Zusatz zur Datenverarbeitung (DPA)

zuletzt aktualisiert am 2/9/2024

Dieser Zusatz zur Datenverarbeitung („DPA„) tritt mit der Unterzeichnung eines Bestellformulars (jeweils eine „Vereinbarung“) in Kraft, und zwar zwischen Lucidworks, Inc. („Lucidworks“ oder „wir„) und der in der Vereinbarung als Kunde genannten Partei (auch als „Sie“ bezeichnet). Großgeschriebene Begriffe, die in dieser DPA verwendet, aber nicht definiert werden, haben die Bedeutung, die ihnen in der Vereinbarung gegeben wird. Die Parteien beabsichtigen, diese DPA als Erweiterung der Vereinbarung zu betrachten, die bestimmte Anforderungen an die Verarbeitung personenbezogener Daten festlegt, die vom Kunden zur Verfügung gestellt werden oder von Lucidworks im Rahmen der Erbringung von Dienstleistungen für den Kunden gesammelt oder anderweitig erlangt werden.

1. Definitionen.

  • „Persönliche Daten aus Kalifornien“ sind persönliche Daten, die dem Schutz des CCPA unterliegen.
  • CCPA“ bedeutet California Civil Code Sec. 1798.100 et seq. (auch bekannt als California Consumer Privacy Act von 2018, geändert durch den California Privacy Rights Act von 2020 oder „CPRA“).
  • „Verbraucher“, „Unternehmen“, „Verkaufen“, „Dienstleister“ und „Aktie“ haben die Bedeutung, die ihnen im CCPA gegeben wird.
  • „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
  • „Datenschutzgesetze“ bezeichnet alle weltweit anwendbaren Gesetze zum Datenschutz und zum Schutz der Privatsphäre, die für die jeweilige Partei in ihrer Rolle als Verarbeiter personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich, aber nicht beschränkt auf die europäischen Datenschutzgesetze, den CCPA und andere anwendbare Datenschutzgesetze auf Bundes- und Landesebene in den USA sowie die Datenschutzgesetze von Australien, Singapur und Japan, jeweils in der jeweils geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung.
  • „Betroffene Person“ bezeichnet die Person, auf die sich die persönlichen Daten beziehen.
  • Europa“ bezeichnet die Europäische Union, den Europäischen Wirtschaftsraum und/oder deren Mitgliedsstaaten, die Schweiz und das Vereinigte Königreich.
  • „Europäische Daten“ bezeichnet persönliche Daten, die dem Schutz der europäischen Datenschutzgesetze unterliegen.
  • „Europäische Datenschutzgesetze“ bezeichnet die in Europa geltenden Datenschutzgesetze, einschließlich: (i) Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation; (iii) GDPR in der Form, in der sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 Teil des innerstaatlichen Rechts des Vereinigten Königreichs ist („UK GDPR“); (iv) das Schweizerische Bundesgesetz über den Datenschutz vom 19. Juni 1992 und seine Verordnung („Swiss DPA“); und (v) die anwendbaren nationalen Datenschutzgesetze, die gemäß (i), (ii), (iii) oder (iv) erlassen wurden oder in Verbindung mit diesen gelten; jeweils in der geänderten, ersetzten oder ersetzten Fassung.
  • Anweisungen“ sind die schriftlichen, dokumentierten Anweisungen, die ein für die Verarbeitung Verantwortlicher einem Auftragsverarbeiter erteilt und diesen anweist, eine bestimmte oder allgemeine Aktion in Bezug auf personenbezogene Daten durchzuführen (einschließlich, aber nicht beschränkt auf Depersonalisierung, Sperrung, Löschung, Bereitstellung).
  • „Zugelassene verbundene Unternehmen“ sind alle Ihre verbundenen Unternehmen, die (i) die Dienste gemäß dem Vertrag nutzen dürfen, aber keinen eigenen Vertrag mit uns unterzeichnet haben und keine „Kunden“ im Sinne des Vertrags sind, (ii) als für die Verarbeitung personenbezogener Daten durch uns Verantwortliche gelten und (iii) den europäischen Datenschutzgesetzen unterliegen.
  • „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind), sofern diese Informationen in Kundendaten enthalten sind.
  • „Verletzung des Schutzes personenbezogener Daten“ bedeutet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt, die von uns und/oder unseren Unterauftragsverarbeitern in Verbindung mit der Erbringung der Dienstleistungen übermittelt, gespeichert oder anderweitig verarbeitet werden. Der Begriff „Verletzung des Schutzes personenbezogener Daten“ umfasst keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
  • „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, einschließlich des Erfassens, Aufzeichnens, Organisierens, Strukturierens, Speicherns, Anpassens oder Änderns, Abrufens, Abfragens, Verwendens, Offenlegens durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Abgleichens oder Kombinierens, Einschränkens oder Löschens von personenbezogenen Daten. Die Begriffe „Verarbeitung“, „Verarbeitungen“ und „verarbeitet“ sind entsprechend zu verstehen.
  • „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
  • „Eingeschränkte Übermittlung“ bedeutet (i) in Fällen, in denen die DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in ein Land außerhalb des Europäischen Wirtschaftsraums, die nicht Gegenstand einer Angemessenheitsbestimmung der Europäischen Kommission ist; (ii) in Fällen, in denen die britische DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht Gegenstand einer Angemessenheitsbestimmung gemäß Abschnitt 17A des britischen Datenschutzgesetzes 2018 ist; und (iii) wenn die Schweizer DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus der Schweiz in ein anderes Land, das nicht Gegenstand einer Angemessenheitsprüfung durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten oder den Bundesrat (je nach Fall) ist.
  • „Standardvertragsklauseln“ bedeutet: (i) wenn die DSGVO gilt, die Standardvertragsklauseln im Anhang des Beschlusses (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates („EU SCCs“); und (ii) in Fällen, in denen die britische Datenschutz-Grundverordnung (UK GDPR) Anwendung findet, das vom UK Information Commissioner gemäß Abschnitt 119A(1) des Data Protection Act 2018 herausgegebene Addendum zum internationalen Datentransfer („UK Addendum“) und (iii) in Fällen, in denen die Schweizer DSGVO Anwendung findet, die EU SCCs mit den vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geforderten Schweizer Änderungen („Swiss SCCs“).
  • „Unterauftragsverarbeiter“ bezeichnet jeden von uns oder unseren verbundenen Unternehmen beauftragten Auftragsverarbeiter, der uns bei der Erfüllung unserer Verpflichtungen in Bezug auf die Erbringung der Dienstleistungen im Rahmen des Vertrags unterstützt. Zu den Unterauftragsverarbeitern können Dritte oder unsere verbundenen Unternehmen gehören, nicht jedoch Mitarbeiter oder Berater von Lucidworks.

2. Umfang und Dauer. Die Parteien vereinbaren, dass der Kunde ein für die Datenverarbeitung Verantwortlicher oder ein Datenverarbeiter und Lucidworks ein Datenverarbeiter oder ein Unterauftragsverarbeiter in Bezug auf die personenbezogenen Daten ist, die Lucidworks im Namen des Kunden im Rahmen der Erbringung der vertragsgemäßen Dienstleistungen (die „Dienstleistungen“) verarbeitet. Der Gegenstand und die Dauer der Datenverarbeitung, die Art und der Zweck der Verarbeitung, die Arten der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Anhang I dieser DPA aufgeführt. Die Verarbeitung erfolgt bis zu dem Datum, an dem Lucidworks die Erbringung der Dienstleistungen für den Kunden einstellt.

3. Datenschutzverpflichtungen.

3.1 Verantwortlichkeiten des Kunden:

  1. Einhaltung von Gesetzen. Im Rahmen des Vertrags und bei der Nutzung der Dienste sind Sie für die Einhaltung aller Anforderungen verantwortlich, die für Sie nach den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten und die von Ihnen an uns erteilten Anweisungen gelten. Insbesondere, aber unbeschadet der Allgemeingültigkeit des Vorstehenden, erkennen Sie an und stimmen zu, dass Sie allein verantwortlich sind für: (i) die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und die Mittel, mit denen Sie persönliche Daten erworben haben; (ii) die Einhaltung aller erforderlichen Transparenz- und Rechtmäßigkeitsanforderungen gemäß den geltenden Datenschutzgesetzen für die Erhebung und Nutzung der personenbezogenen Daten, einschließlich der Einholung aller erforderlichen Zustimmungen und Genehmigungen (insbesondere für die Nutzung durch den Kunden zu Marketingzwecken); (iii) Sicherstellung, dass Sie das Recht haben, die personenbezogenen Daten an uns zu übertragen oder uns Zugang zu ihnen zu gewähren, damit wir sie gemäß den Bedingungen der Vereinbarung (einschließlich dieser DSGVO) verarbeiten können; (iv) Sicherstellung, dass Ihre Anweisungen an uns bezüglich der Verarbeitung personenbezogener Daten den geltenden Gesetzen, einschließlich der Datenschutzgesetze, entsprechen; und (v) die Einhaltung aller Gesetze (einschließlich der Datenschutzgesetze), die auf E-Mails oder andere Inhalte anwendbar sind, die über die Dienste erstellt, versandt oder verwaltet werden, einschließlich derjenigen, die sich auf die Einholung von Genehmigungen (sofern erforderlich) für den Versand von E-Mails, den Inhalt der E-Mails und die Praktiken der E-Mail-Bereitstellung beziehen. Sie werden uns unverzüglich informieren, wenn Sie nicht in der Lage sind, Ihren Verpflichtungen aus diesem Abschnitt „Einhaltung von Gesetzen“ oder den geltenden Datenschutzgesetzen nachzukommen.
  2. Controller-Anweisungen. Die Parteien sind sich einig, dass der Vertrag (einschließlich dieser DPA) zusammen mit Ihrer Nutzung des Dienstes in Übereinstimmung mit dem Vertrag Ihre vollständigen Anweisungen an uns in Bezug auf die Verarbeitung personenbezogener Daten darstellt, solange Sie während der Laufzeit des Abonnements zusätzliche Anweisungen erteilen können, die mit dem Vertrag, der Art und der rechtmäßigen Nutzung des Dienstes übereinstimmen.
  3. Sicherheit. Sie sind für die sichere Nutzung des Dienstes verantwortlich, einschließlich des Schutzes der Sicherheit personenbezogener Daten bei der Übertragung zum und vom Dienst (einschließlich der sicheren Sicherung oder Verschlüsselung solcher personenbezogenen Daten).

3.2 Lucidworks Verantwortlichkeiten:

  1. Befolgung der Anweisungen. Wir werden personenbezogene Daten nur für die in dieser DPA beschriebenen Zwecke oder wie anderweitig im Rahmen Ihrer rechtmäßigen Anweisungen vereinbart verarbeiten, es sei denn, das geltende Recht verlangt etwas anderes. Wir sind nicht verantwortlich für die Einhaltung von Datenschutzgesetzen, die für Sie oder Ihre Branche gelten und die nicht allgemein auf uns anwendbar sind.
  2. Gesetzeskonflikte. Wenn wir feststellen, dass wir personenbezogene Daten nicht gemäß Ihren Anweisungen verarbeiten können, weil dies nach geltendem Recht erforderlich ist, werden wir (i) Sie unverzüglich über diese gesetzliche Verpflichtung zu informieren, soweit dies nach geltendem Recht zulässig ist (es sei denn, dieses Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses); und (ii) falls erforderlich, die gesamte Verarbeitung einzustellen (abgesehen von der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten), bis Sie neue Anweisungen erteilen, denen wir nachkommen können. Wenn wir uns auf diese Bestimmung berufen, haften wir Ihnen gegenüber im Rahmen der Vereinbarung nicht für die Nichterbringung der betreffenden Dienstleistungen, bis Sie neue rechtmäßige Anweisungen zur Verarbeitung erteilen.
  3. Sicherheit. Wir werden angemessene technische und organisatorische Maßnahmen ergreifen und aufrechterhalten, um personenbezogene Daten vor Verletzungen des Datenschutzes zu schützen, wie unter https://lucidworks.com/legal/tosm/ beschrieben. („Sicherheitsmaßnahmen“). Ungeachtet gegenteiliger Bestimmungen können wir die Sicherheitsmaßnahmen nach unserem Ermessen ändern oder aktualisieren, sofern eine solche Änderung oder Aktualisierung nicht zu einer wesentlichen Verschlechterung des durch die Sicherheitsmaßnahmen gebotenen Schutzes führt.
  4. Vertraulichkeit. Wir stellen sicher, dass jede Person, die wir zur Verarbeitung personenbezogener Daten in unserem Namen ermächtigen, in Bezug auf diese personenbezogenen Daten angemessenen Vertraulichkeitsverpflichtungen unterliegt (unabhängig davon, ob es sich um eine vertragliche oder gesetzliche Verpflichtung handelt).
  5. Verstöße gegen personenbezogene Daten. Wir werden Sie unverzüglich benachrichtigen, nachdem wir von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt haben, und werden Ihnen rechtzeitig Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung stellen, sobald diese bekannt werden oder von Ihnen in angemessener Weise angefordert werden. Auf Ihr Ersuchen hin werden wir Ihnen unverzüglich die angemessene Unterstützung gewähren, die erforderlich ist, um Sie in die Lage zu versetzen, relevante Verstöße gegen personenbezogene Daten den zuständigen Behörden und/oder den betroffenen Personen zu melden, wenn Sie nach den Datenschutzgesetzen dazu verpflichtet sind.
  6. Löschung oder Rückgabe von personenbezogenen Daten. Wir werden alle Kundendaten (nach Ihrer Wahl), einschließlich personenbezogener Daten (einschließlich Kopien davon), die gemäß dieser DPA verarbeitet wurden, bei Beendigung oder Ablauf Ihrer Dienste gemäß den in unseren produktspezifischen Bedingungen festgelegten Verfahren löschen oder zurückgeben. Dies gilt nicht, wenn wir nach geltendem Recht verpflichtet sind, einige oder alle Kundendaten aufzubewahren, oder wenn wir Kundendaten auf Backup-Systemen archiviert haben. Diese Daten werden wir sicher isolieren und vor jeglicher weiteren Verarbeitung schützen und gemäß unseren Löschverfahren löschen.

4. Anfragen der betroffenen Person

Der Dienst stellt Ihnen eine Reihe von Kontrollmöglichkeiten zur Verfügung, mit denen Sie personenbezogene Daten abrufen, korrigieren, löschen oder einschränken können. Diese Kontrollmöglichkeiten können Sie nutzen, um den Dienst bei der Erfüllung seiner Verpflichtungen im Rahmen der Datenschutzgesetze zu unterstützen, einschließlich Ihrer Verpflichtungen in Bezug auf die Beantwortung von Anfragen von betroffenen Personen zur Ausübung ihrer Rechte im Rahmen der geltenden Datenschutzgesetze („Anfragen von betroffenen Personen“).

Sofern Sie nicht in der Lage sind, eine Anfrage der betroffenen Person über den Service selbst zu bearbeiten, werden wir Sie auf Ihre schriftliche Anfrage hin in angemessener Weise bei der Beantwortung von Anfragen der betroffenen Person oder von Datenschutzbehörden im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen des Vertrags unterstützen. Sie erstatten uns die kommerziell angemessenen Kosten, die durch diese Unterstützung entstehen.

Wenn eine Anfrage der betroffenen Person oder eine andere Mitteilung in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung direkt an uns gerichtet wird, werden wir Sie umgehend informieren und die betroffene Person oder den anderen Absender einer solchen Mitteilung auffordern, ihre Anfrage an Sie zu richten. Sie sind allein für die inhaltliche Beantwortung solcher Anfragen oder Mitteilungen, die personenbezogene Daten betreffen, verantwortlich.

5. Unterauftragsverarbeiter

Sie erklären sich damit einverstanden, dass wir Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten in Ihrem Namen beauftragen.

Als Unterauftragsverarbeiter haben wir derzeit die unter https://lucidworks.com/legal/sub-processors/ aufgeführten Dritten und Lucidworks-Mitgliedsunternehmen benannt. Sie können sich dafür anmelden, per E-Mail benachrichtigt zu werden, wenn wir einen Unterauftragsverarbeiter hinzufügen oder ersetzen, indem Sie das Formular unter https://legal.Lucidworks.com/subscribe-subprocessor-updates ausfüllen. Wenn Sie sich für den Erhalt einer solchen E-Mail entscheiden, werden wir Sie mindestens 30 Tage vor einer solchen Änderung benachrichtigen.

Wir geben Ihnen die Möglichkeit, der Beauftragung neuer Unterauftragsverarbeiter aus triftigen Gründen im Zusammenhang mit dem Schutz personenbezogener Daten innerhalb von 30 Tagen nach Ihrer Benachrichtigung zu widersprechen. Wenn Sie uns einen solchen Einwand mitteilen, werden die Parteien Ihre Bedenken in gutem Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu finden. Wenn keine solche Lösung erreicht werden kann, werden wir nach unserem alleinigen Ermessen entweder den neuen Unterauftragsverarbeiter nicht ernennen oder Ihnen gestatten, die betroffenen Dienste gemäß den Kündigungsbestimmungen der Vereinbarung auszusetzen oder zu beenden, ohne dass eine der Parteien dafür haftbar gemacht werden kann (jedoch unbeschadet der Gebühren, die Ihnen vor der Aussetzung oder Beendigung entstanden sind). Die Parteien sind sich einig, dass Lucidworks mit der Einhaltung dieses Unterabschnitts seine Verpflichtungen aus Abschnitt 9 der Standardvertragsklauseln erfüllt.

Wenn wir Unterauftragsverarbeiter beauftragen, werden wir den Unterauftragsverarbeitern Datenschutzbedingungen auferlegen, die mindestens das gleiche Maß an Schutz für personenbezogene Daten bieten wie die in dieser DPA (gegebenenfalls einschließlich der Standardvertragsklauseln), soweit dies auf die Art der von diesen Unterauftragsverarbeitern erbrachten Dienstleistungen zutrifft.

6. Datenübertragungen

Sie nehmen zur Kenntnis und erklären sich damit einverstanden, dass wir weltweit auf personenbezogene Daten zugreifen und diese verarbeiten können, soweit dies für die Erbringung des Dienstes in Übereinstimmung mit der Vereinbarung erforderlich ist, und dass insbesondere personenbezogene Daten an Lucidworks, Inc. in den Vereinigten Staaten und in andere Rechtsordnungen, in denen Lucidworks-Tochtergesellschaften und Unterauftragsverarbeiter tätig sind, übermittelt und von diesen verarbeitet werden können. Wo immer personenbezogene Daten außerhalb ihres Herkunftslandes übertragen werden, stellt jede Partei sicher, dass diese Übertragungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze erfolgen.

7. Nachweis der Einhaltung

In diesem Abschnitt 7 (Nachweis der Einhaltung) wird dargelegt, wie wir Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DSGVO nachzuweisen, und wie wir Prüfungen ermöglichen und dazu beitragen, einschließlich Inspektionen, die von Ihnen oder Ihrem Prüfer durchgeführt werden, um die Einhaltung dieser DSGVO zu bewerten, sofern dies nach geltendem Recht erforderlich ist. Sie erkennen an und erklären sich damit einverstanden, dass Sie Ihre Prüfungsrechte gemäß dieser DPA und Klausel 8.9 der Standardvertragsklauseln ausüben, indem Sie uns anweisen, die in diesem Abschnitt „Nachweis der Einhaltung“ beschriebenen Prüfungsmaßnahmen durchzuführen. Sie erkennen an, dass der Dienst von unseren Hosting-Unterverarbeitern gehostet wird, die unabhängig validierte Sicherheitsprogramme (z.B. SOC 2 oder ISO 27001) unterhalten, und dass unsere Systeme jährlich im Rahmen der ISO 27001-Compliance geprüft und regelmäßig von unabhängigen Drittanbietern auf Penetrationstests getestet werden. Auf Anfrage stellen wir Ihnen (auf vertraulicher Basis) den Nachweis unserer ISO 270001-Zertifizierung und zusammenfassende Kopien unserer Penetrationstests zur Verfügung, damit Sie überprüfen können, ob wir diese Datenschutzbestimmungen einhalten. Sie können Kopien dieser Dokumente von der Sicherheits-Website von Lucidworks unter trust.Lucidworks.com herunterladen. Darüber hinaus werden wir auf Ihre schriftliche Anfrage hin schriftliche Antworten (auf vertraulicher Basis) auf alle von Ihnen gestellten angemessenen Informationsanfragen geben, die notwendig sind, um zu bestätigen, dass wir diese DSGVO einhalten, vorausgesetzt, dass Sie dieses Recht nicht mehr als einmal pro Kalenderjahr ausüben, es sei denn, Sie haben berechtigte Gründe, eine Nichteinhaltung der DSGVO zu vermuten.

8. Zusätzliche Bestimmungen für europäische Daten

  1. Umfang. Dieser Abschnitt „Zusätzliche Bestimmungen für europäische Daten“ gilt nur in Bezug auf europäische Daten.
  2. Datenschutz-Folgenabschätzungen und Konsultation mit Aufsichtsbehörden. Soweit uns die erforderlichen Informationen in angemessener Weise zur Verfügung stehen und Sie nicht anderweitig Zugang zu den erforderlichen Informationen haben, unterstützen wir Sie in angemessener Weise bei der Durchführung von Datenschutz-Folgenabschätzungen und der vorherigen Konsultation von Aufsichtsbehörden (z.B. der französischen Datenschutzbehörde (CNIL), der Berliner Datenschutzbehörde (BlnBDI) und dem UK Information Commissioner’s Office (ICO)) oder anderen zuständigen Datenschutzbehörden, soweit dies durch europäische Datenschutzgesetze vorgeschrieben ist.)
  3. Übertragungsmechanismen für Datenübertragungen.
  4. Lucidworks wird sich nicht an einer eingeschränkten Übermittlung europäischer Daten beteiligen (und keinem Unterauftragsverarbeiter erlauben, sich daran zu beteiligen) (weder als Exporteur noch als Importeur der europäischen Daten), es sei denn, Lucidworks ergreift zuvor alle erforderlichen Maßnahmen, um sicherzustellen, dass die Übermittlung im Einklang mit den geltenden europäischen Datenschutzgesetzen steht. Zu diesen Maßnahmen kann die Übermittlung solcher Daten gehören (ohne Einschränkung: an einen Empfänger, der durch einen geeigneten Rahmen oder einen anderen rechtlich angemessenen Übermittlungsmechanismus abgedeckt ist, der von den zuständigen Behörden oder Gerichten als ein angemessenes Schutzniveau für personenbezogene Daten anerkannt ist, zwischen Parteien, die verbindlichen Unternehmensregeln unterliegen, die in Übereinstimmung mit den europäischen Datenschutzgesetzen genehmigt wurden, oder an einen Empfänger, der geeignete Standardvertragsklauseln ausgefertigt hat).
  5. Handelt es sich bei der Übermittlung europäischer Daten vom Kunden an Lucidworks um eine eingeschränkte Übermittlung, vereinbaren die Parteien, dass diese den entsprechenden Standardvertragsklauseln (die durch Verweis in den Vertrag aufgenommen werden und Teil des Vertrags sind) wie folgt unterliegt:
  6. EWR-Übertragungen. In Bezug auf europäische Daten, die der DSGVO unterliegen, werden die EU-SCCs wie folgt ergänzt angewendet: (i) die Bedingungen von Modul Zwei (Controller to Processor) gelten in dem Maße, in dem der Kunde ein Controller der europäischen Daten ist und Lucidworks die Kundendaten als Prozessor verarbeitet, und die Bedingungen von Modul Drei (Processor to Sub-Processor) gelten, wenn der Kunde ein Prozessor ist und Lucidworks die Kundendaten als Sub-Processor verarbeitet; (ii) in Klausel 7 gilt die optionale Andockklausel; (iii) in Klausel 9 gilt Option 2 und Änderungen an Unterauftragsverarbeitern werden in Übereinstimmung mit dem Abschnitt „Unterauftragsverarbeiter“ dieser DPA mitgeteilt; (iv) in Klausel 11 wird die fakultative Formulierung gestrichen; (v) In den Klauseln 17 und 18 vereinbaren die Parteien, dass sich das anwendbare Recht und der Gerichtsstand für Streitigkeiten in Bezug auf die Standardvertragsklauseln nach dem Abschnitt ‚Vertragspartner; Anwendbares Recht; Hinweis‘ der Besonderen Bedingungen für den Gerichtsstand oder, wenn in diesem Abschnitt kein EU-Mitgliedstaat angegeben ist, nach der Republik Irland (ohne Bezugnahme auf kollisionsrechtliche Grundsätze) bestimmt; (vi) die Anhänge der Standardvertragsklauseln gelten mit den in Anhang I und II dieser DPA aufgeführten Informationen als ausgefüllt.
  7. UK Übertragungen. In Bezug auf europäische Daten, die der UK GDPR unterliegen, gilt der UK-Zusatz wie folgt: (i) die wie in Unterabschnitt 8e.(B)(a) oben ausgefüllten EU SCCs gelten auch für Übermittlungen solcher europäischer Daten, vorbehaltlich Unterklausel (ii); und (ii) die Tabellen 1, 2 und 3 des UK Addendum gelten als ausgefüllt mit den relevanten Informationen aus den wie oben ausgefüllten EU SCCs (einschließlich der Informationen in den Anhängen dieser DPA) und Tabelle 4 gilt als ausgefüllt, indem „keine Partei“ ausgewählt wird.
  8. Schweizer Übermittlungen. In Bezug auf europäische Daten, die der Schweizer DSGVO unterliegen, gelten die Schweizer SCCs wie folgt ergänzt: Die EU SCCs, die wie in Unterabschnitt 8e.(B) (a) oben ergänzt wurden, gelten auch für Übermittlungen solcher europäischer Daten, vorbehaltlich der in Unterabsatz (i) bis (viii) aufgeführten Änderungen („Schweizer Änderungen“). Soweit die Übermittlung sowohl der Schweizer DSGVO als auch der DSGVO oder der UK-GDPR unterliegt, gelten die Schweizer Änderungen nur in Bezug auf die Schweizer DSGVO und berühren nicht die Anwendung der Klauseln der EU-SCCs für die Zwecke der DSGVO oder UK-GDPR. (i) Verweise auf die „Verordnung (EU) 2016/679“ oder „diese Verordnung“ werden als Verweise auf das Schweizer DSG, soweit anwendbar, ausgelegt; (ii) Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt des Schweizer DSG ersetzt; (iii) Verweise auf „EU“, „Union“, „Mitgliedstaat“ und „mitgliedstaatliches Recht“ werden als Verweise auf „Schweiz“ bzw. „schweizerisches Recht“ ausgelegt; (iv) der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort einzuklagen (d. h.e., (v) Klausel 13 (a) und Teil C des Anhangs I werden nicht verwendet; die zuständige Aufsichtsbehörde ist der EDÖB, soweit die Übermittlungen durch das schweizerische DSG geregelt sind. (vi) Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständige Gerichte“ werden durch „den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“ und „die zuständigen Gerichte in der Schweiz“ ersetzt; (vii) in Klausel 17 unterliegen die EU-DSGKs den Gesetzen der Schweiz; und (viii) die EU-DSGKs schützen bis zum Inkrafttreten des revidierten Schweizer Bundesdatenschutzgesetzes auch die Daten von juristischen Personen.
  9. Sollte eine Bestimmung dieser DPA direkt oder indirekt im Widerspruch zu den Standardvertragsklauseln stehen, haben die Standardvertragsklauseln Vorrang.

9. Zusätzliche Bestimmungen für persönliche Daten aus Kalifornien

  1. Umfang. Der Abschnitt ‚Zusätzliche Bestimmungen für persönliche Daten aus Kalifornien‘ der DPA gilt nur für persönliche Daten aus Kalifornien.
  2. Die Rollen der Parteien. Bei der Verarbeitung personenbezogener Daten aus Kalifornien in Übereinstimmung mit Ihren Anweisungen erkennen die Parteien an und stimmen zu, dass Sie ein Unternehmen und wir ein Dienstleister im Sinne des CCPA sind.
  3. Verantwortlichkeiten. Wir bestätigen, dass wir persönliche Daten aus Kalifornien als Dienstleister ausschließlich zum Zweck der Erbringung der Dienstleistungen und Beratungsdienste im Rahmen der Vereinbarung (der „Geschäftszweck“) oder wie anderweitig durch das CCPA erlaubt, verarbeiten werden, einschließlich der im Abschnitt „Nutzungsdaten“ unserer Datenschutzrichtlinie beschriebenen. Außerdem bestätigen wir, dass wir i) Persönliche Daten aus Kalifornien weder verkaufen noch weitergeben; (ii) keine persönlichen Daten aus Kalifornien außerhalb der direkten Geschäftsbeziehung zwischen den Parteien verarbeiten, es sei denn, dies ist gesetzlich vorgeschrieben; und (iii) die in den Kundendaten enthaltenen persönlichen Daten aus Kalifornien nicht mit persönlichen Daten kombinieren, die wir aus einer anderen Quelle sammeln oder erhalten (mit Ausnahme von Informationen, die wir aus einer anderen Quelle in Verbindung mit unseren Verpflichtungen als Dienstanbieter im Rahmen des Vertrags erhalten).
  4. Einhaltung der Vorschriften. Wir werden (i) die Verpflichtungen einhalten, die für uns als Dienstanbieter gemäß CCPA gelten, und (ii) Persönliche Daten aus Kalifornien mit dem gleichen Maß an Datenschutz zu versehen, wie es das CCPA vorschreibt. Wir werden Sie benachrichtigen, wenn wir zu dem Schluss kommen, dass wir unseren Verpflichtungen als Service Provider gemäß CCPA nicht mehr nachkommen können.
  5. CCPA-Prüfungen. Sie haben das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass wir die persönlichen Daten aus Kalifornien in einer Weise verwenden, die mit den Verpflichtungen des Kunden gemäß dem CCPA übereinstimmt. Nach einer Benachrichtigung haben Sie das Recht, angemessene und geeignete Schritte in Übereinstimmung mit der Vereinbarung zu unternehmen, um die unbefugte Nutzung von persönlichen Daten aus Kalifornien zu stoppen und zu beheben.
  6. Kein Verkauf. Die Parteien erkennen an und vereinbaren, dass die Weitergabe von persönlichen Daten aus Kalifornien durch den Kunden an Lucidworks nicht Teil einer monetären oder anderen wertvollen Gegenleistung ist, die zwischen den Parteien ausgetauscht wird.

10. Allgemeine Bestimmungen

  1. Änderungsanträge. Ungeachtet anderslautender Bestimmungen in der Vereinbarung und unbeschadet der Abschnitte ‚Einhaltung von Anweisungen‘ oder ‚Sicherheit‘ dieser DPA behalten wir uns das Recht vor, Aktualisierungen und Änderungen an dieser DPA vorzunehmen, und es gelten die Bestimmungen, die im Abschnitt ‚Änderung; kein Verzicht‘ der Allgemeinen Bedingungen aufgeführt sind.
  2. Trennbarkeit. Sollten einzelne Bestimmungen dieser DPA ungültig oder nicht durchsetzbar sein, wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser DPA nicht berührt.
  3. Einschränkung der Haftung. Jede Partei und jedes ihrer verbundenen Unternehmen haftet insgesamt aus oder im Zusammenhang mit dieser DPA (und allen anderen DPAs zwischen den Parteien) und den Standardvertragsklauseln (falls zutreffend), unabhängig davon, ob es sich um einen Vertrag, eine unerlaubte Handlung oder eine andere Haftungstheorie handelt, vorbehaltlich der Haftungsbeschränkungen und -ausschlüsse, die im Abschnitt „Haftungsbeschränkung“ der Allgemeinen Geschäftsbedingungen dargelegt sind, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen im Rahmen der Vereinbarung (einschließlich dieser DPA).
  4. Geltendes Recht. Diese DPA unterliegt den Abschnitten „Vertragspartner“, „Anwendbares Recht“ und „Bekanntmachung“ der Besonderen Bedingungen für den Gerichtsstand und ist entsprechend auszulegen, sofern die Datenschutzgesetze nichts anderes vorschreiben.

11. Parteien dieser DPA

  1. Erlaubte verbundene Unternehmen. Mit der Unterzeichnung der Vereinbarung schließen Sie diese DPA (einschließlich der Standardvertragsklauseln, sofern zutreffend) in Ihrem eigenen Namen sowie im Namen und im Auftrag Ihrer zugelassenen verbundenen Unternehmen ab. Sofern nicht anders angegeben, schließen die Begriffe „Kunde“, „Sie“ und „Ihr“ ausschließlich Sie und die zugelassenen verbundenen Unternehmen ein.
  2. Autorisierung. Die juristische Person, die dieser DPA als Kunde zustimmt, versichert, dass sie befugt ist, dieser DPA für sich selbst und ggf. für jedes ihrer zugelassenen verbundenen Unternehmen zuzustimmen und sie abzuschließen.
  3. Abhilfemaßnahmen. Die Parteien vereinbaren, dass (i) ausschließlich das Unternehmen des Kunden, das Vertragspartei der Vereinbarung ist, im Namen seiner Verbundenen Unternehmen Rechte ausüben oder Rechtsmittel einlegen wird, die einem zugelassenen Verbundenen Unternehmen gemäß dieser DPA zustehen, und (ii) das Unternehmen des Kunden, das Vertragspartner der Vereinbarung ist, übt diese Rechte im Rahmen dieser DPA nicht für jedes Zugelassene Verbundene Unternehmen einzeln aus, sondern für sich und alle seine Zugelassenen Verbundenen Unternehmen zusammen. Das Kundenunternehmen, das der Auftraggeber ist, ist für die Koordinierung aller Anweisungen, Genehmigungen und Mitteilungen mit uns im Rahmen der DPA verantwortlich und ist berechtigt, alle Mitteilungen im Zusammenhang mit dieser DPA im Namen seiner zugelassenen verbundenen Unternehmen zu machen und zu empfangen.
  4. Andere Rechte. Die Parteien vereinbaren, dass Sie bei der Überprüfung unserer Einhaltung dieser DPA gemäß dem Abschnitt „Nachweis der Einhaltung“ alle angemessenen Maßnahmen ergreifen, um die Auswirkungen auf uns und unsere verbundenen Unternehmen zu begrenzen, indem Sie mehrere Prüfungsanfragen, die im Namen des Kundenunternehmens, das Vertragspartner der Vereinbarung ist, und aller seiner zugelassenen verbundenen Unternehmen durchgeführt werden, in einer einzigen Prüfung zusammenfassen.

APPENDIX

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(e):

(1) Name: Siehe Name(n) des Kunden in der Vereinbarung.

Adresse: Siehe die im Vertrag angegebene Kundenadresse.

Name, Position und Kontaktdaten der Kontaktperson: Siehe Angaben zur Kontaktperson des Kunden in der Vereinbarung.

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Die Inanspruchnahme der Dienstleistungen im Rahmen des Vertrags.

Unterschrift und Datum: Siehe Unterschriftsblock des Abkommens.

Rolle (Controller/Prozessor): Controller

Datenimporteur(e):

Lucidworks, Inc.
235 Montgomery Street, Suite 500
San Francisco, CA 94104
Achtung: VP, Global Legal Affairs
legal@lucidworks.com
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Die Erbringung der Dienstleistungen im Rahmen der Vereinbarung.

Unterschrift und Datum: Siehe Unterschriftsblock des Abkommens.

Rolle (Controller/Prozessor): Prozessor

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

Personen, über die dem Datenimporteur/-verarbeiter über die Dienste (oder auf Anweisung) personenbezogene Daten zur Verfügung gestellt werden; der für die Verarbeitung Verantwortliche oder die Endnutzer des für die Verarbeitung Verantwortlichen, zu denen unter anderem die Mitarbeiter, Auftragnehmer und Endnutzer des für die Verarbeitung Verantwortlichen gehören können. Kategorien der übermittelten personenbezogenen Daten

Personenbezogene Daten, die dem Auftragsverarbeiter über die Dienste von (oder auf Anweisung von) der verantwortlichen Stelle oder den Endbenutzern der verantwortlichen Stelle zur Verfügung gestellt werden, einschließlich, aber nicht beschränkt auf: Benutzerprofil: Vorname, Nachname, E-Mail, Passwort (wenn SSO nicht verwendet wird) und alle anderen Kontaktinformationen, demografische Informationen oder andere Informationen, die vom Benutzer in unstrukturierten Daten bereitgestellt werden. Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z.B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.

K.A.

Die Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Auf kontinuierlicher Basis.

Art der Verarbeitung

Die Bereitstellung der Services, wie im Vertrag näher beschrieben.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Die Bereitstellung der Services, wie im Vertrag näher beschrieben.

den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird

Die personenbezogenen Daten werden so lange aufbewahrt, wie es für die Erbringung der Dienstleistungen im Rahmen des Vertrags und unter Berücksichtigung der geltenden Gesetze erforderlich ist.

Bei Übermittlungen an (Unter-)Verarbeiter geben Sie auch Gegenstand, Art und Dauer der Verarbeitung an

Wenn Lucidworks Unterauftragsverarbeiter einsetzt, so geschieht dies in Übereinstimmung mit den Bedingungen der anwendbaren Standardvertragsklauseln. Gegenstand, Art und Dauer der von Lucidworks und etwaigen Unterauftragsverarbeitern durchgeführten Verarbeitungstätigkeiten werden nicht über Gegenstand, Art und Dauer der in diesem Anhang beschriebenen Verarbeitungstätigkeiten hinausgehen.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Nennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13

Die Aufsichtsbehörde, die für die Einhaltung der DSGVO durch den Datenexporteur in Bezug auf eingeschränkte Übermittlungen zuständig ist, ist die Aufsichtsbehörde von Irland.

Soweit die Datenübermittlung durch die britische Datenschutz-Grundverordnung geregelt ist, ist die Aufsichtsbehörde das Information Commissioner’s Office.

Soweit die Datenübermittlung unter das Schweizerische Bundesgesetz über den Datenschutz fällt, ist die Aufsichtsbehörde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte der Schweiz.

Quick Links