Dieser Datenverarbeitungszusatz (der „Zusatz“) wird von und zwischen Ihnen (dem „Kunden“) und dem Unternehmen von GoDaddy, das Vertragspartei der Universellen Nutzungsbedingungen und anderer Vereinbarungen zwischen Ihnen und GoDaddy (zusammenfassend als „Vereinbarung“ bezeichnet) ist, ausgefertigt. GoDaddy und der Kunde werden hier einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet. Dieser DPA gilt ab dem Datum des Inkrafttretens der Vereinbarung („Datum des Inkrafttretens“) und regelt die gesamte Verarbeitung der personenbezogenen Daten des Kunden im Rahmen der Vereinbarung.
1. Definitionen. Sofern in den geltenden Datenschutzgesetzen (wie nachstehend definiert) nicht anders definiert, haben die in diesem Abschnitt aufgeführten Begriffe die folgende Bedeutung:
1.1 „Verbundenes Unternehmen“ bezeichnet jedes Unternehmen, das eine Partei kontrolliert oder unter gemeinsamer Kontrolle mit ihr steht. „Kontrolle“ bezeichnet das direkte oder indirekte Eigentum an oder die direkte oder indirekte Kontrolle über fünfzig Prozent (50 %) oder mehr der stimmberechtigten Anteile eines Unternehmens.
1.2. „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten des Kunden im Rahmen der Vereinbarung entscheidet.
1.3 „Personenbezogene Daten des Kunden“ sind alle personenbezogenen Daten (wie unten definiert), die von GoDaddy im Namen des Kunden in Verbindung mit der Nutzung der Services durch den Kunden verarbeitet werden. Zu den personenbezogenen Daten des Kunden gehören keine Daten von GoDaddy.
1.4 „Datenschutzgesetz“ bezeichnet alle Gesetze oder Vorschriften, die für die Verarbeitung personenbezogener Daten des Kunden im Rahmen dieser Vereinbarung gelten.
1.5 „Betroffene Person“ bezeichnet eine identifizierte oder identifizierbare natürliche Person, auf die sich bestimmte personenbezogene Daten beziehen.
1.6 „De-Identifizierte Daten“ bezeichnet Daten, die nach vernünftigem Ermessen eine bestimmte betroffene Person nicht identifizieren, nicht mit ihr in Verbindung bringen, nicht beschreiben, nicht mit ihr in Verbindung gebracht werden können und nicht direkt oder indirekt mit ihr verknüpft werden können.
1.7 „GoDaddy-Daten“ bezeichnet (a) alle Informationen, die sich auf das Geschäft von GoDaddy und die Erbringung der Dienstleistungen beziehen, insbesondere personenbezogene Daten über den Kunden und seine Mitarbeiter oder Vertreter, (b) andere Daten, die sich auf das Konto des Kunden, die Transaktionshistorie, die Nutzung der Dienstleistungen und die Identitätsüberprüfung beziehen, und (c) vorbehaltlich etwaiger Beschränkungen durch geltende Datenschutzgesetze, de-identifizierte Daten.
1.8 „Personenbezogene Daten“ bezeichnet Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich aller Informationen, die in den geltenden Datenschutzgesetzen als personenbezogene Daten, persönliche Informationen oder persönlich identifizierbare Informationen definiert sind. Personenbezogene Daten umfassen keine de-identifizierten Daten.
1.10 „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder Stelle, die personenbezogene Daten des Kunden im Auftrag eines Verantwortlichen gemäß der Vereinbarung verarbeitet.
1.9 „Verarbeitung“ bezeichnet jeden Vorgang, der mit den personenbezogenen Daten des Kunden durchgeführt wird, wie z. B. das Erheben, Verwenden, Speichern, Weitergeben, Analysieren, Löschen oder Ändern, unabhängig davon, ob dies mit manuellen oder automatischen Mitteln geschieht.
1.11 „Sensible personenbezogene Daten“ bezeichnet (a) Sozialversicherungsnummer, Reisepassnummer, Führerscheinnummer oder eine ähnliche Kennung; (b) Kredit- oder Debitkarteninformationen, Finanzinformationen, Bankkontonummern oder Kontopasswörter; (c) beschäftigungsbezogene, finanzielle, genetische, biometrische oder Gesundheitsinformationen; (d) Informationen zur Herkunft, Ethnie, Religionszugehörigkeit, Gewerkschaftsmitgliedschaft, zum Sexualleben oder zur sexuellen Orientierung; (e) Kontopasswörter, Mädchenname der Mutter, Geburtsdatum und andere ähnliche Informationen, die zur Authentifizierung der Identität eines Benutzers verwendet werden; (f) Vorstrafen; (g) biometrische Daten, die zur Identifizierung einer bestimmten Person verwendet werden (z. B. Fingerabdrücke); oder (h) alle anderen Informationen oder Kombinationen von Informationen, die unter die Definitionen der "besonderen Kategorien von Daten" gemäß den geltenden Datenschutzgesetzen fallen.
1.12 „Dienste“ bezeichnet die Produkte oder Dienstleistungen, deren Erbringung GoDaddy gemäß der Vereinbarung zugestimmt hat und die die Verarbeitung personenbezogener Daten des Kunden beinhalten.
1.13 „Unterauftragsverarbeiter“ bezeichnet jede natürliche oder juristische Person, Behörde, Einrichtung oder Stelle, mit der GoDaddy einen Vertrag über die Verarbeitung personenbezogener Daten des Kunden abschließt.
1.14 „Übermittlung“ bezeichnet (a) die Übermittlung personenbezogener Daten des Kunden vom Verantwortlichen an den Auftragsverarbeiter, sei es durch physische Übermittlung oder durch Gewährung des Zugriffs auf personenbezogene Daten des Kunden, die sich im Besitz des Verantwortlichen befinden oder anderweitig von diesem kontrolliert werden, oder (b) die Weiterübermittlung personenbezogener Daten des Kunden von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter (und jede nachfolgende Weiterübermittlung durch einen Unterauftragsverarbeiter an einen anderen Unterauftragsverarbeiter).
2. Umfang der Datenverarbeitung und Verhältnis der Parteien zueinander
2.1 Kunde als Verantwortlicher oder Auftragsverarbeiter
2.1.1 Wenn der Kunde ein Verantwortlicher ist, (a) ist er allein für die Festlegung der Zwecke und Mittel der Verarbeitung der personenbezogenen Daten des Kunden verantwortlich, (b) verfügt er über alle erforderlichen Befugnisse, Gründe, Rechte und Genehmigungen, um GoDaddy die personenbezogenen Daten des Kunden zur Verfügung zu stellen, und (c) wird er seinen Verpflichtungen als Verantwortlicher gemäß den geltenden Datenschutzgesetzen nachkommen.
2.1.2 Wenn der Kunde ein Auftragsverarbeiter ist, (a) ist der Kunde allein für die Einhaltung seiner Vereinbarung(en) mit dem/den Datenverantwortlichen verantwortlich, in dessen/deren Namen der Kunde personenbezogene Daten des Kunden verarbeitet; (b) verfügt er über alle erforderlichen Genehmigungen des Verantwortlichen, um GoDaddy personenbezogene Daten des Kunden bereitzustellen, und (c) wird er seine Verpflichtungen als Auftragsverarbeiter gemäß den geltenden Datenverarbeitungsgesetzen erfüllen.
2.2 GoDaddy als Auftragsverarbeiter oder Unterauftragsverarbeiter.
2.2.1 GoDaddy wird alle Maßnahmen ergreifen, die vernünftigerweise erforderlich sind, um den Kunden in die Lage zu versetzen, seinen Verpflichtungen als Verantwortlicher und/oder Auftragsverarbeiter gemäß den Datenschutzgesetzen nachzukommen, und zwar in Übereinstimmung mit dem Charakter, der Art, dem Umfang und dem Zweck der von GoDaddy erbrachten Services. Zur Klarstellung: GoDaddy ist nicht verpflichtet, Maßnahmen zu ergreifen, um die Services von GoDaddy für die spezifische Nutzung durch den Kunden zu ändern oder konform zu machen. Das einzige Rechtsmittel des Kunden für den Fall, dass die Services für die spezifische Nutzung des Kunden als nicht konform befunden werden, ist die Beendigung aller Teile der Vereinbarung, die sich auf die Verarbeitung der personenbezogenen Daten des Kunden beziehen.
2.2.2 GoDaddy wird personenbezogene Daten des Kunden nur auf dokumentierte Anweisung für die begrenzten und spezifischen Zwecke verarbeiten, die in der Vereinbarung, diesem DPA oder gesetzlich vorgeschrieben sind.
2.2.3 GoDaddy wird die personenbezogenen Daten des Kunden nicht für einen anderen kommerziellen Zweck als die Erbringung der Services verkaufen, aufbewahren, verwenden oder offenlegen.
2.2.4 GoDaddy wird die personenbezogenen Daten des Kunden nicht außerhalb der direkten Geschäftsbeziehung der Parteien verarbeiten, die in der Vereinbarung und diesem DPA beschrieben ist.
2.2.5 GoDaddy wird die personenbezogenen Daten des Kunden nicht mit anderen Daten kombinieren, die GoDaddy (direkt oder über einen Dritten) erhebt, es sei denn, dies ist im Rahmen der Vereinbarung ausdrücklich gestattet.
2.2.6 GoDaddy wird alle Verarbeitungen einstellen und den Kunden innerhalb von drei (3) Werktagen benachrichtigen, wenn GoDaddy: (a) der Ansicht ist, dass eine Kundenanweisung gegen geltende Datenverarbeitungsgesetze verstößt, oder (b) feststellt, dass GoDaddy nicht in der Lage ist, geltende Datenverarbeitungsgesetze oder seine Verpflichtungen aus diesem DPA einzuhalten.
2.3 Verbundene Unternehmen.
2.3.1 Verbundene Unternehmen des Kunden. Für die Zwecke dieses DPA gelten alle personenbezogenen Daten, die GoDaddy oder den verbundenen Unternehmen von GoDaddy von einem verbundenen Unternehmen des Kunden zur Verarbeitung im Namen des Kunden und/oder des verbundenen Unternehmens des Kunden zur Verfügung gestellt werden, als personenbezogene Daten des Kunden und als vom Kunden bereitgestellt. Der Kunde sichert zu, dass er alle Maßnahmen ergreifen wird, die vernünftigerweise notwendig sind, um sicherzustellen, dass seine verbundenen Unternehmen alle Verpflichtungen des Kunden in Bezug auf diesen DPA einhalten. Der Kunde ist dafür verantwortlich, dass seine verbundenen Unternehmen alle Bedingungen dieses DPA einhalten.
2.3.2 Verbundene Unternehmen von GoDaddy. Für die Zwecke dieses DPA gelten alle personenbezogenen Daten des Kunden, die von den verbundenen Unternehmen von GoDaddy erhalten wurden, als von GoDaddy erhalten. GoDaddy sichert zu, dass es alle angemessenen Maßnahmen ergreifen wird, um sicherzustellen, dass seine verbundenen Unternehmen die Verpflichtungen von GoDaddy in Bezug auf die Verarbeitung personenbezogener Daten des Kunden gemäß diesem DPA einhalten. GoDaddy ist dafür verantwortlich, dass die verbundenen Unternehmen von GoDaddy alle Bestimmungen dieses DPA einhalten.
3. Unterauftragsverarbeitung
3.1 Der Kunde erteilt GoDaddy die allgemeine Genehmigung, Unterauftragsverarbeiter zu beauftragen.
3.3 Bevor GoDaddy personenbezogene Daten des Kunden an einen Unterauftragsverarbeiter überträgt, wird das Unternehmen: (a) eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter abschließen, die den Schutz der Kundendaten mindestens ebenso gewährleistet wie dieser DPA; (b) eine Due-Diligence-Prüfung durchführen, um zu bestätigen, dass der Unterauftragsverarbeiter die wesentlichen Bestimmungen dieses DPA und die Datenschutzgesetze einhalten kann, soweit sie sich auf die Verarbeitung von Kundendaten durch GoDaddy beziehen, einschließlich der Anforderungen an die Informationssicherheit gemäß den Abschnitten 5, 6 und 8 sowie gemäß Anlage 2 dieses DPA.
3.4 GoDaddy haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter, einschließlich aller Handlungen oder Unterlassungen der Unterauftragsverarbeiter seiner Unterauftragsverarbeiter.
3.5 Neue Unterauftragsverarbeiter; Widerspruchsrecht.
3.5.1 GoDaddy wird sich in angemessener Weise bemühen, den Kunden mindestens sechzig (60) Tage im Voraus schriftlich zu benachrichtigen, wenn GoDaddy beabsichtigt, einen neuen Unterauftragsverarbeiter zu ernennen; allerdings ist eine Vorankündigung von sechzig (60) Tagen nicht erforderlich, und GoDaddy wird den Kunden unverzüglich nach der Ernennung eines neuen Unterauftragsverarbeiters benachrichtigen, wenn die sofortige Ernennung erforderlich ist, um die Sicherheit der personenbezogenen Daten des Kunden aufrechtzuerhalten oder um geltendem Recht zu entsprechen.
3.5.2 Wenn der Kunde der Ernennung eines neuen Unterauftragsverarbeiter vernünftigerweise widerspricht, muss er dies GoDaddy innerhalb von dreißig (30) Tagen nach der Ernennung des Unterauftragsverarbeiters schriftlich mitteilen. GoDaddy kann nach alleinigem Ermessen von GoDaddy wirtschaftlich angemessene Anstrengungen unternehmen, um den Widerspruch des Kunden zu berücksichtigen. Wenn die Parteien nicht in der Lage sind, den Widerspruch des Kunden innerhalb von dreißig (30) Tagen zu lösen, kann der Kunde diesen DPA und jeden Teil der Vereinbarung, der sich auf die Verarbeitung der personenbezogenen Daten des Kunden bezieht, kündigen.
3.5.3 Widerspricht der Kunde einem neuen Unterauftragsverarbeiter nicht innerhalb von dreißig (30) Tagen nach Bekanntgabe der Ernennung des Unterauftragsverarbeiters, wird davon ausgegangen, dass der Kunde den neuen Unterauftragsverarbeiter akzeptiert hat.
3.5.4 Die Benachrichtigung über einen neuen Unterauftragsverarbeiter kann durch Aktualisierung der in Abschnitt 3.2 beschriebenen Liste der Unterauftragsverarbeiter erfolgen.
4. Rechtliche Verfahren und andere Anfragen von Dritten nach personenbezogenen Daten des Kunden
4.1 GoDaddy wird nicht auf informelle Anfragen nach personenbezogenen Daten des Kunden von einer Regierungsbehörde, einer Strafverfolgungsbehörde oder einer anderen Person antworten, es sei denn, es handelt sich um eine Vorladung, einen Durchsuchungsbefehl, einen Gerichtsbeschluss oder ein ähnliches rechtliches Verfahren (zusammenfassend als „rechtliches Verfahren“ bezeichnet), es sei denn, eine solche Offenlegung wird von GoDaddy nach vernünftigem Ermessen als (a) gesetzlich vorgeschrieben, (b) notwendig, um die Systeme oder Daten von GoDaddy vor Schaden oder Missbrauch zu schützen, oder (c) notwendig, um GoDaddy oder eine andere Person vor Schaden oder körperlichem Schaden zu schützen, erachtet.
4.2 Sofern dies nicht gesetzlich verboten ist, wird GoDaddy den Kunden unverzüglich benachrichtigen, wenn es ein rechtliches Verfahren erhält, das GoDaddy verpflichtet, Zugang zu den personenbezogenen Daten des Kunden zu gewähren oder diese offenzulegen.
4.3 Sofern nicht anderweitig gesetzlich vorgeschrieben, wird GoDaddy mit dem Kunden (auf dessen angemessene Kosten) bei allen Bemühungen des Kunden kooperieren, die Offenlegung der personenbezogenen Daten des Kunden als Reaktion auf ein rechtliches Verfahren zu verhindern.
5. Datensicherheit
5.1 GoDaddy unterhält ein Informationssicherheitsprogramm, das angemessene und dokumentierte technische und organisatorische Maßnahmen umfasst, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko der Verarbeitung personenbezogener Daten des Kunden im Rahmen der Vereinbarung angemessen ist, einschließlich spezifischer Maßnahmen, die nach den geltenden Datenschutzgesetzen erforderlich sind.
5.2 Der Kunde erkennt ausdrücklich an, dass GoDaddy Sicherheitsmerkmale und -funktionen bereitstellt, die der Kunde zum Schutz seiner personenbezogenen Daten nutzen kann. Der Kunde ist allein dafür verantwortlich, angemessene risikobasierte Schritte zu unternehmen, um die Sicherheit des Kundenkontos und der personenbezogenen Daten des Kunden unter seiner Kontrolle zu schützen, einschließlich der Verwendung von Sicherheitsmerkmalen und -funktionen, die von GoDaddy bereitgestellt werden. Der Kunde ist auch allein dafür verantwortlich, dass alle Inhalte, die er in die Services einstellt oder einstellen lässt, frei von Schwachstellen sind, die zu einer Gefährdung der personenbezogenen Daten des Kunden und der Systeme von GoDaddy führen könnten, insbesondere von bösartiger Software. GoDaddy ist nicht für die Sicherung der personenbezogenen Daten des Kunden verantwortlich.
5.3 Der Kunde ist verpflichtet, alle Anforderungen des Payment Card Industry Data Security Standard („PCI-DSS“) einzuhalten und darf GoDaddy personenbezogene Daten des Kunden, die Kredit-, Debit- oder andere Zahlungskarteninhaberdaten („PCI-DSS-Daten“) enthalten, nur in Verbindung mit Diensten von GoDaddy zur Verfügung stellen, die speziell für die Verarbeitung solcher PCI-DSS-Daten konzipiert sind. Der Kunde trägt die alleinige Verantwortung für Verstöße gegen die PCI-DSS-Anforderungen, wenn er Dienste von GoDaddy zur Verarbeitung oder Speicherung von PCI-DSS-Daten außerhalb der PCI-DSS-konformen Dienstangebote von GoDaddy nutzt.
5.4 Zusätzlich zu den Maßnahmen, die für GoDaddy erforderlich sind, um seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen und den PCI-DSS-Anforderungen für die PCI-DSS-Beschwerdedienste von GoDaddy nachzukommen, wird GoDaddy die in Anlage 2 dieses DPA aufgeführten spezifischen technischen und organisatorischen Maßnahmen umsetzen.
6. Datensicherheitsvorfälle
6.1 GoDaddy bietet dem Kunden umfangreiche Möglichkeiten, auf die im Namen des Kunden verarbeiteten personenbezogenen Daten des Kunden zuzugreifen und diese zu kontrollieren. GoDaddy ist nicht verantwortlich für die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Veränderung, die unbefugte Offenlegung von oder den Zugriff auf personenbezogene Daten des Kunden, die nicht auf eine Beeinträchtigung der Systeme von GoDaddy zurückzuführen sind. Beispiele für Sicherheitsvorfälle, für die GoDaddy nicht verantwortlich ist, sind das Versäumnis des Kunden, seine Passwörter geheim zu halten, das Herunterladen bösartiger Inhalte oder andere Sicherheitslücken, die durch den Kunden verursacht oder in die Dienste und die gehostete Umgebung des Kunden eingeführt wurden.
6.2 GoDaddy unternimmt alle wirtschaftlich vertretbaren Anstrengungen, um den Kunden innerhalb der nach geltendem Recht erforderlichen Frist über eine Verletzung der Sicherheit der Systeme von GoDaddy zu informieren, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf personenbezogene Daten des Kunden führt („Sicherheitsvorfall“).
6.3 GoDaddy wird ohne unangemessene Verzögerung angemessene, risikobasierte Schritte unternehmen, die vernünftigerweise notwendig sind, um einen Sicherheitsvorfall einzudämmen, abzuschwächen und zu beheben.
6.4 GoDaddy wird dem Kunden in angemessenem Umfang Informationen zur Verfügung stellen, die dieser anfordert, um die Auswirkungen eines Sicherheitsvorfalls auf die personenbezogenen Daten des Kunden zu bewerten und um Behörden, betroffenen Personen oder anderen Personen eine Mitteilung über den Sicherheitsvorfall zukommen zu lassen.
6.5 Die Kenntnisnahme eines Sicherheitsvorfalls oder die Entscheidung von GoDaddy, den Kunden über einen Sicherheitsvorfall zu informieren, ist kein Eingeständnis eines Verschuldens oder einer Haftung.
7. Rechte betroffener Personen
7.1 Der Kunde ist allein verantwortlich für die Beantwortung von Anfragen zur Ausübung der Rechte einer betroffenen Person gemäß den Datenschutzgesetzen, den Datenschutzbestimmungen des Kunden oder den Allgemeinen Geschäftsbedingungen des Kunden, insbesondere für Anfragen zur Kenntnisnahme, zum Zugriff, zur Berichtigung oder zur Löschung personenbezogener Daten des Kunden („Anfragen betroffener Personen“).
7.2 GoDaddy wird nicht auf Anfragen betroffener Personen antworten, es sei denn, es liegen dokumentierte Anweisungen des Kunden vor oder es besteht eine anderweitige Verpflichtung nach geltendem Recht.
7.3 GoDaddy wird den Kunden über jede Anfrage betroffener Personen informieren. Der Kunde ist allein für die Beantwortung der Anfragen betroffener Personen verantwortlich. Wenn der Kunde alle zur Verfügung stehenden Mittel ausgeschöpft hat, um auf eine Anfrage der betroffenen Person zu antworten, wird GoDaddy dem Kunden ‒ vorbehaltlich der Zustimmung des Kunden, die angemessenen Kosten von GoDaddy im Voraus zu zahlen ‒ die Unterstützung gewähren, die vernünftigerweise erforderlich ist, damit der Kunde auf eine Anfrage der betroffenen Person antworten kann.
8. Datenschutz-Folgenabschätzungen, vorherige Konsultation und Compliance-Anfragen
8.1 Datenschutz-Folgenabschätzungen, vorherige Konsultation. Auf Kosten des Kunden wird GoDaddy den Kunden in angemessener Weise bei der Durchführung von Datenschutz-Folgenabschätzungen und Konsultationen mit Regierungsbehörden oder Regulierungsbehörden bezüglich der Verarbeitung personenbezogener Daten des Kunden unterstützen.
8.2 Compliance-Anfragen. Der Kunde kann in regelmäßigen Abständen Informationen anfordern, die vernünftigerweise erforderlich sind, um zu bestätigen, dass GoDaddy seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommt. Reagiert GoDaddy nicht innerhalb von fünfundvierzig (45) Tagen auf die Anfrage des Kunden, kann der Kunde die Vereinbarung kündigen. Zur Klarstellung: Nichts in diesem DPA gibt dem Kunden das Recht, eine Prüfung der Geschäfte, Systeme oder Dienstleistungen von GoDaddy durchzuführen. Die Verpflichtung von GoDaddy im Rahmen dieses Abschnitts beschränkt sich darauf, dem Kunden die Informationen zur Verfügung zu stellen, die vernünftigerweise erforderlich sind, um zu bestätigen, dass GoDaddy seine Verpflichtungen gemäß den geltenden Datenschutzgesetzen einhält.
9. Länderspezifische Anforderungen und internationale Datenübermittlung personenbezogener Daten
9.1 Die Verarbeitung personenbezogener Daten des Kunden im Rahmen dieses DPA kann eine Verarbeitung beinhalten, die durch ein oder mehrere Datenschutzgesetze geregelt ist, und/oder die internationale Übermittlung personenbezogener Daten des Kunden beinhalten.
9.2 Wenn die personenbezogenen Daten des Kunden aus den Vereinigten Staaten stammen, gelten die in Anlage 3 (Abschnitt 1) dieses DPA aufgeführten Bestimmungen zu den US-Datenschutzgesetzen.
Wenn die personenbezogenen Daten des Kunden aus der Europäischen Union/dem Europäischen Wirtschaftsraum („EU/EWR“), dem Vereinigten Königreich oder der Schweiz stammen oder wenn der Kunde in einem oder mehreren dieser Länder ansässig ist, gelten die in Anlage 9.3 (Abschnitt 3) dieses DPA aufgeführten Bestimmungen über die anwendbaren Datenschutzgesetze der EU/des EWR, des Vereinigten Königreichs und/oder der Schweiz.
9.4 Wenn ein gültiger internationaler Datenübermittlungsmechanismus („obligatorischer Übermittlungsmechanismus“) erforderlich ist, um personenbezogene Daten des Kunden rechtmäßig zu übermitteln, gelten die in Anlage 4 zu diesem DPA aufgeführten Bedingungen.
10. Allgemein
10.1 Vollständige Vereinbarung; Auslegung. Dieser DPA stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand dieses DPA dar und ersetzt alle früheren oder gleichzeitigen Zusicherungen, Absprachen, Vereinbarungen und Mitteilungen zwischen den Parteien, ob schriftlich oder mündlich, in Bezug auf den Gegenstand dieses DPA. Im Falle eines Widerspruchs zwischen diesem DPA und der Vereinbarung (oder einer anderen Vereinbarung zwischen den Parteien) ist dieser DPA in Bezug auf den Gegenstand dieses DPA vorrangig und maßgeblich. Im Falle eines Widerspruchs zwischen den Bestimmungen dieses DPA und den in Anlage 4 beschriebenen obligatorischen Übermittlungsbestimmungen haben die obligatorischen Übermittlungsbestimmungen Vorrang.
10.2 Änderung. Dieser DPA kann von GoDaddy nach eigenem Ermessen gemäß den in der Vereinbarung dargelegten Verfahren geändert oder ergänzt werden. Wenn der Kunde mit einer solchen Änderung nicht einverstanden ist, besteht sein einziges Rechtsmittel darin, den Teil der Vereinbarung, der sich auf die Verarbeitung der personenbezogenen Daten des Kunden bezieht, mit einer Frist von dreißig (30) Tagen zu kündigen. Sofern die Parteien nicht ausdrücklich schriftlich etwas anderes vereinbart haben, gilt eine Änderung dieser Vereinbarung nur für die Verarbeitung, die nach dem Datum der Änderung erfolgt.
10.3 Kein Rechtsverzicht. Der Verzicht auf eine Verletzung dieses DPA ist nur dann wirksam, wenn er von einem bevollmächtigten Vertreter der Partei, die auf eine solche Verletzung verzichtet, schriftlich erklärt wird, und ein solcher Verzicht kann nicht als Verzicht auf eine spätere Verletzung ausgelegt werden.
10.4 Salvatorische Klausel. Sollte sich eine Bestimmung dieses DPA als nicht durchsetzbar erweisen, so wird diese Bestimmung in dem Umfang geändert, der erforderlich ist, um sie durchsetzbar zu machen, und die übrigen Bestimmungen dieses DPA bleiben wie geschrieben in Kraft. Sollte jedoch die Änderung einer nicht durchsetzbaren Bestimmung dazu führen, dass der wesentliche Zweck dieses DPA verfehlt wird, gilt der gesamte DPA als null und nichtig, sofern er nicht gemäß Abschnitt 10.2 geändert wird.
10.5 Mitteilungen. Sofern hierin nicht ausdrücklich etwas anderes bestimmt ist, werden die im Rahmen dieses DPA erforderlichen Mitteilungen gemäß den in der Vereinbarung festgelegten Mitteilungsanforderungen übermittelt.
10.6 Haftung. Dieser DPA bietet weder einer der Parteien noch einer anderen Person eine Grundlage für die Geltendmachung von Schadensersatzansprüchen jeglicher Art, die über die in der Vereinbarung festgelegten Ansprüche hinausgehen, und solche Ansprüche unterliegen allen darin festgelegten Einschränkungen.
10.7 Durchsetzung. Die Bedingungen dieses DPA können von den Parteien nur in ihrem eigenen Namen und in dem ihrer jeweiligen verbundenen Unternehmen gemäß den in der Vereinbarung festgelegten Bestimmungen zur Streitbeilegung durchgesetzt werden. Diese Einschränkung der Durchsetzung hat jedoch keine Auswirkung auf die Fähigkeit einer einzelnen betroffenen Person, ihre Rechte gemäß den Datenschutzgesetzen durchzusetzen.
10.8 Kündigung. Dieser DPA endet mit dem Abschluss der Verarbeitung oder der Beendigung der Vereinbarung, je nachdem, was später eintritt, es sei denn, er wird gemäß der Vereinbarung oder einer anderen anwendbaren Bestimmung dieses DPA oder gemäß den geltenden Datenschutzgesetzen früher beendet. Nach Beendigung dieses DPA wird GoDaddy die personenbezogenen Daten des Kunden gemäß den Bedingungen der Vereinbarung und dieses DPA zurückgeben, löschen oder anonymisieren, es sei denn, GoDaddy ist gemäß geltendem Recht verpflichtet, die personenbezogenen Daten des Kunden zu speichern. Wenn GoDaddy verpflichtet ist, personenbezogene Daten des Kunden nach Beendigung der Vereinbarung aufzubewahren, wird GoDaddy weiterhin seinen Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten des Kunden gemäß diesem DPA nachkommen und solche personenbezogenen Daten des Kunden unverzüglich zurückgeben oder löschen, nachdem die Aufbewahrung rechtlich nicht mehr erforderlich ist.
10.9 Anwendbares Recht und Gerichtsstand. Dieser DPA unterliegt den in der Vereinbarung festgelegten Gesetzen, es sei denn, die Datenschutzgesetze schreiben etwas anderes vor; in diesem Fall gelten die Gesetze der in den Datenschutzgesetzen vorgesehenen Gerichtsbarkeit. Keine Bestimmung dieses DPA ist so zu verstehen, dass sie die Rechte oder Pflichten einer Person nach den geltenden Datenschutzgesetzen einschränkt.
Anlage 1: Einzelheiten der Verarbeitung personenbezogener Daten des Kunden
Diese Anlage 1 enthält Einzelheiten zur Verarbeitung personenbezogener Daten des Kunden, die gemäß den Datenschutzgesetzen erforderlich sind.
Gegenstand und Dauer der Verarbeitung personenbezogener Daten des Kunden:
Der Gegenstand und die Dauer der Verarbeitung der personenbezogenen Daten des Kunden sind in der Vereinbarung beschrieben.
Art und Zweck der Verarbeitung personenbezogener Daten des Kunden:
Die Verarbeitung personenbezogener Daten des Kunden durch GoDaddy ist vernünftigerweise erforderlich, um die Dienste wie in der Vereinbarung beschrieben zu erbringen.
Art der personenbezogenen Daten und Kategorien der betroffenen Personen:
Die Arten der personenbezogenen Daten des Kunden und die Kategorien der betroffenen Personen werden vom Kunden und/oder dem für die Verarbeitung Verantwortlichen, der dem Kunden die personenbezogenen Daten des Kunden zur Verfügung gestellt hat, nach eigenem Ermessen bestimmt.
Sensible Daten oder besondere Kategorien von Daten:
Sensible Daten können von Zeit zu Zeit im Rahmen der Vereinbarung verarbeitet werden. Die Arten von sensiblen Daten, die im Rahmen der Vereinbarung verarbeitet werden, werden vom Kunden und/oder dem Verantwortlichen, der dem Kunden sensible Daten zur Verfügung gestellt hat, nach seinem/ihrem alleinigen Ermessen bestimmt.
Pflichten und Rechte des Verantwortlichen:
Die Pflichten und Rechte des Kunden sind in der Vereinbarung und in diesem DPA beschrieben.
Anlage 2:Technische und organisatorische Sicherheitsmaßnahmen
1. Anwendbarkeit
1.1 Die Anforderungen dieser Anlage 2 gelten für GoDaddy und alle Unterauftragsverarbeiter (insbesondere Cloud-Service-Anbieter), die von GoDaddy zur Erbringung der Dienste und/oder zur Verarbeitung personenbezogener Daten des Kunden eingesetzt werden.
1.2 Wenn GoDaddy einen Unterauftragsverarbeiter für die Erbringung der Dienste und/oder die Verarbeitung personenbezogener Daten des Kunden einsetzt, muss GoDaddy sicherstellen, dass dieser Unterauftragsverarbeiter alle Anforderungen dieser Anlage einhält.
2. Datenschutz und Datensicherheitsmanagement
2.1 Risikomanagementprozess. GoDaddy unterhält ein angemessenes Risikomanagementverfahren, um Risiken in Bezug auf personenbezogene Daten des Kunden zu erfassen, zu bewerten, darauf zu reagieren und zu überwachen, und zwar im Einklang mit den Verpflichtungen von GoDaddy aus der Vereinbarung, dem DPA und dem geltenden Recht.
2.2 Umfang des Informationssicherheitsprogramms. Das Informationssicherheitsprogramm von GoDaddy, einschließlich aller anwendbaren Richtlinien zum Schutz der Privatsphäre und des Datenschutzes, muss mindestens folgende Ziele verfolgen:
2.2.1 Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten des Kunden, die sich im Besitz oder unter der Kontrolle von GoDaddy befinden oder zu denen GoDaddy Zugang hat; und
2.2.2 Schutz vor vernünftigerweise zu erwartenden Bedrohungen oder Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten des Kunden.
2.3 Aktualisierungen des Informationssicherheitsprogramms. GoDaddy überprüft und aktualisiert sein Informationssicherheitsprogramm regelmäßig in Übereinstimmung mit branchenüblichen Praktiken und Rahmenwerken, die der Art, dem Umfang und der Sensibilität der von GoDaddy verarbeiteten personenbezogenen Daten des Kunden entsprechen.
2.4 Risikobewertungen und Tests. GoDaddy führt regelmäßig Risikobewertungen für alle Systeme durch, die personenbezogene Daten des Kunden verarbeiten, und führt in regelmäßigen Abständen Penetrationstests durch Dritte für die Anwendungen und die Infrastruktur durch, die für die Erbringung der Dienste verwendet werden, soweit dies von GoDaddy als notwendig erachtet wird.
2.5 Kontinuität und Ausfallsicherheit. GoDaddy ergreift geeignete Maßnahmen zum Schutz der Integrität und Verfügbarkeit seiner Systeme, die personenbezogene Daten des Kunden verarbeiten, einschließlich Maßnahmen wie Leistungs- und Verfügbarkeitsüberwachung, Entwicklung redundanter und widerstandsfähiger Systeme, Verwendung unterbrechungsfreier Stromversorgungen, DDoS-Schutz, Last- und Stresstests und andere ähnliche Maßnahmen.
3. Organisatorische Sicherheit
3.1 Verantwortlichkeit. GoDaddy entwickelt und implementiert schriftliche Informationssicherheitsrichtlinien und -verfahren, in denen die Verantwortung für den Schutz personenbezogener Daten des Kunden innerhalb von GoDaddy eindeutig festgelegt ist, einschließlich der Benennung einer oder mehrerer bestimmter Personen, die für die Verwaltung des Informationssicherheitsprogramms von GoDaddy und den Schutz personenbezogener Daten des Kunden verantwortlich sind.
3.2 Bestandsverwaltung und -kontrollen. GoDaddy unterhält eine Bestandsverwaltungsrichtlinie und Bestandskontrollen, einschließlich einer Bestandsklassifizierung und eines Inventars von Geräten und Systemen, die zur Erbringung der Dienste und/oder zur Verarbeitung personenbezogener Daten des Kunden verwendet werden.
3.3 Physische Sicherheit. GoDaddy führt auch risikobasierte Kontrollen durch, um die physische Sicherheit seiner Einrichtungen aufrechtzuerhalten, einschließlich der Umsetzung angemessener Maßnahmen, um sicherzustellen, dass nur autorisierte Benutzer Zugang zu den elektronischen Geräten, dem Netzwerk, den kritischen Systemen, den Anwendungen, dem Serverraum, den Kommunikationsräumen und der Arbeitsumgebung von GoDaddy haben. Zu den Maßnahmen, die GoDaddy gegebenenfalls ergreift, gehören u. a. Alarmanlagen, Videoüberwachung, Zugangsverwaltung für Besucher und die Vernichtung personenbezogener Daten auf physischen Geräten vor der Entsorgung/Wiederverwertung.
4. Sicherheitsmaßnahmen
4.1 Sichere Systemkonfiguration. GoDaddy wird Kontrollen einrichten, um sicherzustellen, dass die Systeme, die zur Erbringung der Dienste und/oder zur Verarbeitung personenbezogener Daten des Kunden verwendet werden, sicher konfiguriert sind.
4.2 Verwaltung von Schwachstellen und Patches. GoDaddy wird ein System zur Verwaltung von Schwachstellen und Patches einrichten und aufrechterhalten, das sicherstellt, dass alle Systeme, die zur Erbringung der Dienste und/oder zur Verarbeitung personenbezogener Daten des Kunden verwendet werden, innerhalb eines angemessenen Zeitraums, der sich nach der Kritikalität des Patches und der Sensibilität der personenbezogenen Daten des Kunden richtet, gegen bekannte Sicherheitslücken gepatcht werden.
4.3 Schutz vor Malware. GoDaddy wird Kontrollen zur Erkennung, Verhinderung und Beseitigung von Malware einführen, um sich vor bösartiger Software zu schützen (einschließlich geeigneter Programme zur Sensibilisierung der Benutzer).
4.4 Protokollierung und Prüfung. GoDaddy wird ein Protokollverwaltungsprogramm einsetzen, das den Umfang, die Erstellung, Speicherung, Analyse und Entsorgung von Protokollen anhand risikobasierter Branchenstandards definiert.
4.5 Erkennung von Sicherheitsvorfällen und Reaktion darauf. GoDaddy wird gemäß Abschnitt 6 der Vereinbarung risikobasierte Systeme zur Erkennung von Sicherheitsvorfällen unterhalten, einschließlich des Einsatzes von Systemen zur Erkennung und Verhinderung von Eindringlingen.
5. Schulungen
GoDaddy wird sicherstellen, dass seine Mitarbeiter regelmäßig in Bezug auf ihre Verpflichtungen zur Vertraulichkeit und zum Datenschutz im Zusammenhang mit den personenbezogenen Daten des Kunden geschult werden.
6. Zugriffskontrollen
6.1 Eindeutige Identifizierung. GoDaddy wird Mitarbeitern mit Zugriff auf personenbezogene Daten des Kunden, insbesondere Mitarbeitern mit administrativem Zugriff, individuelle eindeutige Benutzeranmeldeinformationen zuweisen.
6.2 Passwortverwaltung. GoDaddy wird Richtlinien und Verfahren für die Passwortverwaltung einführen, einschließlich einer zentralisierten Passwortverwaltung und Passwortrichtlinien.
6.3 Multi-Faktor-Authentifizierung. GoDaddy wird für den Fernzugriff auf Netzwerke, Systeme oder Anwendungen, die zur Verarbeitung und/oder Speicherung personenbezogener Daten des Kunden verwendet werden, eine Multi-Faktor-Authentifizierung einführen.
6.4 Geringste Berechtigung. GoDaddy wird den Zugriff auf personenbezogene Daten des Kunden auf diejenigen Mitarbeiter beschränken, die durch entsprechende Vertraulichkeitsverpflichtungen gebunden sind und die Daten für die Erbringung der Dienste kennen müssen oder Zugang dazu benötigen.
7. Datensicherheitskontrollen
7.1 Datentrennung. GoDaddy wird die personenbezogenen Daten des Kunden in logisch getrennten und sicheren Umgebungen aufbewahren.
7.2 Verschlüsselung und andere Maßnahmen. GoDaddy wird angemessene risikobasierte Maßnahmen zum Schutz personenbezogener Daten des Kunden ergreifen, einschließlich Verschlüsselung, Pseudonymisierung und anderer angemessener Maßnahmen, wie z. B. die Verwendung von Algorithmen zum Hashing von Geheimnissen, einschließlich Passwörtern und API-Tokens, die für den Zugriff auf Systeme mit personenbezogenen Daten des Kunden verwendet werden.
Anlage 3: Länderspezifische Bedingungen
1. USA
1.1 Kalifornien.
1.1.1 Definitionen.
1.1.1.1 Die folgenden Begriffe werden gemäß den Definitionen in den kalifornischen Datenschutzgesetzen ausdrücklich definiert: „Geschäft“, „kommerzieller Zweck“, „Dienstleister“, „verkaufen“, „weitergeben“ und „Dritter“.
1.1.1.2 Der Begriff „personenbezogene Daten des Kunden“ umfasst personenbezogene Daten einer identifizierten oder identifizierbaren natürlichen Person oder eines Haushalts.
1.1.2 Rollen der Parteien.
1.1.2.1 Wenn der Kunde nach den geltenden kalifornischen Datenschutzgesetzen als Unternehmen gilt, gelten alle Verweise auf die Rechte und Pflichten des Kunden als für die Verarbeitung Verantwortlicher gemäß diesem DPA auch als Verweise auf die Rechte und Pflichten des Kunden als Unternehmen. Wenn der Kunde nach den geltenden kalifornischen Datenschutzgesetzen als Dienstleister gilt, gelten alle Verweise auf die Rechte und Pflichten des Kunden als Auftragsverarbeiter gemäß diesem DPA auch als Verweise auf die Rechte und Pflichten des Kunden als Dienstleister.
1.1.2.2 Wenn GoDaddy nach den geltenden kalifornischen Datenschutzgesetzen als Dienstleister oder Dritter gilt, gelten alle Verweise auf die Rechte und Pflichten von GoDaddy als Auftragsverarbeiter oder Unterauftragsverarbeiter gemäß diesem DPA auch als Verweise auf die Rechte und Pflichten von GoDaddy als Dienstleister bzw. Dritter.
1.2 Alle US- Bundesstaaten (einschließlich Kalifornien).
1.2.1 GoDaddy ist nicht berechtigt, (a) personenbezogene Daten des Kunden zu verkaufen oder weiterzugeben, (b) personenbezogene Daten des Kunden für andere als die in der Vereinbarung genannten Geschäftszwecke aufzubewahren, zu verwenden oder offenzulegen oder (c) personenbezogene Daten des Kunden außerhalb der direkten Geschäftsbeziehung zwischen GoDaddy und dem Unternehmen aufzubewahren, zu verwenden oder offenzulegen.
1.2.2 Der Zugang von GoDaddy zu den personenbezogenen Daten des Kunden ist nicht Teil der Gegenleistung, die die Parteien im Rahmen der Vereinbarung austauschen.
1.2.3 Der Kunde hat das Recht, angemessene Maßnahmen zu ergreifen, um (a) zu überprüfen, ob GoDaddy die personenbezogenen Daten des Kunden in Übereinstimmung mit diesem DPA verarbeitet, einschließlich der Ausübung der in Abschnitt 8 des DPA festgelegten Rechte; (b) die Einstellung und Behebung von Verarbeitungen durch GoDaddy zu verlangen, die gegen die Bestimmungen des DPA verstoßen, und (c) alle anderen angemessenen Maßnahmen zu ergreifen (die im alleinigen Ermessen des Kunden festgelegt werden), um die Einhaltung dieses DPA durch GoDaddy sicherzustellen. Wenn GoDaddy nicht in der Lage oder nicht willens ist, den angemessenen Anfragen des Kunden gemäß diesem Abschnitt 1.2.3 nachzukommen, besteht das einzige Rechtsmittel des Kunden darin, diesen DPA und den Teil der Vereinbarung zu kündigen, der sich auf die Verarbeitung der personenbezogenen Daten des Kunden bezieht.
1.2.4 GoDaddy bestätigt, dass es die Verpflichtungen aus den Datenschutzgesetzen und diesem DPA kennt und einhalten wird, einschließlich aller Beschränkungen bei der Verarbeitung personenbezogener Daten des Kunden.
2. Europäische Union/Europäischer Wirtschaftsraum
2.1 Unterauftragsverarbeiter
2.1.1 Wenn GoDaddy einen Unterauftragsverarbeiter einsetzt, wird es:
2.1.1.1 den Unterauftragsverarbeiter verpflichten, die in den Abschnitten 5, 6 und 8 des DPA sowie in Anlage 2 des DPA aufgeführten technischen und organisatorischen Maßnahmen einzuhalten, die der Art der Verarbeitung durch den Unterauftragsverarbeiter angemessen sind, insbesondere alle technischen und organisatorischen Maßnahmen, die gemäß Artikel 28 der Europäischen Datenschutz-Grundverordnung („DSGVO“) erforderlich sind; und
2.1.1.2 den Unterauftragsverarbeiter auffordern, sich schriftlich zu verpflichten, personenbezogene Kundendaten nur (a) in der EU/im EWR, (b) in einem Land, dem die Europäische Kommission ein „angemessenes“ Datenschutzniveau bescheinigt hat, oder (c) zu den in Anlage 4 aufgeführten Bedingungen für die internationale Übermittlung personenbezogener Daten des Kunden zu verarbeiten.
2.2 Haftung für Ordnungsstrafen. Ungeachtet anderer Bestimmungen in diesem DPA oder der Vereinbarung (einschließlich der Entschädigungsverpflichtungen der Parteien im Rahmen der Vereinbarung) ist keine Partei für Geldbußen verantwortlich, die von einer Regulierungsbehörde oder Regierungsstelle gegen die andere Partei verhängt werden, einschließlich Geldbußen gemäß Artikel 83 der EU-DSGVO.
3. Schweiz
3.1 2.1.1 Wenn GoDaddy einen Unterauftragsverarbeiter einsetzt, wird es:
3.1.1 den Unterauftragsverarbeiter verpflichten, die in den Abschnitten 5, 6 und 8 sowie in Anlage 2 des DPA aufgeführten technischen und organisatorischen Maßnahmen einzuhalten, die der Art der Verarbeitung durch den Unterauftragsverarbeiter angemessen sind, insbesondere alle technischen und organisatorischen Maßnahmen, die gemäß Artikel 28 der DSGVO erforderlich sind; und
3.1.2 den Unterauftragsverarbeiter auffordern, sich schriftlich zu verpflichten, personenbezogene Kundendaten nur (a) in der Schweiz, (b) in der EU/im EWR, (c) in einem anderen Land, dem die Europäische Kommission ein „angemessenes“ Datenschutzniveau bescheinigt hat, oder (d) zu den in Anlage 4 aufgeführten Bedingungen für die internationale Übermittlung personenbezogener Daten des Kunden zu verarbeiten.
3.2 Soweit die Übermittlung personenbezogener Daten des Kunden aus der Schweiz unter die EU-Standardvertragsklauseln (wie in Anlage 4 definiert) fällt, gelten die folgenden Änderungen:
3.2.1 Verweise auf einen „Mitgliedstaat“ sind so auszulegen, dass sie die Schweiz einschließen; und
3.2.2 Soweit Übermittlungen dem Bundesgesetz über den Datenschutz („DSG“) unterliegen, gelten Verweise auf die „Verordnung (EU) 2016/679“ als Verweise auf das DSG.
3.3 In dem vom DSG geforderten Umfang gelten die EU-Standardvertragsklauseln auch für Daten über juristische Personen als personenbezogene Daten des Kunden.
4. Vereinigtes Königreich
4.1 Verweise auf „DSGVO“ gelten als Verweise auf die entsprechenden Gesetze und Vorschriften des Vereinigten Königreichs, einschließlich, aber nicht beschränkt auf die britische DSGVO und den britischen Data Protection Act von 2018.
4.2 Wenn das Unternehmen einen Unterauftragsverarbeiter einsetzt, wird es:
4.2.1 den Unterauftragsverarbeiter verpflichten, die in den Abschnitten 5, 6 und 8 sowie in Anlage 2 des DPA aufgeführten technischen und organisatorischen Maßnahmen einzuhalten, die der Art der Verarbeitung durch den Unterauftragsverarbeiter angemessen sind, insbesondere alle technischen und organisatorischen Maßnahmen, die gemäß Artikel 28 der britischen DSGVO erforderlich sind; und
4.2.2 den Unterauftragsverarbeiter auffordern, sich schriftlich zu verpflichten, personenbezogene Kundendaten nur (a) im Vereinigten Königreich, (b) in der EU/im EWR, (c) in einem anderen Land, dem das Vereinigte Königreich ein „angemessenes“ Datenschutzniveau bescheinigt hat, oder (d) zu den in Anlage 4 aufgeführten Bedingungen für die internationale Übermittlung personenbezogener Daten des Kunden zu verarbeiten.
Anlage 4: Internationale verbindliche Mechanismen für die grenzüberschreitende Übermittlung
1. Definitionen
1.1 Das „Data Privacy Framework („DPF“)“ bezeichnet die Zertifizierungsprogramme EU-US, Swiss-US oder UK-US Data Privacy Framework, die vom U.S. Department of Commerce [www.dataprivacyframework.gov](www.dataprivacyframework.gov) betrieben werden.
1.2 Die „UK-US Data Bridge“ bezeichnet die britische Erweiterung des EU-US Data Privacy Framework.
1.3 Die „EU-Standardvertragsklauseln“ bezeichnen die von der Europäischen Kommission genehmigten Standardvertragsklauseln, die im Anhang zum Beschluss 2021/914 vom Juni 2021 beigefügt sind.
1.4 Die vom britischen Information Commissioner herausgegebene Vereinbarung über die internationale Datenübermittlung aus dem Vereinigten Königreich („UK IDTA“), Version B1.0, gilt als von den Parteien zum Datum des Inkrafttretens der Vereinbarung ausgeführt, und die EU-Standardvertragsklauseln gelten in Bezug auf Datenübermittlungen aus dem Vereinigten Königreich als entsprechend den Vorgaben der UK IDTA geändert.
2. Rangfolge
2.1 Es wird kein obligatorischer Übermittlungsmechanismus verwendet, wenn eine Übermittlung in ein Land erfolgt, das nach den Datenschutzgesetzen des Landes, aus dem die personenbezogenen Daten des Kunden übermittelt werden, ein angemessenes Datenschutzniveau bietet.
2.2 Wenn eine Übermittlung erforderlich ist und diese Übermittlung von mehr als einem obligatorischen Übermittlungsmechanismus abgedeckt wird, unterliegt die Übermittlung einem einzigen obligatorischen Übermittlungsmechanismus gemäß der folgenden Rangfolge: (a) dem anwendbaren EU- oder Schweizer DPF; (b) der UK-US Data Bridge; (c) den EU-Standardvertragsklauseln; (d) dem UK IDTA; oder (e) einem anderen anwendbaren obligatorischen Übermittlungsmechanismus, der nach dem anwendbaren Datenschutzrecht zulässig ist.
2.3 Wird ein obligatorischer Übermittlungsmechanismus nach Unterzeichnung dieser Vereinbarung als ungültig erachtet, so gelten alle künftigen Übermittlungen als durch den nächsten gültigen obligatorischen Übermittlungsmechanismus durchgeführt.
3. Data Privacy Framework
3.1 Selbstzertifizierung.
3.1.1 Zertifizierung von GoDaddy. GoDaddy erklärt, dass es im Rahmen des DPF selbstzertifiziert ist. GoDaddy verpflichtet sich, (a) für alle personenbezogenen Daten des Kunden mindestens das gleiche Schutzniveau zu gewährleisten, das gemäß den Datenschutzgrundsätzen des DPF erforderlich ist; (b) den Kunden unverzüglich schriftlich zu benachrichtigen, wenn die Zertifizierung von GoDaddy zum DPF zurückgenommen, beendet, widerrufen oder anderweitig für ungültig erklärt wird; und (c) auf schriftliche Mitteilung des Kunden hin angemessene und geeignete Schritte zu unternehmen, um die unbefugte Verarbeitung personenbezogener Daten des Kunden zu stoppen und zu beheben.
3.1.2 Zertifizierung des Unternehmens. Soweit das Unternehmen im Rahmen des DPF zertifiziert ist, verpflichtet sich das Unternehmen, (a) für alle personenbezogenen Daten mindestens das gleiche Schutzniveau zu gewährleisten, das gemäß den Datenschutzgrundsätzen des DPF erforderlich ist; (b) GoDaddy unverzüglich schriftlich zu benachrichtigen, wenn die Zertifizierung des Unternehmens zum DPF zurückgenommen, beendet, widerrufen oder anderweitig für ungültig erklärt wird; und (c) auf schriftliche Mitteilung von GoDaddy hin angemessene und geeignete Schritte zu unternehmen, um die unbefugte Verarbeitung personenbezogener Daten des Kunden zu stoppen und zu beheben.
3.2 Status
3.2.1 EU-US DPF. Das EU-US DPF wurde von der Europäischen Kommission in einem Angemessenheitsbeschluss vom 10. Juli 2023 als angemessenes Datenschutzniveau eingestuft und ist seit dem 10. Oktober 2023 in Kraft.
3.2.2 UK-US Data Bridge. Die UK-US Data Bridge wurde vom britischen Secretary of State for Science, Innovation, and Technology als angemessenes Datenschutzniveau eingestuft, und er hat am 21. September 2023 im Parlament Angemessenheitsvorschriften für den vorgelegt. Die Vorschriften für die UK-US Data Bridge sind am 12. Oktober 2023 in Kraft getreten und die entsprechenden Übermittlungen werden ab diesem Datum gemäß der UK-US Data Bridge durchgeführt.
3.2.3 Swiss-US DPF. Das Swiss-US DPF ist noch nicht in Kraft.
3.2.3.1 Die Parteien vereinbaren, dass die Übermittlung personenbezogener Daten des Kunden aus der Schweiz in dem Umfang, in dem die Bestimmungen dieses DPA mit dem Schweizer DPF oder ihrer angemessenen Entsprechung zum Zeitpunkt ihres Inkrafttretens übereinstimmen, so zu behandeln ist, als ob sie im Rahmen des Schweizer DPF erfolgt wäre.
3.2.3.2 Soweit das Schweizer DPF die Aufnahme weiterer Bestimmungen in diesen DPA verlangt, vereinbaren die Parteien, dass diese Bestimmungen automatisch und ohne weiteres Zutun der Parteien aufgenommen werden, vorausgesetzt, dass diese zusätzlichen Bestimmungen keiner der Parteien zusätzliche materielle Verpflichtungen auferlegen oder die ursprünglichen Bestimmungen der Vereinbarung wesentlich beeinträchtigen.
3.2.3.3 Soweit zusätzliche Bedingungen nicht automatisch in diesen DPA aufgenommen werden können, kann dieser DPA geändert werden, um Übermittlungen gemäß des Schweizer DPF zu ermöglichen.
3.2.3.4 Ungeachtet anderer Bestimmungen dieses DPA schränkt keine Bestimmung dieses DPA die Möglichkeit der Parteien ein, personenbezogene Daten im Rahmen anderer rechtmäßiger Datenübermittlungsmechanismen zu übermitteln, oder beeinträchtigt diese in anderer Weise.
3.3 Das Unternehmen und die Unterauftragsverarbeiter des Unternehmens ergreifen alle erforderlichen Maßnahmen, damit GoDaddy seinen Verpflichtungen als für die Verarbeitung Verantwortlicher und/oder Auftragsverarbeiter im Rahmen des DPF nachkommen kann, insbesondere die Unterstützung von GoDaddy und/oder des für die Verarbeitung Verantwortlichen bei der Beantwortung von Anfragen von Einzelpersonen zur Ausübung ihrer Rechte als betroffene Person.
4. Die EU-Standardvertragsklauseln
4.1 Für Übermittlungen personenbezogener Daten aus der EU/dem EWR und der Schweiz, die den EU-Standardvertragsklauseln unterliegen, gilt Modul zwei (für die Verarbeitung Verantwortlicher) oder Modul drei (Auftragsverarbeiter), je nachdem, ob GoDaddy in Bezug auf die zu übermittelnden personenbezogenen Daten des Kunden ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter ist.
4.2 In Bezug auf die Module zwei und drei der EU-SCCs gilt Folgendes:
4.2.1 In Klausel 7 wird die fakultative Kopplungsklausel nicht angewendet.
4.2.2 In Klausel 9 gilt Option 2, und das Verfahren für die Mitteilung und die Frist für Einwände gegen Änderungen des Unterauftragsverarbeiters sind in Abschnitt 3 des DPA festgelegt.
4.2.3 In Klausel 11 wird die fakultative Formulierung nicht angewendet.
4.2.4 In Klausel 17 (Option 1) werden die EU-Standardvertragsklauseln nach dem innerstaatlichen Recht der Bundesrepublik Deutschland geregelt.
4.2.5 In Klausel 18(b) wird festgelegt, dass Streitigkeiten im Zusammenhang mit dem DPA in der Bundesrepublik Deutschland beigelegt werden.
4.3 Für die Zwecke von Anhang I, Teil A gilt Folgendes:
4.3.1 Datenexporteur
4.3.1.1 Der Datenexporteur ist das Unternehmen.
4.3.1.2 Das Unternehmen kann unter den in der Kündigungsbestimmung der Vereinbarung genannten Adressen kontaktiert werden.
4.3.1.3 Durch den Abschluss dieses DPA wird davon ausgegangen, dass das Unternehmen diese EU-Standardvertragsklauseln einschließlich ihrer Anhänge zum Zeitpunkt des Inkrafttretens der Vereinbarung unterzeichnet hat.
4.3.2 Datenimporteur
4.3.2.1 Der Datenimporteur ist GoDaddy und/oder autorisierte verbundene Unternehmen von GoDaddy.
4.3.2.2 GoDaddy kann unter den in der Kündigungsbestimmung der Vereinbarung genannten Adressen oder unter privacy@GoDaddy.com kontaktiert werden.
4.3.2.3 Durch den Abschluss dieses DPA wird davon ausgegangen, dass GoDaddy diese EU-Standardvertragsklauseln einschließlich ihrer Anhänge zum Zeitpunkt des Inkrafttretens der Vereinbarung unterzeichnet hat.
4.4 Für die Zwecke von Anhang I, Teil B gilt Folgendes:
4.4.1 Die Kategorien der betroffenen Personen sind in Anlage 1 beschrieben.
4.4.2 Die übermittelten sensiblen Daten (falls vorhanden) sind in Anlage 1 beschrieben.
4.4.3 Die Häufigkeit der Übermittlung entspricht der Dauer der Vereinbarung und des DPA.
4.4.4 Die Art der Verarbeitung ist in Anlage 1 beschrieben.
4.4.5 Der Zweck der Verarbeitung ist in Anlage 1 beschrieben.
4.4.6 Die Dauer der Verarbeitung ist in Anlage 1 beschrieben.
4.5 Für die Zwecke des Anhangs I Teil C wird die zuständige Aufsichtsbehörde in Übereinstimmung mit Klausel 13 wie folgt definiert:
4.5.1 Für die Übermittlung personenbezogener Daten aus der EU/dem EWR ist die Aufsichtsbehörde der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen.
4.5.2 Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte fungiert als zuständige Aufsichtsbehörde, sofern die betreffende Übermittlung oder Weitergabe unter die schweizerischen Datenschutzgesetze und -vorschriften fällt.
4.6 In Anhang II der EU-Standardvertragsklauseln sind in Anlage 2 die technischen und organisatorischen Maßnahmen aufgeführt, die das Unternehmen als Datenimporteur im Rahmen des DPA durchführt.
4.7 In Anhang III der EU-Standardvertragsklauseln finden Sie eine Liste der Unterauftragsverarbeiter des Unternehmens.
5. Vereinbarung über die internationale Datenübermittlung aus dem Vereinigten Königreich
5.1 Die britische IDTA gilt für die Übermittlung personenbezogener Daten des Kunden aus dem Vereinigten Königreich in ein Land außerhalb des Vereinigten Königreichs, das von der zuständigen britischen Regulierungsbehörde oder Regierungsstelle nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet.
5.2 Für Übertragungen, die dem britischen IDTA unterliegen, gilt die britische IDTA als von den Parteien abgeschlossen und wie folgt ausgefüllt:
5.2.1 Tabelle 1 der IDTA enthält in Abschnitt 4.3 dieser Anlage 4 die Angaben der Parteien und die wichtigsten Kontaktinformationen.
5.2.2 In Tabelle 2 der IDTA finden sich Informationen über die Version der EU-Standardvertragsklauseln, Module und ausgewählte Klauseln, denen die britische IDTA beigefügt ist, in Abschnitt 4 dieser Anlage.
5.2.3 In Tabelle 3 der britischen IDTA:
5.2.3.1 Die Liste der Parteien befindet sich in Abschnitt 4.3 dieser Anlage 4.
5.2.3.2 Die Beschreibung der Übermittlung ist in Anlage 1 enthalten.
5.2.3.3 Anhang II befindet sich in Anlage 2.
5.2.3.4 Die Liste der Unterauftragsverarbeiter des Unternehmens befindet sich in Anlage 5.
5.2.3.5 In Tabelle 4 der britischen IDTA können sowohl GoDaddy als auch das Unternehmen die britische IDTA in Übereinstimmung mit ihren Bedingungen kündigen.
5.3 Der britische Information Commissioner fungiert als zuständige Aufsichtsbehörde, soweit die betreffende Übermittlung durch britische Datenschutzgesetze und -vorschriften geregelt ist.
5.4 Widersprüche. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den EU-Standardvertragsklauseln oder der britischen IDTA und anderen Bestimmungen in diesem Datenverarbeitungszusatz sind die Bestimmungen der EU-Standardvertragsklauseln bzw. der britischen IDTA maßgebend.
Übersetzte Versionen der Verträge und Richtlinien werden nur bereitgestellt, um das Verständnis der englischen Version zu erleichtern. Mit der Bereitstellung von Übersetzungen der Verträge und Richtlinien wird nicht das Ziel verfolgt, eine rechtsverbindliche Vereinbarung zu schaffen, und die Übersetzungen sind kein Ersatz für die Rechtsgültigkeit der englischen Versionen. Im Fall von Widersprüchen oder Konflikten ist immer die englische Version maßgebend für unsere Beziehung und hat Vorrang vor den Bestimmungen in anderen Sprachen.
Brauchst du Hilfe? Ruf unser preisgekröntes Supportteam unter folgender Nummer an: 044 511 1274