GDocs Link zum Storeport G2
GDocs Link zum Storeport G2

Zusatz zur Datenverarbeitung (DPA)

Dieser Zusatz zur Datenverarbeitung ("DPA") ist Teil der Vereinbarung zwischen der in der Vereinbarung genannten Partei ("Kunde") und FaceFirst und gilt, wenn FaceFirst im Rahmen der Erbringung von Dienstleistungen personenbezogene Daten im Namen des Kunden verarbeitet. Diese DPA gilt nicht, wenn FaceFirst der für die Verarbeitung Verantwortliche ist. Alle in Großbuchstaben geschriebenen Begriffe, die in dieser DPA verwendet, aber nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung.

1. VERARBEITUNG

1.1 Rolle der Parteien. FaceFirst verarbeitet personenbezogene Daten im Rahmen des Vertrags nur als Auftragsverarbeiter, der im Namen des Kunden handelt. Der Kunde kann entweder als Verantwortlicher oder als Verarbeiter personenbezogener Daten handeln.

1.2 Verarbeitung von personenbezogenen Daten durch den Kunden. Die Nutzung der Software und die Verarbeitungsanweisungen des Kunden müssen den Datenschutzgesetzen entsprechen, und der Kunde muss alle Rechte und Genehmigungen einholen, die FaceFirst benötigt, um personenbezogene Daten im Rahmen des Vertrags zu verarbeiten.

1.3 FaceFirst verarbeitet personenbezogene Daten. FaceFirst muss die für die Erbringung der Dienste geltenden Datenschutzgesetze einhalten und verarbeitet personenbezogene Daten in Übereinstimmung mit den dokumentierten Anweisungen des Kunden. Der Kunde stimmt zu, dass der Vertrag seine vollständigen und endgültigen Anweisungen an FaceFirst hinsichtlich der Verarbeitung personenbezogener Daten darstellt. Die Verarbeitung personenbezogener Daten außerhalb des Geltungsbereichs der Vereinbarung bedarf der vorherigen schriftlichen Vereinbarung zwischen FaceFirst und dem Kunden und kann zusätzliche Gebühren nach sich ziehen. Der Kunde kann den Vertrag schriftlich kündigen, wenn FaceFirst eine angemessene Änderung der Verarbeitungsanweisungen ablehnt oder nicht akzeptieren kann, die (a) notwendig ist, um dem Kunden die Einhaltung der Datenschutzgesetze zu ermöglichen, und (b) auf die sich die Parteien nach Gesprächen in gutem Glauben nicht einigen konnten.

1.4 Verarbeitung von personenbezogenen Daten.

1.4.1 Vertragsgegenstand. Gegenstand der vertragsgemäßen Verarbeitung sind personenbezogene Daten, insbesondere Bilder von Kunden, aber auch andere personenbezogene Daten, die FaceFirst vom Kunden zur Verfügung gestellt werden.

1.4.2 Dauer. Die Dauer der Verarbeitung im Rahmen der Vereinbarung wird vom Kunden bestimmt und ist in der Vereinbarung festgelegt.

1.4.3 Zweck. Der Zweck der Verarbeitung im Rahmen des Vertrags ist die Erbringung der Dienstleistungen durch FaceFirst für den Kunden, wie im Vertrag festgelegt.

1.4.4 Art der Verarbeitung. FaceFirst und seine Unterauftragsverarbeiter erbringen Dienstleistungen und erfüllen vertragliche Verpflichtungen gegenüber dem Kunden, wie in der Vereinbarung beschrieben. Diese Dienstleistungen können die Verarbeitung personenbezogener Daten durch FaceFirst und seine Unterauftragsverarbeiter beinhalten.

1.4.5 Kategorien von Datensubjekten. Der Kunde bestimmt die betroffenen Personen, zu denen Verbraucher, Mitarbeiter, Auftragnehmer, Lieferanten und andere Dritte gehören können.

1.4.6 Kategorien von Daten. Der Kunde kontrolliert die Kategorien personenbezogener Daten, die er den Diensten zur Verfügung stellt.

2. UNTERVERARBEITUNG.

2.1 Einsatz von Unterauftragsverarbeitern. Der Kunde ermächtigt FaceFirst, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten zu beauftragen, um die Dienste zu erbringen. FaceFirst ist für alle Handlungen, Fehler oder Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang verantwortlich, in dem FaceFirst haften würde, wenn es die Dienste gemäß den Bedingungen des Vertrags direkt erbringen würde.

2.2 Verpflichtungen. FaceFirst schließt eine Vereinbarung ab, die jeden Unterauftragsverarbeiter dazu verpflichtet, personenbezogene Daten in einer Weise zu verarbeiten, die im Wesentlichen den Standards der DSGVO entspricht und mindestens das vom Datenschutzgesetz geforderte Niveau erreicht.

2.3 Hinweis. Die Liste der Unterauftragsverarbeiter von FaceFirst ist auf schriftliche Anfrage erhältlich.

2.4 Änderungen an Unterauftragsverarbeitern. FaceFirst wird den Kunden über jeden neuen Unterauftragsverarbeiter vorab informieren. Wenn der Kunde innerhalb von 10 Tagen nach Erhalt der Benachrichtigung aus angemessenen Datenschutzgründen Einwände gegen einen neuen Unterauftragsverarbeiter erhebt, wird FaceFirst diese Bedenken mit dem Kunden in gutem Glauben erörtern, um eine Lösung zu finden.

3. SICHERHEITSMASSNAHMEN.

3.1 Sicherheitsmaßnahmen von FaceFirst. FaceFirst wird angemessene technische und organisatorische Sicherheitsmaßnahmen einführen und aufrechterhalten, die dem Schutz vor Verletzungen des Schutzes personenbezogener Daten in Übereinstimmung mit dem Vertrag dienen.

3.2 Sicherheitsmaßnahmen des Kunden. Der Kunde hat bei der Nutzung und Konfiguration der Software angemessene technische und organisatorische Maßnahmen zu treffen.

3.3 Personal. FaceFirst untersagt seinen Mitarbeitern die unbefugte Verarbeitung personenbezogener Daten (es sei denn, dies ist nach geltendem Recht erforderlich). Jede Person, die von FaceFirst autorisiert ist, personenbezogene Daten zu verarbeiten, unterliegt der Geheimhaltungspflicht.

4. REAKTION AUF VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN.

Sobald FaceFirst von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, benachrichtigt es den Kunden unverzüglich und stellt ihm die vom Kunden in angemessener Weise angeforderten Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung. FaceFirst wird sich in angemessener Weise bemühen, den Kunden dabei zu unterstützen, die nachteiligen Auswirkungen einer Verletzung des Schutzes personenbezogener Daten nach Möglichkeit abzumildern.

5. LÖSCHUNG DER PERSONENBEZOGENEN DATEN.

Nach Ablauf oder Beendigung der Vereinbarung wird FaceFirst alle personenbezogenen Daten löschen oder an den Kunden zurückgeben, soweit dies im Rahmen der Vereinbarung möglich ist. Wenn FaceFirst nach geltendem Recht verpflichtet ist, personenbezogene Daten aufzubewahren, wird FaceFirst angemessene Maßnahmen ergreifen, um eine weitere Verarbeitung zu verhindern. Die Bestimmungen dieser DPA gelten weiterhin für diese aufbewahrten personenbezogenen Daten.

6. ZUSAMMENARBEIT.

6.1 Anfragen von Betroffenen. Wenn FaceFirst Anfragen von Personen erhält, die ihre Rechte in Bezug auf personenbezogene Daten, die im Rahmen des Vertrags verarbeitet werden, ausüben möchten (eine "Anfrage"), wird FaceFirst die Anfrage unverzüglich an den Kunden weiterleiten, sofern bekannt ist, dass die Person eine betroffene Person des Kunden ist. FaceFirst wird nicht direkt auf die Anfrage reagieren, es sei denn, der Kunde hat dies genehmigt oder es ist gesetzlich vorgeschrieben. Der Kunde kann Anfragen über die Dienste stellen. Benötigt der Kunde Unterstützung, bittet er FaceFirst um angemessene Zusammenarbeit, die FaceFirst auf Kosten des Kunden leistet.

6.2 DPIAs und vorherige Konsultationen. Wenn es das Datenschutzgesetz verlangt, wird FaceFirst mit angemessener Vorankündigung und auf Kosten des Kunden die angemessen angeforderten Informationen zu den Diensten zur Verfügung stellen, damit der Kunde Datenschutzfolgenabschätzungen ("DPIAs") und vorherige Konsultationen mit Datenschutzbehörden durchführen kann.

6.3 Rechtliche Offenlegungsanfragen. Wenn FaceFirst eine gültige Anfrage zur Offenlegung personenbezogener Daten erhält, die unter diese DSGVO fallen, wird diese Anfrage in Übereinstimmung mit der Vereinbarung bearbeitet.

7. ALLGEMEINES.

7.1 Beziehung zur Vereinbarung. Alle Ansprüche, die im Rahmen dieser DPA geltend gemacht werden, unterliegen den Bestimmungen des Abkommens (einschließlich seiner Ausschlüsse und Beschränkungen).

7.2 Widersprüche. Im Falle eines Widerspruchs zwischen dieser DPA und den Bestimmungen des Abkommens haben die Bestimmungen dieser DPA Vorrang.

7.3 DPA-Aktualisierungen. FaceFirst kann diese DPA aktualisieren: (a) wenn dies von einer Datenschutzbehörde oder einer anderen Regierungs- oder Aufsichtsbehörde verlangt wird; oder (b) um das Datenschutzgesetz einzuhalten. FaceFirst kann seine Datenübertragungs- oder Compliance-Mechanismen weiter austauschen, annehmen oder aktualisieren, sofern sie vom Datenschutzgesetz anerkannt sind. Die geänderte DPA tritt in Kraft, wenn sie auf der Website von FaceFirst veröffentlicht wird oder wie anderweitig in der Vereinbarung vorgesehen.

8. DEFINITIONEN.

Vertrag bezeichnet die schriftliche oder elektronische Vereinbarung zwischen dem Kunden und FaceFirst über die Erbringung von Dienstleistungen für den Kunden.

Verantwortlicher ist eine Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

Datenschutzgesetz bezeichnet alle Datenschutzgesetze, die für die Verarbeitung personenbezogener Daten im Zusammenhang mit den Diensten gelten.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und in den Kundendaten enthalten sind.

Verletzung des Schutzes personenbezogener Daten bedeutet eine Verletzung der Sicherheit der Dienste, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf personenbezogene Daten führt.

Auftragsverarbeiter ist ein Unternehmen, das personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet. Dienste bezeichnet für die Zwecke dieser DPA alle Cloud-Dienste oder Dienste, die FaceFirst dem Kunden gemäß dem Vertrag zur Verfügung stellt.

Dienste sind die im Rahmen des Vertrags erbrachten Unterstützungsdienste.

Unterauftragsverarbeiter ist jeder von FaceFirst oder einem Mitglied seiner Unternehmensgruppe beauftragte Auftragsverarbeiter, der personenbezogene Daten gemäß der Vereinbarung verarbeitet. Zu den Unterauftragsverarbeitern können Dritte oder Mitglieder der FaceFirst-Unternehmensgruppe gehören.

CCPA-Zusatzbedingungen

Soweit der California Consumer Privacy Act von 2018 in seiner geänderten Fassung, Cal. Civ. Code § 1798.100 et seq. ("CCPA") auf personenbezogene Daten anwendbar ist, die der Kunde FaceFirst für einen "Geschäftszweck" offenlegt und bei denen FaceFirst als "Dienstleister" des Kunden gemäß der Vereinbarung handelt, wie diese Begriffe im CCPA definiert sind, gelten die folgenden ergänzenden Bedingungen:

  1. FaceFirst verarbeitet die personenbezogenen Daten für den begrenzten und spezifischen "Geschäftszweck" der Erbringung der FaceFirst-Dienste, die gemäß der Vereinbarung erworben wurden, die im Support- und Wartungsprogramm unter www.gatekeepersystems.com/support-terms/soweit zutreffend.
  2. FaceFirst wird die Anforderungen des CCPA, die für FaceFirst als Dienstleister gelten, einhalten und das in der Vereinbarung näher beschriebene Datenschutzniveau bieten, einschließlich der Erleichterung der Beantwortung von Kundenanfragen und der Einhaltung von Verbraucheranfragen, wie in Abschnitt 6 (Zusammenarbeit) beschrieben, und der Umsetzung von Sicherheitsmaßnahmen, wie in Abschnitt 3 (Sicherheitsmaßnahmen) beschrieben.
  3. Um sicherzustellen, dass FaceFirst personenbezogene Daten in einer Weise verwendet, die mit den Verpflichtungen des Kunden gemäß dem CCPA übereinstimmt, kann der Kunde die in Abschnitt 5 (Prüfberichte) beschriebenen angemessenen und geeigneten Schritte unternehmen.
  4. FaceFirst wird den Kunden benachrichtigen, wenn FaceFirst feststellt, dass es seinen Verpflichtungen gemäß CCPA nicht mehr nachkommen kann.
  5. Wenn der Kunde vernünftigerweise davon ausgeht, dass FaceFirst personenbezogene Daten in einer Weise verwendet, die nicht durch den Vertrag oder das CCPA genehmigt ist, kann der Kunde die folgenden angemessenen und geeigneten Schritte unternehmen: (i) FaceFirst benachrichtigen, damit die Parteien nach Treu und Glauben zusammenarbeiten können, um die Angelegenheit zu klären, oder (ii) alle anderen im Vertrag vorgesehenen Rechte ausüben.
  6. FaceFirst wird personenbezogene Daten nicht "verkaufen" oder "weitergeben" (wie diese Begriffe im CCPA definiert sind).
  7. FaceFirst wird personenbezogene Daten nicht außerhalb der direkten Geschäftsbeziehung zwischen FaceFirst und dem Kunden oder für kommerzielle oder andere Zwecke als die oben genannten Geschäftszwecke aufbewahren, verwenden oder offenlegen, es sei denn, dies ist gemäß CCPA zulässig.
  8. FaceFirst wird personenbezogene Daten nicht mit Daten aus anderen Quellen oder mit Daten kombinieren, die FaceFirst aus seinen eigenen Interaktionen mit den Verbrauchern des Kunden gesammelt hat, es sei denn, dies ist gemäß CCPA zulässig.