Genehmigungen, Zustimmungen und Erlaubnisse gemäß der Datenschutzgesetzgebung für die Verarbeitung der personenbezogenen Daten des Kunden durch OPSWAT(einschließlich der Übermittlung oder Bereitstellung des Zugriffs auf die personenbezogenen Daten des Kunden an OPSWAT) gemäß den Bedingungen dieser DPA eingeholt hat; und (b) die Anweisungen, Entscheidungen und Handlungen des Kunden in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden den geltenden Gesetzen, einschließlich der Datenschutzgesetzgebung, entsprechen. Der Kunde wird OPSWAT unverzüglich informieren, wenn er nicht in der Lage ist, diesen Abschnitt 3.2 (Verantwortlichkeiten des Kunden) einzuhalten.
3.3 Analytik. OPSWAT kann zusammengefasste Daten sammeln, entwickeln, erstellen, extrahieren, kompilieren, zusammenfassen, analysieren, verwenden, vermarkten oder mit Dritten für eine Vielzahl von Zwecken teilen, unter anderem um (i) unsere Dienstleistungen aufrechtzuerhalten, zu verbessern, zu vermarkten und zu fördern; (ii) Leistungs- und Sicherheitsprobleme zu erkennen, zu verstehen und zu antizipieren; (iii) Aktualisierungen, Verbesserungen und personalisierte Erlebnisse für unsere Dienstleistungen anzubieten: (i) unsere Dienste aufrechtzuerhalten, zu verbessern, zu vermarkten und zu fördern; (ii) Leistungs- und Sicherheitsprobleme und die Faktoren, die sie beeinflussen, zu identifizieren, zu verstehen und zu antizipieren; (iii) unseren Kunden Aktualisierungen, Verbesserungen und personalisierte Erfahrungen zu bieten; und (iv) neue Produkte und Dienste zu erforschen und zu entwickeln. Um Zweifel auszuschließen, schließen zusammengefasste Daten personenbezogene Kundendaten oder Informationen zur Identifizierung des Kunden aus.
4. Löschung oder Rückgabe von Daten.
Am Tag des Inkrafttretens dieser DPA oder auf schriftliche Aufforderung des Kunden löscht OPSWAT die personenbezogenen Daten des Kunden (einschließlich vorhandener Kopien) aus den Systemen von OPSWAT, gewährt dem Kunden Zugang, korrigiert sie oder gibt sie zurück, sobald dies nach geltendem Recht möglich ist, es sei denn, die geltenden Gesetze schreiben vor oder erlauben OPSWAT , die personenbezogenen Daten des Kunden aufzubewahren (z. B. können die geltenden Gesetze OPSWAT erlauben, Kopien der personenbezogenen Daten des Kunden aufzubewahren, die elektronisch in Datenarchiven oder Backup-Systemen gespeichert sind).
5. Datensicherheit.
5.1 Die Sicherheitsmassnahmen von OPSWAT. OPSWAT implementiert und unterhält angemessene Sicherheitsmassnahmen zum Schutz der persönlichen Daten des Kunden, wie in Anhang 2 (Sicherheitsmassnahmen) beschrieben. OPSWAT kann die Sicherheitsmassnahmen von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen die Gesamtsicherheit der Dienstleistungen nicht wesentlich verringern.
5.2 Einhaltung der Sicherheitsvorschriften durch die Mitarbeiter von OPSWAT . OPSWAT gewährt den Zugang zu den persönlichen Daten des Kunden nur Mitarbeitern, unabhängigen Auftragnehmern, OPSWAT verbundenen Unternehmen und Unterauftragsverarbeitern, die diesen Zugang für den Umfang ihrer Leistung benötigen und die Vertraulichkeitsverpflichtungen haben, die nicht weniger restriktiv sind als die Vertraulichkeitsverpflichtungen von OPSWATin dieser Vereinbarung.
5.3 Vorfälle im Bereich der Informationssicherheit
5.3.1 Benachrichtigung über einen Vorfall in der Informationssicherheit. Wenn OPSWAT Kenntnis von einem Informationssicherheitsvorfall erhält, wird OPSWAT : (a) den Kunden unverzüglich nach Bekanntwerden des Sicherheitsvorfalls gemäß Abschnitt 13 (Mitteilungen) über den Sicherheitsvorfall benachrichtigen; und (b) angemessene Schritte unternehmen, um die Ursache des Sicherheitsvorfalls zu ermitteln, den Schaden zu minimieren und eine Wiederholung zu verhindern. Sofern nicht durch anwendbare Gesetze vorgeschrieben, wird OPSWAT ohne vorherige schriftliche Zustimmung des Kunden keine Benachrichtigung an Dritte über einen Vorfall in der Informationssicherheit vornehmen, in dem der Kunde ausdrücklich genannt wird, mit Ausnahme von genehmigten Unterauftragsverarbeitern, Strafverfolgungsbehörden, Versicherungssachverständigen und den Dienstleistern von OPSWAT, die auf Vorfälle in der Informationssicherheit reagieren.
5.3.2 Benachrichtigung. Der Kunde ist allein dafür verantwortlich, die auf ihn anwendbaren Gesetze zur Meldung von Vorfällen einzuhalten und die Meldepflichten gegenüber Dritten im Zusammenhang mit Informationssicherheitsvorfällen zu erfüllen (z. B. Artikel 33 und 34 der Datenschutzgrundverordnung). In diesem Fall wird OPSWAT den Kunden angemessen unterstützen.
5.3.3 Kein Anerkenntnis eines Verschuldens durch OPSWAT. Die Benachrichtigung von OPSWATüber einen Vorfall im Bereich der Informationssicherheit oder die Reaktion darauf gemäß diesem Abschnitt 5.3 (Vorfälle im Bereich der Informationssicherheit) ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von OPSWAT in Bezug auf den Vorfall im Bereich der Informationssicherheit auszulegen.
5.4 Sicherheitsverantwortung und -bewertung des Kunden.
5.4.1 Verantwortlichkeiten des Kunden in Bezug auf die Sicherheit. Der Kunde stimmt zu, dass unbeschadet der Verpflichtungen von OPSWATgemäß Abschnitt 5.1 (Sicherheitsmaßnahmen vonOPSWAT) und Abschnitt 5.3 (Informationssicherheitsvorfälle):
(a) Der Kunde ist allein für seine Nutzung der Dienste verantwortlich, einschließlich:
(i) die angemessene Nutzung der Dienste, um ein dem Risiko angemessenes Sicherheitsniveau in Bezug auf die personenbezogenen Daten des Kunden zu gewährleisten;
(ii) Sicherung der Authentifizierungsdaten, Systeme und Geräte, die der Kunde für den Zugang zu den Diensten verwendet;
(iii) Sicherung der Systeme und Geräte des Kunden, die OPSWAT für die Bereitstellung der Dienste verwendet; und
(iv) die Sicherung der personenbezogenen Daten seiner Kunden.
(b)OPSWAT ist nicht verpflichtet, personenbezogene Daten des Kunden zu schützen, die der Kunde außerhalb der Systeme von OPSWATund seinen Unterauftragsverarbeitern speichert oder überträgt (z. B. Offline- oder Vor-Ort-Speicherung).
5.4.2 Sicherheitsbewertung des Kunden.
(a) Der Kunde ist allein dafür verantwortlich, selbst zu prüfen und zu bewerten, ob die Dienste, die Sicherheitsmaßnahmen und die Verpflichtungen von OPSWATgemäß diesem Abschnitt 5 (Datensicherheit) den Bedürfnissen des Kunden entsprechen, auch im Hinblick auf etwaige Sicherheitsverpflichtungen des Kunden gemäß der Datenschutzgesetzgebung.
(b) Der Kunde erkennt an und stimmt zu, dass (unter Berücksichtigung der Branchenstandards, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung der personenbezogenen Daten des Kunden sowie der Risiken für die betroffenen Personen) die von OPSWAT umgesetzten und aufrechterhaltenen Sicherheitsmaßnahmen, wie in Anhang 2 (OPSWAT's Security Measures) dargelegt, ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf die personenbezogenen Daten des Kunden angemessen ist.
5.5 Überprüfung der Einhaltung. Prüfungsberichte stehen dem Kunden auf seine schriftliche Anfrage hin und vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen zur Verfügung.
6. Rechte der betroffenen Person
6.1 Verantwortung des Kunden für Anfragen von Betroffenen. Wenn OPSWAT eine Anfrage von einer betroffenen Person in Bezug auf die persönlichen Daten des Kunden erhält, wird OPSWAT den Kunden, soweit nach geltendem Recht zulässig, unverzüglich über eine solche Anfrage informieren. Der Kunde ist für die Beantwortung einer solchen Anfrage verantwortlich.
6.2 Unterstützung von OPSWATbei der Beantwortung von Anfragen der betroffenen Personen. OPSWAT wird (unter Berücksichtigung der Art der Verarbeitung der personenbezogenen Daten des Kunden) den Kunden in angemessenem Umfang unterstützen, damit dieser seiner Verpflichtung gemäß der Datenschutzgesetzgebung nachkommen kann, auf Anfragen der betroffenen Personen zu antworten. Der Kunde erstattet OPSWAT alle Gebühren oder Kosten, die im Zusammenhang mit dieser Unterstützung anfallen, zu den jeweils gültigen Tarifen für professionelle Dienstleistungen von OPSWAT.
7. Datenübertragungen
OPSWAT kann personenbezogene Kundendaten überall dort speichern und verarbeiten, wo OPSWAT, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Niederlassungen unterhalten, wie in Abschnitt 8 unten beschrieben. Für internationale Übermittlungen personenbezogener Kundendaten, die der Datenschutzgesetzgebung im EWR, in der Schweiz und im Vereinigten Königreich unterliegen, gelten die Bestimmungen von Anhang 3, Abschnitte 1.10 und/oder 1.11.
8. Unterauftragsverarbeiter
Der Kunde ermächtigt OPSWAT , seine verbundenen Unternehmen und andere Dritte als Unterauftragsverarbeiter zu beauftragen. Die Liste der Unterauftragsverarbeiter von OPSWATist unter https://www.opswat.com/legal/subprocessors verfügbar, und der Kunde kann Aktualisierungen dieser Liste per RSS-Feed abonnieren. Wenn der Kunde die SCC oder andere ähnliche Vereinbarungen abschließt, stellt die Unterzeichnung dieser Vereinbarungen durch den Kunden die vorherige schriftliche Genehmigung des Kunden für die Untervergabe der Verarbeitung personenbezogener Kundendaten durch OPSWAT dar, wenn eine solche Genehmigung gemäß der SCC oder anderen ähnlichen Vereinbarungen erforderlich ist. OPSWAT haftet für alle Verpflichtungen, die an Unterverarbeiter vergeben werden, sowie für alle Handlungen und Unterlassungen der Unterverarbeiter.
9. Verbundene Unternehmen des für die Datenverarbeitung Verantwortlichen
9.1 Beziehung und Kommunikation. Mit der Unterzeichnung dieser DPA erkennt der Kunde an und erklärt sich damit einverstanden, dass er diese DPA in seinem eigenen Namen und, soweit dies nach geltendem Datenschutzrecht erforderlich ist, im Namen und im Auftrag seiner mit der Datenverarbeitung betrauten verbundenen Unternehmen abschließt, soweit OPSWAT personenbezogene Kundendaten verarbeitet, für die diese mit der Datenverarbeitung betrauten verbundenen Unternehmen als verantwortliche Stelle gelten, wodurch eine DPA zwischen OPSWAT und jedem mit der Datenverarbeitung betrauten verbundenen Unternehmen eingerichtet wird, die den Bestimmungen der Vereinbarung und dieser DPA unterliegt. Der Kunde verpflichtet sich, sicherzustellen, dass jedes mit der Datenverarbeitung verbundene Unternehmen den Verpflichtungen dieser DPA zustimmt. Ein verbundener Datenverantwortlicher ist jedoch keine Partei der Vereinbarung und wird auch nicht zu einer solchen, sondern ist lediglich eine Partei der vorliegenden DPA. Jeder Zugang und jede Nutzung der Dienste durch den Data Controller Affiliate muss mit der Vereinbarung übereinstimmen, und jede Verletzung der Vereinbarung durch einen Data Controller Affiliate gilt als Verletzung durch den Kunden. Der Kunde, der die Vertragspartei in der Vereinbarung ist, bleibt für die Koordinierung der gesamten Kommunikation mit OPSWAT im Rahmen dieser DPA verantwortlich und ist berechtigt, jegliche Kommunikation in Bezug auf diese DPA im Namen seines Data Controller Affiliate zu machen und zu empfangen.
9.2 Rechte der mit dem für die Datenverarbeitung Verantwortlichen verbundenen Unternehmen. Falls ein verbundener Datenverantwortlicher der DPA mit OPSWAT beitritt, darf er dies nur in dem Maße tun, wie es die Datenschutzgesetzgebung verlangt. Sofern nicht ausdrücklich von der Datenschutzgesetzgebung verlangt, dass ein verbundener Datenverantwortlicher ein Recht ausübt oder einen Rechtsbehelf unter dieser DPA von OPSWAT selbst direkt einfordert, vereinbaren die Parteien, dass: (a) der Kunde, der Vertragspartner der Vereinbarung ist, das alleinige Recht hat, ein solches Recht auszuüben oder einen solchen Rechtsbehelf im Namen des verbundenen für die Datenverarbeitung Verantwortlichen zu beantragen; und (b) der Kunde, der Vertragspartner der Vereinbarung ist, soweit dies nicht durch die Datenschutzgesetzgebung untersagt ist, solche Rechte gemäß dieser DPA für alle seine verbundenen für die Datenverarbeitung Verantwortlichen gemeinsam ausübt.
10. Prüfungsrechte
Auf schriftliches Ersuchen des Kunden stellt OPSWAT dem Kunden eine Kopie des letzten Prüfberichts zur Verfügung, der als vertrauliche Information den Vertraulichkeitsbestimmungen des Vertrages unter OPSWATunterliegt. OPSWAT beantwortet auch alle schriftlichen Prüfungsfragen des Kunden, wobei der Kunde dieses Recht nicht öfter als einmal pro Jahr ausüben darf.
11. Rechtsprechungsspezifische Bestimmungen
Wenn OPSWAT personenbezogene Daten aus einer in Anlage 3 aufgeführten Rechtsordnung verarbeitet, gelten die entsprechenden Bestimmungen für diese Verarbeitung.
12. Haftungsobergrenze
Sofern dies nicht durch anwendbare Gesetze untersagt ist, ist die gesamte kombinierte Haftung einer Partei und ihrer verbundenen Unternehmen (einschließlich der Data Controller verbundenen Unternehmen) gegenüber der anderen Partei und ihren verbundenen Unternehmen, ob aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, im Rahmen oder in Verbindung mit der Vereinbarung, dieser DPA und dem SCC, sofern abgeschlossen, auf die von den Parteien in der Vereinbarung vereinbarten Haftungsbeschränkungen oder sonstigen Haftungsobergrenzen beschränkt. OPSWAT Die Gesamthaftung des Kunden und der OPSWAT verbundenen Unternehmen für alle Ansprüche des Kunden und aller seiner Data Controller verbundenen Unternehmen, die sich aus der Vereinbarung oder einem DPA ergeben, gilt insgesamt für alle Ansprüche sowohl aus der Vereinbarung als auch aus allen DPAs und ist nicht so zu verstehen, dass sie für den Kunden oder ein Data Controller verbundenes Unternehmen, das Vertragspartei eines solchen DPAs ist, einzeln und gesondert gilt.
13. Bekanntmachungen
Mitteilungen, die von einer Vertragspartei gemacht werden müssen oder dürfen, können (a) gemäß den Mitteilungsbestimmungen des Vertrags, (b) an die Hauptansprechpartner einer Vertragspartei bei der anderen Vertragspartei und/oder (c) an eine vom Kunden zum Zweck der Bereitstellung von dienstbezogenen Mitteilungen oder Warnungen bereitgestellte E-Mail erfolgen. Der Kunde ist allein dafür verantwortlich, sicherzustellen, dass seine E-Mails aktuell und gültig sind. Eine Kopie aller Benachrichtigungen ist per E-Mail zu senden an: Legal@opswat. com.
14. Wirkung dieser Bedingungen
Abgesehen von den Änderungen, die durch diese DPA vorgenommen werden, bleiben die Vereinbarung und/oder andere Vereinbarungen im Zusammenhang mit den Diensten unverändert und in vollem Umfang in Kraft und wirksam. Im Falle eines Widerspruchs zwischen der Vereinbarung und dieser DPA haben die Bestimmungen dieser DPA in Bezug auf den Gegenstand Vorrang und gelten. Im Falle eines Konflikts zwischen dieser DPA und den SCC haben die Bestimmungen der SCC Vorrang und gelten für den Gegenstand der SCC.
15. Geltendes Recht
Diese DPA unterliegt dem Recht derselben Gerichtsbarkeit wie die Vereinbarung, es sei denn, die Datenschutzgesetzgebung verlangt, dass diese DPA dem Recht einer anderen Gerichtsbarkeit unterliegt.
Details der Verarbeitung
Gegenstand |
OPSWATdie Erbringung der im Vertrag beschriebenen Dienstleistungen für den Kunden.
|
Dauer der Verarbeitung |
Die Laufzeit zuzüglich des Zeitraums ab dem Datum der wirksamen Beendigung der DSGVO bis zur Löschung aller personenbezogenen Daten des Kunden durch OPSWAT in Übereinstimmung mit der DSGVO.
|
Arten von personenbezogenen Daten | Identifikations- und Kontaktinformationen (z. B. Name, Titel, Geschäftsadresse, geschäftliche Telefonnummer, geschäftliche E-Mail) von Mitarbeitern des Kunden, unabhängigen Auftragnehmern oder autorisierten Nutzern der Dienste; Daten über den Kauf und die Nutzung der Dienste durch den Kunden; Daten im Zusammenhang mit der Informationstechnologie ("IT") (z. B. IP-Adressen von Besuchern der Website OPSWAT, Online-Navigationsdaten, Browsertyp, Spracheinstellungen, Pixeldaten, Cookie-Daten, Web-Beacon-Daten, Log-Dateien); und Inhalt und Metadaten von Dateien, E-Mails oder anderen Daten, die zum Scannen eingereicht oder OPSWAT während der Erbringung von Dienstleistungen zur Verfügung gestellt werden |
Art und Zweck der Verarbeitung |
OPSWAT wird die personenbezogenen Daten des Kunden für die Zwecke der Erbringung der Dienstleistungen für den Kunden in Übereinstimmung mit dem Vertrag und dem DSG verarbeiten.
|
Besondere Kategorien von personenbezogenen Daten |
Zwischen den Vertragsparteien werden keine besonderen Kategorien personenbezogener Daten ausgetauscht.
|
Daten Subjekte |
Mitarbeiter des Kunden und seiner verbundenen Unternehmen oder unabhängige Auftragnehmer, die zur Nutzung der Dienste berechtigt sind.
|
Bitte lesen Sie unsere Datenschutzrichtlinie unter https://www.opswat. com/legal/privacy-policy, um weitere Einzelheiten darüber zu erfahren, wie OPSWAT die persönlichen Daten von Kunden verarbeitet.
Sicherheitsmaßnahmen
OPSWAT hat die folgenden Sicherheitsmaßnahmen in Bezug auf die Verarbeitung personenbezogener Kundendaten ergriffen:
1. die physische Zugangskontrolle.
OPSWAT Maßnahmen ergreift, die verhindern sollen, dass Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, in denen personenbezogene Kundendaten verarbeitet werden, wie z. B. der Einsatz von Sicherheitspersonal, gesicherte Gebäude und Rechenzentrumsgelände.
2. die Systemzugangskontrolle.
Abhängig von den bestellten Diensten können unter anderem folgende Kontrollen durchgeführt werden: Authentifizierung über Passwörter und/oder Zwei-Faktor-Authentifizierung, dokumentierte Autorisierungsprozesse, dokumentierte Änderungsmanagementprozesse und Protokollierung des Zugangs auf mehreren Ebenen. Für die von OPSWAT gehosteten Dienstleistungsumgebungen gilt: (i) Log-ins in die Dienstleistungsumgebungen durch Mitarbeiter von OPSWAT und Unterauftragnehmer werden protokolliert; (ii) der logische Zugang zu den Datenzentren ist eingeschränkt und durch Firewall-/VLAN- und Routing-Regeln geschützt; und (iii) es werden Systeme zur Erkennung von Eindringlingen, zentralisierte Protokollierung und Alarmierung sowie Firewalls eingesetzt. OPSWAT verwaltet jedes System, das Teil der Softwareentwicklung der Dienstleistungen ist, mit Sicherheitsrichtlinien für jedes System. Die Richtlinien werden vom OPSWAT Risikoverantwortlichen genehmigt und von den Eigentümern der Anlagen verwaltet. Zum Beispiel hat kein unabhängiger Auftragnehmer Zugang zu einem Build-System.
3. die Übertragungskontrolle.
Sofern für die Dienste nichts anderes angegeben ist (einschließlich des Bestellformulars, der Leistungsbeschreibung oder der geltenden Leistungsspezifikationen, auf die in der Vereinbarung verwiesen wird), werden Datenübertragungen außerhalb der Dienstumgebung verschlüsselt. OPSWAT unterhält ein angemessenes Netzwerksicherheitsprogramm, das die Verschlüsselung der persönlichen Daten des Kunden einschließt. Einige Dienste können vom Kunden so konfiguriert werden, dass sie den Zugriff auf Websites von Drittanbietern ermöglichen, die eine unverschlüsselte Kommunikation erfordern. Der Inhalt von Mitteilungen (einschließlich Absender- und Empfängeradressen), die über einige E-Mail- oder Messaging-Dienste gesendet werden, ist möglicherweise nicht verschlüsselt. Der Kunde trägt die alleinige Verantwortung für die Ergebnisse seiner Entscheidung, solche unverschlüsselten Kommunikationen oder Übertragungen zu verwenden.
4. die Eingabekontrolle.
Die Quelle der persönlichen Daten des Kunden unterliegt der Kontrolle des Kunden, und die Integration der persönlichen Daten des Kunden in das System OPSWAT erfolgt durch gesicherte Dateiübertragung (d. h. über Webdienste oder Eingabe in die Anwendung) von OPSWAT. Einige Dienste erlauben dem Kunden die Verwendung unverschlüsselter Dateiübertragungsprotokolle. In solchen Fällen ist der Kunde allein verantwortlich für seine Entscheidung, solche unverschlüsselten Feldübertragungsprotokolle zu verwenden.
5. die Datensicherung.
Für Dienste, die von OPSWAT gehostet werden: Backups werden regelmäßig erstellt; Backups werden durch eine Kombination von technischen und physischen Kontrollen gesichert, je nach den im Bestellformular angegebenen Diensten.
6 Geschäftskontinuität; Wiederherstellung im Katastrophenfall.
OPSWAT hat einen Plan zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung im Katastrophenfall eingeführt.
7 Sicherheit derSupply Chain .
Unterauftragsverarbeiter oder Drittkomponenten für Dienstleistungen werden von einem Mitarbeiter von OPSWAT und OPSWAT Legal überprüft, bevor sie als Teil der Dienstleistungen eingesetzt werden.
8) Schwachstellen-Scans.
Wöchentlich werden Schwachstellen-Scans durchgeführt, um laufend Risikobedrohungen zu ermitteln, die für diese Umgebung behoben werden.
9.OPSWAT Unterauftragsverarbeiter.
OPSWAT Unterauftragsverarbeiter, die für OPSWAT Produkte verwendet werden, werden auf Sicherheitsrisiken geprüft und müssen Datenverarbeitungszusätze (DPAs) und/oder Standardvertragsklauseln mit OPSWAT unterzeichnen, um sicherzustellen, dass die Mindestsicherheitsanforderungen und Dienstleistungsniveaus gemäß der DSGVO eingehalten werden.
10. dieSoftware .
Die Softwareentwicklung der Services folgt strengen Verfahren des Systementwicklungslebenszyklus ("SDLC"), einschließlich OPSWAT Produktmanager ("PM"), die die Anforderungen, den Entwurf, die Implementierung, die Einheitstests, die Codeüberprüfung, die automatisierten Tests, die manuellen Tests der Qualitätssicherung ("QA") und die Abnahmetests festlegen und durchführen.
11.Secure SDLC.
OPSWAT hat OWSAP SAMMSoftware Assurance Maturity Model) und OWASP ASVS (Application Security Verification Standard) für einen sicheren SDLC übernommen.
12.IT Sicherheit.
OPSWAT verwendet Multi-Faktor-Authentifizierung ("MFA") zur sicheren Authentifizierung und folgt den NIST 800-63B Standards: https://pages.nist.gov/800-63-3/sp800-63b.html#memsecretver.
Rechtsprechungsspezifische Bestimmungen
1. Europäischer Wirtschaftsraum, Schweiz und Vereinigtes Königreich
1.1 Anwendungsbereich. Die folgenden Bestimmungen gelten nur für die Verarbeitung personenbezogener Kundendaten durch OPSWAT, die der Datenschutzgesetzgebung des EWR, der Schweiz und des Vereinigten Königreichs unterliegen.
1.2 Definitionen.
(a) Die Begriffe "für die Verarbeitung Verantwortlicher", "Auftragsverarbeiter" und "Aufsichtsbehörde" haben die in der Datenschutz-Grundverordnung festgelegte Bedeutung.
(b) "Addendum des Vereinigten Königreichs" ist das Addendum für den internationalen Datentransfer zum SCC, Version B1.0, das vom Büro des Informationsbeauftragten des Vereinigten Königreichs herausgegeben wurde.
1.3 Verantwortlichkeiten des Auftragsverarbeiters und des für die Verarbeitung Verantwortlichen. Die Parteien erkennen an und vereinbaren, dass:
(a)OPSWAT ist ein Verarbeiter bzw. Unterverarbeiter von personenbezogenen Kundendaten im Sinne der Datenschutzgesetzgebung;
(b) Der Kunde ist ein für die Verarbeitung Verantwortlicher bzw. ein Verarbeiter der personenbezogenen Daten des Kunden im Sinne der Datenschutzgesetze;
(c) Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten des Kunden sowie für die Mittel, mit denen der Kunde die personenbezogenen Daten des Kunden erworben hat; und
(d) jede Vertragspartei die für sie nach den Datenschutzgesetzen geltenden Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Kundendaten einhalten wird.
1.4 Autorisierung durch den für die Verarbeitung Verantwortlichen Dritter. Wenn der Kunde ein Auftragsverarbeiter ist, sichert der Kunde OPSWAT zu, dass die Anweisungen und Handlungen des Kunden in Bezug auf die personenbezogenen Daten des Kunden, einschließlich der Ernennung von OPSWAT als Auftragsverarbeiter, von der entsprechenden verantwortlichen Stelle genehmigt wurden. Der Kunde erkennt an, dass OPSWAT nicht für die Einholung der Zustimmung oder Genehmigung für die Verarbeitung der personenbezogenen Daten des Kunden verantwortlich ist.
1.5 Verarbeitung durch OPSWAT in Übereinstimmung mit geltendem Recht. Wenn OPSWAT personenbezogene Daten des Kunden entgegen den Anweisungen des Kunden oder gemäß der Vereinbarung (einschließlich dieser DPA) verarbeiten muss, um geltende Gesetze einzuhalten, informiert OPSWAT den Kunden vor der Verarbeitung über die geltenden Gesetze, es sei denn, geltende Gesetze verbieten eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses.
1.6 Sicherheitsmaßnahmen. OPSWAT ergreift (unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der betroffenen Personen) geeignete Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der in Anlage 2 aufgeführten Sicherheitsmaßnahmen, und zwar nach Bedarf:
(a) die Pseudonymisierung und Verschlüsselung von personenbezogenen Kundendaten;
(b) die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und Dienste zu gewährleisten, einschließlich der folgenden spezifischen Maßnahmen und Praktiken;
(c) die Fähigkeit, die Verfügbarkeit von und den Zugang zu personenbezogenen Kundendaten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und
(d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Kundendaten.
1.7 Angemessene Unterstützung. OPSWAT unterstützt den Kunden in angemessener Weise, soweit dies nach den für OPSWATals Auftragsverarbeiter geltenden Gesetzen erforderlich ist, damit der Kunde seinen Verpflichtungen zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO nachkommen kann. In Situationen, in denen die Verarbeitung personenbezogener Kundendaten durch den Kunden zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt, unterstützt OPSWAT den Kunden in angemessener Weise bei der Beantragung einer vorherigen Konsultation einer Aufsichtsbehörde gemäß Artikel 36 DSGVO.
1.8 Einzelheiten zu Informationssicherheitsvorfällen. Meldungen gemäß Abschnitt 5.3 der DSGVO (Informationssicherheitsvorfälle) werden:
(a) eine Beschreibung der Art des Informationssicherheitsvorfalls, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;
(b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle mitteilen, bei der weitere Informationen eingeholt werden können;
(c) die voraussichtlichen Folgen des Informationssicherheitsvorfalls zu beschreiben; und
(d) eine Beschreibung der von OPSWAT ergriffenen oder vorgeschlagenen Maßnahmen zur Bewältigung des Informationssicherheitsvorfalls, gegebenenfalls einschließlich Maßnahmen zur Abschwächung seiner möglichen negativen Auswirkungen.
Wenn es nicht möglich ist, die Informationen gleichzeitig zu übermitteln, können die Informationen ohne unangemessene Verzögerung schrittweise bereitgestellt werden.
1.9 Prüfungen der Einhaltung der Vorschriften.
1.9.1Der Kunde ist berechtigt, nach angemessener vorheriger schriftlicher Aufforderung mit einer Frist von mindestens fünfundvierzig (45) Tagen während der Vertragslaufzeit einmal alle zwölf (12) Monate zu prüfen, ob OPSWATseinen Verpflichtungen aus dieser DPA nachkommt, um die Anforderungen der Datenschutzgesetze zu erfüllen. Der Kunde muss alle Audits während der regulären Geschäftszeiten von OPSWAT durchführen und darf die Geschäftsaktivitäten von OPSWAT nicht unangemessen beeinträchtigen. Soweit es die Datenschutzgesetzgebung erfordert, einschließlich der Fälle, in denen die Aufsichtsbehörde des Kunden dies vorschreibt, kann der Kunde oder die Aufsichtsbehörde des Kunden häufiger Audits durchführen.
1.9.2Soll ein Dritter die Prüfung durchführen, kann OPSWAT den Prüfer ablehnen, wenn dieser nach angemessener Einschätzung von OPSWATnicht ausreichend qualifiziert oder unabhängig ist oder es sich um einen Wettbewerber von OPSWAT handelt. Ein solcher Einwand von OPSWAT verpflichtet den Kunden, einen anderen Prüfer zu bestellen oder das Audit selbst durchzuführen.
1.9.3Um eine Prüfung zu beantragen, muss der Kunde mindestens zwei (2) Wochen vor dem vorgeschlagenen Prüfungstermin einen detaillierten Prüfungsplan bei OPSWAT einreichen. Der vorgeschlagene Prüfungsplan muss den vorgeschlagenen Umfang, die Dauer und den Beginn der Prüfung beschreiben. OPSWAT wird den vorgeschlagenen Prüfungsplan prüfen und dem Kunden Bedenken oder Fragen mitteilen (z.B. jede Anfrage nach Informationen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von OPSWAT gefährden könnten). OPSWAT wird mit dem Kunden zusammenarbeiten, um sich auf einen endgültigen Prüfungsplan zu einigen. Keine der Bestimmungen in diesem Abschnitt 1.9 (Prüfungen der Einhaltung der Vorschriften) verpflichtet OPSWAT zur Verletzung der Vertraulichkeitspflichten.
1.9.4Wenn der angeforderte Prüfungsumfang innerhalb von zwölf (12) Monaten nach der Prüfungsanforderung des Kunden in Prüfungsberichten behandelt wird und OPSWAT bestätigt, dass keine wesentlichen Änderungen bei den geprüften Kontrollen bekannt sind, erklärt sich der Kunde damit einverstanden, die Prüfungsberichte zu akzeptieren, anstatt eine Prüfung der in den Prüfungsberichten behandelten Kontrollen zu beantragen.
1.9.5 Die Kosten für Audits gehen zu Lasten des Kunden. Der Kunde erstattet OPSWAT den Zeitaufwand von OPSWAT oder seinen Unterauftragsverarbeitern im Zusammenhang mit Prüfungen gemäß diesem Abschnitt 1.9 (Prüfungen der Einhaltung der Vorschriften) zu den jeweils geltenden Tarifen für professionelle Dienstleistungen von OPSWAT. Der Kunde zahlt alle Gebühren, die von einem vom Kunden mit der Durchführung eines solchen Audits beauftragten Wirtschaftsprüfer erhoben werden.
1.9.6Die Parteien vereinbaren, dass dieser Abschnitt 1.9 (Audits der Einhaltung der Vorschriften) die Verpflichtungen von OPSWATim Rahmen der Audit-Anforderungen des SCC erfüllt, die für Datenimporteure gemäß Klausel 5(f) und für alle Unterverarbeiter gemäß Klausel 11 und Klausel 12(2) gelten.
1.10 Übermittlung von Daten aus dem EWR oder der Schweiz. Wenn die Speicherung und/oder Verarbeitung personenbezogener Kundendaten die Übermittlung personenbezogener Kundendaten aus dem EWR oder der Schweiz beinhaltet und die Datenschutzgesetzgebung auf die Übermittlung dieser personenbezogenen Kundendaten Anwendung findet, gilt Folgendes, es sei denn, die Übermittlung erfolgt in ein EWR-Land, für das ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt:
1.10.1Anhang 4 findet Anwendung, und OPSWAT wird solche Übermittlungen in Übereinstimmung mit dem darin genannten SCC für die Datenverarbeitung vornehmen, wenn OPSWAT ein Verarbeiter und der Kunde ein Verantwortlicher für die personenbezogenen Daten des Kunden gemäß den Datenschutzgesetzen ist.
1.10.2Anhang 5 findet Anwendung, und OPSWAT wird solche Übermittlungen in Übereinstimmung mit dem dort genannten SCC für Auftragsverarbeiter vornehmen, wenn OPSWAT ein Unterauftragsverarbeiter und der Kunde ein Auftragsverarbeiter von personenbezogenen Kundendaten gemäß den Datenschutzgesetzen ist.
1.11 Datenübertragungen außerhalb des Vereinigten Königreichs. Wenn die Speicherung und/oder Verarbeitung personenbezogener Kundendaten die Übermittlung personenbezogener Kundendaten außerhalb des Vereinigten Königreichs beinhaltet und die Datenschutzgesetzgebung auf die Übermittlung dieser personenbezogenen Kundendaten anwendbar ist, gilt Anhang 6, und OPSWAT wird solche Übermittlungen in Übereinstimmung mit dem darin genannten SCC vornehmen, es sei denn, die Übermittlung erfolgt in ein EWR-Land oder ein Land, für das ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, der von der britischen Regierung anerkannt wird.
1.12 Verträge mit Unterauftragsverarbeitern. OPSWAT kann alle vertraulichen geschäftlichen oder rechtlichen Bestimmungen in seinen Verträgen mit Unterauftragsverarbeitern unkenntlich machen, bevor er dem Ersuchen des Kunden um eine Kopie eines Unterauftragsverarbeitungsvertrags gemäß Klausel 9(c) der SCC nachkommt.
1.13 Möglichkeit zum Widerspruch gegen Änderungen des Unterauftragsverarbeiters. Wenn während der Laufzeit ein neuer Unterauftragsverarbeiter beauftragt wird, informiert OPSWAT den Kunden mindestens fünfzehn (15) Tage, bevor der neue Unterauftragsverarbeiter personenbezogene Daten des Kunden verarbeitet, schriftlich über die Beauftragung, indem es die Liste der Unterauftragsverarbeiter unter https://www.opswat. com/legal/subprocessors aktualisiert. Der Kunde kann einem neuen Unterauftragsverarbeiter widersprechen, indem er innerhalb von fünf (5) Werktagen nach dem Datum der Mitteilung von OPSWATeine schriftliche Mitteilung an OPSWAT sendet. Falls der Kunde einem neuen Unterauftragsverarbeiter widerspricht, werden der Kunde und OPSWAT in gutem Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zu finden, die diesen Widerspruch berücksichtigt. Sollten die Parteien nicht in der Lage sein, innerhalb eines angemessenen Zeitrahmens eine für beide Seiten akzeptable Lösung zu finden, kann der Kunde als einziges und ausschließliches Rechtsmittel das entsprechende Auftragsformular für Dienstleistungen, die den betreffenden Unterauftragsverarbeiter nutzen, durch schriftliche Mitteilung an OPSWAT kündigen.
1.14 Verarbeitungsaufzeichnungen. Der Kunde erkennt an, dass OPSWAT gemäß der DSGVO verpflichtet ist: (a) Aufzeichnungen über bestimmte Informationen gemäß Artikel 30 (2) DSGVO zu sammeln und aufzubewahren, einschließlich des Namens und der Kontaktdaten jedes Auftragsverarbeiters und/oder des für die Verarbeitung Verantwortlichen, für den OPSWAT tätig ist, sowie gegebenenfalls des lokalen Vertreters und des Datenschutzbeauftragten des Auftragsverarbeiters oder des für die Verarbeitung Verantwortlichen; und (b) diese Informationen den Aufsichtsbehörden gemäß Artikel 30 (4) DSGVO zur Verfügung zu stellen. Wenn die DSGVO auf die Verarbeitung der personenbezogenen Daten des Kunden Anwendung findet, wird der Kunde auf Anfrage diese Informationen an OPSWAT weitergeben und sicherstellen, dass alle bereitgestellten Informationen korrekt und aktuell sind.
2. Kalifornien
2.1 Geltungsbereich. Die folgenden Bestimmungen gelten nur in Bezug auf die Verarbeitung personenbezogener Kundendaten durch OPSWAT, die dem California Consumer Privacy Act of 2018, Cal. Civil Code §1798.100 et seq. in der durch den California Privacy Rights Act geänderten Fassung und den damit verbundenen Vorschriften, die von Zeit zu Zeit weiter geändert werden können (zusammenfassend als "CCPA" bezeichnet).
2.2 Definitionen. Die Begriffe "verkaufen" ,"Anteil" und "Dienstleister" haben die gleiche Bedeutung wie im CCPA definiert.
2.3 Dienstleister. OPSWAT ist ein Dienstleister für den Kunden. OPSWAT verarbeitet personenbezogene Daten des Kunden nur zum Zweck der Bereitstellung der Dienstleistungen. Sofern nicht anderweitig durch die Vereinbarung oder das CCPA erlaubt:
(a) OPSWAT darf die persönlichen Daten des Kunden nicht zu kommerziellen Zwecken oder zu anderen Zwecken als zur Erfüllung des Vertragszwecks erheben, aufbewahren, nutzen oder offenlegen;
(b) OPSWAT darf die persönlichen Daten des Kunden nicht außerhalb der direkten Geschäftsbeziehung zwischen den Parteien aufbewahren, verwenden oder offenlegen; und
(c) OPSWAT darf personenbezogene Daten des Kunden, die es vom Kunden oder in dessen Namen erhalten hat, nicht mit personenbezogenen Daten anderer Personen oder mit Daten, die es im Rahmen seiner eigenen Interaktion mit dem Kunden erhoben hat, kombinieren, es sei denn, dies ist für die Erbringung der vertragsgemäßen Dienstleistungen erforderlich.
2.4 Kein Verkauf und keine Weitergabe. OPSWAT wird die persönlichen Daten des Kunden weder verkaufen noch weitergeben.
2.5 Einhaltung des CCPA. OPSWAT muss alle anwendbaren Abschnitte des CCPA einhalten, einschließlich der Gewährleistung des gleichen Datenschutzniveaus, wie es das CCPA in Bezug auf die personenbezogenen Daten des Kunden, die gemäß dieser Vereinbarung verarbeitet werden, vorschreibt.
2.6 CCPA-Prüfungen.
2.6. 1 Der Kunde kann nach angemessener vorheriger schriftlicher Aufforderung mit einer Frist von mindestens fünfundvierzig (45) Tagen während der Laufzeit der Vereinbarung einmal alle zwölf (12) Monate prüfen, ob OPSWATseinen Verpflichtungen aus dieser Vereinbarung nachkommt. Der Kunde muss alle Prüfungen während der regulären Geschäftszeiten von OPSWAT durchführen und darf die Geschäftsaktivitäten von OPSWAT nicht unangemessen beeinträchtigen. In dem Maße, wie es das CCPA vorschreibt, einschließlich der Vorschriften der kalifornischen Datenschutzbehörde, kann der Kunde häufige Audits durchführen.
2.6.2 Wenn ein Dritter die Prüfung durchführt, kann OPSWAT den Prüfer ablehnen, wenn dieser nach angemessener Einschätzung von OPSWATnicht ausreichend qualifiziert oder unabhängig ist oder ein Wettbewerber von OPSWAT ist. Ein solcher Einwand von OPSWAT verpflichtet den Kunden, einen anderen Prüfer zu bestellen oder das Audit selbst durchzuführen.
2.6.3 Um eine Prüfung zu beantragen, muss der Kunde mindestens zwei (2) Wochen vor dem vorgeschlagenen Prüfungstermin einen detaillierten Prüfungsplan bei OPSWAT einreichen. Der vorgeschlagene Prüfungsplan muss den vorgeschlagenen Umfang, die Dauer und das Startdatum der Prüfung beschreiben. OPSWAT wird den vorgeschlagenen Prüfungsplan prüfen und dem Kunden Bedenken oder Fragen mitteilen (z.B. jede Anfrage nach Informationen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von OPSWAT gefährden könnten). OPSWAT wird mit dem Kunden zusammenarbeiten, um einen endgültigen Prüfungsplan zu vereinbaren. Keine der Bestimmungen in diesem Abschnitt 2.6 (CCPA-Prüfungen) verpflichtet OPSWAT zur Verletzung der Vertraulichkeitspflichten.
2.6.4 Wenn der angeforderte Prüfungsumfang innerhalb von zwölf (12) Monaten nach der Prüfungsanforderung des Kunden in Prüfungsberichten behandelt wird und OPSWAT bestätigt, dass keine wesentlichen Änderungen bei den geprüften Kontrollen bekannt sind, erklärt sich der Kunde damit einverstanden, die Prüfungsberichte zu akzeptieren, anstatt eine Prüfung der in den Prüfungsberichten behandelten Kontrollen zu beantragen.
2.6. 5 Die Kosten für Audits gehen zu Lasten des Kunden. Der Kunde erstattet OPSWAT den Zeitaufwand von OPSWAT oder seinen Unterauftragsverarbeitern im Zusammenhang mit Prüfungen gemäß diesem Abschnitt 2.6 (CCPA-Prüfungen) zu den jeweils gültigen Tarifen für professionelle Dienstleistungen von OPSWAT. Der Kunde zahlt alle Gebühren, die von einem vom Kunden mit der Durchführung eines solchen Audits beauftragten Wirtschaftsprüfer erhoben werden.
2.6.6 Die Parteien sind sich darüber einig, dass dieser Abschnitt 2.6 (CCPA Audits) die Verpflichtungen von OPSWATgemäß dem CCPA erfüllt, dem Kunden das Recht einzuräumen, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass die Verarbeitung der personenbezogenen Daten des Kunden durch OPSWATgemäß dieser Vereinbarung mit den Verpflichtungen von OPSWATgemäß dem CCPA übereinstimmt.
2.7 Benachrichtigung. OPSWAT benachrichtigt den Kunden, wenn OPSWAT feststellt, dass es seinen Verpflichtungen aus dem CCPA nicht mehr nachkommen kann. Nach der Benachrichtigung von OPSWATgemäß diesem Abschnitt 2.7 verhandeln die Parteien nach Treu und Glauben über Änderungen dieser Vereinbarung oder der Dienste, um OPSWAT die Erfüllung seiner Verpflichtungen gemäß dem CCPA zu ermöglichen. Wenn diese Verhandlungen länger als dreißig (30) Tage dauern, kann der Kunde das betreffende Auftragsformular, das die Verarbeitung personenbezogener Daten durch OPSWATerfordert, kündigen.
2.8 Abhilfe bei unbefugter Nutzung personenbezogener Daten. Auf schriftliches Verlangen des Kunden stellt OPSWAT die Verarbeitung ein und löscht oder gibt die personenbezogenen Daten des Kunden gemäß Abschnitt 4 der DSGVO (Löschung oder Rückgabe von Daten) zurück. OPSWAT stellt dem Kunden eine Bescheinigung zur Verfügung, die OPSWATdie Erfüllung des schriftlichen Verlangens des Kunden bestätigt. Die Parteien vereinbaren, dass dieser Abschnitt 2.8 die Verpflichtungen von OPSWATerfüllt, dem Kunden das Recht einzuräumen, angemessene und geeignete Maßnahmen zu ergreifen, um die unbefugte Nutzung der personenbezogenen Daten des Kunden durch OPSWATzu unterbinden und zu beheben.
2.9 Angemessene Sicherheit. Die Parteien vereinbaren, dass Abschnitt 5 (Datensicherheit) die Verpflichtungen von OPSWATin Bezug auf die Datensicherheit gemäß dem CCPA erfüllt.
2.10 CCPA-Anfragen von Betroffenen. Die Parteien kommen überein, dass Abschnitt 6 des DSG (Rechte der betroffenen Person) die Verpflichtungen von OPSWATin Bezug auf Anfragen der betroffenen Person nach dem CCPA erfüllt.
2.11 Unterauftragsverarbeiter. Die Parteien kommen überein, dass Abschnitt 8 des DPA (Unterauftragsverarbeiter) die Verpflichtungen von OPSWATin Bezug auf Unterauftragsverarbeiter gemäß dem CCPA erfüllt.
SCC - Steuerung an Prozessor
Die Parteien vereinbaren hiermit, dass sie Modul 2 der SCC einhalten werden, die durch Verweis in diese Vereinbarung aufgenommen werden und deren Kopie unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en zu finden ist . Der Kunde kann auch eine Kopie der entsprechenden Klauseln unter privacy@opswat.com anfordern.
Die Vertragsparteien kommen überein, dass die folgenden Bedingungen gelten:
1. Klausel 7 : Die Parteien haben sich für die Aufnahme von Klausel 7 entschieden.
2. Klausel 9(a): Die Parteien haben sich dafür entschieden, Option 2 (allgemeine schriftliche Genehmigung) mit einer Frist von 15 Tagen aufzunehmen.
3. Klausel 11(a): Die Vertragsparteien nehmen die fakultative Bestimmung nicht auf, wonach eine betroffene Person kostenlos eine Beschwerde bei einer unabhängigen Streitbeilegungsstelle einreichen kann.
4. Klausel 17: Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht des Mitgliedstaats ist, in dem der Datenexporteur seinen Sitz hat. Ist der Datenexporteur nicht in der EU ansässig, vereinbaren die Parteien, dass dies das Recht Irlands ist.
5. Klausel 18(b): Die Vertragsparteien vereinbaren, dass dies die Gerichte des EU-Mitgliedstaats sind, in dem der Datenexporteur ansässig ist. Ist der Datenexporteur nicht in der EU ansässig, vereinbaren die Parteien, dass dies die Gerichte Irlands sind.
Die Parteien vereinbaren, dass Modul 2 der SCC Vorrang vor allen anderen Vereinbarungen zwischen den Parteien hat, unabhängig davon, ob diese vor oder nach dem Datum des Abschlusses dieser Klauseln geschlossen wurden. Falls die Gesetze oder Regulierungsverfahren einer Rechtsordnung dies erfordern, werden die Parteien Modul 2 der SCC als separates Dokument ausfertigen oder erneut ausfertigen.
Anhang 1 zu Anlage 4
A. Liste der Parteien
Datenexporteur(e): Kunde
Rolle (für die Verarbeitung Verantwortlicher/Verarbeiter): Controller
Datenimporteur(e): OPSWAT
Rolle (Controller/Verarbeiter): Verarbeiter
B. Beschreibung der Übertragung
Kategorien betroffener Personen: siehe Anhang 1 des Datenschutzgesetzes
Kategorien übermittelter personenbezogener Daten: siehe Anhang 1 des Datenschutzgesetzes
Sensible/besondere Datenkategorien: keine
Häufigkeit der Übermittlung: fortlaufend, soweit für die Erbringung der Dienstleistungen erforderlich
Art der Verarbeitung und Zweck(e) der Datenübermittlung: siehe Anhang 1 des Datenschutzgesetzes
Dauer der Speicherung personenbezogener Daten: siehe Anhang 1 des Datenschutzgesetzes
C. Zuständige Aufsichtsbehörde
Der EU-Mitgliedstaat, in dem der Datenexporteur ansässig ist. Wenn der Datenexporteur nicht in der EU ansässig ist, ist dies Irland.
Anhang 2 zu Anlage 4
Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Siehe Anhang 2 der DSGVO. Bei Übermittlungen an Unterauftragsverarbeiter stellt OPSWAT sicher, dass diese Unterauftragsverarbeiter die in Anhang 2 der DSGVO aufgeführten Sicherheitsmaßnahmen im Wesentlichen einhalten.
SCC - Von Prozessor zu Prozessor
Die Parteien vereinbaren hiermit, dass sie Modul 3 der SCC einhalten werden, die durch Verweis in diese Vereinbarung aufgenommen werden und die unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en abrufbar sind. Der Kunde kann auch eine Kopie der entsprechenden Klauseln unter privacy@opswat.com anfordern.
Die Vertragsparteien kommen überein, dass die folgenden Bedingungen gelten:
1) Klausel 7: Die Parteien haben sich für die Aufnahme von Klausel 7 entschieden.
2 Klausel 9 Buchstabe a): Die Parteien haben sich dafür entschieden, Option 2 (allgemeine schriftliche Genehmigung) mit einer Frist von 15 Tagen aufzunehmen.
3 Klausel 11 Buchstabe a): Die Vertragsparteien nehmen die fakultative Bestimmung nicht auf, wonach eine betroffene Person kostenlos eine Beschwerde bei einer unabhängigen Streitbeilegungsstelle einreichen kann.
(4) Klausel 17: Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht des Mitgliedstaats ist, in dem der Datenexporteur seinen Sitz hat. Ist der Datenexporteur nicht in der EU ansässig, vereinbaren die Parteien, dass dies das Recht Irlands ist.
5 Klausel 18 Buchstabe b): Die Vertragsparteien vereinbaren, dass dies die Gerichte des EU-Mitgliedstaats sind, in dem der Datenexporteur ansässig ist. Ist der Datenexporteur nicht in der EU ansässig, vereinbaren die Parteien, dass dies die Gerichte Irlands sind.
6 Anhang I A. Siehe Anhang 1 von Anlage 4 der DSGVO, wobei sowohl der Kunde als auch OPSWAT als Auftragsverarbeiter fungieren.
7) Anhang I B und C: Siehe Anhang 1 der Anlage 4 der DSGVO.
8) Anhang II: Siehe Anhang 2 der Anlage 4 des DPA.
Die Parteien vereinbaren, dass Modul 3 der SCC Vorrang vor allen anderen Vereinbarungen zwischen den Parteien hat, unabhängig davon, ob diese vor oder nach dem Datum des Abschlusses dieser Klauseln geschlossen wurden. Falls die Gesetze oder Regulierungsverfahren einer Rechtsordnung dies erfordern, werden die Parteien Modul 2 der SCC als separates Dokument ausfertigen oder erneut ausfertigen.
Übertragungen von personenbezogenen Kundendaten aus dem Vereinigten Königreich
Die Parteien vereinbaren hiermit, dass sie sich an Modul 2 bzw. Modul 3 der SCC halten werden, die durch Anhang 4 bzw. Anhang 5 ergänzt und durch den britischen Nachtrag geändert werden, der durch Verweis einbezogen wird und von dem eine Kopie auf der Website des Information Commissioner's Office(https://ico.org.uk/media/for-organisations/documents/4019535/addendum-international-data-transfer.docx) zu finden ist. Der Kunde kann auch eine Kopie der einschlägigen Klauseln unter privacy@opswat.com anfordern.
1. tabelle 1: Parteien
Datenexporteur: Kunde
Datenimporteur: OPSWAT
2 Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
Modul 2 oder Modul 3 des SCC, wie in Anlage 4 oder Anlage 5 ausgefüllt
3. tabelle 3: Informationen zum Anhang
Anhang 1A: Siehe Anhang 1 von Anlage 4 des Datenschutzgesetzes
Anhang 1B: Siehe Anhang 1 von Anlage 4 des Datenschutzgesetzes
Anhang II: Siehe Anhang 2 von Anlage 4 des Datenschutzgesetzes
Anhang III: Die Liste der Unterauftragsverarbeiter von OPSWATfinden Sie unter https://www.opswat. com/legal/subprocessors
4. tabelle 4: Beendigung dieses Nachtrags bei Änderungen des genehmigten Nachtrags
Importeur oder Exporteur
Die Parteien vereinbaren, dass Modul 2 oder Modul 3 der SCC (je nach Anwendbarkeit) in der durch den UK-Zusatz geänderten Fassung Vorrang vor allen anderen Vereinbarungen zwischen den Parteien haben, unabhängig davon, ob diese vor oder nach dem Datum des Abschlusses dieser Klauseln geschlossen wurden. Falls die Gesetze oder Regulierungsverfahren einer Rechtsordnung dies erfordern, werden die Parteien Modul 2 oder Modul 3 der SCC (je nach Anwendbarkeit) in der durch den UK-Zusatz geänderten Fassung als separates Dokument ausfertigen oder erneut ausfertigen.
