Stolz darauf, Teil von Vontier zu sein. Wir teilen eine gemeinsame Vision, die von Innovation angetrieben wird.

Erfahren Sie mehr
Kontakt aufnehmen

Datenverarbeitungsvertrag

Diese Datenverarbeitungsvereinbarung („DPA“) wird von Driivz Inc. und seinen verbundenen Unternehmen für Transaktionen mit Sitz in den Vereinigten Staaten von Amerika oder Nordamerika bzw. von Driivz Ltd. und seinen verbundenen Unternehmen für Transaktionen in anderen Teilen der Welt (beide„Driivz“), entweder mit Wirkung ab dem Datum des Inkrafttretens der Nutzungsbedingungen zwischen Ihnen („Unternehmen“) und Driivz (die„Vereinbarung“).

Da Sie und Driivz die Vereinbarung geschlossen haben, die die Verarbeitung personenbezogener Daten durch Driivz in seiner Eigenschaft als Dienstleister (im Sinne der geltenden Datenschutzgesetze) („Auftragsverarbeiter“) für oder im Namen des Unternehmens, das als Unternehmen (im Sinne der geltenden Datenschutzgesetze) und/oder dessen Kunden (falls zutreffend) („Auftragsverarbeiter“) auftritt, erfordern kann, legt diese DPA die zusätzlichen Anforderungen, Bedingungen und Konditionen fest, unter denen der Auftragsverarbeiter personenbezogene Daten verarbeitet, bis der Auftragsverarbeiter die gesamte Verarbeitung personenbezogener Daten im Auftrag des Auftragsverarbeiters einstellt.

1. Definitionen und Auslegung

Großgeschriebene Begriffe, die in dieser DPA verwendet, aber nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung. Wenn in der Vereinbarung und dieser DPA unterschiedliche Definitionen für denselben Begriff verwendet werden, haben die in dieser DPA enthaltenen Definitionen in Bezug auf die Bestimmungen dieser DPA Vorrang. Für die Zwecke dieser DPA haben die folgenden Wörter und Ausdrücke die folgende Bedeutung, sofern der Kontext nichts anderes erfordert:

„Personenbezogene Daten des Verantwortlichen“bezeichnet alle personenbezogenen Informationen und personenbezogenen Daten, unabhängig von ihrer Form oder ihrem Medium, die vom Auftragsverarbeiter für und im Namen des Verantwortlichen und/oder der Kunden des Verantwortlichen (falls zutreffend) verarbeitet werden, unabhängig davon, ob diese personenbezogenen Informationen und personenbezogenen Daten (durch Übertragung oder Zugriff) bereitgestellt und/oder vom Auftragsverarbeiter oder in dessen Namen im Zusammenhang mit der Vereinbarung oder dieser DPA erstellt oder generiert werden. einschließlich der in Anhang 1 aufgeführten Daten.

„Betroffene Person“,„personenbezogene Daten“,„Unternehmen“,„Dienstleister“,„personenbezogene Informationen“,„Verletzung des Schutzes personenbezogener Daten“,„Verarbeitung“und„sensible personenbezogene Informationen“(oder„besondere Kategorien personenbezogener Daten“) haben alle die Bedeutung, die diesen Begriffen in den geltenden Datenschutzgesetzen zugewiesen wird (und verwandte Begriffe, wie z. B. „Verarbeitung“, haben entsprechende Bedeutungen). Wenn einer dieser Begriffe nicht in den geltenden Datenschutzgesetzen definiert ist, hat der Begriff die ihm in der DSGVO zugewiesene Bedeutung.

„Datenexporteur“hat die in den EU-Standardvertragsklauseln festgelegte Bedeutung.

„Datenimporteur“hat die in den EU-Standardvertragsklauseln festgelegte Bedeutung.

„Datenschutzgesetze“bezeichnet alle Gesetze, Vorschriften, gesetzlichen und behördlichen Anforderungen sowie rechtsverbindliche Verhaltenskodizes, die für die Verarbeitung, den Datenschutz, die Integrität, die Sicherheit, die Vertraulichkeit und die Nutzung der personenbezogenen Daten des Verantwortlichen gelten, soweit sie für den Verantwortlichen, die Kunden des Verantwortlichen und/oder den Lieferanten gelten, einschließlich, ohne Einschränkung und soweit anwendbar (i) der DSGVO zusammen mit den nationalen Umsetzungsgesetzen in jedem Mitgliedstaat des EWR; (ii) die DSGVO, wie sie in die Gesetze des Vereinigten Königreichs aufgenommen wurde; (iii) das Datenschutzgesetz des Vereinigten Königreichs von 2018; (iv) das Schweizer Bundesgesetz über den Datenschutz; (v) das kalifornische Verbraucherschutzgesetz (California Consumer Privacy Act); (vi) das kalifornische Datenschutzgesetz (California Privacy Rights Act); (viii) das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados); (ix) das südafrikanische Gesetz zum Schutz personenbezogener Daten von 2013 (Protection of Personal Information Act 2013); sowie alle Gesetze, die die vorgenannten Gesetze ändern oder ersetzen.

„EU-Standardvertragsklauseln“bezeichnet die Klauseln, die mit dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates genehmigt wurden (eine Kopie davon ist verfügbar unter: www.vontier.com/EU_Contractual_Clauses).

„DSGVO“bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679.

„Dienstleistungen“hat die in der Vereinbarung festgelegte Bedeutung oder, sofern dieser Begriff nicht definiert ist, bezeichnet die in der Vereinbarung beschriebenen und zwischen dem Verantwortlichen und dem Auftragsverarbeiter von Zeit zu Zeit vereinbarten Dienstleistungen.

„Aufsichtsbehörde“bezeichnet jede zuständige Datenschutzbehörde in jeder Gerichtsbarkeit, in der der Verantwortliche, die Kunden des Verantwortlichen (falls zutreffend) oder der Auftragsverarbeiter ansässig sind, der Auftragsverarbeiter die Dienste erbringt oder in der der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet.

„UK-Nachtrag“bezeichnet den Nachtrag in Anhang 5, der unter folgender Adresse verfügbar ist: www.vontier.com/EU_Contractual_Clauses.

2. Ernennung und Rolle der Parteien

  1. Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten des Verantwortlichen in seinem Namen, soweit dies für die Erbringung der Dienstleistungen und die Erfüllung des Vertrags erforderlich ist.
  2. Wenn die personenbezogenen Daten des Verantwortlichen personenbezogene Daten umfassen, für die der Kunde des Verantwortlichen ein „Verantwortlicher“ im Sinne der DSGVO ist, garantiert der Verantwortliche, dass er zuvor die Genehmigung und alle erforderlichen Einwilligungen und Lizenzen von seinen Kunden eingeholt hat, um den Auftragsverarbeiter als „Auftragsverarbeiter“ im Sinne der DSGVO zu benennen.

3. Einzelheiten der Verarbeitung

  1. Die Verarbeitung der personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter gemäß dieser DPA erfolgt für: (a) den Gegenstand; (b) die Dauer; (c) die Art und den Zweck; und (d) die Art der personenbezogenen Daten und Kategorien der betroffenen Personen, wie in dieser DPA festgelegt.
  2. Die Verarbeitungsanweisung, die Art und der Zweck der Verarbeitung sind in Anhang 1 beschrieben.
  3. Die Pflichten und Rechte des Verantwortlichen sind in dieser DPA und im Datenschutzgesetz festgelegt.

4. Einhaltung des Datenschutzgesetzes

  1. Jede Partei hat in allen Fällen personenbezogene Daten von Prozesssteuerern in Übereinstimmung mit den Datenschutzgesetzen zu verarbeiten.
  2. Der Verantwortliche hat das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen in einer Weise verwendet, die mit den Verpflichtungen des Verantwortlichen gemäß den Datenschutzgesetzen vereinbar ist.
  3. Der Verantwortliche hat das Recht, nach vorheriger Ankündigung angemessene und geeignete Maßnahmen zu ergreifen, um die unbefugte Nutzung personenbezogener Daten des Verantwortlichen zu unterbinden und Abhilfe zu schaffen.
  4. Der Auftragsverarbeiter verpflichtet sich hiermit, den Verantwortlichen unverzüglich, spätestens jedoch achtundvierzig (48) Stunden nach seiner Feststellung zu benachrichtigen, wenn er feststellt, dass er seinen Verpflichtungen gemäß den Datenschutzgesetzen nicht mehr nachkommen kann.
  5. Der Verantwortliche garantiert hiermit, dass die Bereitstellung von personenbezogenen Daten durch ihn den Datenschutzgesetzen entspricht.
  6. Keine der Parteien darf durch Handlungen oder Unterlassungen dazu führen, dass die andere Partei gegen Datenschutzgesetze verstößt.

5. Handeln gemäß den dokumentierten Anweisungen des Controllers

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen nur gemäß den dokumentierten Anweisungen des Verantwortlichen, einschließlich der in dieser DPA und der Vereinbarung festgelegten Anweisungen. Der Auftragsverarbeiter hat außerdem das Recht, personenbezogene Daten des Verantwortlichen im gesetzlich vorgeschriebenen Umfang zu verarbeiten, nachdem er den Verantwortlichen zuvor darüber informiert hat, es sei denn, zwingende geltende Rechtsvorschriften verbieten eine solche Benachrichtigung. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn nach vernünftiger Einschätzung des Auftragsverarbeiters eine Anweisung des Verantwortlichen gegen das Datenschutzrecht verstößt, wobei diese Benachrichtigung eine Erklärung enthalten muss, warum der Auftragsverarbeiter zu dieser Einschätzung gelangt ist, und der Auftragsverarbeiter ist berechtigt, die Verarbeitung der betroffenen personenbezogenen Daten des Verantwortlichen auszusetzen, bis der Verantwortliche seine Anweisungen so ändert, dass sie mit dem Datenschutzrecht vereinbar sind.
  2. Der Prozessor erkennt an, dass ihm Folgendes untersagt ist:
  3. Verkauf oder Weitergabe personenbezogener Daten des Verantwortlichen, sofern dies nicht gemäß den Datenschutzgesetzen oder dieser DPA zulässig ist;
  4. die Speicherung, Verwendung oder Offenlegung personenbezogener Daten des Verantwortlichen für andere Zwecke als die in Anhang 1 genannten oder anderweitig gemäß den Datenschutzgesetzen zulässigen Zwecke; oder
  5. die Kombination von personenbezogenen Daten des Controllers mit personenbezogenen Daten, die er von einer oder mehreren anderen Personen oder in deren Auftrag erhält oder aus seiner eigenen Interaktion mit der betroffenen Person erhebt, sofern dies nicht gemäß den Datenschutzgesetzen oder dieser DPA zulässig ist.
  6. Der Verantwortliche ermächtigt den Auftragsverarbeiter, auf der Grundlage der personenbezogenen Daten des Verantwortlichen einen aggregierten oder vollständig anonymisierten Datensatz zu erstellen. Der Verantwortliche und der Auftragsverarbeiter vereinbaren, dass der aggregierte oder vollständig anonymisierte Datensatz keine personenbezogenen Daten darstellt und Eigentum des Auftragsverarbeiters bleibt und von diesem aufbewahrt wird.

6. Gewährleistung der Vertraulichkeit der Mitarbeiter

Der Auftragsverarbeiter stellt sicher, dass alle Personen, die unter seiner Aufsicht handeln und Zugang zu personenbezogenen Daten des Verantwortlichen haben oder diese anderweitig verarbeiten, rechtlich bindenden Geheimhaltungspflichten unterliegen.

7. Ergreifen geeigneter technischer und organisatorischer Maßnahmen, einschließlich für die Sicherheit

  1. Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen zu treffen:
    1. Entwickelt, um den Controller bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß dem Datenschutzgesetz zu unterstützen; und
    2. die darauf ausgelegt sind, ein Sicherheitsniveau für die personenbezogenen Daten des Verantwortlichen zu gewährleisten, das dem Risiko angemessen ist, das durch die Verarbeitung dieser personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter entsteht, um sie vor unbefugter, versehentlicher oder unrechtmäßiger Offenlegung, Zugriff, Verlust oder Veränderung zu schützen, und die mindestens die in Anhang 2 aufgeführten Maßnahmen umfassen.

8. Benachrichtigung und Unterstützung bei Datenschutzverletzungen

  1. Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich schriftlich benachrichtigen, wenn er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhält, die die personenbezogenen Daten des Verantwortlichen betrifft (eine „Datenverletzung”) und dem Verantwortlichen so schnell wie möglich die folgenden Informationen in Bezug auf die Datenschutzverletzung zur Verfügung stellen:
    1. die Art der betroffenen personenbezogenen Daten;
    2. die Kategorien und Anzahl der betroffenen Personen;
    3. die Anzahl der betroffenen personenbezogenen Datensätze;
    4. Maßnahmen, die zur Behebung der Datenverletzung ergriffen wurden; und
    5. die möglichen Folgen und nachteiligen Auswirkungen der Datenverletzung.
    6. Der Auftragsverarbeiter leistet dem Verantwortlichen auf dessen Kosten jede angemessene Unterstützung im Zusammenhang mit der Einhaltung der Artikel 32 bis 34 der DSGVO oder gleichwertiger Anforderungen anderer Datenschutzgesetze durch den Verantwortlichen. Der Auftragsverarbeiter leistet diese Unterstützung zeitnah und in Übereinstimmung mit den in den Datenschutzgesetzen festgelegten Fristen.

9. Untervergabe

  1. Der Verantwortliche ermächtigt hiermit den Auftragsverarbeiter, Dritte mit der Durchführung von Verarbeitungsaktivitäten in Bezug auf personenbezogene Daten des Verantwortlichen im Namen des Verantwortlichen zu beauftragen („Unterauftragsverarbeiter“). Der Auftragsverarbeiter muss den Verantwortlichen im Voraus schriftlich benachrichtigen, wenn er beabsichtigt, die Unterauftragsverarbeiter zu ersetzen oder zu ergänzen, und der Verantwortliche hat das Recht, einen solchen Ersatz oder eine solche Ergänzung unter Berücksichtigung angemessener Umstände abzulehnen. Wenn der Verantwortliche dem Auftragsverarbeiter nicht innerhalb von 20 Tagen nach Benachrichtigung über die Ergänzung oder den Ersatz schriftlich mitteilt, dass er Einwände gegen die Ergänzung oder den Ersatz des Unterauftragsverarbeiters hat, kann der Auftragsverarbeiter mit der Beauftragung des zusätzlichen oder ersetzenden Unterauftragsverarbeiters zur Verarbeitung der personenbezogenen Daten des Verantwortlichen fortfahren. Wenn der Verantwortliche dem Auftragsverarbeiter seine Einwände gemäß dieser Klausel mitteilt, bemühen sich die Parteien nach Treu und Glauben um eine Lösung des Problems. Kann innerhalb von 30 Tagen nach Einwand des Verantwortlichen keine Lösung gefunden werden, hat jede Partei das Recht, diese DPA und die Vereinbarung mit einer Frist von 30 Tagen schriftlich gegenüber der anderen Partei zu kündigen.
  2. Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung, die Verpflichtungen enthält, die mit den in dieser DPA festgelegten Verantwortlichkeiten und Anforderungen übereinstimmen und mindestens diesen entsprechen.

10. Grenzüberschreitende Übermittlung personenbezogener Daten

  1. Der Auftragsverarbeiter darf keine personenbezogenen Daten des Verantwortlichen in ein Land oder Gebiet außerhalb des Herkunftslandes oder -gebiets der personenbezogenen Daten des Verantwortlichen übertragen und muss sicherstellen, dass auch Unterauftragsverarbeiter dies nicht tun, ohne dass angemessene Schutzmaßnahmen zum Schutz der personenbezogenen Daten des Verantwortlichen gemäß den Anforderungen der Datenschutzgesetze getroffen wurden.
  2. Vorbehaltlich der Klauseln 10.4 und 10.5 (sofern zutreffend) wird, wenn personenbezogene Daten des Verantwortlichen aus dem EWR, dem Vereinigten Königreich oder der Schweiz im Rahmen dieser DPA und/oder der Vereinbarung vom Verantwortlichen an den Auftragsverarbeiter übermittelt werden, Modul zwei der EU-Standardvertragsklauseln durch Verweis in diese DPA aufgenommen und gilt für den Verantwortlichen als Datenexporteur und für den Auftragsverarbeiter als Datenimporteur.
  3. Vorbehaltlich der Klauseln 10.4 und 10.5 (sofern zutreffend) wird, wenn personenbezogene Daten des Verantwortlichen aus dem EWR, dem Vereinigten Königreich oder der Schweiz im Rahmen dieser DPA und/oder der Vereinbarung vom Auftragsverarbeiter an den Verantwortlichen übermittelt werden, Modul vier der EU-Standardvertragsklauseln durch Verweis in diese DPA aufgenommen und gilt für den Auftragsverarbeiter als Datenexporteur und für den Verantwortlichen als Datenimporteur.
  4. In Bezug auf personenbezogene Daten von Verantwortlichen mit Sitz in der Schweiz wird der EU-Standardvertrag wie folgt geändert: (i) Der Begriff „Mitgliedstaat“ wird nicht so ausgelegt, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Klausel 18(c) der EU-Standardvertragsklauseln geltend zu machen; und (ii) Verweise auf die „Verordnung (EU) 2016/679“ oder „diese Verordnung“ sind als Verweise auf das Schweizer Bundesgesetz über den Datenschutz zu verstehen; (iii) Alle Verweise auf die „Kommission“ gelten als Verweise auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. (iv) Alle Verweise auf die „Europäische Union“, „EU“, „Mitgliedstaat“ und „Union“ gelten als Verweise auf die Schweiz. (v) Die Fußnoten werden entfernt.
  5. In Bezug auf personenbezogene Daten des Verantwortlichen, die aus dem Vereinigten Königreich stammen, werden die EU-Standardvertragsklauseln gemäß dem Anhang zum Vereinigten Königreich geändert.

11. Löschen oder Zurückgeben von Verantwortlicher Personenbezogene Daten

  1. Der Auftragsverarbeiter hat unverzüglich und in jedem Fall innerhalb von dreißig (30) Tagen: (a) nach Beendigung oder Ablauf der Vereinbarung, aus welchem Grund auch immer; (b) nach Beendigung der Erbringung der relevanten Dienstleistungen im Zusammenhang mit der Verarbeitung; oder (c) sobald die Verarbeitung personenbezogener Daten des Verantwortlichen durch den Auftragsverarbeiter für die Erfüllung seiner Verpflichtungen aus dieser Vereinbarung nicht mehr erforderlich ist, die Nutzung dieser personenbezogenen Daten des Verantwortlichen einstellen und alle diese personenbezogenen Daten des Verantwortlichen entweder sicher vernichten oder (auf Anweisung des Verantwortlichen) an diesen zurückgeben.
  2. Ungeachtet der Bestimmung in Abschnitt 11.1 muss der Auftragsverarbeiter, wenn er nach geltendem Recht zur Speicherung personenbezogener Daten des Verantwortlichen verpflichtet ist, den Verantwortlichen über diese Verpflichtung informieren, die fortdauernde Vertraulichkeit aller personenbezogenen Daten des Verantwortlichen gewährleisten und sicherstellen, dass die personenbezogenen Daten des Verantwortlichen nur für die Zwecke verarbeitet werden, die in den geltenden Gesetzen, die ihre Speicherung vorschreiben, festgelegt sind, und für keine anderen Zwecke.

12. Aufzeichnungen und Prüfung

  1. Der Auftragsverarbeiter führt vollständige, genaue und aktuelle schriftliche Aufzeichnungen über alle im Auftrag des Verantwortlichen durchgeführten Verarbeitungsaktivitäten und stellt dem Verantwortlichen auf schriftliche Anfrage diese Aufzeichnungen und alle anderen Informationen zur Verfügung, die der Verantwortliche vernünftigerweise benötigt, um die Einhaltung der Verpflichtungen des Auftragsverarbeiters gemäß dieser DPA nachzuweisen.
  2. Wenn der Verantwortliche (nach vernünftigem Ermessen) nicht davon überzeugt ist, dass die vom Auftragsverarbeiter gemäß Ziffer 12.1 bereitgestellten Informationen die Einhaltung dieser DPA durch den Auftragsverarbeiter belegen, hat der Verantwortliche das Recht, selbst oder durch einen unabhängigen Dritten, der unter der Leitung des Verantwortlichen handelt und kein Wettbewerber des Auftragsverarbeiters ist, auf Kosten des Verantwortlichen eine Überprüfung, einschließlich eines Audits, der Datensicherheits- und Datenschutzverfahren des Auftragsverarbeiters in Bezug auf die Verarbeitung personenbezogener Daten des Verantwortlichen und die Einhaltung dieser DPA durchzuführen. Eine solche Inspektion oder Prüfung darf nur einmal pro Kalenderjahr während der normalen Geschäftszeiten des Auftragsverarbeiters erfolgen, nachdem der Auftragsverarbeiter 30 Tage zuvor eine schriftliche Mitteilung über eine solche Inspektion und Prüfung erhalten hat und die Parteien sich über den Umfang der Inspektion oder Prüfung geeinigt haben. Zur Vermeidung von Zweifeln sei darauf hingewiesen, dass eine solche Inspektion oder Prüfung keine unangemessene Störung des Geschäftsbetriebs des Auftragsverarbeiters verursachen darf und keine Inspektion oder Prüfung umfassen darf, die personenbezogene Daten oder vertrauliche Informationen gefährdet, die vom Auftragsverarbeiter im Auftrag Dritter verarbeitet werden.

13. Allgemeine Geschäftsbedingungen

  1. Diese DPA stellt die gesamte Vereinbarung zwischen den Parteien dar und ersetzt, beendet und löscht alle früheren und gleichzeitigen Vereinbarungen, Versprechen, Zusicherungen und Absprachen zwischen ihnen, ob schriftlich oder mündlich, die sich auf ihren Gegenstand beziehen.
  2. Beide Parteien erkennen an und verstehen, dass die personenbezogenen Daten des Verantwortlichen möglicherweise Datenschutzgesetzen unterliegen, die bestimmte Verpflichtungen und/oder den Abschluss von Vereinbarungen erfordern, einschließlich in Bezug auf die grenzüberschreitende Übermittlung der personenbezogenen Daten des Verantwortlichen. Beide Parteien vereinbaren, dass sie alle alternativen oder zusätzlichen Vereinbarungen oder Absprachen treffen oder alle zusätzlichen Maßnahmen umsetzen, die gemäß den Datenschutzgesetzen in Bezug auf die Verarbeitung und/oder grenzüberschreitende Übermittlung der personenbezogenen Daten des Verantwortlichen erforderlich sein könnten.
  3. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA, der Vereinbarung und den EU-Standardvertragsklauseln gilt folgende Rangfolge: die EU-Standardvertragsklauseln, die Bestimmungen dieser DPA und dann die Vereinbarung.
  4. Änderungen oder Ergänzungen dieser Vereinbarung sind nur mit schriftlicher Zustimmung beider Parteien gültig.
  5. Sollte eine Bestimmung dieser DPA ungültig oder nicht durchsetzbar sein, bleibt der Rest dieser DPA gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) so geändert, dass ihre Gültigkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich gewahrt bleiben, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob der ungültige oder nicht durchsetzbare Teil nie darin enthalten gewesen wäre.
  6. Sofern die Parteien ihre Haftung nicht gemäß geltendem Recht beschränken oder ausschließen können, unterliegt die Gesamthaftung jeder Partei, die sich aus oder im Zusammenhang mit dieser DPA ergibt, sei es aufgrund eines Vertrags, einer unerlaubten Handlung (einschließlich Fahrlässigkeit), einer Verletzung gesetzlicher Pflichten oder aus anderen Gründen, den Haftungsbeschränkungen und -ausschlüssen in der Vereinbarung, und jede Bezugnahme in der Vereinbarung auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen gemäß der Vereinbarung und der DPA zusammen.
  7. Alle Streitigkeiten oder Ansprüche (einschließlich außervertraglicher Streitigkeiten oder Ansprüche), die sich aus oder im Zusammenhang mit dieser DPA ergeben, unterliegen den in der Vereinbarung festgelegten Gesetzen, und die Gerichte in dem in der Vereinbarung festgelegten Gebiet sind für die Beilegung solcher Streitigkeiten oder Ansprüche zuständig.

 

Anhang 1:

Details zur Verarbeitung von Verantwortlicher personenbezogener Daten

Dieser Anhang 1 enthält bestimmte Einzelheiten zur Verarbeitung personenbezogener Daten durch den Verantwortlichen gemäß Artikel 28 Absatz 3 DSGVO oder entsprechenden Anforderungen anderer Datenschutzgesetze.

1. Gegenstand und Dauer der Verarbeitung von Verantwortlicher Personenbezogene Daten

Gegenstand der Verarbeitung der personenbezogenen Daten des Verantwortlichen ist die Erbringung der Dienstleistungen für den Verantwortlichen. Die personenbezogenen Daten des Verantwortlichen werden für die Dauer der Vereinbarung zwischen den Parteien vorbehaltlich Abschnitt 11 dieser DPA verarbeitet.

2. Art und Zweck der Verarbeitung von Verantwortlicher personenbezogener Daten

Der Auftragsverarbeiter darf personenbezogene Daten des Verantwortlichen nur im Zusammenhang mit der Erbringung von Dienstleistungen gemäß den Bestimmungen der Vereinbarung und dieser DPA hosten, pflegen und anderweitig verarbeiten.

3. Arten von Verantwortlicher Verarbeitete personenbezogene Daten

Personenbezogene Daten, die vom Verantwortlichen (oder auf dessen Anweisung) oder von betroffenen Personen in das System des Auftragsverarbeiters eingegeben werden oder die der Auftragsverarbeiter anderweitig im Auftrag des Verantwortlichen im Zusammenhang mit der Erbringung der Dienstleistungen gemäß den Bestimmungen der Vereinbarung und dieser DPA verarbeitet, einschließlich des Namens der Nutzer, ihrer Kontaktdaten (unter anderem Telefonnummer, E-Mail-Adresse, Rechnungsadresse), Zahlungsinformationen und -historie, Fahrzeuginformationen und autorisierten Plattform-Nutzerinteraktionen.

4. Kategorien von betroffenen Personen, denen die Verantwortlicher personenbezogenen Daten

Befugte Mitarbeiter, Auftragnehmer und Endnutzer des Unternehmens/Verantwortlichen.

5. Länder, in denen der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen verarbeitet

Vereinigte Staaten, Israel, Indien

Anhang 2:

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Beschreibung der technischen und organisatorischen Maßnahmen, die vom/von den Datenimporteur(en) (einschließlich aller relevanten Zertifizierungen) umgesetzt werden, um ein angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung Art, Umfang, Kontext und Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen.

Technische Maßnahmen

Technische Maßnahme Beschreibung
1. Bestandsaufnahme und Kontrolle von Hardware-Assets Verwalten Sie alle Hardwaregeräte im Netzwerk aktiv, sodass nur autorisierte Geräte Zugriff erhalten und nicht autorisierte und nicht verwaltete Geräte erkannt und am Zugriff gehindert werden.
2. Bestandsaufnahme und Kontrolle von Software-Assets Verwalten Sie aktiv die gesamte Software im Netzwerk, sodass nur autorisierte Software installiert und ausgeführt werden kann und nicht autorisierte und nicht verwaltete Software erkannt und an der Installation oder Ausführung gehindert wird.
3. Kontinuierliches Schwachstellenmanagement Sammeln, bewerten und verarbeiten Sie kontinuierlich neue Informationen, um Schwachstellen zu identifizieren, zu beheben und das Zeitfenster für Angreifer zu minimieren.
4. Kontrollierte Nutzung von Administratorrechten Prozesse und Tools zur Verfolgung, Kontrolle, Verhinderung und Korrektur der Verwendung, Zuweisung und Konfiguration von Administratorrechten auf Computern, Netzwerken, Anwendungen und Daten aufrechterhalten.
5. Sichere Konfiguration für Hardware und Software auf Mobilgeräten, Laptops, Workstations und Servern Implementieren und verwalten Sie aktiv (verfolgen, melden, korrigieren) die Sicherheitskonfiguration von Mobilgeräten, Laptops, Servern und Workstations mithilfe eines Konfigurationsmanagement- und Änderungskontrollprozesses, um Angreifer daran zu hindern, anfällige Dienste und Einstellungen auszunutzen.
6. Wartung, Überwachung und Analyse von Audit-Protokollen Sammeln, verwalten und analysieren Sie Audit- und Sicherheitsprotokolle von Ereignissen, die dabei helfen können, mögliche Angriffe zu erkennen, zu verstehen oder deren Folgen zu beheben.
7. Schutz für E-Mail und Webbrowser Setzen Sie automatisierte Kontrollen ein, um die Angriffsfläche und die Möglichkeiten für Angreifer zu minimieren, menschliches Verhalten durch ihre Interaktion mit Webbrowsern und E-Mail-Systemen oder Inhalten zu manipulieren.
8. Malware-Abwehrmaßnahmen Kontrollieren Sie die Installation, Verbreitung und Ausführung von Schadcode an mehreren Punkten im Unternehmen und optimieren Sie gleichzeitig den Einsatz von Automatisierung, um eine schnelle Aktualisierung der Abwehrmaßnahmen, Datenerfassung und Korrekturmaßnahmen zu ermöglichen.
9. Beschränkung und Kontrolle von Netzwerkports, Protokollen und Diensten Verwalten (verfolgen, kontrollieren, korrigieren) Sie die laufende operative Nutzung von Ports, Protokollen, Diensten und Anwendungen auf vernetzten Geräten, um Schwachstellen und Angriffsflächen für Angreifer zu minimieren.
10. Datenwiederherstellungsfunktionen Prozesse und Tools zur ordnungsgemäßen Sicherung personenbezogener Daten mit einer bewährten Methodik aufrechterhalten, um die Vertraulichkeit, Integrität, Verfügbarkeit und Wiederherstellbarkeit dieser Daten zu gewährleisten.
11. Sichere Konfiguration für Netzwerkgeräte wie Firewalls, Router und Switches Implementieren und verwalten Sie aktiv (verfolgen, melden, korrigieren) die Sicherheitskonfiguration von Netzwerk-Infrastrukturgeräten mithilfe eines Konfigurationsmanagement- und Änderungskontrollprozesses, um zu verhindern, dass Angreifer Schwachstellen in Diensten und Einstellungen ausnutzen.
12. Grenzverteidigungen Erkennen, verhindern und korrigieren Sie den Informationsfluss in Netzwerken mit unterschiedlichen Vertrauensstufen, wobei der Schwerpunkt auf personenbezogenen Daten liegt.
13. Datenschutz Warten Sie Prozesse und Tools, die dazu dienen, Datenexfiltration zu verhindern, die Auswirkungen exfiltrierter Daten zu mindern und die Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten.
14. Kontrollierter Zugriff auf der Grundlage des Need-to-know-Prinzips Prozesse und Tools zur Verfolgung, Kontrolle, Verhinderung und Korrektur des sicheren Zugriffs auf kritische oder kontrollierte Ressourcen (z. B. Informationen, Ressourcen, Systeme) gemäß der formellen Festlegung, welche Personen, Computer und Anwendungen aufgrund einer genehmigten Klassifizierung einen Bedarf und das Recht auf Zugriff auf diese kritischen oder kontrollierten Ressourcen haben, aufrechterhalten.
15. Drahtlose Zugangskontrolle Prozesse und Tools zur Überwachung, Kontrolle, Prävention und Korrektur der sicheren Nutzung von drahtlosen lokalen Netzwerken (WLANs), Zugangspunkten und drahtlosen Client-Systemen aufrechterhalten.
16. Kontoüberwachung und -kontrolle Verwalten Sie aktiv den Lebenszyklus von System- und Anwendungskonten, deren Erstellung, Nutzung, Inaktivität und Löschung, um die Möglichkeiten für unbefugte, unangemessene oder böswillige Nutzung zu minimieren.

Organisatorische Maßnahme

Organisatorische Maßnahme Beschreibung
1. Implementierung eines umfassenden Informationssicherheitsprogramms Durch die Umsetzung eines umfassenden Informationssicherheitsprogramms (CISP) werden verschiedene administrative Sicherheitsvorkehrungen zum Schutz personenbezogener Daten getroffen. Diese Maßnahmen sollen Folgendes gewährleisten:

  • Sicherheit, Vertraulichkeit und Integrität personenbezogener Daten
  • Schutz vor unbefugtem Zugriff auf oder unbefugter Nutzung von (gespeicherten) personenbezogenen Daten in einer Weise, die ein erhebliches Risiko für Identitätsdiebstahl oder -betrug darstellt
  • dass Mitarbeiter, Auftragnehmer, Berater, Zeitarbeitskräfte und andere Arbeitnehmer, die Zugang zu personenbezogenen Daten haben, diese Daten nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.
2. Implementierung eines Programms zur Sensibilisierung für Sicherheitsfragen und zur Schulung Identifizieren Sie für alle funktionalen Rollen (mit Schwerpunkt auf denjenigen, die für das Unternehmen, seine Sicherheit und den Schutz personenbezogener Daten von entscheidender Bedeutung sind) die spezifischen Kenntnisse, Fähigkeiten und Fertigkeiten, die für den Schutz und die Verteidigung personenbezogener Daten erforderlich sind. Entwickeln und implementieren Sie einen integrierten Plan zur Bewertung, Identifizierung von Lücken und Behebung dieser Lücken durch Richtlinien, organisatorische Planung, Schulungen und Sensibilisierungsprogramme.
3. Sicherheit von Anwendungssoftware Verwalten Sie den Sicherheitslebenszyklus aller intern entwickelten und erworbenen Software, um Sicherheitslücken zu verhindern, zu erkennen und zu beheben.
4. Reaktion auf Vorfälle und Management Schützen Sie die Informationen der Organisation, einschließlich personenbezogener Daten, sowie ihren Ruf, indem Sie eine Infrastruktur für die Reaktion auf Vorfälle (z. B. Pläne, definierte Rollen, Schulungen, Kommunikation, Managementüberwachung, Retainer und Versicherungen) entwickeln und implementieren, um Angriffe schnell zu erkennen und den Schaden dann effektiv einzudämmen, die Präsenz des Angreifers zu beseitigen und die Integrität des Netzwerks und der Systeme der Organisation wiederherzustellen.
5. Sicherheits- und Datenschutzbewertungen, Penetrationstests und Red-Team-Übungen Testen Sie die Gesamtstärke der Verteidigung der Organisation (Technologie, Prozesse und Mitarbeiter), indem Sie die Ziele und Aktionen eines Angreifers simulieren. Bewerten und validieren Sie außerdem die Kontrollen, Richtlinien und Verfahren der Organisation zum Schutz der Privatsphäre und personenbezogener Daten.
6. Physische Sicherheit und Zugangskontrolle Verlangen Sie, dass alle Einrichtungen die höchstmöglichen und unter den gegebenen Umständen angemessenen Datenschutzstandards erfüllen, die für die Einrichtung und die darin enthaltenen, verarbeiteten oder übertragenen Daten relevant sind.

Anhang 3

EU STANDARDVERTRAGSKLAUSELN

Die Standardvertragsklauseln und zugehörigen Anhänge sowie der Anhang für das Vereinigte Königreich sind verfügbar unter: www.vontier.com/EU_Contractual_Clauses und sind Bestandteil dieser Vereinbarung.