RemoteLock Datenverarbeitungsvereinbarung – Gegenseitig

Gültigkeitsdatum: Dec 14, 2022
Inhaltsverzeichnis
Hauptabschnitt 1
Hauptabschnitt 1
Teilen

Diese Datenverarbeitungsvereinbarung (die „DPA“), abgeschlossen zwischen dem Partner, der Vertragspartei der Nutzungsbedingungen und/oder Vereinbarung(en) ist, die auf diese DPA verweisen (der „Partner“), und RemoteLock, Inc. (zusammen mit seinen verbundenen Unternehmen, „RemoteLock“), regelt die Verarbeitung personenbezogener Daten, die der Partner RemoteLock hochlädt oder anderweitig zur Verfügung stellt oder die RemoteLock dem Partner im Zusammenhang mit der Integration der Dienste von RemoteLock und des Partners zur Verfügung stellt.

Diese DPA ist Bestandteil der relevanten RemoteLock-Nutzungsbedingungen und -Vereinbarung(en) sowie aller anwendbaren Nachträge und/oder Anhänge, unter denen RemoteLock und der Partner ihre jeweiligen Dienste und/oder Produkte integrieren können (in dieser DPA zusammenfassend als „RemoteLock-Vertrag“ bezeichnet). Zusammen werden die DPA und der RemoteLock-Vertrag in dieser DPA als „Vereinbarung“ bezeichnet. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen den Bestimmungen der Vereinbarung haben die Bestimmungen der folgenden Dokumente (in der angegebenen Reihenfolge) Vorrang: (a) diese DPA; (b) der RemoteLock-Vertrag. Sofern in dieser DPA nicht ausdrücklich anders geregelt, bleibt der RemoteLock-Vertrag unverändert und in vollem Umfang in Kraft.

1. DEFINITIONEN

„Datenschutzanforderungen“ bezeichnet die CCPA, die Datenschutz-Grundverordnung und alle anderen anwendbaren Gesetze, Vorschriften und sonstigen rechtlichen Anforderungen in Bezug auf (a) den Datenschutz, die Datensicherheit und den Schutz personenbezogener Daten; und (b) die Verarbeitung personenbezogener Daten.

„EU-personenbezogene Daten“ bezeichnet personenbezogene Daten, deren Weitergabe durch die Datenschutz-Grundverordnung geregelt ist.

„Datenschutz-Grundverordnung“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zusammen mit allen nachgeordneten Rechtsvorschriften oder Verordnungen zur Umsetzung der Datenschutz-Grundverordnung.

„Personenbezogene Daten des Partners“ bezeichnet personenbezogene Daten, die der Partner RemoteLock im Zusammenhang mit der Integration der Dienste von RemoteLock und des Partners hochlädt oder anderweitig zur Verfügung stellt.  Der Partner gilt als Verantwortlicher und RemoteLock als Auftragsverarbeiter im Zusammenhang mit den personenbezogenen Daten des Partners.

„Personenbezogene Daten“ bezeichnet Informationen über eine Einzelperson, die (a) zur Identifizierung, Kontaktaufnahme oder Lokalisierung einer bestimmten Einzelperson verwendet werden können; (b) vernünftigerweise mit anderen Informationen kombiniert werden können, um eine bestimmte Einzelperson zu identifizieren, zu kontaktieren oder zu lokalisieren; oder (c) durch anwendbare Gesetze oder Vorschriften, die die Erhebung, Nutzung, Speicherung oder Offenlegung von Informationen über eine identifizierbare Einzelperson betreffen, als „personenbezogene Daten“ oder „personenbezogene Informationen“ definiert sind.

„Verletzung des Schutzes personenbezogener Daten“ bezeichnet jede zufällige oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder den unbefugten Zugriff auf personenbezogene Daten des Partners.

„Verarbeiten“ und seine verwandten Begriffe bezeichnen jeden Vorgang oder jede Reihe von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten ausgeführt werden, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Personenbezogene Daten von RemoteLock“ bezeichnet personenbezogene Daten, die RemoteLock dem Partner im Zusammenhang mit der Integration der Dienste von RemoteLock und des Partners zur Verfügung stellt.  RemoteLock gilt als Verantwortlicher und der Partner als Auftragsverarbeiter im Zusammenhang mit den personenbezogenen Daten von RemoteLock.

„SCCs“ bedeutet die Standardvertragsklauseln der Europäischen Kommission.

„Unterauftragsverarbeiter“ bedeutet jede Stelle, die einem Datenverarbeiter Verarbeitungsdienstleistungen zur Unterstützung der Verarbeitung personenbezogener Daten durch diesen Datenverarbeiter erbringt.

„Aufsichtsbehörde“ bedeutet eine unabhängige öffentliche Behörde, die (i) von einem Mitgliedstaat der Europäischen Union gemäß Artikel 51 der Datenschutz-Grundverordnung eingerichtet wurde; oder (ii) die für den Datenschutz zuständige öffentliche Behörde, die die Aufsichtsbefugnis und Zuständigkeit über den Partner hat.

„UK Addendum“ bedeutet den Zusatz für internationale Datenübermittlungen zu den EWR-Standardvertragsklauseln, der vom Information Commissioner für Parteien herausgegeben wurde, die eingeschränkte Übermittlungen gemäß S119A(1) des Data Protection Act 2018 vornehmen.

„UK GDPR“ bedeutet die Verordnung (EU) 2016/679 in der im Vereinigten Königreich durch Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs umgesetzten Fassung.

2. ART DER DATENVERARBEITUNG

Jeder Datenverarbeiter erklärt sich bereit, personenbezogene Daten im Auftrag eines Datenverantwortlichen im Zusammenhang mit der Vereinbarung nur zu den in der Vereinbarung festgelegten Zwecken zu verarbeiten. Zur Klarstellung sind die Kategorien der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen, die dieser DPA unterliegen, in Anhang A dieser DPA beschrieben.

3. EINHALTUNG VON GESETZEN

Die Parteien erfüllen jeweils ihre jeweiligen Pflichten gemäß allen anwendbaren Datenschutzanforderungen.

4. PFLICHTEN DES DATENVERANTWORTLICHEN

4.1   Jede Partei verpflichtet sich in ihrer Eigenschaft als Datenverantwortlicher:

(i) die Zwecke und allgemeinen Mittel der Verarbeitung personenbezogener Daten durch den Datenverarbeiter gemäß der Vereinbarung festzulegen; und

(ii) ihre Schutz-, Sicherheits- und sonstigen Pflichten in Bezug auf personenbezogene Daten zu erfüllen, die durch Datenschutzanforderungen für Datenverantwortliche vorgeschrieben sind.  

4.2  Jeder Datenverantwortliche erklärt sich damit einverstanden, auf Anfrage der anderen Partei eine einzige Kontaktperson zu benennen, die für den Empfang und die Beantwortung von Anfragen betroffener Personen zuständig ist, die ein Datenverarbeiter von betroffenen Personen in Bezug auf die personenbezogenen Daten des jeweiligen Datenverantwortlichen erhält.

5. PFLICHTEN DES DATENVERARBEITERS

5.1 Verarbeitungsanforderungen. Jede Partei wird in ihrer Eigenschaft als Datenverarbeiter:

a. Personenbezogene Daten nur zum Zweck der Bereitstellung, Unterstützung und Verbesserung der Dienste der anderen Partei (einschließlich der Bereitstellung von Einblicken und anderen Berichten) unter Anwendung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen verarbeiten. Der Datenverarbeiter wird die personenbezogenen Daten nicht für andere Zwecke nutzen oder verarbeiten. Der Datenverarbeiter wird den Datenverantwortlichen unverzüglich schriftlich informieren, wenn er die Anforderungen dieser DPA nicht erfüllen kann;

b. Den Datenverantwortlichen unverzüglich informieren, wenn nach Ansicht des Datenverarbeiters eine Anweisung des Datenverantwortlichen gegen geltende Datenschutzanforderungen verstößt;

c. Wirtschaftlich angemessene Schritte unternehmen, um sicherzustellen, dass (i) von ihm beschäftigte Personen und (ii) andere in seinem Auftrag tätige Personen die Bedingungen der Vereinbarung einhalten;

d. Sicherstellen, dass seine Mitarbeiter, bevollmächtigten Vertreter und etwaige Unterauftragsverarbeiter zur Einhaltung und Anerkennung der Vertraulichkeit der personenbezogenen Daten verpflichtet sind, auch nach Beendigung ihres jeweiligen Arbeitsverhältnisses, Vertrags oder ihrer Beauftragung;

e. Wenn er beabsichtigt, Unterauftragsverarbeiter einzuschalten, um seine Verpflichtungen gemäß dieser DPA zu erfüllen oder alle oder einen Teil der Verarbeitungsaktivitäten an solche Unterauftragsverarbeiter zu delegieren, (i) dem Datenverantwortlichen gegenüber für die Handlungen und Unterlassungen der Unterauftragsverarbeiter in Bezug auf den Datenschutz haftbar bleiben, wenn diese Unterauftragsverarbeiter auf Anweisung des Datenverarbeiters handeln; und (ii) vertragliche Vereinbarungen mit solchen Unterauftragsverarbeitern treffen, die diese dazu verpflichten, das gleiche Maß an Datenschutz und Informationssicherheit zu gewährleisten, wie es hierin vorgesehen ist; und

f. Auf Anfrage des Datenverantwortlichen eine Liste der Unterauftragsverarbeiter bereitstellen, die der Datenverarbeiter nutzen darf.  Jeder Datenverantwortliche genehmigt hiermit die Nutzung aller Unterauftragsverarbeiter, die der Datenverarbeiter im Zusammenhang mit den Diensten des Datenverarbeiters nutzen darf.

5.2 Benachrichtigung. Jede Partei wird in ihrer Eigenschaft als Datenverarbeiter den Datenverantwortlichen informieren, wenn sie Kenntnis erlangt von:

a. Jeder Nichteinhaltung dieser DPA oder der Datenschutzanforderungen in Bezug auf den Schutz personenbezogener Daten, die unter dieser DPA verarbeitet werden, durch sie oder ihre Mitarbeiter;

b. Jeder rechtlich bindenden Aufforderung zur Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde, es sei denn, dem Datenverarbeiter ist es gesetzlich untersagt, den Datenverantwortlichen zu informieren, beispielsweise um die Vertraulichkeit einer Untersuchung durch Strafverfolgungsbehörden zu wahren;

c. Jeder Mitteilung, Anfrage oder Untersuchung durch eine Aufsichtsbehörde in Bezug auf personenbezogene Daten; oder

d. Jeder Beschwerde oder Anfrage (insbesondere Anfragen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Sperrung oder Vernichtung personenbezogener Daten), die direkt von betroffenen Personen des Datenverantwortlichen eingeht. Der Datenverantwortliche wird auf eine solche Anfrage nicht inhaltlich antworten, ohne die vorherige schriftliche Genehmigung des Datenverarbeiters einzuholen.

5.3 Unterstützung. Jede Partei wird in ihrer Eigenschaft als Datenverarbeiter dem Datenverantwortlichen angemessene Unterstützung leisten bezüglich:

a. Aller Anfragen von betroffenen Personen bezüglich des Zugangs zu oder der Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Sperrung oder Vernichtung personenbezogener Daten, die der Datenverarbeiter für den Datenverantwortlichen verarbeitet. Für den Fall, dass eine betroffene Person eine solche Anfrage direkt an den Datenverarbeiter sendet, wird der Datenverarbeiter diese Anfrage unverzüglich an den Datenverantwortlichen weiterleiten;

b. Der Untersuchung von Verletzungen des Schutzes personenbezogener Daten und der Benachrichtigung der Aufsichtsbehörde und der betroffenen Personen bezüglich solcher Verletzungen des Schutzes personenbezogener Daten; und

c. Gegebenenfalls die Erstellung von Datenschutz-Folgenabschätzungen und, falls erforderlich, die Durchführung von Konsultationen mit jeder Aufsichtsbehörde.

5.4 Vorgeschriebene Verarbeitung. Wird der Datenverarbeiter aufgrund von Datenschutzanforderungen zur Verarbeitung personenbezogener Daten aus einem anderen Grund als im Zusammenhang mit den im Vertrag beschriebenen Dienstleistungen verpflichtet, wird der Datenverarbeiter den Datenverantwortlichen vor jeder Verarbeitung über diese Anforderung informieren, es sei denn, dem Datenverarbeiter ist es gesetzlich untersagt, den Datenverantwortlichen über eine solche Verarbeitung zu informieren (z. B. aufgrund von Geheimhaltungspflichten, die nach geltendem Recht eines EU-Mitgliedstaates bestehen können).

5.5 Sicherheit. Jede Partei wird in ihrer Eigenschaft als Datenverarbeiter:

a. Angemessene organisatorische und technische Sicherheitsmaßnahmen aufrechterhalten (die in Bezug auf Personal, Einrichtungen, Hard- und Software, Speicherung und Netzwerke, Zugangskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Verstößen, Reaktion auf Vorfälle, Verschlüsselung personenbezogener Daten während der Übertragung und im Ruhezustand umfassen können), die darauf abzielen, unbefugten oder versehentlichen Zugriff, Verlust, Änderung, Offenlegung oder Zerstörung personenbezogener Daten zu verhindern;

b. Für die Angemessenheit der Sicherheits-, Datenschutz- und Vertraulichkeitsvorkehrungen des gesamten Personals des Datenverarbeiters in Bezug auf personenbezogene Daten verantwortlich sein und für jedes Versäumnis dieses Personals des Datenverarbeiters, die Bestimmungen dieser DPA einzuhalten, haftbar sein;

c. Angemessene Schritte unternehmen, um sicherzustellen, dass das gesamte Personal des Datenverarbeiters die Sicherheit, den Datenschutz und die Vertraulichkeit personenbezogener Daten im Einklang mit den Anforderungen dieser DPA schützt;

d. Den Datenverarbeiter über jede Verletzung des Schutzes personenbezogener Daten durch den Datenverarbeiter, seine Unterauftragsverarbeiter oder andere Dritte, die im Auftrag des Datenverarbeiters handeln, unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten informieren.

5.6 Mitteilung an RemoteLock.  Der Partner kann RemoteLock unter datasecurity@remotelock.com bezüglich aller Angelegenheiten im Zusammenhang mit dieser DPA.

6. PRÜFUNG

6.1 Prüfung durch die Aufsichtsbehörde. Verlangt eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungsanlagen, von denen aus ein Datenverarbeiter personenbezogene Daten verarbeitet, um die Einhaltung der Datenschutzanforderungen festzustellen oder zu überwachen, wird der Datenverarbeiter mit dieser Prüfung kooperieren. Der Datenverantwortliche trägt alle Kosten und Gebühren im Zusammenhang mit einer solchen Prüfung, einschließlich aller angemessenen Kosten und Gebühren für jeglichen Zeitaufwand, den der Datenverarbeiter für eine solche Prüfung aufwendet.

7. DATENÜBERMITTLUNGEN

Jede Partei erklärt sich hiermit einverstanden, personenbezogene Daten nur dann an die andere Partei zu übermitteln, nachdem die Parteien alle zusätzlichen Maßnahmen umgesetzt haben, die für eine solche Übermittlung nach geltendem Recht erforderlich sind, wie z. B. den Abschluss von SCCs.

Übermittelt eine Partei personenbezogene Daten, die durch die Datenschutz-Grundverordnung oder die UK-DSGVO geschützt sind, an die andere Partei in einer Weise, die den Abschluss der SCCs und/oder des UK-Addendums durch die Parteien erfordert, ohne dass die Parteien zuvor die erforderlichen Vereinbarungen getroffen haben, so gelten die Parteien als hätten sie die anwendbaren SCCs und/oder das UK-Addendum durch den Abschluss dieser DPA unterzeichnet, und solche Vereinbarungen werden hiermit durch Verweis einbezogen.

8. DATENRÜCKGABE UND LÖSCHUNG

Die Parteien vereinbaren, dass bei Beendigung der Datenverarbeitungsdienste oder auf angemessenes Verlangen eines Datenverantwortlichen der Datenverarbeiter und alle Unterauftragsverarbeiter auf Wunsch des Datenverantwortlichen alle personenbezogenen Daten und Kopien dieser Daten an den Datenverantwortlichen zurückgeben oder diese sicher vernichten müssen und dem Datenverantwortlichen zur Zufriedenheit nachweisen müssen, dass er solche Maßnahmen ergriffen hat, es sei denn, Datenschutzanforderungen hindern den Datenverarbeiter daran, alle oder einen Teil der offengelegten personenbezogenen Daten zurückzugeben oder zu vernichten. In einem solchen Fall erklärt sich der Datenverantwortliche damit einverstanden, die Vertraulichkeit der von ihm aufbewahrten personenbezogenen Daten zu wahren und diese personenbezogenen Daten nach diesem Datum nur aktiv zu verarbeiten, um den geltenden Gesetzen zu entsprechen.

9. CCPA

Die Parteien vereinbaren, dass der Datenverarbeiter für die Zwecke des CCPA als CCPA-Dienstleister für personenbezogene Daten fungiert.

10. LAUFZEIT

Diese DPA bleibt so lange in Kraft, wie eine der Parteien im Auftrag der anderen Partei personenbezogene Daten verarbeitet oder bis zur Beendigung des RemoteLock-Vertrags (und alle personenbezogenen Daten gemäß dieser DPA zurückgegeben oder gelöscht wurden).

11. ANWENDBARES RECHT, GERICHTSSTAND UND GERICHTSORT

Ungeachtet anderslautender Bestimmungen im Vertrag unterliegt diese DPA den Gesetzen von Colorado, und alle Klagen oder Verfahren im Zusammenhang mit dieser DPA (einschließlich solcher, die sich aus außervertraglichen Streitigkeiten oder Ansprüchen ergeben) werden in Denver, Colorado, anhängig gemacht.

ANLAGE A

KATEGORIEN VON BETROFFENEN PERSONEN

  • Mitarbeiter, Vertreter und andere Administratoren des Partners, die auf RemoteLock-Dienste und/oder -Produkte zugreifen, zum Zweck der Bereitstellung von Diensten für die Endnutzer des Partners.
  • Mitarbeiter, Vertreter und andere Administratoren von RemoteLock, die auf Partner-Dienste und/oder -Produkte zugreifen, zum Zweck der Bereitstellung von Diensten für die Endnutzer von RemoteLock.
  • Endnutzer des Partners und von RemoteLock.

KATEGORIEN DER VERARBEITETEN PERSONENBEZOGENEN DATEN

  • Anmeldedaten, einschließlich Name, E-Mail-Adresse und Mobiltelefonnummer.
  • Informationen zu Zugangsbenutzern und Gästen, einschließlich Name, E-Mail-Adresse, Mobiltelefonnummer und Standort.
  • Informationen und Transaktionen zur Fernzugriffssteuerung, einschließlich Zugriffsanfragen und -ereignissen.