Bei der Bereitstellung unseres Dienstes kann Workbase personenbezogene Daten in Ihrem Auftrag verarbeiten. Um die Einzelheiten darüber zu erläutern, wie wir diese Verarbeitung durchführen und welche Verpflichtungen wir sowie unsere Benutzer/Kunden haben, haben wir ein Datenverarbeitungszusatz (DPA) entwickelt, das wir kostenlos mit jedem abschließen, der unseren Dienst nutzt und es anfordert.

Die Bedingungen dieses DPA sind den Nutzungsbedingungen von Workbase angefügt und bilden einen Teil Ihrer Vereinbarung mit uns, wenn Sie sich zur Nutzung unserer Dienste anmelden.

Sollte jedoch eine separate Unterzeichnung eines DPA erforderlich sein, bietet Workbase ein Datenverarbeitungszusatz an, das die Nutzungsbedingungen oder jede andere Vereinbarung ergänzt. Bitte lassen Sie dieses DPA von einer autorisierten Person unterzeichnen. Sobald Sie die Vereinbarung unterzeichnet haben, erhalten Sie sofort eine vollständig ausgeführte herunterladbare Kopie per E-Mail.

Dieses Datenverarbeitungszusatz ("DPA") ist in die Vereinbarung zwischen Workbase Platforms sp. z o.o. ("Workbase") und der Entität oder Person, die eine Bestellung aufgibt oder auf die Dienste zugreift ("Kunde"), integriert und unterliegt den Bedingungen dieser Vereinbarung. Alle in diesem DPA nicht definierten Begriffe haben die in der Vereinbarung festgelegten Bedeutungen. Zur Klarstellung: Alle Verweise auf die "Vereinbarung" schließen dieses DPA (einschließlich der SCCs, sofern anwendbar) ein.

Dieses DPA regelt die Verpflichtungen von Workbase und des Kunden in Bezug auf den Schutz personenbezogener Daten, Inhalte und anderer vertraulicher Kundeninformationen gemäß den Datenschutzgesetzen.

1. Definitionen

„Tochtergesellschaft“ bedeutet jede Entität, die direkt oder indirekt die Kontrolle über die betreffende Entität ausübt, von dieser kontrolliert wird oder unter gemeinsamer Kontrolle mit der betreffenden Entität steht. „Kontrolle“ im Sinne dieser Definition bedeutet den direkten oder indirekten Besitz oder die Kontrolle von mehr als 50 % der stimmberechtigten Anteile der betreffenden Entität.

„Vereinbarung“ bedeutet die Nutzungsbedingungen von Workbase oder eine andere schriftliche oder elektronische Vereinbarung, die die Bereitstellung der Dienste für den Kunden regelt, wie diese Bedingungen oder Vereinbarung von Zeit zu Zeit aktualisiert werden können.

„CCPA“ bedeutet das California Consumer Privacy Act, seine zugehörigen Vorschriften und deren Nachfolger.

„Verantwortlicher“, „Betroffene Person“, „Verarbeitung“ und „Auftragsverarbeiter“ (ob großgeschrieben oder nicht) haben die Bedeutungen, die in der DSGVO angegeben sind, und umfassen ähnliche Bestimmungen gemäß den Datenschutzgesetzen in anderen Rechtsordnungen.

„Datenschutzgesetz(e)“ bedeutet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten durch Workbase gemäß der Vereinbarung anwendbar sind, einschließlich CCPA und DSGVO.

„DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

„Personenbezogene Daten“ bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und die von Workbase im Auftrag des Kunden gemäß der Vereinbarung verarbeitet werden.

„Sicherheitsvorfall“ bedeutet die unbeabsichtigte oder unrechtmäßige Zerstörung, den Verlust, die Veränderung, die unbefugte Offenlegung von oder den Zugang zu Inhalten, persönlichen Benutzerdaten oder anderen vertraulichen Kundeninformationen, die von Workbase im Auftrag des Kunden gemäß der Vereinbarung verarbeitet werden.

2. Verarbeitung personenbezogener Daten

2.1 Rollen der Parteien. Der Kunde kann der Verantwortliche oder ein Auftragsverarbeiter der personenbezogenen Daten sein. Workbase wird als Auftragsverarbeiter oder Unterauftragsverarbeiter agieren, je nachdem, was angemessen ist. Workbase wird die Verpflichtungen gemäß den Datenschutzgesetzen einhalten, die die Aktivitäten von Workbase bei der Verarbeitung personenbezogener Daten regeln. Der Kunde ist allein verantwortlich für die Einhaltung der Datenschutzgesetze in Bezug auf die Erhebung und Übermittlung personenbezogener Daten an Workbase sowie für die Information von Workbase über alle Verpflichtungen, die Workbase als Unterauftragsverarbeiter oder Dienstleister des Kunden auferlegt werden.

2.2 Einzelheiten der Verarbeitung. Gegenstand der Verarbeitung personenbezogener Daten durch Workbase ist die Leistung der Workbase-Anwendung gemäß der Vereinbarung. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten von personenbezogenen Daten und die Kategorien der betroffenen Personen, die unter diesem DPA verarbeitet werden, sind in Anhang A weiter spezifiziert.

2.3 Verarbeitung gemäß dem Datenschutzgesetz. Workbase darf personenbezogene Daten nur im Auftrag und gemäß den dokumentierten Anweisungen des Kunden für die folgenden Zwecke verarbeiten: (a) Verarbeitung gemäß der Vereinbarung und den anwendbaren Bestellformular(en); (b) Verarbeitung, die von Benutzern bei der Nutzung der Workbase-Anwendung initiiert wird; und (c) Verarbeitung zur Einhaltung anderer dokumentierter Anweisungen des Kunden. Workbase wird den Kunden unverzüglich informieren, wenn es Kenntnis davon erlangt, dass eine vom Kunden angeforderte Verarbeitung gegen das Datenschutzgesetz verstößt.

2.4 Verarbeitung gemäß kalifornischem Recht. In Übereinstimmung mit dem CCPA und in Bezug auf personenbezogene Daten, auf die der CCPA anwendbar ist: (a) wird Workbase keine personenbezogenen Daten „verkaufen“ (wie im CCPA definiert); und (b) wird Workbase keine personenbezogenen Daten erfassen, weitergeben oder verwenden, außer soweit dies zur Erbringung von Dienstleistungen für den Kunden erforderlich ist.

2.5 Vertraulichkeit der Verarbeitung. Workbase wird personenbezogene Daten als vertrauliche Informationen des Kunden behandeln und sie gemäß den Vertraulichkeitsverpflichtungen in der Vereinbarung schützen. Workbase wird sicherstellen, dass seine Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die vertrauliche Natur der personenbezogenen Daten informiert sind, eine entsprechende Schulung zu ihren Verantwortlichkeiten erhalten haben und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet haben, die nicht weniger schützend für die Rechte des Kunden in Bezug auf diese Daten sind als dieses DPA.

2.6 Anfragen von betroffenen Personen; Datenschutz-Folgenabschätzungen. Workbase wird unter Berücksichtigung der Art der Verarbeitung dem Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Kunden unterstützen, um: (a) auf Anfragen einer betroffenen Person zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen zu antworten; (b) auf andere Korrespondenz, Anfragen oder Beschwerden von betroffenen Personen, Aufsichtsbehörden oder anderen Dritten im Zusammenhang mit der Verarbeitung personenbezogener Daten zu reagieren; und (c) Datenschutz-Folgenabschätzungen durchzuführen, die der Kunde gemäß dem Datenschutzgesetz möglicherweise durchführen muss. Wenn eine solche Anfrage, Korrespondenz, Anfrage oder Beschwerde direkt an Workbase gerichtet wird, wird Workbase den Kunden unverzüglich informieren und vollständige Details darüber bereitstellen. Workbase wird ohne vorherige schriftliche Zustimmung des Kunden nicht auf Anfragen von betroffenen Personen antworten, außer um zu bestätigen, dass eine solche Anfrage den Kunden betrifft.

3. Unterauftragsverarbeiter

3.1 Autorisierte Unterauftragsverarbeiter. Der Kunde stimmt zu, dass Workbase Tochtergesellschaften von Workbase und Drittunterauftragsverarbeiter zur Verarbeitung personenbezogener Daten für die in der Vereinbarung und diesem DPA beschriebenen Zwecke einsetzt. Die derzeit von Workbase eingesetzten Unterauftragsverarbeiter sind unter https://www.workbase.com/legal/sub-processors verfügbar. Workbase oder eine Tochtergesellschaft von Workbase wird mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung treffen, die Datenschutzbedingungen auferlegt, die den Datenschutzrechten der betroffenen Personen in Bezug auf personenbezogene Daten mindestens gleichwertig und nicht weniger schützend sind als dieses DPA. Workbase wird den Kunden benachrichtigen, wenn es Unterauftragsverarbeiter hinzufügt oder entfernt, innerhalb von zehn (10) Geschäftstagen nach solchen Änderungen, sofern der Kunde sich hier für den Empfang solcher Benachrichtigungen anmeldet. Der Kunde kann der Ernennung oder dem Ersatz eines Unterauftragsverarbeiters durch Workbase widersprechen, vorausgesetzt, ein solcher Widerspruch basiert auf berechtigten Bedenken hinsichtlich des Datenschutzes. Wenn der Kunde einem neuen Unterauftragsverarbeiter nicht innerhalb von zehn (10) Geschäftstagen widerspricht, wird der Kunde als damit einverstanden angesehen, dass Workbase den neuen Unterauftragsverarbeiter einsetzt, und verzichtet auf sein Widerspruchsrecht. Wenn der Kunde einem neuen Unterauftragsverarbeiter widerspricht, wird Workbase angemessene Anstrengungen unternehmen, um die Nutzung dieses Unterauftragsverarbeiters zur Verarbeitung personenbezogener Daten zu vermeiden, entweder durch Anpassung oder Empfehlung einer Änderung der Konfiguration der Workbase-Anwendung des Kunden. Wenn weder das eine noch das andere kommerziell praktikabel ist, wird Workbase das betreffende Abonnement in Bezug auf den Teil der Workbase-Anwendung kündigen, der nur von Workbase unter Verwendung dieses Unterauftragsverarbeiters bereitgestellt werden kann. Der Kunde erhält keine Rückerstattung für ungenutzte vorausbezahlte Gebühren bei einer solchen Kündigung, und wenn Gebühren für eine Abonnementlaufzeit unbezahlt bleiben, wird der Kunde den verbleibenden Restbetrag für den Rest der Abonnementlaufzeit sofort bezahlen.

3.2 Haftung für Unterauftragsverarbeiter. Wenn ein Unterauftragsverarbeiter seine Datenschutzverpflichtungen nicht erfüllt, bleibt Workbase gegenüber dem Kunden für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters voll verantwortlich.

4. Sicherheit

4.1 Sicherheitsmaßnahmen. Workbase wird prozedurale, technische und administrative Schutzmaßnahmen einsetzen, die darauf ausgelegt sind, die Vertraulichkeit, Sicherheit, Integrität, Verfügbarkeit und den Datenschutz von Inhalten, personenbezogenen Daten und anderen vertraulichen Kundeninformationen, die in der Workbase-Anwendung gespeichert sind, zu gewährleisten. Workbase kann solche Maßnahmen von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, dass solche Updates und Änderungen nicht zu einer wesentlichen Verringerung der Gesamtsicherheit der Workbase-Anwendung während der Abonnementlaufzeit des Kunden führen. Workbase ist nicht verantwortlich für Verstöße oder Verluste, die durch den Kunden, die Benutzer des Kunden oder durch die Konfiguration und Bereitstellungsspezifikationen des Kunden für die Workbase-Anwendung verursacht werden.

4.2 Prüfungsrechte. Workbase wird dem Kunden solche Informationen zur Verfügung stellen, die der Kunde vernünftigerweise anfordert, um die Einhaltung der Datenschutzgesetze durch Workbase nachzuweisen. Workbase wird ferner Prüfungen durch den Kunden oder einen vom Kunden beauftragten Prüfer, sofern es sich nicht um einen Wettbewerber von Workbase handelt, zulassen und zu diesen Prüfungen beitragen. Alle solchen Informationen und Prüfungsanfragen und -verfahren: (a) müssen vernünftig sein, basierend auf der Art der Workbase-Anwendung und den Kategorien der verarbeiteten personenbezogenen Daten; (b) müssen einer angemessenen Vertraulichkeitsvereinbarung unterliegen; und (c) dürfen nicht mehr als einmal pro Jahr gestellt werden, es sei denn, eine zuständige Datenschutzbehörde verlangt es anders. Vor Beginn einer solchen Prüfung müssen der Kunde und Workbase den Umfang, den Zeitplan und die Dauer der Prüfung sowie den Erstattungssatz für etwaige Reise- oder andere Kosten, die Workbase im Verlauf der Prüfung entstehen, gegenseitig vereinbaren. Alle Erstattungssätze müssen angemessen sein, unter Berücksichtigung der von Workbase aufgewendeten Ressourcen. Der Kunde muss Workbase unverzüglich über etwaige Nichteinhaltungen informieren, die während der Prüfung festgestellt werden.

4.3 Sicherheitsvorfallmeldung. Workbase wird den Kunden unverzüglich per E-Mail über die Entdeckung eines Sicherheitsvorfalls informieren. Workbase wird alle Maßnahmen ergreifen, die vernünftigerweise erforderlich sind, um die Auswirkungen des Sicherheitsvorfalls zu beheben oder zu mildern. Workbase wird den Kunden ferner über alle wesentlichen Entwicklungen bezüglich des Vorfalls auf dem Laufenden halten und solche Informationen und Unterstützung bereitstellen, die der Kunde vernünftigerweise benötigt, um seinen Meldepflichten bei Datenschutzverletzungen gemäß dem Datenschutzgesetz nachzukommen.

5. Rückgabe und Löschung personenbezogener Daten

Nach Beendigung oder Ablauf der Vereinbarung wird Workbase nach Wahl des Kunden alle personenbezogenen Daten (einschließlich Kopien) in seinem Besitz oder unter seiner Kontrolle löschen oder dem Kunden zurückgeben, außer wenn Workbase nach geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren, oder personenbezogene Daten, die Workbase auf Back-up-Systemen archiviert hat. Diese personenbezogenen Daten wird Workbase sicher isolieren, vor weiterer Verarbeitung schützen und schließlich gemäß den Löschrichtlinien von Workbase löschen, soweit nicht gesetzlich anders vorgeschrieben. Die Parteien vereinbaren, dass die Bescheinigung über die Löschung personenbezogener Daten, wie in den Klauseln 8.5 und 16(d) der 2021 Controller-to-Processor-Klauseln und 2021 Processor-to-Processor-Klauseln (soweit anwendbar) beschrieben, von Workbase nur auf schriftliche Anfrage des Kunden bereitgestellt wird.

6. Europa-spezifische Bestimmungen

6.1 Mechanismen für grenzüberschreitende Datenübertragungen. Die in Anhang B aufgeführten Übertragungsmechanismen gelten in der folgenden Reihenfolge für alle Übertragungen personenbezogener Daten aus Mitgliedstaaten der Europäischen Union, des Europäischen Wirtschaftsraums und des Vereinigten Königreichs in Länder, die von der Europäischen Kommission nicht als ausreichend geschützt für personenbezogene Daten anerkannt wurden.

6.2 Soweit Workbase personenbezogene Daten verarbeitet, die aus Mitgliedstaaten der Europäischen Union, des Europäischen Wirtschaftsraums oder des Vereinigten Königreichs stammen und in einem Land verarbeitet werden, das von der Europäischen Kommission nicht als ausreichend geschützt für personenbezogene Daten anerkannt wurde, gelten die personenbezogenen Daten als ausreichend geschützt durch die unveränderte, von der Europäischen Kommission genehmigte Version der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß der DSGVO, wie sie durch den Durchführungsbeschluss 2021/914 der Europäischen Kommission genehmigt wurde (die "SCCs"), wie unter http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm am Datum des Inkrafttretens des DPA festgelegt, die durch Verweis in dieses DPA aufgenommen werden. Anhang 1 zu diesem DPA enthält bestimmte interpretative und ergänzende Bestimmungen zur Anwendung der SCCs. Die in den Anhängen 1 und 2 der SCCs erforderlichen Informationen sind in den Anhängen A und B dieses DPA angegeben.

7. Sonstiges

7.1 Haftungsbeschränkungen. Die Haftung jeder Partei gegenüber der anderen unter diesem DPA, sei es vertraglich, deliktisch oder unter einer anderen Haftungstheorie, unterliegt den Haftungsbeschränkungen in der Vereinbarung.

7.2 Konstruktion; Auslegung. Dieses DPA ist keine eigenständige Vereinbarung und ist nur wirksam, solange die Vereinbarung zwischen Workbase und dem Kunden in Kraft ist. Dieses DPA und die Vereinbarung sind die vollständige und exklusive Erklärung des gegenseitigen Verständnisses der Parteien und ersetzen alle vorherigen schriftlichen und mündlichen Vereinbarungen und Mitteilungen in Bezug auf den hier behandelten Gegenstand. Die in diesem DPA enthaltenen Überschriften dienen nur der Übersichtlichkeit und sind nicht Bestandteil dieses DPA.

7.3 Salvatorische Klausel. Sollte eine Bestimmung dieses DPA für ungültig oder nicht durchsetzbar erklärt werden, wird dieses DPA auf das notwendige Mindestmaß geändert, um den ursprünglich beabsichtigten rechtlichen und kommerziellen Effekt der Parteien soweit wie möglich zu erreichen. Soweit gesetzlich zulässig, verzichten die Parteien auf jede Bestimmung des Gesetzes, die eine Klausel dieses DPA in irgendeiner Hinsicht verbieten oder undurchsetzbar machen würde.

7.4 Änderung; Durchsetzung von Rechten. Keine Änderung oder Ergänzung dieses DPA, noch ein Verzicht auf Rechte unter diesem DPA, wird wirksam sein, es sei denn, sie erfolgt schriftlich und wird von den Parteien unterzeichnet. Das Versäumnis einer Partei, Rechte unter diesem DPA durchzusetzen, wird nicht als Verzicht auf solche Rechte ausgelegt.

7.5 Abtretung. Dieses DPA kann nur im Zusammenhang mit einer gültigen Abtretung gemäß der Vereinbarung abgetreten werden. Wenn die Vereinbarung von einer Partei gemäß ihren Bedingungen abgetreten wird, wird dieses DPA automatisch von derselben Partei an denselben Abtretungsempfänger abgetreten.

7.6 Anwendbares Recht. Dieses DPA unterliegt den Gesetzen der Gerichtsbarkeit, die die Vereinbarung regelt, es sei denn, die DSGVO verlangt etwas anderes. In diesem Fall unterliegt dieses DPA den Gesetzen der Niederlande.

7.7 Gegenstücke. Dieses DPA kann per Fax oder elektronischer Signatur und in zwei oder mehr Gegenstücken ausgeführt und geliefert werden, von denen jedes als Original gilt, aber alle zusammen ein und dasselbe Instrument darstellen.

ANHANG 1: ANWENDBARE STANDARDVERTRAGSKLAUSELN UND ERGÄNZENDE BESTIMMUNGEN

1. Aufnahme der SCCs

Die Parteien vereinbaren, dass die SCCs hiermit durch Verweis in dieses DPA aufgenommen werden, wie folgt:

1.1 Modul 1: Übertragung Verantwortlicher zu Verantwortlichem, Klauseln 1 bis 6, 8 und 10 bis 18 gelten, wenn Workbase personenbezogene Daten als Verantwortlicher gemäß den Bedingungen der Vereinbarung verarbeitet, Workbase und seine relevanten Tochtergesellschaften in nicht als angemessen anerkannten Drittländern ansässig sind und der Kunde und seine relevanten Tochtergesellschaften im EWR ansässig sind.

1.2 Modul 2: Übertragung Verantwortlicher zu Auftragsverarbeiter, Klauseln 1 bis 6 und 8 bis 18 gelten, wenn Workbase personenbezogene Daten als Auftragsverarbeiter gemäß den Bedingungen der Vereinbarung verarbeitet, Workbase und seine relevanten Unterauftragsverarbeiter in nicht als angemessen anerkannten Drittländern ansässig sind und der Kunde und seine relevanten Tochtergesellschaften im EWR ansässig sind.

1.3 Modul 3: Übertragung Auftragsverarbeiter zu Auftragsverarbeiter, Klauseln 1 bis 6 und 8 bis 18 gelten, wenn Workbase personenbezogene Daten als Auftragsverarbeiter gemäß den Bedingungen der Vereinbarung verarbeitet, Workbase und seine relevanten Unterauftragsverarbeiter in nicht als angemessen anerkannten Drittländern ansässig sind und der Kunde und seine relevanten Tochtergesellschaften im EWR ansässig sind.

1.4 Modul 4: Übertragung Auftragsverarbeiter zu Verantwortlicher, Klauseln 1 bis 6, 8, 10 bis 12 und 14 bis 18 gelten, wenn Workbase personenbezogene Daten als Auftragsverarbeiter gemäß den Bedingungen der Vereinbarung verarbeitet und Workbase und seine relevanten Unterauftragsverarbeiter im EWR ansässig sind und der Kunde und seine relevanten Tochtergesellschaften in nicht als angemessen anerkannten Drittländern ansässig sind.

2. Standard Contractual Clause Optional Provisions

Zusätzlich zu Abschnitt 1.1, in dem die SCCs optionale Bestimmungen (oder Bestimmungen mit mehreren Optionen) identifizieren, gelten die folgenden Bestimmungen wie folgt:

2. Klausel 7 (Andockklausel) wird weggelassen;

2.2 In Klausel 9(a) (Verwendung von Unterauftragsverarbeitern) (Modul 2) – Option 2 gilt und die Parteien folgen dem in der DPA vereinbarten Verfahren und den Zeitplänen zur Ernennung von Unterauftragsverarbeitern;

2.3 In Klausel 11(a) (Rechtsschutz) (Modul 1, 2 oder 4) – die optionale Bestimmung gilt NICHT;

2.4 In Klausel 16(b) (Aussetzung der Übertragungen) wird Workbase als Datenexporteur die Übertragung personenbezogener Daten nur aus gesetzlichen Gründen aussetzen und den Kunden so schnell wie möglich benachrichtigen (vor der Aussetzung, falls möglich), damit der Kunde die Bedingung, die die Aussetzung erfordert, beheben kann;

3. EU-Optionale Bestimmungen

3.1 In Klausel 17 (Geltendes Recht) (Modul 1, 2 oder 4) – es gelten die Gesetze der Niederlande; und

3.2 In Klausel 18 (Wahl des Gerichtsstands und der Zuständigkeit) (Modul 1, 2 oder 4) – die Gerichte der Niederlande sind zuständig.

4. UK-spezifische Bestimmungen

4.1 Klausel 6 Beschreibung der Übertragung(en) wird ersetzt durch:

"Die Einzelheiten der Übertragung(en) und insbesondere die Kategorien personenbezogener Daten, die übertragen werden, und der Zweck(e), für die sie übertragen werden, sind in Anhang I.B angegeben, wenn UK-Datenschutzgesetze auf die Verarbeitung des Datenexporteurs bei der Durchführung dieser Übertragung anwendbar sind."

4.2 Verweise auf „Verordnung (EU) 2016/679“ oder „diese Verordnung“ werden durch „UK-Datenschutzgesetze“ ersetzt, und Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch die entsprechenden Artikel oder Abschnitte der UK-Datenschutzgesetze ersetzt.

4.3 Verweise auf die Verordnung (EU) 2018/1725 werden entfernt.

4.4 Verweise auf die „Union“, „EU“ und „EU-Mitgliedstaat“ werden durch „Vereinigtes Königreich“ ersetzt.

4.5 In Klausel 17 (Geltendes Recht) (Modul 1, 2 oder 4) – es gelten die Gesetze von England und Wales; und

4.6 In Klausel 18 (Wahl des Gerichtsstands und der Zuständigkeit) (Modul 1, 2 oder 4) – die Gerichte in London, England, sind zuständig.

5. Ergänzende Bestimmungen zu den SCCs

5.1 Dokumentation und Compliance. Für die Zwecke von Klausel 8.9(b) – Modul Eins, Klausel 8.9(e) – Modul Zwei und Klausel 8.3 – Modul Vier gelten die Überprüfungs- und Auditbestimmungen in der Vereinbarung und der DPA.

5.2 Benachrichtigung und Transparenz. Die Parteien erkennen an und stimmen zu, dass Workbase, wenn es gemäß den SCCs verpflichtet ist, die zuständige Aufsichtsbehörde zu benachrichtigen, dem Kunden zunächst die Einzelheiten der Benachrichtigung zur Verfügung stellt, sodass der Kunde schriftlich an der relevanten Benachrichtigung mitwirken kann, sofern der Kunde dies wünscht, und ohne die zeitliche Planung der Benachrichtigung unangemessen zu verzögern.

5.3 Für die Zwecke von Klausel 8.2 – Modul 1, Klausel 8.3 – Modul 2 und Klausel 15.1(a) erkennen die Parteien an und stimmen zu, dass es Workbase möglicherweise nicht möglich ist, die entsprechenden Mitteilungen an die betroffenen Personen zu machen, und dementsprechend hat der Kunde (nach Benachrichtigung durch den Datenimporteur) die Möglichkeit, die Partei zu sein, die eine Mitteilung an die betroffene Person macht, und Workbase stellt die im DPA festgelegte Unterstützung bereit.

5.4 Haftung. Für die Zwecke von Klausel 12(a) wird die Haftung der Parteien gemäß den Haftungsbeschränkungsbestimmungen in der Vereinbarung begrenzt.

5.5 Unterzeichner. Ungeachtet der Tatsache, dass die SCCs hier durch Verweis ohne direkte Unterzeichnung aufgenommen werden, stimmen Workbase und der Kunde jeweils zu, dass ihre Ausführung der Vereinbarung als ihre Ausführung der SCCs gilt und dass sie ordnungsgemäß befugt sind, dies im Namen des Datenexporteurs oder des Datenimporteurs (je nach Fall) zu tun und vertraglich zu binden.

Anhang A: Einzelheiten der Verarbeitung

Gegenstand der Verarbeitung

Workbase wird personenbezogene Daten verarbeiten, soweit dies erforderlich ist, um die Workbase-Anwendung gemäß der Vereinbarung für den Kunden bereitzustellen.

Dauer der Verarbeitung

Workbase wird personenbezogene Daten für die Dauer der Vereinbarung bis zur Beendigung der Vereinbarung verarbeiten, sofern nicht schriftlich anders vereinbart.

Kategorien betroffener Personen

Workbase erhebt personenbezogene Daten von Benutzern des Kunden, um die Workbase-Anwendung bereitzustellen.

Art und Zweck der Verarbeitung

Der Zweck der Verarbeitung personenbezogener Daten des Kunden durch Workbase ist die Bereitstellung der Dienste gemäß der Vereinbarung.

Arten personenbezogener Daten

Von den Benutzern des Kunden erhobene personenbezogene Daten können unter anderem folgende Informationen umfassen: Identifikationsdaten wie Name und E-Mail-Adresse sowie elektronische Identifikationsdaten wie IP-Adresse und andere Online-Kennungen. Andere Arten personenbezogener Daten umfassen physische Adresse (für Zahlungszwecke), Telefon-/Mobilnummer, Standortdaten und Geräte-ID. Workbase überwacht keine Inhalte, die Benutzer in die Workbase-Anwendung einbringen. Wenn Benutzer personenbezogene Daten zur Workbase-Anwendung hinzufügen (in einem Workbase-Projekt innerhalb der Dienste), verarbeitet Workbase diese personenbezogenen Daten automatisch.

Übermittelte sensible personenbezogene Daten

Der Kunde ist nicht verpflichtet, sensible personenbezogene Daten an die Dienste zu übermitteln.

Häufigkeit der Datenübertragung

Kontinuierlich

Zeitraum, für den die personenbezogenen Daten gespeichert werden

Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, wird ausführlicher in der Vereinbarung, der DPA und den dazugehörigen anwendbaren Bestellformularen beschrieben.

Verpflichtungen und Rechte des Kunden

Die Verpflichtungen und Rechte des Kunden als Verantwortlicher sind in der Vereinbarung und diesem DPA festgelegt.

Anhang B: Sicherheitskontrollen

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen von Workbase

Workbase gewährleistet die Datensicherheit in Übereinstimmung mit den geltenden Gesetzen. Die implementierten technischen und organisatorischen Sicherheitsmaßnahmen sind nachstehend aufgeführt. Die ergriffenen Maßnahmen sind darauf ausgelegt, ein Schutzniveau zu gewährleisten, das dem Risiko für Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme angemessen ist. Der Stand der Technik, die Implementierungskosten, die Art, der Umfang und die Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen müssen ebenfalls berücksichtigt werden. Workbase hat eine Reihe technischer und organisatorischer Sicherheitsmaßnahmen festgelegt und kann von Zeit zu Zeit alternative angemessene Maßnahmen implementieren, vorausgesetzt, dass solche Maßnahmen das Sicherheitsniveau von Workbase nicht wesentlich verringern. Workbase kann dem Kunden auf angemessene Anfrage hin einen angemessenen Nachweis über die Einhaltung seiner Datenschutzverpflichtungen gemäß dieser Vereinbarung erbringen.

• Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten

• Maßnahmen zur Gewährleistung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten

• Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen

• Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

• Maßnahmen zur Benutzeridentifikation und -authentifizierung

• Maßnahmen zum Schutz von Daten während der Übertragung

• Maßnahmen zum Schutz von Daten während der Speicherung

• Maßnahmen zur Sicherstellung der physischen Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden

• Maßnahmen zur Sicherstellung der Ereignisprotokollierung

• Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration

• Maßnahmen für die interne IT- und IT-Sicherheitsgovernance und -verwaltung

• Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten

• Maßnahmen zur Sicherstellung der Datenminimierung

• Maßnahmen zur Sicherstellung der Datenqualität

• Maßnahmen zur Sicherstellung der begrenzten Datenspeicherung

• Maßnahmen zur Sicherstellung der Verantwortlichkeit

• Maßnahmen zur Ermöglichung der Datenportabilität und Sicherstellung der Löschung