Bizzon Datenverarbeitungsnachtrag
Diese Version 2.0 des Datenverarbeitungsnachtrags (der „Nachtrag“) gilt für alle Vereinbarungen, die am und nach dem 11. Februar 2022 geschlossen wurden.
Dieser Nachtrag ist ein integraler Bestandteil jeder Vereinbarung, die die Nutzungsbedingungen (die „Bedingungen“) oder andere zwischen Bizzon und Ihnen (dem „Merchant“, jede solche Vereinbarung als die „Vereinbarung“) geschlossene Bedingungen verwendet. Dieser Nachtrag ergänzt die Bedingungen der Vereinbarung; bei widersprüchlichen Bedingungen zwischen der Vereinbarung und diesem Nachtrag hat dieser Nachtrag Vorrang, es sei denn, die Parteien vereinbaren ausdrücklich schriftlich spezifische Ausnahmen von diesem Nachtrag in der Vereinbarung. Dieser Nachtrag regelt die Verarbeitung, bei der der Merchant ein Verantwortlicher und Bizzon ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist.
Für die Zwecke dieses Nachtrags haben großgeschriebene Begriffe die Bedeutung, die ihnen in dieser Bestimmung oder im Hauptteil dieses Nachtrags zugewiesen wird. Großgeschriebene Begriffe, die hierin nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung oder den Bedingungen zugewiesen wird.
„Verbundenes Unternehmen“ bedeutet in Bezug auf ein Unternehmen, dass ein „verbundenes Unternehmen“ jedes andere Unternehmen ist, das direkt oder indirekt eine Partei kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle steht. Eine Partei kontrolliert eine andere Einheit, wenn diese Einheit direkt oder indirekt entweder (i) 20 % oder mehr der Anteile mit gewöhnlichen Stimmrechten für die Wahl der Direktoren dieser Einheit oder (ii) die Befugnis besitzt, die Geschäftsführung oder die Richtlinien der anderen Einheit zu leiten oder zu veranlassen, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch Vertrag oder anderweitig;
„Autorisierter Benutzer“ bezeichnet eine Person, die vom Merchant autorisiert wurde, auf das Konto zuzugreifen und Anweisungen an Bizzon zu erteilen und Mitteilungen von Bizzon zu erhalten, unabhängig davon, ob über das Konto, per E-Mail oder auf andere Weise;
„Verantwortlicher“ bezeichnet eine Person oder einen Rechtsträger, der die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt;
„Datenschutzgesetzgebung“ bezeichnet die EU-Datenschutzgesetze, die Datenschutzgesetze des Vereinigten Königreichs, den CCPA und alle anderen anwendbaren Datenschutzgesetze des Landes, in dem Bizzon registriert ist;
„betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen;
„EU-Datenschutzgesetze“ bezeichnet die DSGVO und die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG);
„DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);
„Personal“ bezeichnet die Mitarbeiter, Vertreter, Berater, Unterauftragnehmer und andere Dritte, die von Bizzon beauftragt werden, damit Bizzon seine Verpflichtungen gegenüber dem Merchant aus dem Vertrag oder dem Nachtrag erfüllen kann;
„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf (i) eine identifizierte oder identifizierbare natürliche Person oder (ii) eine identifizierte oder identifizierbare juristische Person (wenn diese Informationen durch Datenschutzgesetze ähnlich wie Daten, die eine lebende Person identifizieren, geschützt sind) beziehen und im Rahmen dieses Nachtrags verarbeitet werden;
„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
„Auftragsverarbeiter“ oder „Unterauftragsverarbeiter“ bezeichnet eine Person oder Einheit, die personenbezogene Daten im Auftrag eines Verantwortlichen oder eines Auftragsverarbeiters verarbeitet;
„Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln im Anhang zum Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021;
„´¡³Ü´Ú²õ¾±³¦³ó³Ù²õ²ú±ð³óö°ù»å±ð“ bezeichnet eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat oder einem anderen Land gemäß der DSGVO oder einem entsprechenden Gesetz eingerichtet wurde;
„Datenschutzgesetze des Vereinigten Königreichs“ bezeichnet alle in England und Wales geltenden Gesetze in Bezug auf Datenschutz, die Verarbeitung personenbezogener Daten, Privatsphäre und elektronische Kommunikation, einschließlich der DSGVO des Vereinigten Königreichs und des Data Protection Act 2018; und
„DSGVO des Vereinigten Königreichs“ bezeichnet die DSGVO, wie sie gemäß Abschnitt 3 des United Kingdom's European Union (Withdrawal) Act 2018 in das Recht von England und Wales übernommen wurde.
2.1. VERARBEITUNG PERSONENBEZOGENER DATEN Bizzon und der Merchant erkennen an, dass der Merchant der Verantwortliche oder Hauptverarbeiter in Bezug auf die personenbezogenen Daten ist. Bizzon verarbeitet personenbezogene Daten nur als Auftragsverarbeiter oder Unterauftragsverarbeiter (je nach Nutzung der Dienste durch den Merchant) im Auftrag des Merchants und nur in dem Umfang und in der Art und Weise, wie dies für die in diesem Nachtrag, der Vereinbarung oder anderweitig vom Merchant von Zeit zu Zeit angegebenen Zwecke erforderlich ist. Wenn Bizzon vernünftigerweise davon ausgeht, dass die Anweisung des Merchants (i) geltendem Recht und Vorschriften oder (ii) den Bestimmungen des Vertrags oder des Nachtrags, verstößt, unternimmt Bizzon alle angemessenen Anstrengungen, um den Merchant zu informieren, und ist berechtigt, die Ausführung der entsprechenden Anweisung aufzuschieben, bis sie vom Merchant in dem von Bizzon geforderten Umfang geändert wurde, um sich davon zu überzeugen, dass diese Anweisung rechtmäßig ist, oder von Merchant und Bizzon einvernehmlich als rechtmäßig anerkannt wird.
2.2. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN. Bizzon hat angemessene und geeignete technische und organisatorische Maßnahmen zu treffen und aufrechtzuerhalten, um die personenbezogenen Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung oder unbeabsichtigtem Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, und zwar in Bezug auf die Sicherheit personenbezogener Daten und die zur Bereitstellung der Dienste verwendeten Plattformen, wie in der Datenschutzgesetzgebung beschrieben. Bei der Umsetzung solcher Maßnahmen ist Bizzon berechtigt, die derzeitige Standardpraxis bei der Bestimmung dessen, was angemessen ist, sowie die Verhältnismäßigkeit der Kosten für die Umsetzung solcher Maßnahmen zu berücksichtigen, wenn diese gegen den potenziellen Schaden für die betroffenen Personen abgewogen werden, vor dem die Umsetzung dieser Maßnahmen schützen soll. Zum Zeitpunkt dieses Nachtrags unterhält und implementiert Bizzon die in Anhang II dieses Nachtrags aufgeführten technischen und organisatorischen Maßnahmen.
2.3. PERSONAL. Bizzon stellt sicher, dass sein an der Verarbeitung beteiligtes Personal über seine Pflichten und Verantwortlichkeiten informiert ist, eine angemessene Schulung erhalten hat und über den vertraulichen Charakter der personenbezogenen Daten informiert ist. Bizzon stellt sicher, dass der Zugriff des Personals auf personenbezogene Daten auf diejenigen Personen beschränkt ist, die Dienstleistungen gemäß der Vereinbarung erbringen, und dass die Vertraulichkeitsverpflichtungen des Personals im Wesentlichen den in der Vereinbarung und im Nachtrag festgelegten entsprechen und auch nach Beendigung des Arbeitsverhältnisses des Personals bestehen bleiben.
2.4. MITTEILUNGEN. Bizzon benachrichtigt den Merchant so bald wie wirtschaftlich vertretbar schriftlich:
2.4.1. über jede Mitteilung, die von einer Person in Bezug auf (i) das Recht einer Person auf Zugang, Änderung, Berichtigung, Löschung oder Sperrung ihrer personenbezogenen Daten; (ii) das Recht einer Person auf Berichtigung, Einschränkung oder Löschung ihrer personenbezogenen Daten, auf Datenübertragbarkeit, auf Widerspruch gegen die Verarbeitung und auf Nichtunterwerfung unter eine automatisierte Entscheidungsfindung; und (iii) jede Beschwerde über die Verarbeitung durch den Merchant;
2.4.2. von Vorladungen oder anderen gerichtlichen oder behördlichen Anordnungen oder Verfahren, die den Zugang zu oder die Offenlegung von personenbezogenen Daten zum Ziel haben;
2.4.3. von Beschwerden, Mitteilungen oder anderen Mitteilungen, die sich auf die Einhaltung der Datenschutzgesetze und die Verarbeitung personenbezogener Daten durch den Merchant beziehen; Bizzon wird dem Merchant in Bezug auf solche Beschwerden, Mitteilungen oder Mitteilungen wirtschaftlich angemessene Zusammenarbeit und Unterstützung (auf Kosten des Merchants) gewähren; und
2.4.4. einer wesentlichen Verletzung der Sicherheit der Dienste, die zu einer versehentlichen oder rechtswidrigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf die personenbezogenen Daten führt, von denen wir gemäß geltendem Recht Kenntnis erhalten (jeweils eine „Sicherheitsverletzung“); Bizzon unternimmt angemessene Anstrengungen, um die Ursache einer solchen Sicherheitsverletzung zu ermitteln und die erforderlichen und angemessenen Schritte zu unternehmen, die für den Merchant akzeptabel sind, um die Ursache einer solchen Sicherheitsverletzung zu beheben, soweit die Behebung innerhalb der angemessenen Kontrolle von Bizzon liegt.
Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die durch den Merchant verursacht wurden.
2.5. KEINE ANERKENNUNG. Der Merchant stimmt zu, dass die Verpflichtung von Bizzon, eine Sicherheitsverletzung zu melden, nicht als Anerkennung eines Verschuldens oder einer Haftung von Bizzon in Bezug auf eine solche Sicherheitsverletzung ausgelegt wird und werden darf.
2.6. RÜCKGABE UND LÖSCHUNG VON DATEN. Vorbehaltlich der in den geltenden Gesetzen festgelegten Einschränkungen gibt Bizzon dem Merchant alle persistenten personenbezogenen Daten (sofern diese nicht bereits gemäß geltendem Recht gelöscht wurden) nach standardisierten Verfahren und innerhalb wirtschaftlich angemessener Fristen zurück.
2.7. EINHALTUNG DER VORSCHRIFTEN DURCH BIZZON. Bizzon hält die für seine eigenen Tätigkeiten und die Bereitstellung der Dienste geltenden Datenschutzvorschriften sowie seine Verpflichtungen gemäß diesem Nachtrag ein.
2.8. DATENFREIGABE. Durch die Aktivierung oder Annahme der Datenfreigabe innerhalb des Kontos an Dritte weist der Merchant Bizzon gemäß Art. 28(3)(a) der DSGVO an, diesem Dritten Zugriff auf alle personenbezogenen Daten und alle anderen Daten zu gewähren, die innerhalb des Bizzon-Kontos des Merchants verarbeitet werden. Der Merchant ist dafür verantwortlich, alle erforderlichen Einwilligungen der betroffenen Personen oder anderer Dritter mit der Datenfreigabe einzuholen, wie es die geltende Datenschutzgesetzgebung vorschreibt. Der Merchant wird Bizzon und seine verbundenen Unternehmen in vollem Umfang von allen Ansprüchen freistellen, verteidigen und schadlos halten, die von einer betroffenen Person oder einem Dritten aufgrund eines Verstoßes gegen diese Bestimmung geltend gemacht werden, einschließlich aller Verbindlichkeiten, Schäden, Verluste, Kosten und Ausgaben.
2.9. INTEGRATIONEN. Die Dienste bieten mehrere Integrationen. Durch die Verbindung oder das Abonnieren der jeweiligen Integration über das Konto weist der Merchant Bizzon gemäß Art. 28 (3)(a) der DSGVO an, dem jeweiligen Integrationshändler Zugriff auf die im Konto verarbeiteten personenbezogenen Daten zu gewähren, soweit dies für das Zusammenwirken der Integrationsdienste oder -produkte mit den Diensten erforderlich ist.
2.10. PRÜFUNG. Der Merchant hat das Recht, eine Prüfung durchzuführen, um die Einhaltung der in Art. 28 der DSGVO und in diesem Nachtrag festgelegten Verpflichtungen durch Bizzon zu überprüfen. Bizzon gestattet dem Merchant die Durchführung der Prüfung unter den folgenden Bedingungen:
2.10.1. Der Merchant fordert Bizzon mindestens 30 (dreißig) Tage im Voraus schriftlich auf, die Prüfung durchzuführen, und legt dabei die Tagesordnung für diese Prüfung fest;
2.10.2. Die Prüfung darf nicht öfter als einmal pro Jahr stattfinden.
2.10.3. Alle damit verbundenen Kosten und Ausgaben sind vom Merchant zu tragen und Bizzon auf Verlangen zu erstatten.
2.10.4. Die Prüfung darf nicht länger als einen Arbeitstag (8 Stunden) des Bizzon-Vertreters dauern.
Falls der Merchant die Prüfung durch eine dritte unabhängige Partei – einen externen lizenzierten Prüfer – beantragt, kann Bizzon einen vom Merchant für die Durchführung der Prüfung ernannten externen lizenzierten Prüfer ablehnen, wenn der Prüfer nach angemessener Auffassung von Bizzon nicht ausreichend qualifiziert oder unabhängig ist, ein Konkurrent von Bizzon ist oder anderweitig offensichtlich ungeeignet ist. Bei einem solchen Einspruch muss der Merchant einen anderen Prüfer ernennen. Falls der Merchant mehr als eine Prüfung innerhalb eines Kalenderjahres benötigt, muss der Merchant die vorherige schriftliche Genehmigung von Bizzon einholen und die mit diesen Prüfungen verbundenen Kosten tragen und Bizzon alle angemessenen Kosten dieser Prüfungen erstatten. Auf Anfrage des Merchants teilt Bizzon dem Merchant die geschätzten Kosten mit, die voraussichtlich während einer solchen Prüfung anfallen werden, und zwar in dem Umfang, der in der vom Merchant bereitgestellten Tagesordnung angegeben ist.
3.1. VERARBEITUNG DURCH DEN MERCHANT. Der Merchant muss bei der Nutzung der Dienste personenbezogene Daten gemäß den Anforderungen der Datenschutzgesetze verarbeiten. Zur Klarstellung: Der Merchant garantiert, dass seine Anweisungen zur Verarbeitung personenbezogener Daten den Datenschutzgesetzen entsprechen und dass er keine Anweisungen oder Aufträge erteilt, die Bizzon zu Handlungen oder Vorgehensweisen veranlassen, die rechtswidrig sind oder anderweitig nicht den Datenschutzgesetzen entsprechen. Der Merchant trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und die Mittel, mit denen der Merchant die personenbezogenen Daten erworben hat.
3.2. EINHALTUNG DER VORSCHRIFTEN DURCH DEN MERCHANT. Zusätzlich zu den in der Vereinbarung genannten Verpflichtungen des Merchants ist der Merchant verantwortlich für (i) die Integrität, Sicherheit, Wartung und den angemessenen Schutz der personenbezogenen Daten und (ii) die Einhaltung aller geltenden Gesetze und Vorschriften zum Schutz der Privatsphäre, zum Datenschutz und zur Sicherheit in Bezug auf: (a) die Verarbeitung der personenbezogenen Daten; (b) die Nutzung der Dienste; und (c) alle Registrierungs- oder Meldepflichten, denen der Merchant nach geltendem Recht unterliegt.
3.3. MITTEILUNGEN. Der Merchant verpflichtet sich, alle erforderlichen Mitteilungen an Einzelpersonen zu machen und die erforderlichen Einwilligungen und Rechte von Einzelpersonen einzuholen, die im Zusammenhang mit der Bereitstellung der Dienste von Bizzon für den Merchant stehen. Wenn Bizzon eine Mitteilung gemäß den vorstehenden Bestimmungen 2.4.1 oder 2.4.3 erhält und den Merchant über eine solche Mitteilung benachrichtigt, liegt es in der Verantwortung des Merchants, auf die Mitteilung zu reagieren und alle anderen geeigneten Maßnahmen in Bezug auf die Mitteilung zu ergreifen. Der Merchant verpflichtet sich, Bizzon unverzüglich über jede unbefugte Nutzung der Dienste oder des Kontos oder über jede andere Sicherheitsverletzung im Zusammenhang mit den Diensten zu informieren.
3.4. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN. Der Merchant ist allein verantwortlich für die Umsetzung und Aufrechterhaltung von Sicherheitsmaßnahmen und anderen technischen und organisatorischen Maßnahmen, die der Art und dem Umfang der personenbezogenen Daten entsprechen, die der Merchant speichert oder anderweitig mithilfe der Dienste verarbeitet. Der Merchant ist auch für die Nutzung der Dienste durch seine Mitarbeiter, durch Personen, die der Merchant zum Zugriff auf die Dienste oder zu deren Nutzung autorisiert, und durch Personen, die aufgrund des Versäumnisses des Merchants, angemessene Sicherheitsvorkehrungen zu treffen, Zugriff auf die personenbezogenen Daten oder die Dienste erhalten, verantwortlich, selbst wenn eine solche Nutzung nicht vom Merchant autorisiert wurde.
4.1. ZUSAMMENARBEIT ZWISCHEN MERCHANT UND BIZZON. Der Merchant und Bizzon verpflichten sich, in wirtschaftlich angemessener Weise zusammenzuarbeiten, soweit dies nach den geltenden Gesetzen, Paragraph 35 und 36 der DSGVO, erforderlich ist, um die personenbezogenen Daten zu schützen, um eine Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Dienste durch den Merchant durchzuführen, soweit der Merchant keinen anderweitigen Zugang zu den relevanten Informationen hat und soweit diese Informationen Bizzon zur Verfügung stehen. Der Merchant muss bei der angemessenen Untersuchung von Ausfällen der Dienste, Sicherheitsproblemen und vermuteten Sicherheitsverletzungen durch Bizzon kooperieren. Der Merchant unterstützt Bizzon in angemessenem Umfang bei der Zusammenarbeit oder vorherigen Absprache mit der ´¡³Ü´Ú²õ¾±³¦³ó³Ù²õ²ú±ð³óö°ù»å±ð bei der Erfüllung ihrer Aufgaben im Zusammenhang mit dieser Bestimmung, soweit dies nach geltendem Recht erforderlich ist.
4.2. UNTERSTÜTZUNG DURCH BIZZON. Während der Laufzeit der Vereinbarung kann der Merchant Bizzon um Unterstützung bei der Erfüllung seiner Pflichten gemäß den geltenden Gesetzen bitten, vorausgesetzt, (i) die angeforderte Unterstützung ist für die Dienste relevant, die die Verarbeitung personenbezogener Daten unterstützen, (ii) die angeforderte Unterstützung ist wirtschaftlich angemessen und in einem angemessenen Verhältnis zum Ziel der Tätigkeit steht, bei der Bizzon um Unterstützung gebeten wird, und (iii) alle damit verbundenen Kosten und Ausgaben von Bizzon (einschließlich der Kosten für die Arbeitszeit seiner Mitarbeiter) vom Merchant getragen und Bizzon auf Anfrage erstattet werden.
5.1. UNTERAUFTRAGSVERARBEITER. In Bezug auf Dritte oder die Unterauftragsverarbeitung darf Bizzon nur mit vorheriger Zustimmung des Merchants einen Dritten (Unterauftragsverarbeiter) mit der Verarbeitung der personenbezogenen Daten beauftragen, vorausgesetzt, die Bestimmungen zur Datenverarbeitung und zum Datenschutz im Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten im Wesentlichen den in diesem Nachtrag festgelegten Bedingungen entsprechen, vorausgesetzt, dass der Vertrag des Unterauftragsverarbeiters in Bezug auf die personenbezogenen Daten bei Beendigung der Vereinbarung aus irgendeinem Grund automatisch endet. Für die Zwecke dieses Vertrags werden die folgenden Unterauftragsverarbeiter vom Merchant durch Unterzeichnung dieses Nachtrags genehmigt: (i) die in Anhang III dieses Vertrags aufgeführten Unterauftragsverarbeiter; (ii) die mit Bizzon verbundenen Unternehmen; und (iii) jeder Unterauftragsverarbeiter, der vom Merchant über seinen autorisierten Benutzer durch Autorisierung einer Integration mit den Diensten über das Konto oder anderweitig autorisiert wurde. Bizzon kann während der Laufzeit der Vereinbarung neue Unterauftragsverarbeiter hinzuziehen, vorausgesetzt, dass diese Unterauftragsverarbeiter nur in dem Umfang auf die personenbezogenen Daten zugreifen und diese verwenden, wie es für die Erfüllung der an sie übertragenen Verpflichtungen erforderlich ist.
5.2. EINWÄNDE. Der Merchant kann gegen die Nutzung eines neuen Unterauftragsverarbeiters durch Bizzon in angemessener Einwände erheben, indem er Bizzon innerhalb von zehn (10) Werktagen nach Erhalt der Mitteilung von Bizzon unverzüglich schriftlich benachrichtigt. Falls der Merchant Einwände gegen einen neuen Unterauftragsverarbeiter erhebt, wird Bizzon angemessene Anstrengungen unternehmen, um (i) zusätzliche Sicherheitsvorkehrungen zu treffen (die die angegebenen Bedenken abdecken); (ii) den Unterauftragsverarbeiter zu wechseln (gegenüber dem Unterauftragsverarbeiter ) oder (iii) dem Merchant eine Änderung der Dienste zur Verfügung stellen oder eine wirtschaftlich angemessene Änderung der Konfiguration oder Nutzung der Dienste durch den Merchant empfehlen, um eine Verarbeitung durch den beanstandeten Unterauftragsverarbeiter zu vermeiden, ohne den Merchant unangemessen zu belasten. Wenn Bizzon nicht in der Lage ist, eine solche Änderung innerhalb einer angemessenen Frist, die dreißig (30) Tage nicht überschreiten darf, vorzunehmen, kann der Merchant nur den Teil der Dienstleistungen kündigen, der von Bizzon nicht ohne die Nutzung des beanstandeten Unterauftragsverarbeiters erbracht werden kann, indem er Bizzon eine schriftliche Mitteilung zukommen lässt. Bizzon erstattet dem Merchant alle im Voraus bezahlten Gebühren für die restliche Laufzeit des Vertrags nach dem Datum des Inkrafttretens der Kündigung in Bezug auf den gekündigten Teil der Dienstleistungen, was die einzige und ausschließliche Abhilfe des Merchants im Zusammenhang mit der Einführung eines neuen Unterauftragsverarbeiters darstellt.
5.3. HAFTUNG. Bizzon haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem Bizzon haftbar wäre, wenn es die Dienstleistungen jedes Unterauftragsverarbeiters direkt gemäß den Bedingungen dieses Nachtrags erbringen würde, sofern in der Vereinbarung nichts anderes festgelegt ist.
6.1. EUROPÄISCHER WIRTSCHAFTSRAUM. Die Parteien vereinbaren, dass personenbezogene Daten nur dann aus dem Europäischen Wirtschaftsraum in ein Drittland übermittelt werden dürfen, wenn eine der folgenden Bedingungen erfüllt ist:
6.1.1. Es liegt eine anwendbare Entscheidung der Europäischen Kommission vor, die besagt, dass das Drittland ein angemessenes Schutzniveau gewährleistet;
6.1.2. die Übertragung stattfinden kann, weil Bizzon angemessene Schutzmaßnahmen gemäß Art. 46 der DSGVO getroffen hat, und unter der Bedingung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für betroffene Personen verfügbar sind; oder
6.1.3. die Ausnahmeregelungen für bestimmte Situationen gemäß Art. 49 der DSGVO gelten.
6.2. STANDARDVERTRAGSKLAUSELN. Für die Zwecke von Bestimmung 6.1.2 oben vereinbaren die Parteien, dass Standardvertragsklauseln als angemessene Schutzmaßnahmen gelten. Um die Datenübertragung von und in Drittländer in den und aus dem Europäischen Wirtschaftsraum oder dem Vereinigten Königreich (je nach Fall) zu ermöglichen, werden die Standardvertragsklauseln (die „SCCs“) hiermit durch Verweis in diesen Nachtrag aufgenommen und bilden einen integralen Bestandteil dieses Nachtrags wie folgt:
6.2.1. Für die Zwecke der personenbezogenen Daten, die den EU-Datenschutzgesetzen unterliegen (die „EU-Daten“):
6.2.1.1. Wenn der Merchant der Verantwortliche ist, gilt Modul zwei (Verantwortlicher an Auftragsverarbeiter) der SCCs, wenn der Merchant der Auftragsverarbeiter ist, gilt Modul drei (Auftragsverarbeiter an Unterauftragsverarbeiter) der SCCs;
6.2.1.2. in Bestimmung 9 gilt Option 2 und der Zeitraum für die vorherige Ankündigung von Änderungen bei Unterauftragsverarbeitern entspricht dem in Bestimmung 5 (Unterauftragsverarbeitung) dieses Nachtrags festgelegten Zeitraum;
6.2.1.3. in Bestimmung 11 gilt die optionale Formulierung nicht;
6.2.1.4. in Bestimmung 17 gilt Option 1 und die EU-SCC unterliegen niederländischem Recht;
6.2.1.5. in Bestimmung 18(b) werden Streitigkeiten vor den Gerichten der Niederlande beigelegt;
6.2.1.6. Anhang I der SCC gilt mit den in Anhang I dieses Nachtrags aufgeführten Informationen als vervollständigt;
6.2.1.7. Anhang II der SCCs gilt als mit den in Anhang II dieses Nachtrags aufgeführten Informationen vervollständigt;
6.2.2. Die Übertragung der personenbezogenen Daten, die den Datenschutzgesetzen des Vereinigten Königreichs unterliegen (die „Daten aus dem Vereinigten Königreichs“), wird durch Anhang IV – Nachtrag für das Vereinigte Königreich zu den SCCs geregelt.
Der Merchant stimmt zu, dass jeder autorisierte Benutzer des Merchants kontaktiert werden kann und berechtigt ist, Mitteilungen im Zusammenhang mit diesem Nachtrag zu erhalten.
8.1. ANWENDBARKEIT. Bizzon erkennt an, dass es, wenn das Recht des Staates Kalifornien gilt, in Bezug auf die personenbezogenen Daten als Dienstanbieter handelt.
8.2. VERPFLICHTUNGEN VON BIZZON. Sofern nicht durch geltendes Recht vorgeschrieben oder zwischen den Parteien ausdrücklich vereinbart, darf Bizzon nicht:
8.2.1. die personenbezogenen Daten verkaufen;
8.2.2. die personenbezogenen Daten für einen anderen Zweck als den spezifischen Zweck der Erbringung der Dienstleistungen aufbewahren, verwenden oder offenlegen;
8.2.3. die personenbezogenen Daten für einen anderen als den in der Vereinbarung angegebenen kommerziellen Zweck aufbewahren, verwenden oder offenlegen; oder
8.2.4. die personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung zwischen Bizzon und dem Merchant zu speichern, zu verwenden oder offenzulegen.
8.3. VERPFLICHTUNG. Bizzon bestätigt, dass es die Verantwortlichkeiten und Einschränkungen, die durch diesen Nachtrag, den CCPA und andere anwendbare Datenschutzgesetze und -vorschriften auferlegt werden, versteht und einhalten wird.
8.4. In dieser Bestimmung 8:
8.4.1. „CCPA“ bezeichnet den California Consumer Privacy Act, California Civil Code §§1798.100 ff., einschließlich aller Änderungen und Durchführungsbestimmungen, die am oder nach dem Datum des Inkrafttretens dieses Nachtrags in Kraft treten; und
8.4.2. „Dienstanbieter“ hat die in Abschnitt 1798.140(v) des CCPA festgelegte Bedeutung.
9,1. ANWENDBARKEIT. Diese Bestimmung 9 gilt nur, wenn der Merchant in den Vereinigten Staaten von Amerika eingetragen ist.
9.2. COPPA. Der Schutz der Privatsphäre von Kindern ist besonders wichtig. Der Children's Online Privacy and Protection Act („COPPA“) verlangt, dass Online-Dienstanbieter die Zustimmung der Eltern einholen, bevor sie wissentlich personenbezogene Daten von Kindern in den Vereinigten Staaten von Amerika sammeln, die jünger als 13 Jahre sind. Bizzon respektiert die Rolle der Eltern oder Erziehungsberechtigten bei der Überwachung der Online-Aktivitäten ihrer Kinder. Dementsprechend beschränkt Bizzon die Erhebung personenbezogener Daten von Kindern auf das Maß, das für die Teilnahme an den Diensten und deren Verbesserung erforderlich ist. Bizzon erhebt keine personenbezogenen Daten von Kindern, die nicht in der Vereinbarung festgelegt sind. Bizzon behält sich das Recht vor, die Verarbeitung von Daten, die vom Merchant bereitgestellt werden und gegen diese Bestimmung verstoßen, zu verweigern.
9.3. VERWENDUNG DER MERCHANTDATEN DURCH DRITTE. Sofern nicht anders vereinbart, sind alle Daten, die Bizzon vom Merchant zur Verfügung gestellt werden, vertrauliche Informationen und Bizzon wird diese Daten ausschließlich zur Ausübung seiner Rechte und zur Erfüllung seiner Pflichten im Zusammenhang mit den Dienstleistungen verwenden. Der Merchant erkennt an, dass die von ihm an Bizzon übermittelten Informationen Dritten zur Verfügung gestellt werden, um die ordnungsgemäße Ausführung der Dienstleistungen zu ermöglichen. Der Merchant erkennt an, dass diese Dritten keine Vertreter von Bizzon sind und Bizzon nicht für die Handlungen und Unterlassungen dieser Dritten verantwortlich ist. Bizzon verlangt von Dritten, denen personenbezogene Daten zur Verfügung gestellt werden, dass sie das gleiche Maß an Datenschutz anwenden, wie in diesem Nachtrag dargelegt und wie es die geltenden Gesetze vorschreiben. Die Art und Weise, wie Merchantdaten verwendet werden dürfen, ist in der Datenschutzrichtlinie von Bizzon geregelt.
10.1. DRITTBEGÜNSTIGTE. Die betroffenen Personen sind die einzigen Drittbegünstigten der SCCs, und es gibt keine weiteren Drittbegünstigten der Vereinbarung und dieses Nachtrags. Ungeachtet des Vorstehenden gelten die Vereinbarung und die Bedingungen dieses Nachtrags nur für die Parteien und übertragen keine Rechte auf verbundene Unternehmen des Merchants, Endnutzer des Merchants oder betroffene Drittpersonen.
10.2. GELTENDES RECHT. Die Vereinbarung regelt alle Ansprüche, die im Rahmen dieses Nachtrags geltend gemacht werden.
10.3. HAFTUNG. Die Rechtsmittel des Merchants, einschließlich der seiner verbundenen Unternehmen, und die Haftung von Bizzon, die sich aus oder im Zusammenhang mit diesem Nachtrag und den SCC ergeben, unterliegen den Haftungsbeschränkungen und Haftungsausschlüssen in der Vereinbarung. Für den Fall, dass in der Vereinbarung keine Haftungsbeschränkungen festgelegt sind, vereinbaren und erklären die Parteien, dass der Gesamtschaden, der aus der Verletzung dieses Nachtrags und der SCC entstehen kann, zehntausend Euro nicht übersteigen darf.
10.4. LAUFZEIT. Nach Beendigung der Vereinbarung bleibt dieser Nachtrag so lange in Kraft, bis Bizzon die Verarbeitung der personenbezogenen Daten im Auftrag des Merchants einstellt.
10.5. KÜNDIGUNG. Bizzon kann diesen Nachtrag kündigen, wenn Bizzon dem Merchant alternative Mechanismen anbietet, die den Verpflichtungen der geltenden Datenschutzgesetze entsprechen.
10.6. EXEMPLARE. Dieser Nachtrag kann in mehreren Exemplaren unterzeichnet werden, die zusammen als ein Original gelten.
A.- Liste der Parteien
Datenexporteur
Der Datenexporteur ist der Merchant
Datenimporteur
Der Datenimporteur ist Bizzon
Kategorien betroffener Personen
Die übermittelten personenbezogenen Daten betreffen Einzelpersonen (Kunden oder potenzielle Kunden), die die Dienste des Merchants nutzen.
Kategorien personenbezogener Daten
Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien: Kontakt- und Identifikationsinformationen (einschließlich Name, Titel, E-Mail-Adresse und Anschrift), Zahlungsdetails, Kartennummern, Namen der Karteninhaber sowie Angaben zu den Dienstleistungen des Merchants und begrenzte Verbindungs- und Standortdaten (Stadt) in elektronischer Form, die im Rahmen der Dienstleistungen von Bizzon an den Datenimporteur übermittelt werden (bereitgestellt vom entsprechenden Unterauftragsverarbeiter/Importeur).
Besondere Kategorien personenbezogener Daten
Sensible Daten wie z. B. Ernährungsanforderungen können übertragen werden, wenn die betroffenen Personen beschließen, Informationen dieser Art weiterzugeben. Es gelten die technischen und organisatorischen Maßnahmen gemäß Anhang II.
³Õ±ð°ù²¹°ù²ú±ð¾±³Ù³Ü²Ô²µ²õ±¹´Ç°ù²µÃ¤²Ô²µ±ð
Die übertragenen personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten: Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Vernichtung. Der Merchant muss im Zusammenhang mit der Nutzung der Dienste angemessene Sicherheitsvorkehrungen treffen, einschließlich der angemessenen Verschlüsselung aller personenbezogenen Daten, die auf dem gehosteten System gespeichert oder von diesem übertragen werden.
Häufigkeit der Übertragung
Fortlaufend
Art und Gegenstand der Verarbeitung
Dauer der Verarbeitung
Laufzeit
Zweck(e) der Datenübertragung und Weiterverarbeitung
(i) Verarbeitung zur Bereitstellung, Aufrechterhaltung, Unterstützung und Verbesserung der dem Merchant gemäß der Vereinbarung bereitgestellten Dienste;
(ii) Verarbeitung, die von Einzelpersonen bei der Nutzung der Dienste initiiert wird; und
(iii) Verarbeitung zur Einhaltung anderer dokumentierter angemessener Anweisungen des Merchants (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen der Vereinbarung (einschließlich dieses Nachtrags) übereinstimmen.
In Bezug auf EU-Daten ist die zuständige ´¡³Ü´Ú²õ¾±³¦³ó³Ù²õ²ú±ð³óö°ù»å±ð die niederländische Datenschutzbehörde (die „niederländische Datenschutzbehörde“).
Nachfolgend finden Sie eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die von Bizzon gemäß diesem Nachtrag umgesetzt werden.
1.1. Unbefugte Personen dürfen keinen physischen Zugang zu Räumlichkeiten, Gebäuden oder Räumen erhalten, in denen sich Datenverarbeitungssysteme befinden, die personenbezogene Daten verarbeiten. Ausnahmen können zum Zweck der Prüfung der Einrichtungen durch externe Prüfer gewährt werden, solange diese von Bizzon beaufsichtigt werden und selbst keinen Zugang zu den personenbezogenen Daten erhalten.
1.2. Bizzon garantiert, dass es (ohne Einschränkung) die folgenden Kontrollen implementiert hat:
1.2.1. Kontrollen zur Festlegung autorisierter Personen, die auf personenbezogene Daten zugreifen dürfen;
1.2.2. Implementierung eines Zugangskontrollverfahrens zur Vermeidung des unbefugten Zutritts zu den Räumlichkeiten des Unternehmens;
1.2.3. Implementierung eines Zugangskontrollverfahrens zur Beschränkung des Zugangs zu Rechenzentren/Räumen, in denen sich Datenserver befinden;
1.2.4. Videoüberwachungs- und Alarmvorrichtungen in Bezug auf Zugangsbereiche verwendet; und
1.2.5. sichergestellt hat, dass Personal ohne Zugangsberechtigung (z. B. Techniker, Reinigungspersonal) bei jedem Zugang zu Datenverarbeitungsbereichen begleitet wird.
2.1. Die unbefugte Nutzung von Datenverarbeitungssystemen muss verhindert werden.
2.2. Bizzon garantiert, dass (ohne Einschränkung) die folgenden Kontrollen implementiert wurden:
2.2.1. Es wurde sichergestellt, dass alle Systeme, die personenbezogene Daten verarbeiten (einschließlich Fernzugriff), passwortgeschützt sind:
2.2.2. um zu verhindern, dass unbefugte Personen auf personenbezogene Daten zugreifen;
2.2.3. Bereitstellung dedizierter Benutzerkennungen für die Authentifizierung gegenüber der Systembenutzerverwaltung für jede Person;
2.2.4. Zuweisung individueller Benutzerkennwörter für die Authentifizierung;
2.2.5. Sicherstellung, dass die Zugriffskontrolle durch ein Authentifizierungssystem unterstützt wird;
2.2.6. Kontrollen, um nur autorisiertem Personal Zugang zu gewähren und nur die Mindestberechtigungen zuzuweisen, die dieses Personal für den Zugriff auf personenbezogene Daten im Rahmen seiner Tätigkeit benötigt;
2.2.7. eine Passwortrichtlinie eingeführt, die die Weitergabe von Passwörtern verbietet, Prozesse nach der Offenlegung eines Passworts festlegt und den regelmäßigen Wechsel von Passwörtern vorschreibt;
2.2.8. sichergestellt, dass Passwörter immer in verschlüsselter Form gespeichert werden;
2.2.9. ein ordnungsgemäßes Verfahren zur Deaktivierung von Benutzerkonten eingeführt, wenn ein Benutzer das Unternehmen oder die Funktion verlässt;
2.2.10. ein ordnungsgemäßes Verfahren zur Anpassung der Administratorberechtigungen eingeführt hat, wenn ein Administrator das Unternehmen oder die Funktion verlässt; und
2.2.11. ein Verfahren zur Protokollierung aller Zugriffe auf Systeme und zur Überprüfung dieser Protokolle auf Sicherheitsvorfälle eingeführt hat.
3.1. Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, erhalten nur Zugriff auf die Daten, auf die sie Zugriff haben dürfen, und personenbezogene Daten dürfen während der Verarbeitung nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden.
3.2. Bizzon garantiert, dass es (ohne Einschränkung) die folgenden Kontrollen implementiert hat:
3.2.1. eingeschränkter Zugriff auf Dateien und Programme auf der Grundlage des „Need-to-know-Prinzips“;
3.2.2. physische Medien, die personenbezogene Daten enthalten, in gesicherten Bereichen aufbewahrt werden;
3.2.3. Kontrollen zur Verhinderung der Verwendung/Installation nicht autorisierter Hardware und/oder Software durchgeführt werden;
3.2.4. Regeln für die sichere und dauerhafte Vernichtung nicht mehr benötigter Daten festgelegt werden; und
3.2.5. Kontrollen durchgeführt werden, um nur autorisiertem Personal Zugang zu gewähren und nur die minimalen Berechtigungen zuzuweisen, die dieses Personal für den Zugriff auf personenbezogene Daten im Rahmen seiner Funktion benötigt.
4.1. Personenbezogene Daten dürfen während der Übertragung oder Speicherung nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden, und es muss möglich sein, festzustellen, an wen personenbezogene Daten übertragen wurden.
4.2. Bizzon garantiert, dass es (ohne Einschränkung) die folgenden Kontrollen implementiert hat:
4.2.1. Verschlüsselung von Daten während der Übertragung und im Ruhezustand;
4.2.2. physische Medien, die personenbezogene Daten enthalten, in versiegelten Behältern transportiert werden; und
4.2.3. Versand- und Lieferscheine vorhanden sind.
5.1. Bizzon muss in der Lage sein, nachträglich zu prüfen und festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden.
5.2. Bizzon garantiert, dass es (ohne Einschränkung) die folgenden Kontrollen implementiert hat:
5.2.1. Kontrollen zur Protokollierung der Aktivitäten von Administratoren und Benutzern; und
5.2.2. Kontrollen, die es nur autorisiertem Personal erlauben, personenbezogene Daten im Rahmen ihrer Funktion zu ändern.
6.1. Personenbezogene Daten, die im Rahmen der Erbringung einer Dienstleistung für das Unternehmen verarbeitet werden, dürfen nur in Übereinstimmung mit dem zwischen dem Unternehmen und Bizzon bestehenden Dienstleistungsvertrag und den Anweisungen des Unternehmens verarbeitet werden.
6.2. Bizzon garantiert, dass es (ohne Einschränkung) die folgenden Kontrollen implementiert hat:
6.2.1. etablierte Kontrollen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten nur zur Vertragserfüllung erfolgt;
6.2.2. Kontrollen, um sicherzustellen, dass Mitarbeiter und Auftragnehmer schriftliche Anweisungen oder Verträge einhalten; und
6.2.3. sichergestellt, dass Daten immer physisch oder logisch getrennt sind, sodass in jedem Verarbeitungsschritt der Kunde, von dem die personenbezogenen Daten stammen, identifiziert werden kann.
7.1. Personenbezogene Daten sind vor Offenlegung, versehentlicher oder unbefugter Zerstörung oder Verlust zu schützen.
7.2. Bizzon garantiert, dass es (ohne Einschränkung) die folgenden Kontrollen implementiert hat:
7.2.1. Vorkehrungen zur Erstellung von Sicherungskopien, die in speziell geschützten Umgebungen gespeichert werden;
7.2.2. Vorkehrungen zur Durchführung regelmäßiger Wiederherstellungstests aus diesen Sicherungskopien;
7.2.3. Notfallpläne oder Geschäftswiederherstellungsstrategien;
7.2.4. Kontrollen, um sicherzustellen, dass personenbezogene Daten nicht für andere Zwecke als die vertraglich vereinbarten verwendet werden; und
7.2.5. Kontrollen, um zu verhindern, dass personenbezogene Daten aus irgendeinem Grund von den Geschäftscomputern oder -räumen des Datenimporteurs entfernt werden (es sei denn, der Datenexporteur hat eine solche Entfernung für Geschäftszwecke ausdrücklich genehmigt);
7.2.6. Kontrollen, um sicherzustellen, dass nur autorisierte Geschäftsausstattung zur Erbringung der Dienstleistungen verwendet wird;
7.2.7. Kontrollen, um sicherzustellen, dass Mitarbeiter, die ihren Arbeitsplatz tagsüber unbeaufsichtigt lassen und bevor sie das Büro am Ende des Tages verlassen, Materialien, die personenbezogene Daten enthalten, in einer sicheren Umgebung wie einer verschlossenen Schreibtischschublade, einem Aktenschrank oder einem anderen gesicherten Aufbewahrungsort ablegen. (Clean Desk);
7.2.8. ein Verfahren zur sicheren Entsorgung von Dokumenten oder Datenträgern, die personenbezogene Daten enthalten, eingeführt haben;
7.2.9. Netzwerk-Firewalls implementiert hat, um unbefugten Zugriff auf Systeme und Dienste zu verhindern; und
7.2.10. sichergestellt hat, dass auf jedem System, das zur Verarbeitung personenbezogener Daten verwendet wird, eine aktuelle Antivirenlösung ausgeführt wird.
8.1. Die interne Organisation des Datenimporteurs muss den spezifischen Anforderungen des Datenschutzes entsprechen. Insbesondere ergreift der Datenimporteur technische und organisatorische Maßnahmen, um die versehentliche Vermischung personenbezogener Daten zu vermeiden.
8.2. Bizzon garantiert, dass es (ohne Einschränkung) die folgenden Kontrollen implementiert hat:
8.2.1. einen Datenschutzbeauftragten (oder eine verantwortliche Person, falls ein Datenschutzbeauftragter gesetzlich nicht vorgeschrieben ist) benannt hat;
8.2.2. die schriftliche Verpflichtung der Mitarbeiter zur Wahrung der Vertraulichkeit eingeholt hat;
8.2.3. das Personal in Bezug auf Datenschutz und Datensicherheit geschult hat;
8.2.4. ein formelles Verfahren zur Reaktion auf Sicherheitsvorfälle eingeführt hat, das bei der Bewältigung von Sicherheitsvorfällen konsequent befolgt wird; und
8.2.5. das Personal in Bezug auf die Rolle der Sicherheitsvorfall-Reaktion auf das Verfahren für Sicherheitsvorfälle geschult hat.
Die Liste der genehmigten Unterauftragsverarbeiter von Bizzon finden Sie unter .
Datum dieses Nachtrags
Hintergrund
Auslegung dieses Nachtrags für das Vereinigte Königreich
Hierarchie
Einbeziehung der SCC