Nachtrag zur Datenverarbeitung von SkyKick

1. DEFINITIONEN UND HINTERGRUND

1.1. Definitionen.  (In der englischen Version) Großgeschriebene Begriffe, die in diesem Nachtrag oder in Anlage 1 zu diesem DPA verwendet, jedoch nicht definiert werden, haben die in den Geschäftsbedingungen festgelegte Bedeutung.

1.2. Hintergrund. Der Kunde und SkyKick erkennen an, dass der Kunde als „Verantwortlicher“ der Daten (oder eine ähnliche Bezeichnung gemäß Datenschutzrecht) für seine eigenen Zwecke auf die Services zugreifen wird. SkyKick ist der „Auftragsverarbeiter“ der Daten (oder eine ähnliche Bezeichnung gemäß Datenschutzrecht) für den Kunden in Bezug auf die Kundendaten.

2. DATENVERARBEITUNG UND -SCHUTZ

2.1. Nutzungsbeschränkungen. SkyKick verarbeitet personenbezogene Daten ausschließlich: (a) im Einklang mit den dokumentierten Anweisungen des Kunden, welche die Verarbeitung (i) zur Bereitstellung der Services, (ii) wie im Rahmen der Vereinbarung genehmigt oder zulässig, einschließlich, ggf. gemäß Anlage 3 zu diesem DPA, und (iii) im Einklang mit anderen angemessenen dokumentierten Anweisungen des Kunden; und (b) soweit nach dem Datenschutzrecht zulässig, wie vom geltendem Recht vorgeschrieben, wobei SkyKick den Kunden (sofern nicht durch dieses geltende Recht untersagt) vor der Verarbeitung gemäß diesem geltenden Recht über die geltenden gesetzlichen Anforderungen informieren muss.

2.2. Verpflichtungen des Kunden. Der Kunde weist SkyKick nicht an, personenbezogene Daten zu verarbeiten, wenn es gegen Datenschutzgesetze verstößt. Der Kunde sichert zu und garantiert, dass (i) alle vom Kunden bereitgestellten personenbezogenen Daten, die er SkyKick zur Verfügung stellt, in Übereinstimmung mit dem Datenschutzrecht erhoben oder anderweitig verarbeitet werden; (ii) jede Verarbeitung personenbezogener Daten durch SkyKick, die in Übereinstimmung mit der Vereinbarung durchgeführt wird, nicht gegen das Datenschutzrecht verstößt und auch nicht verstoßen wird; und (iii) alle Personen, deren personenbezogene Daten von SkyKick verarbeitet werden, über die Datenverarbeitung von SkyKick gemäß den Services und wie in diesem DPA beschrieben informiert wurden. SkyKick kann die Verarbeitung auf Grundlage von Kundenanweisungen aussetzen, von denen SkyKick vernünftigerweise annimmt, dass sie gegen das Datenschutzrecht verstoßen. SkyKick informiert den Kunden, wenn Anweisungen des Kunden nach Ansicht von SkyKick gegen das Datenschutzrecht verstoßen. Der Kunde allein ist für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und der Mittel, mit denen der Kunde die personenbezogenen Daten erworben hat, verantwortlich. Der Kunde erkennt ausdrücklich an und stimmt zu, dass seine Nutzung der Services nicht gegen die Rechte betroffener Personen verstößt, einschließlich der Personen, die den Verkauf oder andere Weitergabe personenbezogener Daten abgelehnt haben, soweit dies nach Datenschutzrecht maßgeblich ist.

2.3. Vertraulichkeit.  SkyKick will ensure that any persons authorized by SkyKick to Process any Personal Data are subject to and have committed themselves to appropriate confidentiality obligations.

2.4. Sicherheit. SkyKick schützt personenbezogene Daten in Übereinstimmung mit den datenschutzrechtlichen Anforderungen, einschließlich durch die Umsetzung geeigneter administrativer physischer, technischer und organisatorischer Sicherheitsvorkehrungen, wie in Anlage 4 zu diesem DPA dargelegt, um (a) die versehentliche oder unrechtmäßige Vernichtung, den Verlust, die Veränderung, die unbefugte Weitergabe von, oder den unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig übermittelte personenbezogene Daten zu vermeiden sowie die unbefugte oder unrechtmäßige Verarbeitung personenbezogener Daten und den versehentlichen Verlust, die Vernichtung oder Beschädigung personenbezogener Daten zu vermeiden; und (b) die Sicherheit personenbezogener Daten entsprechend dem Risiko der Verarbeitung durch SkyKick im Rahmen der Vereinbarung zu gewährleisten. Dies geschieht in Übereinstimmung mit bewährten Praktiken und anerkannten Standards der Branche.

3. RÜCKGABE ODER LÖSCHUNG.

Bei Ablauf oder Kündigung der Vereinbarung aus beliebigem Grund und/oder nach Ende der Bereitstellung der Services (a) löscht SkyKick alle personenbezogenen Daten, es sei denn, (i) der Kunde hat etwas anderes angewiesen (direkt oder über den SkyKick Partner), oder (ii) Gesetze, denen SkyKick unterliegt, schreiben die weitere Speicherung dieser personenbezogenen Daten durch SkyKick in Übereinstimmung mit dem Datenschutzrecht vor; (b) behält sich SkyKick das Recht vor, alle von SkyKick abgerufenen oder erhaltenen personenbezogenen Daten zu löschen, einschließlich insbesondere personenbezogener Daten auf der SkyKick Platform, in Verbindung mit einem Backup- oder Migrationsauftrag; und (c) werden personenbezogene Daten, die SkyKick in Verbindung mit einem Cloud-Manager-Auftrag abgerufen oder empfangen hat, nur aufbewahrt, während eine aktive Verbindung zur Umgebung des Kunden besteht, und werden automatisch gelöscht und bereinigt, wenn die Verbindung zum jeweiligen Anbieterangebot entfernt wird.

Ungeachtet der vorstehenden Bestimmung kann SkyKick personenbezogene Daten gemäß einer rechtmäßigen Zwangsmaßnahme oder einem Gerichtsbeschluss aufbewahren.

SkyKick wird sich in wirtschaftlich vertretbarem Umfang bemühen, den Kunden vor der Löschung der Kundendaten (direkt oder über den SkyKick Partner) mithilfe eines Banners im Self-Service-Portal für Kunden oder über andere Kanäle zu informieren. Dies gilt nicht im Falle von personenbezogenen Daten, die in Verbindung mit dem Cloud-Manager abgerufen oder empfangen werden.

4. UNTERSTÜTZUNG BEI DER DATENVERARBEITUNG

4.1. Unterstützung bei der Wahrnehmung der Rechte der betroffenen Person. Unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten durch SkyKick im Rahmen der Vereinbarung, bietet SkyKick dem Kunden durch geeignete technische und organisatorische Maßnahmen eine angemessene Unterstützung an, soweit dies für die Erfüllung der Pflichten des Kunden, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäßDatenschutzrecht in Bezug auf personenbezogene Daten möglich und erforderlich ist. Diese Unterstützung wird jedoch nur bereitgestellt, wenn der Kunde nicht in der Lage ist, eine solche Anfrage einer betroffenen Person ohne diese Unterstützung zu bearbeiten.

4.2. Unterstützung bei der Datenschutz-Folgenabschätzung. Unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten durch SkyKick und den Informationen, die  SkyKick zur Verfügung stehen, bietet SkyKick dem Kunden eine angemessene Unterstützung an, wenn dies erforderlich ist, damit der Kunde die Pflichten in Bezug auf die Datenschutz-Folgenabschätzungen und Beratung (oder ähnliche Verpflichtungen) einhalten kann, die gemäß Datenschutzrecht in Verbindung mit der Verarbeitung personenbezogener Daten durch SkyKick im Rahmen der Vereinbarung vorgeschrieben sind.

4.3. Hinweis und Unterstützung bei Datenschutzverletzungen. SkyKick benachrichtigt den Kunden (direkt oder über den SkyKick Partner) unverzüglich, nachdem SkyKick von einer Datenschutzverletzung Kenntnis erlangt. Unter Berücksichtigung der Art der Verarbeitung und der SkyKick zur Verfügung stehenden Informationen bietet SkyKick dem Kunden eine angemessene Unterstützung an, soweit dies für den Kunden erforderlich ist, um den Benachrichtigungspflichten, die gemäß Datenschutzrecht in Bezug auf eine Datenschutzverletzung erforderlich sind, nachzukommen. Der Kunde hat jedoch das alleinige Recht und die alleinige Verpflichtung, zu bestimmen, ob er betroffene Personen, Aufsichtsbehörden, Strafverfolgungsbehörden, Dritte oder andere auf eigene Kosten über die Datenschutzverletzung informiert, einschließlich, ob er betroffenen Personen irgendeine Art von Abhilfe anbietet.

5. AUDITS.

SkyKick stellt dem Kunden mindestens alle zwei Jahre einen schriftlichen Prüfbericht zur Verfügung, der die Einhaltung des Datenschutzrechts und dieses DPAs durch SkyKick belegt. Wenn ein von SkyKick in Übereinstimmung mit der obenstehenden Bestimmung eingereichter Prüfbericht nach Ansicht des Kunden – vernünftig handelnd – nicht ausreicht, um die Einhaltung des Datenschutzrechts und dieses DPAs nachzuweisen, gestattet SkyKick dem Kunden oder einem unabhängigen, vom Kunden benannten qualifizierten Dritten (jeweils eine „prüfende Stelle“), vorbehaltlich angemessener schriftlichen Vorankündigung von mindestens sechzig (60) Geschäftstagen, Zugang zu seinen Räumlichkeiten, Computern und anderen Informationssystemen, Aufzeichnungen, Dokumenten und Vereinbarungen, die von der prüfenden Stelle in angemessener Weise verlangt werden, um zu überprüfen, ob SkyKick seinen Verpflichtungen aus dem Datenschutzrecht und diesem DPA nachkommt. Prüfungen gemäß diesem Absatz 5 (i) dürfen in jedem Zeitraum von zwölf (12) Monaten höchstens einmal durchgeführt werden und dürfen nicht länger als 5 Tage dauern und (ii) dürfen keine Prüfung von Daten Dritter (einschließlich anderer SkyKick-Kunden) oder der vertraulichen Informationen von SkyKick erfordern. Vor einer Prüfung schließt die prüfende Stelle mit SkyKick (zusätzliche) Vertraulichkeitsverpflichtungen ab, soweit sie vernünftigerweise erforderlich sind, um die Vertraulichkeit der Geschäftsinteressen von SkyKick sowie die Rechte und Interessen betroffener Dritter zu respektieren. Die prüfende Stelle führt Prüfungen nur während der normalen Geschäftszeiten durch und muss während der Prüfung mit der gebotenen Sorgfalt vorgehen, um den Geschäftsbetrieb und die betrieblichen Arbeitsabläufe von SkyKick nicht zu stören. Für den Fall, dass die Prüfung zu einer Verzögerung bei der Bereitstellung der Services führt, führen der Kunde und SkyKick Gespräche, um die Angelegenheit so schnell wie möglich zu lösen. Die Kosten von SkyKick im Zusammenhang mit den Prüfungen durch die Prüfstelle trägt der Kunde. Die vorstehenden Beschränkungen gelten nicht, wenn geltendes Datenschutzrecht dies verbietet, wenn der Kunde eine Prüfung nach einer Datenschutzverletzung verlangt, die durch eine Handlung oder Unterlassung von SkyKick verursacht wurde, oder für Prüfungen, die von einer zuständigen Behörde oder gemäß einer durchsetzbaren gerichtlichen Anordnung erforderlich sind oder durchgeführt werden.

6. UNTERAUFTRAGSVERARBEITER.

Der Kunde ermächtigt SkyKick, für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung von Services für den Kunden, Unterauftragnehmer einzusetzen („Unterauftragsverarbeiter“). Zum Zeitpunkt des Inkrafttretens dieses DPAs ist die aktuelle Liste der Unterauftragsverarbeiter in Anlage 3 aufgeführt. SkyKick informiert den Kunden (direkt oder über den SkyKick Partner) über die beabsichtigten Änderungen in Bezug auf die Ergänzung oder den Ersatz seiner Unterauftragsverarbeiter und gibt dem Kunden die Möglichkeit, solchen Änderungen zu widersprechen. Wenn der Kunde innerhalb von dreißig (30) Tagen keinen Widerspruch einlegt, gilt dies als Zustimmung des Kunden zu der vorgeschlagenen Ergänzung oder dem vorgeschlagenen Ersatz. Wenn der Kunde Widerspruch gegen Unterauftragsverarbeiter einlegt, kann SkyKick die Vereinbarung durch Mitteilung an den Kunden mit sofortiger Wirkung und ohne Haftung kündigen. SkyKick verpflichtet Unterauftragsverarbeiter, Datenschutzverpflichtungen einzuhalten, die nicht weniger Schutz bieten als die in diesem DPA enthaltenen Verpflichtungen, und SkyKick haftet dem Kunden gegenüber für Verletzungen der in diesem DPA enthaltenen Verpflichtungen durch einen Unterauftragsverarbeiter gemäß den relevanten Bestimmungen in den Geschäftsbedingungen.

7. DATENÜBERMITTLUNGEN.

SkyKick hält sich an etwaige datenschutzrechtliche Anforderungen in Bezug auf die grenzüberschreitende Übermittlung personenbezogener Daten, einschließlich des Abschlusses zusätzlicher vertraglicher Vereinbarungen oder der Ergreifung zusätzlicher Maßnahmen, die durch das Datenschutzrecht vorgeschrieben sind. Wenn der Kunde seinen Sitz außerhalb der Vereinigten Staaten von Amerika, des EWR (wie unten definiert) und der Schweiz hat, gelten die Standardvertragsklauseln (Modul 4; Übermittlung von Auftragsverarbeitern an Verantwortliche). Für die Standardvertragsklauseln gilt niederländisches Recht und das zuständige Gericht ist das Bezirksgericht Amsterdam, das Verfahren in englischer Sprache vor der Kammer für internationale Handelsangelegenheiten („Niederländisches Handelsgericht“ oder „NCC-Bezirksgericht“), unter Ausschluss der Zuständigkeit anderer Gerichte führt. Eine Klage auf einstweiligen Rechtsschutz, einschließlich Schutzmaßnahmen, die nach niederländischem Recht zur Verfügung stehen, kann beim NCC-Bezirksgericht im Schnellverfahren (CSP) in englischer Sprache eingereicht werden. Berufungen gegen NCC- oder CSP-Urteile werden bei der Kammer des Berufungsgerichts Amsterdam für internationale Handelssachen („Niederländisches Handelsberufungsgericht“ oder „NCCA“) eingereicht. Es gelten die NCC-Verfahrensregeln. Klausel 7 und die optionale Formulierung von Klausel 11a der Standardvertragsklauseln finden keine Anwendung. Die Informationen für Annex IA der Standardvertragsklauseln sind in der Vereinbarung dargelegt (d. h. die Parteien). Die Informationen für Annex IB der Standardvertragsklauseln sind in Anlage 3 dargelegt.

Darüber hinaus hat SkyKick LLC die Einhaltung des Data Privacy Framework und der Grundsätze des Data Privacy Framework sowie die damit verbundenen Verpflichtungen zertifiziert. Der Kunde ermächtigt SkyKick, der zuständigen Behörde auf Anfrage eine Zusammenfassung oder eine repräsentative Kopie der relevanten Datenschutzbestimmungen dieser DPA zur Verfügung zu stellen.

8. VERSCHIEDENES.

8.1.  Verbundene Unternehmen des Kunden. Soweit SkyKick personenbezogene Daten im Namen der verbundenen Unternehmen des Kunden verarbeitet, schließt der Kunde diesen DPA im eigenen Namen und als Vertreter seiner verbundenen Unternehmen ab, Verweise auf den Kunden im Rahmen dieses DPAs schließen den Kunden und seine verbundenen Unternehmen ein; wobei der Kunde der einzige ist, der diesen DPA im eigenen Namen und im Namen seiner verbundenen Unternehmen durchsetzen kann.

8.2.  Allgemeines. Dieser DPA ist Teil der Vereinbarung. Die Bedingungen und Bestimmungen der Vereinbarung bleiben unverändert und in vollem Umfang in Kraft und wirksam. Sofern dieser DPA keine anderslautenden Angaben enthält, gelten die Geschäftsbedingungen für diesen DPA, einschließlich und ohne Einschränkung der in den Geschäftsbedingungen enthaltenen Klauseln zur Haftungsbeschränkung. Sofern dieser DPA keine anderslautenden Angaben enthält, endet dieser DPA automatisch mit Kündigung oder Ablauf der Vereinbarung. SkyKick kann diesen DPA gelegentlich gemäß Klausel 13.10 der Geschäftsbedingungen ändern, sofern und soweit das geltende Recht keine anderslautenden Vorgaben enthält. Dieser DPA unterliegt den Gesetzen, die für die Geschäftsbedingungen gelten, und wird in Übereinstimmung mit diesen Gesetzen ausgelegt. Alle Streitigkeiten, die sich aus oder in Verbindung mit diesem DPA oder mit Vereinbarungen, Dokumenten oder Instrumenten ergeben können, die gemäß diesem DPA oder zur Förderung dieses DPAs abgeschlossen wurden, werden gemäß den Geschäftsbedingungen ausschließlich dem zuständigen Gericht vorgelegt.

8.3.  Unterzeichnung. Dieser DPA wird als Teil der Geschäftsbedingungen elektronisch unterzeichnet. Dieser DPA tritt am Datum der Annahme der Geschäftsbedingungen durch den Kunden (direkt oder über den SkyKick Partner) in Kraft.

LOKALE BESTIMMUNGEN EU/EWR UND SCHWEIZ

9. Europäische Union / Europäischer Wirtschaftsraum („EWR“). Wenn der Kunde seinen Sitz in der Europäischen Union oder im Europäischen Wirtschaftsraum hat, gilt zusätzlich zu dem Rest dieses DPAs Folgendes:

9.1 Dieser DPA wird mit SkyKick B.V. geschlossen.

9.2 Personenbezogene Daten können an Unterauftragsverarbeiter außerhalb des EWR übermittelt und von diesen gespeichert und verarbeitet werden. Personenbezogene Daten, die von SkyKick an einen Unterauftragsverarbeiter außerhalb des EWR übermittelt werden, unterliegen den Standardvertragsklauseln (Modul 3; Übermittlung von Auftragsverarbeiter an Auftragsverarbeiter), die zwischen SkyKick und dem jeweiligen Unterauftragsverarbeiter abgeschlossen werden, es sei denn, der Unterauftragsverarbeiter ist in einem Land ansässig, für das die Europäische Kommission eine Angemessenheitsentscheidung getroffen hat.

9.3 Im Falle von Widersprüchen zwischen den Bedingungen von Standardvertragsklauseln bzw. anderen gemäß Datenschutzrecht vorgeschriebenen vertraglichen Vereinbarungen, die gemäß diesem DPA in Kraft sind, und Bedingungen dieses DPAs (oder anderen Bedingungen, die gelegentlich verabschiedet werden können), haben die Bedingungen der Standardvertragsklauseln bzw. der anderen gemäß Datenschutzrecht vorgeschriebenen vertraglichen Vereinbarungen Vorrang.

10. Schweiz. Sofern für die Verarbeitung personenbezogener Daten durch SkyKick schweizerisches Datenschutzrecht gilt, gilt zusätzlich zu dem übrigen DPA:

10.1 Dieser DPA wird mit SkyKick B.V. geschlossen.

10.2 Personenbezogene Daten können an Unterauftragsverarbeiter außerhalb der Schweiz übermittelt und von diesen gespeichert und verarbeitet werden. Personenbezogene Daten, die von SkyKick an einen Unterauftragsverarbeiter außerhalb der Schweiz übermittelt werden, unterliegen den Standardvertragsklauseln, die gemäß den Standardvertragsklauseln (Modul 3; Übermittlung von Auftragsverarbeiter an Auftragsverarbeiter), unter Berücksichtigung der erforderlichen Maßnahmen und vertraglichen Änderungen aus Sicht des Schweizerischen Rechts nach dem aktuellen Stand der Rechtslehre und -praxis, zwischen SkyKick und dem jeweiligen Unterauftragsverarbeiter abgeschlossen wurden, es sei denn, der Unterauftragsverarbeiter ist in einem Land ansässig, für das die Schweiz eine Angemessenheitsentscheidung getroffen hat.

10.3 Die Mitteilungsfrist für Audits gemäß Abschnitt 5 dieses DPAs wird durch eine Mitteilungsfrist von zehn (10) Geschäftstagen ersetzt. Bis zum Inkrafttreten des überarbeiteten Schweizer Datenschutzgesetzes gelten Daten von juristischen Personen ebenfalls als personenbezogene Daten im Sinne dieses DPAs.

***

Anlage 1: Definitionen

Für die Zwecke dieses DPAs haben die folgenden Begriffe die ihnen unten zugewiesene Bedeutung:

„Betroffene Person“ bezeichnet eine identifizierte oder identifizierbare natürliche Person; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Kennnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind.

„Datenschutzrecht“ bezeichnet sämtliche Sicherheits- oder Datenschutzgesetze und -vorschriften, die für die Verarbeitung personenbezogener Daten durch SkyKick im Rahmen der Vereinbarung gelten.

„ Data Privacy Framework “ bezeichnet das EU-US-Datenschutzrahmenwerk, die britische Erweiterung des EU-US-Datenschutzrahmens und das schweizerisch-US-Datenschutzrahmenwerk, wie vom US-Handelsministerium festgelegt.

„Data Privacy Framework Principles“ bezeichnet die Grundsätze, die im jeweiligen Data Privacy Framework enthalten sind.

„Geschäftsbedingungen“ bezeichnet die SkyKick-Geschäftsbedingungen für Kunden, die für die Services gelten und in denen auf dieses DPA verwiesen wird.

„Geschäftliche Kontaktdaten“ bezeichnet Informationen über Personen, die die Services im Namen des Kunden nutzen; dies kann den Namen, die E-Mail-Adresse und andere Kontaktdaten umfassen.

„Kontrolle“ im Sinne dieser Klausel bezeichnet in Bezug auf natürliche oder juristische Personen das Recht, mindestens fünfzig Prozent (50 %) der Stimmrechte an dieser natürlichen oder juristischen Person auszuüben oder ausüben zu lassen.

„Personenbezogene Daten“ bezeichnet Daten, die SkyKick über die Services im Namen des Kunden verarbeitet und die sich auf eine betroffene Person beziehen. Personenbezogene Daten umfassen keine geschäftlichen Kontaktdaten, es sei denn, das Datenschutzrecht enthält anderslautende Bestimmungen.

„Services“ bezeichnet die von oder im Namen von SkyKick gemäß der Vereinbarung bereitgestellten Services.

„SkyKick Partner“ bezeichnet den Dienstleister, von dem der Kunde die Services bezogen hat.

„Standardvertragsklauseln“ bezeichnet die gemäß Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission verabschiedeten Standardvertragsklauseln.

„Verarbeitung“ oder „Verarbeiten“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Wiederauffinden, das Abfragen, die Nutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.

„Verbundenes Unternehmen“ bezeichnet in Bezug auf juristische Personen andere juristische Personen, die direkt oder indirekt diese juristische Person kontrollieren, von ihr kontrolliert werden oder mit ihr unter gemeinsamer Kontrolle stehen.

„Vereinbarung“ hat die diesem Begriff in den Geschäftsbedingungen zugewiesene Bedeutung.

„Datenschutzverletzung“ bezeichnet (i) eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf personenbezogene Daten führt, oder (ii) eine Datenschutzverletzung oder ein ähnliches Ereignis im Sinne des einschlägigen Datenschutzgesetzes.

 

 ***

Anlage 2  – Data Pro Datenschutzerklärung

Zusammen mit dem DPA und seinen Anhängen stellt diese Data Pro Datenschutzerklärung den DPA für die Produkte oder Dienstleistungen dar, die vom Unternehmen bereitgestellt werden, das diese Datenschutzerklärung für Kunden außerhalb der Vereinigten Staaten von Amerika erstellt hat.

Allgemeine Informationen

1. Auftragsverarbeiter

Diese Data Pro Datenschutzerklärung wurde von dem folgenden Auftragsverarbeiter erstellt:

SkyKick B.V. („SkyKick“)

James Wattstraat 100

1097 DM Amsterdam

Niederlande

Wenn Sie Fragen zu dieser Data Pro Datenschutzerklärung oder zum Datenschutz im Allgemeinen haben, wenden Sie sich bitte an:

Gerard Doeswijk

Globaler Datenschutzbeauftragter

DataPrivacy@SkyKick.com

2. Datum des Inkrafttretens

Die Data Pro Datenschutzerklärung tritt am 5. November 2020 in Kraft.

Wir überarbeiten unsere in dieser Datenschutzerklärung beschriebenen Sicherheitsmaßnahmen regelmäßig, um sicherzustellen, dass wir in Bezug auf den Datenschutz immer bestens vorbereitet und auf dem neuesten Stand sind. Wenn dieses Dokument aktualisiert wird, informieren wir Sie über unsere regulären Kanäle über die überarbeiteten Versionen.

3. Anwendbarkeit

Diese Datenschutzerklärung gilt für die folgenden von SkyKick bereitgestellten Produkte und Dienstleistungen: Die gesamte SkyKick Platform, einschließlich SkyKick Migration Suites, SkyKick Cloud Backup für Office 365 und SkyKick Cloud Manager.

4. SkyKick Product Descriptions

4.1 SkyKick Migration Suites

Mit der SkyKick Cloud-Migration können Wiederverkäufer Kunden bei Cloud-Migrationsprojekten unterstützen – vom Vorverkauf bis hin zum Projektabschluss. Weitere Produktinformationen finden Sie hier:

https://www.skykick.com/migrate/

4.2 SkyKick Cloud Backup

Mit der Cloud-Backup-Lösung von SkyKick können Kunden ihre Daten vor Ransomware und anderen bösartigen und unvorhergesehenen Ereignissen schützen, die zu Datenverlust oder Datenbeschädigung führen. Weitere Produktinformationen finden Sie hier:

https://www.skykick.com/office-365-backup/

4.3 Beschreibung von SkyKick Cloud Manager

Die Cloud-Management-Produkt-Cloud von SkyKick ermöglicht eine nahtlose Verwaltung von Services in Kunden-, SaaS- und sogar hybriden Umgebungen. Durch Automatisierung können Kunden ihre Helpdesk-Leistung verbessern und die Sicherheit und den Datenschutz stärken. Weitere Produktinformationen finden Sie hier:

https://www.skykick.com/cloud-management/

5. Verwendungszweck der SkyKick Services

Die SkyKick Plattform wurde entwickelt und gebaut, um die Datentypen gemäß der in Anlage 3 – Umfang der Verarbeitung – enthaltenen Beschreibung zu verarbeiten. Bei der Entwicklung der Services wurde die Möglichkeit, dass sie zur Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten oder zur Verarbeitung der von der Regierung ausgegebenen Personennummern verwendet werden würden, nicht berücksichtigt. Es liegt im Ermessen des Kunden, ob er die SkyKick Services zur Verarbeitung solcher Daten nutzt.

6. Verarbeitung von Daten außerhalb der EU/des EWR.

SkyKick hat sichergestellt, dass die personenbezogenen Daten in angemessener Weise geschützt werden, da personenbezogene Daten, die von SkyKick an einen Unterauftragsverarbeiter außerhalb des EWR, des Vereinigten Königreichs und der Schweiz übermittelt werden, den Standardvertragsklauseln Modul 3 (Übermittlung von Auftragsverarbeiter an Auftragsverarbeiter) unterliegen, die zwischen SkyKick und dem jeweiligen Unterauftragsverarbeiter abgeschlossen wurden.

Im Rahmen seiner Verpflichtung zur Einhaltung der DSGVO, der britischen DSGVO und des schweizerischen Datenschutzrechts kann SkyKick – beim Abschluss einer Geheimhaltungsvereinbarung mit dem Kunden – zusätzliche Details zu den zusätzlichen Sicherheitsvorkehrungen bereitstellen, die es zur Ergänzung der Standardvertragsklauseln getroffen hat.

7. Einsatz von Unterauftragsverarbeitern:

Alle aktuellen Unterauftragsverarbeiter von SkyKick sind in Anlage 3 – Umfang der Verarbeitung, Abschnitt 3 aufgeführt.

8. Unterstützung bei Anfragen von betroffenen Personen:

SkyKick unterstützt seine Kunden bei der Reaktion auf Anfragen von betroffenen Personen, wie in Abschnitt 4.1 des DPAs beschrieben

9. Unterstützung bei Datenschutz-Folgenabschätzungen (DPIA)

SkyKick unterstützt seine Kunden bei Datenschutz-Folgenabschätzungen (Data Privacy Impact Assessments, DPIA), wie in Abschnitt 4.2 des DPAs beschrieben

10. Löschung von Daten

Nach Ablauf oder Kündigung der Vereinbarung mit einem Kunden aus beliebigem Grund löscht SkyKick personenbezogene Daten, die SkyKick im Namen des Kunden verarbeitet, und zwar auf eine Weise, dass diese Daten nicht mehr verwendet werden können und nicht mehr zugänglich sind und wie in Abschnitt 3 des DPAs näher beschrieben.

Weitere Einzelheiten zur Löschung von Daten und zur Automatisierung können auf Anfrage über unseren globalen Datenschutzbeauftragten (Kontaktdaten siehe oben) bereitgestellt werden.

11. Datenexporte

Nach Beendigung einer Vereinbarung mit einem Kunden kann SkyKick auf Wunsch eines Kunden die von SkyKick verarbeiteten personenbezogenen Daten, wie in Abschnitt 3 des DPAs näher beschrieben, zurückgeben.

Sicherheitsrichtlinie

SkyKick hat die in Anlage 4 – Technische und organisatorische Sicherheitsmaßnahmen – beschriebenen Sicherheitsmaßnahmen implementiert. Und SkyKick hält sich an die Kernprinzipien der folgenden Rahmenwerke in Bezug auf die Wartung seines Integriertes Managementsystem (IMS):

• ISO 27001
• ISO 27701
• Microsoft Security Development Lifecycle
• Cloud Security Alliance CAIQ V4

SkyKick verfügt über folgende Zertifikate

• Data Pro Zertifikat
• ISO 27001:2013
• ISO 27701:2019
• Cloud Security Alliance Trusted Cloud Provider

Protokoll für Datenlecks

Für den unglücklichen Fall, dass doch etwas schief geht, muss SkyKick das Protokoll für Datenschutzverletzungen befolgen, wie in Abschnitt 4.3 des DPA beschrieben. Wenn der Kunde seinen Sitz in Australien hat, gilt Abschnitt 9 zusätzlich zu Abschnitt 4.3.

***

Anlage 3 – Umfang der Verarbeitung

1. Gegenstand und Dauer der Verarbeitung

SkyKick B.V. verarbeitet personenbezogene Daten für den in der Vereinbarung angegebenen Gegenstand und bis zur Kündigung oder dem Zeitablauf der Vereinbarung, sofern die Parteien keine anderslautende schriftliche Vereinbarung treffen. Insbesondere wird der Gegenstand durch die Services bestimmt, die der Kunde abonniert.

2. Art und Zweck der Verarbeitung

Die Art der Verarbeitung ist die Cloud-Migration, Cloud-Speicherung und das Cloud-Management. Eine detailliertere Beschreibung der Art und der Zwecke der Services kann auf Anfrage in Übereinstimmung mit geltendem Recht und der Vereinbarung zur Verfügung gestellt werden.

3. Verarbeitung personenbezogener Daten durch den Unterauftragnehmer

Die folgende Tabelle enthält eine Zusammenfassung der Datenkategorien und Speicherorte für die aktuellen Unterauftragsverarbeiter von SkyKick B.V. und ihre jeweiligen Verarbeitungstätigkeiten.

Unterauftragsverarbeiter	Umfang und Zweck der Verarbeitung	Kategorien personenbezogener Daten	Verarbeitungs- (und Speicher)orte (z. B. Land/Staat)
SkyKick LLC (200 West Thomas Street, Seattle, WA98119 USA)	Bereitstellung von (technischem) Support	Personenbezogene Daten, wie in Abschnitt 4 unten beschrieben	Vereinigte Staaten

The duration of processing is the term of the distribution and services agreement between SkyKick B.V. and SkyKick LLC. The subject matter and nature of the processing is access to Personal Data for support services under the distribution and services agreement between SkyKick B.V. and SkyKick LLC.

4. Arten personenbezogener Daten

Zu den Kategorien personenbezogener Daten, die im Rahmen dieses DPAs verarbeitet werden, gehören die folgenden Kategorien von Daten: Namen, E-Mail-Adressen und andere Kontaktdaten sowie personenbezogene Daten, die im Inhalt von E-Mails enthalten sein können. Insbesondere:

	Migrations	Backup	Manager
Administratorkonten [1]
Benutzername	√
Kennwort	√ [2]
Benutzerkonten
Benutzername	√	√	√
Kennwort	√ [3]
E-Mail-Adresse	√	√	√
Vorname	√	√	√
Nachname	√	√	√
Stellenbezeichnung	√	√	√
Geschäftliche Telefonnummer	√	√	√
Mitarbeiternummer			√
Abteilung			√
Standort			√
Zugangsdaten des DNS-Registrars
Benutzername	√
Kennwort	√
[1] Für SkyKick Cloud Backup & Cloud Manager wird die Multi-Faktor-Authentifizierung verwendet, es werden keine Benutzernamen oder Passwörter gespeichert und der Zugang zu dem zugrunde liegenden SAAS-Dienst wird basierend auf einem Authentifizierungstoken gewährt.
[2] SkyKick empfiehlt für Migrationen die Verwendung eines temporären Administratorkontos, das nach Abschluss der Migration deaktiviert werden sollte.
[3] Kann angewendet werden, um Zugang zur Quelle für die Migration zu erhalten, wenn dieser Zugang nicht über das Administratorkonto erhalten werden kann. SkyKick empfiehlt in allen Fällen das Zurücksetzen des Kennworts in der Zielumgebung nach Abschluss einer Migration und bietet eine Automatisierung an, um dies zu unterstützen.

5. Kategorien der betroffenen Personen

Die Kategorien der betroffenen Personen sind Mitarbeiter, Auftragnehmer und Geschäftspartner des Kunden sowie andere Personen, deren personenbezogene Daten in den Kundendaten enthalten sind. Wenn der Kunde in Südafrika ansässig ist, sind auch juristische Personen eingeschlossen.

6. Die Häufigkeit der Verarbeitung (z. B., ob die Daten einmalig oder kontinuierlich verarbeitet werden).

Die Häufigkeit der Verarbeitung erfolgt auf kontinuierlicher Basis.

***

Anlage 4 – Technische und organisatorische Sicherheitsmaßnahmen

SkyKick verfügt über verschiedene technische und organisatorische Sicherheitsmaßnahmen zur Sicherung, Pflege und zum Schutz personenbezogener Daten. Die in diesem DPA enthaltenen Sicherheitsverpflichtungen liegen in der alleinigen Verantwortung von SkyKick in Bezug auf die Sicherheit dieser Daten.

Domäne	Praktiken
Organisation der Informationssicherheit	Sicherheitsverantwortung. SkyKick hat ein Datenschutzteam ernannt, das für die Koordination, die Überwachung und die regelmäßige Prüfung aller Regeln und Verfahren verantwortlich ist. Sicherheitsrollen und -verantwortlichkeiten. Mitarbeiter von SkyKick mit Zugang zu personenbezogenen Daten unterliegen Vertraulichkeitsverpflichtungen. Risikomanagement-Programm. SkyKick hat vor der Verarbeitung personenbezogener Daten über seine Services eine Risikobewertung durchgeführt und bewahrt die zugehörigen Dokumente gemäß den geltenden Aufbewahrungsvorschriften auf.
Vermögensverwaltung	Bestandsaufnahme von Vermögenswerten. SkyKick führt ein Inventar aller Medien, auf denen personenbezogene Daten gespeichert sind. Der Zugang auf die Inventare solcher Medien ist auf SkyKick-Mitarbeiter beschränkt, die über eine entsprechende Zugangsbefugnis verfügen. Umgang mit Vermögenswerten SkyKick klassifiziert personenbezogene Daten, um sie zu identifizieren und den Zugriff auf personenbezogene Daten angemessen einzuschränken. SkyKick definiert Einschränkungen hinsichtlich des Ausdruckens personenbezogener Daten und verfügt über Verfahren zur Entsorgung von gedruckten Materialien, die Kundendaten enthalten. Mitarbeiter von SkyKick müssen die Genehmigung von SkyKick einholen, bevor sie personenbezogene Daten auf tragbaren Geräten speichern, per Fernzugriff Kundendaten abrufen oder personenbezogene Daten außerhalb der Einrichtungen von SkyKick verarbeiten.
Personalsicherheit	Sicherheitsschulung. SkyKick informiert seine Mitarbeiter über relevante Sicherheitsverfahren und ihre jeweiligen Rollen. SkyKick informiert seine Mitarbeiter außerdem über mögliche Folgen einer Verletzung der Sicherheitsregeln und -verfahren. SkyKick verwendet in Schulungen nur anonyme Daten.
Physikalische Sicherheit und Umweltsicherheit	Physischer Zugang zu Einrichtungen. SkyKick beschränkt den Zugang zu Einrichtungen, in denen sich Informationssysteme zur Verarbeitung personenbezogener Daten befinden, , auf bestimmte autorisierte Mitarbeiter. Physischer Zugang zu Komponenten. SkyKick führt gegebenenfalls Aufzeichnungen über die ein- und ausgehenden Medien, die Kundendaten enthalten, einschließlich der Art der Medien, des autorisierten Absenders/Empfängers, des Datums und der Uhrzeit, der Anzahl der Medien und der Arten der darin enthaltenen personenbezogener Daten. Schutz vor Störungen. SkyKick verwendet eine Vielzahl von Industriestandardsystemen zum Schutzvor Datenverlusten aufgrund von Stromausfällen oder Netzstörungen. Entsorgung von Komponenten. SkyKick setzt branchenübliche Prozesse ein, um personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden.
Kommunikations- und Betriebsmanagement	Betriebliche Richtlinie. SkyKick pflegt Sicherheitsdokumente, in denen die Sicherheitsmaßnahmen von SkyKick und die relevanten Verfahren und Verantwortlichkeiten seiner Mitarbeiter, die Zugriff auf Kundendaten haben, beschrieben sind. Verfahren zur Datenwiederherstellung SkyKick bewahrt fortlaufend Kopien personenbezogener Daten auf, mit deren Hilfe personenbezogene Daten wiederhergestellt werden können. SkyKick speichert Kopien personenbezogener Daten und Datenwiederherstellungsverfahren an einem anderen Ort als dem, an dem die personenbezogenen Daten verarbeitet werden. SkyKick verfügt über Verfahren, die den Zugriff auf Kopien von Kundendaten regeln. SkyKick überprüft seine Datenwiederherstellungsverfahren mindestens einmal jährlich. SkyKick protokolliert Datenwiederherstellungsbemühungen, einschließlich der verantwortlichen Person, der Beschreibung der wiederhergestellten Daten und gegebenenfalls der verantwortlichen Person. Schädliche Software. SkyKick verfügt über Anti-Malware-Kontrollen, die schädliche Software vermeiden sollen, einschließlich schädlicher Software, die aus öffentlichen Netzwerken stammt und mit der der unbefugte Zugriff auf Kundendaten erfolgt. Grenzüberschreitende Daten SkyKick verschlüsselt personenbezogene Daten, die über öffentliche Netzwerke übertragen werden, oder ermöglicht dem Kunden eine solche Verschlüsselung. SkyKick beschränkt den Zugang zu personenbezogenen Daten in Medien, die seine Einrichtungen verlassen. Ereignisprotokollierung. SkyKick protokolliert den Zugriff auf und die Nutzung von Informationssystemen, die Kundendaten enthalten, wobei die Benutzer-ID, die Zeit, die gewährte oder verweigerte Autorisierung und die relevante Aktivität seiner Mitarbeiter registriert werden.
Zugangskontrolle	Zugangsrichtlinie. SkyKick führt ein Verzeichnis über die Sicherheitsprivilegien von Mitarbeitern, die Zugang zu Kundendaten haben. Zugangsberechtigung SkyKick führt und aktualisiert Aufzeichnungen zu Mitarbeitern, die befugt sind, auf SkyKick-Systeme zuzugreifen, die Kundendaten enthalten. SkyKick deaktiviert Authentifizierungsdaten, die länger als sechs Monate nicht mehr verwendet wurden. SkyKick identifiziert die Mitarbeiter, die autorisierten Zugang zu Daten und Ressourcen gewähren, ändern oder löschen können. Wenn mehr als eine Person Zugriff auf Systeme hat, die Kundendaten enthalten, stellt SkyKick sicher, dass die Mitarbeiter über separate Benutzerkennungen und Anmeldedaten verfügen. Geringste Rechte Mitarbeiter von SkyKick dürfen nur dann auf personenbezogene Daten zugreifen, wenn dies erforderlich ist. SkyKick beschränkt den Zugriff auf personenbezogene Daten auf Mitarbeiter, die einen solchen Zugriff benötigen, um ihre Arbeitsfunktion auszuführen. Integrität und Vertraulichkeit SkyKick weist seine Mitarbeiter an, administrative Sitzungen zu deaktivieren, wenn sie die von SkyKick kontrollierten Räumlichkeiten verlassen oder wenn Computer anderweitig unbeaufsichtigt gelassen werden. SkyKick speichert Passwörter so, die sie, während ihrer Gültigkeit, unverständlich sind. Authentifizierung SkyKick setzt branchenübliche Praktiken ein, um Benutzer zu identifizieren und zu authentifizieren, die versuchen, auf Informationssysteme zuzugreifen. Wenn Authentifizierungsmechanismen ausschließlich auf Kennwörtern basieren, verlangt SkyKick, dass die Passwörter regelmäßig erneuert werden. Wenn Authentifizierungsmechanismen ausschließlich auf Kennwörtern basieren, verlangt SkyKick, dass das Kennwort mindestens acht Zeichen umfasst. SkyKick stellt sicher, dass deaktivierte oder abgelaufene Kennungen nicht an andere Mitarbeiter vergeben werden. SkyKick überwacht wiederholte Versuche, mit einem ungültigen Kennwort auf das Informationssystem zuzugreifen. SkyKick unterhält branchenübliche Verfahren zur Deaktivierung von Passwörtern, deren Sicherheit beeinträchtigt oder die versehentlich offengelegt wurden. SkyKick setzt branchenübliche Praktiken zum Kennwortschutz ein, einschließlich Praktiken, mit denen die Vertraulichkeit und Integrität von Passwörtern bei ihrer Zuweisung und Verbreitung sowie während der Speicherung gewahrt werden soll. Netzwerk-Design. SkyKick verfügt über Kontrollen, um zu vermeiden, dass Mitarbeiter Zugangsrechte annehmen, die ihnen nicht zugewiesen wurden, um Zugang zu personenbezogenen Daten zu erhalten, für die sie über keine Zugangsberechtigung verfügen.
Management von Informationssicherheitsvorfällen	Prozess zur Reaktion auf Vorfälle SkyKick führt Aufzeichnungen über Sicherheitsvorfälle mit einer Beschreibung des Vorfalls, dem Zeitraum, seinen Folgen, dem Namen der meldenden Person und der Person, der der Vorfall gemeldet wurde, sowie dem Verfahren zur Wiederherstellung nach einem Vorfall. Für jeden Vorfall in Bezug auf Kundendaten erfolgt die Benachrichtigung durch SkyKick unverzüglich und in jedem Fall innerhalb von 72 Stunden. SkyKick verfolgt die Weitergabe von Kundendaten, einschließlich, welche Daten offengelegt wurden, an wen und zu welchem Zeitpunkt sie offengelegt wurden. Service-Überwachung. Das Sicherheitspersonal von SkyKick überprüft die Protokolle mindestens alle sechs Monate, um bei Bedarf Abhilfemaßnahmen vorzuschlagen.
Management der Geschäftskontinuität	SkyKick verfügt über Notfallpläne für die Einrichtungen, in denen sich Informationssysteme von SkyKick befinden, die personenbezogene Daten verarbeiten. Durch die redundante Speicherung durch SkyKick und durch die Verfahren von SkyKick zur Wiederherstellung von Daten soll versucht werden, personenbezogene Daten in ihrem ursprünglichen oder zuletzt nachgebildeten Zustand vor ihrem Verlust oder ihrer Vernichtung zu rekonstruieren.

***