ALLGEMEINE GESCHÄFTSBEDINGUNGEN FÜR DELIGHTED CLOUD SERVICES FÜR DEN INDIREKTEN VERTRIEB ("GTC")
1. | DEFINITIONEN |
Großgeschriebene Begriffe, die in diesem Dokument verwendet werden, sind im Glossar definiert. | |
2. | NUTZUNGSRECHTE UND -BESCHRÄNKUNGEN |
2.1 Einräumung von Rechten. | |
Vorbehaltlich aller vom Partner an Delighted gezahlten Gebühren gewährt Delighted dem Kunden im Namen des Partners ein nicht ausschließliches und nicht übertragbares Recht zur Nutzung des Cloud-Service (einschließlich seiner Implementierung und Konfiguration), der Cloud-Materialien und der Dokumentation ausschließlich für die internen Geschäftsabläufe des Kunden und seiner verbundenen Unternehmen. Der Kunde darf den Cloud-Service weltweit nutzen, außer in Ländern oder Regionen, in denen eine solche Nutzung durch Exportgesetze verboten ist oder wie in einem EULA-Annahmeformular festgelegt. Die zulässigen Nutzungen und Einschränkungen des Cloud-Dienstes gelten auch für Cloud-Materialien und -Dokumentation. | |
2.2 Autorisierte Benutzer. | |
Der Kunde kann autorisierten Benutzern die Nutzung des Cloud-Dienstes gestatten. Die Nutzung ist auf die im EULA-Annahmeformular angegebenen Nutzungsmetriken und Volumina beschränkt. Die Zugangsdaten für den Cloud-Service dürfen nicht von mehr als einer Person verwendet werden, können aber von einer Person auf eine andere übertragen werden, wenn der ursprüngliche Benutzer den Cloud-Service nicht mehr nutzen darf. Der Kunde ist für Verstöße gegen die Vereinbarung verantwortlich, die von autorisierten Nutzern verursacht werden. | |
2.3 Richtlinie zur akzeptablen Nutzung. | |
In Bezug auf den Cloud-Service wird der Kunde nicht: | |
(a) den Cloud-Service zu kopieren, zu übersetzen, zu disassemblieren, zu dekompilieren oder davon abgeleitete Werke zu erstellen oder den Cloud-Service zurückzuentwickeln (oder einen der vorgenannten Versuche zu unternehmen), | |
(b) Inhalte oder Daten in oder über den Cloud-Dienst einzugeben, zu speichern oder zu übertragen, die ungesetzlich sind oder Rechte an geistigem Eigentum verletzen, | |
(c) den Betrieb oder die Sicherheit des Systems zu umgehen oder zu gefährden, oder | |
(d) die Copyright- und Urheberrechtsvermerke von Delightedzu entfernen. | |
2.4 Nachweis der Nutzung. | |
Der Kunde überwacht seine eigene Nutzung des Cloud-Dienstes und meldet jede Nutzung, die über die Nutzungsmetriken und das Volumen hinausgeht. Delighted kann die Nutzung überwachen, um die Einhaltung der Nutzungsmetriken, des Volumens und der Vereinbarung zu überprüfen. Delighted ist berechtigt, alle Daten über eine Nutzung, die über die Nutzungsmetriken oder das Volumen hinausgeht oder nicht mit der Vereinbarung übereinstimmt, an den Partner weiterzuleiten. | |
2.5 Aussetzung des Cloud-Dienstes. | |
Delighted kann die Nutzung des Cloud-Dienstes aussetzen oder einschränken, wenn die fortgesetzte Nutzung dem Cloud-Dienst oder seinen Nutzern erheblichen Schaden zufügen kann. Delighted wird den Kunden unverzüglich über die Aussetzung oder Einschränkung informieren. Delighted wird eine Aussetzung oder Einschränkung zeitlich und im Umfang so begrenzen, wie es unter den gegebenen Umständen möglich ist. | |
2.6 Dienstleistungen von Dritten Web . | |
Über den Cloud-Service kann der Kunde auf Integrationen mit Webservices zugreifen, die von Dritten zur Verfügung gestellt werden und den Bedingungen dieser Dritten unterliegen. Diese Webservices von Drittanbietern sind nicht Teil des Cloud-Dienstes und die Vereinbarung gilt nicht für sie. | |
3. | HOHE VERANTWORTUNG |
3.1 Bereitstellung. | |
Delighted ermöglicht den Zugang zum Cloud-Service wie im Vertrag beschrieben. | |
3.2 Unterstützung. | |
Delighted bietet Unterstützung für den Cloud-Dienst, auf den im EULA-Annahmeformular oder in der Dokumentation verwiesen wird. | |
3.3 Sicherheit. | |
Delighted wird angemessene technische und organisatorische Maßnahmen zum Schutz der von Delighted im Rahmen des Cloud-Dienstes verarbeiteten personenbezogenen Daten, wie in der als Anlage A beigefügten Datenverarbeitungsvereinbarung ("DPA") beschrieben, in Übereinstimmung mit dem geltenden Datenschutzrecht umsetzen und aufrechterhalten. | |
3.4 Änderungen. | |
Vorbehaltlich des nachstehenden Abschnitts 3.4(b) kann der Cloud-Service von Delighted jederzeit geändert werden. Die Änderungen können optionale neue Funktionen für den Cloud-Service umfassen, die der Kunde gemäß der jeweils aktuellen Ergänzung und Dokumentation nutzen kann. | |
3.5 Auswertungen. | |
Delighted or Delighted’s Affiliates may create analyses utilizing, in part, Customer Data and information derived from Customer’s use of the Cloud Service and Professional Services, as set forth below (“Analyses”). Delighted will anonymize and aggregate information included in Analyses. | |
Die in den Kundendaten enthaltenen personenbezogenen Daten werden ausschließlich zur Bereitstellung des Cloud-Service und der Professional Services für den Kunden und seine autorisierten Nutzer verwendet. Analysen können für die folgenden Zwecke verwendet werden: | |
a) Produktverbesserung (insbesondere Produktmerkmale und -funktionen, Arbeitsabläufe und Benutzeroberflächen) und Entwicklung neuer Delighted Produkte und Dienstleistungen, | |
b) Verbesserung der Mittelzuweisung und Unterstützung, | |
c) interne Bedarfsplanung, | |
d) Schulung und Entwicklung von Algorithmen für maschinelles Lernen, | |
e) Verbesserung der Produktleistung, | |
f) Überprüfung der Sicherheit und Integrität der Daten | |
g) identification of industry trends and developments, creation of indices and anonymous benchmarking | |
4. | KUNDEN- UND PERSONENDATEN |
4.1 Kundendaten. | |
Der Kunde ist für die Kundendaten und deren Eingabe in den Cloud-Service verantwortlich. Der Kunde gewährt Delighted (einschließlich der verbundenen Unternehmen und Unterauftragnehmer von Delighted) das nicht ausschließliche Recht, die Kundendaten zu verarbeiten und zu nutzen, um den Cloud-Service bereitzustellen und zu unterstützen und wie in der Vereinbarung festgelegt. | |
4.2 Personenbezogene Daten. | |
Der Kunde wird alle personenbezogenen Daten, die in den Kundendaten enthalten sind, in Übereinstimmung mit den geltenden Datenschutzgesetzen erfassen und pflegen. | |
4.3 Sicherheit. | |
Der Kunde wird angemessene Sicherheitsstandards für die Nutzung des Cloud-Dienstes durch seine autorisierten Nutzer einhalten. Der Kunde wird keine Penetrationstests des Cloud-Dienstes ohne vorherige Genehmigung durch Delighted durchführen oder genehmigen. | |
4.4 Zugang zu Kundendaten. | |
(a) Während der Laufzeit des Abonnements kann der Kunde jederzeit auf seine Kundendaten zugreifen. Der Kunde kann seine Kundendaten in einem Standardformat exportieren und abrufen. Der Export und der Abruf können technischen Beschränkungen unterliegen. In diesem Fall werden Delighted und der Kunde eine angemessene Methode finden, um dem Kunden den Zugriff auf die Kundendaten zu ermöglichen. | |
(b) Vor Ablauf der Abonnementlaufzeit kann der Kunde, sofern verfügbar, die Self-Service-Exporttools von Delightednutzen, um einen endgültigen Export der Kundendaten aus dem Cloud-Service durchzuführen. Wenn die Selbstbedienungs-Exporttools nicht verfügbar sind, kann der Kunde alternativ einen Datenexport über ein Support-Ticket anfordern. | |
(c) Nach Beendigung der Vereinbarung löscht Delighted die auf den Servern, auf denen der Cloud-Service gehostet wird, verbleibenden Kundendaten, es sei denn, das geltende Recht schreibt eine Aufbewahrung vor. Die aufbewahrten Daten unterliegen den Vertraulichkeitsbestimmungen der Vereinbarung. | |
(d) In the event of third party legal proceedings relating to the Customer Data, Delighted will cooperate with Customer and comply with applicable law (both at Customer’s expense) with respect to handling of the Customer Data. | |
5. | PARTNERBEZIEHUNG |
5.1 Nicht-Zahlung durch den Partner | |
Delighted kann nach eigenem Ermessen die Nutzung des betreffenden Cloud-Dienstes durch den Kunden aussetzen und/oder den Vertrag kündigen, wenn der Partner eine Gebühr oder einen anderen von ihm zu zahlenden Betrag nicht zum Fälligkeitsdatum bezahlt. | |
5.2 Beendigung der Partnerbeziehung oder von Aufträgen, die den Kunden betreffen | |
Wenn (i) der Partner alle Aufträge in Bezug auf den Kunden kündigt oder (ii) Delighted einen der Aufträge des Partners in Bezug auf den Kunden aus gutem Grund kündigt oder (iii) die Partnerschaft zwischen Delighted und dem Partner in Bezug auf den Verkauf von Abonnements für die Cloud-Dienste beendet wird, kann Delighted (je nach Wahl des Kunden): | |
(a) dem Kunden den betreffenden Cloud-Dienst gemäß den zu diesem Zeitpunkt gültigen Allgemeinen Geschäftsbedingungen von Delightedfür Delighted Cloud-Dienste gegen eine gemeinsam vereinbarte Abonnementgebühr direkt zur Verfügung zu stellen; oder | |
(b) dem Kunden andere Partner oder Dritte für die Bereitstellung des betreffenden Cloud-Dienstes zu empfehlen. | |
5.3 Unabhängigkeit des Partners | |
Der Partner ist kein Vertreter von Delighted. Er ist ein unabhängiges Unternehmen, das nicht befugt ist, Delighted zu binden oder Erklärungen oder Garantien im Namen von Delightedabzugeben. Delighted haftet nicht dafür, dass er sich bei einer Entscheidung, die Delighted einen Grund zur Aussetzung des Cloud-Dienstes oder zur Beendigung der Vereinbarung geben würde, vernünftigerweise auf die Richtigkeit und Zuverlässigkeit der vom Partner bereitgestellten schriftlichen Informationen verlässt. | |
5.4 Keine Zusicherungen oder Gewährleistungen | |
Delighted makes no representations or warranties as to such authorized distributor or reseller, or any other third party, related to the performance of the products or services of such entities, and fully disclaims any such warranties in accordance with Section 7. | |
6. | LAUFZEIT UND KÜNDIGUNG |
6.1 Begriff. | |
Die anfängliche Laufzeit des Abonnements entspricht den Angaben im EULA-Annahmeformular. | |
6.2 Beendigung. | |
(a) Eine Partei kann das Abkommen kündigen: | |
(1) nach einer 30-tägigen schriftlichen Benachrichtigung über eine wesentliche Verletzung der Vereinbarung durch die andere Partei (einschließlich, aber nicht beschränkt auf das Versäumnis des Kunden, dem Partner fällige Gebühren für den Cloud-Service zu zahlen), es sei denn, die Verletzung wird innerhalb dieser 30-Tage-Frist geheilt, oder | |
(2) unverzüglich, wenn die andere Partei Konkurs anmeldet, zahlungsunfähig wird, eine Abtretung zugunsten der Gläubiger vornimmt oder anderweitig wesentlich gegen die Abschnitte 11 oder 12.6 verstößt. | |
(b) Delighted kann die Vereinbarung kündigen, wenn die entsprechenden Cloud-Dienste, auf die sich diese Vereinbarung bezieht, zwischen Delighted und dem Partner gekündigt wurden. | |
6.3 Wirkung des Erlöschens oder der Beendigung. | |
Zum Zeitpunkt des tatsächlichen Ablaufs oder der Kündigung des Abkommens: | |
(a) Das Recht des Kunden, den Cloud-Service und alle vertraulichen Informationen von Delighted zu nutzen, endet, | |
(b) vertrauliche Informationen der offenlegenden Partei werden entsprechend den Anforderungen der Vereinbarung oder des geltenden Rechts aufbewahrt, zurückgegeben oder vernichtet, und | |
(c) Die Kündigung oder das Auslaufen des Abkommens lässt andere Vereinbarungen zwischen den Parteien unberührt. | |
6.4 Überleben. | |
Sections 1, 5, 6.3, 6.4, 6.5, 8, 9, 10, 11, and 12 will survive the expiration or termination of the Agreement. | |
7. | GARANTIEN |
7.1 Einhaltung von Gesetzen. | |
Der Kunde garantiert, dass er alle Gesetze und Vorschriften, die für ihn in Verbindung mit den Kundendaten und der Nutzung des Cloud-Service durch den Kunden gelten, aktuell und dauerhaft einhält. | |
7.2 Gute Praktiken der Industrie. | |
Delighted gewährleistet, dass er den Cloud-Dienst bereitstellt: | |
(a) der Cloud-Service während der Laufzeit des Abonnements der Cloud-Services im Wesentlichen den in der Dokumentation enthaltenen Spezifikationen entspricht. | |
(b) die Dienstleistung im Wesentlichen den Spezifikationen entspricht, die in der Dokumentation, dem EULA-Akzeptanzformular, der Arbeitsbeschreibung, der Einsatzbeschreibung oder einer anderen Dokumentation enthalten sind, die den Umfang und die Leistungsbeschreibung für die betreffende Dienstleistung enthält, und zwar in allen Fällen, denen Delighted zu dem Zeitpunkt zugestimmt hat, zu dem die betreffende Dienstleistung von Delighted erbracht wird, und die Dienstleistung in fachmännischer und professioneller Weise mit Ressourcen erbracht wird, die über die für die Erbringung solcher Dienstleistungen angemessenen Fähigkeiten verfügen. | |
7.3 Abhilfe. | |
(a) Wenn der Kunde (und/oder der Partner im Namen des Kunden) Delighted schriftlich und ohne unnötige Verzögerung über die Nichteinhaltung der Garantie in Abschnitt 7.2 durch den Cloud-Service oder den Service informiert und Delighted das Vorhandensein dieser Nichteinhaltung bestätigt, wird Delighted nach eigenem Ermessen handeln: | |
(1) in Bezug auf die Cloud-Dienste: | |
(A) den mangelhaften Cloud-Dienst zu korrigieren, oder | |
(B) wenn Delighted den mangelhaften Cloud-Service nicht nach angemessenen kommerziellen Bemühungen korrigiert, den Zugang zu dem nicht konformen Cloud-Service zu beenden. | |
(2) in Bezug auf die Dienstleistungen die mangelhafte Dienstleistung zu korrigieren. | |
(b) Dies gilt nicht für geringfügige oder unwesentliche Mängel und ist das einzige und ausschließliche Rechtsmittel des Kunden im Rahmen der Garantie in Abschnitt 7.2. Die schriftliche Mitteilung eines Mangels durch den Kunden (und/oder den Partner im Namen des Kunden) muss genügend Details enthalten, damit Delighted den angeblichen Mangel analysieren kann. Der Kunde muss Delighted in wirtschaftlich angemessener Weise bei der Analyse und Behebung von Mängeln des Cloud-Dienstes und des Services unterstützen. | |
(c) Aus Gründen der Klarheit wird Delighted , | |
(1) in Bezug auf die Cloud-Dienste: in allen Fällen; und | |
(2) in Bezug auf die Dienste: wenn Delighted den Mangel des Dienstes nicht nach angemessenen kommerziellen Bemühungen behebt, sich mit dem Partner beraten, um einen angemessenen Betrag festzulegen, (a) um den der Partner die Abonnementgebühren oder die Gebühren für den mangelhaften Dienst reduzieren kann, falls der Partner diese noch nicht gezahlt hat, oder (b) falls der Partner die Abonnementgebühren oder die Gebühren für den mangelhaften Dienst bereits gezahlt hat, den Delighted dem Partner zurückerstatten wird, um den Mangel zu berücksichtigen. |
|
(d) Delighted kann seine Gewährleistungsverpflichtungen gegenüber dem Partner oder dem Kunden erfüllen. Soweit Delighted seine Gewährleistungsverpflichtungen gegenüber dem Partner erfüllt, hat der Kunde keine Ansprüche gegen Delighted wegen einer Verletzung der Gewährleistung in Abschnitt 7.2. | |
7.4 Gewährleistungsausschlüsse. | |
Die Garantien in Abschnitt 7.2 gelten nicht, wenn: | |
(a) der Cloud-Dienst nicht in Übereinstimmung mit dem Vertrag oder der Dokumentation genutzt wird, | |
(b) eine Nichtkonformität durch den Partner oder den Kunden oder durch ein Produkt oder eine Dienstleistung, die nicht von Delighted bereitgestellt wurde, verursacht wird, oder | |
(c) der Cloud-Dienst wurde unentgeltlich bereitgestellt. | |
7.5 Haftungsausschluss. | |
Except as expressly provided in the Agreement, neither Delighted nor its subcontractors make any representation or warranties, express or implied, statutory or otherwise, regarding any matter, including the merchantability, suitability, originality, or fitness for a particular use or purpose, non-infringement or results to be derived from the use of or integration with any products or services provided under the Agreement, or that the operation of any products or services will be secure, uninterrupted or error free. Customer agrees that it is not relying on delivery of future functionality, public comments or advertising of Delighted or product roadmaps in obtaining subscriptions for any Cloud Service. | |
8. | ANSPRÜCHE VON DRITTEN |
8.1 Gegen den Kunden erhobene Ansprüche. | |
(a) Delighted verteidigt und entschädigt (wie im nächsten Satz dargelegt) den Kunden gegen Ansprüche, die gegen den Kunden und seine verbundenen Unternehmen von Dritten erhoben werden, die behaupten, dass die Nutzung des Cloud-Dienstes durch den Kunden oder seine verbundenen Unternehmen einen Patentanspruch, ein Urheberrecht oder ein Geschäftsgeheimnis verletzt oder missbraucht. Delighted entschädigt den Kunden für alle Schadensersatzansprüche, die dem Kunden im Zusammenhang mit diesen Ansprüchen endgültig zugesprochen werden (oder für den Betrag eines Vergleichs, den Delighted schließt). | |
(b) Die Verpflichtungen von Delightedgemäß Abschnitt 8.1 gelten nicht, wenn der Anspruch aus (i) einer gemäß der Vereinbarung nicht zulässigen Nutzung des Cloud-Dienstes, (ii) einer Nutzung des Cloud-Dienstes in Verbindung mit einem nicht von Delighted bereitgestellten Produkt oder Dienst oder (iii) einer unentgeltlichen Nutzung des Cloud-Dienstes resultiert. | |
(c) Wenn ein Dritter einen Anspruch erhebt oder nach angemessener Einschätzung von Delightedwahrscheinlich einen solchen Anspruch erheben wird, kann Delighted nach eigenem Ermessen und auf eigene Kosten (i) dem Kunden das Recht verschaffen, den Cloud-Dienst weiterhin gemäß den Vertragsbedingungen zu nutzen, oder (ii) den Cloud-Dienst ersetzen oder modifizieren, so dass er keine Verletzung darstellt, ohne die Funktionalität wesentlich zu verringern. Wenn diese Optionen nicht in angemessener Weise verfügbar sind, kann Delighted das Abonnement des Kunden für den betroffenen Cloud-Dienst durch schriftliche Mitteilung kündigen. | |
8.2 Gegen Delighted erhobene Ansprüche . | |
Der Kunde verpflichtet sich, Delighted gegen Ansprüche zu verteidigen und schadlos zu halten (wie im nächsten Satz dargelegt), die von Dritten im Zusammenhang mit den Kundendaten gegen Delighted und seine verbundenen Unternehmen und Unterauftragnehmer erhoben werden. | |
Der Kunde wird Delighted für alle Schäden entschädigen, die Delighted und seinen verbundenen Unternehmen und Subunternehmern im Zusammenhang mit diesen Ansprüchen endgültig zugesprochen werden (oder für den Betrag, den der Kunde in einem Vergleich festlegt). | |
8.3 Verfahren für Ansprüche Dritter. | |
Alle Ansprüche Dritter gemäß Abschnitt 8 sind wie folgt zu behandeln: | |
(a) Die Partei, gegen die ein Anspruch von dritter Seite erhoben wird (die "freigestellte Partei"), wird die andere Partei (die "freistellende Partei") rechtzeitig schriftlich über jeden Anspruch informieren. Die freigestellte Partei wird in angemessener Weise bei der Verteidigung kooperieren und kann (auf eigene Kosten) durch einen Anwalt auftreten, der für die freistellende Partei vorbehaltlich Abschnitt 8.3(b) akzeptabel ist. | |
(b) Die entschädigende Partei hat das Recht, die Verteidigung vollständig zu kontrollieren. | |
(c) Die Beilegung eines Anspruchs beinhaltet keine finanzielle oder spezifische Leistungsverpflichtung oder ein Haftungsanerkenntnis seitens der entschädigten Partei. | |
(d) Die Verpflichtungen der entschädigenden Partei gelten nicht, wenn die entschädigte Partei durch das Versäumnis, die entschädigende Partei rechtzeitig schriftlich über einen solchen Anspruch zu informieren, benachteiligt wird. | |
8.4 Ausschließlicher Rechtsbehelf. | |
The provisions of Section 8 state the sole, exclusive, and entire liability of the parties and their Affiliates, Business Partners and subcontractors to the other party, and is the other party’s sole remedy, with respect to covered third party claims and to the infringement or misappropriation of third party intellectual property rights. | |
9. | HAFTUNGSBESCHRÄNKUNG |
9.1 Unbeschränkte Haftung. | |
Keine der beiden Parteien haftet für Schäden, die sich daraus ergeben: | |
(a) die Verpflichtungen der Parteien gemäß Abschnitt 8.1(a) und 8.2, | |
(b) Tod oder Körperverletzung, die auf grobe Fahrlässigkeit oder vorsätzliches Fehlverhalten einer der Parteien zurückzuführen sind, oder | |
(c) die unbefugte Nutzung eines Cloud-Dienstes durch den Kunden oder das Versäumnis des Kunden, die im Rahmen des Vertrags fälligen Gebühren zu zahlen. | |
9.2 Haftungsobergrenze. | |
Mit Ausnahme der Bestimmungen in Abschnitt 9.1 übersteigt die maximale Gesamthaftung einer der Parteien (oder ihrer jeweiligen verbundenen Unternehmen oder der Unterauftragnehmer von Delighted) gegenüber der anderen Partei oder einer anderen natürlichen oder juristischen Person für alle Ereignisse (oder eine Reihe von zusammenhängenden Ereignissen), die in einem beliebigen 12-Monats-Zeitraum auftreten, nicht die jährlichen Gebühren, die der Kunde an den Partner für den jeweiligen Cloud-Service oder Professional Service in Verbindung mit den Schäden für diesen 12-Monats-Zeitraum gezahlt hat. Jeder "12-Monats-Zeitraum" beginnt mit dem Startdatum der Abonnementlaufzeit oder einem ihrer jährlichen Jahrestage. | |
9.3 Ausschluss von Schadenersatz. | |
In keinem Fall wird: | |
(a) eine der Parteien (oder ihre jeweiligen verbundenen Unternehmen oder die Subunternehmer von Delighted) gegenüber der anderen Partei für besondere, zufällige, indirekte oder Folgeschäden, den Verlust von Firmenwert oder Geschäftsgewinnen, Arbeitsunterbrechungen oder für exemplarischen oder strafenden Schadenersatz haftet; oder | |
(b) Delighted be liable for any damages caused by any Cloud Service provided for no fee. | |
10. | RECHTE AN GEISTIGEM EIGENTUM |
10.1 Delighted Eigentumsverhältnisse. | |
Mit Ausnahme der Rechte, die dem Kunden im Rahmen des Vertrags ausdrücklich eingeräumt werden, sind Delighted, die verbundenen Unternehmen oder Lizenzgeber von DelightedEigentümer aller geistigen Eigentumsrechte an und im Zusammenhang mit dem Cloud-Service, den Cloud-Materialien, der Dokumentation, den Professional Services, den Designbeiträgen, dem damit verbundenen Wissen oder den Prozessen sowie allen davon abgeleiteten Werken. | |
10.2 Kundeneigentum. | |
Der Kunde behält alle Rechte an und in Bezug auf die Kundendaten. Delighted darf vom Kunden bereitgestellte Marken ausschließlich zur Bereitstellung und Unterstützung des Cloud-Service verwenden. | |
11. | VERTRAULICHKEIT |
11.1 Verwendung von vertraulichen Informationen. | |
(a) Die empfangende Partei muss: | |
(1) alle vertraulichen Informationen der offenlegenden Partei streng vertraulich zu behandeln und Maßnahmen zum Schutz der vertraulichen Informationen der offenlegenden Partei zu ergreifen, die im Wesentlichen den Maßnahmen entsprechen, die die empfangende Partei zum Schutz ihrer eigenen vertraulichen Informationen ergreift, und die nicht unter einem angemessenen Sorgfaltsmaßstab liegen dürfen; | |
(2) keine vertraulichen Informationen der offenlegenden Partei an andere Personen als ihre Vertreter weiterzugeben, deren Zugang erforderlich ist, um ihr die Ausübung ihrer Rechte oder die Erfüllung ihrer Pflichten im Rahmen der Vereinbarung zu ermöglichen, und die im Wesentlichen ähnlichen Vertraulichkeitsverpflichtungen wie in Abschnitt 11 unterliegen; | |
(3) keine vertraulichen Informationen der offenlegenden Partei für einen Zweck außerhalb des Geltungsbereichs der Vereinbarung zu verwenden oder zu vervielfältigen und | |
(4) alle vertraulichen, internen oder urheberrechtlich geschützten Hinweise oder Legenden, die auf dem Original und den Reproduktionen erscheinen, beizubehalten. | |
(b) Vertrauliche Informationen einer der beiden Parteien, die vor der Unterzeichnung der Vereinbarung offengelegt wurden, unterliegen Abschnitt 11. | |
(c) Die empfangende Partei kann die vertraulichen Informationen der offenlegenden Partei offenlegen, soweit dies durch Gesetze, Verordnungen, Gerichtsbeschlüsse oder Aufsichtsbehörden vorgeschrieben ist, unter der Bedingung, dass die empfangende Partei, die zu einer solchen Offenlegung verpflichtet ist, angemessene Anstrengungen unternimmt, um die offenlegende Partei in angemessener Weise vorab über die geforderte Offenlegung zu informieren (soweit dies rechtlich zulässig ist), und auf Antrag und Kosten der offenlegenden Partei angemessene Unterstützung bei der Anfechtung der geforderten Offenlegung leistet. Die empfangende Partei und ihre Vertreter bemühen sich in wirtschaftlich angemessener Weise, nur den Teil der vertraulichen Informationen offenzulegen, dessen Offenlegung gesetzlich vorgeschrieben ist, und verlangen, dass alle auf diese Weise offengelegten vertraulichen Informationen vertraulich behandelt werden. | |
11.2 Ausnahmen. | |
Die Beschränkungen hinsichtlich der Nutzung oder Offenlegung vertraulicher Informationen gelten nicht für vertrauliche Informationen, die: | |
(a) von der empfangenden Partei unabhängig und ohne Bezugnahme auf die vertraulichen Informationen der offenlegenden Partei entwickelt wird, | |
(b) ohne Zutun oder Unterlassen der empfangenden Partei allgemein bekannt oder der Öffentlichkeit zugänglich geworden ist, | |
(c) der empfangenden Partei zum Zeitpunkt der Offenlegung frei von Vertraulichkeitsbeschränkungen bekannt war, | |
(d) von der empfangenden Partei rechtmäßig und uneingeschränkt von einem Dritten erworben werden, der das Recht hat, diese vertraulichen Informationen zur Verfügung zu stellen, oder | |
(e) die offenlegende Partei schriftlich zustimmt, dass keine Vertraulichkeitsbeschränkungen bestehen. | |
11.3 Vernichtung von vertraulichen Informationen: | |
Auf Verlangen der offenlegenden Partei hat die empfangende Partei die vertraulichen Informationen der offenlegenden Partei, einschließlich Kopien und Reproduktionen davon, unverzüglich zu vernichten oder zurückzugeben. Die Verpflichtung zur Vernichtung oder Rückgabe vertraulicher Informationen gilt nicht: | |
(a) wenn ein Gerichtsverfahren im Zusammenhang mit den vertraulichen Informationen deren Rückgabe oder Vernichtung verbietet, bis das Verfahren abgeschlossen ist oder ein rechtskräftiges Urteil ergangen ist; | |
(b) auf vertrauliche Informationen, die in Archiv- oder Sicherungssystemen im Rahmen allgemeiner Systemarchivierungs- oder Sicherungsrichtlinien aufbewahrt werden; oder | |
(c) auf vertrauliche Informationen, zu deren Aufbewahrung die empfangende Partei gesetzlich verpflichtet ist. | |
12. | VERSCHIEDENES |
12.1 Trennbarkeit. | |
Sollte eine Bestimmung des Vertrages ganz oder teilweise ungültig oder nicht durchsetzbar sein, so bleibt die Ungültigkeit oder Nichtdurchsetzbarkeit der übrigen Bestimmungen des Vertrages unberührt. | |
12.2 Kein Verzicht. | |
Ein Verzicht auf eine Vertragsverletzung gilt nicht als Verzicht auf eine andere Vertragsverletzung. | |
12.3 Gegenstücke. | |
Das Abkommen kann in mehreren Exemplaren unterzeichnet werden, von denen jedes ein Original ist und die zusammen ein Abkommen bilden. Vereinbarung. Elektronische Unterschriften, die dem geltenden Recht entsprechen, gelten als Originalunterschriften. |
|
12.4 Einhaltung der Handelsbestimmungen. | |
(a) Delighted und der Kunde sind verpflichtet, bei der Durchführung dieser Vereinbarung die Exportgesetze einzuhalten. DelightedDie vertraulichen Informationen des Kunden unterliegen den Exportgesetzen. Der Kunde darf vertrauliche Informationen weder direkt noch indirekt unter Verletzung von Exportgesetzen exportieren, reexportieren, freigeben oder übertragen. Der Kunde ist allein für die Einhaltung der Exportgesetze in Bezug auf die Kundendaten verantwortlich, einschließlich der Einholung aller erforderlichen Exportgenehmigungen für die Kundendaten. Der Kunde darf den Cloud-Service nicht von Kuba, Iran, der Volksrepublik Korea (Nordkorea), Syrien, der Volksrepublik Donezk (DNR), der Volksrepublik Luhansk (LNR) oder den Regionen Krim/Sewastopol aus nutzen. | |
(b) Auf Anfrage von Delightedmuss der Kunde Informationen und Dokumente zur Verfügung stellen, um eine Exportgenehmigung zu erhalten. Nach schriftlicher Mitteilung an den Kunden kann Delighted das Abonnement des Kunden für den betroffenen Cloud-Dienst sofort kündigen, wenn: | |
(1) die zuständige Behörde eine solche Ausfuhrgenehmigung nicht innerhalb von 18 Monaten erteilt oder | |
(2) Exportgesetze verbieten es Delighted , den Cloud-Service oder die Professional Services für den Kunden bereitzustellen. | |
12.5 Bekanntmachungen. | |
Alle Mitteilungen müssen schriftlich erfolgen und an folgende Adresse geschickt werden: (a) im Falle von Delighted an notice@qualtrics.com mit einer physischen Kopie an Qualtrics, Attn: Legal, 333 W River Park Dr., Provo, UT 84604, USA, oder (b) im Falle des Kunden an die in einem EULA-Annahmeformular angegebene E-Mail- oder physische Adresse. Mitteilungen von Delighted an den Kunden können in Form einer elektronischen Mitteilung an den bevollmächtigten Vertreter oder Administrator des Kunden erfolgen. Delighted kann Systembenachrichtigungen und Informationen in Bezug auf den Betrieb, das Hosting oder den Support des Cloud-Dienstes innerhalb des Cloud-Dienstes bereitstellen oder solche Benachrichtigungen über das Support-Portal Delighted verfügbar machen. Der Kunde muss die Kontaktinformationen für Benachrichtigungen innerhalb des Cloud-Dienstes auf dem neuesten Stand halten. | |
12.6 Zuweisung. | |
Ohne die vorherige schriftliche Zustimmung von Delightedist der Kunde nicht berechtigt, den Vertrag (oder seine Rechte und Pflichten) an eine andere Partei abzutreten, zu delegieren oder zu übertragen. Delighted kann den Vertrag an die verbundenen Unternehmen von Delightedabtreten. | |
12.7 Vergabe von Unteraufträgen. | |
Delighted kann Teile des Cloud-Service oder der Professional Services an Dritte weitervergeben. Delighted ist für Vertragsverletzungen verantwortlich, die von seinen Subunternehmern verursacht werden. | |
12.8 Verhältnis der Vertragsparteien zueinander. | |
Die Parteien sind unabhängige Vertragspartner, und durch die Vereinbarung wird kein Partnerschafts-, Franchise-, Joint-Venture-, Agentur-, Treuhand- oder Arbeitsverhältnis zwischen den Parteien begründet. | |
12.9 Höhere Gewalt. | |
Eine Verzögerung der Leistung (mit Ausnahme der Zahlung fälliger Beträge), die durch Umstände verursacht wird, auf die die ausführende Partei keinen Einfluss hat, stellt keine Vertragsverletzung dar. Die Erfüllungsfrist wird um den Zeitraum verlängert, der der Dauer des Leistungshindernisses entspricht. | |
12.10 Geltendes Recht. | |
Die Vereinbarung und alle Ansprüche, die sich aus oder in Verbindung mit dieser Vereinbarung und ihrem Gegenstand ergeben, unterliegen den Gesetzen des Staates Utah und werden nach diesen ausgelegt, ohne Bezugnahme auf die Grundsätze des Kollisionsrechts. Die Parteien unterwerfen sich der ausschließlichen Gerichtsbarkeit der Gerichte in Salt Lake City, Utah. Die Parteien verzichten auf jegliche Einwände gegen die in dieser Bestimmung genannten Gerichtsstände oder Gerichtsbarkeiten. Zwingender, einziger und ausschließlicher Gerichtsstand, Ort oder Forum für alle Streitigkeiten, die sich aus der Vereinbarung ergeben (einschließlich aller Streitigkeiten über das Bestehen, die Gültigkeit oder die Beendigung der Vereinbarung), ist Salt Lake City, Utah. Jede Partei verzichtet auf ihr Recht auf ein Schwurgerichtsverfahren für alle Ansprüche oder Klagegründe, die sich aus oder im Zusammenhang mit der Vereinbarung ergeben. Jede Partei verzichtet auf ihr Recht auf ein Schwurgerichtsverfahren für alle Ansprüche oder Klagegründe im Zusammenhang mit dem Vertrag. Das Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf und der Uniform Computer Information Transactions Act (sofern in Kraft getreten) sind auf den Vertrag nicht anwendbar. Jede Partei muss innerhalb eines Jahres ab dem Datum, an dem sie von den Tatsachen, die den Anspruch begründen, wusste oder nach angemessener Untersuchung hätte wissen müssen, einen Klagegrund für einen oder mehrere Ansprüche im Zusammenhang mit dem Vertrag und seinem Gegenstand vorbringen. | |
12.11 Gesamte Vereinbarung. | |
Die Vereinbarung stellt die vollständige und ausschließliche Erklärung der Vereinbarung zwischen Delighted und dem Kunden in Verbindung mit der Geschäftsbeziehung der Parteien in Bezug auf den Gegenstand der Vereinbarung dar. Alle früheren Zusicherungen, Diskussionen und Schriftstücke (einschließlich etwaiger Vertraulichkeitsvereinbarungen) sind in der Vereinbarung enthalten und werden durch diese ersetzt, und die Parteien lehnen jegliches Vertrauen darauf ab. Die Vereinbarung kann nur in schriftlicher Form und mit Unterschrift beider Parteien geändert werden, es sei denn, dies ist im Rahmen der Vereinbarung zulässig. Die Bedingungen einer vom Kunden erteilten Bestellung, die auch dann keine Gültigkeit haben, wenn Delighted die Bestellung annimmt oder nicht anderweitig ablehnt. | |
12.12 Feedback. | |
Der Kunde kann nach eigenem Ermessen Delighted mit Feedback zur Verfügung stellen. In diesem Fall können die mit Delighted verbundenen Unternehmen diese Feedback ohne Einschränkung, Entschädigung oder Nennung der Quelle der Feedback behalten und frei verwenden. | |
12.13 Datenverarbeitungsvertrag. | |
The DPA will govern the processing of any personal data in the Cloud Service. | |
Glossar | |
1.1 | "Verbundenes Unternehmen" ist jede juristische Person, an der der Kunde oder die Muttergesellschaft von Delighteddirekt oder indirekt mehr als 50 % der Anteile oder Stimmrechte hält. Jede juristische Person wird als verbundenes Unternehmen betrachtet, solange diese Beteiligung aufrechterhalten wird. |
1.2 | "Vertrag" bezeichnet ein EULA-Annahmeformular und die in ein EULA-Annahmeformular aufgenommenen Dokumente, einschließlich dieser AGB. |
1.3 | "Autorisierter Benutzer" bezeichnet jede Person, der der Kunde die Zugangsberechtigung zur Nutzung des Cloud-Dienstes erteilt und die ein Angestellter, Agent, Auftragnehmer oder Vertreter von |
(a) Kunde, | |
(b) Verbundene Unternehmen des Kunden, oder | |
(c) Geschäftspartner des Kunden und der verbundenen Unternehmen des Kunden. | |
1.4 | "Geschäftspartner" bezeichnet eine juristische Person, die die Nutzung eines Cloud-Dienstes in Verbindung mit den internen Geschäftsabläufen des Kunden und seiner verbundenen Unternehmen benötigt. Dazu können Berater, Vertriebshändler, Dienstleister oder Lieferanten des Kunden und seiner verbundenen Unternehmen gehören. |
1.5 | "Cloud-Service" bezeichnet jede eigenständige, abonnementbasierte, gehostete, unterstützte und betriebene On-Demand-Lösung, die von Delighted im Namen des Partners dem Kunden im Rahmen eines EULA-Annahmeformulars zur Verfügung gestellt wird. |
1.6 | "Cloud-Materialien" sind alle Materialien, die von Delighted (unabhängig oder in Zusammenarbeit mit dem Partner und/oder dem Kunden) im Rahmen der Vertragserfüllung bereitgestellt oder entwickelt werden, einschließlich Analysen und Materialien, die im Rahmen der Bereitstellung von Support- oder Professional Services für den Kunden bereitgestellt oder entwickelt werden. Zu den Cloud-Materialien gehören nicht die Kundendaten, die vertraulichen Informationen des Kunden oder der Cloud-Service. |
1.7 | "Vertrauliche Informationen" sind alle Informationen, die die offenlegende Partei gegen eine uneingeschränkte Offenlegung gegenüber Dritten schützt und die (a) von der offenlegenden Partei oder ihren Vertretern zum Zeitpunkt der Offenlegung als vertraulich, intern oder geschützt bezeichnet werden oder (b) angesichts der Art der Informationen und der Umstände ihrer Offenlegung zum Zeitpunkt der Offenlegung vernünftigerweise als vertraulich angesehen werden sollten. |
1.8 | "Kundendaten" sind alle Inhalte, Materialien, Daten und Informationen, die autorisierte Nutzer in das Produktionssystem eines Cloud-Dienstes eingeben oder die der Kunde aus seiner Nutzung des Cloud-Dienstes ableitet und dort speichert (z. B. kundenspezifische Berichte). Zu den Kundendaten und ihren Derivaten gehören nicht die vertraulichen Informationen von Delighted. |
1.9 | "Dokumentation" bezeichnet die zum jeweiligen Zeitpunkt aktuelle technische und funktionale Dokumentation von Delighted, einschließlich der Beschreibungen von Rollen und Verantwortlichkeiten in Bezug auf die Cloud-Dienste, die Delighted dem Kunden im Rahmen des Vertrags zur Verfügung stellt. |
1.10 | "EULA-Annahmeformular" bezeichnet das zwischen Delighted und dem Kunden ausgefüllte EULA-Annahmeformular, das auf diese AGB verweist. |
1.11 | "Exportgesetze" bedeutet alle anwendbaren Import-, Exportkontroll- und Sanktionsgesetze, einschließlich der Gesetze der Vereinigten Staaten. |
1.12 | "Feedback" bedeutet Input, Kommentare oder Vorschläge bezüglich der geschäftlichen und technologischen Ausrichtung von Delightedund der möglichen Erstellung, Änderung, Korrektur, Verbesserung oder Erweiterung des Cloud-Service oder der Cloud-Materialien. |
1.13 | "Partner" bezeichnet das Unternehmen, das im EULA-Annahmeformular als Partner angegeben ist. |
1.14 | "Professionelle Dienstleistungen" sind Implementierungs-, Beratungs- oder andere verwandte Dienstleistungen, die im Rahmen eines EULA-Annahmeformulars erbracht werden. |
1.15 | "Delighted Muttergesellschaft" bedeutet SAP SE, Mehrheitsaktionär von Delighted. |
1.16 | "Vertreter" bezeichnet die verbundenen Unternehmen, Mitarbeiter, Auftragnehmer, Unterauftragnehmer, Rechtsvertreter, Wirtschaftsprüfer oder andere professionelle Berater einer Partei. |
1.17 | "Abonnementlaufzeit" bezeichnet die Laufzeit eines Cloud-Service-Abonnements, dessen anfängliche Laufzeit in dem jeweiligen EULA-Annahmeformular angegeben ist, einschließlich aller Verlängerungen. |
1.18 | "Zusatz" bezeichnet gegebenenfalls die ergänzenden Bedingungen, die für den Cloud-Dienst gelten und in ein EULA-Annahmeformular aufgenommen werden. |
1.19 | “Usage Metric” means the standard of measurement for determining the permitted use for a Cloud Service as set forth in a EULA Acceptance Form. |
Beilage A | |
Vereinbarung zur Datenverarbeitung | |
VEREINBARUNG ÜBER DIE VERARBEITUNG PERSONENBEZOGENER DATEN FÜR DELIGHTED CLOUD SERVICES | |
Dieses Addendum zur Datenverarbeitung ("DPA") wird abgeschlossen | |
ZWISCHEN | |
(1) Kunde; und | |
(2) Delighted. | |
1. | DEFINITIONEN |
1.1. | "Verantwortlicher" ist die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet; für die Zwecke dieser DSGVO gilt der Kunde, wenn er als Auftragsverarbeiter für einen anderen Verantwortlichen handelt, gegenüber Delighted als zusätzlicher und unabhängiger Verantwortlicher mit den entsprechenden Rechten und Pflichten des Verantwortlichen gemäß dieser DSGVO. |
1.2. | "Datenschutzgesetz" bezeichnet die geltenden Rechtsvorschriften zum Schutz der Grundrechte und -freiheiten natürlicher Personen und ihres Rechts auf Privatsphäre im Hinblick auf die Verarbeitung personenbezogener Daten im Rahmen des Abkommens. |
1.3. | "Betroffene Person" bedeutet eine identifizierte oder identifizierbare natürliche Person im Sinne des Datenschutzgesetzes. |
1.4. | "EWR" bezeichnet den Europäischen Wirtschaftsraum, d. h. die Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen. |
1.5. | "EU-Standardvertragsklauseln" bedeutet die von der Europäischen Kommission veröffentlichten Standardvertragsklauseln, Referenz 2021/914 oder jede spätere endgültige Version davon, wie von Delighted angenommen. Um Zweifel zu vermeiden, gelten die Module 2 und 3 wie in Abschnitt 8.3 dargelegt. |
1.6. | "GDPR" bezeichnet die Allgemeine Datenschutzverordnung 2016/679. |
1.7. | "Neue SCC-relevante Übermittlung" bedeutet eine Übermittlung (oder eine Weiterübermittlung) personenbezogener Daten in ein Drittland, die entweder der DSGVO oder dem anwendbaren Datenschutzrecht unterliegt und bei der alle nach der DSGVO oder dem anwendbaren Datenschutzrecht erforderlichen Angemessenheitsanforderungen durch den Abschluss der EU-Standardvertragsklauseln erfüllt werden können. |
1.8. | "Personenbezogene Daten" sind alle Informationen über eine betroffene Person, die durch das Datenschutzgesetz geschützt sind. Für die Zwecke der DSGVO umfasst dies nur personenbezogene Daten, die: |
a) vom Kunden oder seinen autorisierten Nutzern in die Nutzung des Cloud-Dienstes eingegeben oder daraus abgeleitet werden; oder | |
b) die Delighted oder seinen Unterauftragsverarbeitern zur Verfügung gestellt werden oder auf die diese zugreifen, um Unterstützung im Rahmen des Vertrags zu leisten. Persönliche Daten sind eine Untergruppe von Kundendaten (wie in der Vereinbarung definiert). | |
1.9. | "Verletzung des Schutzes personenbezogener Daten" bedeutet eine bestätigte: |
a) die versehentliche oder unrechtmäßige Zerstörung, der Verlust, die Veränderung, die unbefugte Weitergabe oder der unbefugte Zugriff Dritter auf personenbezogene Daten; oder | |
b) ein ähnlicher Vorfall, der personenbezogene Daten betrifft und bei dem der für die Verarbeitung Verantwortliche nach dem Datenschutzgesetz verpflichtet ist, die zuständigen Datenschutzbehörden oder die betroffenen Personen zu benachrichtigen. | |
1.10. | "Auftragsverarbeiter" ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, sei es unmittelbar als Auftragsverarbeiter eines für die Verarbeitung Verantwortlichen oder mittelbar als Unterauftragsverarbeiter eines Auftragsverarbeiters, der personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. |
1.11. | "SAP" bedeutet SAP SE, Delighted Muttergesellschaft. |
1.12. | "Schema" bezeichnet den nummerierten Anhang zu den EU-Standardvertragsklauseln. |
1.13. | "Unterauftragsverarbeiter" oder "Unterauftragsverarbeiter" bedeutet Delighted Verbundene Unternehmen, SAP, SAP-Verbundene Unternehmen und Dritte, die von Delighted, Delightedin Verbindung mit dem Cloud-Service beauftragt wurden und die personenbezogene Daten in Übereinstimmung mit dieser DSGVO verarbeiten. |
1.14. | "Technische und organisatorische Maßnahmen" sind die in Anlage 2 aufgeführten technischen und organisatorischen Maßnahmen für den jeweiligen Cloud-Service. |
1.15. | "Drittland" bedeutet jedes Land, jede Organisation oder jedes Gebiet, das von der Europäischen Union nicht gemäß Artikel 45 der DSGVO als sicheres Land mit einem angemessenen Datenschutzniveau anerkannt ist. |
2. | HINTERGRUND |
2.1. | Zweck und Anwendung |
2.1.1. | Dieses Dokument ("DPA") ist Bestandteil der Vereinbarung und ist Teil eines schriftlichen (auch in elektronischer Form) Vertrags zwischen Delighted und dem Kunden. |
2.1.2. | Diese Datenschutzbestimmungen gelten für personenbezogene Daten, die von Delighted und seinen Unterauftragsverarbeitern in Verbindung mit der Bereitstellung des Cloud-Dienstes verarbeitet werden. |
2.1.3. | Diese DPA gilt nicht für Nicht-Produktionsumgebungen des Cloud-Dienstes, wenn solche Umgebungen von Delighted zur Verfügung gestellt werden. Der Kunde darf keine personenbezogenen Daten in solchen Umgebungen speichern. |
2.2. | Struktur |
Die Anhänge 1, 2 und 3 sind in diese DSGVO aufgenommen und bilden einen Teil davon. Darin werden der vereinbarte Gegenstand, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien der betroffenen Personen (Anhang 1), die anwendbaren technischen und organisatorischen Maßnahmen (Anhang 2) und gegebenenfalls der britische Zusatz zu den EU-Standardvertragsklauseln (Anhang 3) aufgeführt. | |
2.3. | Governance |
2.3.1. | Delighted agiert als Auftragsverarbeiter und der Kunde und die Einrichtungen, denen er die Nutzung des Cloud-Dienstes gestattet, agieren als für die Verarbeitung Verantwortliche im Sinne der DSGVO. |
2.3.2. | Der Kunde fungiert als einziger Ansprechpartner und holt alle relevanten Genehmigungen, Zustimmungen und Erlaubnisse für die Verarbeitung personenbezogener Daten in Übereinstimmung mit dieser DSGVO ein, gegebenenfalls auch die Zustimmung der für die Verarbeitung Verantwortlichen zur Nutzung von Delighted als Auftragsverarbeiter. Wenn der Kunde Genehmigungen, Zustimmungen, Anweisungen oder Erlaubnisse erteilt, erfolgt dies nicht nur im Namen des Kunden, sondern auch im Namen aller anderen Verantwortlichen, die den Cloud-Service nutzen. Wenn Delighted den Kunden informiert oder benachrichtigt, gilt diese Information oder Benachrichtigung als bei denjenigen Verantwortlichen eingegangen, denen der Kunde die Nutzung des Cloud-Dienstes gestattet hat. Der Kunde leitet solche Informationen und Mitteilungen an die entsprechenden Kontrollstellen weiter. |
3. | SICHERHEIT DER VERARBEITUNG |
3.1. | Anwendbarkeit der technischen und organisatorischen Maßnahmen |
Delighted die technischen und organisatorischen Maßnahmen umgesetzt hat und anwenden wird. Der Kunde hat diese Maßnahmen überprüft und erklärt sich damit einverstanden, dass die Maßnahmen in Bezug auf den vom Kunden im EULA-Annahmeformular ausgewählten Cloud-Service unter Berücksichtigung des Stands der Technik, der Kosten für die Umsetzung, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung personenbezogener Daten angemessen sind. | |
3.2. | Änderungen |
3.2.1. | Delighted wendet die technischen und organisatorischen Maßnahmen auf den gesamten Kundenstamm von Delightedan, der in demselben Rechenzentrum gehostet wird oder denselben Cloud-Dienst in Anspruch nimmt. Delighted kann die technischen und organisatorischen Maßnahmen jederzeit ohne Vorankündigung ändern, solange sie ein vergleichbares oder besseres Sicherheitsniveau aufrechterhält. Einzelne Maßnahmen können durch neue Maßnahmen ersetzt werden, die demselben Zweck dienen, ohne das Sicherheitsniveau zum Schutz personenbezogener Daten zu mindern. |
3.2.2. | Delighted wird aktualisierte Versionen der technischen und organisatorischen Maßnahmen unter https://app.delighted.com/terms veröffentlichen. |
4. | ERFREULICHE VERPFLICHTUNGEN |
4.1. | Anweisungen des Kunden |
Delighted wird personenbezogene Daten nur in Übereinstimmung mit dokumentierten Anweisungen des Kunden verarbeiten. Der Vertrag (einschließlich dieser DPA) stellt eine solche dokumentierte Erstanweisung dar, und jede Nutzung des Cloud-Dienstes stellt dann eine weitere Anweisung dar. Delighted wird sich in angemessener Weise bemühen, alle anderen Anweisungen des Kunden zu befolgen, sofern sie datenschutzrechtlich erforderlich und technisch machbar sind und keine Änderungen am Cloud-Dienst erfordern. Wenn eine der vorgenannten Ausnahmen zutrifft oder Delighted einer Anweisung nicht nachkommen kann oder der Ansicht ist, dass eine Anweisung gegen das Datenschutzrecht verstößt, wird Delighted den Kunden unverzüglich (per E-Mail) informieren. | |
4.2. | Verarbeitung auf gesetzlicher Grundlage |
Delighted kann personenbezogene Daten auch verarbeiten, wenn dies nach geltendem Recht erforderlich ist. In einem solchen Fall informiert Delighted den Kunden vor der Verarbeitung über diese gesetzliche Verpflichtung, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses. | |
4.3. | Personal |
Zur Verarbeitung personenbezogener Daten gewähren Delighted und seine Unterauftragsverarbeiter nur autorisiertem Personal Zugang, das sich zur Vertraulichkeit verpflichtet hat. Delighted und seine Unterauftragsverarbeiter schulen das Personal, das Zugang zu personenbezogenen Daten hat, regelmäßig in den geltenden Maßnahmen zur Datensicherheit und zum Datenschutz. | |
4.4. | Zusammenarbeit |
4.4.1. | Auf Wunsch des Kunden wird Delighted in angemessener Weise mit dem Kunden und den für die Verarbeitung Verantwortlichen zusammenarbeiten, um Anfragen von betroffenen Personen oder Aufsichtsbehörden bezüglich der Verarbeitung personenbezogener Daten durch Delightedoder einer Verletzung des Schutzes personenbezogener Daten zu bearbeiten. |
4.4.2. | Wenn Delighted eine Anfrage einer betroffenen Person in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags erhält, benachrichtigt Delighted unverzüglich den Kunden (sofern die betroffene Person Informationen zur Identifizierung des Kunden bereitgestellt hat) per E-Mail und antwortet nicht selbst auf eine solche Anfrage, sondern fordert die betroffene Person auf, ihre Anfrage an den Kunden weiterzuleiten. |
4.4.3. | Im Falle eines Rechtsstreits mit einer betroffenen Person, der sich auf die Verarbeitung personenbezogener Daten durch Delightedim Rahmen dieser DSGVO bezieht, halten sich die Parteien gegenseitig auf dem Laufenden und arbeiten gegebenenfalls in angemessener Weise zusammen, um den Rechtsstreit mit der betroffenen Person gütlich beizulegen. |
4.4.4. | Delighted stellt Funktionen für Produktionssysteme zur Verfügung, die den Kunden in die Lage versetzen, personenbezogene Daten aus einem Cloud-Dienst zu korrigieren, zu löschen oder zu anonymisieren oder ihre Verarbeitung in Übereinstimmung mit dem Datenschutzrecht einzuschränken. Wird eine solche Funktionalität nicht zur Verfügung gestellt, korrigiert, löscht oder anonymisiert Delighted personenbezogene Daten oder schränkt ihre Verarbeitung in Übereinstimmung mit den Anweisungen des Kunden und den Datenschutzgesetzen ein. |
4.5. | Benachrichtigung über Verstöße gegen personenbezogene Daten |
Delighted wird den Kunden unverzüglich benachrichtigen, nachdem sie von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, und angemessene Informationen zur Verfügung stellen, die sich in ihrem Besitz befinden, um den Kunden bei der Erfüllung seiner Verpflichtungen zur Meldung einer Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen zu unterstützen. Delighted kann diese Informationen schrittweise bereitstellen, sobald sie verfügbar sind. Eine solche Benachrichtigung darf nicht als Eingeständnis eines Fehlers oder einer Haftung durch Delighted ausgelegt werden. | |
4.6. | Datenschutz-Folgenabschätzung |
Wenn der Kunde (oder seine für die Verarbeitung Verantwortlichen) gemäß den Datenschutzgesetzen eine Datenschutz-Folgenabschätzung oder eine vorherige Konsultation mit einer Aufsichtsbehörde durchführen muss, stellt Delighted auf Anfrage des Kunden die für den Cloud-Dienst allgemein verfügbaren Dokumente zur Verfügung (z. B. diese DSGVO, den Vertrag, Prüfberichte und Zertifizierungen). Jede zusätzliche Unterstützung wird von den Parteien einvernehmlich vereinbart. | |
5. | DATENEXPORT UND -LÖSCHUNG |
5.1. | Export und Abruf nach Kunden |
Während der Laufzeit des Abonnements und vorbehaltlich der Vereinbarung kann der Kunde jederzeit auf seine persönlichen Daten zugreifen. Der Kunde kann seine persönlichen Daten in einem Standardformat exportieren und abrufen. Der Export und der Abruf können technischen Beschränkungen unterliegen. In diesem Fall werden Delighted und der Kunde eine angemessene Methode finden, um dem Kunden den Zugriff auf die personenbezogenen Daten zu ermöglichen. | |
5.2. | Löschung |
Vor Ablauf der Abonnementlaufzeit kann der Kunde die Selbstbedienungs-Exporttools von Delighted(soweit verfügbar) nutzen, um einen endgültigen Export der personenbezogenen Daten aus dem Cloud-Dienst durchzuführen (was eine "Rückgabe" der personenbezogenen Daten darstellt). Am Ende der Abonnementlaufzeit weist der Kunde hiermit Delighted an, die auf den Servern, auf denen der Cloud-Dienst gehostet wird, verbleibenden personenbezogenen Daten innerhalb eines angemessenen Zeitraums in Übereinstimmung mit den Datenschutzgesetzen zu löschen (nicht mehr als 6 Monate), es sei denn, das geltende Recht schreibt eine Aufbewahrung vor. | |
6. | ZERTIFIZIERUNGEN UND AUDITS |
6.1. | Kunden-Audit |
Der Kunde oder ein von ihm beauftragter unabhängiger Prüfer, der für Delighted annehmbar ist (dazu gehören keine Prüfer, die entweder ein Konkurrent von Delighted sind oder die nicht angemessen qualifiziert oder unabhängig sind), darf die Kontrollumgebung und die Sicherheitspraktiken von Delightedin Bezug auf personenbezogene Daten, die von Delighted verarbeitet werden, nur dann prüfen, wenn: | |
a) Delighted nicht ausreichend nachgewiesen hat, dass es die technischen und organisatorischen Maßnahmen zum Schutz der Produktionssysteme des Cloud-Dienstes einhält, indem es entweder (i) eine öffentlich zugängliche Sicherheitsdokumentation, in der die technischen und organisatorischen Maßnahmen im Einzelnen aufgeführt sind, (ii) eine Zertifizierung der Einhaltung von ISO 27001 oder anderer Normen (Umfang wie im Zertifikat definiert) oder (iii) einen gültigen ISAE3402- oder ISAE3000- oder einen anderen SOC1-3-Bestätigungsbericht vorgelegt hat. Auf Anfrage des Kunden sind Auditberichte oder ISO-Zertifizierungen über den Drittprüfer oder Delighted erhältlich; | |
b) eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat; | |
c) ein Audit von der Datenschutzbehörde des Kunden förmlich verlangt wird; oder | |
d) nach zwingendem Datenschutzrecht, das dem Kunden ein direktes Prüfungsrecht einräumt, und unter der Voraussetzung, dass der Kunde nur einmal in einem Zwölfmonatszeitraum prüfen darf, es sei denn, das zwingende Datenschutzrecht schreibt häufigere Prüfungen vor. | |
6.2. | Andere Controller Audit |
Jeder andere für die Verarbeitung Verantwortliche kann die Rechte des Kunden gemäß Abschnitt 6.1 nur dann wahrnehmen, wenn er sich direkt auf den für die Verarbeitung Verantwortlichen bezieht und eine solche Prüfung vom Kunden genehmigt und koordiniert wird. Der Kunde wird alle angemessenen Mittel einsetzen, um Prüfungen mehrerer anderer für die Verarbeitung Verantwortlicher zu kombinieren, um Mehrfachprüfungen zu vermeiden, es sei denn, die Prüfung muss nach dem Datenschutzrecht von dem anderen für die Verarbeitung Verantwortlichen selbst durchgeführt werden. Wenn mehrere für die Verarbeitung Verantwortliche, deren personenbezogene Daten von Delighted auf der Grundlage des Vertrags verarbeitet werden, eine Prüfung verlangen, wird der Kunde alle angemessenen Mittel einsetzen, um die Prüfungen zu kombinieren und Mehrfachprüfungen zu vermeiden. | |
6.3. | Umfang der Prüfung |
Der Kunde kündigt jedes Audit mindestens 60 Tage im Voraus an, es sei denn, zwingende Datenschutzgesetze oder eine zuständige Datenschutzbehörde verlangen eine kürzere Ankündigungsfrist. Die Häufigkeit und der Umfang von Audits werden von den Parteien nach Treu und Glauben einvernehmlich festgelegt. Kundenaudits sind zeitlich auf maximal 3 Arbeitstage zu begrenzen. Darüber hinaus werden die Parteien aktuelle Zertifizierungen oder andere Auditberichte verwenden, um wiederholte Audits zu vermeiden oder zu minimieren. Der Kunde wird die Ergebnisse eines Audits an Delighted weiterleiten. | |
6.4. | Kosten für Audits |
Der Kunde trägt die Kosten einer Prüfung, es sei denn, eine solche Prüfung ergibt einen wesentlichen Verstoß von Delighted gegen diese DPA; in diesem Fall trägt Delighted seine eigenen Kosten einer Prüfung. Wird bei einer Prüfung festgestellt, dass Delighted gegen seine Verpflichtungen aus der DPA verstoßen hat, wird Delighted den Verstoß unverzüglich auf eigene Kosten beheben. | |
7. | UNTERPROZESSOREN |
7.1. | Zulässige Verwendung |
Delighted wird eine allgemeine Genehmigung zur Untervergabe der Verarbeitung personenbezogener Daten an Unterauftragsverarbeiter erteilt, vorausgesetzt, dass: | |
a) Delighted oder Delighted verbundene Unternehmen in seinem Namen beauftragen Unterauftragsverarbeiter im Rahmen eines schriftlichen (auch in elektronischer Form) Vertrags, der mit den Bedingungen dieser DSGVO in Bezug auf die Verarbeitung personenbezogener Daten durch den Unterauftragsverarbeiter übereinstimmt. Delighted haftet für alle Verstöße des Unterauftragsverarbeiters gemäß den Bedingungen dieser Vereinbarung; | |
b) Delighted wird die Sicherheits-, Datenschutz- und Vertraulichkeitspraktiken eines Unterauftragsverarbeiters vor der Auswahl bewerten, um festzustellen, ob dieser in der Lage ist, das in dieser DSGVO geforderte Schutzniveau für personenbezogene Daten zu gewährleisten; und | |
c) Die Liste der zum Zeitpunkt des Inkrafttretens der Vereinbarung bestehenden Unterauftragsverarbeiter von Delightedwird von Delighted unter https://www.delighted.com/subprocessor-list veröffentlicht oder dem Kunden auf Anfrage von Delighted zur Verfügung gestellt, einschließlich des Namens, der Adresse und der Rolle jedes Unterauftragsverarbeiters, den Delighted zur Bereitstellung des Cloud-Dienstes einsetzt. | |
7.2. | Neue Unterprozessoren |
DelightedDer Einsatz von Unterauftragsverarbeitern liegt im Ermessen des Unternehmens, vorausgesetzt, dass: | |
a) Delighted informiert den Kunden im Voraus (per E-Mail oder durch Veröffentlichung auf dem Cloud-Service) über alle geplanten Ergänzungen oder Ersetzungen der Liste der Unterauftragsverarbeiter, einschließlich Name, Adresse und Rolle des neuen Unterauftragsverarbeiters; und | |
b) Der Kunde kann solchen Änderungen nach Maßgabe von Abschnitt 7.3 widersprechen. | |
7.3. | Einwände gegen neue Unterauftragsverarbeiter |
7.3.1. | Wenn der Kunde einen berechtigten Grund im Sinne des Datenschutzrechts hat, der Verarbeitung personenbezogener Daten durch den neuen Unterauftragsverarbeiter zu widersprechen, kann der Kunde den Vertrag (beschränkt auf den Cloud-Dienst, für den der neue Unterauftragsverarbeiter eingesetzt werden soll) durch schriftliche Mitteilung an Delighted kündigen. Eine solche Kündigung wird zu dem vom Kunden bestimmten Zeitpunkt wirksam, spätestens jedoch 30 Tage nach dem Datum der Mitteilung von Delightedan den Kunden, in der dieser über den neuen Unterauftragsverarbeiter informiert wird. Kündigt der Kunde nicht innerhalb dieser 30-Tage-Frist, so wird davon ausgegangen, dass er den neuen Unterauftragsverarbeiter akzeptiert hat. |
7.3.2. | Innerhalb der 30-Tage-Frist ab dem Datum der Mitteilung von Delightedan den Kunden, in der der Kunde über den neuen Unterauftragsverarbeiter informiert wird, kann der Kunde verlangen, dass die Parteien nach Treu und Glauben eine Lösung für den Einwand besprechen. Solche Gespräche verlängern die Kündigungsfrist nicht und berühren nicht das Recht von Delighted, den/die neuen Unterauftragsverarbeiter nach Ablauf der 30-Tage-Frist einzusetzen. |
7.3.3. | Eine Kündigung nach diesem Abschnitt 7.3 gilt als unverschuldet und unterliegt den Bestimmungen der Vereinbarung. |
7.4 | Notfall-Ersatz |
Delighted kann einen Unterauftragsverarbeiter ohne Vorankündigung ersetzen, wenn der Grund für den Wechsel außerhalb des Einflussbereichs von Delightedliegt und ein sofortiger Austausch aus Sicherheits- oder anderen dringenden Gründen erforderlich ist. In diesem Fall wird Delighted den Kunden so schnell wie möglich nach der Ernennung des neuen Unterauftragsverarbeiters über diesen informieren. Abschnitt 7.2 gilt entsprechend. | |
8. | INTERNATIONALE BEARBEITUNG |
8.1. | Bedingungen für die internationale Bearbeitung |
Delighted ist berechtigt, personenbezogene Daten, auch durch den Einsatz von Unterauftragsverarbeitern, in Übereinstimmung mit dieser DSGVO außerhalb des Landes zu verarbeiten, in dem der Kunde ansässig ist, soweit dies nach dem Datenschutzrecht zulässig ist. | |
8.2. | Anwendbarkeit der EU-Standardvertragsklauseln |
Die Abschnitte 8.3 bis 8.6 gelten für die Übermittlung (oder Weiterübermittlung) personenbezogener Daten in ein Drittland, das entweder der DSGVO oder den geltenden Datenschutzgesetzen unterliegt und in dem alle nach der DSGVO oder den geltenden Datenschutzgesetzen erforderlichen Angemessenheitsvoraussetzungen durch den Abschluss der EU-Standardvertragsklauseln in ihrer gegebenenfalls gemäß den geltenden Datenschutzgesetzen geänderten Fassung erfüllt werden können. | |
8.3. | Anwendbarkeit der EU-Standardvertragsklauseln, wenn Delighted nicht in einem Drittland ansässig ist |
Wenn Delighted nicht in einem Drittland ansässig ist und als Datenexporteur auftritt, hat Delighted die EU-Standardvertragsklauseln mit jedem Unterauftragsverarbeiter als Datenimporteur abgeschlossen. Für solche Übermittlungen gilt Modul 3 (Auftragsverarbeiter zu Auftragsverarbeiter) der EU-Standardvertragsklauseln. | |
8.4. | Anwendbarkeit der EU-Standardvertragsklauseln, wenn Delighted in einem Drittland ansässig ist |
8.4.1. | Wenn Delighted in einem Drittland oder in einem Land ansässig ist, das die Verwendung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten in dieses Land vorschreibt, schließen Delighted und der Kunde hiermit die EU-Standardvertragsklauseln mit dem Kunden als Datenexporteur und Delighted als Datenimporteur wie folgt ab: |
a) Modul 2 (vom Verantwortlichen zum Auftragsverarbeiter) findet Anwendung, wenn der Kunde ein Verantwortlicher ist; und | |
b) Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) findet Anwendung, wenn der Kunde als Auftragsverarbeiter handelt. Handelt der Kunde als Auftragsverarbeiter gemäß Modul 3 (Auftragsverarbeiter an Auftragsverarbeiter) der EU-Standardvertragsklauseln, erkennt Delighted an, dass der Kunde als Auftragsverarbeiter auf Anweisung seines/r für die Verarbeitung Verantwortlichen handelt. | |
Andere für die Verarbeitung Verantwortliche oder Auftragsverarbeiter, deren Nutzung der Cloud-Dienste vom Kunden im Rahmen der Vereinbarung genehmigt wurde, können ebenfalls die EU-Standardvertragsklauseln mit Delighted in derselben Weise wie der Kunde gemäß Abschnitt 8.4.1 oben abschließen. In diesem Fall schließt der Kunde die EU-Standardvertragsklauseln im Namen der anderen Verantwortlichen oder Auftragsverarbeiter ab. | |
8.4.2. | Wenn der Kunde in einem Drittland ansässig ist und als Datenimporteur gemäß Modul 2 oder Modul 3 der EU-Standardvertragsklauseln handelt und Delighted als Unterauftragsverarbeiter des Kunden fungiert, hat der jeweilige Datenexporteur das folgende Drittbegünstigungsrecht: |
Für den Fall, dass der Kunde faktisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist (in allen Fällen, in denen es keinen Nachfolger gibt, der die rechtlichen Verpflichtungen des Kunden vertraglich oder von Rechts wegen übernommen hat), hat der jeweilige Datenexporteur das Recht, den betroffenen Delighted Service ausschließlich in dem Umfang zu beenden, in dem die personenbezogenen Daten des Datenexporteurs verarbeitet werden. In diesem Fall weist der jeweilige Datenexporteur auch Delighted an, die personenbezogenen Daten zu löschen oder zurückzugeben. | |
8.4.3. | Auf Anfrage einer betroffenen Person kann der Kunde den betroffenen Personen eine Kopie von Modul 2 oder 3 der zwischen dem Kunden und Delighted abgeschlossenen EU-Standardvertragsklauseln (einschließlich der entsprechenden Anhänge) zur Verfügung stellen. |
8.5. | Anwendbarkeit der EU-Standardvertragsklauseln, wenn das geltende Datenschutzrecht eine Abweichung von den EU-Standardvertragsklauseln erfordert |
Vorbehaltlich der Abschnitte 8.2 bis 8.4 werden die EU-Standardvertragsklauseln in den Fällen, in denen das geltende Datenschutzrecht eine Abweichung von den EU-Standardvertragsklauseln erfordert, wie folgt ausgelegt: | |
8.5.1. | In Bezug auf das Schweizerische Datenschutzgesetz ("DSG"): |
a) Die Verweise auf einen "Mitgliedstaat" in den EU-Standardvertragsklauseln gelten als Verweise auf die Schweiz; | |
b) Verweise auf das Recht der Europäischen Union oder eines Mitgliedstaats in den EU-Standardvertragsklauseln gelten als Verweis auf das EDA; | |
c) der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist die einzige oder, wenn sowohl das DSG als auch die DSGVO auf eine solche Übermittlung Anwendung finden, eine der zuständigen Datenschutzbehörden gemäß den EU-Standardvertragsklauseln; | |
d) die in den EU-Standardvertragsklauseln verwendeten Begriffe, die im FZA definiert sind, werden so ausgelegt, dass sie die Bedeutung des FZA haben; und | |
e) In den Fällen, in denen das DSG juristische Personen als betroffene Personen schützt, gelten die EU-Standardvertragsklauseln für Daten, die sich auf identifizierte oder identifizierbare juristische Personen beziehen. | |
8.5.2. | In Bezug auf das Datenschutzgesetz 2018 des Vereinigten Königreichs ("UK GDPR") sind die EU-Standardvertragsklauseln ab dem 21. September 2022 in Übereinstimmung mit den obligatorischen Klauseln des Genehmigten Addendums auszulegen, bei dem es sich um die Vorlage Addendum B.1.0 handelt, die vom ICO herausgegeben und dem Parlament gemäß s119A der UK GDPR am 2. Februar 2022 vorgelegt wurde, in der gemäß Abschnitt 18 dieser obligatorischen Klauseln überarbeiteten Fassung, die in Anhang 3 beigefügt ist (das "Genehmigte Addendum"). Die Anhänge 1 und 2 enthalten die Informationen für Teil 1, Tabellen des genehmigten Nachtrags. |
8.6. | Verhältnis der Standardvertragsklauseln zur Vereinbarung |
Keine Bestimmung des Abkommens ist so auszulegen, dass sie Vorrang vor einer entgegenstehenden Bestimmung der EU-Standardvertragsklauseln hat. Um Zweifel auszuschließen, gilt: Wo in dieser DPA Regeln für Audits und Unterauftragsverarbeiter festgelegt sind, gelten diese auch für die EU-Standardvertragsklauseln. | |
9. | DOKUMENTATION; AUFZEICHNUNGEN ÜBER DIE VERARBEITUNG |
Each party is responsible for its compliance with its documentation requirements, in particular maintaining records of processing where required under Data Protection Law. Each party shall reasonably assist the other party in its documentation requirements, including providing the information the other party needs from it in a manner reasonably requested by the other party (such as using an electronic system), in order to enable the other party to comply with any obligations relating to maintaining records of processing. | |
Schedule 1 Description of the Processing | |
In diesem Anhang 1 wird die Verarbeitung personenbezogener Daten für die Zwecke der EU-Standardvertragsklauseln und des geltenden Datenschutzrechts beschrieben. | |
1. | Fakultative Klauseln der EU-Standardvertragsklauseln |
1.1. | Sofern nicht das geltende Datenschutzrecht eine Abweichung von den EU-Standardvertragsklauseln vorschreibt, unterliegt das Recht der EU-Standardvertragsklauseln dem Recht der Bundesrepublik Deutschland. |
1.2. | Die fakultativen Klauseln 7 und die Option in Klausel 11a der EU-Standardvertragsklauseln sind nicht anwendbar. |
1.3. | Option 2, die allgemeine schriftliche Genehmigung gemäß Klausel 9, gilt in Übereinstimmung mit den in Abschnitt 7 dieser Datenschutzrichtlinie festgelegten Mitteilungsfristen. |
2. | LISTE DER PARTEIEN |
2.1. | Gemäß den EU-Standardvertragsklauseln |
2.1.1. | Modul 2: Übertragung der Steuerung an den Prozessor |
Wenn Delighted in einem Drittland ansässig ist, der Kunde der für die Verarbeitung Verantwortliche und Delighted der Auftragsverarbeiter ist, dann ist der Kunde der Datenexporteur und Delighted der Datenimporteur. | |
2.1.2. | Modul 3: Übertragung von Prozessor zu Prozessor |
Wenn Delighted in einem Drittland ansässig ist, der Kunde ein Auftragsverarbeiter ist und Delighted ein Auftragsverarbeiter ist, dann ist der Kunde der Datenexporteur und Delighted der Datenimporteur. | |
3. | BESCHREIBUNG DER ÜBERTRAGUNG |
3.1. | Daten Subjekte |
Sofern vom Datenexporteur nicht anders angegeben, beziehen sich die übermittelten personenbezogenen Daten auf die folgenden Kategorien von betroffenen Personen: Mitarbeiter, Auftragnehmer, Geschäftspartner oder andere Personen, deren personenbezogene Daten im Cloud-Dienst gespeichert sind und an den Datenimporteur übermittelt, ihm zur Verfügung gestellt, von ihm abgerufen oder anderweitig verarbeitet werden. | |
3.2. | Daten-Kategorien |
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von Daten: | |
Der Kunde bestimmt die Kategorien von Daten und/oder Datenfeldern, die pro abonniertem Cloud-Dienst übertragen werden können. Der Kunde kann die Datenfelder während der Implementierung des Cloud-Dienstes oder wie anderweitig vom Cloud-Dienst vorgesehen konfigurieren. Bei den übertragenen personenbezogenen Daten handelt es sich in der Regel um die folgenden Datenkategorien: Name, Telefonnummern, E-Mail-Adresse, Adressdaten, Systemzugangs-/Nutzungs-/Berechtigungsdaten, Firmenname, Vertragsdaten, Rechnungsdaten sowie alle anwendungsspezifischen Daten, die von autorisierten Nutzern übertragen oder in den Cloud-Service eingegeben wurden. | |
3.3. | Besondere Datenkategorien (falls vereinbart) |
3.3.1. | Die übermittelten personenbezogenen Daten können besondere Kategorien personenbezogener Daten umfassen, die in der Vereinbarung aufgeführt sind ("sensible Daten"). Delighted hat technische und organisatorische Maßnahmen gemäß Anhang 2 ergriffen, um ein angemessenes Sicherheitsniveau zum Schutz auch sensibler Daten zu gewährleisten. |
3.3.2. | Die Übermittlung sensibler Daten kann die Anwendung der folgenden zusätzlichen Beschränkungen oder Garantien nach sich ziehen, wenn dies aufgrund der Art der Daten und des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen (falls zutreffend) erforderlich ist: |
a) Ausbildung des Personals; | |
b) Verschlüsselung von Daten bei der Übertragung und im Ruhezustand; | |
c) Systemzugriffsprotokollierung und allgemeine Datenzugriffsprotokollierung. | |
3.3.3. | Darüber hinaus bieten die Cloud-Dienste Maßnahmen für den Umgang mit sensiblen Daten, wie in der Dokumentation beschrieben. |
3.4. | Zwecke der Datenübermittlung und Weiterverarbeitung; Art der Verarbeitung |
3.4.1. | Die übermittelten personenbezogenen Daten sind Gegenstand der folgenden grundlegenden Verarbeitungstätigkeiten: |
a) Verwendung personenbezogener Daten zur Einrichtung, zum Betrieb, zur Überwachung und zur Bereitstellung des Cloud-Dienstes (einschließlich betrieblicher und technischer Unterstützung); | |
b) die kontinuierliche Verbesserung der im Rahmen des Cloud-Dienstes bereitgestellten Leistungsmerkmale und Funktionen, einschließlich Automatisierung, Transaktionsverarbeitung und maschinelles Lernen; | |
c) die Erbringung professioneller Dienstleistungen; | |
d) Kommunikation mit autorisierten Benutzern; | |
e) Speicherung personenbezogener Daten in speziellen Rechenzentren (Multi-Tenant-Architektur); | |
f) Freigabe, Entwicklung und Hochladen von Korrekturen oder Upgrades für den Cloud-Dienst; | |
g) Sicherung und Wiederherstellung der im Cloud-Dienst gespeicherten personenbezogenen Daten; | |
h) die computergestützte Verarbeitung personenbezogener Daten, einschließlich Datenübertragung, Datenabruf und Datenzugriff; | |
i) Netzzugang, um die Übertragung personenbezogener Daten zu ermöglichen; | |
j) Überwachung, Fehlerbehebung und Verwaltung der zugrunde liegenden Cloud-Service-Infrastruktur und Datenbank; | |
k) Sicherheitsüberwachung, Unterstützung bei der netzgestützten Erkennung von Eindringlingen, Penetrationstests; und | |
l) Ausführung von Anweisungen des Kunden gemäß dem Vertrag. | |
3.4.2. | Der Zweck der Übertragung ist die Bereitstellung und Unterstützung des Cloud-Dienstes. Delighted und seine Unterauftragsverarbeiter können die Rechenzentren des Cloud-Dienstes aus der Ferne unterstützen. Delighted und seine Unterauftragsverarbeiter bieten Unterstützung, wenn ein Kunde ein Support-Ticket einreicht, wie in der Vereinbarung näher beschrieben. |
3.5. | Zusätzliche Beschreibung in Bezug auf die EU-Standardvertragsklauseln: |
3.5.1. | Der Zweck der Übertragung ist die Bereitstellung und Unterstützung des betreffenden Cloud-Dienstes. Delighted und seine Unterauftragsverarbeiter können den Cloud-Dienst aus der Ferne bereitstellen oder unterstützen. |
3.5.2. | Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben: |
In Bezug auf die EU-Standardvertragsklauseln erfolgt die Übermittlung an Unterauftragsverarbeiter auf derselben Grundlage wie in der DSGVO. | |
3.5.3. | Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden). |
Personenbezogene Daten werden für die Dauer des Abkommens fortlaufend übermittelt. | |
3.5.4. | Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird. |
Personenbezogene Daten werden für die Dauer der Vereinbarung und vorbehaltlich Abschnitt 5 des Datenschutzgesetzes aufbewahrt. | |
4. | ZUSTÄNDIGE AUFSICHTSBEHÖRDE |
4.1. | In Bezug auf die EU-Standardvertragsklauseln: |
4.1.1. | Modul 2: Übertragung der Steuerung an den Prozessor |
4.1.2. | Modul 3: Übertragung von Prozessor zu Prozessor |
4.2. | Where Customer is the data exporter, the supervisory authority shall be the competent supervisory authority that has supervision over the Customer in accordance with Clause 13 of the EU Standard Contractual Clauses. |
Zeitplan 2 Technische und organisatorische Maßnahmen | |
Diese Anlage 2 dient der Beschreibung der anwendbaren technischen und organisatorischen Maßnahmen im Sinne der EU-Standardvertragsklauseln und des geltenden Datenschutzrechts. | |
Delighted wird die technischen und organisatorischen Maßnahmen anwenden und aufrechterhalten. | |
Soweit die Bereitstellung des Cloud-Dienstes neue SCC-relevante Übermittlungen umfasst, beschreiben die in Anhang 2 aufgeführten technischen und organisatorischen Maßnahmen die Maßnahmen und Schutzvorkehrungen, die getroffen wurden, um der Art der personenbezogenen Daten und den damit verbundenen Risiken in vollem Umfang Rechnung zu tragen. Wenn lokale Gesetze die Einhaltung der Klauseln beeinträchtigen könnten, kann dies die Anwendung zusätzlicher Sicherheitsvorkehrungen bei der Übertragung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland auslösen (falls zutreffend: Verschlüsselung der Daten bei der Übertragung, Verschlüsselung der Daten im Ruhezustand, Anonymisierung, Pseudonymisierung). | |
1. | TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN |
Die folgenden Abschnitte definieren die aktuellen technischen und organisatorischen Maßnahmen von Delighted. Delighted kann diese jederzeit ohne Vorankündigung ändern, solange ein vergleichbares oder besseres Sicherheitsniveau aufrechterhalten wird. Einzelne Maßnahmen können durch neue Maßnahmen ersetzt werden, die demselben Zweck dienen, ohne das Sicherheitsniveau zum Schutz personenbezogener Daten zu mindern. | |
1.1 | Physische Zugangskontrolle. Unbefugten wird der physische Zugang zu Grundstücken, Gebäuden oder Räumen verwehrt, in denen sich Datenverarbeitungssysteme befinden, die personenbezogene Daten verarbeiten und/oder nutzen. |
Maßnahmen: | |
- Delighted schützt seine Vermögenswerte und Einrichtungen mit den geeigneten Mitteln auf der Grundlage des Sicherheitsplans Delighted | |
- Im Allgemeinen werden Gebäude durch Zugangskontrollsysteme (z. B. Smartcard-Zugangssystem) gesichert. | |
- Als Mindestanforderung müssen die äußersten Eingänge des Gebäudes mit einem zertifizierten Schlüsselsystem einschließlich eines modernen, aktiven Schlüsselmanagements ausgestattet sein. | |
- Je nach Sicherheitseinstufung können Gebäude, einzelne Bereiche und umliegende Grundstücke durch zusätzliche Maßnahmen geschützt werden. Dazu gehören spezifische Zugangsprofile, Videoüberwachung, Einbruchmeldeanlagen und biometrische Zugangskontrollsysteme. | |
- Zugangsrechte werden berechtigten Personen auf individueller Basis gemäß den Maßnahmen zur System- und Datenzugangskontrolle gewährt (siehe Abschnitt 1.2 und 1.3). Dies gilt auch für den Zugang von Besuchern. Gäste und Besucher in den Gebäuden von Delighted müssen sich am Empfang anmelden und von befugtem Personal von Delighted begleitet werden. | |
- Die Mitarbeiter von Delighted und das externe Personal müssen an allen Standorten von Delighted ihre Ausweise tragen. | |
Zusätzliche Maßnahmen für Datenzentren: | |
- Alle Rechenzentren halten sich an strenge Sicherheitsverfahren, die durch Wachpersonal, Überwachungskameras, Bewegungsmelder, Zugangskontrollmechanismen und andere Maßnahmen durchgesetzt werden, um zu verhindern, dass Geräte und Einrichtungen des Rechenzentrums gefährdet werden. Nur autorisierte Vertreter haben Zugang zu den Systemen und der Infrastruktur innerhalb der Rechenzentren. Um die ordnungsgemäße Funktion zu gewährleisten, wird die physische Sicherheitsausrüstung (z. B. Bewegungsmelder, Kameras usw.) regelmäßig gewartet. | |
- Delighted und alle Drittanbieter von Rechenzentren protokollieren die Namen und Zeiten des autorisierten Personals, das die privaten Bereiche der Rechenzentren von Delightedbetritt. | |
1.2 | Systemzugangskontrolle. Es muss verhindert werden, dass Datenverarbeitungssysteme, die zur Bereitstellung des Cloud-Dienstes verwendet werden, unbefugt genutzt werden. |
Maßnahmen: | |
- Bei der Gewährung des Zugangs zu sensiblen Systemen, einschließlich solcher, die personenbezogene Daten speichern und verarbeiten, werden mehrere Berechtigungsstufen verwendet. Die Berechtigungen werden über definierte Prozesse gemäß der Sicherheitspolitik von Delighted verwaltet. | |
- Alle Mitarbeiter haben mit einer eindeutigen Kennung (Benutzer-ID) Zugang zu den Systemen von Delighted. | |
- Delighted verfügt über Verfahren, die sicherstellen, dass beantragte Änderungen der Berechtigungen nur in Übereinstimmung mit der Sicherheitspolitik von Delighted durchgeführt werden (z. B. werden keine Rechte ohne Genehmigung erteilt). Scheidet ein Mitarbeiter aus dem Unternehmen aus, werden ihm die Zugriffsrechte entzogen. | |
- Delighted hat eine Kennwortrichtlinie eingeführt, die die Weitergabe von Kennwörtern verbietet, die Reaktionen auf die Offenlegung von Kennwörtern regelt und vorschreibt, dass Kennwörter regelmäßig geändert und Standardkennwörter geändert werden müssen. Zur Authentifizierung werden personalisierte Benutzer-IDs vergeben. Alle Passwörter müssen definierten Mindestanforderungen genügen und werden verschlüsselt gespeichert. Bei Domänenpasswörtern erzwingt das System alle sechs Monate eine Passwortänderung, die den Anforderungen an komplexe Passwörter entspricht. Jeder Computer verfügt über einen passwortgeschützten Bildschirmschoner. | |
- Das Unternehmensnetz ist durch Firewalls vom öffentlichen Netz abgeschirmt. | |
- Delighted verwendet aktuelle Antivirensoftware an den Zugangspunkten zum Unternehmensnetz (für E-Mail-Konten) sowie auf allen Dateiservern und Arbeitsstationen. | |
- Die Verwaltung von Sicherheits-Patches wird implementiert, um eine regelmäßige und periodische Verteilung von relevanten | |
- Sicherheits-Updates. Der vollständige Fernzugriff auf das Unternehmensnetzwerk und die kritische Infrastruktur von Delightedist durch eine starke Authentifizierung geschützt. | |
1.3 | Datenzugangskontrolle. Personen, die zur Nutzung von Datenverarbeitungssystemen berechtigt sind, erhalten nur Zugang zu den personenbezogenen Daten, auf die sie ein Zugriffsrecht haben, und personenbezogene Daten dürfen während der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. |
Maßnahmen: | |
- Im Rahmen des Sicherheitskonzepts von Delighted müssen personenbezogene Daten gemäß der Norm für die Klassifizierung von Informationen ( Delighted ) mindestens genauso gut geschützt werden wie "vertrauliche" Informationen. | |
- Der Zugriff auf personenbezogene Daten wird nach dem Need-to-know-Prinzip gewährt. Die Mitarbeiter haben Zugang zu den Informationen, die sie zur Erfüllung ihrer Aufgaben benötigen. Delighted verwendet Berechtigungskonzepte, die Vergabeprozesse und zugewiesene Rollen pro Account (User-ID) dokumentieren. Alle Kundendaten werden gemäß der Sicherheitspolitik von Delighted geschützt. | |
- Alle Produktionsserver werden in den Rechenzentren oder in sicheren Serverräumen betrieben. Die Sicherheitsmaßnahmen zum Schutz der Anwendungen, die personenbezogene Daten verarbeiten, werden regelmäßig überprüft. Zu diesem Zweck führt Delighted interne und externe Sicherheitskontrollen und Penetrationstests für seine IT-Systeme durch. | |
- Ein Sicherheitsstandard Delighted regelt, wie Daten und Datenträger gelöscht oder vernichtet werden, wenn sie nicht mehr benötigt werden. | |
1.4 | Kontrolle der Datenübertragung. Personenbezogene Daten dürfen während der Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden, es sei denn, dies ist für die Erbringung der Cloud-Dienste in Übereinstimmung mit der Vereinbarung erforderlich. Wenn Datenträger physisch transportiert werden, werden auf Delighted angemessene Maßnahmen ergriffen, um die vereinbarten Service-Levels zu gewährleisten (z. B. Verschlüsselung und bleigefütterte Container). |
Maßnahmen: | |
- Personenbezogene Daten, die über die internen Netze von Delighted übertragen werden, sind gemäß der Sicherheitspolitik von Delighted geschützt. | |
- Bei der Übermittlung von Daten zwischen Delighted und seinen Kunden werden die Schutzmaßnahmen für die übermittelten personenbezogenen Daten einvernehmlich festgelegt und zum Bestandteil der entsprechenden Vereinbarung gemacht. Dies gilt sowohl für die physische als auch für die netzbasierte Datenübertragung. In jedem Fall übernimmt der Kunde die Verantwortung für jede Datenübertragung, sobald sie außerhalb der von Delighted kontrollierten Systeme stattfindet (z.B. Daten, die außerhalb der Firewall des Delighted Rechenzentrums übertragen werden). | |
1.5 | Kontrolle der Dateneingabe. Es wird möglich sein, im Nachhinein zu prüfen und festzustellen, ob und von wem personenbezogene Daten in die Datenverarbeitungssysteme von Delighted eingegeben, geändert oder entfernt wurden. |
Maßnahmen: | |
- Delighted erlaubt nur befugtem Personal den Zugriff auf personenbezogene Daten, wenn dies im Rahmen der Ausübung seiner Tätigkeit erforderlich ist. | |
- Delighted hat ein Protokollierungssystem für die Eingabe, Änderung und Löschung bzw. Sperrung personenbezogener Daten durch Delighted oder seine Unterauftragsverarbeiter innerhalb des Cloud-Dienstes implementiert, soweit dies technisch möglich ist. | |
1.6 | Auftragskontrolle. Personenbezogene Daten, die im Auftrag verarbeitet werden (d. h. personenbezogene Daten, die im Namen eines Kunden verarbeitet werden), werden ausschließlich in Übereinstimmung mit dem Vertrag und den entsprechenden Anweisungen des Kunden verarbeitet. |
Maßnahmen: | |
- Delighted setzt Kontrollen und Verfahren ein, um die Einhaltung der Verträge zwischen Delighted und seinen Kunden, Unterauftragsverarbeitern oder anderen Dienstleistern zu überwachen. | |
- Im Rahmen des Sicherheitskonzepts von Delighted müssen personenbezogene Daten gemäß der Norm für die Klassifizierung von Informationen ( Delighted ) mindestens genauso gut geschützt werden wie "vertrauliche" Informationen. | |
- Alle Mitarbeiter von Delighted und vertragliche Unterauftragsverarbeiter oder andere Dienstleister sind vertraglich verpflichtet, die Vertraulichkeit aller sensiblen Informationen, einschließlich der Geschäftsgeheimnisse von Delighted Kunden und Partnern, zu wahren. | |
1.7 | Kontrolle der Verfügbarkeit. Personenbezogene Daten werden vor versehentlicher oder unbefugter Zerstörung oder Verlust geschützt. |
Maßnahmen: | |
- Delighted setzt regelmäßige Backup-Prozesse ein, um geschäftskritische Systeme bei Bedarf wiederherstellen zu können. | |
- Delighted verwendet unterbrechungsfreie Stromversorgungen (z. B. USV, Batterien, Generatoren usw.), um die Verfügbarkeit der Stromversorgung in den Rechenzentren zu gewährleisten. | |
- Delighted hat Notfallpläne für geschäftskritische Prozesse definiert und kann Disaster-Recovery-Strategien für geschäftskritische Dienste anbieten, die in der Dokumentation näher erläutert oder in das EULA-Annahmeformular für den jeweiligen Cloud-Dienst aufgenommen werden. | |
- Prozesse und Systeme für Notfälle werden regelmäßig getestet. | |
1.8 | Kontrolle der Datentrennung. |
Maßnahmen: | |
- Delighted nutzt die technischen Möglichkeiten der eingesetzten Software (z.B. Multi-Tenancy, Systemlandschaften), um eine Datentrennung zwischen personenbezogenen Daten mehrerer Kunden zu erreichen. | |
- Der Kunde (einschließlich seiner für die Verarbeitung Verantwortlichen) hat nur Zugriff auf seine eigenen Daten. | |
1.9 | Kontrolle der Datenintegrität. Personenbezogene Daten bleiben während der Verarbeitung unversehrt, vollständig und aktuell. |
Maßnahmen: | |
Delighted hat eine mehrschichtige Verteidigungsstrategie zum Schutz vor unbefugten Änderungen eingeführt. | |
Im Einzelnen verwendet Delighted Folgendes, um die oben beschriebenen Kontroll- und Messabschnitte zu implementieren: | |
- Firewalls; | |
- Sicherheitsüberwachungszentrum; | |
- Antivirus-Software; | |
- Sicherung und Wiederherstellung; | |
- Externe und interne Penetrationstests; | |
• Regular external audits to prove security measures. | |
Anhang 3 - Zusatz zu den EU-Standardvertragsklauseln für die internationale Datenübermittlung: Tabellen | |
Tabelle 1: Parteien |
Datum des Inkrafttretens des Nachtrags / Startdatum |
Entweder (a) am 21. September 2022, wenn das Datum des Inkrafttretens der Vereinbarung vor dem 21. September 2022 liegt, oder (b) andernfalls am Datum des Inkrafttretens der Vereinbarung. Ungeachtet des Datums des Inkrafttretens dieses Nachtrags erkennt der Kunde an, dass Delighted den UK-Zusatz mit Unterauftragsverarbeitern innerhalb des gesetzlich zulässigen Zeitraums umsetzen wird, und dass der UK-Zusatz zum Datum des Inkrafttretens dieses Nachtrags möglicherweise noch nicht mit Unterauftragsverarbeitern umgesetzt ist. |
|
Die Parteien | Exporteur (der die eingeschränkte Übertragung sendet) | Importeur (der die eingeschränkte Übertragung erhält) |
Angaben zu den Parteien | Kunde | Delighted |
Wichtiger Kontakt | Siehe Einzelheiten in Anhang 1 der DSGVO. Der Datenschutzbeauftragte des Kunden oder ein anderer gesetzlicher Vertreter ist der Hauptansprechpartner. Der Kunde muss diese Angaben auf Anfrage von Delightedzur Verfügung stellen. | Siehe Einzelheiten in Anhang 1 der DSGVO. DelightedDer Datenschutzbeauftragte des Kunden oder ein anderer gesetzlicher Vertreter ist der Hauptansprechpartner. Delighted stellt diese Angaben auf Anfrage des Kunden zur Verfügung. |
Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
Addendum EU SCCs | Die Version der genehmigten EU-SCCs, der dieser Nachtrag beigefügt ist, wird nachstehend einschließlich der Anhangsinformationen aufgeführt: Datum: Datum des Inkrafttretens des DPA Referenz: die EU-Standardvertragsklauseln, auf die in der DPA verwiesen wird |
Tabelle 3: Informationen zum Anhang
"Anhangsinformationen" sind die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) bereitgestellt werden müssen und die für dieses Addendum in enthalten sind:
Anhang 1A: Liste der Vertragsparteien: Siehe Anhang 1 des DPA |
Anhang 1B: Beschreibung der Übermittlung: Siehe Anhang 1 des Datenschutzgesetzes |
Anhang II: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Siehe Anlage 2 des DSG |
Tabelle 4: Beendigung dieses Nachtrags bei Änderungen des genehmigten Nachtrags
Beendigung dieses Nachtrags bei Änderungen des genehmigten Nachtrags | Die Parteien können dieses Addendum gemäß Abschnitt 19 beenden: Importeur Exporteur keine Partei |