Der Datenverarbeitungszusatz ("DVZ") ist Bestandteil der Nutzungsbedingungen von IDrive Inc. oder anderer elektronischer Vereinbarungen oder gegenseitig unterzeichneter Verträge zwischen RemotePC und dem Kunden ("Sie" und "Ihr"), die für die Nutzung der RemotePC-Dienste durch den Kunden gelten (die "Vereinbarung"), und spiegelt die Vereinbarung der Parteien bezüglich der Verarbeitung personenbezogener Kundendaten wider. Großgeschriebene Begriffe, die in diesem DVZ verwendet, aber nicht definiert werden, haben die in der Vereinbarung festgelegten Bedeutungen.
1. Zweck und Geltungsbereich
Im Rahmen der Bereitstellung des RemotePC-Dienstes für den Kunden gemäß der Vereinbarung wird RemotePC Kundendaten in Ihrem Auftrag verarbeiten. Kundendaten können personenbezogene Daten enthalten. Dieser DVZ spiegelt die Vereinbarung der Parteien bezüglich der Verarbeitung von Kundendaten gemäß den Anforderungen der Datenschutzgesetze und -vorschriften wider. Im Falle eines Konflikts mit der Vereinbarung hat dieser DVZ Vorrang.
2. Definitionen
"Verantwortlicher" bezeichnet die Einheit, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
"Auftragsverarbeiter" bezeichnet die Einheit, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
"Datenschutzgesetze und -vorschriften" bezeichnet alle anwendbaren Datenschutzgesetze und -vorschriften, die auf die Verarbeitung personenbezogener Daten gemäß der Vereinbarung anwendbar sind, einschließlich der geltenden Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten sowie der Schweiz.
"Betroffene Person" bezeichnet die Person, auf die sich die personenbezogenen Daten beziehen.
"Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierbare oder identifizierte Person beziehen.
"Verarbeitung", "Verarbeitet" oder "Verarbeiten" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren an personenbezogenen Daten durchgeführt werden, wie Erhebung, Erfassung, Organisation, Speicherung, Anpassung, Veränderung, Abruf, Abfrage, Verwendung, Offenlegung, Verbreitung, Löschung oder Vernichtung.
"Unterauftragsverarbeiter" bezeichnet die verbundenen Unternehmen von RemotePC oder andere Drittanbieter-Serviceprovider, die Kundendaten für RemotePC verarbeiten.
3. Verarbeitung von Kundendaten
Rollen bei der Datenverarbeitung. Die Parteien erkennen an und stimmen zu, dass im Hinblick auf die Verarbeitung von Kundendaten gemäß den Datenschutzgesetzen und -vorschriften und diesem DVZ der Kunde der Verantwortliche und RemotePC der Auftragsverarbeiter ist. Jede Partei erfüllt die ihr obliegenden Verpflichtungen gemäß den Datenschutzgesetzen und -vorschriften im Hinblick auf die Verarbeitung personenbezogener Kundendaten. RemotePC hat keine Kenntnis von und keine Kontrolle über die personenbezogenen Daten, die Sie zur Verarbeitung bereitstellen. Sie sind allein verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und die Mittel, durch die Sie die Kundendaten erworben haben.
Anweisungen zur Datenverarbeitung. Dieser DVZ und die Vereinbarung sind Ihre vollständigen und endgültigen Anweisungen an RemotePC für die Verarbeitung von Kundendaten. Sie und RemotePC müssen sich auf zusätzliche oder alternative Anweisungen einigen. RemotePC wird Sie informieren, wenn nach Ansicht von RemotePC Ihre Anweisungen gegen Datenschutzgesetze und -vorschriften verstoßen. RemotePC wird Kundendaten verarbeiten: (1) gemäß der Vereinbarung (einschließlich aller in die Vereinbarung einbezogenen Dokumente) und (2) um anderen angemessenen Anweisungen zu entsprechen, die Sie RemotePC geben (auch per E-Mail), sofern Ihre Anweisungen mit der Vereinbarung übereinstimmen. RemotePC wird Kundendaten nicht anderweitig an Dritte weitergeben, es sei denn, dies ist nach geltendem Recht erforderlich. In diesem Fall wird RemotePC Sie im Voraus informieren, es sei denn, RemotePC ist daran gehindert. RemotePC wird Kundendaten nicht für andere Zwecke verarbeiten, es sei denn, Sie weisen RemotePC an.
Umfang und Dauer der Verarbeitung. RemotePC wird personenbezogene Kundendaten verarbeiten, soweit dies zur Erbringung des RemotePC-Dienstes gemäß der Vereinbarung und in Übereinstimmung mit diesem DVZ erforderlich ist. Die Arten personenbezogener Kundendaten und Kategorien betroffener Personen, die im Rahmen dieses DVZ verarbeitet werden können, sind in Anlage 1 ("Verarbeitungsumfang") festgelegt. RemotePC wird personenbezogene Kundendaten für die Laufzeit der Vereinbarung verarbeiten, sofern die Parteien nicht schriftlich etwas anderes vereinbaren.
4. Rechte betroffener Personen
Zugang, Berichtigung, Einschränkung und Löschung. RemotePC wird dem Kunden ermöglichen, auf personenbezogene Kundendaten zuzugreifen, sie zu berichtigen, ihre Verarbeitung einzuschränken und sie zu löschen, soweit dies mit der Funktionalität des RemotePC-Dienstes vereinbar ist.
Anfragen betroffener Personen. Wenn RemotePC eine Anfrage einer betroffenen Person in Bezug auf personenbezogene Kundendaten erhält, wird RemotePC, soweit rechtlich zulässig, die betroffene Person darauf hinweisen, ihre Anfrage beim Kunden einzureichen, und der Kunde ist für die Beantwortung solcher Anfragen verantwortlich. Wenn Sie nicht in der Lage sind, auf personenbezogene Kundendaten zuzugreifen, sie zu berichtigen, einzuschränken oder zu löschen, wie von den Datenschutzgesetzen und -vorschriften gefordert, können Sie RemotePC schriftliche Anweisungen erteilen, in Ihrem Namen zu handeln. RemotePC wird Ihren Anweisungen folgen, soweit diese technisch durchführbar und rechtlich zulässig sind. Sie tragen die Kosten von RemotePC für diese Unterstützung.
Zusammenarbeit und Unterstützung. RemotePC wird Sie dabei unterstützen, auf Anfragen, Beschwerden, Hinweise oder Mitteilungen zu reagieren, die Sie erhalten und die die Verarbeitung von Kundendaten durch RemotePC betreffen. RemotePC wird Sie auch bei Ihren angemessenen Informationsanfragen zur Bestätigung der Compliance mit diesem DVZ oder zur Durchführung einer Datenschutz-Folgenabschätzung unterstützen. Sie tragen die Kosten von RemotePC für die Unterstützung, wenn diese die im Rahmen der Vereinbarung erbrachten Leistungen übersteigt.
5. Datensicherheit und Vertraulichkeit
Sicherheitsmaßnahmen. RemotePC unterhält angemessene administrative, technische und organisatorische Schutzmaßnahmen, um Kundendaten vor unbefugter oder rechtswidriger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen. Wie in Anlage 2 beschrieben, umfassen die Sicherheitsmaßnahmen Maßnahmen zur dauerhaften Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste von RemotePC sowie zur regelmäßigen Prüfung und Wirksamkeit der Kontrollen.
RemotePC-Personal. RemotePC stellt sicher, dass der Zugang zu Kundendaten auf diejenigen Mitarbeiter beschränkt ist, die Zugang benötigen, um Kundendaten gemäß der Vereinbarung zu verarbeiten. RemotePC informiert seine Mitarbeiter, die an der Verarbeitung von Kundendaten beteiligt sind, über die vertrauliche Natur dieser Kundendaten. RemotePC wird geeignete Maßnahmen ergreifen, um die Einhaltung der Sicherheitsmaßnahmen durch seine Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter sicherzustellen, einschließlich der Sicherstellung, dass alle zur Verarbeitung von Kundendaten autorisierten Personen einer angemessenen Vertraulichkeitsverpflichtung zugestimmt haben.
6. Unterauftragsverarbeiter
Genehmigung und Verpflichtungen. Sie ermächtigen RemotePC ausdrücklich, Unterauftragsverarbeiter einzusetzen, um spezifische Dienste im Auftrag von RemotePC zu erbringen, damit RemotePC seine Verpflichtungen gemäß der Vereinbarung und diesem DVZ erfüllen kann. RemotePC hat schriftliche Vereinbarungen mit seinen Unterauftragsverarbeitern, die Verpflichtungen enthalten, die den Verpflichtungen von RemotePC aus diesem DVZ im Wesentlichen ähnlich sind. RemotePC bleibt verantwortlich für die Einhaltung der Verpflichtungen aus diesem DVZ. Die aktuellen Unterauftragsverarbeiter von RemotePC einschließlich ihres Standorts und ihrer Dienste sind aufgeführt unter: http://www.remotepc.com/authorized-sub-processor. RemotePC wird Änderungen an seinen Unterauftragsverarbeitern weiterhin auf dieser Website veröffentlichen.
Benachrichtigung und Einspruch. Sie haben das Recht, der Nutzung eines neuen Unterauftragsverarbeiters durch RemotePC nach angemessener Prüfung zu widersprechen, indem Sie RemotePC innerhalb von 10 Werktagen nach der Veröffentlichung der Bekanntmachung eines neuen Unterauftragsverarbeiters durch RemotePC schriftlich benachrichtigen. In diesem Fall wird RemotePC angemessene Bemühungen unternehmen, die betroffene Software oder den Cloud-Dienst zu ändern, oder eine wirtschaftlich vertretbare Änderung Ihrer Konfiguration oder Nutzung empfehlen, um die Verarbeitung von Kundendaten durch den neuen Unterauftragsverarbeiter zu vermeiden. Wenn RemotePC nicht in der Lage ist, eine solche Änderung innerhalb eines angemessenen Zeitraums von höchstens 60 Tagen vorzunehmen oder zu empfehlen, können Sie nur die Abonnementlaufzeit für die Software und den Cloud-Dienst kündigen, den RemotePC ohne den neuen Unterauftragsverarbeiter nicht bereitstellen kann. Sie müssen RemotePC gemäß der Vereinbarung schriftlich über die Kündigung informieren.
7. Prüfung und Berichte
Berichte. RemotePC nutzt externe Prüfer, um seine Sicherheitsmaßnahmen für verschiedene Sicherheits- und Compliance-Kontrollstandards und -zertifizierungen zu überprüfen. RemotePC hat die erforderlichen Prüfungen abgeschlossen und kann auf schriftliche Anfrage des Kunden unterstützende Dokumentation vorlegen, die belegt, dass die durch SSAE 16 definierten Standards erfüllt werden.
Prüfungsrechte. RemotePC stellt Ihnen zusätzliche Informationen bereit, die über die im Bericht genannten hinausgehen, und ermöglicht und trägt zu Prüfungen, einschließlich Inspektionen, bei, die vernünftigerweise zur Demonstration der Compliance mit den Datenschutzgesetzen und -vorschriften erforderlich sind. Sie erstatten RemotePC alle Kosten, die für eine Prüfung oder Inspektion anfallen, zu den dann aktuellen professionellen Dienstleistungssätzen von RemotePC. RemotePC stellt Ihnen diese Sätze auf Anfrage zur Verfügung. Sie und RemotePC einigen sich im Voraus auf Zeitplan, Umfang, Dauer und Erstattungssätze für jede Prüfung oder Inspektion. Der Kunde benachrichtigt RemotePC unverzüglich mit Informationen über etwaige Nichteinhaltungen, die im Verlauf der Prüfung entdeckt wurden.
8. Vorfallmanagement und Benachrichtigung.
RemotePC wird Sie unverzüglich nach Bekanntwerden eines Verstoßes gegen Ihre Kundendaten benachrichtigen. Soweit bekannt, enthält die Benachrichtigung (i) eine Beschreibung der Art des Verstoßes gegen personenbezogene Daten; (ii) die Maßnahmen, die RemotePC zur Behebung des Verstoßes ergreift, soweit diese Maßnahmen im vernünftigen Ermessen von RemotePC liegen, einschließlich Maßnahmen zur Abschwächung möglicher nachteiliger Auswirkungen.
9. Rückgabe und Löschung von Kundendaten
Der RemotePC-Dienst bietet dem Kunden Kontrollen, die es ihm ermöglichen, Kundendaten jederzeit vor Ablauf einer Abonnementlaufzeit abzurufen. Nach Ablauf Ihrer Abonnementlaufzeit löscht RemotePC Ihre Kundendaten gemäß der Vereinbarung.
10. Datenschutz-Framework-Programm und Schweiz-US-Datenschutz-Framework
RemotePC richtet sich nach dem EU-US-Datenschutz-Framework und dem Schweiz-US-Privacy-Shield-Framework.
Das EU-US-Datenschutz-Framework (EU-US DPF), die UK-Erweiterung zum EU-US-Datenschutz-Framework (UK-Erweiterung zum EU-US DPF) und das Schweiz-US-Datenschutz-Framework (Schweiz-US DPF) wurden eingerichtet, um den transatlantischen Handel zu erleichtern. Diese Frameworks bieten US-Organisationen zuverlässige Mechanismen für den Transfer personenbezogener Daten aus der Europäischen Union / dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich (einschließlich Gibraltar) und der Schweiz in die Vereinigten Staaten und gewährleisten die Übereinstimmung mit dem EU-, UK- und Schweizer Recht.
RemotePC richtet sich nach dem EU-US-Datenschutz-Framework und dem Schweiz-US-Privacy-Shield-Framework, das vom US-Handelsministerium hinsichtlich der Erhebung, Nutzung und Aufbewahrung personenbezogener Informationen, die aus der Europäischen Union und der Schweiz in die Vereinigten Staaten übertragen werden, eingerichtet wurde. RemotePC hat dem Handelsministerium bescheinigt, dass es die Privacy-Shield-Grundsätze einhält.
Wenn RemotePC feststellt, dass es diese Verpflichtungen nicht mehr erfüllen kann, wird RemotePC Sie unverzüglich benachrichtigen und die Verarbeitung Ihrer personenbezogenen Daten einstellen oder angemessene und geeignete Maßnahmen ergreifen, um dies zu beheben.