Datenverarbeitungsvereinbarung

Alles, was Sie über unseren Datenschutzvertrag wissen müssen.

DSGVO - Datenverarbeitungsvereinbarung

Diese Vereinbarung ist in englischer Sprache verfasst. Soweit eine übersetzte Version dieser Vereinbarung mit dieser englischen Version in Konflikt steht, kontrolliert diese englische Version.

Diese Datenverarbeitungsvereinbarung ("DPA") spiegelt die Vereinbarung zwischen Intuitive Security Systems Pty Ltd ("ISS") und Ihnen (gemeinsam als die "Parteien" bezeichnet) in Bezug auf die Bedingungen für die Verarbeitung personenbezogener Daten unter der Intuitive Password Nutzungsbedingungen (das" ToS ").

Diese DPA ist eine Änderung der ToS und ist mit ihrer Aufnahme in die ToS wirksam, wobei diese Gründung in einem Kaufvertrag ("Bestellung") oder einer ausgeführten Änderung der ToS festgelegt werden kann. Nach ihrer Aufnahme in das ToS wird die Datenschutzbehörde einen Teil des ToS bilden. Mit der Eingliederung bestätigen Sie, dass ISS ein Zero-Knowledge Security Provider ist. Nur der Benutzer von Intuitive Password hat die vollständige Kontrolle über die Verschlüsselung und Entschlüsselung der in seinen Konten gespeicherten Daten. Ferner bestätigen Sie, dass ISS als SOC 2 Type 2-konform zertifiziert ist.

In allen Fällen handelt Intuitive Password ("Bearbeiter") oder ein im Namen des Bearbeiter handelnder Dritter als Bearbeiter von persönlichen Daten und Sie ("Beauftragter") bleiben weiterhin Beauftragte für personenbezogene Daten. Die Laufzeit dieser Datenschutzvereinbarung muss der Laufzeit der Nutzungsbedingungen entsprechen. Begriffe, die hier nicht anders definiert sind, haben die in der ToS festgelegte Bedeutung.

Diese Datenschutzvereinbarung umfasst:

1 Standardvertragsklauseln, hier als EXHIBIT 1 beigefügt.

A. Anhang 1 zu den Standardvertragsklauseln, der Einzelheiten zu den vom Datenexporteur an den Datenimporteur übermittelten personenbezogenen Daten enthält.

B. Anhang 2 zu den Standardvertragsklauseln, der eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen enthält, die vom Datenimporteur als referenziert umgesetzt werden.

2 Liste der Subunternehmer, als EXHIBIT 2 beigefügt.

1. Definitionen

Persönliche Daten bezeichnet jedes einzelne Element von Informationen, die die persönlichen oder materiellen Umstände einer identifizierten oder identifizierbaren Person betreffen.

Verarbeitung bedeutet die Verarbeitung personenbezogener Daten im Auftrag, einschließlich Speicherung, Änderung, Übertragung, Sperrung oder Löschung personenbezogener Daten durch den Bearbeiter, der im Auftrag des Verantwortlichen handelt.

Anweisung bezeichnet die schriftliche Anweisung, die vom Controller an den Prozessor ausgegeben wird und diese anweist, eine spezifische Aktion in Bezug auf personenbezogene Daten auszuführen (einschließlich, aber nicht beschränkt auf Entpersonalisierung, Blockierung, Löschung, Bereitstellung). Anweisungen sind zunächst in der ToS anzugeben und können von Zeit zu Zeit durch den Controller in gesonderten schriftlichen Anweisungen (Einzelanweisungen) ergänzt, ergänzt oder ersetzt werden.

2. Umfang und Verantwortung

Der Prozessor verarbeitet persönliche Daten im Auftrag des Controllers. Die Verarbeitung umfasst solche Aktionen, die in den Nutzungsbedingungen und einer Bestellung angegeben sind. Im Rahmen des ToS ist der Verantwortliche allein verantwortlich für die Einhaltung der gesetzlichen Datenschutzbestimmungen, insbesondere für die Übermittlung personenbezogener Daten an den Bearbeiter und die Verarbeitung personenbezogener Daten (als "verantwortliche Stelle" im Sinne von § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) oder eine entsprechende Bestimmung des ansonsten geltenden nationalen Datenschutzrechts).

Aufgrund dieser Verantwortung ist der Verantwortliche berechtigt, die Berichtigung, Löschung, Sperrung und Bereitstellung personenbezogener Daten während und nach Ablauf der Vertragsdauer gemäß den weiteren Bestimmungen des Vertrags über die Rückgabe und Löschung personenbezogener Daten zu verlangen.

Die Bestimmungen dieser Datenschutzvereinbarung gelten gleichermaßen, wenn die Prüfung oder Wartung von automatischen Prozessen oder von Verarbeitungsausrüstung im Auftrag von Controller durchgeführt wird und der Zugriff auf personenbezogene Daten in diesem Zusammenhang nicht ausgeschlossen werden kann.

3. Pflichten des Bearbeiters

Der Verarbeiter darf personenbezogene Daten nur im Rahmen der Anweisungen des Verantwortlichen erheben, verarbeiten und nutzen. Ist der Bearbeiter der Auffassung, dass eine Anweisung des Controllers gegen das BDSG oder andere Datenschutzbestimmungen verstößt, muss er dies dem Auftraggeber unverzüglich mitteilen.

Im Verantwortungsbereich des Prozessors muss der Prozessor die interne Unternehmensorganisation des Prozessors strukturieren, um die Einhaltung der spezifischen Anforderungen des Schutzes personenbezogener Daten sicherzustellen. Der Bearbeiter hat geeignete technische und organisatorische Maßnahmen zu ergreifen, um die personenbezogenen Daten des Auftraggebers entsprechend den Anforderungen des Bundesdatenschutzgesetzes (§ 9 BDSG) oder einer entsprechenden Bestimmung des ansonsten geltenden nationalen Datenschutzrechts angemessen vor Missbrauch und Verlust zu schützen. Diese Maßnahmen umfassen unter anderem Folgendes:

1 Die Verhinderung des Zugriffs von Unbefugten auf Systeme zur Verarbeitung personenbezogener Daten (physische Zugangskontrolle).

2 Verhinderung der Verwendung von Systemen zur Verarbeitung personenbezogener Daten ohne Genehmigung (logische Zugangskontrolle).

3 Sicherstellen, dass Personen, die berechtigt sind, ein System zur Verarbeitung personenbezogener Daten zu nutzen, nur Zugang zu solchen personenbezogenen Daten erhalten, zu denen sie gemäß ihren Zugriffsrechten berechtigt sind, und dass personenbezogene Daten während der Verarbeitung oder Nutzung und nach der Speicherung nicht gelesen werden können, ohne Genehmigung kopiert, geändert oder gelöscht (Datenzugriffskontrolle).

4 Sicherstellen, dass personenbezogene Daten bei der elektronischen Übertragung, dem Transport oder der Speicherung auf Speichermedien nicht unbefugt gelesen, kopiert, geändert oder gelöscht werden können und dass die Zieleinheiten für die Übertragung personenbezogener Daten mittels Datenübertragungseinrichtungen eingerichtet und verifiziert werden können (Daten Übertragungskontrolle).

5 Gewährleistung der Erstellung eines Prüfpfads, um zu dokumentieren, ob und von wem personenbezogene Daten in Systeme zur Verarbeitung personenbezogener Daten eingegeben, geändert oder entfernt wurden (Zugangskontrolle).

6 Sicherstellen, dass personenbezogene Daten ausschließlich in Übereinstimmung mit den Anweisungen (Kontrolle der Anweisungen) verarbeitet werden.

7 Sicherstellen, dass persönliche Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).

8 Sicherstellen, dass für unterschiedliche Zwecke erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennungskontrolle).

Eine Maßnahme im Sinne von lit. b bis d soll insbesondere die Verwendung von Verschlüsselungstechnik nach dem Stand der Technik für den Clientzugriff sein, ist jedoch nicht darauf beschränkt. Ein Überblick über die oben aufgeführten technischen und organisatorischen Maßnahmen ist diesem DPA als Anhang beizufügen.

Auf Anfrage des Controllers stellt der Prozessor ein aktuelles Schutz- und Sicherheitsprogramm für personenbezogene Daten zur Verfügung, das die Verarbeitung gemäß diesem Vertrag abdeckt.

Auf Anfrage des Prüfers und mit Ausnahme der Fälle, in denen der Prüfer diese Informationen direkt abrufen kann, muss der Prüfer alle Informationen zur Verfügung stellen, die für die Erstellung der in Sitzung 4g Abs. 2 definierten Übersicht erforderlich sind. 2 Satz 1 BDSG oder eine entsprechende Bestimmung des ansonsten geltenden nationalen Datenschutzrechts.

Der Bearbeiter stellt sicher, dass sich das mit der Verarbeitung der personenbezogenen Daten beauftragte Personal verpflichtet hat, den Grundsatz des Datengeheimnisses gemäß Session 5 BDSG (oder eine entsprechende Bestimmung des ansonsten geltenden nationalen Datenschutzrechts) einzuhalten und ordnungsgemäß über den Schutz informiert worden ist Vorschriften des BDSG oder des ansonsten geltenden nationalen Datenschutzrechts. Die Geheimhaltungspflicht besteht auch nach Beendigung der oben genannten Tätigkeiten fort.

Der Bearbeiter muss einen Datenschutzbeauftragten ernennen, wenn dies gesetzlich vorgeschrieben ist, und der Bearbeiter dem Controller auf Verlangen des Beauftragten die Kontaktdaten des Datenschutzbeauftragten mitteilen muss.

Der Verarbeiter wird den für die Verarbeitung Verantwortlichen unverzüglich im Falle einer schwerwiegenden Betriebsunterbrechung oder Verstößen des Verarbeiters oder der von ihm beschäftigten Personen von Bestimmungen zum Schutz personenbezogener Daten oder von in dieser Datenschutzvereinbarung festgelegten Bedingungen informieren. In einem solchen Fall muss der Bearbeiter die erforderlichen Maßnahmen ergreifen, um die personenbezogenen Daten zu schützen und mögliche nachteilige Auswirkungen auf die betroffenen Personen zu mindern, und er wird sich unverzüglich mit dem für die Verarbeitung Verantwortlichen abstimmen. Der Bearbeiter unterstützt den Verantwortlichen bei der Erfüllung der Offenlegungspflichten des Prüfers nach § 42a BDSG (oder einer entsprechenden Bestimmung des ansonsten geltenden nationalen Datenschutzrechts).

Der Controller behält sich das Eigentum an allen dem Auftragnehmer zur Verfügung gestellten Trägermedien sowie Kopien oder Reproduktionen davon vor. Der Verarbeiter muss solche Datenträger sicher aufbewahren und vor unbefugtem Zugriff durch Dritte schützen. Der Bearbeiter übermittelt dem Controller auf Verlangen alle Informationen über die personenbezogenen Daten und Informationen des für die Verarbeitung Verantwortlichen. Der Verarbeiter ist verpflichtet, jedes Prüf- und Verschrottungsmaterial auf der Grundlage einer vom Prüfer erteilten Anweisung im Einzelfall sicher zu löschen. Wenn der für die Verarbeitung Verantwortliche dies beschließt, übergibt der Verarbeiter das Material an den für die Verarbeitung Verantwortlichen oder speichert es im Auftrag des für die Verarbeitung Verantwortlichen.

Der Bearbeiter ist verpflichtet, sich selbst zu prüfen und die Erfüllung der oben genannten Pflichten zu überprüfen und eine angemessene Dokumentation dieser Überprüfung beizubehalten.

4. Pflichten des Controllers

Der Controller und der Prozessor sind für die Einhaltung der für sie geltenden gesetzlichen Datenschutzbestimmungen gesondert verantwortlich.

Der Prüfer informiert den Bearbeiter unverzüglich und umfassend über Fehler oder Unregelmäßigkeiten im Zusammenhang mit den gesetzlichen Bestimmungen zur Verarbeitung personenbezogener Daten, die bei einer Überprüfung der Ergebnisse dieser Verarbeitung festgestellt werden.

Der Controller ist verpflichtet, das öffentlich zugängliche Register im Sinne von § 4g Abs. 2 zu unterhalten. 2 Satz 2 BDSG (oder eine entsprechende Bestimmung des ansonsten geltenden nationalen Datenschutzgesetzes).

Der Controller ist für die Erfüllung der Informationspflichten nach § 42a BDSG oder einer entsprechenden Bestimmung des ansonsten geltenden nationalen Datenschutzrechts verantwortlich.

Der Controller hat bei Beendigung oder Ablauf des ToS und durch Erteilung einer Weisung innerhalb einer vom Bearbeiter gesetzten Frist die zumutbaren Maßnahmen zur Rücksendung von Datenträgermedien oder zur Löschung gespeicherter Daten zu treffen.

Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe oder Löschung personenbezogener Daten nach Beendigung oder Ablauf des ToS entstehen, trägt der Controller.

5. Anfragen von Datensubjekten an den Controller

Ist der für die Verarbeitung Verantwortliche auf der Grundlage des anwendbaren Datenschutzrechts verpflichtet, Informationen über die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten bereitzustellen, unterstützt er den Prüfer bei der Bereitstellung dieser Informationen, sofern: (i) der für die Verarbeitung Verantwortliche den Bearbeiter angewiesen hat dies schriftlich zu beschließen, und ii) der Kontrolleur entschädigt den Bearbeiter für die Kosten, die sich aus dieser Unterstützung ergeben.

Wenn eine betroffene Person den Bearbeiter auffordert, personenbezogene Daten zu korrigieren, zu löschen oder zu sperren, verweist der Bearbeiter diese Daten an den für die Verarbeitung Verantwortlichen.

6. Prüfungspflichten

Der für die Verarbeitung Verantwortliche hat vor Beginn der Verarbeitung und in regelmäßigen Abständen danach die vom Bearbeiter getroffenen technischen und organisatorischen Maßnahmen zu prüfen und die sich daraus ergebenden Feststellungen zu dokumentieren.

Zu diesem Zweck kann der Controller;

1 Informationen vom Prozessor erhalten;

2 Antrag des Bearbeiters, dem Kontrollbeauftragten eine bestehende Bescheinigung oder Bescheinigung von einem unabhängigen Sachverständigen vorzulegen;

3 Nach angemessener und rechtzeitiger vorheriger Vereinbarung, während der normalen Geschäftszeiten und ohne Unterbrechung der Geschäftstätigkeit des Prozessors, eine Vor-Ort-Inspektion des Geschäftsbetriebs des Prozessors durchführen oder diese durch einen qualifizierten Dritten durchführen lassen, der kein Konkurrent des Prozessors ist (wie von der Prozessor).

Der Auftragsverarbeiter muss dem für die Prüfung erforderlichen Nachweis auf Verlangen des Auftragsgebers und innerhalb einer angemessenen Frist alle erforderlichen Informationen zur Verfügung stellen.

7. Subunternehmer

Der Auftragnehmer ist berechtigt, die in den AGB festgelegten Pflichten des Auftragnehmers nur mit schriftlicher Zustimmung des Auftragnehmers an Dritte weiterzugeben.

Der Controller erklärt sich damit einverstanden, dass die Bearbeiter die vertraglich vereinbarten Verpflichtungen des Bearbeitervertrags mit den verbundenen Unternehmen von Processor und Dritten, wie in Abbildung 2 aufgeführt, untervergeben.

Wenn der Bearbeiter beabsichtigt, andere Unterauftragnehmer als die in Anlage 2 aufgeführten zu beauftragen, muss der Bearbeiter den Beauftragten schriftlich darüber informieren (per E-Mail an die E-Mail-Adresse (n), die im Konto des Prozessors gespeichert sind) und den Beauftragten ausweisen die Möglichkeit, der Anweisung des Unterauftragnehmers innerhalb von 30 Tagen nach der Benachrichtigung zu widersprechen. Der Einspruch muss auf begründeten Gründen beruhen (z. B. wenn der für die Verarbeitung Verantwortliche nachweist, dass beim Unterauftragnehmer erhebliche Risiken für den Schutz seiner personenbezogenen Daten bestehen). Wenn der Bearbeiter und der Controller nicht in der Lage sind, einen solchen Einspruch zu lösen, kann jede der Parteien den Vertrag durch schriftliche Mitteilung an die andere Partei kündigen. Der Controller erhält eine Rückerstattung aller vorausbezahlten, aber noch nicht genutzten Gebühren für die Zeit nach dem Wirksamwerden der Kündigung.

Wenn der Auftragnehmer Unterauftragnehmer beauftragt, ist der Auftragnehmer verpflichtet, die vertraglichen Verpflichtungen des Auftragnehmers im Rahmen dieser Vereinbarung an diese Unterauftragnehmer weiterzugeben. Satz 1 gilt insbesondere, aber nicht ausschließlich, für die zwischen den Parteien der AGB festgelegten vertraglichen Anforderungen an die Vertraulichkeit, den Datenschutz und die Datensicherheit.

Bei Verwendung eines Unterauftragnehmers muss dem für die Verarbeitung Verantwortlichen das Recht eingeräumt werden, den Unterauftragnehmer gemäß dieser DSG und § 11 BDSG in Verbindung mit Ziffer 6 des Anhangs zu § 9 BDSG (oder entsprechend der entsprechenden Bestimmung von BDSG) zu überwachen und zu kontrollieren das ansonsten geltende nationale Datenschutzgesetz). Dies umfasst auch das Recht des Verantwortlichen, auf schriftlichen Antrag Informationen über den Vertragsinhalt und die Erfüllung der Datenschutzverpflichtungen im Rahmen der Untervertragsbeziehung zu erhalten, gegebenenfalls durch Einsichtnahme in die entsprechenden Vertragsdokumente.

Die Bestimmungen dieses Abschnitts 7 gelten auch, wenn ein Unterauftragnehmer in einem Drittland beauftragt wird. Der Controller ermächtigt den Bearbeiter hiermit, im Namen und im Auftrag des Controllers mit einem Unterauftragnehmer, der personenbezogene Daten des Controllers außerhalb des EWR verarbeitet oder verwendet, Verträge über den Abschluss von EU-Vertragsklauseln für die Übermittlung personenbezogener Daten an Bearbeiter abzuschließen Gründung in Drittstaaten mit Datum vom 5. Februar 2010. Dies gilt ab dem Datum dieser Ermächtigung in Bezug auf EU-Standardvertragsklauseln (Verarbeiter), die der Auftragnehmer bereits mit solchen Unterauftragnehmern abgeschlossen hat.

8. Informationspflichten, obligatorische Schriftform, Rechtswahl, Zusatzbedingungen

Werden die persönlichen Daten des Steuerpflichtigen während der Verarbeitung durch einen Pfändungsbeschluss, einen Pfändungsbeschluss, eine Einziehung während eines Konkurs- oder Insolvenzverfahrens oder ähnliche Ereignisse oder Maßnahmen Dritter manipuliert, so hat der Verwahrer den Verwalter unverzüglich zu informieren. Der Verarbeiter muss unverzüglich allen betroffenen Parteien bei einer solchen Handlung mitteilen, dass alle davon betroffenen personenbezogenen Daten im alleinigen Eigentum und Verantwortungsbereich des für die Verarbeitung Verantwortlichen liegen, dass die personenbezogenen Daten ausschließlich dem Verantwortlichen überlassen sind und dass der Verantwortliche die verantwortliche Stelle in der Sinn des BDSG (oder eine entsprechende Bestimmung des ansonsten geltenden nationalen Datenschutzgesetzes).

In Bezug auf Aktualisierungen und Änderungen an dieser Datenschutzvereinbarung gelten die Bedingungen, die in der "Änderung; Im Abschnitt "ALLGEMEINE GESCHÄFTSBEDINGUNGEN" in den Nutzungsbedingungen ist der Abschnitt "Verzichtserklärung" anzuwenden.

Im Falle eines Konflikts haben die Bestimmungen dieser Datenschutzvereinbarung Vorrang vor den Bestimmungen der Nutzungsbedingungen. Wenn einzelne Bestimmungen dieser Datenschutzrichtlinie ungültig oder nicht durchsetzbar sind, bleiben die Gültigkeit und Durchsetzbarkeit der anderen Bestimmungen dieser Datenschutzvereinbarung davon unberührt.

Die Standardvertragsklauseln in Anhang 1 ("SCCs") gelten für die Verarbeitung personenbezogener Daten durch den Bearbeiter im Rahmen des ToS. Nach der Aufnahme dieser Datenschutzrichtlinie in das ToS stimmen die in Abschnitt 9 (Parteien dieser Datenschutzvereinbarung) genannten Parteien den SCCs und allen dazugehörigen Anhängen zu. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen dieser Datenschutzvereinbarung und den Standardvertragsklauseln in Anlage 1 haben die SCC Vorrang.

Die SCC gelten nur für personenbezogene Daten, die aus dem Europäischen Wirtschaftsraum (EWR) direkt oder über eine Weiterleitung in einen anderen Staat oder Empfänger in den Nicht-EWR-Raum übermittelt werden: (i) die von der Europäischen Kommission nicht als angemessen anerkannt werden des Schutzes personenbezogener Daten (wie in der EU-Datenschutzrichtlinie beschrieben) und (ii) nicht durch einen geeigneten von den zuständigen Behörden oder Gerichten anerkannten Rahmen abgedeckt sind, der ein angemessenes Schutzniveau für personenbezogene Daten bietet, einschließlich, aber nicht beschränkt auf, bindend Unternehmensregeln für Prozessoren.

9. Parteien dieser Datenschutzvereinbarung

Diese Datenschutzvereinbarung ist ein Zusatz zu den ToS und bildet einen Teil davon. Bei der Aufnahme dieser Datenschutzrichtlinie in den ToS (i) -Controller und die Intuitive Password-Entität, die jeweils eine Partei der ToS sind, sind auch beide Parteien dieser Datenschutzbehörde, und (ii) Intuitive Security Systems Pty Ltd ist eine Partei dieser Datenschutzbehörde, aber nur mit Respekt zur Zustimmung zu den SCCs gemäß Abschnitt 8 der Datenschutzbehörde, diesem Abschnitt Abschnitt 9 der Datenschutzbehörde und zu den SCCs selbst.

Wenn Intuitive Security Systems Pty Ltd keine Partei der ToS ist, gilt der Abschnitt der Haftungsbeschränkung zwischen Controller und Intuitive Security Systems Pty Ltd, und in diesem Zusammenhang alle Verweise auf "Intuitive Password", "wir", "uns" oder "unsere" "soll sowohl die Intuitive Security Systems Pty Ltd- als auch die Intuitive Password-Einheit umfassen, die eine Partei der ToS ist.

Die juristische Person, die dieser Datenschutzbehörde als Controller zustimmt, erklärt sich damit einverstanden, dass sie dieser Datenschutzvereinbarung zustimmt und diese DPA ausschließlich für den Controller abschließt

AUSSTELLUNG 1: Standardvertragsklauseln (Prozessoren)

Für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an in Drittländern niedergelassene Auftragsverarbeiter, die kein angemessenes Datenschutzniveau gewährleisten.

Der Kunde gemäß der Definition in den Intuitive Password-Nutzungsbedingungen (der "Datenexporteur") und Intuitive Security Systems Pty Ltd, 542 Station Street, Box Hill, Victoria 3128, Australien (der "Datenimporteur"), jeweils eine "Partei"; Die "Vertragsparteien" haben sich auf die folgenden Vertragsklauseln (die Klauseln) geeinigt, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und Grundfreiheiten des Einzelnen für die Übermittlung durch den Datenexporteur an den Datenimporteur der persönliche Daten, die in Anhang 1 angegeben sind.

Klausel 1: Definitionen

Für die Zwecke der Klauseln:

1 Personenbezogene Daten, "besondere Datenkategorien", "Verarbeitung / Verarbeitung", "für die Verarbeitung Verantwortliche", "Auftragsverarbeiter", "betroffene Person" und "Aufsichtsbehörde" haben die gleiche Bedeutung wie in der Richtlinie 95/46 / EG des Rates Europäisches Parlament und Rat vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

2 Datenexporteur bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt;

3 Dateneinführer ist der Bearbeiter, der sich bereit erklärt, von dem Datenexporteur personenbezogene Daten zu erhalten, die in seinem Namen nach seiner Übermittlung gemäß seinen Anweisungen und den Klauseln verarbeitet werden sollen und denen das System eines Drittlandes nicht angemessen ist Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG;

4 Unterprozessor ist jeder vom Datenimporteur beauftragte Bearbeiter oder jeder andere Unterprozessor des Datenimporteurs, der bereit ist, vom Datenimporteur oder von einem anderen Unterprozessor des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich zur Durchführung von Verarbeitungsaktivitäten bestimmt sind im Namen des Datenexporteurs nach der Übertragung gemäß seinen Anweisungen, den Bedingungen der Klauseln und den Bedingungen des schriftlichen Unterauftrags;

5 Anwendbares Datenschutzrecht ist das Recht zum Schutz der Grundrechte und Grundfreiheiten des Einzelnen und insbesondere seines Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur tätig ist etabliert;

6 Technische und organisatorische Sicherheitsmaßnahmen sind Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk und gegen alle anderen rechtswidrigen Daten umfasst Formen der Verarbeitung.

Klausel 2: Details der Übertragung

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten sind in Anlage 1 aufgeführt, die Bestandteil der Klauseln ist.

Klausel 3: Drittbegünstigungsklausel

1 Die betroffene Person kann gegen den Datenexporteur diese Klausel, Klausel 4 (b) bis (i), Klausel 5 (a) bis (e) und (g) bis (j), Klausel 6 (1) und (2) durchsetzen. , Ziffer 7, Ziffer 8 (2) und Ziffern 9 bis 12 als Drittbegünstigter.

2 Die betroffene Person kann gegenüber dem Datenimporteur diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Ziffern 9 bis 12 geltend machen, wenn der Datenexporteur faktisch verschwunden ist oder aufgehört hat zu existieren, es sei denn, eine Rechtsnachfolgerin hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, wodurch er die Rechte und Pflichten des Datenexporteurs übernimmt, In diesem Fall kann die betroffene Person sie gegen diese Einheit durchsetzen.

3 Die betroffene Person kann gegen den Subprozessor diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Ziffern 9 bis 12 durchsetzen, wenn beide Datenexporteure sind und der Datenimporteur faktisch verschwunden ist oder aufgehört hat zu existieren oder insolvent geworden ist, es sei denn, eine Rechtsnachfolgerin hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, infolgedessen er die Rechte und Pflichten übernimmt Verpflichtungen des Datenexporteurs; in diesem Fall kann die betroffene Person sie gegen diese Stelle durchsetzen. Diese Haftung des Unterauftragsvertreters beschränkt sich auf die eigenen Verarbeitungen im Rahmen der Klauseln.

4 Die Parteien erheben keine Einwände gegen eine betroffene Person, die von einem Verband oder einer anderen Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und wenn dies nach nationalem Recht zulässig ist.

Klausel 4: Pflichten des Datenexporteurs

Der Datenexporteur stimmt zu und garantiert:

1 Dass die Verarbeitung personenbezogener Daten einschließlich der Übermittlung der personenbezogenen Daten in Übereinstimmung mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts (und gegebenenfalls den zuständigen Behörden des Mitglieds) erfolgte Staat, in dem der Datenexporteur niedergelassen ist) und verstößt nicht gegen die einschlägigen Bestimmungen dieses Staates.

2 Das Unternehmen hat den Datenimporteur angewiesen, die übermittelten personenbezogenen Daten im Auftrag des Datenexporteurs und im Einklang mit dem geltenden Datenschutzgesetz und den Klauseln zu verarbeiten, und zwar während der gesamten Dauer der Datenverarbeitungsdienste.

3 Dass der Datenimporteur ausreichende Garantien in Bezug auf die in Anlage 2 zu diesem Vertrag festgelegten technischen und organisatorischen Sicherheitsmaßnahmen bietet;

4 Nach der Prüfung der Anforderungen des anwendbaren Datenschutzrechts sind die Sicherheitsmaßnahmen geeignet, personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung oder zufälligen Untergang, Veränderung, unbefugte Weitergabe oder Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übermittlung von Daten über eine Englisch: eur-lex.europa.eu/LexUriServ/LexUri...1860: EN: HTML Diese Maßnahmen gewährleisten ein Sicherheitsniveau, das den Risiken der Verarbeitung und der Art der zu schützenden Daten entspricht, die dem Stand der Technik und den Kosten ihrer Verarbeitung entsprechen Implementierung;

5 Dass es die Einhaltung der Sicherheitsmaßnahmen gewährleistet;

6 Wenn bei der Übermittlung besondere Datenkategorien betroffen sind, wurde die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen ausreichenden Schutz im Sinne der Richtlinie bietet 95/46/EG;

7 Übermittlung von Mitteilungen des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Artikel 5 Buchstabe b und Artikel 8 Absatz 3 an die Datenschutzaufsichtsbehörde, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

8 Um den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie eines Vertrags für die Subprocessing - Dienste zur Verfügung zu stellen, der gemäß die Klauseln, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann sie solche kommerziellen Informationen entfernen;

9 Im Falle einer Teilverarbeitung wird die Verarbeitung gemäß Klausel 11 von einem Unterprozessor durchgeführt, der für die personenbezogenen Daten und die Rechte der betroffenen Person als Datenimporteur im Rahmen der Klauseln mindestens das gleiche Schutzniveau bietet und dass es wird die Einhaltung von Ziffer 4 (a) bis (i) gewährleisten.

Klausel 5: Pflichten des Datenimporteurs

Der Datenimporteur stimmt zu und garantiert:

1 Verarbeitung personenbezogener Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit seinen Anweisungen und den Klauseln; Kann er aus irgendwelchen Gründen eine solche Erfüllung nicht gewährleisten, verpflichtet er sich, den Datenexporteur unverzüglich über seine Unfähigkeit zu informieren, wobei der Datenexporteur in diesem Fall berechtigt ist, die Übermittlung von Daten auszusetzen und / oder den Vertrag zu kündigen;

2 Es besteht kein Grund zu der Annahme, dass die anwendbaren Rechtsvorschriften es unmöglich machen, die Anweisungen des Datenexporteurs und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass im Falle einer Änderung dieser Rechtsvorschriften erhebliche nachteilige Auswirkungen zu erwarten sind auf die Garantien und Verpflichtungen, die von den Klauseln bereitgestellt werden, wird sie die Änderung dem Datenexporteur unverzüglich mitteilen, sobald sie davon Kenntnis erlangt; in diesem Fall ist der Datenexporteur berechtigt, die Übermittlung von Daten auszusetzen und / oder den Vertrag zu kündigen;

3 Dass es vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt hat;

4 Sie wird den Datenexporteur unverzüglich über einen rechtsverbindlichen Antrag auf Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde informieren, sofern dies nicht anderweitig verboten ist, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit von Ermittlungen in Strafverfolgungsbehörden sowie zufällige oder nicht autorisierte Ermittlungen Zugang und jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, es sei denn, es wurde anderweitig dazu autorisiert;

5 Alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die der Übermittlung unterliegen, unverzüglich und ordnungsgemäß zu bearbeiten und sich an den Rat der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten zu halten;

6 Auf Antrag des Datenexporteurs, seine Datenverarbeitungsanlagen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten, die vom Datenexporteur durchzuführen sind, oder einer Kontrollstelle, die aus unabhängigen Mitgliedern besteht und im Besitz der erforderlichen beruflichen Qualifikationen ist, zu übermitteln durch eine Geheimhaltungspflicht, die vom Datenexporteur gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde ausgewählt wird;

7 Um der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags zur Unterverarbeitung zur Verfügung zu stellen, sofern die Klauseln oder der Vertrag keine kommerziellen Informationen enthalten, in welchem ​​Fall diese kommerziellen Informationen entfernt werden können, mit Ausnahme der Anlage 2, die ersetzt durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann;

8 Im Falle einer Teilverarbeitung hat sie den Datenexporteur zuvor informiert und zuvor ihre schriftliche Zustimmung erhalten.

9 Dass die Verarbeitungsdienste des Unterprozessors gemäß Klausel 11 ausgeführt werden;

10 Um eine Kopie einer Subprozessorvereinbarung zeitnah zu senden, kommt sie gemäß den Klauseln zum Datenexporteur.

Abschnitt 6: Haftung

1 Die Parteien sind sich darüber einig, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter Schaden erlitten hat, Anspruch auf Schadenersatz vom Datenexporteur hat.

2 Wenn eine betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen des Datenimporteurs oder seines Unterauftragsvertreters ergibt, Da der Datenexporteur faktisch verschwunden oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, stimmt der Datenimporteur zu, dass die betroffene Person gegenüber dem Datenimporteur einen Anspruch erheben kann, als wäre sie der Datenexporteur, es sei denn, eine Nachfolgeinstanz hätte die gesamte Datenexporteurin übernommen rechtliche Verpflichtungen des Datenexporteurs durch einen Vertrag des Gesetzes, in welchem ​​Fall die betroffene Person ihre Rechte gegen diese Entität geltend machen kann.

3 Der Datenimporteur darf sich nicht darauf berufen, dass ein Unterauftragsverarbeiter seine Verpflichtungen verletzt, um seine eigenen Verbindlichkeiten zu vermeiden.

4 Wenn eine betroffene Person gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 keine Ansprüche geltend machen kann, die sich aus einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen des Unterauftragsvertreters ergeben, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch verschwunden sind oder nicht mehr existieren oder zahlungsunfähig geworden sind, stimmt der Unterauftragnehmer zu, dass die betroffene Person gegenüber dem Datensubprozessor eine Forderung nach eigenen Verarbeitungen im Rahmen der Klauseln stellen kann, als ob sie dies tut waren der Datenexporteur oder der Datenimporteur, es sei denn, eine Rechtsnachfolgerin hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder auf Gesetzesebene übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber dieser Rechtsperson geltend machen. Die Haftung des Unterauftragnehmers beschränkt sich auf die eigenen Verarbeitungen im Rahmen der Klauseln.

Klausel 7: Mediation und Gerichtsbarkeit

1 Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person annimmt, wenn die betroffene Person Ansprüche Dritter geltend macht und / oder Schadenersatzansprüche gemäß den Klauseln geltend macht:

A. Die Streitfrage durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde der Mediation zu unterwerfen;

B. Den Rechtsstreit an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur niedergelassen ist.

2 Die Parteien sind sich darüber einig, dass die von der betroffenen Person getroffene Wahl ihre materiellen oder verfahrensrechtlichen Rechte, Rechtsbehelfe im Einklang mit anderen Bestimmungen des nationalen oder internationalen Rechts zu suchen, nicht beeinträchtigt.

Klausel 8: Zusammenarbeit mit den Aufsichtsbehörden

1 Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn er dies wünscht oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzgesetz erforderlich ist.

2 Die Parteien sind sich darüber einig, dass die Aufsichtsbehörde berechtigt ist, eine Prüfung des Datenimporteurs und aller Unterauftragsverarbeiter durchzuführen, die den gleichen Umfang und die gleichen Bedingungen haben, wie sie für eine Prüfung des Datenexporteurs unter den anwendbaren Daten gelten würden Schutzgesetz.

3 Der Datenimporteur unterrichtet den Datenexporteur umgehend über das Bestehen von Rechtsvorschriften, die für ihn gelten, oder einen Unterprozessor, der die Durchführung einer Prüfung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Absatz 2 verhindert. In diesem Fall ist der Datenexporteur berechtigt die in Absatz 5 Buchstabe b vorgesehenen Maßnahmen ergreifen.

Klausel 9: Geltendes Recht

Für die Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10: Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu ändern. Dies schließt nicht aus, dass die Parteien bei Bedarf Geschäftsklauseln hinzufügen, sofern sie der Klausel nicht widersprechen.

Klausel 11: Subprocessing

1 Der Datenimporteur darf keine der im Namen des Datenexporteurs im Rahmen der Klauseln durchgeführten Verarbeitungen ohne die vorherige schriftliche Zustimmung des Datenexporteurs an einen Unterauftrag vergeben. Überträgt der Datenimporteur seine Verpflichtungen aus den Klauseln mit Zustimmung des Datenexporteurs, so trifft er dies nur durch eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter, die dem Unterauftragsverarbeiter die gleichen Verpflichtungen auferlegt, wie sie dem Datenimporteur im Rahmen des Klauseln. Wenn der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen aufgrund einer solchen schriftlichen Vereinbarung nicht nachkommt, haftet der Datenimporteur uneingeschränkt gegenüber dem Datenexporteur für die Erfüllung der Verpflichtungen des Unterprozessors aus dieser Vereinbarung.

2 Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsgeber sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für Fälle vor, in denen die betroffene Person nicht in der Lage ist, den in Absatz 1 Satz 6 genannten Schadensersatzanspruch geltend zu machen gegen den Datenexporteur oder den Datenimporteur, weil sie faktisch verschwunden sind oder rechtlich nicht mehr bestehen oder insolvent geworden sind und keine Rechtsnachfolgerin die vertraglichen oder gesetzlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vollständig übernommen hat. Diese Haftung des Unterauftragsvertreters beschränkt sich auf die eigenen Verarbeitungen im Rahmen der Klauseln.

3 Die Bestimmungen in Bezug auf Datenschutzaspekte für die Teilverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4 Der Datenexporteur führt eine Liste der Teilabwicklungsvereinbarungen, die gemäß den Klauseln geschlossen und vom Datenimporteur gemäß Klausel 5 Buchstabe j mitgeteilt wurden und mindestens einmal jährlich aktualisiert werden. Die Liste steht der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung.

Ziffer 12: Verpflichtung nach Beendigung der personenbezogenen Datenverarbeitung

1 Die Parteien sind sich darüber einig, dass der Datenimporteur und der Unterauftragsverarbeiter nach Beendigung der Erbringung der Datenverarbeitungsdienste nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückgeben oder vernichten die personenbezogenen Daten und bestätigen dem Datenexporteur, dass sie dies getan haben, es sei denn, die dem Datenimporteur auferlegten Rechtsvorschriften verhindern, dass die übertragenen personenbezogenen Daten ganz oder teilweise zurückgegeben oder zerstört werden. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übertragenen personenbezogenen Daten gewährleistet und die übertragenen personenbezogenen Daten nicht mehr aktiv verarbeitet.

2 Der Datenimporteur und der Unterauftragsverarbeiter gewährleisten, dass er auf Anfrage des Datenexporteurs und / oder der Aufsichtsbehörde seine Datenverarbeitungsanlagen zur Prüfung der in Absatz 1 genannten Maßnahmen vorlegt.

ANHANG 1 zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln. Die Mitgliedstaaten können gemäß ihren innerstaatlichen Verfahren alle zusätzlichen erforderlichen Informationen, die in dieser Anlage enthalten sein müssen, vervollständigen oder spezifizieren.

1 Datenexporteur: Der Datenexporteur ist der Kunde im Sinne der Intuitive Password-Nutzungsbedingungen.

2 Datenimporteur: Der Datenimporteur ist Intuitive Security Systems Pty Ltd, ein globaler Anbieter von SaaS Zero-Knowledge-Verschlüsselungsprodukten und -Diensten.

3 Betroffene: Die übermittelten personenbezogenen Daten betreffen die Endbenutzer des Datenexporteurs, einschließlich der Mitarbeiter, Auftragnehmer und Mitarbeiter von Kunden, Lieferanten, Mitarbeitern und Subunternehmern. Zu den Datensubjekten gehören auch Personen, die versuchen, mit den Endnutzern des Datenexporteurs zu kommunizieren oder persönliche Informationen an diese zu übermitteln.

4 Kategorien von Daten: Die übertragenen personenbezogenen Daten betreffen personenbezogene Daten, Unternehmensdaten, Navigationsdaten (einschließlich Website-Nutzungsinformationen), E-Mail-Daten, Systemnutzungsdaten, Anwendungsintegrationsdaten und andere elektronische Daten, die von Endbenutzern über den Abonnementdienst übermittelt, gespeichert, gesendet oder empfangen werden .

5 Spezielle Datenkategorien (falls zutreffend): Die Parteien erwarten keine Übertragung besonderer Datenkategorien.

6 Verarbeitungsvorgang: In Bezug auf personenbezogene Daten von nicht-deutschen Endnutzern als Datenexporteure gelten folgende Bestimmungen:

Die übermittelten personenbezogenen Daten unterliegen folgenden grundlegenden Verarbeitungsaktivitäten:

Umfang der Verarbeitung: Persönliche Daten können für die folgenden Zwecke verarbeitet werden: (a) Bereitstellung des Abonnementdienstes (der die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen umfassen kann); (b) um auf Kunden-Support-Anfragen zu antworten; und (c) anderweitig die Verpflichtungen gemäß den Intuitive Password-Nutzungsbedingungen zu erfüllen. Der Datenexportierer weist den Datenimporteur an, personenbezogene Daten in Ländern zu verarbeiten, in denen der Datenimporteur oder seine Unterprozessoren Einrichtungen unterhalten, die für die Bereitstellung des Abonnementdienstes erforderlich sind.

Laufzeit der Datenverarbeitung: Die Datenverarbeitung erfolgt für die in den Intuitive Password-Nutzungsbedingungen angegebene Laufzeit. Für die Laufzeit der Intuitive Password-Nutzungsbedingungen und für einen angemessenen Zeitraum nach dem Ablauf oder der Beendigung der Intuitive Password-Nutzungsbedingungen stellt der Datenimporteur dem Datenexporteur den Zugriff und die Möglichkeit zum Exportieren des Datenexporteurs zur Verfügung personenbezogene Daten, die gemäß den Intuitive Password-Nutzungsbedingungen verarbeitet werden.

Datenlöschung: Für die Laufzeit der Intuitive Password-Nutzungsbedingungen stellt der Datenimporteur dem Datenexporteur die Möglichkeit zur Verfügung, Daten wie in den Intuitive Password-Nutzungsbedingungen beschrieben zu löschen.

Zugriff auf Daten: Für die Laufzeit der Intuitive Password-Nutzungsbedingungen stellt der Datenimporteur dem Datenexporteur die Möglichkeit zur Verfügung, die persönlichen Daten des Datenexportierers gemäß den Intuitive Password-Nutzungsbedingungen aus dem Abonnementdienst zu korrigieren, zu sperren, zu exportieren und zu löschen .

Subprozessoren: Der Datenimporteur kann Unterprozessoren beauftragen, Teile des Subskriptionsdienstes bereitzustellen. Der Datenimporteur stellt sicher, dass Subprozessoren nur auf die persönlichen Daten des Datenexportierers zugreifen und diese verwenden, um die Produkte und Dienstleistungen des Datenimporteurs bereitzustellen, und nicht für andere Zwecke. Für personenbezogene Daten deutscher Endnutzer als Datenexporteure gelten folgende Bestimmungen: Spezifikation der Verarbeitungstätigkeiten gemäß § 11 BDSG. Unter Berücksichtigung der Anforderungen des § 11 Bundesdatenschutzgesetz (BDSG) zur Auftragsdatenverarbeitung sind die Verarbeitungsaktivitäten wie folgt festgelegt:

Gegenstand und Dauer der Provision: Persönliche Daten können zu folgenden Zwecken verarbeitet werden: (a) Bereitstellung des Abonnementdienstes (der die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen umfassen kann); (b) um auf Kunden-Support-Anfragen zu antworten; und (c) anderweitig die Verpflichtungen gemäß den Intuitive Password-Nutzungsbedingungen zu erfüllen.

Die Klauseln sind für die Dauer des jeweiligen Servicevertrages abgeschlossen (Intuitive Password Servicebedingungen).

A. Technische und organisatorische Maßnahmen nach § 9 BDSG: Für die Art der betroffenen Daten und Personengruppen sind die Beschreibungen in dieser Anlage 1 unter den Rubriken "Datenkategorien" und "Betroffene" zu sehen. Der Zweck der Verarbeitung besteht darin, (a) den Abonnementdienst bereitzustellen (der die Erkennung, Verhinderung und Lösung von Sicherheits- und technischen Problemen umfassen kann); (b) um auf Kunden-Support-Anfragen zu antworten; und (c) anderweitig die Verpflichtungen gemäß den Intuitive Password-Nutzungsbedingungen zu erfüllen.

B. Umfang, Art und Zweck der geplanten Erhebung, Verarbeitung oder Nutzung von Daten; Art der betroffenen Daten und Personengruppe: Der Datenimporteur trifft geeignete technische und organisatorische Maßnahmen, um die personenbezogenen Daten des Exporteurs entsprechend den Anforderungen des § 9 BDSG angemessen vor Missbrauch und Verlust zu schützen. Siehe Anhang 2 für Details.

C. Korrektur, Löschung und Sperrung von Daten: Wenn eine betroffene Person den Datenimporteur auffordert, Daten zu berichtigen, zu löschen oder zu sperren, verweist der Datenimporteur diese Daten an den Datenexporteur. Die Löschung, Sperrung und Korrektur personenbezogener Daten durch den Datenimporteur darf nur auf Anweisung des Datenexporteurs erfolgen.

D. Verpflichtung des Auftragnehmers nach Abschnitt 4 (§ 11 BDSG), insbesondere zu treffende Kontrollen: Siehe Anhang 2 für Einzelheiten. Der Datenimporteur hat seine in der Datenverarbeitung beschäftigten Mitarbeiter dazu verpflichtet, personenbezogene Daten nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Verpflichtung besteht auch nach Beendigung des jeweiligen Arbeitsverhältnisses fort.

E. Recht zur Vergabe von Unteraufträgen: Siehe Abschnitte 5 (h) und 11 der Klauseln. Der Datenexporteur ist bereits damit einverstanden, die in Anhang 2 aufgeführten Datenverarbeiter zu beauftragen. Wenn der Datenimporteur beabsichtigt, andere Unterauftragnehmer als die in Anlage 2 aufgeführten zu beauftragen, muss der Datenimporteur den Datenexporteur schriftlich darüber informieren (E-Mail an die E-Mail-Adresse ( es) im Datensatz des Datenimporteurs Konto Informationen für Datenexporteur ist ausreichend) und muss dem Datenexporteur die Möglichkeit geben, gegen die Anweisung des Unterauftragnehmers innerhalb von 30 Tagen nach der Mitteilung zu widersprechen. Der Einspruch muss auf begründeten Gründen beruhen (z. B. wenn der Datenexporteur nachweist, dass beim Unterauftragnehmer erhebliche Risiken für den Schutz seiner personenbezogenen Daten bestehen). Wenn der Datenimporteur und der Datenexporteur nicht in der Lage sind, einen solchen Einspruch zu lösen, können beide Parteien die ToS durch schriftliche Mitteilung an die andere Partei kündigen. Der Datenexporteur erhält eine Rückerstattung aller vorausbezahlten, aber noch nicht genutzten Gebühren für die Zeit nach dem Wirksamwerden der Kündigung.

F. Die Kontrollrechte des Auftraggebers und die entsprechenden Verpflichtungen des Auftragnehmers zur Duldung und Mitwirkung: Siehe Ziffer 5 (e) und (f) der Klauseln.

G. Verstöße des Vertreters oder der von ihm beschäftigten Personen von Bestimmungen zum Schutz personenbezogener Daten oder von in der Kommission angegebenen Bedingungen, die gemeldet werden müssen: Siehe Abschnitt 5 (d) der Klauseln.

H. Umfang der Befugnis des Auftraggebers, Anweisungen an den Beauftragten zu erteilen: Personenbezogene Daten können vom Datenimporteur nur auf Anweisung des Datenexporteurs verarbeitet werden. Sofern nicht gesetzlich vorgeschrieben, dürfen personenbezogene Daten nur mit vorheriger schriftlicher Zustimmung des Datenexporteurs verarbeitet oder für einen anderen Zweck, einschließlich der Weitergabe an Dritte, verwendet werden. Kopien der personenbezogenen Daten dürfen nicht ohne Zustimmung des Datenexporteurs gemacht werden, mit Ausnahme von Kopien, die für die Verarbeitung notwendig sind oder zur Erfüllung der gesetzlichen Aufbewahrungspflichten erforderlich sind.

I. Rückgabe von Datenträgern und Löschen von Daten, die nach Abschluss der Provision vom Agenten gespeichert werden: Der Datenexporteur ist berechtigt, während und nach der Laufzeit des jeweiligen Servicevertrages die Berichtigung, Löschung, Sperrung und Bereitstellung personenbezogener Daten zu verlangen (Intuitive Password Nutzungsbedingungen) in Übereinstimmung mit den weiteren Spezifikationen einer solchen Vereinbarung über die Rückgabe und Löschung von personenbezogenen Daten.

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln. Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß den Abschnitten 4 (d) und 5 (c) (oder Dokument / Gesetzgebung) durchgeführt werden:

Die Intuitive Password beachtet derzeit die in dieser Anlage 2 beschriebenen Sicherheitspraktiken. Ungeachtet anderslautender Bestimmungen, die der Datenexporteur anderweitig akzeptiert, kann die Intuitive Password diese Praktiken nach eigenem Ermessen ändern oder aktualisieren, vorausgesetzt, dass diese Änderungen und Aktualisierungen nicht zu einer wesentlichen Verschlechterung der Daten führen Schutz, den diese Praktiken bieten. Alle hier nicht anderweitig definierten Begriffe haben die in den Intuitive Password-Nutzungsbedingungen festgelegten Bedeutungen.

1 Zugangskontrolle

A. Verhindern des Zugriffs auf nicht autorisierten Produkte. Outsourced Processing: Die Intuitive Password betreibt ihren Service mit ausgelagerten, in Australien ansässigen Rechenzentrumsanbietern. Darüber hinaus unterhält die Intuitive Password Vertragsbeziehungen mit Anbietern, um den Service bereitzustellen. Die Intuitive Password stützt sich auf vertragliche Vereinbarungen, Datenschutzrichtlinien und Hersteller-Compliance-Programme, um den Schutz der von diesen Anbietern verarbeiteten oder gespeicherten Daten zu gewährleisten.

Physische und ökologische Sicherheit: Die Intuitive Password beherbergt ihre Produktinfrastruktur mit mandantenfähigen, ausgelagerten Rechenzentrumsanbietern. Die physischen und ökologischen Sicherheitskontrollen werden unter anderem für SOC 2 Typ II und ISO 27001 geprüft.

Authentifizierung: Intuitive Password hat eine einheitliche Passwortrichtlinie für seine Kundenprodukte implementiert. Kunden, die über die Benutzeroberfläche mit den Produkten interagieren, müssen sich vor dem Zugriff auf nicht öffentliche Kundendaten authentifizieren.

Autorisierung: Kundendaten werden in mandantenfähigen Speichersystemen gespeichert, auf die Kunden nur über Anwendungsbenutzerschnittstellen und Anwendungsprogrammierschnittstellen zugreifen können. Kunden haben keinen direkten Zugriff auf die zugrunde liegende Anwendungsinfrastruktur. Das Autorisierungsmodell in jedem der Intuitive Password-Produkte soll sicherstellen, dass nur die entsprechend zugewiesenen Personen auf relevante Funktionen, Ansichten und Anpassungsoptionen zugreifen können. Die Autorisierung für Datensätze erfolgt durch Validierung der Berechtigungen des Benutzers anhand der Attribute, die jedem Datensatz zugeordnet sind.

B. Verhindern der Verwendung nicht autorisierter Produkte. Intuitive Password implementiert Industriestandard-Zugriffskontrollen und Erkennungsfunktionen für die internen Netzwerke, die seine Produkte unterstützen.

Zugriffskontrollen: Netzwerkzugriffskontrollmechanismen sollen verhindern, dass Netzwerkverkehr mit nicht autorisierten Protokollen die Produktinfrastruktur erreicht. Die implementierten technischen Maßnahmen unterscheiden sich zwischen den Rechenzentrumsanbietern und umfassen Virtual Private Cloud (VPC) -Implementierungen und Sicherheitsgruppenzuweisungen sowie die herkömmliche Unternehmensfirewall und die Zuweisung eines virtuellen lokalen Netzwerks (VLAN).

Angriffserkennung und -verhinderung: Intuitive Password implementierte eine Web Application Firewall (WAF) -Lösung, um alle gehosteten Websites sowie den Intuitive Password-Dienstzugriff zu schützen. Die WAF dient dazu, Angriffe auf öffentlich verfügbare Netzwerkdienste zu erkennen und zu verhindern.

Statische Code-Analyse: Sicherheitsüberprüfungen von Code, der in den Quellcode-Repositories von Intuitive Password gespeichert ist, werden durchgeführt, wobei nach Best Practices für die Codierung und identifizierbaren Softwarefehlern gesucht wird.

Penetrationstests: Die Intuitive Password pflegt Beziehungen zu branchenweit anerkannten Penetration Testing Service Providern für vier jährliche Penetrationstests. Die Penetrationstests haben zum Ziel, vorhersehbare Angriffsvektoren und potenzielle Missbrauchsszenarien zu identifizieren und zu beheben.

C. Einschränkungen der Berechtigungen und Autorisierungsanforderungen. Produktzugriff: Ein Teil der Mitarbeiter der Intuitive Password hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Die Bereitstellung eines Zugangs zu einer Untergruppe von Mitarbeitern dient der Bereitstellung eines effektiven Kundensupports, der Behebung potenzieller Probleme sowie der Erkennung und Reaktion auf Sicherheitsvorfälle. Der Zugriff wird durch "just-in-time" -Anfragen für den Zugriff ermöglicht, alle diese Anfragen werden protokolliert. Den Mitarbeitern wird der Zugriff nach Rollen gewährt, und die Überprüfungen von Hochrisiko-Privilegien werden täglich eingeleitet. Die Mitarbeiterrollen werden mindestens alle sechs Monate überprüft.

Background-Checks: Alle Intuitive Password-Mitarbeiter werden vor der Verlängerung eines Arbeitsangebots einem ausführlichen 3rd-Party-Background-Check unterzogen. Alle Mitarbeiter sind verpflichtet, sich in Übereinstimmung mit den Unternehmensrichtlinien, Geheimhaltungsvorschriften und ethischen Standards zu verhalten.

2 Getriebesteuerung

In-Transit: Intuitive Password stellt die HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet) auf jeder seiner Login-Schnittstellen und kostenlos auf jeder Kunden-Site zur Verfügung, die auf den Intuitive Password-Produkten gehostet wird. Die HTBPS-Implementierung von Intuitive Password verwendet Algorithmen und Zertifikate nach Industriestandard.

At-Rest: Intuitive Password speichert Benutzerkennwörter nach Richtlinien, die mindestens branchenüblichen Sicherheitsstandards entsprechen.

3 Eingabesteuerung

Erkennung: Intuitive Password hat seine Infrastruktur so konzipiert, dass umfangreiche Informationen über das Systemverhalten, den empfangenen Datenverkehr, die Systemauthentifizierung und andere Anwendungsanforderungen protokolliert werden. Interne Systeme aggregierten Protokolldaten und warnen geeignete Mitarbeiter vor böswilligen, unbeabsichtigten oder anomalen Aktivitäten. Mitarbeiter der Intuitive Password, einschließlich Sicherheits-, Betriebs- und Supportpersonal, reagieren auf bekannte Vorfälle.

Reaktion und Verfolgung: Die Intuitive Password führt eine Aufzeichnung bekannter Sicherheitsvorfälle, die eine Beschreibung, Daten und Zeiten relevanter Aktivitäten und eine Ereignisdisposition enthalten. Mutmaßliche und bestätigte Sicherheitsvorfälle werden von Sicherheits-, Betriebs- oder Supportmitarbeitern untersucht. und geeignete Lösungsschritte werden identifiziert und dokumentiert. Für alle bestätigten Vorfälle wird die Intuitive Password geeignete Maßnahmen ergreifen, um den Produkt- und Kundenschaden oder die unbefugte Offenlegung zu minimieren.

Kommunikation: Wenn Intuitive Password von einem unrechtmäßigen Zugriff auf Kundendaten, die in seinen Produkten gespeichert sind, Kenntnis erlangt, wird die Intuitive Password: 1) die betroffenen Kunden über den Vorfall informieren; 2) eine Beschreibung der Schritte, die Intuitive Password zur Lösung des Vorfalls unternimmt; und 3) Statusaktualisierungen für den Kundenkontakt bereitstellen, wie Intuitive Password dies für notwendig erachtet. Eventuelle Benachrichtigungen über Vorfälle werden an einen oder mehrere Kontakte des Kunden in einem von Intuitive Password ausgewählten Formular übermittelt, das per E-Mail oder Telefon erfolgen kann.

4 Jobkontrolle

Die Intuitive Password-Anwendung bietet Kunden eine Lösung zum Speichern und Freigeben von Authentifizierungsinformationen, vertraulichen Daten und Dateien. Kunden kontrollieren die Datentypen, die von ihren Konten gesammelt und in ihnen gespeichert werden. Intuitive Password verkauft niemals persönliche Daten an Dritte. Intuitive Password ist ein Zero-Knowledge-SaaS-Dienst und kann daher die verschlüsselten Daten, die in einem Kundenkonto gespeichert sind, nicht entschlüsseln oder anzeigen.

Endkunden: Stammkundendaten in aktiven (d. H. Primären) Datenbanken werden auf schriftliche Anfrage eines Kunden oder durch Kontaktaufnahme mit dem Intuitive Password-Kundensupport 90 Tage nachdem ein Kunde alle Vereinbarungen für solche Produkte mit Intuitive Password beendet hat, gelöscht. Kundendateninformationen, die in Sicherungen, Replikaten und Snapshots gespeichert sind, werden nicht automatisch gelöscht, sondern altern als Teil des Datenlebenszyklus aus dem System. Intuitive Password behält sich das Recht vor, die Datenspülzeit zu ändern, um technische, Compliance- oder gesetzliche Anforderungen zu erfüllen. "Kern-Kundendaten" umfassen (i) den Namen, die E-Mail-Adresse, die Telefonnummer, den Online-Benutzernamen, die Telefonnummer und ähnliche Informationen, die freiwillig von den Besuchern Ihrer Zielseiten im Abonnementdienst übermittelt wurden, und (ii) Daten auf die Social-Media-Aktivitäten Ihrer Besucher, soweit solche Aktivitäten mit einer identifizierbaren Person verbunden werden können; und schließt (i) Analysedaten, (ii) Kundenmaterial, (iii) aggregierte anonyme Daten, (iv) Protokolle, archivierte Daten oder Datensicherungsdateien, (v) andere Daten, die für uns nicht zumutbar sind, und (v) sonstige Daten, die der Öffentlichkeit allgemein bekannt sind oder werden, ohne dass eine dem Kunden geschuldete Verpflichtung verletzt wird.

5 Verfügbarkeitskontrolle

Verfügbarkeit der Infrastruktur: Die Anbieter von Rechenzentren unternehmen wirtschaftlich angemessene Anstrengungen, um eine Verfügbarkeit von mindestens 99,95% sicherzustellen. Die Anbieter halten ein Minimum an N + 1-Redundanz für Energie-, Netzwerk- und HVAC-Dienste aufrecht.

Fehlertoleranz: Sicherungs- und Replikationsstrategien wurden entwickelt, um Redundanz und Failover-Schutz während eines erheblichen Verarbeitungsfehlers zu gewährleisten. Kundendaten werden in mehreren dauerhaften Datenspeichern gesichert und über mehrere Rechenzentren und Verfügbarkeitsbereiche hinweg repliziert.

Online-Replikate und -Sicherungen: Wenn möglich, sind Produktionsdatenbanken so konzipiert, dass Daten zwischen mindestens einer primären und einer sekundären Datenbank repliziert werden. Alle Datenbanken werden mit mindestens Industriestandard-Methoden gesichert und gepflegt.

Die Produkte von Intuitive Password sind auf Redundanz und nahtloses Failover ausgelegt. Die Serverinstanzen, die die Produkte unterstützen, sind ebenfalls so konzipiert, dass einzelne Fehlerquellen vermieden werden. Dieses Design unterstützt den Intuitive Password-Betrieb bei der Wartung und Aktualisierung der Produktanwendungen und des Backends bei gleichzeitiger Begrenzung der Ausfallzeiten.

6 Trennung in der Verarbeitung

Die Intuitive Password Sammlung von persönlichen Daten von ihren Kunden ist zur Bereitstellung und Verbesserung unserer Vertriebs- und Marketing-Produkte. Intuitive Password verwendet diese Daten nicht für andere Zwecke, die eine separate Verarbeitung erfordern würden.

AUSSTELLUNG 2: Liste der Subunternehmer

1. Amazon Web Services, Inc.
2. Microsoft, Inc.
3. Twilio, Inc.
4. Streifen, Inc.
5. PayPal Holdings, Inc.
6. Mailgun, Inc.