Anhang zur europäischen Datenverarbeitung

Durch diesen Zusatz zur Datenverarbeitung (Data Processing Addendum, „DPA“) wird der zugrundeliegende Vertrag nur insoweit geändert, wie das Produkt zur Verarbeitung von personenbezogenen Daten, die in den Geltungsbereich der DSGVO fallen, verwendet wird.

Definitionen

In der englischen Originalfassung dieses Texts großgeschriebene Wörter werden in diesem Abschnitt oder bei ihrer erstmaligen Verwendung in diesem DPA oder dem jeweiligen zugrundeliegenden Vertrag definiert.

„Verbundenes Unternehmen“ bedeutet jede Rechtseinheit, die direkt oder indirekt die vertragsgegenständliche Gesellschaft kontrolliert, von dieser kontrolliert wird oder mit dieser unter gemeinsamer Kontrolle steht, wobei sich „Kontrolle“ auf die Befugnis bezieht, die vertragsgegenständliche Gesellschaft zu leiten oder deren Leitung zu veranlassen, sei es durch das Eigentum an Stimmrechtsanteilen, durch eine vertragliche Vereinbarung oder anderweitig.

„Verantwortlicher“, „betroffene Person“, „Auftragsverarbeiter“, „Verarbeitung“ haben die in Artikel 4 der DSGVO dargelegte Bedeutung.

„Antrag einer betroffenen Person“ bedeutet ein von einer betroffenen Person oder in deren Auftrag gestellter Antrag zur Wahrnehmung des Rechts auf Auskunft über die personenbezogenen Daten der betroffenen Person sowie des Rechts auf Berichtigung, Widerspruch, Löschung in Bezug auf diese Daten oder eines anderen anwendbaren Rechts, das von der DSGVO anerkannt ist.

„DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

„Personenbezogene Daten“ bedeutet Informationen über eine identifizierte oder identifizierbare natürliche Person (betroffene Person), die in den Geltungsbereich der DSGVO fallen und direkt oder indirekt durch die Verwendung der Produkte durch den Kunden, seine verbundenen Unternehmen, Kunden oder Endbenutzer übermittelt, gespeichert oder verarbeitet werden.

„Produkt(e)“ bedeutet ein Produkt (und alle damit verbundenen von Autotask bereitgestellten Dienstleistungen), das unter diesen DPA fallende personenbezogene Daten verarbeitet.

 „Unterauftragsverarbeiter“ bedeutet ein Dritter, der aufgrund seiner Rolle bei der Erbringung von Dienstleistungen im Auftrag von Autotask in Bezug auf die Bereitstellung eines Produkts durch Autotask möglicherweise logischen Zugriff auf unter diesen DPA fallende personenbezogene Daten hat.

Inkrafttreten

Dieser DPA tritt entweder am (a) 25. Mai 2018 oder (b) an dem Datum in Kraft, an dem der Kunde diesen DPA durch Anklicken akzeptiert oder Autotask und der Kunde diesen DPA anderweitig vereinbaren, je nachdem, welches Datum später eintritt. 

Dieser DPA tritt an die Stelle von und ersetzt alle bereits bestehenden Zusätze, Vereinbarungen oder Bestimmungen in Bezug auf Datenschutz, Datenverarbeitung oder Datensicherheit.  Bei Widersprüchen zwischen diesem DPA und einem zugrundeliegenden Vertrag sind die Bedingungen dieses DPA maßgeblich.

Dauer der Verarbeitung/Laufzeit des DPA

Dieser DPA und die Verarbeitung personenbezogener Daten durch Autotask enden automatisch bei Beendigung des zugrundeliegenden Vertrags und etwaiger Zeiträume nach der Beendigung, während derer Autotask personenbezogene Daten für den Export durch den Kunden bis zu ihrer endgültigen Löschung zur Verfügung stellt.

Rolle des Verantwortlichen/Auftragsverarbeiters

Für die Zwecke dieses DPA vereinbaren die Parteien, dass Autotask Auftragsverarbeiter  personenbezogener Daten ist.  Dieser DPA findet keine Anwendung in Fällen, in denen Autotask Verantwortlicher in Bezug auf personenbezogene Daten ist.

Der Kunde kann als Verantwortlicher oder gegebenenfalls als Auftragsverarbeiter personenbezogener Daten handeln.  Wenn es sich beim Kunden nicht um den Verantwortlichen in Bezug auf personenbezogene Daten handelt, garantiert und sichert der Kunde Autotask gegenüber zu, dass er dazu berechtigt und befugt ist, Autotask als Auftragsverarbeiter zu beauftragen und Autotask Anweisungen zu geben, und dass derartige Maßnahmen von dem jeweiligen Verantwortlichen in Bezug auf die personenbezogenen Daten genehmigt wurden. 

Der Kunde allein ist für die Qualität, fortdauernde Richtigkeit, Rechtmäßigkeit und den Umfang personenbezogener Daten sowie die Mittel, mit denen der Kunde personenbezogene Daten erworben hat, verantwortlich. Der Kunde garantiert und sichert zu, dass er über hinreichende Rechte und alle Zustimmungen Dritter verfügt, die zur Verwendung der personenbezogenen Daten mit dem Produkt erforderlich und zweckmäßig sein können, und dass seine Übermittlung personenbezogener Daten an Autotask den Bestimmungen der DSGVO und allen maßgeblichen Gesetzen entspricht.

Verarbeitung personenbezogener Daten

Autotask verarbeitet die personenbezogenen Daten ausschließlich auf Anweisung des Kunden, einschließlich durch die Nutzung und Konfiguration der Produktfunktionen durch den Kunden.  Der Kunde weist Autotask an, die personenbezogenen Daten des Kunden zu verarbeiten, (a) um das jeweilige Produkt und die zugehörige technische und verwaltungstechnische Unterstützung gemäß dem zugrundeliegenden Vertrag und diesem DPA bereitzustellen; (b) gemäß den weiteren Anweisungen mittels der Verwendung des Produkts durch den Kunden; und (c) um andere angemessene Anweisungen des Kunden (per E-Mail oder Support-Tickets), die mit der Art und dem Umfang des Produkts im Einklang stehen, zu erfüllen.

Autotask benachrichtigt den Kunden, wenn eine Anweisung nach Ansicht von Autotask gegen die Bestimmungen der DSGVO verstößt.

Gegenstand und Art der Verarbeitung

Gegenstand der Verarbeitung ist (und der Umfang der Verarbeitung umfasst) die Bereitstellung des Produkts, das den Gegenstand des zugrundeliegenden Vertrags darstellt, durch Autotask, einschließlich zugehöriger technischer und verwaltungstechnischer Unterstützung (durch Managementportale oder anderweitig).  Autotask verarbeitet personenbezogene Daten, die dem Unternehmen direkt oder indirekt durch den Kunden, dessen Kunden oder Endbenutzer zur Verfügung gestellt werden, um das Produkt, das den Gegenstand des zugrundeliegenden Vertrags darstellt, bereitzustellen.

Anträge betroffener Personen

Wenn Autotask einen Antrag einer betroffenen Person im Zusammenhang mit dem zugrundeliegenden Vertrag erhält, benachrichtigt Autotask, sofern das Unternehmen dazu in der Lage ist und dies gesetzlich zulässig ist, den Kunden und/oder fordert die betroffene Person auf, den Antrag direkt an den Kunden zu richten.  

Der Kunde ist dafür verantwortlich, auf Anträge von betroffenen Personen zu reagieren.  Autotask leistet dem Kunden unter Berücksichtigung der Art der Verarbeitung wirtschaftlich vertretbare Unterstützung bei der Bearbeitung eines Antrags einer betroffenen Person, soweit dies gesetzlich zulässig ist, wenn ein solcher Antrag einer betroffenen Person gemäß der Funktionsfähigkeit des Produkts nach vernünftigem Ermessen möglich und nach geltendem Recht erforderlich ist. Der Kunde ist im gesetzlich zulässigen Umfang für alle Kosten verantwortlich, die Autotask in Verbindung mit dieser Unterstützung entstehen.

Verschwiegenheitspflicht

Autotask stellt sicher, dass seine an der Verarbeitung personenbezogener Daten beteiligten Mitarbeiter sich durch schriftliche Vertraulichkeitsvereinbarungen dazu verpflichtet haben, die Vertraulichkeit  personenbezogener Daten zu wahren.

Datenlöschung

Autotask löscht personenbezogene Daten innerhalb eines angemessenen Zeitraums nach Ablauf oder Beendigung des zugrundeliegenden Vertrags sowie etwaiger Zeiträume im Anschluss an die Beendigung, während derer der Kunde in der Lage ist, personenbezogene Daten zu exportieren.  Der Kunde weist Autotask hiermit an, alle personenbezogenen Daten nach einem solchen Zeitraum zu löschen.  Der Kunde ist dafür verantwortlich, personenbezogene Daten vor deren Löschung zu exportieren.

Verletzung des Schutzes personenbezogener Daten

Wenn Autotask Kenntnis von einer Sicherheitsverletzung bei Autotask erlangt, die zum versehentlichen Verlust, zur versehentlichen oder rechtswidrigen Vernichtung oder Änderung, einer unbefugten Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten führt, welche in den Geltungsbereich der DSGVO fallen, die sich in der Obhut oder unter der Kontrolle von Autotask befinden, und Autotask diese Sicherheitsverletzung bestätigt, benachrichtigt Autotask unverzüglich den Kunden und bemüht sich nach besten Kräften, die Auswirkungen zu mindern und etwaige Schäden aufgrund eines solchen sicherheitsrelevanten Ereignisses so gering wie möglich zu halten.

Der Kunde stimmt zu, dass erfolglose sicherheitsrelevante Ereignisse nicht unter diesen Abschnitt fallen.  Ein erfolgloses sicherheitsrelevantes Ereignis beinhaltet unter anderem unbefugte Versuche des Zugriffs auf personenbezogene Daten oder auf Anlagen oder Einrichtungen von Autotask, in denen personenbezogene Daten gespeichert werden, Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port Scans, fehlgeschlagene Anmeldeversuche, Denial-of-Service-Angriffe, Packet-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht über den Zugriff auf IP-Adressen oder IP-Header hinausgehen).

Die Verpflichtung von Autotask, ein sicherheitsrelevantes Ereignis zu melden oder darauf zu reagieren, stellt keine Anerkenntnis jeglicher Schuld oder Haftung von Autotask in Bezug auf das sicherheitsrelevante Ereignis dar.  Autotask ist nicht verpflichtet, auf Ereignisse zu reagieren, die durch den Kunden oder eine von ihm bevollmächtigte Person verursacht wurden.

Unterauftragsverarbeitung

Der Kunde erkennt an und stimmt zu, dass verbundene Unternehmen von Autotask als Unterauftragsverarbeiter beauftragt werden können und dass Autotask und seine verbundenen Unternehmen im Bedarfsfall jeweils externe Unterauftragsverarbeiter mit der Bereitstellung eines Produkts beauftragen können.  Der Kunde stimmt hiermit der in diesem Abschnitt beschriebenen Verwendung von Unterauftragsverarbeitern zu.

Eine aktuelle Liste der Unterauftragsverarbeiter für die Produkte steht auf datto.com/subprocessors zur Verfügung.  Autotask kündigt neue Unterauftragsverarbeiter durch eine Aktualisierung der Liste der Unterauftragsverarbeiter und/oder eine Mitteilung im jeweiligen Produktmanagementportal an, bevor diesen der Zugriff auf die personenbezogenen Daten des Kunden in Verbindung mit der Bereitstellung des entsprechenden Produkts gewährt wird. 

Der Kunde kann die Verwendung eines neuen Unterauftragsverarbeiters angemessen ablehnen, indem er Autotask umgehend innerhalb von zehn (10) Geschäftstagen nach der oben beschriebenen Mitteilung von Autotask schriftlich die berechtigten Gründe für den Einwand erklärt.   Autotask unternimmt wirtschaftlich vertretbare Anstrengungen, um dem Kunden eine geänderte Produktkonfiguration oder -nutzung zur Verfügung zu stellen, um die Verwendung des abgelehnten neuen Unterauftragsverarbeiters zu vermeiden.  Wenn Autotask eine solche Änderung nicht innerhalb eines angemessenen, nicht mehr als dreißig (30) Tage betragenden, Zeitraums zur Verfügung stellen kann, kann jede Partei als einziges Rechtsmittel den zugrundeliegenden Vertrag lediglich in Bezug auf die Dienstleistungen kündigen, die von Autotask nicht ohne die Verwendung des abgelehnten neuen Unterauftragsverarbeiters bereitgestellt werden können. In einem solchen Fall erstattet Autotask alle vorausbezahlten Gebühren für die restliche Laufzeit, die für das betreffende Produkt gilt.

Autotask verwendet ausschließlich Unterauftragsverarbeiter, die schriftliche Verträge mit Autotask abgeschlossen haben, deren Verpflichtungen im Wesentlichen denen von Autotask im Rahmen dieses DPA entsprechen.  Autotask haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in gleichem Maße, wie Autotask haftbar wäre, wenn es die Dienstleistungen jedes Unterauftragsverarbeiters direkt im Rahmen der Bedingungen dieses DPA erbrächte.

Ein Produkt- oder Produktmanagementportal kann Links oder Einbindungen oder ein API bereitstellen, die eingesetzt werden können, um Einbindungen in oder von Drittprodukten oder -dienstleistungen („Drittanwendungen“) zu ermöglichen.  Wenn der Kunde sich entscheidet, sich in ein API einzubinden, ein API zu aktivieren, auf ein solches zuzugreifen oder ein solches zu verwenden, um mit solchen Drittanwendungen zu interagieren, geschieht dies auf sein eigenes Risiko, und Autotask ist nicht für die von oder durch solche Drittanwendungen verarbeiteten personenbezogenen Daten verantwortlich oder haftbar.  Der Kunde erkennt ausdrücklich an und stimmt zu, dass alle aktivierten Drittanwendungen ausdrücklich durch den Kunden genehmigt werden und dass Autotask kein Mitverarbeiter, Unterauftragsverarbeiter oder Verantwortlicher in Bezug auf personenbezogene Daten ist, die durch oder im Auftrag des Kunden über eine Drittanwendung verarbeitet werden.

Prüfung

Autotask kooperiert bei allen Kundenprüfungen zur Verifizierung der Einhaltung seiner Verpflichtungen im Rahmen dieses DPA, indem das Unternehmen vorbehaltlich seiner Geheimhaltungsverpflichtungen (soweit verfügbar) Prüfberichte Dritter, Beschreibungen von Sicherheitskontrollen und andere Informationen zu den Sicherheitspraktiken und -richtlinien von Autotask, die der Kunde vernünftigerweise anfordert, zur Verfügung stellt.

Autotask kooperiert und unterstützt den Kunden auf Kosten des Kunden (soweit dies gesetzlich zulässig ist) hinsichtlich der in den Artikeln 32-36 der DSGVO beschriebenen Einhaltungsverpflichtungen des Kunden im wirtschaftlich vertretbaren Rahmen unter Berücksichtigung der Art der Verarbeitung und der Autotask zur Verfügung stehenden Informationen.

Haftungsbeschränkung

Soweit dies nach geltendem Recht zulässig ist, unterliegt die kombinierte Gesamthaftung für Autotask und den Kunden und ihre verbundenen Unternehmen im Zusammenhang mit diesem DPA den im zugrundeliegenden Vertrag dargelegten Haftungsausschlüssen und -beschränkungen oder, in deren Ermangelung, den jährlichen Gesamtgebühren, die Autotask für das Produkt erhält.  Etwaige behördliche Strafen, die einer Partei aufgrund dieses DPA auferlegt werden, werden bei einer solchen Haftungsobergrenze mitberücksichtigt.

Sicherheit

Autotask erhält wirtschaftlich vertretbare technische und organisatorische Maßnahmen zum Schutz vor einem versehentlichen bzw. unrechtmäßigen Verlust oder Zugriff oder einer versehentlichen oder unrechtmäßigen Vernichtung oder Änderung personenbezogener Daten, die sich unter seiner Kontrolle befinden, aufrecht.  Autotask kann solche Maßnahmen ändern, soweit diese Änderungen nicht zu einer wesentlichen Verschlechterung der Sicherheitsmaßnahmen führen.

Ein Produkt oder Produktmanagementportal kann bestimmte, vom Kunden kontrollierte, Sicherheitsfunktionen verfügbar machen, z. B. mehrstufige Authentifizierung, administrative Zugangskontrollen und lokale Verschlüsselung.  Autotask stellt dem Kunden bewährte Verfahren zur Verfügung, die dieser zum Schutz vor einem versehentlichen bzw. unrechtmäßigen Verlust oder Zugriff oder einer versehentlichen oder unrechtmäßigen Vernichtung oder Änderung personenbezogener Daten einsetzen kann.  Der Kunde ist für die Sicherung der personenbezogenen Daten unter seiner Kontrolle verantwortlich, einschließlich, jedoch nicht beschränkt auf, die ordnungsgemäße Konfiguration und Verwendung von verfügbaren, vom Kunden kontrollierten, Sicherheitsfunktionen.

Übermittlung personenbezogener Daten

Bestimmte Produkte ermöglichen dem Kunden, ein im Europäischen Wirtschaftsraum („EWR“) befindliches Datenzentrum zur Verarbeitung personenbezogener Daten einzusetzen.  Bei all diesen Produkten ist der Kunde dafür verantwortlich, einen angemessenen Datenzentrumsstandort innerhalb des EWR zu verwenden.  Bestimmte Daten in Verbindung mit technischer und verwaltungstechnischer Unterstützung für ein Produkt oder sein Managementportal („Metadaten“) können in den USA gehostet werden, selbst wenn der Kunde ein Datenzentrum innerhalb des EWR verwendet. 

Datto, Inc. und seine US-amerikanischen Tochtergesellschaften, einschließlich der Autotask Corporation, haben sich selbst zertifiziert und erfüllen die Auflagen des EU-US-Datenschutzschilds und des Schweiz-US-Datenschutzschilds als Mechanismus hinsichtlich der Übertragung personenbezogener Daten aus der Europäischen Union, dem EWR und der Schweiz in Länder, in denen kein angemessener Datenschutz gewährleistet ist.   Übertragungen von Metadaten und personenbezogenen Daten werden durch die Zertifizierung von Datto zum EU-US-Datenschutzschild und dem Schweiz-US-Datenschutzschild validiert. 

Dies gilt nicht, wenn Autotask einen alternativen, von der DSGVO anerkannten, Compliance-Standard für die rechtmäßige Übertragung personenbezogener Daten außerhalb des EWR, der Schweiz oder des Vereinigten Königreichs übernimmt.

Geltendes Recht

Dieser DPA unterliegt dem Recht von England und Wales und der ausschließlichen Zuständigkeit der Gerichte von England und Wales. 

Mitteilungen

Mitteilungen an Autotask im Rahmen dieses DPA sind zu richten an Datto, Inc., 101 Merritt 7, 7th floor, Norwalk, CT 06851 Attn: Legal Department. 

Wenn der Kunden nicht der primäre Administrator eines Produkts ist (zum Beispiel, wenn ein Kunde ein Produkt von einem Managed Services Provider erwirbt), erkennt der Kunde an und stimmt zu, dass Autotask alle Mitteilungen im Zusammenhang mit diesem DPA per E-Mail oder über das Produktmanagementportal der Partei, die der primäre Administrator des Produkts ist, zukommen lässt.

Wenn der Kunde der primäre Administrator eines Produkts ist (zum Beispiel ein Managed Services Provider, der ein Produkt für seinen Kunden verwaltet), erkennt der Kunde an und stimmt zu, dass er für den Erhalt und die umgehende Weiterleitung aller Mitteilungen im Zusammenhang mit diesem DPA, die er per E-Mail oder über das Produktmanagementportal erhält, an die entsprechenden Parteien verantwortlich ist, einschließlich gesetzlich erforderlicher Mitteilungen.

Der Kunde ist dafür verantwortlich, zur Ermöglichung aller Mitteilungen aktuelle und korrekte Kontaktinformationen innerhalb des entsprechenden Verwaltungsportals für das Produkt zu führen.

Allgemeines

Die Bedingungen dieses DPA sind vertrauliche Informationen von Autotask, die unter die Vertraulichkeitsbestimmungen des zugrundeliegenden Vertrags fallen.  Der Kunde bestätigt, dass er die Bedingungen dieses DPA nicht offenlegen wird.

Autotask behält sich das Recht vor, diesen DPA zu ändern, u. a., wenn andere, von der DSGVO anerkannte, Compliance-Standards verfügbar werden oder sofern dies zur Einhaltung der DSGVO oder anderer maßgeblicher Gesetze erforderlich ist.