ZUSATZ ZUR DATENVERARBEITUNG

letzte Aktualisierung April, 2023

Diese Datenverarbeitungsvereinbarung, einschließlich ihres Anhangs, (diese “DPA“) ist Teil der Allgemeinen Geschäftsbedingungen oder anderer schriftlicher oder elektronischer Verträge zwischen Engage und dem Kunden für den Kauf von Dienstleistungen von Engage (die “Vereinbarung“), die die Vereinbarung der Parteien bezüglich der Verarbeitung personenbezogener Daten widerspiegelt.

Zur Ausübung der Rechte und Erfüllung der Verpflichtungen aus dem Vertrag wird der Exporteur dem Importeur personenbezogene Daten offenlegen und übermitteln. Im Rahmen dieser DPA wird der Importeur die übertragenen personenbezogenen Daten im Namen des Exporteurs gemäß den Anforderungen des Exporteurs, die in dieser DPA festgelegt sind, verarbeiten.

Im Rahmen dieser DPA agiert der Exporteur als Datenverantwortlicher, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten in Übereinstimmung mit den anwendbaren Datenschutzgesetzen festlegt, und der Importeur agiert als Datenverarbeiter, der die übermittelten personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.

Beide Parteien sind verpflichtet, die Bestimmungen dieser DPA einzuhalten.

  1. Definitionen
    1. “Vertrag” bezeichnet die Allgemeinen Geschäftsbedingungen oder einen anderen schriftlichen oder elektronischen Vertrag, der zwischen Engage und dem Kunden für den Erwerb von Dienstleistungen von Engage geschlossen wurde.
    2. Anwendbares Datenschutzrecht” bezeichnet die Gesetze, die auf die spezifische Verarbeitung personenbezogener Daten in Übereinstimmung mit ihrem persönlichen, materiellen und territorialen Geltungsbereich anwendbar sind; das anwendbare Datenschutzrecht wird in der Regel durch Bezugnahme auf den Standort der betroffenen Person bestimmt.
    3. Kunde” bezeichnet die juristische Person, für die Engage in Übereinstimmung mit der Vereinbarung Dienstleistungen erbringt. Der Begriff “Kunde” umfasst den Kunden und autorisierte Tochtergesellschaften.
    4. “Datenschutzverletzung” bezeichnet den Verlust oder die unbefugte Nutzung, das Kopieren, die Änderung, die Offenlegung oder die Zerstörung von oder den Zugriff auf personenbezogene Daten, die im Rahmen dieser DSGVO übermittelt wurden.
    5. Datenverantwortlicher” oder “Verantwortlicher” bezeichnet die Partei, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
    6. Datenexporteur” oder “Exporteur” bezeichnet den Kunden, der personenbezogene Daten im Rahmen dieser DPA an den Datenimporteur übermittelt.
    7. Datenimporteur” oder “Importeur” bezeichnet Engage, das personenbezogene Daten vom Datenexporteur zur Verarbeitung gemäß dieser DPA erhält.
    8. Datenverarbeiter” oder “Auftragsverarbeiter” bezeichnet die Partei, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, auch als Datenvermittler/Vertrauensperson bezeichnet.
    9. Betroffene Person” bezeichnet die natürliche Person, auf die sich die persönlichen Daten beziehen.
    10. Datenunterauftragsverarbeiter” bezeichnet jede natürliche oder juristische Person, die vom Datenimporteur beauftragt werden kann, bei der Verarbeitung personenbezogener Daten im Rahmen dieser DPA mitzuwirken.
    11. DPA” bezeichnet dieses Addendum zur Datenverarbeitung.
    12. Durchsetzungsbehörde(n)” bezeichnet die Aufsichtsbehörde(n) oder jede andere Behörde, die für die Durchsetzung der geltenden Datenschutzgesetze zuständig ist/sind.
    13. Engage” bezeichnet die Engage Technologies Group Inc., eine nach US-Recht gegründete juristische Person mit Hauptsitz in 3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, Vereinigte Staaten.
    14. Persönliche Daten” sind alle Informationen, die sich auf eine betroffene Person beziehen.
    15. “Verarbeitung” bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Gruppen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht, einschließlich beispielsweise der Erhebung, Verwendung und Weitergabe personenbezogener Daten; und
    16. “Dienstleistungen” sind die Dienstleistungen, die der Datenimporteur dem Datenexporteur in Übereinstimmung mit dem Vertrag erbringt.
  2. Verantwortlichkeiten der Parteien
    1. Jede Partei ist dafür verantwortlich, die Klauseln dieser DPA in Übereinstimmung mit den geltenden Datenschutzgesetzen einzuhalten.
    2. Beide Parteien sind dafür verantwortlich, den Schutz und die Sicherheit personenbezogener Daten in Übereinstimmung mit ihren Aufgaben und Verpflichtungen gemäß den geltenden Datenschutzgesetzen zu gewährleisten.
    3. Beide Parteien sind dafür verantwortlich, die Rechte der betroffenen Person zu respektieren und die Mittel zu ihrer Ausübung bereitzustellen, in Übereinstimmung mit ihren Aufgaben und Pflichten gemäß den geltenden Datenschutzgesetzen.
    4. Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese DPA zufügt.
    5. Wenn mehr als eine Partei für einen Schaden verantwortlich ist, der der betroffenen Person infolge eines Verstoßes gegen diese DSGVO entstanden ist, sind alle verantwortlichen Parteien gesamtschuldnerisch haftbar, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.
    6. Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
    7. Der Datenexporteur garantiert, sichert zu und verpflichtet sich, dass:

      1. Die personenbezogenen Daten wurden im Rahmen dieser DPA in Übereinstimmung mit den anwendbaren Datenschutzgesetzen erhoben, verwendet, offengelegt und an den Datenimporteur übermittelt.

      2. Die im Rahmen dieser DPA an den Datenimporteur übermittelten personenbezogenen Daten sind richtig, vollständig und für die Zwecke der Verarbeitung durch den Datenimporteur relevant.

      3. Der Datenexporteur ergreift angemessene technische und betriebliche Maßnahmen, um die Sicherheit der personenbezogenen Daten während der Übermittlung an den Datenimporteur zu gewährleisten.

      4. Der Datenexporteur antwortet auf Anfragen von betroffenen Personen oder Vollstreckungsbehörden bezüglich der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß den geltenden Datenschutzgesetzen. Die Beantwortung solcher Anfragen und Ersuchen erfolgt innerhalb eines angemessenen Zeitrahmens oder innerhalb des Zeitrahmens und in der Art und Weise, wie es die geltende Datenschutzgesetzgebung gegebenenfalls vorschreibt.

      5. Gegebenenfalls ist der Exporteur dafür verantwortlich, die Zustimmung der betroffenen Personen einzuholen, damit der Importeur personenbezogene Daten im Namen des Exporteurs verarbeiten, nutzen oder weitergeben kann.

    8. Der Datenimporteur garantiert, sichert zu und verpflichtet sich, dass:

      1. Der Datenimporteur verarbeitet personenbezogene Daten nur in Übereinstimmung mit den Anweisungen des Datenexporteurs und zu den im Anhang zu dieser DPA beschriebenen Zwecken.
      2. Der Datenimporteur darf die personenbezogenen Daten, die er vom Datenexporteur erhält, nicht an eine andere Person, Vollstreckungsbehörde oder juristische Person weitergeben oder übertragen, auch nicht an Datenunterverarbeiter, es sei denn, er hat den Datenexporteur schriftlich über eine solche Weitergabe oder Übertragung informiert und dem Datenexporteur eine angemessene Gelegenheit zum Widerspruch gegeben.
      3. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur vor jeder Offenlegung oder Übermittlung personenbezogener Daten an Dritte, einschließlich an Datenunterverarbeiter, sicherstellt, dass der Dritte den Verpflichtungen des Datenimporteurs gegenüber dem Datenexporteur unterliegt und an diese gebunden ist.
      4. Der Datenimporteur verpflichtet sich, angemessene Schritte zu unternehmen, um Maßnahmen zur Speicherung und Verarbeitung personenbezogener Daten zu ergreifen, die den angemessenen Sicherheitsstandards gemäß der geltenden Datenschutzgesetzgebung entsprechen.
      5. Der Datenimporteur übermittelt dem Datenexporteur unverzüglich alle Anfragen und Anträge von betroffenen Personen in Bezug auf die vom Datenexporteur übermittelten personenbezogenen Daten, einschließlich der Anträge auf Zugang oder Berichtigung der personenbezogenen Daten.
      6. Der Datenimporteur korrigiert alle Fehler oder Auslassungen in den personenbezogenen Daten, die vom Datenexporteur in angemessener Weise angefordert werden, innerhalb von 30 Tagen nach Erhalt der Anfrage oder innerhalb eines anderen Zeitraums, der durch die anwendbaren Datenschutzgesetze vorgeschrieben ist.
      7. Nach Beendigung der Vereinbarung oder nach Abschluss der gemäß dieser DPA erforderlichen Verarbeitung gibt der Datenimporteur nach Wahl des Datenexporteurs entweder die gemäß dieser DPA in seinem Besitz befindlichen personenbezogenen Daten an den Datenexporteur zurück oder stellt die Aufbewahrung dieser personenbezogenen Daten in einer vom Datenexporteur genehmigten Weise ein.
      8. Der Datenimporteur muss angemessene und geeignete technische, administrative, betriebliche und physische Maßnahmen ergreifen, die mit den geltenden Datenschutzgesetzen im Einklang stehen, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu schützen, insbesondere gegen das Risiko von Datenverletzungen.
      9. Stellt der Datenimporteur fest, dass eine Datenschutzverletzung vorliegt, die personenbezogene Daten betrifft, die sich in seinem Besitz oder unter seiner Kontrolle befinden oder die sich im Besitz oder unter der Kontrolle eines Importeurs einer Weitergabe oder Übermittlung der personenbezogenen Daten befinden, so benachrichtigt er den Datenexporteur ohne unangemessene Verzögerung.
      10. Der Datenimporteur benachrichtigt und konsultiert den Datenexporteur unverzüglich über jede Untersuchung hinsichtlich der Erhebung, Verwendung, Weitergabe, Offenlegung, Sicherheit oder Entsorgung der im Rahmen dieser DPA übermittelten personenbezogenen Daten, sofern dies nicht gesetzlich verboten ist.
    9. Der Importeur kommt allen seinen Verpflichtungen im Rahmen der anwendbaren Datenschutzgesetze auf eigene Kosten nach.
    10. Wenn der Exporteur dem Importeur personenbezogene Daten zur Verfügung stellt, unternimmt der Exporteur angemessene Anstrengungen, um sicherzustellen, dass die personenbezogenen Daten richtig und vollständig sind, bevor er sie dem Importeur zur Verfügung stellt. In jedem Fall unternimmt der Importeur auf schriftliche Anfrage des Exporteurs so schnell wie möglich Schritte, um etwaige Fehler in den personenbezogenen Daten zu korrigieren.
    11. Der Importeur ist im Rahmen dieser DPA nur für die Verarbeitung der personenbezogenen Daten verantwortlich, wenn diese vom Exporteur übermittelt werden, wie vom Exporteur angegeben.
  3. DATENSCHUTZGARANTIEN
    1. Der Exporteur garantiert, dass er sich in angemessener Weise vergewissert hat, dass der Importeur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seine Verpflichtungen aus dieser DPA zu erfüllen.
    2. Der Importeur darf die vom Importeur erhaltenen oder im Namen des Exporteurs verarbeiteten personenbezogenen Daten nur auf dokumentierte Anweisungen des Exporteurs hin verarbeiten. Der Exporteur kann solche Anweisungen während der gesamten Laufzeit des Abkommens erteilen.
    3. Der Importeur informiert den Exporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.
    4. Der Importeur verarbeitet die vom Importeur erhaltenen oder im Namen des Exporteurs verarbeiteten personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in dieser DPA dargelegt, es sei denn, der Exporteur erteilt weitere Anweisungen.
    5. Der Importeur darf die vom Importeur erhaltenen oder im Auftrag des Exporteurs verarbeiteten personenbezogenen Daten nur in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze an Dritte weitergeben.
  4. SICHERHEIT DER VERARBEITUNG
    1. Der Importeur und der Exporteur ergreifen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf diese Daten führt. Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen die Vertragsparteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und den/die Zweck/Zwecke der Verarbeitung sowie die mit der Verarbeitung der betroffenen Personen verbundenen Risiken angemessen. Die Parteien erwägen den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs.
    2. Der Importeur gewährt seinen Mitarbeitern nur in dem Umfang Zugang zu den personenbezogenen Daten, der für die Durchführung, Verwaltung und Überwachung der Vereinbarung unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
    3. Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Importeur im Rahmen dieser DPA verarbeitet werden, ergreift der Importeur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Minderung ihrer negativen Auswirkungen, und benachrichtigt den Exporteur unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat.
    4. Der Importeur schützt die personenbezogenen Daten, die sich unter seiner Kontrolle oder in seinem Besitz befinden, durch angemessene Sicherheitsvorkehrungen (gegebenenfalls einschließlich physischer, administrativer, verfahrenstechnischer sowie informations- und kommunikationstechnischer Maßnahmen), um Folgendes zu verhindern: (i) den unbefugten oder versehentlichen Zugriff auf die personenbezogenen Daten, ihre Erfassung, Verwendung, Offenlegung, Vervielfältigung, Änderung, Beseitigung oder Vernichtung oder andere ähnliche Risiken; und (ii) den Verlust von Speichermedien oder Geräten, auf denen personenbezogene Daten gespeichert sind. Für die Zwecke dieses Abkommens umfasst der Begriff “angemessene Sicherheitsvorkehrungen” die in Anhang II des Abkommens aufgeführten Vorkehrungen.
  5. EINSATZ VON UNTERAUFTRAGSVERARBEITERN
    1. ALLGEMEINE SCHRIFTLICHE ERMÄCHTIGUNG: Der Datenimporteur verfügt über die allgemeine Ermächtigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeiter(n).
    2. Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Rahmen eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, die für den Datenimporteur gemäß dieser DSGVO gelten.
    3. Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach der Datenexporteur für den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
    4. Auf Verlangen des Datenexporteurs stellt der Datenimporteur dem für die Verarbeitung Verantwortlichen eine Kopie eines solchen Unterauftragsverarbeitungsvertrags und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Auftragsverarbeiter den Text der Vereinbarung vor der Weitergabe der Kopie schwärzen.
  6. RECHTE DER BETROFFENEN PERSONEN
    1. Der Importeur unterrichtet den Exporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde vom Exporteur dazu ermächtigt.
    2. Der Importeur unterstützt den Exporteur bei der Erfüllung seiner Verpflichtungen zur Beantwortung der Anträge der betroffenen Personen auf Ausübung ihrer Rechte.
    3. Im Falle eines Rechtsstreits zwischen einer betroffenen Person und einer der Parteien über die Einhaltung dieser DSGVO bemüht sich die betreffende Partei nach besten Kräften, die Angelegenheit zeitnah gütlich zu regeln. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
  7. AUFBEWAHRUNG VON PERSONENBEZOGENEN DATEN
    1. Der Importeur darf die dieser DSGVO unterliegenden personenbezogenen Daten (oder jegliche Dokumente oder Aufzeichnungen, die diese personenbezogenen Daten enthalten, ob elektronisch oder anderweitig) nicht länger aufbewahren, als es für die Zwecke dieser DSGVO erforderlich ist.
    2. Der Importeur muss auf Anfrage des Exporteurs:
      1. alle personenbezogenen Daten an den Exporteur zurückgeben; oder
      2. alle persönlichen Daten in seinem Besitz zu löschen, und, falls zutreffend, weist der Importeur auch alle Dritten an, denen er die personenbezogenen Daten für die Zwecke dieser DPA offengelegt hat, diese personenbezogenen Daten an den Auftragsverarbeiter zurückzugeben oder zu löschen.
    3. Die in den vorstehenden Absätzen (a) und (b) vorgesehenen Klauseln gelten nicht für besondere Situationen, in denen der Importeur einer gesetzlichen Verpflichtung unterliegt, personenbezogene Daten für einen längeren Zeitraum aufzubewahren.
  8. STREITBEILEGUNG UND DAS ANWENDBARE RECHT
    1. Alle Streitigkeiten im Rahmen dieser DPA werden durch gütliche Einigung beigelegt.
    2. Wenn eine gütliche Einigung nicht möglich ist, werden alle Streitigkeiten gemäß den staatlichen Gesetzen von den Räumlichkeiten des Datenimporteurs aus beigelegt.
    3. Sollte es einen Konflikt oder eine Unstimmigkeit zwischen den Klauseln in dieser DPA und den geltenden Datenschutzgesetzen geben, haben die Bestimmungen der geltenden Datenschutzgesetze Vorrang.
  9. KONSEQUENZEN BEI NICHTEINHALTUNG
    1. Falls eine der Parteien ihren Verpflichtungen aus dieser DPA nicht nachkommt, benachrichtigt die betroffene Partei die schuldige Partei, um die Nichtkonformität innerhalb einer angemessenen Frist zu beheben.
    2. Je nach Schwere der Nichtkonformität kann die betroffene Partei die Übermittlung oder Verarbeitung der personenbezogenen Daten im Rahmen dieser DSGVO für den Zeitraum aussetzen, der zur Behebung der Nichtkonformität erforderlich ist.
    3. Für den Fall, dass:
      1. die Übermittlung oder Verarbeitung personenbezogener Daten an oder durch den Datenimporteur gemäß Absatz (b) vorübergehend für länger als 6 Monate ausgesetzt wurde; oder
      2. die Einhaltung dieser DPA durch eine der Parteien einen Verstoß gegen ihre Verpflichtungen nach dem Recht des Landes bedeuten würde, in dem sie die personenbezogenen Daten verarbeitet; oder
      3. eine rechtskräftige Entscheidung eines zuständigen Gerichts vorliegt, gegen die kein Rechtsmittel mehr eingelegt werden kann, dass eine Verletzung dieser DPA durch eine der Parteien vorliegt; oder
      4. eine der Parteien ihren Betrieb freiwillig oder unfreiwillig einstellt, ihre Absicht bekannt gibt, den Betrieb einzustellen, oder alle oder im Wesentlichen alle ihre Vermögenswerte an ein nicht verbundenes Unternehmen überträgt, so ist die geschädigte Partei, unbeschadet aller anderen Rechte, die sie gegenüber der schuldigen Partei hat, berechtigt, diese DPA zu kündigen.
    4. Die Parteien vereinbaren, dass die Beendigung dieser DPA zu jeder Zeit, unter allen Umständen und aus welchem Grund auch immer, sie nicht von den Verpflichtungen dieser DPA in Bezug auf die Rückgabe oder Löschung der übermittelten personenbezogenen Daten entbindet.
    5. Der Exporteur ist für die Einhaltung seiner eigenen gesetzlichen Verpflichtungen verantwortlich und muss den Importeur für alle Schäden entschädigen, die dem Importeur durch die Nichteinhaltung seiner eigenen gesetzlichen Verpflichtungen entstehen.
  10. ALLGEMEINE UNTERNEHMUNGEN

    1. Jede Partei garantiert, sichert zu und verpflichtet sich gegenüber der anderen Partei, dass sie voll befähigt und befugt ist, ihre Verpflichtungen im Rahmen und in Übereinstimmung mit dieser DPA einzugehen und zu erfüllen.
    2. Jede Partei erklärt sich damit einverstanden, alle geltenden Datenschutzgesetze im Zusammenhang mit der Erfüllung ihrer Verpflichtungen aus dieser DPA einzuhalten.
    3. Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der damit zusammenhängenden Verträge zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, haben diese Klauseln Vorrang.
  11. SCHLUSSBESTIMMUNGEN

    1. Die Parteien können diese DPA durch eine schriftliche Vereinbarung annehmen oder abändern, wie es die anwendbare Datenschutzgesetzgebung verlangt. Dies schließt nicht aus, dass die Parteien durch schriftliche Vereinbarung Klauseln hinzufügen oder abändern, die für ihre kommerziellen oder geschäftlichen Vereinbarungen angemessen sind.

    2. Die Gesamthaftung jeder Partei und aller ihrer Verbundenen Unternehmen, die sich aus oder im Zusammenhang mit dieser DPA und allen DPAs zwischen autorisierten Verbundenen Unternehmen und Engage ergibt, ob aus Vertrag, unerlaubter Handlung oder unter einer anderen Haftungstheorie, unterliegt dem Abschnitt “Haftungsbeschränkung” der Vereinbarung, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer Verbundenen Unternehmen unter der Vereinbarung und allen DPAs zusammengenommen. Um Zweifel auszuschließen, gilt die Gesamthaftung von Engage und seinen Verbundenen Unternehmen für alle Ansprüche des Kunden und aller seiner autorisierten Verbundenen Unternehmen, die sich aus dem Vertrag und allen DPAs ergeben oder damit in Zusammenhang stehen, insgesamt für alle Ansprüche sowohl aus dem Vertrag als auch aus allen DPAs, die im Rahmen des Vertrags eingerichtet wurden, einschließlich der Ansprüche des Kunden und aller autorisierten Verbundenen Unternehmen, und ist insbesondere nicht so zu verstehen, dass sie individuell und einzeln für den Kunden und/oder jedes autorisierte Verbundene Unternehmen gilt, das eine Vertragspartei eines solchen DPA ist.

    3. Engage kann diese DPA von Zeit zu Zeit ändern, indem es eine überarbeitete Version auf seiner Website veröffentlicht, die Sie unter[RB1]  https://www.engagetg.com/data-processing-addendum finden. Wenn Engage Änderungen vornimmt, die sich negativ und wesentlich auf die Rechte oder Pflichten des Kunden in dieser DPA auswirken, wird Engage den Kunden auf elektronischem Wege schriftlich benachrichtigen. Nach Erhalt einer Mitteilung über wesentliche Änderungen dieser DPA hat der Kunde, sofern er von diesen Änderungen negativ und wesentlich betroffen ist, fünf (5) Tage Zeit, um Engage schriftlich über seine Absicht zu informieren, die Vereinbarung zu kündigen; nach Ablauf dieser Frist wird davon ausgegangen, dass der Kunde die überarbeitete DPA akzeptiert hat. Die Mitteilung des Kunden über seine Absicht, die Vereinbarung infolge wesentlicher Änderungen dieser DPA gemäß diesem Abschnitt zu kündigen, muss eine spezifische Beschreibung der wesentlichen und negativen Auswirkungen der Änderungen auf den Kunden enthalten. Engage kann die Vereinbarung und alle Dienstleistungen jederzeit innerhalb von sechzig (60) Tagen ab dem Tag einer solchen schriftlichen Mitteilung an Engage kündigen.

    4. Diese DPA ist Teil des zwischen den Parteien geschlossenen Vertrags.

    5. Die Beendigung oder Aussetzung dieser DPA führt dazu, dass die Verarbeitung personenbezogener Daten im Rahmen dieser DPA nicht fortgesetzt werden kann, was schwerwiegende Folgen für die Ausführung des Vertrags hat.

APPENDIX

Anhang I – BESCHREIBUNG DER VERARBEITUNG

A. LISTE DER PARTEIEN

Datenexporter:

Der Kunde, wie in der Vereinbarung erwähnt

Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Der Datenexporteur übermittelt die personenbezogenen Daten und der Datenimporteur speichert die personenbezogenen Daten, um den zwischen dem Datenexporteur und dem Datenimporteur geschlossenen Dienstleistungsvertrag auszuführen.

Rolle (Controller/Prozessor): Controller

Datenimporteur:

Name: Engage Technologies Gruppe, Inc.

Adresse: 3540 E Longwing Lane, Suite 300, Meridian, Idaho, 83646, Vereinigte Staaten

Datenschutzbeauftragter oder Kontaktperson: dpo@engagetg.com

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Der Datenimporteur erhält die personenbezogenen Daten vom Datenexporteur und verarbeitet sie im Auftrag des Datenexporteurs gemäß den von letzterem erteilten Anweisungen.

Rolle (Controller/Prozessor): Prozessor

 

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden:

Die Kategorie der betroffenen Personen, die von den Übertragungen, die Gegenstand dieser Vereinbarung sind, betroffen sind, sind die Empfänger (d.h. die Empfänger des Nutzers und andere Personen, über die ein Nutzer Informationen gegeben hat oder die auf andere Weise mit einem Nutzer über den Dienst interagiert haben).

Kategorien der übermittelten personenbezogenen Daten:

Identifikationsdaten (interne Engage ID); Kontaktinformationen (Vorname, Nachname); Kontaktdaten (Telefonnummer); Medizinische Informationen (Terminart, Datum/Uhrzeit des Termins); Informationen zur Reise (Reise, Ereignistyp, Ereignisdatum, Ereignis-ID, Episodenname, Sprache, Video-ID, Videoname, Videolänge, verfolgte Videodauer, prozentualer Anteil der verfolgten Videodauer, Aufruf zum Handeln)

Sensible Daten übertragen:

S ensitive Daten werden als Teil des Dienstes nur über die API Kit Integrationsmethode verarbeitet. Wenn der Datenexporteur sich für diese Integrationsmethode entscheidet, werden Terminart und Termindatum/-zeit vom Datenimporteur verarbeitet.

Die Häufigkeit der Übertragung:

Die Datenübermittlung erfolgt fortlaufend und in Übereinstimmung mit der Art des Dienstleistungsvertrags

Art der Verarbeitung:

Die Verarbeitung basiert auf der Geschäftsbeziehung gemäß dem zwischen dem Datenexporteur und dem Datenimporteur geschlossenen Vertrag und bezieht sich auf das Sammeln, Erfassen, Organisieren, Strukturieren, Speichern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Löschen oder Vernichten von personenbezogenen Daten.

Zweck(e) der Datenübermittlung und Weiterverarbeitung:

Der Hauptzweck der Verarbeitung personenbezogener Daten ist die Ausführung des zwischen dem Datenexporteur und dem Datenimporteur abgeschlossenen Dienstleistungsvertrags, dessen Gegenstand der Zugang zur Reise und die Bereitstellung von Statistiken über die Empfänger des Datenexporteurs ist.

Die spezifischen Zwecke für die Verarbeitung von personenbezogenen Daten sind:

  • Senden von Textnachrichten an die Empfänger mit Links für die Reise(n)
  • Verfolgung des Verhaltens des Empfängers während der Reise(n)
  • Bereitstellung von statistischen Berichten über die Nutzung der Plattform durch die Empfänger

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden:

Die im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten werden vom Datenimporteur nur während der Ausführung des Vertrags mit dem Kunden verarbeitet.

Übertragungen an Unterauftragsverarbeiter:

Der Importeur darf die personenbezogenen Daten, die dieser DSGVO unterliegen, nur für die Zwecke oder in Übereinstimmung mit den Zwecken der Übermittlung weitergeben oder seinen Anbietern zur Verfügung stellen, wobei der Zugriff auf das für die Erbringung der Dienstleistungen unbedingt erforderliche Maß beschränkt wird und nur für den Zeitraum der Erbringung der Dienstleistungen erfolgt.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Die zuständige Aufsichtsbehörde wird im Einklang mit den geltenden Datenschutzgesetzen des Landes bestimmt, in dem sich die betroffenen Personen befinden.

 

Anhang II – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN ZUR GARANTIERUNG DER SICHERHEIT DER DATEN

Beschreibung der von dem/den Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen:

  • Maßnahmen zur Pseudonymisierung und Verschlüsselung von persönlichen Daten
  • Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste
  • Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen
  • Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
  • Maßnahmen zur Benutzeridentifizierung und -autorisierung
  • Maßnahmen zum Schutz der Daten während der Übertragung
  • Maßnahmen zum Schutz der Daten während der Speicherung
  • Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden
  • Maßnahmen zur Sicherstellung der Ereignisprotokollierung
  • Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration
  • Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und -verwaltung
  • Maßnahmen zur Zertifizierung/Absicherung von Prozessen und Produkten
  • Maßnahmen zur Gewährleistung der Datensparsamkeit
  • Maßnahmen zur Sicherung der Datenqualität
  • Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung
  • Maßnahmen zur Gewährleistung der Rechenschaftspflicht
  • Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung von Daten

ANHANG III – LISTE DER UNTERAUFTRAGSVERARBEITER

Der für die Verarbeitung Verantwortliche hat die Verwendung der folgenden Unterauftragsverarbeiter genehmigt:

  1. Name: Microsoft Azure

Webadresse: https://azure.microsoft.com

Datenschutzbeauftragter: privacy.microsoft.com.

Beschreibung der Verarbeitung: Hosting und Infrastruktur, Cloud Computing-Plattformen und APIs.

  1. Name: Auth0

Webadresse: https://auth0.com

DSB: privacy@okta.com

Beschreibung der Verarbeitung: Authentifizierung und Autorisierung auf der Plattform.

  1. Name: Twilio

Webadresse: https://www.twilio.com

DSB: privacy@twilio.com

Beschreibung der Verarbeitung: Bereitstellung von Textnachrichten mit einem Einmal-Passwort.

  1. Name: Kaleyra

Webadresse: https://www.kaleyra.com

DSB: privacy@kaleyra.com

Beschreibung der Verarbeitung: Aggregation von Textnachrichten.

  1. Name: Vibes

Webadresse: www.vibes.com

DSB: –

Beschreibung der Verarbeitung: Aggregation von Textnachrichten.

Scroll to Top