Datenverarbeitungsvertrag für Lucidworks-Lieferanten

DATENVERARBEITUNGSVEREINBARUNG FÜR LUCIDWORKS-LIEFERANTEN

Diese Datenverarbeitungsvereinbarung („DPA„) gilt ab dem Datum der letzten nachstehenden Unterschrift („Datum des Inkrafttretens„) und wird von und zwischen der nachstehend genannten Organisation („Lieferant“) und Lucidworks, Inc., einer Gesellschaft nach dem Recht des Bundesstaates Delaware mit Hauptgeschäftssitz in 235 Montgomery Street, San Francisco, CA, USA, und ihren verbundenen Unternehmen („Lucidworks„) geschlossen, jeweils eine„Partei“ und gemeinsam die„Parteien„. Diese DPA gilt, wenn und nur soweit der Lieferant Lucidworks-Daten im Rahmen der Erbringung von Dienstleistungen für Lucidworks gemäß dem Vertrag verarbeitet, und ist Teil des Vertrags.

  1. Definitionen.
    1. „Verbundenes Unternehmen“ hat die in der Vereinbarung festgelegte Bedeutung (sofern definiert) oder bezeichnet eine juristische Person, (i) die zu mehr als 50 % im Besitz einer Partei ist, (ii) über die eine Partei die Kontrolle ausübt, (iii) die unter gemeinsamer Kontrolle mit einer Partei steht, oder (iv) die mehr als 50 % der stimmberechtigten Wertpapiere oder sonstigen stimmberechtigten Anteile einer Partei an einer juristischen Person besitzt. In Bezug auf Lucidworks ist jede Bezugnahme auf ein „verbundenes Unternehmen“ hier strikt auf diejenigen verbundenen Unternehmen von Lucidworks beschränkt, die als Controller gelten und die Services gemäß der Vereinbarung nutzen dürfen.
    2. „Vertrag“ bezeichnet die bestehende(n) Vereinbarung(en), Bestellung(en), Kaufaufträge und Arbeitsanweisungen oder andere kommerzielle Vereinbarungen, gemäß denen der Lieferant die Dienstleistungen für Lucidworks erbringt, einschließlich aller Anlagen und nachträglichen Änderungen oder Bestellungen.
    3. „Lucidworks-Daten“ bezeichnet die personenbezogenen Daten, die der Lieferant im Rahmen der Erbringung der Dienstleistungen für Lucidworks verarbeitet.
    4. Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften zum Datenschutz, zum Schutz der Privatsphäre und zur Cybersicherheit eines jeden Landes, die auf die Verarbeitung von Lucidworks-Daten durch den Lieferanten im Rahmen des Vertrags anwendbar sind, einschließlich (soweit anwendbar und ohne Einschränkung) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung) (“ GDPR„), GDPR in der Form, in der sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 (“ UK GDPR„) Teil des innerstaatlichen Rechts des Vereinigten Königreichs ist, das revidierte schweizerische Datenschutzgesetz (“ revDPA„), Datenschutzgesetze der Europäischen Union („EU„) oder der Mitgliedstaaten des Europäischen Wirtschaftsraums („EWR„) oder des Vereinigten Königreichs (einschließlich Gibraltar) („UK„), die GDPR oder UK GDPR (jeweils) ergänzen, und dem California Consumer Privacy Act von 2018, geändert durch den California Privacy Rights Act von 2020 (zusammenfassend als„CCPA“ bezeichnet), jeweils in der jeweils gültigen Fassung oder ersetzt.
    5. „Betroffene Person“ bezeichnet die Person, auf die sich die personenbezogenen Daten beziehen, die für die Erfüllung des Vertrags durch den Lieferanten verarbeitet werden.
    6. „Ex-EWR-Übertragung“ bezeichnet eine Verarbeitungstätigkeit, bei der Lucidworks Daten, die in Übereinstimmung mit der DSGVO verarbeitet werden, von Lucidworks an einen Lieferanten außerhalb des EWR übertragen werden, und eine solche Übertragung nicht durch einen Angemessenheitsbeschluss der Europäischen Kommission in Übereinstimmung mit den einschlägigen Bestimmungen der DSGVO geregelt ist.
    7. „Ex-Schweizer Übermittlung“ bezeichnet eine Verarbeitungstätigkeit, bei der Lucidworks-Daten, die in Übereinstimmung mit den Schweizer Datenschutzgesetzen verarbeitet werden, von Lucidworks an einen Lieferanten außerhalb der Schweiz übermittelt werden und eine solche Übermittlung nicht durch einen Angemessenheitsbeschluss des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten der Schweiz („EDÖB„) in Übereinstimmung mit den einschlägigen Bestimmungen des revDPA geregelt ist.
    8. Ex-UK-Transfer“ bezeichnet eine Verarbeitungstätigkeit, bei der personenbezogene Daten, die in Übereinstimmung mit den britischen Datenschutzgesetzen verarbeitet werden, von Lucidworks an einen Lieferanten außerhalb des Vereinigten Königreichs oder Gibraltars übertragen werden und eine solche Übertragung nicht durch einen Angemessenheitsbeschluss gemäß Abschnitt 17A des britischen Datenschutzgesetzes 2018 geregelt ist.
    9. „Personenbezogene Daten“ sind Informationen, die eine bestimmte Person oder einen bestimmten Haushalt identifizieren, sich auf sie beziehen, sie beschreiben oder mit ihnen in Verbindung gebracht werden können oder die direkt oder indirekt mit ihnen in Verbindung gebracht werden können. Diese Definition umfasst „Persönliche Daten“, „Persönliche Informationen“ oder „Persönlich identifizierbare Informationen“, wie sie in den geltenden Datenschutzgesetzen definiert sind. Personenbezogene Daten umfassen keine Informationen oder Daten, die so verarbeitet wurden, dass sie eine bestimmte betroffene Person nicht mehr identifizieren, sich auf sie beziehen, sie beschreiben oder mit ihr in Verbindung gebracht werden können.
    10. Verletzung des Schutzes personenbezogener Daten“ bedeutet jede unbefugte oder rechtswidrige Verletzung der Sicherheit, die zum unbefugten Zugriff auf Lucidworks-Daten, zu deren Offenlegung, zum Verlust, zur Veränderung oder zur Aneignung dieser Daten führt.
    11. „Verarbeitung“ oder„Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Gruppen von personenbezogenen Daten durchgeführt werden, sei es durch automatisierte Mittel, wie z. B. das Erheben, das Aufzeichnen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Abrufen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Kombination, die Einschränkung, das Löschen oder die Vernichtung.
    12. Eingeschränkte Übermittlung“ bedeutet (i) wenn die DSGVO gilt, eine Ex-EWR-Übermittlung, (ii) wenn die UK-GDPR gilt, eine Ex-UK-Übermittlung und (iii) wenn das revDPA gilt, eine Ex-Schweizer-Übermittlung.
    13. Dienstleistungen“ bezeichnet die Software, Software als Dienstleistung, softwarebezogene Produkte, Support- und Wartungsdienstleistungen, professionelle Dienstleistungen und andere Aktivitäten, die vom oder im Namen des Lieferanten für Lucidworks gemäß dem Vertrag geliefert oder durchgeführt werden, oder wie anderweitig im Vertrag definiert.
    14. „Unterauftragsverarbeiter“ bezeichnet jeden Dritten (einschließlich verbundener Unternehmen des Lieferanten), der vom oder im Namen des Lieferanten oder eines verbundenen Unternehmens des Lieferanten mit der Verarbeitung von Lucidworks-Daten in Verbindung mit den Dienstleistungen oder dem Vertrag beauftragt wird.
  2. Umfang und Anwendbarkeit. Lucidworks beauftragt hiermit den Lieferanten, Lucidworks-Daten im Namen von Lucidworks zu verarbeiten. In Bezug auf eine solche Verarbeitung und im Verhältnis zwischen dem Lieferanten und Lucidworks ist Lucidworks der für die Verarbeitung Verantwortliche (oder, wenn Lucidworks den Lieferanten im Namen eines dritten für die Verarbeitung Verantwortlichen beauftragt, ein Auftragsverarbeiter im Namen dieses für die Verarbeitung Verantwortlichen) und der Lieferant ist ein Auftragsverarbeiter (oder, wenn Lucidworks ein Auftragsverarbeiter im Namen eines dritten für die Verarbeitung Verantwortlichen ist, ist der Lieferant ein Unterauftragsverarbeiter von Lucidworks). Der „Geschäftszweck“ für die Verarbeitung von Lucidworks-Daten durch den Lieferanten im Auftrag von Lucidworks ist in Anlage 1 angegeben. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten der Lucidworks-Daten und die Kategorien der betroffenen Personen, die im Rahmen dieser DSGVO verarbeitet werden, sind in Anhang 1 näher beschrieben.
  3. Verpflichtungen des Lieferanten. Der Lieferant darf Lucidworks-Daten im Namen von Lucidworks ausschließlich in Übereinstimmung mit den Bedingungen des Vertrags, dieser DSGVO, den auf eine solche Verarbeitung durch den Lieferanten anwendbaren Datenschutzgesetzen und den rechtmäßigen Anweisungen von Lucidworks verarbeiten. Der Lieferant stellt sicher, dass jede Person, die vom Lieferanten zur Verarbeitung von Lucidworks-Daten ermächtigt ist, in Bezug auf diese personenbezogenen Daten einer angemessenen Vertraulichkeitsverpflichtung unterliegt (unabhängig davon, ob es sich um eine vertragliche oder gesetzliche Verpflichtung handelt). Der Lieferant ist verpflichtet, während der Laufzeit dieser DPA angemessene technische und organisatorische Maßnahmen gemäß Anhang 2 zu ergreifen und aufrechtzuerhalten. Bei der Beurteilung des angemessenen Sicherheitsniveaus wird der Lieferant die Risiken berücksichtigen, die sich aus der fraglichen Verarbeitung ergeben, einschließlich der Risiken, die sich aus einer Verletzung des Schutzes personenbezogener Daten ergeben. Lucidworks erkennt an, dass diese technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass der Lieferant diese technischen und organisatorischen Maßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, sofern diese Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der von Lucidworks erworbenen Dienstleistungen führen.
  4. Lucidworks Zusicherungen und Garantien. Lucidworks sichert hiermit zu und gewährleistet, dass es: (a) angemessene Benachrichtigungs- und Zustimmungsmechanismen in Übereinstimmung mit den geltenden Datenschutzgesetzen für die Erhebung, Verwendung und Offenlegung von Lucidworks-Daten bereithält; (b) über alle Zustimmungen, Genehmigungen, Rechte und Befugnisse verfügt, die für die Übertragung oder Offenlegung aller Lucidworks-Daten in Verbindung mit dem Vertrag erforderlich sind, und dem Lieferanten die Verarbeitung dieser Daten gestattet; und (c) die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit aller vom Lieferanten verarbeiteten Lucidworks-Daten trägt. Lucidworks wird den Lieferanten unverzüglich benachrichtigen, wenn es nicht in der Lage ist, eine seiner Verpflichtungen aus diesem Vertrag zu erfüllen.
  5. Unterauftragsverarbeiter. Lucidworks erkennt an und stimmt ausdrücklich zu, dass der Lieferant seine verbundenen Unternehmen oder bestimmte Dritte als Unterauftragsverarbeiter mit der Verarbeitung von Lucidworks-Daten beauftragen kann, damit der Lieferant die Dienstleistungen erbringen kann. Lucidworks ermächtigt den Lieferanten hiermit, die in Anlage 3 aufgeführten Unterauftragsverarbeiter zu beauftragen. Lucidworks hat das Recht, diese Unterauftragsverarbeiter gemäß Anhang 3 zu benachrichtigen und ihnen zu widersprechen. Vor der Verarbeitung von Lucidworks-Daten durch einen Unterauftragsverarbeiter muss der Lieferant: (a) eine Vereinbarung mit dem Unterauftragsverarbeiter abschließen, die dem Unterauftragsverarbeiter Datenschutzbedingungen hinsichtlich der Verarbeitung von Lucidworks-Daten auferlegt, die den Anforderungen der Datenschutzgesetze entsprechen, und (b) für die Einhaltung der an den Unterauftragsverarbeiter übertragenen Verpflichtungen verantwortlich bleiben.
  6. Verletzung des Schutzes personenbezogener Daten. Für den Fall, dass der Lieferant von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, wird er Lucidworks in Übereinstimmung mit den Datenschutzgesetzen unverzüglich benachrichtigen und rechtzeitig Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung stellen, sobald diese bekannt werden oder von Lucidworks in angemessener Weise angefordert werden, es sei denn, dies ist gesetzlich untersagt oder wird von einer Strafverfolgungs- oder Aufsichtsbehörde anders angeordnet. Nach einer solchen Benachrichtigung ergreift der Lieferant angemessene Maßnahmen, um die Auswirkungen des Verstoßes gegen den Schutz personenbezogener Daten abzumildern, und leistet angemessene Unterstützung und Zusammenarbeit in Bezug auf alle Benachrichtigungen, die Lucidworks gesetzlich verpflichtet ist, an betroffene Personen und Aufsichtsbehörden zu senden.
  7. Sicherheitsberichte und Audit-Verpflichtungen. Der Lieferant beantwortet (auf vertraulicher Basis) schriftlich alle angemessenen Informationsanfragen von Lucidworks, die Lucidworks (in angemessener Weise) als notwendig erachtet, um zu bestätigen, dass der Lieferant diese DPA sowie die geltenden Datenschutzgesetze (einschließlich der GLBA Safeguards Rule, soweit sie sich auf Dienstleister bezieht) einhält. Lucidworks erklärt sich damit einverstanden, dass der Lieferant die vorstehende Prüfungsverpflichtung erfüllt, indem er Lucidworks Bescheinigungen, Zertifizierungen und Zusammenfassungen von Prüfberichten akkreditierter dritter Prüfer vorlegt.
  8. Verantwortlichkeiten für die Sicherheit von Lucidworks. Ungeachtet anders lautender Bestimmungen in dieser DPA erklärt sich Lucidworks damit einverstanden, dass Lucidworks für die sichere Nutzung der Dienste verantwortlich ist, einschließlich der Sicherung der Authentifizierungsdaten seines Kontos, des Schutzes der Sicherheit der Lucidworks-Daten bei der Übertragung zu und von den Diensten und der Ergreifung geeigneter Maßnahmen zur sicheren Verschlüsselung oder Sicherung von Lucidworks-Daten, die in die Dienste hochgeladen werden, sofern dies nicht in dieser DPA vorgesehen ist. Die Haftung des Lieferanten für eine Verletzung des Schutzes personenbezogener Daten gegenüber Lucidworks und Dritten unterliegt den folgenden Bedingungen: (a) die Verletzung des Schutzes personenbezogener Daten wird durch eine Verletzung der in dieser DPA festgelegten Pflichten des Lieferanten oder seines Unterauftragsverarbeiters (einschließlich der Verletzung von Datenschutzgesetzen) verursacht; und (b) unter Ausschluss der Haftung aufgrund von Handlungen oder Unterlassungen von Lucidworks oder einer Person, die im Namen von oder gemeinsam mit Lucidworks handelt.
  9. Information und Unterstützung. Soweit ein anwendbares Datenschutzgesetz dies vorschreibt, kooperiert der Lieferant mit Lucidworks bei der Erstellung notwendiger Aufzeichnungen über die Verarbeitungstätigkeiten für Lucidworks sowie bei notwendigen Datenschutz-Folgenabschätzungen von Lucidworks oder bei der anschließenden Konsultation einer Datenschutzaufsichtsbehörde oder Regulierungsbehörde.
  10. Anfragen von Betroffenen. Soweit Lucidworks nicht in der Lage ist, selbständig auf die relevanten Lucidworks-Daten innerhalb der Services zuzugreifen, wird der Lieferant (soweit gesetzlich zulässig, auf Kosten von Lucidworks) unter Berücksichtigung der Art der Verarbeitung in angemessener Weise mit Lucidworks zusammenarbeiten, um Lucidworks durch geeignete technische und organisatorische Maßnahmen zu unterstützen, soweit dies möglich ist, um auf Anfragen von Einzelpersonen oder zuständigen Datenschutzbehörden in Bezug auf die Verarbeitung von Lucidworks-Daten im Rahmen des Vertrags zu reagieren. Falls eine solche Anfrage direkt an den Lieferanten gerichtet wird, wird der Lieferant ohne vorherige Genehmigung von Lucidworks nicht direkt auf eine solche Mitteilung reagieren, es sei denn, er ist gesetzlich dazu gezwungen.
  11. Vorladungen und Gerichtsbeschlüsse. Wenn eine Strafverfolgungsbehörde dem Lieferanten eine Forderung nach Lucidworks-Daten zukommen lässt (z. B. durch eine Vorladung oder einen Gerichtsbeschluss), muss der Lieferant Lucidworks in angemessener Weise über die Forderung informieren, damit Lucidworks eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel beantragen kann, es sei denn, dies ist dem Lieferanten gesetzlich untersagt.
  12. Rückgabe oder Vernichtung von Daten. Bei Beendigung oder Auslaufen des Vertrags aus irgendeinem Grund wird der Lieferant die Lucidworks-Daten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, auf Wunsch und nach Wahl von Lucidworks gemäß dem Vertrag vernichten oder zurückgeben. Ungeachtet dessen gilt diese Anforderung nicht, soweit der Lieferant nach geltendem Recht verpflichtet ist, einige oder alle Lucidworks-Daten aufzubewahren.
  13. Beschränkung der Haftung. Die Gesamthaftung jeder Partei und aller ihrer verbundenen Unternehmen, die sich aus oder im Zusammenhang mit dieser DPA ergibt, ob aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt den Haftungsbeschränkungen und -ausschlüssen der Vereinbarung, und jede Bezugnahme in den Bestimmungen auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen im Rahmen der Vereinbarung und dieser DPA zusammen.
  14. Internationale Datenübertragungen. Der Lieferant kann Lucidworks-Daten in die Vereinigten Staaten und an jeden anderen Ort auf der Welt, an dem der Lieferant oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge unterhalten, übertragen und dort verarbeiten, sofern der Lieferant und seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge in den Vereinigten Staaten oder an jedem anderen Ort auf der Welt, an dem der Lieferant oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge unterhalten, durchführen, vorausgesetzt, dass alle Übertragungen durch den Lieferanten, die eingeschränkte Übertragungen darstellen, einer Folgenabschätzung für die Übertragung und/oder anderen gesetzlich vorgeschriebenen Übertragungsmechanismen unterliegen, die Lucidworks auf Anfrage zur Überprüfung zur Verfügung gestellt werden.
    1. Die Parteien vereinbaren, dass, wenn es sich bei der Übertragung von Lucidworks-Daten von Lucidworks (als Datenexporteur) an den Lieferanten (als Datenimporteur) um eine Ex-EWR-Übertragung handelt, diese Übertragungen im Falle von Lucidworks, das als für die Verarbeitung Verantwortlicher handelt, dem Modul Zwei(Controller to Processor) unterliegen, oder Modul Drei(Auftragsverarbeiter an Auftragsverarbeiter), wenn Lucidworks als Auftragsverarbeiter an seinen Kunden handelt, der der für die Verarbeitung Verantwortliche ist, der Standardvertragsklauseln, die von der Europäischen Kommission mit dem Beschluss 2021/914 der Kommission vom 4. Juni 2021 (in der jeweils geänderten und aktualisierten Fassung) genehmigt wurden („EU SCCs„). Die EU SCCs gelten als durch Verweis in die Vereinbarung aufgenommen, ersetzen und ersetzen alle früheren SCCs, haben Vorrang vor dem Rest der Vereinbarung, soweit es zu Konflikten kommt, und werden für die Zwecke dieser DPA (und der britischen und schweizerischen Bestimmungen unten) wie folgt ergänzt:
      1. Die optionale Andockklausel in Klausel 7 findet keine Anwendung;
      2. In Klausel 9 gilt Option 2 (allgemeine schriftliche Genehmigung), und die Mindestfrist für die Vorankündigung von Änderungen des Unterauftragsverarbeiters ist in Anhang 3 zu dieser DPA festgelegt;
      3. In Klausel 11 ist die fakultative Sprache nicht anwendbar;
      4. In Klausel 17 (Option 1) unterliegen die EU-SCCs dem irischen Recht;
      5. In Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands entschieden;
      6. Anhang 1 zu dieser DPA enthält die in Anhang I der EU SCCs geforderten Informationen;
      7. Anhang 2 zu dieser DPA enthält die in Anhang II der EU SCCs geforderten Informationen; und
      8. Anhang 3 zu dieser DPA enthält die in Anhang III der EU SCCs geforderten Informationen.
    2. Die Parteien vereinbaren, dass die Übermittlung von Lucidworks-Daten von Lucidworks an den Lieferanten, wenn es sich um eine Übermittlung außerhalb Großbritanniens handelt, den EU-SCCs unterliegt, und zwar in der geänderten Fassung und zusammen mit den folgenden Bestimmungen, die für die Parteien mit derselben Wirkung wie die Bestimmungen und Bedingungen dieser DPA rechtsverbindlich sind:

      Teil 1:

      1. Startdatum. Das Datum des Inkrafttretens dieses Nachtrags ist das Datum des Inkrafttretens der DPA.
      2. Angaben zu den Parteien. Lucidworks“, wie in dieser DPA definiert, ist der „Exporteur“. Der Lieferant ist der „Importeur“. Die Einzelheiten der Parteien sind im Abschnitt „Unterschrift“ und in Anhang 1 aufgeführt.
      3. Nachtrag EU SCCs. Für die Zwecke dieses Nachtrags bezeichnet der Begriff „Nachtrag EU SCCs“ die EU SCCs, die in Abschnitt 6(a) dieser DPA identifiziert werden, einschließlich der Anhangsinformationen (wie unten definiert) und mit nur den Modulen, Klauseln und optionalen Bestimmungen der EU SCCs, die für die Zwecke dieses Abschnitts in Kraft gesetzt werden, wie in Abschnitt 6(a) dieser DPA dargelegt.
      4. Informationen im Anhang. „Anhangsinformationen“ oder „Tabelle 3“ im Sinne der obligatorischen Klauseln bezeichnet die Informationen, die für die genehmigten EU-SCCs bereitgestellt werden müssen und die für diesen Abschnitt wie folgt aufgeführt sind:
        1. Unter „Anhang 1A“ sind die Informationen gemäß Teil 1, Abschnitt 2 zu verstehen.
        2. Als „Anhang 1B“ gelten die Informationen in Anhang 1.
        3. Unter „Anhang II“ sind die Angaben in Anlage 2 zu verstehen.
        4. Unter „Anhang III“ sind die Angaben in Anlage 3 zu verstehen.
      5. Beendigung des Nachtrags, wenn sich der genehmigte Nachtrag ändert. Der Importeur kann die Bedingungen dieses Abschnitts wie in den obligatorischen Klauseln, Abschnitt 19, dargelegt beenden.

    Teil 2:

    Obligatorische Klauseln des genehmigten Nachtrags, d.h. die Vorlage Nachtrag B.1.0, die vom ICO herausgegeben und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegt wurde, in der gemäß Abschnitt 18 dieser obligatorischen Klauseln überarbeiteten Fassung.

    1. Die Parteien vereinbaren, dass die Übermittlung von Lucidworks-Daten von Lucidworks (als Datenexporteur) an den Lieferanten (als Datenimporteur), wenn es sich um eine Übermittlung aus der Schweiz handelt, gemäß den EU-SCCs mit den unten aufgeführten Änderungen erfolgt:
      1. Die Bestimmungen dieses Abschnitts gelten ausschließlich für die Verarbeitung von Lucidworks-Daten von betroffenen Personen, die in der Schweiz ansässig sind, und nicht für die Verarbeitung anderer personenbezogener Daten.
      2. Die Übermittlung personenbezogener Daten unterliegt, soweit gesetzlich zulässig, den Bestimmungen des revDPA; Verweise auf Bestimmungen der DSGVO in den EU SCCs sind als Verweis auf die entsprechenden Bestimmungen des revDPA zu verstehen.
      3. Klausel 13 wird dahingehend geändert, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die zuständige Aufsichtsbehörde in Bezug auf die Übermittlung personenbezogener Daten gemäß dem revDPA ist.
      4. Für die Zwecke der Klauseln ist der Begriff „Mitgliedstaat“ nicht so auszulegen, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort gemäß Klausel 18.c einzuklagen.
  15. CCPA. Dieser Abschnitt gilt nur für die persönlichen Daten kalifornischer Verbraucher, die in den Lucidworks-Daten enthalten sind. Für die Zwecke dieses Abschnitts haben die Begriffe „Sammeln“, „Verbraucher“, „Persönliche Daten“, „Verarbeitung“, „Verkauf“ und „Weitergabe“ die im CCPA festgelegte Bedeutung. Die Parteien erkennen an und stimmen zu, dass der Lieferant personenbezogene Daten gemäß der Vereinbarung als „Dienstleister“ (wie im CCPA definiert) von Lucidworks für die Geschäftszwecke (wie in dieser DPA definiert) verarbeitet. Als solcher sichert der Lieferant zu und gewährleistet Folgendes: (a) Der Lieferant wird keine personenbezogenen Daten, die er im Rahmen der Vereinbarung erhebt, für andere Zwecke als die Geschäftszwecke oder wie anderweitig durch den CCPA erlaubt, aufbewahren, verwenden oder offenlegen; (b) der Lieferant wird keine personenbezogenen Daten, die er im Rahmen der Vereinbarung erhebt, verkaufen oder weitergeben; (c) der Lieferant darf die im Rahmen der Vereinbarung gesammelten personenbezogenen Daten nicht außerhalb der direkten Geschäftsbeziehung zwischen dem Lieferanten und Lucidworks aufbewahren, verwenden oder offenlegen, es sei denn, dies ist nach dem CCPA zulässig; und (d) der Lieferant darf die im Rahmen der Vereinbarung gesammelten personenbezogenen Daten nicht mit personenbezogenen Daten kombinieren, die er von einer anderen Person oder einem anderen Unternehmen oder im Namen einer anderen Person oder eines anderen Unternehmens erhält oder die er aus seinen eigenen Interaktionen mit Einzelpersonen sammelt, es sei denn, dies ist nach dem CCPA zulässig. Die Parteien erkennen an und stimmen zu, dass jede Kombination, die im Rahmen der Dienstleistungen vorgesehen ist, vom Lieferanten für die Geschäftszwecke durchgeführt wird und dass diese Zwecke einen „Geschäftszweck“ (wie im CCPA definiert) darstellen. Der Lieferant erklärt sich ferner wie folgt einverstanden: (a) Der Lieferant wird alle anwendbaren Abschnitte des CCPA einhalten, einschließlich der Bereitstellung des gleichen Datenschutzniveaus, wie es von Unternehmen, die dem CCPA unterliegen, verlangt wird; (b) der Lieferant wird die in dieser DPA dargelegten angemessenen Sicherheitsverfahren und -praktiken in Bezug auf die personenbezogenen Daten, die er gemäß der Vereinbarung erhebt, umsetzen; (c) Lucidworks kann die Einhaltung dieses Abschnitts und der Verpflichtungen von Lucidworks gemäß dem CCPA durch den Lieferanten gemäß den in dieser DPA dargelegten Prüfungsbedingungen überwachen; (d) Lucidworks kann nach Benachrichtigung die in dieser DPA und der Vereinbarung festgelegten angemessenen und geeigneten Maßnahmen ergreifen, um eine unbefugte Nutzung personenbezogener Daten durch den Lieferanten zu unterbinden und zu beheben; (e) der Lieferant wird Lucidworks über alle Anfragen von Verbrauchern gemäß den Bestimmungen dieser DPA informieren; (f) der Lieferant benachrichtigt Lucidworks, wenn er feststellt, dass er seinen Verpflichtungen aus dem CCPA nicht mehr nachkommen kann; und (g) wenn der Lieferant bei der Erbringung von Dienstleistungen für Lucidworks einen Untervertrag mit einer anderen Person abschließt, wird der Lieferant mit diesem Unterauftragnehmer einen Vertrag abschließen, der dem CCPA entspricht.
  16. Sonstiges. Soweit zutreffend, vereinbaren die Parteien, dass durch den Abschluss und die Ausführung dieser DPA, die EU SCCs und alle Anhänge rechtsverbindliche Verträge zwischen den Parteien darstellen und hiermit als von den Parteien unterzeichnet gelten. Im Falle eines Widerspruchs zwischen dieser DPA und der Vereinbarung hat diese DPA im Umfang des Widerspruchs Vorrang. Sofern in dieser DPA nichts anderes vorgesehen ist oder das geltende Datenschutzrecht dies vorschreibt, unterliegt diese DPA dem geltenden Recht und den Gerichtsstandsbestimmungen des Vertrags und wird entsprechend ausgelegt. Alle Streitigkeiten zwischen den Parteien, die sich aus dieser DPA ergeben, werden wie in der Vereinbarung festgelegt behandelt.

Autorität der Unterzeichner. Mit ihrer Unterschrift unten erklärt jede Partei: (i) dass sie allen Bedingungen dieser DPA zustimmt und (ii) dass sie der anderen Partei zusichert, dass (A) sie die Befugnis hat, diese DPA abzuschließen, (B) alle erforderlichen gesellschaftsrechtlichen oder sonstigen Genehmigungen eingeholt wurden oder werden und (C) die Person, die diese DPA im Namen einer Partei unterzeichnet hat, dazu befugt ist.

LIEFERANT:

[SUPPLIER SOFTWARE, INC. ]

Von: ____________________________

Name:

Titel:

Datum: _____________________________		 LUCIDWORKS:

_________________________________

By: ______________________________

Name: ____________________________

Title: _____________________________

Date: _____________________________
SCHEDULE 1:
EINZELHEITEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN
  1. LISTE DER PARTEIEN
    **Für die Zwecke der EU SCCs stellen diese Informationen die Details von „Anhang 1.A“ dar.

Datenexporteur(e): Identität und Kontaktdaten des/der Datenexporteure(s) und ggf. seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union

Name: Lucidworks, Inc.

Adresse: 235 Montgomery Street, San Francisco, CA 94104

Name, Position und Kontaktdaten der Kontaktperson: xxx

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: xxx

Unterschrift und Datum: ____________________________________

Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher oder Auftragsverarbeiter (wenn Lucidworks im Auftrag eines dritten Verantwortlichen handelt)

Datenimporteur(en):

Name: Anbieter Software, Inc.

Adresse:

Name, Position und Kontaktdaten der Kontaktperson:

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Die Erbringung der Dienstleistungen durch den Lieferanten im Rahmen des Vertrags.

Unterschrift und Datum: _____________________________________________

Rolle (Verantwortlicher/Verarbeiter): Auftragsverarbeiter oder Unterauftragsverarbeiter (wenn Lucidworks ein Auftragsverarbeiter ist, der im Auftrag eines dritten für die Verarbeitung Verantwortlichen handelt)

  1. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten als Lucidworks-Daten verarbeitet und/oder übermittelt werden können: Mitarbeiter und externe Auftragnehmer von Lucidworks.

Kategorien personenbezogener Daten, die als Lucidworks-Daten verarbeitet und/oder übertragen werden können: Geschäftliche E-Mail-Adresse, geschäftliches Telefon, geschäftliche Adresse, Berufsbezeichnung.

Sensible/besondere Kategorien von übermittelten Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen (wie z.B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen): Keine.

Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden): Kontinuierlich während der Laufzeit des Vertrages.

Art der Verarbeitung: Die übertragenen Lucidworks-Daten werden in Übereinstimmung mit dieser DSGVO und dem Vertrag verarbeitet und können den folgenden Verarbeitungsaktivitäten unterliegen:

  • Speicherung und sonstige Verarbeitung, die für die Bereitstellung, Wartung und Verbesserung der Lucidworks zur Verfügung gestellten Dienste erforderlich sind;
  • technische Unterstützung für Lucidworks zu leisten; und
  • Offenlegungen in Übereinstimmung mit der Vereinbarung, wie es das Gesetz vorschreibt.

Zweck(e) der Datenübermittlung und Weiterverarbeitung: Für die Zwecke der: (i) zur Erbringung der in der Vereinbarung beschriebenen Dienstleistungen, (ii) zur Verhinderung von Betrug und zur Gewährleistung der Sicherheit der Dienstleistungen, (iii) zur Durchführung aller Schritte, die für die Erfüllung der Verpflichtungen aus der Vereinbarung erforderlich sind, (iv) auf Veranlassung eines autorisierten Benutzers (gemäß der Definition dieses Begriffs in der Vereinbarung) bei der Nutzung der Dienstleistungen und (v) zur Erfüllung anderer angemessener und rechtmäßiger Anweisungen von Lucidworks.

Den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Festlegung dieses Zeitraums verwendet werden: Innerhalb von 60 Kalendertagen nach dem Datum der Beendigung von Diensten, die die Verarbeitung personenbezogener Daten beinhalten, es sei denn, die Aufbewahrung ist durch geltende Gesetze oder Vorschriften vorgeschrieben.

Für Übermittlungen an (Unter-)Verarbeiter geben Sie auch den Gegenstand, die Art und die Dauer der Verarbeitung an: Siehe Einzelheiten in Anhang 3. Der Gegenstand der Verarbeitung durch solche Unterauftragsverarbeiter ist in Anhang 3 und oben beschrieben. Die Verarbeitung erfolgt für die unten und in Anhang 3 beschriebenen Zwecke und für die Dauer des Vertrags, die mit der Dauer der vom Lieferanten im Rahmen des Vertrags erwarteten Verarbeitung übereinstimmt und den oben beschriebenen Kriterien für die Aufbewahrungsfrist unterliegt: Erforderlich für die Erbringung von Dienstleistungen im Rahmen des Vertrags mit Lucidworks sind die erfassten Informationen der Name, die geschäftliche E-Mail-Adresse, die Berufsbezeichnung, die Geschäftsadresse und die geschäftlichen Telefonnummern der Lucidworks-Mitarbeiter.

  1. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
    Zuständige Aufsichtsbehörde (geben Sie die zuständige(n) Aufsichtsbehörde(n) in Übereinstimmung mit Klausel 13 der EWR-Standardvertragsklauseln an): Die zuständige Aufsichtsbehörde wird in Übereinstimmung mit Klausel 13 (a) der EWR-Standardvertragsklauseln oder wie hierin anderweitig vorgesehen bestimmt.** Für die Zwecke der EU SCCs stellen diese Informationen die Einzelheiten von „Anhang 1.C“ dar.
SCHEDULE 2:
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

Der Lieferant wird technische, physische und organisatorische Sicherheitsmaßnahmen ergreifen, die die in dieser Anlage 2 festgelegten Anforderungen mindestens erfüllen.

  1. Die technischen und organisatorischen Sicherheitsmaßnahmen, die für personenbezogene Daten gelten, bieten den gleichen oder einen besseren Schutz der Daten, als der Auftragsverarbeiter für seine eigenen personenbezogenen Daten und vertraulichen Informationen anwendet, aber in keinem Fall dürfen diese Schutzmaßnahmen geringer sein als die, die zur Einhaltung der Datenschutzgesetze und Unternehmensrichtlinien erforderlich sind. Die technischen und organisatorischen Sicherheitsmaßnahmen des Auftragsverarbeiters gewährleisten den Schutz der personenbezogenen Daten, der Lucidworks-Systeme und der Systeme des Auftragsverarbeiters vor unbefugter Nutzung, Veränderung, Zugriff oder Offenlegung und stellen die allgemeine Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten sicher.
  2. Ohne andere Verpflichtungen und Anforderungen einzuschränken, hat der Auftragsverarbeiter ein umfassendes, schriftliches Informationssicherheitsprogramm eingeführt und wird es beibehalten, das im Wesentlichen den Anforderungen des American Institute of Certified Public Accountants (AICPA) System and Organization Controls (SOC) 2 Type II Audit Controls entspricht. Eine oder mehrere benannte qualifizierte Personen sind für die Pflege des Informationssicherheitsprogramms des Auftragsverarbeiters verantwortlich. Der Auftragsverarbeiter wird das Informationssicherheitsprogramm regelmäßig überprüfen, mindestens jährlich und immer dann, wenn es eine wesentliche Änderung in der Praxis gibt, um vernünftigerweise vorhersehbare interne und externe Risiken für den Datenschutz, die Sicherheit und/oder die Integrität elektronischer, papiergebundener oder anderer Aufzeichnungen, die personenbezogene Daten enthalten, zu identifizieren und zu bewerten und um sicherzustellen, dass das Informationssicherheitsprogramm des Auftragsverarbeiters weiterhin den geltenden Datenschutzgesetzen entspricht.
  3. Jede Verarbeitung personenbezogener Daten erfolgt durch Informationsverarbeitungssysteme, für die wirtschaftlich angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen wurden. Jeder Auftragsverarbeiter wird angemessene und geeignete technische, physische und administrative Maßnahmen ergreifen, um die in seinem Besitz oder unter seiner Kontrolle befindlichen personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung oder versehentlichem Verlust, Zerstörung oder Beschädigung in Übereinstimmung mit den geltenden Datenschutzgesetzen zu schützen, wobei der Schaden, der aus einer unbefugten oder unrechtmäßigen Verarbeitung oder einem versehentlichen Verlust, einer versehentlichen Zerstörung oder Beschädigung entstehen könnte, und die Sensibilität der personenbezogenen Daten berücksichtigt werden.
  4. Jeder Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit von Mitarbeitern, Zeitarbeitern, Auftragnehmern und sonstigem Personal (zusammen„Personal„), das Zugang zu personenbezogenen Daten hat, zu gewährleisten, und beschränkt den Zugang zu personenbezogenen Daten auf das Personal, das eine geschäftliche Notwendigkeit für den Zugang zu diesen personenbezogenen Daten hat und eine angemessene Schulung in Bezug auf die Richtlinien und Verfahren des Auftragsverarbeiters zum Schutz der Privatsphäre und der Sicherheit, den angemessenen Umgang mit personenbezogenen Daten und die Datenschutzgesetze erhalten hat.
  5. Jeder Unterauftragsverarbeiter wird einer angemessenen Sorgfaltsprüfung unterzogen, um sicherzustellen, dass er das von dieser DSGVO und den geltenden Datenschutzgesetzen geforderte Schutzniveau für personenbezogene Daten bieten kann.
  6. Jeder Auftragsverarbeiter stellt sicher, dass sein Personal, seine Beauftragten, seine Unterauftragsverarbeiter und alle autorisierten Dritten, die Zugang zu den Räumlichkeiten von Lucidworks (oder des jeweiligen Auftragsverarbeiters) haben, alle geltenden allgemeinen, Besucher-, Datenschutz- und physischen Sicherheitsrichtlinien befolgen und nur autorisierte Bereiche betreten. Die Zugangsrechte zu den Einrichtungen müssen bei Beendigung des Arbeitsverhältnisses, des Vertrags oder der Vereinbarung aufgehoben oder bei Änderungen angepasst werden. Darüber hinaus ergreift jeder Auftragsverarbeiter wirtschaftlich angemessene Maßnahmen, um personenbezogene Daten, einschließlich vertraulicher und privater Dokumente und Medien, außerhalb der Arbeitszeiten zu sichern (z.B. verschlossene Schränke).
  7. Mindestkontrollen. Ohne Einschränkung anderer hierin enthaltener Verpflichtungen wird der Auftragsverarbeiter die folgenden Sicherheitskontrollen durchführen:
    1. Schulen Sie das Personal, das mit persönlichen Daten umgeht, mindestens einmal jährlich in Bezug auf angemessene und relevante Richtlinien, Verfahren und Vereinbarungen zur Informationssicherheit, die Bedeutung von Privatsphäre, Sicherheit und Datenschutz sowie die Notwendigkeit, die Verpflichtungen zum ordnungsgemäßen Umgang mit persönlichen Daten einzuhalten.
    2. Dokumentieren Sie Richtlinien, Verfahren und Prozesse zur Verwaltung der Sicherheitsrisiken im Zusammenhang mit der Verarbeitung personenbezogener Daten und überprüfen und aktualisieren Sie diese bei Bedarf, mindestens jedoch jährlich.
    3. Identifizierung und Verwaltung von Personal, Geräten, Systemen, Einrichtungen und anderen Vermögenswerten („Vermögenswerte„), die auf personenbezogene Daten zugreifen, diese speichern und verarbeiten und die für die Erbringung der Dienstleistungen für Lucidworks im Rahmen der Vereinbarung wesentlich sind.
    4. Führen Sie regelmäßig Sicherheitsrisikobewertungen durch, um vernünftigerweise vorhersehbare interne und externe Sicherheitsrisiken zu identifizieren und zu bewerten. Solche Risikobewertungen müssen sich an einem unternehmensweitenRisikobewertungsrahmen orientieren und mindestens einmal jährlich durchgeführt werden, um die Wahrscheinlichkeit und die Auswirkungen aller identifizierten Risiken mit Hilfe qualitativer und quantitativer Methoden zu bestimmen. Solche Risikobewertungen müssen alle relevanten Risikokategorien berücksichtigen (z.B. Prüfungsergebnisse, Bedrohungs- und Schwachstellenanalysen und die Einhaltung von Vorschriften).
    5. Beschränken Sie den Zugriff auf Assets auf autorisierte Benutzer, sammeln und analysieren Sie Zugriffsprotokolle und überprüfen Sie diese gegebenenfalls weiter.
    6. Einschränkung und sichere Verwaltung des Fernzugriffs auf Assets durch Personal und andere Personen mit Mehrfaktoren-Authentifizierung(z.B. Authentifizierung durch Überprüfung von mindestens zwei der folgenden Arten von Authentifizierungsfaktoren (i) Wissensfaktoren, wie z.B. ein Passwort, (ii) Besitzfaktoren, wie z.B. ein Token oder eine Textnachricht auf einem Mobiltelefon, oder (iii) Inhärenzfaktoren, wie z.B. ein biometrisches Merkmal).
    7. Identifizieren Sie personenbezogene Daten und zugehörige Aufzeichnungen und verwalten Sie den Zugang zu ihnen, um die Vertraulichkeit, Integrität und Verfügbarkeit dieser Informationen zu schützen.
    8. Persönliche Daten physisch und logisch von den persönlichen Daten anderer Kunden des Auftragsverarbeiters trennen.
    9. Verwalten und kontrollieren Sie den physischen Zugang zu Vermögenswerten, einschließlich Maßnahmen zur Verhinderung und Aufdeckung von unbefugtem Zugang zu Vermögenswerten (einschließlich Einrichtungen). Es sollten Überwachungsgeräte vorhanden sein, die eine Überprüfung von unbefugten Aktivitäten ermöglichen.
    10. Vernichten Sie elektronische und gedruckte Aufzeichnungen, die personenbezogene Daten enthalten, sicher in Übereinstimmung mit den Richtlinien und Verfahren zur sicheren Vernichtung.
    11. Implementierung und Verwaltung geeigneter technischer Sicherheitslösungen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von persönlichen Daten.
    12. Installieren Sie kritische Betriebssystem- und Software-Sicherheits-Patches rechtzeitig auf allen Geräten, die zur Verarbeitung personenbezogener Daten verwendet werden, und installieren Sie umgehend sicherheitsrelevante Korrekturen, die von den Hardware- oder Softwareanbietern des Auftragsverarbeiters identifiziert wurden.
    13. Installieren und konfigurieren Sie Anti-Malware-Software, um mindestens einmal täglich auf allen Geräten, die zur Verarbeitung personenbezogener Daten verwendet werden, nach Updates zu suchen.
    14. Setzen Sie Software zur Verhinderung von Datenverlusten oder andere technische Lösungen ein, um das unbefugte Kopieren oder Herunterladen personenbezogener Daten auf Wechsellaufwerke oder -geräte und/oder das unbefugte Hochladen oder Übertragen personenbezogener Daten an nicht autorisierte Orte oder Empfänger zu verhindern.
    15. Führen Sie mindestens einmal im Monat und nach jeder Änderung der Netzwerkkonfiguration Scans auf interne und externe Netzwerkschwachstellen durch.
    16. Führen Sie die Wartung und Reparatur von Komponenten des Informationssystems auf kontrollierte und sichere Weise durch.
    17. Überwachen Sie das Netzwerk und die Vermögenswerte des Auftragsverarbeiters, um Schwachstellen, Bedrohungen, anormale oder unbefugte Aktivitäten und andere potenzielle Cybersicherheitsereignisse (zusammenfassend„Ereignisse„) rechtzeitig zu erkennen.
    18. Persönliche Daten werden nicht auf tragbaren oder austauschbaren Medien gespeichert.
    19. Personenbezogene Daten werden nicht in Test- oder anderen Nicht-Produktionsumgebungen gespeichert oder verwendet.
    20. Pflegen Sie die Prozesse und Verfahren zur Reaktion auf Vorfälle und führen Sie sie aus, um eine rechtzeitige Reaktion auf entdeckte Ereignisse zu gewährleisten. Stellen Sie sicher, dass die folgenden Aktivitäten gemäß den festgelegten Prozessen und Verfahren durchgeführt werden:
      1. Untersuchen, verstehen und kategorisieren Sie Ereignisse;
      2. Führen Sie Aktivitäten durch, um ein Ereignis einzudämmen, seine Auswirkungen abzuschwächen und verbleibende Bedrohungen oder Schwachstellen zu beseitigen;
      3. Stellen Sie betroffene Vermögenswerte und persönliche Daten wieder her und ergreifen Sie andere geeignete Maßnahmen zur Schadensbegrenzung;
      4. Dokumentieren Sie Reaktions- und Wiederherstellungsaktivitäten; und
      5. Überprüfen und aktualisieren Sie regelmäßig die Richtlinien und Verfahren, um die gewonnenen Erkenntnisse einzubeziehen und potenzielle Bedrohungen und Schwachstellen anzugehen.
    21. einen Notfallwiederherstellungsplan aufrechtzuerhalten, um die Fortführung der Dienstleistungen im Rahmen der Vereinbarung und die Sicherung personenbezogener Daten im Falle einer wesentlichen Störung oder Beeinträchtigung von Daten oder Vermögenswerten zu gewährleisten.
    22. Koordinieren Sie die Wiederherstellungsaktivitäten mit Lucidworks, wenn persönliche Daten betroffen sind.
  8. Verschlüsselung und Schutz der Infrastruktur.
    1. Personenbezogene Daten, einschließlich personenbezogener Daten auf tragbaren Geräten und Sicherungsmedien, werden bei der Übertragung und im Ruhezustand verschlüsselt, wobei branchenübliche Verschlüsselungstechniken und eine sichere Verwaltung der Schlüssel verwendet werden; und
    2. Jeder Auftragsverarbeiter wird bei der Übertragung, Kommunikation, dem Fernzugriff oder der Speicherung personenbezogener Daten eine angemessene Verschlüsselung verwenden, wobei die besten Industriestandards unter Berücksichtigung der Art und des Umfangs der personenbezogenen Daten zum Einsatz kommen. Der Auftragnehmer wird den Fernzugriff oder die drahtlose Verbindung zu den Systemen von Lucidworks oder zu anderen Speichermedien, die personenbezogene Daten enthalten, nur nutzen, wenn Lucidworks schriftlich zustimmt.
  9. Systemauthentifizierung und Autorisierung. Der Zugriff auf personenbezogene Daten wird ausschließlich nach dem Prinzip „Kenntnisnahme erforderlich“ auf der Grundlage individueller Rollen und Zuständigkeiten gewährt und unterliegt sicheren Benutzerauthentifizierungsprotokollen, einschließlich Kontrollen in Bezug auf Benutzer-IDs, andere Identifikatoren, Passwörter, biometrische Daten, Authentifizierungs-Token, Verfahren zur Anmeldung bei aktiven Konten, Protokolle, die Zugriffsversuche aufzeichnen, und Sperrung nach mehreren erfolglosen Anmeldeversuchen. Der Verarbeiter wird:
    1. Implementieren Sie einen formalen, dokumentierten Prozess zur Gewährung, Änderung und Aufhebung des Zugriffs auf Systeme, die persönliche Daten enthalten;
    2. Überprüfen Sie mindestens halbjährlich formell die Zugriffsrechte der Benutzer auf Systeme, die persönliche Daten enthalten;
    3. Erlauben Sie keine Zugriffsberechtigungen, die öffentlichen Gruppen(z.B. Global, World, Everyone, etc.) Lese- oder Schreibzugriff auf persönliche Daten ermöglichen;
    4. Stellen Sie sicher, dass es auf Systemen, auf denen personenbezogene Daten verwaltet werden, keine gemeinsamen oder gruppierten Systembenutzer-IDs gibt (d.h. die Benutzer müssen eindeutig identifiziert werden);
    5. Führen Sie mindestens einmal jährlich eine Überprüfung der Zugriffsrechte auf persönliche Daten durch;
    6. elektronische Protokolle des Personals, das auf personenbezogene Daten zugreift, zu führen, in denen die Einzelheiten des Zugriffs und der vorgenommenen Transaktionsänderungen dargestellt sind, und diese elektronischen Protokolle Lucidworks auf angemessene Anfrage zur Einsichtnahme zur Verfügung zu stellen; und
    7. Führen Sie Hintergrundüberprüfungen für Mitarbeiter durch, die für persönliche Daten verantwortlich sind oder Zugang zu diesen haben, sofern dies nach geltendem Recht zulässig ist.
  10. Geschäftskontinuität. Jeder Auftragsverarbeiter stellt sicher, dass er stets über einen angemessenen Plan zur Aufrechterhaltung des Geschäftsbetriebs und zur Notfallwiederherstellung (der„Plan zur Aufrechterhaltung des Geschäftsbetriebs„) verfügt, der die fortlaufende Erfüllung seiner Verpflichtungen im Rahmen dieser DSGVO und die betriebliche Ausfallsicherheit im Allgemeinen gewährleistet. Darüber hinaus wird jeder Auftragsverarbeiter:
    1. Entwickeln und aktualisieren Sie den Business Continuity Plan von Zeit zu Zeit, in jedem Fall aber jährlich, in Übereinstimmung mit der guten Industriepraxis, und der Auftragsverarbeiter wird Lucidworks auf Anfrage eine Kopie des aktuellen Business Continuity Plans zukommen lassen.
    2. Erläutern Sie auf Wunsch von Lucidworks, wie die im Business Continuity Plan dargelegten Verfahren mit den dem Auftragsverarbeiter bekannten Business Continuity- und Disaster Recovery-Plänen und -Verfahren von Lucidworks zusammenwirken werden.
    3. Testen Sie den Business Continuity Plan mindestens einmal jährlich oder wenn der Auftragsverarbeiter wesentliche organisatorische oder umweltbezogene Änderungen vornimmt, und berichten Sie Lucidworks auf Anfrage über die Ergebnisse.
    4. Bieten Sie geografisch stabiles Hosting oder Backups an.
    5. Bieten Sie eine Ausfallsicherung für Infrastrukturdienste.
    6. Melden Sie Lucidworks jede Unterbrechung der Geschäftsaktivitäten im Zusammenhang mit einem Notfall.
  11. Software-Entwicklung. Für alle Dienstleistungen oder Lieferungen, die Software oder Computercodierung enthalten, wird der Auftragnehmer alle notwendigen Vorkehrungen treffen, um sicherzustellen, dass die Software frei von Viren, Zeitbomben, Würmern, Trojanern oder anderen absichtlich zerstörerischen, deaktivierenden oder schädlichen Vorrichtungen („destruktiver Code„) ist. Sollte Lucidworks zu irgendeinem Zeitpunkt während der Vertragslaufzeit zerstörerischen Code oder eine andere nachweisbare Sicherheitslücke entdecken, wird der Auftragsverarbeiter diese unverzüglich beheben. Der Auftragsverarbeiter muss:
    1. Befolgen Sie einen dokumentierten sicheren Softwareentwicklungsprozess.
    2. Verwenden Sie automatisierte oder manuelle Tools zur Quellcode-Analyse, um Sicherheitsmängel im Code vor der Produktionseinführung zu erkennen und zu beheben. Statische Anwendungssicherheitstests (SAST) und dynamische Anwendungssystemtests (DAST) des Anwendungscodes sollten durchgeführt werden.
    3. Durchführung von Penetrationstests für alle öffentlich zugänglichen Systeme, die personenbezogene Daten enthalten, die im Rahmen der für Lucidworks erbrachten Dienstleistungen verwendet werden.
    4. auf Kosten des Auftragsnehmers regelmäßige branchenübliche Überprüfungen der Software des Auftragsnehmers auf Sicherheitsmängel durchführen. Die Überprüfungen umfassen alle Aspekte der gelieferten Software, einschließlich Komponenten und Bibliotheken von Drittanbietern. Die Überprüfung erstreckt sich zumindest auf die üblichen Software-Schwachstellen. Die Überprüfung kann eine Kombination aus statischer Analyse des Binärcodes, dynamischem Scannen der Schwachstellen von Webanwendungen und manuellen Penetrationstests umfassen.
    5. Der Auftragsverarbeiter wird alle Sicherheitsprobleme (einschließlich, aber nicht beschränkt auf spezifische Schwachstellen und eine Zusammenfassung offener Sicherheitsprobleme), die bei der Sicherheitsüberprüfung der Software des Auftragsverarbeiters aufgedeckt wurden, verfolgen und Lucidworks auf dessen angemessene Aufforderung hin einen entsprechenden Bericht zur Verfügung stellen. Der Auftragsverarbeiter wird Informationen über Sicherheitsprobleme und die zugehörige Dokumentation angemessen schützen, um die Wahrscheinlichkeit zu verringern, dass Schwachstellen in der Betriebssoftware aufgedeckt werden. Der Auftragsverarbeiter unternimmt alle wirtschaftlich vertretbaren Anstrengungen, um alle Sicherheitsprobleme so schnell wie möglich zu beheben, und zwar im Einklang mit soliden Softwareentwicklungspraktiken und unter Berücksichtigung der Art und Schwere des Risikos.
SCHEDULE 3:
ZUGELASSENE UNTERAUFTRAGSVERARBEITER

Nachstehend finden Sie eine Liste der derzeitigen Unterauftragsverarbeiter. Nicht alle Unterauftragsverarbeiter verarbeiten in jedem Fall personenbezogene Daten. Der Lieferant kann diese Liste aktualisieren, wenn Unterauftragsverarbeiter hinzugefügt oder gelöscht werden, und Lucidworks aktualisierte Listen zur Verfügung stellen. Der Lieferant wird Lucidworks dreißig (30) Tage im Voraus über alle Änderungen an der unten stehenden Liste der genehmigten Unterauftragsverarbeiter informieren. Wenn Lucidworks der Ernennung eines Unterauftragsverarbeiters durch den Lieferanten aus triftigen Gründen, die sich auf den Schutz der Lucidworks-Daten beziehen, widerspricht, hat der Lieferant das Recht, den Widerspruch innerhalb von sechzig (60) Tagen nach dem Widerspruch von Lucidworks durch eine der folgenden Optionen (nach angemessener Wahl des Lieferanten) zu beheben: (a) Der Lieferant stellt die Nutzung des neuen Unterauftragsverarbeiters in Bezug auf Lucidworks-Daten ein; (b) der Lieferant ergreift die von Lucidworks in seinem Einspruch geforderten Korrekturmaßnahmen und setzt die Nutzung des Unterauftragsverarbeiters zur Verarbeitung von Lucidworks-Daten fort; oder (c) der Lieferant stellt die Erbringung der Dienstleistung ein oder Lucidworks erklärt sich damit einverstanden, den bestimmten Aspekt einer Dienstleistung, der die Nutzung des Unterauftragsverarbeiters zur Verarbeitung von Lucidworks-Daten beinhaltet, (vorübergehend oder dauerhaft) nicht zu nutzen.

Name des Subprozessors Adresse Kontaktperson, Titel, Kontaktinformationen Beschreibung der Datenverarbeitungsaktivitäten