Gaglers Auftragsverarbeitungsvereinbarung
Wir bieten Kunden von Gaglers Inc. (CallHub) ein vereinfachtes Verfahren zur Einhaltung der Weiterübermittlungspflichten gemäß der Datenschutz-Grundverordnung (DSGVO) durch Unterzeichnung und Übermittlung unseres Datenverarbeitungszusatzes (DPA). Um eine unterzeichnete Kopie des DPA zu erhalten, senden Sie bitte eine Anfrage an unser Supportteam und wir senden sie Ihnen zu.
Übersicht
Zuletzt aktualisiert am: Mai 15
Diese Datenverarbeitungsvereinbarung („DPA“) ist Teil der Nutzungsbedingungen (oder einer anderen ähnlich betitelten schriftlichen oder elektronischen Vereinbarung zum gleichen Thema) („Zustimmung") zwischen Gaglers Inc. und "Gaglers Inc.” im Rahmen dessen der Auftragsverarbeiter dem Verantwortlichen die Software und Dienstleistungen zur Verfügung stellt (die "Dienstleistungen"). Der Verantwortliche und der Auftragsverarbeiter werden einzeln als "Party" und gemeinsam als „Parteien“.
Die Parteien sind bestrebt, diese Datenverarbeitungsvereinbarung umzusetzen, um den Anforderungen der EU-DSGVO (nachfolgend definiert) in Bezug auf die Verarbeitung personenbezogener Daten (wie in der EU-DSGVO definiert) durch den Verarbeiter im Rahmen seiner Verpflichtungen aus der Vereinbarung nachzukommen.
Diese Datenverarbeitungsvereinbarung gilt für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter, die vom Verantwortlichen im Rahmen der Verpflichtungen des Auftragsverarbeiters gemäß der Vereinbarung bereitgestellt werden.
Sofern nachstehend nicht anders angegeben, bleiben die Bedingungen dieser Vereinbarung in vollem Umfang gültig und wirksam.
1. Definitionen
Begriffe, die hierin nicht anders definiert sind, haben die Bedeutung, die ihnen in der EU-DSGVO oder der Vereinbarung zugewiesen wird. Die folgenden Begriffe haben die ihnen unten zugewiesenen entsprechenden Bedeutungen:
1.1 "Datenübernahme„“ bezeichnet eine Übermittlung der personenbezogenen Daten vom Verantwortlichen an den Auftragsverarbeiter oder zwischen zwei Niederlassungen des Auftragsverarbeiters oder an einen Unterauftragsverarbeiter durch den Auftragsverarbeiter.
1.2 "EU DSGVO„“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
1.3 "Standardvertragsklauseln„“ bezeichnet die diesem Dokument als Anhang 1 beigefügten Vertragsklauseln gemäß dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.
1.4 "Controller„“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
1.5. „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
1.6 "Unterauftragsverarbeiter„“ bezeichnet einen vom Verarbeiter mit der Bereitstellung aller oder eines Teils der Dienste beauftragten Verarbeiter/Subunternehmer, der die vom Verantwortlichen bereitgestellten personenbezogenen Daten verarbeitet.
2. Zweck dieser Vereinbarung
Diese DPA legt verschiedene Pflichten des Auftragsverarbeiters in Bezug auf die Verarbeitung personenbezogener Daten fest und beschränkt sich auf die Pflichten des Auftragsverarbeiters im Rahmen der Vereinbarung. Bei einem Konflikt zwischen den Bestimmungen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang.
3. Kategorien personenbezogener Daten und betroffene Personen
Der Verantwortliche erteilt dem Auftragsverarbeiter die Erlaubnis, die personenbezogenen Daten in einem Umfang zu verarbeiten, der vom Verantwortlichen bestimmt und geregelt wird. Die aktuelle Art der personenbezogenen Daten ist in Anhang I zu Anhang 1 dieser DPA angegeben.
4. Zweck der Verarbeitung
Der Zweck der Verarbeitung personenbezogener Daten durch den Verarbeiter ist auf die Bereitstellung der Dienste durch den Verarbeiter für den Verantwortlichen und/oder dessen Kunden gemäß der Vereinbarung beschränkt.
5. Dauer der Verarbeitung
Der Verarbeiter verarbeitet personenbezogene Daten für die Dauer der Vereinbarung, sofern mit dem Verantwortlichen nicht schriftlich etwas anderes vereinbart wurde.
6. Pflichten des Verantwortlichen
6.1 Der Datenverantwortliche garantiert, dass er über alle erforderlichen Rechte verfügt, um die personenbezogenen Daten dem Datenverarbeiter zur Verfügung zu stellen, damit die Verarbeitung im Zusammenhang mit den vereinbarten Dienstleistungen durchgeführt werden kann. Soweit dies nach Datenschutzgesetzen erforderlich ist, ist der Datenverantwortliche dafür verantwortlich, sicherzustellen, dass er diese personenbezogenen Daten dem Datenverarbeiter auf der Grundlage einer angemessenen Rechtsgrundlage zur Verfügung stellt, die rechtmäßige Verarbeitungsaktivitäten ermöglicht, einschließlich der Einholung aller erforderlichen Einwilligungen der betroffenen Person zu dieser Verarbeitung, und dafür zu sorgen, dass eine Aufzeichnung dieser Einwilligungen geführt wird. Sollte eine solche Einwilligung von der betroffenen Person widerrufen werden, ist der Datenverantwortliche dafür verantwortlich, den Datenverarbeiter über diesen Widerruf zu informieren.
6.2 Der Datenverantwortliche stellt allen natürlichen Personen, von denen er personenbezogene Daten erhebt, den entsprechenden Datenschutzhinweis zur Verfügung.
6.3 Der Datenverantwortliche fordert den Datenverarbeiter auf, personenbezogene Daten zu löschen, wenn dies vom Datenverantwortlichen oder einer betroffenen Person, von der er personenbezogene Daten erfasst hat, verlangt wird, es sei denn, der Datenverarbeiter ist durch geltendes Recht dazu verpflichtet, die personenbezogenen Daten aufzubewahren.
6.4 Der Datenverantwortliche benachrichtigt den Datenverarbeiter unverzüglich schriftlich, wenn er Folgendes erhält oder davon Kenntnis erlangt:
6.4.1 Beschwerde oder Vorwurf, der auf eine Verletzung von Datenschutzgesetzen in Bezug auf personenbezogene Daten hinweist;
6.4.2 Anfrage einer oder mehrerer Personen zum Zugriff auf personenbezogene Daten, deren Korrektur oder Löschung;
6.4.3 Anfragen oder Beschwerden einer oder mehrerer Personen im Zusammenhang mit der Erhebung, Verarbeitung, Nutzung oder Übermittlung personenbezogener Daten; und
6.4.4 Jede behördliche Anfrage, jeder Durchsuchungsbefehl oder jedes andere rechtliche, behördliche, administrative oder staatliche Verfahren, bei dem personenbezogene Daten angefordert werden
7. Pflichten des Datenverarbeiters
7.1 Der Auftragsverarbeiter befolgt schriftliche und dokumentierte Anweisungen, auch per E-Mail, vom Verantwortlichen, dessen Tochterunternehmen, Vertretern oder Mitarbeitern in Bezug auf die Verarbeitung personenbezogener Daten (jeweils ein „Anweisung").
7.2 Die in der Vereinbarung und der zugehörigen Dokumentation beschriebene Verarbeitung gilt als Anweisung des Verantwortlichen.
7.3 Auf Anfrage des Datenverantwortlichen leistet der Datenverarbeiter dem Datenverantwortlichen angemessene Unterstützung bei der Beantwortung/Befolgung von Anfragen/Anweisungen der betroffenen Person bei der Ausübung ihrer Rechte oder der zuständigen Aufsichtsbehörden in Bezug auf die Verarbeitung personenbezogener Daten durch den Datenverarbeiter.
7.4 In Bezug auf die personenbezogenen Daten muss der Datenverarbeiter die Zustimmung (sofern erforderlich) einholen und/oder die betroffene Person gemäß den Datenschutzgesetzen benachrichtigen, damit die weitergegebenen personenbezogenen Daten der anderen Partei gemäß dieser Vereinbarung bereitgestellt und von ihr verwendet werden können.
7.5 Wenn weitergegebene personenbezogene Daten außerhalb der Gebietsgrenzen des Datenverarbeiters übertragen werden, stellt der Übertragende sicher, dass der Empfänger dieser Daten vertraglich verpflichtet ist, diese personenbezogenen Daten gemäß den gleichen oder höheren Standards zu schützen, wie sie in diesem Nachtrag und den Datenschutzgesetzen vorgeschrieben sind.
8. Datengeheimnis
8.1 Zur Verarbeitung der personenbezogenen Daten setzt der Auftragsverarbeiter Personal ein, das
8.1.1 Informiert über die Vertraulichkeit der personenbezogenen Daten und
8.1.2 Erbringen Sie die Dienstleistungen gemäß der Vereinbarung.
8.2 Der Verarbeiter schult Personen mit Zugriff auf personenbezogene Daten regelmäßig in Bezug auf Datensicherheit und Datenschutz gemäß anerkannter Branchenpraxis und stellt sicher, dass alle personenbezogenen Daten streng vertraulich behandelt werden.
8.3 Der Auftragsverarbeiter wird geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten gemäß den Spezifikationen und den von den Parteien schriftlich vereinbarten Standards ergreifen.
9. Prüfungsrechte
9.1 Auf angemessene Anfrage des Verantwortlichen stellt der Auftragsverarbeiter dem Verantwortlichen die Informationen zur Verfügung, die angemessenerweise erforderlich sind, um die Einhaltung der Verpflichtungen des Auftragsverarbeiters gemäß der EU-DSGVO oder anderen geltenden Gesetzen in Bezug auf die Verarbeitung der personenbezogenen Daten durch ihn nachzuweisen.
9.2 Möchte der Verantwortliche das Audit (selbst oder durch einen Vertreter) am Standort des Auftragsverarbeiters durchführen, muss er den Auftragsverarbeiter mindestens fünfzehn (15) Tage im Voraus schriftlich davon in Kenntnis setzen. Der Auftragsverarbeiter wird in Bezug auf die vom Verantwortlichen oder seinem Vertreter durchgeführten Audits, einschließlich Inspektionen, in angemessenem Umfang kooperieren und Unterstützung leisten.
9.3 Die Kosten einer solchen Prüfung trägt der Verantwortliche.
10. Mechanismus der Datenübertragung
Wir geben Ihre personenbezogenen Daten innerhalb der CallHub Group weiter. Dies beinhaltet die Übertragung Ihrer Daten außerhalb des Europäischen Wirtschaftsraums (EWR). Jede Datenübertragung zum Zwecke der Verarbeitung durch den Verarbeiter in einem Land außerhalb des Europäischen Wirtschaftsraums (der „EWR“) erfolgt nur in Übereinstimmung mit Anhang 1 der DPA. Wenn solche Musterklauseln nicht gleichzeitig mit dieser DPA ausgeführt wurden, darf der Verarbeiter die Ausführung solcher Musterklauseln nicht ungerechtfertigt verweigern, wenn die Übertragung personenbezogener Daten außerhalb des EWR für die Erfüllung der Vereinbarung erforderlich ist.
Wir gewährleisten ein vergleichbares Schutzniveau, indem wir mindestens eine der folgenden Sicherheitsvorkehrungen treffen:
- Wir übermitteln Ihre personenbezogenen Daten nur in Länder, die nach Einschätzung der Europäischen Kommission ein angemessenes Schutzniveau für personenbezogene Daten bieten.
- Wenn wir bestimmte Dienstleister nutzen, verwenden wir die aktuellen Standardvertragsklauseln der Europäischen Kommission, die personenbezogenen Daten den gleichen Schutz bieten wie in Europa.
- Bei der Nutzung von Anbietern mit Sitz in den USA können Daten an Unternehmen übertragen werden, die im Rahmen des EU-US-Datenschutzrahmens tätig sind und/oder die DSGVO einhalten, wodurch einheitliche Schutzstandards für den Datenaustausch zwischen Europa und den USA gewährleistet werden. [Weitere Einzelheiten finden Sie unter: EU-US-Datenschutzrahmen].
11. Unterauftragsverarbeiter
11.1 Der Verantwortliche bevollmächtigt hiermit den Auftragsverarbeiter ausdrücklich und speziell, Unterauftragsverarbeiter im Zusammenhang mit der Erbringung der Dienstleistungen zu beauftragen, und zwar insbesondere die in Anhang III von Anhang 1 aufgeführten Unterauftragsverarbeiter, vorausgesetzt, dass diese Unterauftragsverarbeiter technische und organisatorische Maßnahmen ergreifen, um die Vertraulichkeit der ihnen übermittelten personenbezogenen Daten zu gewährleisten; vorbehaltlich der Zustimmung des Auftragsverarbeiters
(a) Benachrichtigung des Verantwortlichen über alle geplanten Änderungen hinsichtlich der Nutzung der in Anhang 2 aufgeführten Unterauftragsverarbeiter durch Übermittlung einer E-Mail-Benachrichtigung an den Kunden über die geplanten Änderungen;
(b) Aufnahme von Datenschutzverpflichtungen in den Vertrag mit jedem Unterauftragsverarbeiter, die im Wesentlichen den in diesem Nachtrag festgelegten Verpflichtungen entsprechen; und
(c) Bleibt gegenüber dem Verantwortlichen haftbar, wenn ein Unterauftragsverarbeiter seinen Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten für den Verantwortlichen nicht nachkommt.
Bezüglich aller gemäß Abschnitt 5.2.4 a. erhaltenen Mitteilungen hat der Verantwortliche eine Frist von 30 (dreißig) Tagen ab dem Datum der Mitteilung, um den Auftragsverarbeiter schriftlich über etwaige begründete Einwände gegen die Nutzung dieses Unterauftragsverarbeiters zu informieren. Die Parteien werden dann für einen Zeitraum von höchstens 30 (dreißig) Tagen ab dem Datum des Einspruchs des Verantwortlichen in gutem Glauben zusammenarbeiten, um zu versuchen, eine wirtschaftlich angemessene Lösung für den Verantwortlichen zu finden, die die Nutzung des beanstandeten Unterauftragsverarbeiters vermeidet. Wenn keine solche Lösung gefunden werden kann, kann jede Partei (ungeachtet anderslautender Bestimmungen in den Bedingungen) die betreffenden Dienste durch schriftliche Mitteilung an die andere Partei sofort kündigen, ohne dass Schäden, Strafen oder Entschädigungen jeglicher Art anfallen.
11.2 Der Verantwortliche erkennt an und stimmt zu, dass der Auftragsverarbeiter im Zusammenhang mit der Erbringung der Dienstleistungen einen oder mehrere Unterauftragsverarbeiter von Drittanbietern beauftragen kann, vorausgesetzt, dass diese Unterauftragsverarbeiter technische und organisatorische Maßnahmen ergreifen, um die Vertraulichkeit der ihnen übermittelten personenbezogenen Daten zu gewährleisten. Die derzeit vom Auftragsverarbeiter beauftragten und vom Verantwortlichen genehmigten Unterauftragsverarbeiter sind in Anhang III von Anhang 1 dieser Vereinbarung aufgeführt. Gemäß Artikel 28(4) der DSGVO bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für jegliche Nichterfüllung der Datenschutzpflichten gemäß DPA im Namen eines Unterauftragsverarbeiters im Zusammenhang mit der Erbringung der Dienstleistungen haftbar.
11.3 Wenn der Verantwortliche Bedenken hat, dass die Verarbeitung personenbezogener Daten durch den/die Unterauftragsverarbeiter mit hinreichender Wahrscheinlichkeit dazu führen könnte, dass der Verantwortliche gegen seine Datenschutzverpflichtungen im Rahmen der DSGVO verstößt, kann der Verantwortliche der Nutzung dieses Unterauftragsverarbeiters durch den Auftragsverarbeiter widersprechen. Der Auftragsverarbeiter und der Verantwortliche werden sich in gutem Glauben absprechen, um diese Bedenken auszuräumen.
12. Meldung von Verletzungen des Schutzes personenbezogener Daten
12.1 Der Auftragsverarbeiter hält im Falle einer Verletzung des Schutzes personenbezogener Daten (wie in der DSGVO definiert) festgelegte Verfahren ein und benachrichtigt den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, es sei denn, es ist nicht wahrscheinlich, dass eine solche Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
12.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessener Weise dabei, der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und/oder die betroffene Person nachzukommen, die Ursache einer solchen Verletzung des Schutzes personenbezogener Daten zu ermitteln und die wirtschaftlich vertretbaren Schritte zu unternehmen, die erforderlich sind, um eine solche Verletzung des Schutzes personenbezogener Daten einzudämmen und zu beheben.
12.3 Kein Eingeständnis eines Verschuldens durch den Auftragsverarbeiter. Die Benachrichtigung des Auftragsverarbeiters über eine Verletzung des Schutzes personenbezogener Daten oder seine Reaktion darauf gemäß dieser DPA gilt nicht als Eingeständnis eines Verschuldens oder einer Haftung seitens des Auftragsverarbeiters in Bezug auf den Datenschutzvorfall.
13. Rückgabe und Löschung personenbezogener Daten
13.1 Der Auftragsverarbeiter muss mindestens dreißig (30) Tage nach Ende der Vereinbarung oder Einstellung der Dienstleistungen des Auftragsverarbeiters im Rahmen der Vereinbarung, je nachdem, was früher eintritt, alle personenbezogenen Daten an den Verantwortlichen zurückgeben oder, wenn der Verantwortliche dies anweist, die personenbezogenen Daten löschen lassen. Der Auftragsverarbeiter muss diese personenbezogenen Daten in einem allgemein verwendeten Format oder in dem aktuellen Format, in dem sie nach Ermessen des Verantwortlichen gespeichert wurden, so bald wie möglich nach Erhalt der Benachrichtigung des Verantwortlichen zurückgeben.
13.2 In jedem Fall löscht der Verarbeiter personenbezogene Daten einschließlich aller Kopien davon so bald wie praktisch möglich nach Beendigung der Vereinbarung.
14. Technische und organisatorische Maßnahmen
Unter Berücksichtigung des Stands der technologischen Entwicklung und der Kosten für die Umsetzung etwaiger Maßnahmen ergreift der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen gegen die unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten und gegen den versehentlichen Verlust oder die versehentliche Zerstörung oder Beschädigung personenbezogener Daten, um ein angemessenes Sicherheitsniveau zu gewährleisten angesichts: (a) des Schadens, der durch die unbefugte oder unrechtmäßige Verarbeitung oder den versehentlichen Verlust, die versehentliche Zerstörung oder Beschädigung entstehen kann; und (b) der Art der zu schützenden Daten [einschließlich der in Anhang II von Anhang 1 genannten Maßnahmen].
ANHANG 1
ANHANG I.
A. LISTE DER PARTEIEN
Datenexporteur(e):
Name:
Adresse:
Name, Position und Kontaktdaten der Kontaktperson: Wie im entsprechenden Bestellformular dargelegt.
Aktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind: Empfänger der von Gaglers Inc. gemäß der Vereinbarung bereitgestellten Dienste.
Unterschrift und Datum: Unterschrift und Datum sind im Vertrag festgehalten.
Rolle „Verantwortlicher/Auftragsverarbeiter“: Controller
Datenimporteur(e):
Name: Gaglers Inc.
Adresse MR Plaza, 24th Main Road, Garden Layout, Sektor 2, HSR Layout, Bengaluru, Karnataka 560102
Name, Position und Kontaktdaten der Kontaktperson: SWAMINATHAN B (DPO/VP für Technik/CISO) – E-Mail – [E-Mail geschützt]
Aktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind: Bereitstellung der Dienste für den Kunden gemäß der Vereinbarung.
Unterschrift und Datum: Unterschrift und Datum sind im Vertrag festgehalten.
Rolle (Verantwortlicher/Auftragsverarbeiter): Prozessor.
B. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden
Vom Kunden autorisierte Benutzer der Dienste.
Kategorien der übermittelten personenbezogenen Daten
Name, Adresse, Geburtsdatum, Alter, Ausbildung, E-Mail, Geschlecht, Bild, Beruf, Sprache, Telefon, Verwandte Person, Verwandte URL, Benutzer-ID, Benutzername.
Übertragen sensibler Daten (sofern zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie zum Beispiel eine strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich des Zugriffs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), das Führen eines Protokolls über den Zugriff auf die Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.
Es wurden keine sensiblen Daten erhoben.
Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierliche Basis
Art der Verarbeitung
Unter „Verarbeitung“ ist jeder Vorgang wie das Erheben, das Aufzeichnen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten zu verstehen.
Zweck(e) der Datenübermittlung und Weiterverarbeitung
Der Zweck der Übertragung besteht darin, die Erbringung der Dienstleistungen zu erleichtern, die in der Vereinbarung und den beigefügten Bestellformularen ausführlicher beschrieben sind.
Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden
Der Zeitraum, für den die personenbezogenen Daten des Kunden gespeichert werden, ist in der Vereinbarung, im Nachtrag und in den beigefügten Bestellformularen ausführlicher beschrieben.
Bei Übermittlungen an (Unter-)Auftragsverarbeiter geben Sie auch den Gegenstand, die Art und die Dauer der Verarbeitung an.
Gegenstand, Art und Dauer der Verarbeitung werden in der Vereinbarung, dem Nachtrag und den beigefügten Bestellformularen ausführlicher beschrieben.
C.ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Der Datenexporteur hat seinen Sitz in einem EWR-Land.
Zuständige Aufsichtsbehörde ist wie durch die Anwendung von Klausel 13 der EU-SCCs bestimmt.
ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen von Gaglers Inc. als Datenverarbeiter/Datenimporteur, um unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen ein angemessenes Sicherheitsniveau zu gewährleisten.
● Sicherheit
• Sicherheitsmanagementsystem.
Organisation: Gaglers Inc. benennt qualifiziertes Sicherheitspersonal, zu dessen Aufgaben die Entwicklung, Implementierung und laufende Wartung des Informationssicherheitsprogramms gehören.
Richtlinien: Das Management überprüft und unterstützt alle sicherheitsrelevanten Richtlinien, um die Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit der personenbezogenen Kundendaten zu gewährleisten. Diese Richtlinien werden mindestens einmal jährlich aktualisiert.
Assessments: Gaglers Inc. beauftragt mindestens einmal jährlich einen seriösen, unabhängigen Dritten mit der Durchführung einer Risikobewertung aller Systeme, die personenbezogene Daten des Kunden enthalten.
Risikobehandlung: Gaglers Inc. unterhält ein formelles und wirksames Risikobehandlungsprogramm, das Penetrationstests, Schwachstellenmanagement und Patchmanagement umfasst, um potenzielle Bedrohungen der Sicherheit, Integrität oder Vertraulichkeit der personenbezogenen Daten des Kunden zu erkennen und davor zu schützen.
Anbietermanagement: Gaglers Inc. unterhält ein effektives Lieferantenmanagementprogramm
Incident Management: Gaglers Inc. überprüft regelmäßig Sicherheitsvorfälle, einschließlich der wirksamen Ermittlung der Grundursache und der Ergreifung von Korrekturmaßnahmen.
Standards: Gaglers Inc. betreibt ein Informationssicherheits-Managementsystem, das den Anforderungen der Norm ISO/IEC 27001:2022 und SOC 2 Typ 2 entspricht
• Personalsicherheit.
Gaglers Inc. Von den Mitarbeitern wird erwartet, dass sie sich im Einklang mit den Unternehmensrichtlinien hinsichtlich Vertraulichkeit, Geschäftsethik, angemessener Nutzung und professionellen Standards verhalten. Gaglers Inc. führt angemessene Hintergrundüberprüfungen aller Mitarbeiter durch, die im Rahmen dieser Vereinbarung Zugriff auf Kundendaten haben, einschließlich in Bezug auf den beruflichen Werdegang und das Strafregister, soweit gesetzlich zulässig und in Übereinstimmung mit dem geltenden lokalen Arbeitsrecht, den üblichen Praktiken und gesetzlichen Bestimmungen.
Das Personal ist verpflichtet, bei der Einstellung eine schriftliche Vertraulichkeitsvereinbarung zu unterzeichnen und die personenbezogenen Daten des Kunden jederzeit zu schützen. Das Personal muss den Erhalt und die Einhaltung der folgenden Dokumente bestätigen: Gaglers Inc.s Vertraulichkeits-, Datenschutz- und Sicherheitsrichtlinien. Das Personal erhält eine Schulung zu Datenschutz und Sicherheit, in der es weiß, wie es das Informationssicherheitsprogramm umsetzt und einhält. Personal, das mit personenbezogenen Kundendaten umgeht, muss zusätzliche Anforderungen erfüllen, die seiner Rolle entsprechen (z. B. Zertifizierungen). Gaglers IncDas Personal von verarbeitet personenbezogene Daten des Kunden nicht ohne Genehmigung.
• Zugriffskontrollen
Zugriffsverwaltung: Gaglers Inc. unterhält einen formellen Zugriffsverwaltungsprozess für die Anforderung, Überprüfung, Genehmigung und Bereitstellung aller Mitarbeiter mit Zugriff auf personenbezogene Kundendaten, um den Zugriff auf personenbezogene Kundendaten und Systeme, die personenbezogene Kundendaten speichern, darauf zugreifen oder sie übermitteln, auf ordnungsgemäß autorisierte Personen zu beschränken, die diesen Zugriff benötigen. Zugriffsüberprüfungen werden regelmäßig durchgeführt, um sicherzustellen, dass nur die Mitarbeiter mit Zugriff auf personenbezogene Kundendaten diesen noch benötigen.
Personal für die Infrastruktursicherheit: Gaglers Inc. verfügt über eine Sicherheitsrichtlinie für sein Personal, pflegt diese und verlangt Sicherheitsschulungen als Teil des Schulungspakets für sein Personal. Gaglers IncDas Infrastruktursicherheitspersonal ist für die laufende Überwachung der Sicherheitsinfrastruktur von Gaglers Inc., die Überprüfung der Dienste und die Reaktion auf Sicherheitsvorfälle verantwortlich.
Zugriffskontrolle und Rechteverwaltung: Administratoren und Endbenutzer von Gaglers Inc. und dem Kunden müssen sich über ein Multi-Faktor-Authentifizierungssystem oder über ein Single-Sign-On-System authentifizieren, um die Dienste nutzen zu können.
Interne Datenzugriffsprozesse und -richtlinien – Zugriffsrichtlinie: Die internen Datenzugriffsprozesse und -richtlinien von Gaglers Inc. sind darauf ausgelegt, vor unbefugtem Zugriff, Verwendung, Offenlegung, Änderung oder Vernichtung personenbezogener Kundendaten zu schützen. Gaglers Inc. konzipiert seine Systeme so, dass nur autorisierte Personen auf Daten zugreifen können, für die sie nach den Grundsätzen „geringste Privilegien“ und „Need-to-know“ berechtigt sind, und dass andere, die keinen Zugriff haben sollten, keinen Zugriff erhalten. Gaglers Inc. verlangt die Verwendung eindeutiger Benutzer-IDs, sicherer Passwörter, Zwei-Faktor-Authentifizierung und sorgfältig überwachter Zugriffslisten, um das Potenzial für eine unbefugte Kontonutzung zu minimieren. Die Gewährung oder Änderung von Zugriffsrechten basiert auf: den Aufgaben des autorisierten Personals, den Aufgabenanforderungen, die zur Durchführung autorisierter Aufgaben erforderlich sind, einem Need-to-know-Prinzip und muss in Übereinstimmung mit den internen Datenzugriffsrichtlinien und -schulungen von Gaglers Inc. erfolgen. Genehmigungen werden durch Workflow-Tools verwaltet, die Prüfprotokolle aller Änderungen führen. Der Zugriff auf Systeme wird protokolliert, um eine Prüfspur zur Rechenschaftslegung zu erstellen. Wenn Passwörter zur Authentifizierung verwendet werden (z. B. beim Anmelden an Arbeitsstationen), folgen die Passwortrichtlinien den branchenüblichen Verfahren. Zu diesen Standards gehören Kennwortkomplexität, Kennwortablauf, Kennwortsperre, Beschränkungen bei der Wiederverwendung von Kennwörtern und eine erneute Aufforderung zur Kennworteingabe nach einer Zeit der Inaktivität.
• Rechenzentrums- und Netzwerksicherheit
Daten Center
Infrastruktur: Gaglers Inc. nutzt AWS als Rechenzentrum.
Elastizität: Auf AWS sind mehrere Verfügbarkeitszonen aktiviert und Gaglers Inc. führt regelmäßig Backup-Wiederherstellungstests durch, um die Ausfallsicherheit sicherzustellen.
Server-Betriebssysteme: Die Server von Gaglers Inc. sind an die Anwendungsumgebung angepasst und wurden für die Sicherheit der Dienste gehärtet. Gaglers Inc. verwendet einen Codeüberprüfungsprozess, um die Sicherheit des zur Bereitstellung der Dienste verwendeten Codes zu erhöhen und die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.
Disaster Recovery: Gaglers Inc. repliziert Daten über mehrere Systeme, um sie vor versehentlicher Zerstörung oder Verlust zu schützen. Gaglers Inc. hat eigene Notfallwiederherstellungsprogramme entwickelt und plant und testet diese regelmäßig.
Sicherheitsprotokolle: Die Protokollierung der Systeme von Gaglers Inc. ist in den jeweiligen Systemprotokolleinrichtungen aktiviert, um die Sicherheitsprüfungen zu unterstützen und tatsächliche und versuchte Angriffe oder Eindringversuche auf die Systeme von Gaglers Inc. zu überwachen und zu erkennen.
Schwachstellenmanagement: Gaglers Inc. führt regelmäßige Schwachstellenscans für alle Infrastrukturkomponenten seiner Produktions- und Entwicklungsumgebung durch. Schwachstellen werden auf Risikobasis behoben, und kritische, hohe und mittlere Sicherheitspatches für alle Komponenten werden so schnell wie kommerziell möglich installiert.
• Netzwerke und Übertragung.
Datenübertragung: Übertragungen in der Produktionsumgebung werden über Internet-Standardprotokolle übertragen.
Externe Angriffsfläche: Für die Produktionsumgebung auf AWS ist eine AWS Security Group vorhanden, die einer virtuellen Firewall entspricht.
Vorfallreaktion: Gaglers Inc. unterhält Richtlinien und Verfahren zum Vorfallmanagement, einschließlich detaillierter Verfahren zur Eskalation von Sicherheitsvorfällen. Gaglers Inc. überwacht eine Vielzahl von Kommunikationskanälen für Sicherheitsvorfälle, und das Sicherheitspersonal von Gaglers Inc. reagiert umgehend auf vermutete oder bekannte Vorfälle, mildert die schädlichen Auswirkungen solcher Sicherheitsvorfälle und dokumentiert solche Sicherheitsvorfälle und ihre Folgen.
Verschlüsselungstechnologien: Gaglers Inc. stellt HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet) für übertragene Daten zur Verfügung.
• Datenspeicherung, Isolierung, Authentifizierung und Vernichtung: Gaglers Inc. speichert Daten in einer Multi-Tenant-Umgebung auf AWS-Servern. Daten, die Service-Datenbank und die Dateisystemarchitektur werden zwischen mehreren Verfügbarkeitszonen auf AWS repliziert. Gaglers Inc. isoliert die Daten verschiedener Kunden logisch. Für alle Services wird ein zentrales Authentifizierungssystem verwendet, um die einheitliche Datensicherheit zu erhöhen. Gaglers Inc. gewährleistet die sichere Entsorgung von Kundendaten durch den Einsatz einer Reihe von Datenvernichtungsprozessen.
ANHANG III
LISTE DER UNTERVERARBEITER
Der Verantwortliche hat die Verwendung der auf der folgenden Seite aufgeführten Unterauftragsverarbeiter autorisiert.