Datenverarbeitungsvereinbarung

Diese Datenverarbeitungsvereinbarung (diese „DPA“) wird zwischen Simplenet Hosting SRL („Simplenet“, „wir“) und dem Kunden („Kunde“, „Sie“) geschlossen, zusammen als „die Parteien“ bezeichnet. Diese Vereinbarung („DPA“) ist Teil der Nutzungsbedingungen, der Datenschutzrichtlinie und anderer relevanter Richtlinien, die hier .

Der Kunde, der diesen Bedingungen zustimmt, schließt diese DPA in eigenem Namen ab, soweit dies gemäß den geltenden Datenschutzbestimmungen und -gesetzen erforderlich ist und Simplenet Kundendaten gemäß den Anweisungen des Verantwortlichen (wie in Abschnitt 1 definiert) verarbeitet. 

Im Zuge der Bereitstellung der Dienste für den Kunden kann Simplenet Kundendaten im Namen des Kunden verarbeiten. Die Parteien verpflichten sich, die folgenden Bestimmungen in Bezug auf alle Kundendaten einzuhalten und dabei angemessen und nach Treu und Glauben zu handeln. 

1. Definitionen. 

Sofern in dieser DPA nicht anders definiert, haben alle großgeschriebenen Begriffe die unten aufgeführte Bedeutung:

„Vereinbarung“ bezeichnet die Nutzungsbedingungen und andere relevante Richtlinien, die auf unserer Website bekannt gegeben werden, zusammen mit Ihrer Bestellung für den Kauf von Diensten und der von Simplenet gesendeten Bestellbestätigung.

„Bestellung“ bezeichnet die Bestellung eines Kunden zum Kauf der jeweiligen Dienstleistungen. 

„Website“ bezeichnet die Simplenet-Website und alle Dienste, die wir über unsere Website anbieten.

„Dienste“ bezeichnet alle von uns angebotenen und vom Kunden erworbenen Hosting-Dienste, die die Verarbeitung personenbezogener Daten durch Simplenet beinhalten könnten.

„Partner“ bezeichnet jedes Unternehmen, das direkt oder indirekt das Simplenet-Subjektunternehmen kontrolliert, von diesem kontrolliert wird oder unter gemeinsamer Kontrolle mit diesem steht. „Kontrolle“ im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder Kontrolle von mehr als 50 % der Stimmrechtsanteile des betreffenden Unternehmens.

„Zusätzliche Produkte“ bezeichnet alle Funktionen, Produkte, Software, Programme, Add-ons, Plugins, Skripte, Tools oder andere Software oder Inhalte Dritter, die nicht Teil der Dienste sind, aber möglicherweise über die Simplenet-Benutzeroberfläche oder das Control zugänglich sind Panel, das vom Kunden oder auf andere Weise für die Nutzung der Dienste installiert wird.

„DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung von Kundendaten und zum freien Datenverkehr. und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

„Verantwortlicher“ ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von Kundendaten entscheidet;  

„Kundendaten“ bezeichnet alle „personenbezogenen Daten“, die Simplenet durch oder im Namen des Kunden durch die Nutzung der Dienste zur Verfügung gestellt werden und die im Konto des Kunden gespeichert sind (zur Klarstellung: Persönliche Daten sind Teil der Bestellung des Kunden). Kauf des jeweiligen Dienstes werden nicht als Kundendaten behandelt). Zu den Kundendaten können unter anderem Kundendaten im Sinne der DSGVO gehören.

„Personenbezogene Daten“ haben die Bedeutung gemäß Artikel 4 der DSGVO. 

„Datenschutzbestimmungen und -gesetze“ bezeichnet alle Vorschriften und Gesetze, einschließlich der Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedsstaaten, der Schweiz und des Vereinigten Königreichs, die für die Verarbeitung von Kundendaten im Rahmen dieses DPA gelten.

„Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die Kundendaten beziehen.

„Datum des Inkrafttretens“ bedeutet, soweit zutreffend:

  1. 25. Mai 2018, wenn der Kunde die Bestellung(en) ausgeführt und die Vereinbarungen angenommen hat oder die Parteien dieser DPA in Bezug auf die anwendbare Vereinbarung vor oder an diesem Datum anderweitig zugestimmt haben; oder
  2. das Datum, an dem der Kunde geklickt hat, um die Vereinbarung zu akzeptieren, oder die Parteien dieser DPA in Bezug auf die anwendbare Vereinbarung anderweitig zugestimmt haben, sofern dieses Datum nach dem 25. Mai 2018 liegt.

„Verarbeitung“ hat die Bedeutung gemäß Artikel 4 der DSGVO.

„Auftragsverarbeiter“ bezeichnet das Unternehmen, das Kundendaten im Auftrag des Verantwortlichen verarbeitet.

„Simplenet“ bezeichnet das Simplenet-Unternehmen, das Vertragspartei dieses DPA ist, wie in diesem Abschnitt angegeben, ein in Rumänien eingetragenes Unternehmen (Registrierungsnummer CIF: RO22199266) mit der Adresse: Str. 22. Dezember 3/B/16, 600196 Bacău, Rumänien.

„Standardvertragsklauseln“ oder „SCCs“ bezeichnet die Standarddatenschutzklauseln für die Übermittlung von Kundendaten, wie in Artikel 46, S. 2, c) der DSGVO, Anhang 1 zu dieser DPA beschrieben.

„Unterauftragsverarbeiter“ bezeichnet jeden von Simplenet beauftragten Auftragsverarbeiter.

„Aufsichtsbehörde“ bezeichnet eine unabhängige öffentliche Behörde, die gemäß der DSGVO in Rumänien im Hoheitsgebiet des EU-Mitgliedstaats ansässig ist. 

„Laufzeit“ bezeichnet den Zeitraum vom Datum des Inkrafttretens bis zum Ende der Bereitstellung der Dienste durch Simplenet gemäß der geltenden Vereinbarung, einschließlich, falls zutreffend, aller Zeiträume, in denen die Dienste möglicherweise ausgesetzt wurden, und aller Zeiträume nach der Beendigung (nämlich 60 Kalendertage). ), während der Simplenet die Bereitstellung von Diensten für Übergangszwecke fortsetzen kann.

„Datenschutzverluste“ bezeichnet alle Verbindlichkeiten, einschließlich: 

  1. Kosten (einschließlich Rechtskosten);
  2. Ansprüche, Forderungen, Klagen, Vergleiche, Gebühren, Verfahren, Ausgaben, Verluste und Schäden (sei es materiell oder immateriell, einschließlich emotionaler Belastung);
  3. soweit nach geltendem Recht zulässig:
    1. Verwaltungsstrafen, Strafen, Sanktionen, Verbindlichkeiten oder andere Rechtsbehelfe, die von einer Datenschutzaufsichtsbehörde oder einer anderen relevanten Regulierungsbehörde verhängt werden;
    2. von einer Datenschutzaufsichtsbehörde angeordnete Entschädigung einer betroffenen Person;
    3. die angemessenen Kosten für die Einhaltung von Untersuchungen durch eine Datenschutzaufsichtsbehörde oder eine andere relevante Regulierungsbehörde; Und
  4. die Kosten für das Laden von Kundendaten und den Ersatz von Materialien und Geräten des Kunden, sofern diese verloren gehen oder beschädigt werden, sowie für den Verlust oder die Beschädigung von Kundendaten, einschließlich der Kosten für die Berichtigung oder Wiederherstellung von Kundendaten;

„Benachrichtigungs-E-Mail-Adresse“ bezeichnet die E-Mail-Adresse, die der Kunde im Abschnitt „Meine Daten“ im Benutzerbereich angegeben hat, um bestimmte Benachrichtigungen von Simplenet zu erhalten.

2. Datenverarbeitung. 

2.1. Umfang

Diese DPA gilt, wenn und nur in dem Umfang, in dem Simplenet im Rahmen der Bereitstellung der Dienste personenbezogene Daten im Namen des Kunden verarbeitet und diese personenbezogenen Daten den Datenschutzgesetzen der Europäischen Union, des Europäischen Wirtschaftsraums und/oder ihrer Mitgliedstaaten unterliegen Staaten, der Schweiz und/oder dem Vereinigten Königreich (im Folgenden als „Kundendaten“ bezeichnet). 

Wenn der Kunde, der dieser DPA zustimmt, bereits Kunde ist, ist diese DPA Teil der Vereinbarung, der Datenschutzrichtlinie und anderer relevanter Richtlinien und Dokumente, die auf unserer Website bekannt gegeben werden. In einem solchen Fall gilt das Simplenet-Unternehmen als Vertragspartei dieser DPA.

Diese DPA gilt nur für das Kundenkonto, für das sie vereinbart wurde. Wenn der Kunde mehrere Konten besitzt, wird für jedes einzelne Konto separat ein DPA abgeschlossen.

Diese DPA ist nur für die im Konto im Benutzerbereich angegebene natürliche/juristische Person und nur für die direkt bei Simplenet innerhalb des jeweiligen Kontos erworbenen Dienste gültig und rechtsverbindlich. 

Wenn der Kunde, der dieser DPA zustimmt, weder Vertragspartei einer Bestellung noch der Vereinbarung ist, ist diese DPA nicht gültig und nicht rechtsverbindlich. Ein solches Unternehmen sollte verlangen, dass das Kundenunternehmen, das Vertragspartei ist, diese DPA ausführt.

Diese DPA einschließlich ihrer Anhänge, mit Ausnahme der Klauseln in der Datenschutzrichtlinie, ist wirksam und ersetzt alle zuvor geltenden Bestimmungen zum Datenschutz, zur Datenverarbeitung und/oder zur Datensicherheit.

2.2. Einhaltung von Gesetzen.  

Wenn auf diese DPA die Datenschutzgesetze der Europäischen Union Anwendung finden, wird jede Partei die für sie geltenden Verpflichtungen gemäß der europäischen Datenschutzgesetzgebung in Bezug auf die Verarbeitung dieser Kundendaten einhalten.

2.3. Gegenstand und Einzelheiten der Datenverarbeitung

2.3.1 Gegenstand

Simplenet verarbeitet Kundendaten, soweit dies für die Bereitstellung der Dienste, den damit verbundenen technischen Support und andere Anfragen gemäß der Vereinbarung erforderlich ist und wie der Kunde ihn bei der Nutzung der Dienste weiter anweist.

2.3.2. Dauer der Verarbeitung

Vorbehaltlich Abschnitt 11 entspricht die Dauer der Datenverarbeitung dem in der Bestellung und der geltenden Vereinbarung festgelegten Zeitraum. 

2.3.3. Art und Zweck der Verarbeitung

Simplenet verarbeitet Kundendaten zum Zweck der Bereitstellung der Dienste und des damit verbundenen technischen Supports für den Kunden gemäß der Vereinbarung, dieser DPA und anderen relevanten Richtlinien.

2.3.4. Kategorien betroffener Personen

Der Kunde kann im Rahmen seiner Nutzung der Dienste Kundendaten übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem personenbezogene Daten der folgenden Kategorien betroffener Personen umfassen können :

  • Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (natürliche und juristische Personen);
  • Mitarbeiter oder Ansprechpartner der Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden;
  • Mitarbeiter, Vertreter, Berater, Freiberufler des Kunden (die natürliche Personen sind);
  • Benutzer des Kunden, die vom Kunden zur Nutzung der Dienste autorisiert wurden;
  • Personen, die Daten über die Dienste übertragen, einschließlich Personen, die mit dem Kunden oder den Endbenutzern des Kunden zusammenarbeiten und kommunizieren;
  • Personen, deren Daten Simplenet über die Dienste vom Kunden oder auf Anweisung des Kunden oder von den Endbenutzern des Kunden zur Verfügung gestellt werden.

2.3.5. Kategorien personenbezogener Daten

Der Kunde kann im Rahmen seiner Nutzung der Dienste Kundendaten übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem personenbezogene Daten in Bezug auf die folgenden Kategorien personenbezogener Daten umfassen können :

  • Name
  • Adresse
  • E-Mail-Adresse
  • Alle personenbezogenen Daten, die sich auf Einzelpersonen beziehen

2.4. Rollen der Parteien

Die Parteien erkennen an und vereinbaren, dass:

  1. Simplenet ist ein Verarbeiter der Kundendaten im Sinne der europäischen Datenschutzgesetzgebung;
  2. Der Kunde ist gemäß der europäischen Datenschutzgesetzgebung ein Verantwortlicher oder Auftragsverarbeiter der Kundendaten; und hat alle Einwilligungen und Rechte eingeholt, die gemäß den Datenschutzgesetzen erforderlich sind, damit Simplenet Kundendaten verarbeiten und die Dienste gemäß der Vereinbarung und dieser DPA bereitstellen kann.

2.5. Hinweise zur Datenverarbeitung. 

Simplenet verarbeitet Kundendaten gemäß dieser DPA, die die vollständigen und endgültigen Anweisungen des Kunden an Simplenet in Bezug auf die Verarbeitung von Kundendaten darstellt. Eine Verarbeitung außerhalb des Geltungsbereichs dieser DPA (falls vorhanden) erfordert eine vorherige schriftliche Vereinbarung zwischen Simplenet und dem Kunden über zusätzliche Verarbeitungsanweisungen. Durch den Abschluss dieser DPA weist der Kunde Simplenet an, Kundendaten nur in Übereinstimmung mit geltendem Recht zu verarbeiten:

  1. um die Dienste und den damit verbundenen technischen und sonstigen Support bereitzustellen;
  2. wie vom Kunden und Endbenutzern bei der Nutzung der Dienste initiiert; 
  3. wie in der Vereinbarung, den Nutzungsbedingungen, der Datenschutzrichtlinie und anderen relevanten Richtlinien angegeben, die die Bereitstellung der Dienste und den damit verbundenen technischen und sonstigen Support regeln.

2.6. Zugriff oder Nutzung. 

Simplenet darf nicht auf Kundendaten zugreifen oder diese verwenden, es sei denn, dies ist erforderlich, um dem Kunden die Dienste und den damit verbundenen technischen Support gemäß der DPA, der Vereinbarung und anderen relevanten Richtlinien bereitzustellen.

2.6.1. Verarbeitung durch den Kunden. 

Der Kunde muss bei der Nutzung der Dienste seine Daten in Übereinstimmung mit den Anforderungen der für ihn geltenden Datenschutzgesetze und -vorschriften verarbeiten. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit seiner Daten sowie für die Art und Weise, wie der Kunde diese Daten erworben hat.

2.6.2. Verarbeitung von Kundendaten durch Simplenet. 

Simplenet verarbeitet Kundendaten nur im Namen und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden für die folgenden Zwecke: 

  1. Verarbeitung zur Bereitstellung der Dienste und des damit verbundenen technischen Supports gemäß dieser DPA und den geltenden Bestellungen;
  2. Von Benutzern bei der Nutzung der Dienste initiierte Verarbeitung;
  3. Verarbeitung erforderlich, um die Dienste aufrechtzuerhalten und zu verbessern.

2.6.3. Einhaltung der Anweisungen durch Simplenet.  

Ab dem Datum des Inkrafttretens wird Simplenet die oben im Abschnitt „Anweisungen des Kunden“ beschriebenen Anweisungen befolgen, auch in Bezug auf Datenübertragungen, es sei denn, das Recht der EU oder eines EU-Mitgliedstaats, dem Simplenet unterliegt, erfordert eine andere Verarbeitung von Kundendaten durch Simplenet. In diesem Fall ist dies der Fall Simplenet informiert den Kunden (es sei denn, das Gesetz verbietet Simplenet dies aus wichtigen Gründen des öffentlichen Interesses) über die Website oder die Benachrichtigungs-E-Mail-Adresse. 

Kundendaten können von Simplenet, autorisierten Benutzern und Unterauftragsverarbeitern abgerufen und verarbeitet werden, um die Verpflichtungen aus dieser DPA und der jeweiligen Vereinbarung zu erfüllen oder bestimmte Dienste im Namen von Simplenet bereitzustellen. Bei dieser Verarbeitung werden die in den Abschnitten 3, 7 und Anhang 2 „Sicherheitsmaßnahmen“ dargelegten Maßnahmen eingehalten.

2.7. Rechte der betroffenen Personen.

2.7.1. Zugriff, Berichtigung, eingeschränkte Verarbeitung, Portabilität.

Während der geltenden Laufzeit wird Simplenet dem Kunden in einer mit der Funktionalität der Dienste vereinbaren Weise ermöglichen, auf Kundendaten zuzugreifen, diese zu berichtigen und deren Verarbeitung einzuschränken, einschließlich durch Löschung aller oder einiger Kundendaten in seinem Konto oder Löschung der Kundendaten gesamtes Konto wie in Abschnitt 2.6 beschrieben. (Rückgabe und Löschung von Kundendaten) und über den Export von Kundendaten.

2.7.2. Anfragen betroffener Personen.

2.7.2.1. Verantwortung des Kunden für Anfragen. 

Wenn Simplenet während der geltenden Laufzeit eine Anfrage von einer betroffenen Person erhält, das Recht der betroffenen Person auf Zugang, Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“), Datenübertragbarkeit, Widerspruch gegen die Verarbeitung auszuüben, oder Simplenet behält sich das Recht vor, nicht einer automatisierten individuellen Entscheidungsfindung zu unterliegen („Anfrage einer betroffenen Person“). Simplenet empfiehlt der betroffenen Person, ihre Anfrage an den Kunden zu richten, und der Kunde ist für die Beantwortung einer solchen Anfrage verantwortlich, einschließlich: ggf. durch Nutzung der Funktionalität des Dienstleistungen. Simplenet wird, soweit gesetzlich zulässig, wirtschaftlich angemessene Maßnahmen ergreifen, um den Kunden über solche Anfragen zu informieren.

2.7.2.2. Simplenet-Unterstützung bei der Anforderung von Datensubjekten.  

Unter Berücksichtigung der Art der Verarbeitung erklärt sich der Kunde damit einverstanden, dass Simplenet, soweit möglich, angemessene technische und organisatorische Unterstützung leistet, um der Verpflichtung des Kunden, auf Anfragen betroffener Personen zu antworten, nachzukommen, einschließlich gegebenenfalls der Verpflichtung des Kunden, auf Anfragen zu antworten zur Ausübung der in Kapitel III der DSGVO festgelegten Rechte der betroffenen Person durch:

(a) Bereitstellung von Dokumentationsressourcen in Form von Tutorials und Wissensdatenbankartikeln, Funktionen und/oder Steuerelementen im Control Panel, die der Kunde nutzen kann, um die Dienste ordnungsgemäß zu konfigurieren und die Dienste auf sichere Weise zu nutzen.

(b) Bereitstellung von Features, Funktionalitäten und/oder Steuerelementen im Control Panel, die der Kunde zum Abrufen, Korrigieren oder Löschen der Kundendaten aus den Diensten verwenden kann.

(c) Einhaltung der in diesem DPA festgelegten Verpflichtungen.

(d) Soweit der Kunde bei der Nutzung der Dienste nicht in der Lage ist, eine Anfrage einer betroffenen Person zu bearbeiten, wird Simplenet auf Anfrage des Kunden wirtschaftlich angemessene Anstrengungen unternehmen, um den Kunden bei der Beantwortung einer solchen Anfrage einer betroffenen Person zu unterstützen Dies ist Simplenet gesetzlich gestattet und die Beantwortung einer solchen Anfrage einer betroffenen Person ist gemäß den Datenschutzgesetzen und -vorschriften erforderlich. Soweit gesetzlich zulässig, ist der Kunde für alle Kosten verantwortlich, die sich aus der Bereitstellung dieser Unterstützung durch Simplenet ergeben.

Der Kunde trägt die angemessenen Kosten von Simplenet für die Bereitstellung der Unterstützung gemäß Abschnitt 2.7.2.2.

2.8. Rückgabe und Löschung von Kundendaten.

Simplenet ermöglicht dem Kunden, Kundendaten während der jeweiligen Laufzeit in einer Weise zu löschen, die mit der Funktionalität der Dienste und den Funktionen gemäß der jeweiligen Bestellung im Einklang steht. Wenn der Kunde die Dienste nutzt, um Kundendaten abzurufen oder zu löschen, und die Kundendaten nicht wiederhergestellt werden können, stellt dies eine Anweisung an Simplenet dar, die entsprechenden auf Backup-Systemen archivierten Kundendaten gemäß geltendem Recht und innerhalb eines Zeitraums von maximal 60 Kalenderjahren zu löschen Tage.  

Die Deaktivierung der Dienste oder der Ablauf der jeweiligen Laufzeit stellt eine Anweisung an Simplenet dar, die Kundendaten und die entsprechenden auf Backup-Systemen archivierten Kundendaten innerhalb eines Zeitraums von maximal 60 Kalendertagen zu löschen. 

Nichts in diesem Abschnitt 2.8 ändert oder ändert die Verpflichtung von Simplenet, einige oder alle Kundendaten aufzubewahren, soweit dies zur Einhaltung des Gesetzes oder einer gültigen und verbindlichen Anordnung einer Strafverfolgungsbehörde (z. B. einer Vorladung oder eines Gerichtsbeschlusses) erforderlich ist. 

2.9. Offenlegung. 

Simplenet gibt Kundendaten nicht an Regierungen, Strafverfolgungsbehörden und andere Behörden weiter, es sei denn, dies ist zur Einhaltung des Gesetzes oder einer gültigen und verbindlichen Anordnung einer Strafverfolgungsbehörde (z. B. einer Vorladung oder eines Gerichtsbeschlusses) erforderlich.  

2.10. Das Personal von Simplenet. 

Simplenet schränkt die Verarbeitung von Kundendaten durch sein Personal ohne Genehmigung von Simplenet ein. Der Zugriff auf Kundendaten ist auf das Personal beschränkt, das eine Rolle und Verantwortlichkeiten gemäß der Vereinbarung wahrnimmt.

Simplenet erlegt seinen Mitarbeitern entsprechende vertragliche Verpflichtungen auf, einschließlich relevanter Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz und Datensicherheit. Simplenet stellt sicher, dass diese Vertraulichkeitsverpflichtungen auch nach Beendigung des Personaleinsatzes bestehen bleiben.

2.11. Datenschutzbeauftragter.

Simplenet hat für die Zwecke dieser DPA und Datenschutzrichtlinie einen Datenschutzbeauftragten ernannt, der unter contact@staging.simplenet.site erreichbar ist.

3. Unterauftragsverarbeiter.

3.1. Zustimmung zur Beauftragung/Ernennung von Unterauftragsverarbeitern 

Der Kunde erkennt an und stimmt zu, dass: 

(a) Simplenet-Partner können als Unterauftragsverarbeiter eingesetzt werden; Und 

(b) Simplenet bzw. Simplenet-Partner können im Zusammenhang mit der Bereitstellung der Dienste Unterauftragsverarbeiter beauftragen. Simplenet hat mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung getroffen, die Datenschutzverpflichtungen enthält, die in Bezug auf den Schutz von Kundendaten nicht weniger schützen als die in diesem DPA enthaltenen, soweit dies auf die Art der von diesen Unterauftragsverarbeitern bereitgestellten Dienste anwendbar ist. Wenn der Kunde Standardvertragsklauseln (Anhang 1) gemäß Abschnitt 5 (Datenübertragung aus dem EWR) abgeschlossen hat, stellen die oben genannten Genehmigungen die vorherige schriftliche Zustimmung des Kunden zur Untervergabe der Verarbeitung von Kundendaten an Simplenet dar, sofern diese Zustimmung vorliegt ist gemäß den Standardvertragsklauseln erforderlich.

3.2. Informationen zu Unterauftragsverarbeitern/Benachrichtigung über neue Unterauftragsverarbeiter.

3.2.1. Simplenet gibt Informationen über Sie an Unterauftragsverarbeiter weiter, z. B. an den Unterauftragsverarbeiter/die Unterauftragsverarbeiter, die mit der Bereitstellung von Dienstleistungen im Rahmen Ihrer Vereinbarung beauftragt sind und ihren Sitz im Hoheitsgebiet der Europäischen Union und der Vereinigten Staaten haben, sowie an Rechenzentrumsdienstleister mit Sitz im Gebiet der Europäischen Union, der Vereinigten Staaten, Australiens und Singapurs. Diese Unterauftragsverarbeiter verarbeiten die bereitgestellten Daten gemäß den Anweisungen von Simplenet und in Übereinstimmung mit unserer Datenschutzrichtlinie und dieser DPA. Wir gestatten Unterauftragsverarbeitern nicht, Ihre personenbezogenen Daten für sekundäre Zwecke aufzubewahren, weiterzugeben, zu speichern oder zu nutzen. 

3.2.2. Wenn ein neuer Unterauftragsverarbeiter Dritter mit der Verarbeitung von Kundendaten im Zusammenhang mit der Bereitstellung der entsprechenden Dienste während der geltenden Laufzeit dieser DPA beauftragt wird, informiert Simplenet den Kunden über diesen Auftrag, einschließlich der Kategorie und des Standorts des entsprechenden Unterauftragsverarbeiters -Auftragsverarbeiter und die von ihm durchzuführenden Tätigkeiten mindestens 10 Kalendertage vor der Autorisierung des neuen Unterauftragsverarbeiters Dritter entweder durch Senden einer E-Mail an die Benachrichtigungs-E-Mail-Adresse oder über den Benutzerbereich.

3.3. Anforderungen für die Beauftragung von Unterauftragsverarbeitern.

Bei der Beauftragung eines Unterauftragsverarbeiters muss Simplenet:

(a) durch einen schriftlichen Vertrag sicherstellen, dass:

(i) Der Unterauftragsverarbeiter greift nur in dem Umfang auf Kundendaten zu und nutzt diese nur in dem Umfang, der für die Erfüllung der an ihn übertragenen Verpflichtungen erforderlich ist, und tut dies in Übereinstimmung mit der geltenden Vereinbarung (einschließlich dieser Ergänzung zur Datenverarbeitung) und allen abgeschlossenen Standardvertragsklauseln oder Alternativen Von Simplenet übernommene Übertragungslösung, wie in Abschnitt 5 (Datenübertragung aus dem EWR) beschrieben; Und

(ii) wenn die DSGVO auf die Verarbeitung von Kundendaten des Kunden anwendbar ist, werden dem Unterauftragsverarbeiter die Datenschutzpflichten gemäß Artikel 28 Absatz 3 der DSGVO auferlegt, wie in diesem Zusatz zur Datenverarbeitung beschrieben; Und

(b) bleibt in vollem Umfang für alle an ihn übertragenen Verpflichtungen sowie alle Handlungen und Unterlassungen des Unterauftragsverarbeiters haftbar.

3.4. Widerspruchsrecht für neue Unterauftragsverarbeiter. 

3.4.1. Der Kunde kann einem neuen Unterauftragsverarbeiter Dritter widersprechen, indem er die entsprechende Vereinbarung mit sofortiger Wirkung durch schriftliche Mitteilung an Simplenet kündigt, vorausgesetzt, dass der Kunde diese Mitteilung innerhalb von 10 Kalendertagen, nachdem er über die Beauftragung des Unterauftragsverarbeiters informiert wurde, übermittelt. Dieses Kündigungsrecht ist das einzige und ausschließliche Rechtsmittel des Kunden, wenn der Kunde Einwände gegen einen neuen Unterauftragsverarbeiter Dritter erhebt.

3.4.2. Simplenet erstattet dem Kunden alle im Voraus bezahlten Gebühren für die verbleibende Laufzeit dieser Bestellung(en) nach dem Datum des Inkrafttretens der Kündigung in Bezug auf die gekündigten Dienste, ohne dem Kunden eine Vertragsstrafe für die Kündigung aufzuerlegen.

4. Folgenabschätzungen, Konsultationen. Lagerung. 

4.1. Folgenabschätzungen und Konsultationen. 

Auf Wunsch des Kunden leistet Simplenet dem Kunden die erforderliche Zusammenarbeit und Unterstützung, die erforderlich ist, um der Verpflichtung des Kunden gemäß der DSGVO nachzukommen, eine Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Dienste durch den Kunden durchzuführen, sofern der Kunde sonst keinen Zugriff darauf hat die relevanten Informationen und in dem Umfang, in dem diese Informationen Simplenet zur Verfügung stehen. Simplenet leistet dem Kunden angemessene Unterstützung bei der Zusammenarbeit oder vorherigen Rücksprache mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben im Zusammenhang mit dieser DSGVO, soweit dies nach der DSGVO erforderlich ist.

5. Übertragungen aus dem EWR.

5.1. Rechenzentrum und Speicher

Simplenet speichert und verarbeitet Kundendaten in Rechenzentren innerhalb und außerhalb der Europäischen Union. Informationen zu unseren Rechenzentrumsstandorten finden Sie in der Wissensdatenbank. Simplenet behält sich das Recht vor, diese von Zeit zu Zeit zu aktualisieren.

Der Kunde kann den Rechenzentrumsstandort angeben, an dem seine Kundendaten gespeichert werden. Der Kunde stimmt zu, dass Simplenet die Standorte der Rechenzentren ändern und Kundendaten in ein anderes Rechenzentrum verschieben kann. Simplenet informiert den Kunden mindestens 10 Kalendertage vor der Verlagerung der Kundendaten in ein neues Rechenzentrum entweder durch Senden einer E-Mail an die Benachrichtigungs-E-Mail-Adresse oder über den Benutzerbereich. Führt die Änderung des Rechenzentrums dazu, dass die Kundendaten unter einer anderen Gerichtsbarkeit gespeichert werden, kann der Kunde dieser Änderung durch sofortige Kündigung des Vertrags durch schriftliche Mitteilung an Simplenet widersprechen, vorausgesetzt, dass der Kunde eine solche Mitteilung innerhalb von 10 Kalendertagen abgibt über die Änderung des Rechenzentrums informiert zu werden.

Der Kunde kann sein Konto und seine Kundendaten jederzeit an einen anderen Rechenzentrumsstandort verschieben, sofern die Funktionalität der Dienste dies zulässt und gegen zusätzliche Gebühren. Sobald der Kunde seine Wahl getroffen und einen Rechenzentrumsstandort innerhalb der Europäischen Union angegeben hat, speichert Simplenet keine Kundendaten außerhalb der Grenzen der Europäischen Union, es sei denn, dies ist zur Einhaltung des Gesetzes oder einer gültigen und verbindlichen Anordnung einer Strafverfolgungsbehörde (z. B als Vorladung oder Gerichtsbeschluss).

5.2. Verarbeitungsstandorte

Soweit der Kunde ein Rechenzentrum außerhalb des Europäischen Wirtschaftsraums angegeben hat und Simplenet die Dienste und den damit verbundenen technischen und sonstigen Support bereitstellt, stimmt der Kunde zu, dass Simplenet vorbehaltlich Abschnitt 5 auf Kundendaten im EWR zugreifen und diese verarbeiten darf. Vereinigte Staaten und alle anderen Länder, in denen Simplenet und/oder seine Partner und Unterauftragsverarbeiter über Rechenzentren oder Einrichtungen verfügen oder Datenverarbeitungsvorgänge durchführen. Wenn die Speicherung und/oder Verarbeitung von Kundendaten die Verarbeitung von Kundendaten außerhalb des EWR umfasst und die europäische Datenschutzgesetzgebung gilt, erklärt sich der Kunde damit einverstanden, dass Simplenet in angemessener Weise vom Kunden verlangt, in Bezug auf solche Übertragungen Mustervertragsklauseln abzuschließen mit Abschnitt 5.2 und Anhang 1 und der Kunde stimmt dem zu.

5.3. Übertragungsmechanismus

Soweit Simplenet Kundendaten im Rahmen dieses DPA aus der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder deren Mitgliedsstaaten und der Schweiz in oder in Länder verarbeitet oder übermittelt (direkt oder per Weiterleitung), die kein angemessenes Datenschutzniveau gewährleisten Im Sinne der geltenden Datenschutzgesetze der oben genannten Gebiete vereinbaren die Parteien Folgendes:

  1. Für die übermittelten Kundendaten gelten die Standardvertragsklauseln (Anhang 1).
  2. Es wird davon ausgegangen, dass Simplenet durch die Bereitstellung von Standardvertragsklauseln (Anhang 1) als Übertragungsmechanismus angemessene Sicherheitsvorkehrungen zum Schutz der Kundendaten bietet.
  3. Der Kunde genehmigt hiermit die Übertragung oder den Zugriff auf Kundendaten von solchen Zielorten außerhalb des Europäischen Wirtschaftsraums vorbehaltlich einer der oben genannten Maßnahmen;

6. Verarbeitung von Aufzeichnungen.

Der Kunde erkennt an, dass Simplenet gemäß der DSGVO verpflichtet ist:

(a) Aufzeichnungen über bestimmte Informationen sammeln und aufbewahren, einschließlich des Namens und der Kontaktdaten jedes Auftragsverarbeiters und/oder Verantwortlichen, in dessen Namen Simplenet handelt, und gegebenenfalls des örtlichen Vertreters und Datenschutzbeauftragten dieses Auftragsverarbeiters oder Verantwortlichen; Und 

(b) diese Informationen den Aufsichtsbehörden zur Verfügung stellen. Wenn dementsprechend die DSGVO auf die Verarbeitung von Kundendaten anwendbar ist, muss der Kunde Simplenet auf Anfrage diese Informationen über die Website oder andere von Simplenet bereitgestellte Mittel zur Verfügung stellen und die Website oder andere Mittel nutzen, um sicherzustellen, dass alle bereitgestellten Informationen bereitgestellt werden wird korrekt und aktuell gehalten.

7. Sicherheitsverantwortung von Simplenet.

7.1. Simplenet wird technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um Kundendaten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, wie in Anhang 2 beschrieben (die „Sicherheitsmaßnahmen“). Wie in Anhang 2 beschrieben, umfassen die Sicherheitsmaßnahmen Maßnahmen zur Bereitstellung einer verschlüsselten Übertragung von Kundendaten außerhalb der Serviceumgebung; um dazu beizutragen, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste von Simplenet sicherzustellen; um den zeitnahen Zugriff auf Kundendaten aus einer verfügbaren Sicherungskopie, die entweder von Simplenet Backup Services bereitgestellt wird, oder aus der eigenen Sicherungskopie des Kunden nach einem Vorfall wiederherzustellen; und zur regelmäßigen Prüfung der Wirksamkeit. Simplenet kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der Dienste führen.

7.2. Sicherheitsverantwortung und -bewertung des Kunden.

Der Kunde stimmt zu, dass, unbeschadet der Verpflichtungen von Simplenet gemäß Abschnitt 7. (Sicherheitsverpflichtungen von Simplenet) und anderen relevanten Abschnitten in dieser DPA: 

  1. Der Kunde trägt die alleinige Verantwortung für die Nutzung der Dienste, einschließlich:
    1. die Dienste angemessen zu nutzen, um ein dem Risiko angemessenes Sicherheitsniveau in Bezug auf die Kundendaten zu gewährleisten;
    2. Sicherung der Kontoauthentifizierungsdaten, Systeme und Geräte, die der Kunde für den Zugriff auf die Dienste verwendet; 
    3. Gewährleistung, dass alle auf dem Konto installierten Programme, Skripte, Add-ons, Plugins und andere Software sicher sind und ihre Nutzung kein Sicherheitsrisiko in Bezug auf die Kundendaten und das Konto selbst darstellt;
    4. Sicherung aller installierten Programme, Skripte, Add-ons, Plugins und anderer Software, ihrer Konfiguration und ihrer regelmäßigen Wartung;
    5. jeglicher Inhalt des Kontos;  
    6. alle Aktionen und Aktivitäten auf dem Konto; Und
    7. Sichern ihrer Kundendaten; Und
  2. Simplenet ist nicht verpflichtet, Kundendaten zu schützen, die der Kunde außerhalb der Systeme von Simplenet und seinen Unterauftragsverarbeitern speichert oder überträgt (z. B. Offline- oder On-Premise-Speicherung), oder Kundendaten durch die Implementierung oder Aufrechterhaltung zusätzlicher Sicherheitskontrollen zu schützen es sei denn, der Kunde hat sich für deren Nutzung entschieden.
  3. Der Kunde ist allein dafür verantwortlich, die Dokumentation zu prüfen und zu bewerten, ob die Dienste, die Sicherheitsmaßnahmen und die Verpflichtungen von Simplenet gemäß diesem Abschnitt und den folgenden den Bedürfnissen des Kunden entsprechen, einschließlich etwaiger Sicherheitsverpflichtungen des Kunden gemäß der europäischen Datenschutzgesetzgebung und/oder nicht Europäische Datenschutzgesetze, soweit anwendbar.
  4. Der Kunde erkennt an und stimmt zu, dass (unter Berücksichtigung der Implementierungskosten und der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung von Kundendaten sowie der Risiken für Einzelpersonen) die von Simplenet implementierten und aufrechterhaltenen Sicherheitsmaßnahmen gemäß Abschnitt 7.1 . Bereitstellung des erforderlichen Sicherheitsniveaus, das dem Risiko in Bezug auf die Kundendaten angemessen ist.
  5. Es liegt in der Verantwortung des Kunden, die Kundendaten sowie alle im Konto gespeicherten Daten und Einwilligungen zu sichern, um potenziellen Datenverlust zu verhindern.
    1. Simplenet Backup Services werden „wie besehen“ bereitgestellt und unterliegen allen in der geltenden Vereinbarung festgelegten Haftungsbeschränkungen.
    2. Auch wenn der Kunde Backup-Services erwirbt, erklärt er sich damit einverstanden, dass er seinen eigenen Backup-Satz unabhängig von den Backups verwaltet, die Simplenet verwaltet, und dass die einzige Verpflichtung von Simplenet darin besteht, den Kontobereich wieder in seinen Betriebszustand zu versetzen. Im Falle eines Vorfalls, eines Hardware- oder Softwarefehlers oder einer zufälligen Datenbeschädigung oder eines zufälligen Datenverlusts kann Simplenet Unterstützung leisten, es liegt jedoch in der alleinigen Verantwortung des Kunden, die Kundendaten wiederherzustellen.  
    3. Im Falle eines teilweisen oder vollständigen Datenverlusts oder einer Datenbeschädigung und für den Fall, dass der Kunde mit dem Ergebnis der Wiederherstellung durch die Simplenet Backup Services nicht zufrieden ist oder die Sicherungskopie von Simplenet nicht aktuell oder für eine Wiederherstellung geeignet ist, ist der Kunde dazu verpflichtet Kundendaten, ihre Dateien und alle Daten innerhalb des Kontos aus der eigenen Sicherung des Kunden wiederherstellen.

8. Überprüfung und Audits der Compliance.

Sofern die europäische Datenschutzgesetzgebung auf die Verarbeitung von Kundendaten Anwendung findet:

  1. Der Kunde hat das Recht, die Einhaltung der Verpflichtungen von Simplenet aus dieser DPA durch eine Überprüfung der Dokumentation oder ein Audit, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden ernannten unabhängigen Prüfer zu überprüfen, indem er eine spezifische Anfrage an Simplenet stellt schriftlich an die in den jeweiligen Nutzungsbedingungen angegebene Adresse. 
  2. Simplenet wird darüber hinaus auf alle angemessenen Anfragen des Kunden schriftlich antworten und kann für jede Überprüfung oder Prüfung eine Gebühr erheben. Simplenet stellt im Vorfeld einer solchen Prüfung Einzelheiten zu allen anfallenden Gebühren zur Verfügung und der Kunde ist für alle von einem Prüfer erhobenen Gebühren und alle mit der Durchführung einer Prüfung verbundenen Gebühren verantwortlich. Die Berichte einer solchen Prüfung werden Simplenet ohne Zweckbeschränkung zur weiteren Verwendung durch Simplenet zur Verfügung gestellt.
  3. Simplenet kann dem Kunden oder einem vom Kunden mit der Durchführung einer Prüfung beauftragten Wirtschaftsprüfer schriftlich widersprechen und diese ablehnen, wenn der Kunde oder der Wirtschaftsprüfer nach angemessener Einschätzung von Simplenet nicht ausreichend qualifiziert oder unabhängig, ein Konkurrent von Simplenet oder anderweitig offensichtlich ungeeignet ist.
  4. Wenn Simplenet es ablehnt, einer vom Kunden oder einem Wirtschaftsprüfer angeforderten Anweisung bezüglich einer ordnungsgemäß angeforderten und umfassenden Prüfung oder Inspektion Folge zu leisten, ist der Kunde berechtigt, diese DPA und die Nutzungsbedingungen zu kündigen.

Nichts in diesem Abschnitt 8 (Überprüfung und Audits der Compliance) ändert oder modifiziert die Rechte oder Pflichten des Kunden oder von Simplenet im Rahmen der Mustervertragsklauseln, die wie in Abschnitt 5 (Datenübertragung aus dem EWR) beschrieben abgeschlossen wurden.

9. Benachrichtigung über Sicherheitsverletzungen. 

9.1. Simplenet unterhält Richtlinien und Verfahren für das Management von Sicherheitsvorfällen und benachrichtigt den Kunden unverzüglich, nachdem es Kenntnis von der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung oder dem unbefugten Zugriff auf Kundendaten erlangt hat, einschließlich der von ihm übermittelten, gespeicherten oder anderweitig verarbeiteten Kundendaten Simplenet oder seine Unterauftragsverarbeiter, von denen Simplenet Kenntnis erlangt (ein „Kundendatenvorfall“). Simplenet unternimmt angemessene Anstrengungen, um die Ursache eines solchen Kundendatenvorfalls zu ermitteln und die Schritte zu unternehmen, die Simplenet für notwendig und angemessen hält, um die Ursache eines solchen Kundendatenvorfalls zu beheben, sofern die Behebung innerhalb der angemessenen Kontrolle von Simplenet liegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die durch den Kunden, die Nutzung der Dienste durch den Kunden, die Handlungen oder Aktivitäten des Kunden oder die Benutzer des Kunden verursacht werden.

9.2. Mitteilungen gemäß diesem Abschnitt müssen, soweit möglich, Einzelheiten des Datenvorfalls beschreiben, einschließlich der Schritte, die zur Minderung potenzieller Risiken unternommen wurden, und der Schritte, die Simplenet dem Kunden zur Behebung des Datenvorfalls empfiehlt. 

9.3. Benachrichtigungen über Datenvorfälle werden an die Benachrichtigungs-E-Mail-Adresse oder, nach dem Ermessen von Simplenet, durch direkte Kommunikation (z. B. per Telefonanruf) zugestellt. Der Kunde ist allein dafür verantwortlich, sicherzustellen, dass die Benachrichtigungs-E-Mail-Adresse und die Kontaktinformationen aktuell und gültig sind.

9.4. Simplenet wertet den Inhalt von Kundendaten nicht aus, um Informationen zu ermitteln, die besonderen rechtlichen Anforderungen unterliegen. Der Kunde trägt die alleinige Verantwortung für die Einhaltung der für ihn geltenden Gesetze zur Meldung von Vorfällen und die Erfüllung aller Meldepflichten Dritter im Zusammenhang mit Datenvorfällen.

9.5. Die Benachrichtigung oder Reaktion von Simplenet auf einen Datenvorfall gemäß diesem Abschnitt 10 darf nicht als Anerkennung eines Verschuldens oder einer Haftung seitens Simplenet in Bezug auf den Datenvorfall ausgelegt werden.

10. Haftung und Freistellung.

10.1. Der Kunde stellt Simplenet von sämtlichen Datenschutzverstößen und Verlusten frei, die durch oder im Zusammenhang mit Folgendem entstehen oder entstehen:

(a) etwaige Nichteinhaltung von Datenschutzgesetzen und -vorschriften durch den Kunden;

(b) jeder Verstoß des Kunden gegen seine Datenschutzverpflichtungen gemäß dieser Vereinbarung; 

10.2. Simplenet haftet für Datenschutzverletzungen und Verluste, die durch die Verarbeitung von Kundendaten verursacht werden, nur in dem Umfang, der direkt aus der Nichteinhaltung von Simplenets Pflichten als Datenverarbeiter gemäß den Datenschutzgesetzen und -vorschriften resultiert.

11. Kündigung

Diese DPA gilt ab dem Datum des Inkrafttretens bis zum Ende der Bereitstellung der Dienste durch Simplenet im Rahmen der geltenden Vereinbarung, einschließlich, falls zutreffend, aller Zeiträume, in denen die Dienste möglicherweise ausgesetzt wurden, und aller Nachbeendigungsfristen (nämlich 60 Kalendertage). Während dieser Zeit kann Simplenet die Bereitstellung von Diensten für Übergangszwecke fortsetzen („Laufzeit“). Die DPA erlischt automatisch mit der Löschung aller Kundendaten durch Simplenet.

Im Falle eines Konflikts oder einer Inkonsistenz zwischen den Bedingungen dieser DPA und dem Rest der geltenden Vereinbarung in Bezug auf die Verarbeitung von Kundendaten haben die Bedingungen dieser DPA Vorrang. Vorbehaltlich etwaiger Änderungen in diesem DPA bleibt diese Vereinbarung in vollem Umfang in Kraft und wirksam. Zur Klarstellung: Wenn der Kunde mehr als eine Vereinbarung abgeschlossen hat, ändert diese DPA jede der Vereinbarungen separat.

Anhang 1

Standardvertragsklauseln (Auftragsverarbeiter)

Im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Das in der Datenverarbeitungsvereinbarung als „Kunde“ bezeichnete Unternehmen 

(der Datenexporteur)

Und

Simplenet Hosting SRL

(der Datenimporteur)

jeder eine „Partei“; zusammen „die Parteien“,

SIND AUF die folgenden Vertragsklauseln (die Klauseln) VEREINBART, um angemessene Garantien im Hinblick auf den Schutz der Privatsphäre sowie der Grundrechte und -freiheiten des Einzelnen für die Übermittlung der in Anlage 1 genannten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu bieten .

Klausel 1

Definitionen

Für die Zwecke der Klauseln:

(a) „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der Richtlinie 95/46/ EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

(b) „Datenexporteur“ bezeichnet den Verantwortlichen, der die personenbezogenen Daten übermittelt;

(c) „Datenimporteur“ bezeichnet den Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung in seinem Namen gemäß seinen Anweisungen und den Bestimmungen der Klauseln verarbeitet werden sollen, und der nicht den Bestimmungen eines Drittlandes unterliegt System zur Gewährleistung eines angemessenen Schutzes im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG;

(d) „Unterauftragsverarbeiter“ bezeichnet jeden vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragten Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs ausschließlich personenbezogene Daten zu erhalten bestimmt für Verarbeitungstätigkeiten, die im Auftrag des Datenexporteurs nach der Übermittlung gemäß seinen Anweisungen, den Bedingungen der Klauseln und den Bedingungen des schriftlichen Untervertrags durchgeführt werden;

(e) „anwendbares Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die für einen für die Datenverarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem die Datenverarbeitung erfolgt Datenexporteur wird eingerichtet;

(f) „technische und organisatorische Sicherheitsmaßnahmen“ sind Maßnahmen, die darauf abzielen, personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung oder unbeabsichtigtem Verlust, unbefugter Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk umfasst, und davor alle anderen rechtswidrigen Formen der Verarbeitung.

Klausel 2

Details zur Übertragung

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anhang 1 aufgeführt, der integraler Bestandteil der Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

1. Die betroffene Person kann diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und () gegen den Datenexporteur durchsetzen. 2), Ziffer 7, Ziffer 8 Absatz 2 und Ziffern 9 bis 12 als Drittbegünstigter.

2. Die betroffene Person kann gegen den Datenimporteur diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 durchsetzen, wenn dies der Fall ist Der Datenexporteur ist faktisch verschwunden oder hat rechtlich aufgehört zu existieren, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen und übernimmt dadurch die Rechte und Pflichten des Datenexporteurs der Datenexporteur; in diesem Fall kann die betroffene Person sie gegenüber diesem Unternehmen durchsetzen.

3. Die betroffene Person kann gegen den Unterauftragsverarbeiter diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 durchsetzen, wenn dies der Fall ist Sowohl der Datenexporteur als auch der Datenimporteur sind faktisch verschwunden oder rechtlich nicht mehr existent oder zahlungsunfähig geworden, es sei denn, ein Nachfolgeunternehmen hat vertraglich oder kraft Gesetzes die gesamten rechtlichen Verpflichtungen des Datenexporteurs übernommen Dadurch übernimmt es die Rechte und Pflichten des Datenexporteurs, wobei die betroffene Person diese gegenüber diesem Unternehmen durchsetzen kann. Eine solche Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

4. Die Parteien widersprechen nicht der Vertretung einer betroffenen Person durch einen Verein oder eine andere Körperschaft, wenn die betroffene Person dies ausdrücklich wünscht und das nationale Recht dies zulässt.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur stimmt zu und gewährleistet:

(a) dass die Verarbeitung, einschließlich der Übermittlung selbst, der personenbezogenen Daten im Einklang mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgte und auch weiterhin erfolgt (und ggf. den zuständigen Behörden mitgeteilt wurde). des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

(b) dass es den Datenimporteur angewiesen hat und während der gesamten Dauer der Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;

(c) dass der Datenimporteur ausreichende Garantien hinsichtlich der in Anlage 2 zu diesem Vertrag genannten technischen und organisatorischen Sicherheitsmaßnahmen bietet;

(d) dass nach Prüfung der Anforderungen des geltenden Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übermittlung von personenbezogenen Daten umfasst Daten über ein Netzwerk und vor allen anderen rechtswidrigen Formen der Verarbeitung zu schützen und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten unter Berücksichtigung des Stands der Technik und des Stands der Technik angemessen ist Kosten ihrer Umsetzung;

(e) dass es die Einhaltung der Sicherheitsmaßnahmen gewährleistet;

(f) dass, wenn die Übermittlung besondere Kategorien von Daten betrifft, die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, in dem kein angemessener Schutz gewährleistet ist die Bedeutung der Richtlinie 95/46/EG;

(g) alle vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Klausel 5(b) und Klausel 8(3) erhaltenen Mitteilungen an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben ;

(h) den betroffenen Personen auf Anfrage eine Kopie der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie jedes Vertrags über Unterverarbeitungsdienste zur Verfügung zu stellen, wenn dies erforderlich ist in Übereinstimmung mit den Klauseln erfolgen, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann sie diese kommerziellen Informationen entfernen;

(i) dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person wie die Daten bietet Importeur gemäß den Klauseln; Und

(j) dass es die Einhaltung von Klausel 4(a) bis (i) gewährleistet.

Klausel 5

Pflichten des Datenimporteurs [1]

Der Datenimporteur stimmt zu und gewährleistet:

(a) die personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den Klauseln zu verarbeiten; Wenn er diese Einhaltung aus irgendwelchen Gründen nicht leisten kann, verpflichtet er sich, den Datenexporteur unverzüglich über seine Unfähigkeit zur Einhaltung zu informieren; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

(b) dass es keinen Grund zu der Annahme hat, dass die auf ihn anwendbaren Rechtsvorschriften es daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass im Falle einer Änderung dieser Rechtsvorschriften, die voraussichtlich Auswirkungen auf die Daten haben wird, ein … Sollte sich eine erhebliche nachteilige Auswirkung auf die in den Klauseln vorgesehenen Gewährleistungen und Pflichten ergeben, wird er die Änderung unverzüglich dem Datenexporteur mitteilen, sobald er davon Kenntnis erlangt. In diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen ;

(c) dass er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt hat;

(d) dass es den Datenexporteur unverzüglich über Folgendes informiert:

(i) jeder rechtsverbindliche Antrag einer Strafverfolgungsbehörde auf Offenlegung der personenbezogenen Daten, sofern nichts anderes verboten ist, wie etwa ein strafrechtliches Verbot, die Vertraulichkeit einer Strafverfolgungsuntersuchung zu wahren;

(ii) jeglicher versehentlicher oder unbefugter Zugriff; Und

(iii) jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde dazu anderweitig befugt;

(e) alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der von der Übermittlung betroffenen personenbezogenen Daten umgehend und ordnungsgemäß zu bearbeiten und sich hinsichtlich der Verarbeitung der übermittelten Daten an die Empfehlungen der Aufsichtsbehörde zu halten;

(f) auf Antrag des Datenexporteurs seine Datenverarbeitungsanlagen einer Prüfung der von den Klauseln abgedeckten Verarbeitungstätigkeiten zu unterziehen, die vom Datenexporteur oder einer aus unabhängigen Mitgliedern bestehenden und über die erforderlichen erforderlichen Inspektionsstellen durchgeführten Inspektionsstelle durchgeführt werden Berufsqualifikationen, die einer Verschwiegenheitspflicht unterliegen und vom Datenexporteur ggf. im Einvernehmen mit der Aufsichtsbehörde ausgewählt werden;

(g) der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags zur Unterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann sie diese kommerziellen Informationen entfernen, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen in den Fällen ersetzt wird, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann;

(h) dass er im Falle einer Unterverarbeitung den Datenexporteur zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt hat;

(i) dass die Verarbeitungsdienste des Unterauftragsverarbeiters gemäß Klausel 11 durchgeführt werden;

(j) dem Datenexporteur umgehend eine Kopie aller Unterauftragsverarbeiterverträge zuzusenden, die er gemäß den Klauseln abschließt.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die infolge eines Verstoßes gegen die in Klausel 3 oder in Klausel 11 genannten Pflichten durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Schadensersatz vom Datenexporteur hat erlittener Schaden.

2. Wenn eine betroffene Person keinen Schadensersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend machen kann, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine ihrer in Absatz 3 genannten Pflichten ergibt, oder In Klausel 11 stimmt der Datenimporteur zu, dass die betroffene Person einen Anspruch gegen den Datenimporteur geltend machen kann, als wäre sie der Datenexporteur, da der Datenexporteur faktisch verschwunden ist oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, es sei denn Jedes Nachfolgeunternehmen hat vertraglich oder kraft Gesetzes die gesamten rechtlichen Verpflichtungen des Datenexporteurs übernommen. In diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen durchsetzen.

Der Datenimporteur darf sich nicht auf einen Verstoß eines Unterauftragsverarbeiters gegen seine Pflichten berufen, um seiner eigenen Haftung zu entgehen.

3. Wenn eine betroffene Person nicht in der Lage ist, einen Anspruch gegen den in den Absätzen 1 und 2 genannten Datenexporteur oder Datenimporteur geltend zu machen, der sich aus einem Verstoß des Unterauftragsverarbeiters gegen eine seiner in Klausel 3 genannten Pflichten ergibt, oder in Klausel 11, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch verschwunden sind oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, stimmt der Unterauftragsverarbeiter zu, dass die betroffene Person einen Anspruch gegen den Datenunterverarbeiter geltend machen kann in Bezug auf seine eigenen Verarbeitungsvorgänge im Rahmen der Klauseln, als wäre es der Datenexporteur oder der Datenimporteur, es sei denn, ein Rechtsnachfolger hat vertraglich oder kraft Gesetzes die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs übernommen Die betroffene Person kann ihre Rechte gegenüber dieser Stelle durchsetzen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

Klausel 7

Mediation und Gerichtsbarkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person akzeptiert, wenn sich die betroffene Person gegen sie auf Rechte Dritter beruft und/oder Schadensersatz gemäß den Klauseln verlangt:

(a) die Streitigkeit einer Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu unterziehen;

(b) die Streitigkeit an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur ansässig ist.

2. Die Parteien vereinbaren, dass die von der betroffenen Person getroffene Wahl ihre materiellen oder verfahrensrechtlichen Rechte, Rechtsbehelfe gemäß anderen Bestimmungen des nationalen oder internationalen Rechts einzulegen, nicht beeinträchtigt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder eine solche Hinterlegung nach geltendem Datenschutzrecht erforderlich ist.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, eine Prüfung des Datenimporteurs und etwaiger Unterauftragsverarbeiter durchzuführen, die denselben Umfang hat und denselben Bedingungen unterliegt wie eine Prüfung des Datenexporteurs im Rahmen des geltenden Datenschutzrechts.

3. Der Datenimporteur informiert den Datenexporteur unverzüglich über das Bestehen von für ihn oder einen Unterauftragsverarbeiter geltenden Rechtsvorschriften, die die Durchführung einer Prüfung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Absatz 2 verhindern. In einem solchen Fall Der Datenexporteur ist berechtigt, die in Klausel 5(b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Geltendes Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Vertragsänderung

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies hindert die Parteien nicht daran, bei Bedarf Klauseln zu geschäftlichen Fragen hinzuzufügen, solange diese der Klausel nicht widersprechen.

Klausel 11

Unterverarbeitung

1. Der Datenimporteur darf ohne die vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Namen des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungsvorgänge an Subunternehmer vergeben. Vergibt der Datenimporteur seine Pflichten aus den Klauseln mit Zustimmung des Datenexporteurs an Unterauftragnehmer, darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter die gleichen Pflichten auferlegt wie dem Datenimporteur gemäß den Klauseln (3). Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten aus einer solchen schriftlichen Vereinbarung nicht nach, haftet der Datenimporteur gegenüber dem Datenexporteur weiterhin in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters aus dieser Vereinbarung.

2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss außerdem eine Drittbegünstigtenklausel gemäß Klausel 3 für Fälle vorsehen, in denen die betroffene Person nicht in der Lage ist, den in Absatz genannten Schadensersatzanspruch geltend zu machen 1 von Satz 6 gegen den Datenexporteur oder den Datenimporteur, weil diese faktisch verschwunden sind oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs übernommen hat vertraglich oder kraft Gesetzes. Eine solche Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

3. Die Bestimmungen zu Datenschutzaspekten für die Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, und zwar …

4. Der Datenexporteur führt eine Liste der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5(j) mitgeteilten Unterverarbeitungsverträge, die mindestens einmal jährlich aktualisiert wird. Die Liste ist der Datenschutzaufsichtsbehörde des Datenexporteurs zugänglich zu machen.

Klausel 12

Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter nach Beendigung der Erbringung von Datenverarbeitungsdiensten nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückgeben oder vernichtet alle personenbezogenen Daten und bestätigt dem Datenexporteur, dass er dies getan hat, es sei denn, dem Datenimporteur auferlegte Rechtsvorschriften hindern ihn daran, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall gewährleistet der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeitet.

2. Der Datenimporteur und der Unterauftragsverarbeiter gewährleisten, dass er auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde seine Datenverarbeitungsanlagen einer Prüfung der in Absatz 1 genannten Maßnahmen unterzieht.

[1] Zwingende Anforderungen der für den Datenimporteur geltenden nationalen Rechtsvorschriften, die nicht über das hinausgehen, was in einer demokratischen Gesellschaft auf der Grundlage eines der in Artikel 13 Absatz 1 der Richtlinie 95/46/EG aufgeführten Interessen erforderlich ist ist, wenn sie eine notwendige Maßnahme zum Schutz der nationalen Sicherheit, der Landesverteidigung, der öffentlichen Sicherheit, der Verhütung, Untersuchung, Aufdeckung und Verfolgung von Straftaten oder von Verstößen gegen die Standesregeln für die reglementierten Berufe darstellen, ein wichtiges wirtschaftliches oder finanzielles Interesse des Staates oder des Staates Der Schutz der betroffenen Person oder der Rechte und Freiheiten anderer steht nicht im Widerspruch zu den Standardvertragsklauseln. Beispiele für solche zwingenden Anforderungen, die nicht über das in einer demokratischen Gesellschaft Notwendige hinausgehen, sind unter anderem international anerkannte Sanktionen, Steuermeldepflichten oder Meldepflichten zur Bekämpfung der Geldwäsche.

Anhang 1 zu den Standardvertragsklauseln

Datenexporteur

Der Datenexporteur ist die juristische Person, die in der Datenverarbeitungsvereinbarung als „Kunde“ bezeichnet wird

Datenimporteur

Der Datenimporteur ist Simplenet Hosting SRL

Betroffene Personen

Bei den personenbezogenen Daten handelt es sich um die in Abschnitt 2.3.4 definierten Kategorien betroffener Personen. in der Datenverarbeitungsvereinbarung.

Datenkategorien

Bei den personenbezogenen Daten handelt es sich um die in Abschnitt 2.3.5 definierten Datenkategorien. in der Datenverarbeitungsvereinbarung.

Verarbeitungsvorgänge

Die Verarbeitungsvorgänge sind in Abschnitt 2 der Datenverarbeitungsvereinbarung festgelegt.

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang ist Teil der Klauseln. Durch den Kauf von Dienstleistungen von Simplenet und die Vereinbarung der Datenverarbeitungsvereinbarung wird davon ausgegangen, dass die Parteien diesen Anhang 2 akzeptiert und ausgeführt haben.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Abschnitt 4(d) und 5(c) (oder beigefügtes Dokument/Gesetz) implementiert hat:

Die vom Datenimporteur umgesetzten technischen und organisatorischen Sicherheitsmaßnahmen sind in der Datenverarbeitungsvereinbarung und Anhang 2 „Sicherheitsmaßnahmen“ beschrieben.

Anhang 2

Sicherheitsmaßnahmen

Simplenet implementiert und unterhält geeignete technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten, einschließlich der in diesem Anhang 2 der Datenverarbeitungsvereinbarung aufgeführten Maßnahmen. Diese Maßnahmen sollen personenbezogene Daten vor versehentlichem oder unbefugtem Verlust, Zerstörung, Änderung, Offenlegung oder Zugriff sowie vor allen anderen rechtswidrigen Formen der Verarbeitung schützen. Zusätzliche Maßnahmen und Informationen zu solchen Maßnahmen, einschließlich der spezifischen Sicherheitsmaßnahmen und -praktiken für die jeweiligen vom Kunden bestellten Dienste, können in der Vereinbarung festgelegt werden.  

Simplenet kann diese Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der Dienste führen. 

Die von Simplenet implementierten technischen und organisatorischen Sicherheitsmaßnahmen entsprechen den Klauseln 4(c) und 5(c) der Standardvertragsklauseln.

Personal und Vertraulichkeit

Simplenet ergreift angemessene Maßnahmen, um sicherzustellen, dass Simplenet keine Person mit der Verarbeitung personenbezogener Daten beauftragt, es sei denn, diese Person:

  1. kompetent und qualifiziert ist, die ihm von Simplenet übertragenen spezifischen Aufgaben auszuführen;
  2. wurde von Simplenet autorisiert; Und
  3. von Simplenet über die für die Erfüllung der Pflichten von Simplenet aus diesen Klauseln relevanten Anforderungen, insbesondere über den begrenzten Zweck der Datenverarbeitung, informiert wurde.

Das Personal von Simplenet muss sich in einer Weise verhalten, die den Richtlinien des Unternehmens in Bezug auf Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards entspricht. Simplenet führt im gesetzlich zulässigen Umfang und im Einklang mit den geltenden örtlichen Arbeitsgesetzen und gesetzlichen Vorschriften angemessene Hintergrundüberprüfungen durch. Das Personal ist verpflichtet, eine Vertraulichkeitsvereinbarung abzuschließen und den Erhalt und die Einhaltung der Vertraulichkeits- und Datenschutzrichtlinien von Simplenet zu bestätigen. Sie erhalten Schulungen und müssen für den Umgang mit Kundendaten zusätzliche Anforderungen erfüllen, die ihrer Rolle entsprechen. 

Physische Sicherheit 

Simplenet nutzt geografisch verteilte Rechenzentren und speichert alle Produktionsdaten in physisch sicheren Rechenzentren. Die Produktionsrechenzentren von Simplenet Sub-Processor nutzen Maßnahmen, um den Zugriff auf Datenverarbeitungssysteme zu sichern. Sie verfügen über ein Zugangssystem, das den Zugang zum Rechenzentrum kontrolliert. Dieses System ermöglicht nur autorisiertem Personal den Zugang zu sicheren Bereichen. Die Anlagen sind so konzipiert, dass sie widrigen Wetterbedingungen und anderen einigermaßen vorhersehbaren natürlichen Bedingungen standhalten, werden rund um die Uhr durch Wachen, Videoüberwachung, Zugangskontrolle und Zugangskontrolle gesichert und werden außerdem durch Notstromgeneratoren vor Ort unterstützt bei einem Stromausfall.

Die Stromversorgungssysteme des Rechenzentrums sind redundant und wartbar, ohne dass der kontinuierliche Betrieb rund um die Uhr beeinträchtigt wird. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum eine primäre und eine alternative Stromquelle bereitgestellt. Die Notstromversorgung erfolgt durch verschiedene Mechanismen wie unterbrechungsfreie Stromversorgungsbatterien (USV) oder Dieselgeneratoren, die in der Lage sind, eine Notstromversorgung oder einen zuverlässigen Stromschutz bei Stromausfällen, Stromausfällen, Überspannung, Unterspannung und außerhalb des Toleranzbereichs bereitzustellen Frequenzbedingungen.

Infrastruktursysteme wurden entwickelt, um einzelne Fehlerquellen zu eliminieren und die Auswirkungen erwarteter Umweltrisiken zu minimieren. Die Produktionsausrüstung und -anlagen des Simplenet-Unterauftragsverarbeiters verfügen über dokumentierte vorbeugende Wartungsverfahren, die den Prozess und die Häufigkeit der Leistung gemäß den Hersteller- oder internen Spezifikationen detailliert beschreiben. Die vorbeugende und korrigierende Wartung der Rechenzentrumsausrüstung wird durch einen Standardänderungsprozess gemäß dokumentierten Verfahren geplant.

Systemzugriffskontrolle

Simplenet-Server verwenden eine Linux-basierte Implementierung, die für die Dienste angepasst ist. Simplenet setzt einen Überprüfungsprozess ein, um die Sicherheit der zur Bereitstellung der Dienste verwendeten Betriebssysteme zu erhöhen und die Sicherheitsprodukte in Produktionsumgebungen zu verbessern.

Simplenet hat und pflegt eine Sicherheitsrichtlinie für das Personal. Das Infrastruktur-, Entwicklungs- und Supportpersonal von Simplenet ist für die laufende Überwachung der Sicherheit der Infrastruktur durch Simplenet, die Überprüfung der Dienste und die Reaktion auf Sicherheitsvorfälle verantwortlich.

Die internen Zugriffsprozesse und -richtlinien von Simplenet sollen verhindern, dass unbefugte Personen und/oder Systeme Zugriff auf Systeme erhalten, die zur Verarbeitung von Kundendaten, einschließlich personenbezogener Daten, verwendet werden. Simplenet möchte seine Systeme so gestalten, dass sie (i) nur autorisierten Personen den Zugriff auf Daten ermöglichen, zu denen sie auch berechtigt sind; und (ii) sicherzustellen, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Aufzeichnung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Simplenet verwendet ein Zugriffsverwaltungssystem, um den Personalzugriff auf Produktionsserver zu kontrollieren, und gewährt nur autorisiertem Personal Zugriff. Abhängig von den einzelnen bestellten Diensten können unter anderem folgende Kontrollen angewendet werden: Authentifizierung über Passwörter und/oder Zwei-Faktor-Authentifizierung, SSH-Schlüssel, Autorisierungsprozesse, Änderungsmanagementprozesse, logischer Zugriff auf die Rechenzentren ist eingeschränkt und durch eine Firewall geschützt /VLAN und Protokollierung der Zugriffe auf mehreren Ebenen. Die Gewährung oder Änderung von Zugriffsrechten richtet sich nach: den beruflichen Verantwortlichkeiten des berechtigten Personals; Arbeitspflichtanforderungen, die zur Ausführung autorisierter Aufgaben erforderlich sind; und eine Need-to-know-Basis. Die Gewährung oder Änderung von Zugriffsrechten muss zudem im Einklang mit den internen Datenzugriffsrichtlinien von Simplenet erfolgen. 

Zugriffskontrolle für Dienste

Kunden und Endnutzer müssen sich über ein Authentifizierungssystem authentifizieren, um die Dienste nutzen zu können. Jede Anwendung prüft die Anmeldeinformationen, um die Anzeige von Daten für einen autorisierten Endbenutzer zu ermöglichen.

Abhängig von den einzelnen bestellten Diensten können unter anderem folgende Kontrollen angewendet werden: Authentifizierung über Passwörter und/oder Zwei-Faktor-Authentifizierung, SSH-Schlüssel, Autorisierungsprozesse, Änderungsmanagementprozesse und Protokollierung des Zugriffs auf mehreren Ebenen. Abhängig von den einzelnen bestellten Diensten können auch die folgenden Kontrollen gelten: Der verantwortlichen Person werden eindeutige Kennungen zugewiesen, Zugriffssperrmechanismen bei aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen und Sperrzeiträumen, Mechanismen zum Ablaufen und Zurücksetzen von Passwörtern, Anforderungen an die Passwortkomplexität.

Datenzugriffskontrolle 

Simplenet speichert Daten in einer Multi-Tenant-Umgebung, was bedeutet, dass die Bereitstellungen mehrerer Kunden auf derselben physischen Hardware gespeichert werden. Simplenet verwendet logische Isolation, um die Daten jedes Kunden zu trennen und die Daten jedes Kunden logisch von denen anderer zu trennen. Dies stellt die Skalierung sicher und verhindert gleichzeitig konsequent den Zugriff der Kunden auf die Daten anderer.

Der Kunde erhält die Kontrolle über spezifische Kontrollen für die Weitergabe des Zugriffs auf die Daten an Endbenutzer für bestimmte Zwecke gemäß der Funktionalität der Dienste. Der Kunde kann diese Kontrollen nutzen. Simplenet stellt bestimmte Protokollierungsfunktionen zur Verfügung.

Der direkte Zugriff auf Kundendaten ist eingeschränkt. Falls dies erforderlich ist, werden zusätzlich zu den in den vorherigen Abschnitten dargelegten Zugriffskontrollregeln Zugriffsrechte nur für ordnungsgemäß autorisiertes Personal eingerichtet und durchgesetzt. 

Getriebesteuerung

Rechenzentren sind in der Regel über private Hochgeschwindigkeitsverbindungen verbunden, um eine sichere und schnelle Datenübertragung zwischen Rechenzentren zu gewährleisten. Dadurch soll verhindert werden, dass Daten bei der elektronischen Übermittlung oder beim Transport, bei der Aufzeichnung auf Datenträgern oder beim Austausch innerhalb des Rechenzentrums unbefugt gelesen, kopiert, verändert oder entfernt werden. 

Für Daten während der Übertragung verwendet Simplenet branchenübliche Transportprotokolle wie SSL und TLS zwischen Kundengeräten und den Diensten und Rechenzentren von Simplenet sowie innerhalb der Rechenzentren selbst. Sofern für die Dienste nichts anderes angegeben ist (einschließlich in der Bestellung, der geltenden Vereinbarung oder der Benutzerdokumentation der Dienste), erfolgen Datenübertragungen außerhalb der Dienstumgebung verschlüsselt. Einige Funktionen der Dienste ermöglichen es dem Kunden möglicherweise, bei der Nutzung des Dienstes unverschlüsselte Kommunikation zu wählen. Der Kunde trägt die alleinige Verantwortung für die Ergebnisse seiner Entscheidung, solche unverschlüsselten Kommunikationen oder Übertragungen zu verwenden. 

Eingabekontrolle

Die Quelle der personenbezogenen Daten steht unter der Kontrolle des Kunden und die Integration personenbezogener Daten in das System erfolgt durch gesicherte Dateiübertragung, über Webdienste oder durch die Eingabe in die Anwendung des Kunden. Wie oben im Abschnitt „Übertragungskontrolle“ dargelegt, ermöglichen einige Funktionen der Dienste den Kunden die Verwendung unverschlüsselter Dateiübertragungsprotokolle. In solchen Fällen liegt die alleinige Verantwortung des Kunden für seine Entscheidung, solche unverschlüsselten Feldübertragungsprotokolle zu verwenden. 

Durch die Dienste werden keine Viren in die Kundendaten eingeführt; Die Dienste scannen jedoch nicht auf Viren, die in Anhängen oder anderen personenbezogenen Daten enthalten sein könnten, die der Kunde in die Dienste hochgeladen hat. Solche hochgeladenen Anhänge werden in den Diensten nicht ausgeführt und beschädigen oder gefährden den Dienst daher nicht.

Netzwerkkontrolle

Simplenet blockiert unbefugten Datenverkehr zu und innerhalb der Rechenzentren mithilfe einer Vielzahl von Technologien wie Firewalls, NATs, partitionierten lokalen Netzwerken und der physischen Trennung von Back-End-Servern von öffentlich zugänglichen Schnittstellen.

Simplenet nutzt mehrere Schichten von Netzwerkgeräten und Einbruchserkennung, um seine externe Angriffsfläche zu schützen. Simplenet berücksichtigt potenzielle Angriffsvektoren und integriert geeignete, speziell entwickelte Technologien in externe Systeme.

Simplenet und autorisiertes Personal überwachen die Dienste mithilfe netzwerkbasierter Einbrucherkennungsmechanismen auf unbefugte Eingriffe. Die Angriffserkennung soll Einblick in laufende Angriffsaktivitäten geben und angemessene Informationen liefern, um auf Vorfälle reagieren zu können. Bei der Intrusion Detection von Simplenet geht es darum, die Angriffsfläche der Netzwerkkommunikation durch vorbeugende Maßnahmen wie Firewalls, den Einsatz intelligenter Erkennungskontrollen an Dateneintrittspunkten und den Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch beheben, streng zu kontrollieren.

Reaktion auf Vorfälle

Simplenet verwaltet Richtlinien und Verfahren für das Management von Sicherheitsvorfällen und überwacht eine Vielzahl von Kommunikationskanälen für Sicherheitsvorfälle. Das Personal von Simplenet reagiert unverzüglich auf bekannte Vorfälle und benachrichtigt den Kunden umgehend, falls Simplenet Kenntnis von einer tatsächlichen oder begründeten Annahme einer unbefugten Offenlegung personenbezogener Daten erlangt.

Systemprotokolle

Simplenet stellt sicher, dass Verarbeitungssysteme, die zum Speichern von Kundendaten-Protokollinformationen verwendet werden, in ihren jeweiligen Systemprotokollfunktionen gespeichert werden. Für den Fall, dass der Verdacht eines unzulässigen Zugriffs besteht und eine Analyse erforderlich ist, werden Protokolleinträge geführt. Die Protokollierung wird sicher aufbewahrt, um Manipulationen vorzubeugen.

Zuverlässigkeit und Backup

Für die Dienste stellt Simplenet sicher, dass regelmäßig Backups erstellt werden. Backups werden durch eine Kombination aus technischen und physischen Kontrollen gesichert. 

Simplenet stellt sicher, dass die Systeme, auf denen Kundendaten gespeichert werden, über eine Notfallwiederherstellungsfunktion verfügen und einem Notfallwiederherstellungsplan unterliegen. Für den Fall, dass Produktionsanlagen nicht mehr verfügbar sind, führt Simplenet Wiederherstellungspläne durch, um den Betrieb rechtzeitig wiederherzustellen. Simplenet hat seine Disaster-Recovery-Pläne entworfen und plant und testet sie regelmäßig.

Datenvernichtung

Wenn Kunden Daten löschen oder den Dienst verlassen, stellt Simplenet sicher, dass die Daten gemäß den Bestimmungen der geltenden Vereinbarung gelöscht werden. Für bestimmte Festplatten befolgt Simplenet strenge Standards, die das Überschreiben von Speicherressourcen vor der Wiederverwendung sowie die physische Entsorgung ausgemusterter Hardware vorschreiben. In den Produktionsrechenzentren von Simplenet Sub-processor gelten strenge Verfahren für die Wiederverwendung, erneute Bereitstellung, Datenvernichtung und Außerbetriebnahme von Festplatten und Hardware.

Sicherheit des Unterprozessors

Vor der Einbindung von Unterauftragsverarbeitern führt Simplenet eine Prüfung der Sicherheits- und Datenschutzpraktiken der Unterauftragsverarbeiter durch, um sicherzustellen, dass die Unterauftragsverarbeiter ein Maß an Sicherheit und Datenschutz bieten, das ihrem Zugriff auf Daten und dem Umfang der von ihnen beauftragten Dienste angemessen ist. Der Unterauftragsverarbeiter ist verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvertragsbedingungen einzugehen.

Systemänderungen und -erweiterungen

Simplenet ist berechtigt, die Dienste während der Vertragslaufzeit zu erweitern und Änderungen vorzunehmen. Sicherheitskontrollen, Verfahren, Richtlinien und Funktionen können sich ändern oder hinzugefügt werden. Simplenet stellt Sicherheitskontrollen bereit, die ein Sicherheitsniveau bieten, das nicht wesentlich niedriger ist als das zum Zeitpunkt des Inkrafttretens bereitgestellte.

Anhang 3: Liste der Unterauftragsverarbeiter

Auf Anfrage erhältlich.

Englisch