Zusatz zur Datenverarbeitung (DPA)

zuletzt aktualisiert am 3/6/2026

Dieser Zusatz zur Datenverarbeitung („DPA“) tritt mit der Unterzeichnung eines Bestellformulars (jeweils eine „Vereinbarung“) durch und zwischen Lucidworks, Inc. („Lucidworks“ oder „wir“) und der in der Vereinbarung als Kunde genannten Partei (auch als „Sie“ bezeichnet) in Kraft. Großgeschriebene Begriffe, die in dieser DPA verwendet, aber nicht definiert werden, haben die Bedeutung, die ihnen in der Vereinbarung gegeben wird. Die Parteien beabsichtigen, dass diese DPA eine Erweiterung der Vereinbarung ist, die bestimmte Anforderungen an die Verarbeitung personenbezogener Daten umreißt, die vom Kunden zur Verfügung gestellt, gesammelt oder anderweitig von Lucidworks im Rahmen der Erbringung von Dienstleistungen für den Kunden erlangt werden.

1. Definitionen

  • „Persönliche Daten aus Kalifornien“ sind persönliche Daten, die dem Schutz des CCPA unterliegen.
  • „CCPA“ bedeutet California Civil Code Sec. 1798.100 et seq. (auch bekannt als California Consumer Privacy Act von 2018, geändert durch den California Privacy Rights Act von 2020 oder CPRA).
  • „Verbraucher“, „Unternehmen“, „verkaufen“, „Dienstleister“ und „Aktie“ haben die Bedeutung, die ihnen im CCPA gegeben wird.
  • „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
  • „Datenschutzgesetze“ bezeichnen alle anwendbaren weltweiten Gesetze zum Datenschutz und zum Schutz der Privatsphäre, die für die jeweilige Partei in der Rolle der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich, aber nicht beschränkt auf die europäischen Datenschutzgesetze, den CCPA, andere anwendbare Datenschutzgesetze auf Bundes- und Landesebene in den USA und die Datenschutzgesetze von Australien, Singapur und Japan, jeweils in der von Zeit zu Zeit geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung.
  • „Betroffene Person“ bezeichnet die Person, auf die sich die persönlichen Daten beziehen.
  • „Europa“ bezeichnet die Europäische Union, den Europäischen Wirtschaftsraum und/oder seine Mitgliedsstaaten, die Schweiz und das Vereinigte Königreich.
  • „Europäische Daten“ bezeichnet persönliche Daten, die dem Schutz der europäischen Datenschutzgesetze unterliegen.
  • „Europäische Datenschutzgesetze“ sind die in Europa geltenden Datenschutzgesetze, einschließlich: (i) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung oder „DSGVO“); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation; (iii) GDPR, da sie aufgrund von Abschnitt 3 des European Union (Withdrawal) Act 2018 („UK GDPR“) Teil des nationalen Rechts des Vereinigten Königreichs ist; (iv) Schweizerisches Bundesgesetz über den Datenschutz vom 19. Juni 1992 und dessen Verordnung („Schweizerisches Datenschutzgesetz“); und (v) geltende nationale Datenschutzgesetze, die im Rahmen von, aufgrund von oder in Verbindung mit einer der folgenden Bestimmungen gelten (i), (ii), (iii), oder (iv), jeweils in der geänderten, überholten oder ersetzten Fassung.
  • „Anweisungen“ sind die schriftlichen, dokumentierten Anweisungen, die ein für die Verarbeitung Verantwortlicher einem Auftragsverarbeiter erteilt und diesen anweist, eine bestimmte oder allgemeine Maßnahme in Bezug auf personenbezogene Daten durchzuführen (einschließlich, aber nicht beschränkt auf das Depersonalisieren, Sperren, Löschen oder Verfügbarmachen).
  • „Zugelassene verbundene Unternehmen“ sind alle Ihre verbundenen Unternehmen, die (i) die Dienste gemäß der Vereinbarung nutzen dürfen, aber keine eigene Vereinbarung mit uns unterzeichnet haben und keine Kunden im Sinne der Vereinbarung sind; (ii) als für die Verarbeitung personenbezogener Daten durch uns Verantwortliche gelten; und (iii) den europäischen Datenschutzgesetzen unterliegen.
  • „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind), sofern diese Informationen in Kundendaten enthalten sind.
  • „Verletzung des Schutzes personenbezogener Daten“ bedeutet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt, die von uns und/oder unseren Unterauftragsverarbeitern in Verbindung mit der Erbringung der Dienstleistungen übermittelt, gespeichert oder anderweitig verarbeitet werden. Der Begriff „Verletzung des Schutzes personenbezogener Daten“ umfasst keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht beeinträchtigen, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
  • „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, wie z.B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung und Löschen oder Vernichten. Die Begriffe „Verarbeitung“, „Verarbeitungen“ und „verarbeitet“ werden entsprechend ausgelegt.
  • „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
  • „Eingeschränkte Übermittlung“ bedeutet (i) wenn die DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in ein Land außerhalb des Europäischen Wirtschaftsraums, die nicht Gegenstand einer Angemessenheitsfeststellung durch die Europäische Kommission ist; (ii) wenn die britische DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht Gegenstand einer Angemessenheitsfeststellung gemäß Abschnitt 17A des britischen Datenschutzgesetzes 2018 ist; und (iii) wenn die Schweizer DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus der Schweiz in ein anderes Land, das nicht Gegenstand einer Angemessenheitsprüfung durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten oder den Bundesrat (je nach Fall) ist.
  • „Standardvertragsklauseln“ bedeuten (i) wenn die DSGVO gilt, die Standardvertragsklauseln im Anhang des Beschlusses (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates („EU SCCs“); (ii) in Fällen, in denen die britische Datenschutz-Grundverordnung (UK GDPR) Anwendung findet, das vom UK Information Commissioner gemäß Abschnitt 119A(1) des Data Protection Act 2018 herausgegebene Addendum zum internationalen Datentransfer („UK Addendum“); und (iii) in Fällen, in denen die Schweizer DSGVO Anwendung findet, die EU SCCs mit den vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) geforderten Schweizer Änderungen („Swiss SCCs“).
  • „Unterauftragsverarbeiter“ bezeichnet jeden von uns oder unseren verbundenen Unternehmen beauftragten Auftragsverarbeiter, der uns bei der Erfüllung unserer Verpflichtungen in Bezug auf die Erbringung der Dienstleistungen im Rahmen des Vertrags unterstützt. Zu den Unterauftragsverarbeitern können Dritte oder unsere verbundenen Unternehmen gehören, nicht jedoch Mitarbeiter oder Berater von Lucidworks.

2. Umfang und Dauer

Die Parteien vereinbaren, dass zwischen den Parteien der Kunde der für die Datenverarbeitung Verantwortliche oder der Datenverarbeiter und Lucidworks ein Datenverarbeiter oder ein Unterauftragsverarbeiter in Bezug auf die personenbezogenen Daten ist, die Lucidworks im Namen des Kunden im Rahmen der Erbringung der vertragsgemäßen Dienstleistungen (die „Dienstleistungen“) verarbeitet. Der Gegenstand und die Dauer der Datenverarbeitung, die Art und der Zweck der Verarbeitung, die Arten der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Anhang I dieser DPA aufgeführt. Die Verarbeitung erfolgt bis zu dem Datum, an dem Lucidworks die Erbringung der Dienstleistungen für den Kunden einstellt.

3. Datenschutz-Verpflichtungen

3.1 Verantwortlichkeiten des Kunden

  1. Einhaltung von Gesetzen. Im Rahmen des Vertrags und bei der Nutzung der Dienste sind Sie für die Einhaltung aller Anforderungen verantwortlich, die für Sie nach den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten und die von Ihnen an uns erteilten Anweisungen gelten. Insbesondere, aber unbeschadet der Allgemeingültigkeit des Vorstehenden, erkennen Sie an und stimmen zu, dass Sie allein verantwortlich sind für: (i) die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und die Mittel, mit denen Sie persönliche Daten erworben haben; (ii) die Einhaltung aller erforderlichen Transparenz- und Rechtmäßigkeitsanforderungen gemäß den geltenden Datenschutzgesetzen für die Erhebung und Nutzung der personenbezogenen Daten, einschließlich der Einholung aller erforderlichen Zustimmungen und Genehmigungen (insbesondere für die Nutzung durch den Kunden zu Marketingzwecken); (iii) Sicherstellung, dass Sie das Recht haben, die personenbezogenen Daten an uns zu übertragen oder uns Zugang zu ihnen zu gewähren, um sie gemäß den Bedingungen des Vertrags (einschließlich dieser DSGVO) zu verarbeiten; (iv) Sicherstellung, dass Ihre Anweisungen an uns bezüglich der Verarbeitung personenbezogener Daten den geltenden Gesetzen, einschließlich der Datenschutzgesetze, entsprechen; und (v) die Einhaltung aller Gesetze (einschließlich der Datenschutzgesetze), die auf E-Mails oder andere Inhalte anwendbar sind, die über die Dienste erstellt, versandt oder verwaltet werden, einschließlich der Gesetze, die sich auf die Einholung von Genehmigungen (sofern erforderlich) für den Versand von E-Mails, den Inhalt der E-Mails und die Praktiken der E-Mail-Bereitstellung beziehen. Sie werden uns unverzüglich informieren, wenn Sie nicht in der Lage sind, Ihren Verpflichtungen gemäß dem Abschnitt Einhaltung von Gesetzen oder anwendbaren Datenschutzgesetzen nachzukommen.
  2. Controller-Anweisungen. Die Parteien sind sich einig, dass die Vereinbarung (einschließlich dieser DPA) zusammen mit Ihrer Nutzung des Dienstes in Übereinstimmung mit der Vereinbarung Ihre vollständigen Anweisungen an uns in Bezug auf die Verarbeitung personenbezogener Daten darstellt, solange Sie während der Laufzeit des Abonnements zusätzliche Anweisungen erteilen können, die mit der Vereinbarung sowie der Art und der rechtmäßigen Nutzung des Dienstes übereinstimmen.
  3. Sicherheit. Sie sind für die sichere Nutzung des Dienstes verantwortlich, einschließlich des Schutzes der persönlichen Daten bei der Übertragung zum und vom Dienst (einschließlich der sicheren Sicherung oder Verschlüsselung solcher persönlichen Daten).

3.2 Lucidworks Verantwortlichkeiten

  1. Befolgung der Anweisungen. Wir werden personenbezogene Daten nur für die in dieser DPA beschriebenen Zwecke oder wie anderweitig im Rahmen Ihrer rechtmäßigen Anweisungen vereinbart verarbeiten, es sei denn, das geltende Recht schreibt etwas anderes vor. Wir sind nicht verantwortlich für die Einhaltung von Datenschutzgesetzen, die für Sie oder Ihre Branche gelten und die nicht allgemein auf uns anwendbar sind.
  2. Gesetzeskonflikte. Wenn wir feststellen, dass wir personenbezogene Daten nicht gemäß Ihren Anweisungen verarbeiten können, weil dies nach geltendem Recht erforderlich ist, werden wir (i) Sie unverzüglich über diese gesetzliche Verpflichtung zu informieren, soweit dies nach geltendem Recht zulässig ist (es sei denn, dieses Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses); und (ii) falls erforderlich, die gesamte Verarbeitung einzustellen (abgesehen von der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten), bis Sie neue Anweisungen erteilen, denen wir nachkommen können. Wenn wir uns auf diese Bestimmung berufen, haften wir Ihnen gegenüber im Rahmen der Vereinbarung nicht für die Nichterbringung der betreffenden Dienstleistungen, bis Sie neue rechtmäßige Anweisungen zur Verarbeitung erteilen.
  3. Sicherheit. Wir werden angemessene technische und organisatorische Maßnahmen ergreifen und aufrechterhalten, um personenbezogene Daten vor Verletzungen des Schutzes personenbezogener Daten zu schützen, wie in den technischen und Sicherheitsmaßnahmen von Lucidworks unter https://lucidworks.com/legal/tosm beschrieben . Ungeachtet gegenteiliger Bestimmungen können wir die technischen Maßnahmen und Sicherheitsmaßnahmen nach unserem Ermessen ändern oder aktualisieren, sofern eine solche Änderung oder Aktualisierung nicht zu einer wesentlichen Verschlechterung des durch die technischen Maßnahmen und Sicherheitsmaßnahmen gebotenen Schutzes führt.
  4. Vertraulichkeit. Wir stellen sicher, dass jede Person, die wir zur Verarbeitung personenbezogener Daten in unserem Namen ermächtigen, in Bezug auf diese personenbezogenen Daten angemessenen Vertraulichkeitsverpflichtungen unterliegt (unabhängig davon, ob es sich um eine vertragliche oder gesetzliche Verpflichtung handelt).
  5. Verstöße gegen personenbezogene Daten. Wir werden Sie unverzüglich benachrichtigen, nachdem wir von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt haben, und werden Ihnen rechtzeitig Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung stellen, sobald diese bekannt werden oder von Ihnen in angemessener Weise angefordert werden. Auf Ihr Ersuchen hin werden wir Ihnen unverzüglich die angemessene Unterstützung gewähren, die erforderlich ist, um Sie in die Lage zu versetzen, relevante Verstöße gegen personenbezogene Daten den zuständigen Behörden und/oder den betroffenen Personen zu melden, wenn Sie nach den Datenschutzgesetzen dazu verpflichtet sind.
  6. Löschung oder Rückgabe von persönlichen Daten. Wir werden nach Ihrer Wahl alle Kundendaten, einschließlich personenbezogener Daten (einschließlich Kopien davon), die gemäß dieser DSGVO verarbeitet wurden, bei Beendigung oder Auslaufen Ihrer Dienste gemäß den in unseren Verträgen festgelegten Verfahren löschen oder zurückgeben. Dies gilt nicht, wenn wir nach geltendem Recht verpflichtet sind, einige oder alle Kundendaten aufzubewahren, oder wenn wir Kundendaten auf Backup-Systemen archiviert haben, die wir sicher isolieren und vor jeder weiteren Verarbeitung schützen und gemäß unseren Löschverfahren löschen.

4. Anfragen der betroffenen Person

Der Dienst stellt Ihnen eine Reihe von Kontrollmöglichkeiten zur Verfügung, mit denen Sie personenbezogene Daten abrufen, korrigieren, löschen oder einschränken können. Sie können diese Kontrollmöglichkeiten nutzen, um Ihren Verpflichtungen im Rahmen der Datenschutzgesetze nachzukommen, einschließlich Ihrer Verpflichtungen in Bezug auf die Beantwortung von Anfragen von betroffenen Personen zur Ausübung ihrer Rechte im Rahmen der geltenden Datenschutzgesetze („Anfragen von betroffenen Personen“).

Sofern Sie nicht in der Lage sind, eine Anfrage der betroffenen Person über den Service selbst zu bearbeiten, werden wir Sie auf Ihre schriftliche Anfrage hin in angemessener Weise bei der Beantwortung von Anfragen der betroffenen Person oder von Datenschutzbehörden im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen des Vertrags unterstützen. Sie erstatten uns die kommerziell angemessenen Kosten, die durch diese Unterstützung entstehen.

Wenn eine Anfrage der betroffenen Person oder eine andere Mitteilung in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung direkt an uns gerichtet wird, werden wir Sie umgehend informieren und die betroffene Person oder den anderen Absender einer solchen Mitteilung auffordern, ihre Anfrage an Sie zu richten. Sie sind allein für die inhaltliche Beantwortung solcher Anfragen oder Mitteilungen, die personenbezogene Daten betreffen, verantwortlich.

5. Unterprozessoren

Sie stimmen zu, dass wir Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten in Ihrem Namen beauftragen können.

Als Unterauftragsverarbeiter haben wir derzeit die unter https://lucidworks.com/legal/subprocessors aufgelisteten Dritten und Lucidworks-Verbundunternehmen benannt . Sie können sich für den Erhalt von Benachrichtigungen per E-Mail anmelden, wenn wir Unterauftragsverarbeiter hinzufügen oder ersetzen, indem Sie sich für die Aktualisierungen des Lucidworks Trust Centers anmelden: https://trust.lucidworks.com/. Wenn Sie sich für den Erhalt einer solchen E-Mail anmelden, werden wir Sie mindestens 30 Tage vor einer solchen Änderung benachrichtigen.

Wir geben Ihnen die Möglichkeit, der Beauftragung neuer Unterauftragsverarbeiter aus triftigen Gründen des Schutzes personenbezogener Daten innerhalb von 30 Tagen nach Ihrer Benachrichtigung zu widersprechen. Wenn Sie uns über einen solchen Einspruch informieren, werden die Parteien Ihre Bedenken in gutem Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu finden. Wenn keine solche Lösung erreicht werden kann, werden wir nach unserem alleinigen Ermessen entweder den neuen Unterauftragsverarbeiter nicht ernennen oder Ihnen gestatten, die betroffenen Dienste gemäß den Kündigungsbestimmungen der Vereinbarung auszusetzen oder zu beenden, ohne dass eine der Parteien dafür haftet (jedoch unbeschadet der Gebühren, die Ihnen vor der Aussetzung oder Beendigung entstanden sind).

Die Parteien sind sich einig, dass Lucidworks durch die Einhaltung von Abschnitt 5 dieser Vereinbarung seine Verpflichtungen gemäß Abschnitt 9 der EU-Standardvertragsklauseln erfüllt.

Wenn wir Unterauftragsverarbeiter beauftragen, werden wir den Unterauftragsverarbeitern Datenschutzbedingungen auferlegen, die mindestens das gleiche Maß an Schutz für personenbezogene Daten bieten wie die in dieser DPA (gegebenenfalls einschließlich der Standardvertragsklauseln), soweit dies auf die Art der von diesen Unterauftragsverarbeitern erbrachten Dienstleistungen zutrifft.

6. Datenübertragungen

Sie erkennen an und erklären sich damit einverstanden, dass wir auf personenbezogene Daten weltweit zugreifen und diese verarbeiten können, soweit dies für die Erbringung des Dienstes in Übereinstimmung mit der Vereinbarung erforderlich ist, und dass insbesondere personenbezogene Daten an Lucidworks in den Vereinigten Staaten und in andere Rechtsordnungen, in denen Lucidworks verbundene Unternehmen und Unterauftragsverarbeiter tätig sind, übermittelt und von diesen verarbeitet werden können. Wo immer personenbezogene Daten außerhalb ihres Herkunftslandes übertragen werden, stellt jede Partei sicher, dass diese Übertragungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze erfolgen.

7. Nachweis der Einhaltung

In diesem Abschnitt wird dargelegt, wie wir Ihnen alle Informationen zur Verfügung stellen, die nach vernünftigem Ermessen notwendig sind, um die Einhaltung dieser DSGVO nachzuweisen, und wie wir Prüfungen, einschließlich Inspektionen, die von Ihnen oder Ihrem Prüfer durchgeführt werden, um die Einhaltung dieser DSGVO zu beurteilen, ermöglichen und dazu beitragen, sofern dies nach geltendem Recht erforderlich ist.

Sie erkennen an und erklären sich damit einverstanden, dass Sie Ihre Prüfungsrechte gemäß dieser DPA und Klausel 8.9 der Standardvertragsklauseln ausüben, indem Sie uns anweisen, die in diesem Abschnitt über den Nachweis der Konformität beschriebenen Prüfungsmaßnahmen einzuhalten. Sie erkennen an, dass der Dienst von unseren Unterauftragsverarbeitern gehostet wird, die unabhängig validierte Sicherheitsprogramme (z.B. SOC 2, ISO 27001) unterhalten, und dass unsere Systeme jährlich im Rahmen der ISO 27001- und SOC 2-Compliance geprüft und regelmäßig von einer unabhängigen Drittfirma für Penetrationstests getestet werden. Auf Anfrage stellen wir Ihnen (auf vertraulicher Basis) Nachweise über unsere ISO 270001-Zertifizierung, den SOC 2 Typ 2-Bericht und zusammenfassende Kopien unserer Penetrationstests zur Verfügung, damit Sie überprüfen können, ob wir diese Datenschutzbestimmungen einhalten. Sie können Kopien dieser Dokumente aus dem Trust Center von Lucidworks unter https://trust.lucidworks.com/ herunterladen . Darüber hinaus werden wir auf Ihre schriftliche Anfrage hin (auf vertraulicher Basis) alle angemessenen Informationsanfragen beantworten, die Sie stellen, um zu bestätigen, dass wir diese DSGVO einhalten, vorausgesetzt, Sie machen von diesem Recht nicht öfter als einmal pro Kalenderjahr Gebrauch, es sei denn, Sie haben einen begründeten Verdacht, dass wir die DSGVO nicht einhalten.

8. Zusätzliche Bestimmungen für europäische Daten

  1. Umfang. Dieser Abschnitt Zusätzliche Bestimmungen für europäische Daten gilt nur für europäische Daten.
  2. Datenschutz-Folgenabschätzungen und Konsultation mit Aufsichtsbehörden. Soweit uns die erforderlichen Informationen in angemessener Weise zur Verfügung stehen und Sie nicht anderweitig Zugang zu den erforderlichen Informationen haben, unterstützen wir Sie in angemessener Weise bei der Durchführung von Datenschutz-Folgenabschätzungen und der vorherigen Konsultation von Aufsichtsbehörden, z.B. der französischen Datenschutzbehörde (CNIL), der Berliner Datenschutzbehörde (BlnBDI), dem UK Information Commissioner’s Office (ICO) und anderen zuständigen Datenschutzbehörden, soweit dies nach den europäischen Datenschutzgesetzen erforderlich ist.
  3. Übertragungsmechanismen für Datenübertragungen. Lucidworks wird sich nicht an einer eingeschränkten Übermittlung europäischer Daten beteiligen (und keinem Unterauftragsverarbeiter gestatten, sich daran zu beteiligen), weder als Exporteur noch als Importeur der europäischen Daten, es sei denn, Lucidworks ergreift zuvor alle erforderlichen Maßnahmen, um sicherzustellen, dass die Übermittlung im Einklang mit den geltenden europäischen Datenschutzgesetzen steht. Zu diesen Maßnahmen kann unter anderem die Übermittlung solcher Daten an einen Empfänger gehören, der einem geeigneten Rahmenwerk oder einem anderen rechtlich angemessenen Übermittlungsmechanismus unterliegt, der von den zuständigen Behörden oder Gerichten als ein angemessenes Schutzniveau für personenbezogene Daten anerkannt ist, zwischen Parteien, die verbindlichen Unternehmensregeln unterliegen, die in Übereinstimmung mit den europäischen Datenschutzgesetzen genehmigt wurden, oder an einen Empfänger, der geeignete Standardvertragsklauseln ausgefertigt hat.
  4. Handelt es sich bei der Übermittlung europäischer Daten vom Kunden an Lucidworks um eine eingeschränkte Übermittlung, vereinbaren die Parteien, dass diese den entsprechenden Standardvertragsklauseln unterliegt (die durch Verweis einbezogen werden und Teil der Vereinbarung sind), wie folgt:

    EWR-Übertragungen. In Bezug auf europäische Daten, die der DSGVO unterliegen, werden die EU-SCCs wie folgt ergänzt angewendet: (i) Die Bedingungen von Modul Zwei (Controller to Processor) gelten in dem Maße, in dem der Kunde ein Controller der europäischen Daten ist und Lucidworks die Kundendaten als Prozessor verarbeitet, und die Bedingungen von Modul Drei (Processor to Subprocessor) gelten, wenn der Kunde ein Prozessor ist und Lucidworks die Kundendaten als Subprozessor verarbeitet; (ii) in Klausel 7 gilt die optionale Andockklausel; (iii) in Klausel 9 gilt Option 2, und Änderungen an Unterauftragsverarbeitern werden gemäß dem Abschnitt über Unterauftragsverarbeiter in dieser DPA mitgeteilt; (iv) in Klausel 11 wird die fakultative Formulierung gestrichen; (v) In den Klauseln 17 und 18 vereinbaren die Parteien, dass sich das anwendbare Recht und der Gerichtsstand für Streitigkeiten für die Standardvertragsklauseln nach dem Abschnitt „Vertragspartner; Anwendbares Recht; Bekanntmachung“ der Besonderen Bedingungen für den Gerichtsstand oder, wenn in diesem Abschnitt kein EU-Mitgliedstaat angegeben ist, nach der Republik Irland (ohne Bezugnahme auf kollisionsrechtliche Grundsätze) bestimmt; (vi) die Anhänge der Standardvertragsklauseln gelten mit den in Anhang I und II dieser DPA aufgeführten Informationen als ausgefüllt.

    UK Übertragungen. In Bezug auf europäische Daten, die der UK GDPR unterliegen, gilt der UK-Zusatz wie folgt ergänzt: (i) die EU-Standardvertragsklauseln, die wie oben unter EWR-Übertragungen beschrieben ausgefüllt werden, gelten auch für Übertragungen solcher europäischer Daten, vorbehaltlich von Unterklausel (ii); und (ii) die Tabellen 1, 2 und 3 des UK-Zusatzes gelten als ausgefüllt mit den relevanten Informationen aus den EU-Standardvertragsklauseln, die wie oben beschrieben ausgefüllt werden (einschließlich der Informationen in den Anhängen dieser DSGVO), und Tabelle 4 gilt als ausgefüllt, wenn Sie „keine Partei“ auswählen.

    Schweizer Übermittlungen. In Bezug auf europäische Daten, die dem Schweizer DSG unterliegen, gelten die Schweizer SCCs wie folgt ergänzt: Die EU-Standardvertragsklauseln gelten für die Übermittlung solcher europäischer Daten, vorbehaltlich der in den Unterklauseln (i) bis (viii) unten aufgeführten Änderungen („Schweizer Änderungen“). Soweit die Übermittlung sowohl dem Schweizer DSG als auch der DSGVO oder der UK DSGVO unterliegt, gelten die Schweizer Änderungen nur in Bezug auf das Schweizer DSG und berühren nicht die Anwendung der Klauseln der EU-Standardvertragsklauseln für die Zwecke der DSGVO oder der UK DSGVO. (i) Verweise auf die „Verordnung (EU) 2016/679“ oder „diese Verordnung“ werden als Verweise auf das Schweizer DSG, soweit anwendbar, ausgelegt; (ii) Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt des Schweizer DSG ersetzt; (iii) Verweise auf „EU“, „Union“, „Mitgliedstaat“ und „mitgliedstaatliches Recht“ werden als Verweise auf „Schweiz“ bzw. „schweizerisches Recht“ ausgelegt; (iv) der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort einzuklagen (d. h.e., (v) Klausel 13 (a) und Teil C des Anhangs I werden nicht verwendet, und die zuständige Aufsichtsbehörde ist der EDÖB, soweit die Übermittlungen durch das schweizerische Datenschutzgesetz geregelt sind; (vi) die Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständige Gerichte“ werden durch „den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“ und „die zuständigen Gerichte in der Schweiz“ ersetzt; (vii) in Klausel 17 unterliegen die EU-Standardvertragsklauseln den Gesetzen der Schweiz; und (viii) die EU-Standardvertragsklauseln schützen auch die Daten juristischer Personen bis zum Inkrafttreten des revidierten Schweizer Bundesdatenschutzgesetzes.
  5. Sollte eine Bestimmung dieser DPA direkt oder indirekt im Widerspruch zu den Standardvertragsklauseln stehen, haben die Standardvertragsklauseln Vorrang.

9. Zusätzliche Bestimmungen für persönliche Daten aus Kalifornien

  1. Umfang. Der Abschnitt Zusätzliche Bestimmungen für persönliche Daten aus Kalifornien der DPA gilt nur für persönliche Daten aus Kalifornien.
  2. Die Rollen der Parteien. Bei der Verarbeitung persönlicher Daten aus Kalifornien gemäß Ihren Anweisungen erkennen die Parteien an und stimmen zu, dass Sie ein Unternehmen und wir ein Dienstleister im Sinne des CCPA sind.
  3. Verantwortlichkeiten. Wir bestätigen, dass wir als Dienstleister personenbezogene Daten aus Kalifornien ausschließlich zum Zweck der Erbringung der Dienstleistungen und Beratungsdienste im Rahmen der Vereinbarung (der „Geschäftszweck“) oder wie anderweitig durch das CCPA erlaubt, verarbeiten werden, einschließlich der in den Abschnitten Kategorien und Quellen personenbezogener Daten und Geschäftszwecke der Verarbeitung unserer Datenschutzrichtlinie beschriebenen. Außerdem bestätigen wir, dass wir i) wird persönliche Daten aus Kalifornien weder verkaufen noch weitergeben; (ii) keine persönlichen Daten aus Kalifornien außerhalb der direkten Geschäftsbeziehung zwischen den Parteien verarbeiten, es sei denn, dies ist gesetzlich vorgeschrieben; und (iii) die in den Kundendaten enthaltenen persönlichen Daten aus Kalifornien nicht mit persönlichen Daten kombinieren, die wir aus einer anderen Quelle sammeln oder erhalten (mit Ausnahme von Informationen, die wir aus einer anderen Quelle in Verbindung mit unseren Verpflichtungen als Dienstanbieter im Rahmen des Vertrags erhalten).
  4. Einhaltung der Vorschriften. Wir werden (i) die Verpflichtungen einhalten, die für uns als Dienstanbieter gemäß CCPA gelten, und (ii) Persönliche Daten aus Kalifornien mit dem gleichen Maß an Datenschutz zu versehen, wie es das CCPA vorschreibt. Wir werden Sie benachrichtigen, wenn wir zu dem Schluss kommen, dass wir unseren Verpflichtungen als Service Provider gemäß CCPA nicht mehr nachkommen können.
  5. CCPA-Prüfungen. Sie haben das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass wir die persönlichen Daten aus Kalifornien in einer Weise verwenden, die mit den Verpflichtungen des Kunden gemäß dem CCPA übereinstimmt. Nach einer Benachrichtigung haben Sie das Recht, angemessene und geeignete Schritte in Übereinstimmung mit der Vereinbarung zu unternehmen, um die unbefugte Nutzung von persönlichen Daten aus Kalifornien zu stoppen und zu beheben.
  6. Kein Verkauf. Die Parteien erkennen an und vereinbaren, dass die Weitergabe von persönlichen Daten aus Kalifornien durch den Kunden an Lucidworks nicht Teil einer monetären oder anderen wertvollen Gegenleistung ist, die zwischen den Parteien ausgetauscht wird.

10. Allgemeine Bestimmungen

  1. Änderungsanträge. Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung und unbeschadet der Unterabschnitte Einhaltung von Anweisungen oder Sicherheit dieser DPA behalten wir uns das Recht vor, Aktualisierungen und Änderungen an dieser DPA vorzunehmen, und es gelten die Bestimmungen im Abschnitt Kein Verzicht der Endbenutzer-Lizenzvereinbarung (EULA).
  2. Trennbarkeit. Sollten einzelne Bestimmungen dieser DPA ungültig oder nicht durchsetzbar sein, wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen dieser DPA nicht berührt.
  3. Einschränkung der Haftung. Die Gesamthaftung jeder Partei und jedes ihrer verbundenen Unternehmen, die sich aus oder im Zusammenhang mit dieser DPA (und anderen DPAs zwischen den Parteien) und den Standardvertragsklauseln (sofern anwendbar) ergibt, ob aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt den Haftungsbeschränkungen und -ausschlüssen, die im Abschnitt Haftungsbeschränkung der EULA dargelegt sind; jede Bezugnahme in diesem Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen im Rahmen der Vereinbarung (einschließlich dieser DPA).
  4. Geltendes Recht. Diese DPA unterliegt dem anwendbaren Recht der Vereinbarung und wird in Übereinstimmung mit diesem ausgelegt; der Abschnitt „Bekanntmachung“ in den gerichtsspezifischen Bedingungen gilt, sofern die Datenschutzgesetze nichts anderes vorschreiben.

11. Parteien dieser DPA

  1. Erlaubte verbundene Unternehmen. Mit der Unterzeichnung der Vereinbarung schließen Sie diese DPA (einschließlich der Standardvertragsklauseln, sofern zutreffend) in Ihrem eigenen Namen sowie im Namen und im Auftrag Ihrer zugelassenen verbundenen Unternehmen ab. Nur für die Zwecke dieser DPA und sofern nicht anders angegeben, schließen die Begriffe „Kunde“, „Sie“ und „Ihr“ Sie und die zugelassenen verbundenen Unternehmen ein.
  2. Autorisierung. Die juristische Person, die dieser DPA als Kunde zustimmt, versichert, dass sie befugt ist, dieser DPA für sich selbst und ggf. für jedes ihrer zugelassenen verbundenen Unternehmen zuzustimmen und sie abzuschließen.
  3. Abhilfemaßnahmen. Die Parteien vereinbaren, dass (i) ausschließlich das Kundenunternehmen, das Vertragspartei der Vereinbarung ist, wird alle Rechte oder Rechtsmittel, die ein Zugelassenes Mitglied im Rahmen dieser DPA hat, im Namen seiner verbundenen Unternehmen ausüben und (ii) das Kundenunternehmen, das Vertragspartei der Vereinbarung ist, wird diese Rechte im Rahmen dieser DPA nicht für jedes Zugelassene Mitglied einzeln ausüben, sondern für sich selbst und alle seine Zugelassenen verbundenen Unternehmen zusammen. Das Kundenunternehmen, das der Vertragspartner ist, ist für die Koordinierung aller Anweisungen, Genehmigungen und Mitteilungen mit Lucidworks im Rahmen dieser DPA verantwortlich und ist berechtigt, alle Mitteilungen im Zusammenhang mit dieser DPA im Namen seiner Zugelassenen Verbundenen Unternehmen zu machen und zu empfangen.
  4. Andere Rechte. Die Parteien vereinbaren, dass Sie bei der Überprüfung unserer Einhaltung dieser DPA gemäß dem Abschnitt „Nachweis der Einhaltung“ alle angemessenen Maßnahmen ergreifen werden, um die Auswirkungen auf uns und unsere verbundenen Unternehmen zu begrenzen, indem Sie mehrere Prüfungsanfragen, die im Namen des Kundenunternehmens, das Vertragspartner der Vereinbarung ist, und aller seiner zugelassenen verbundenen Unternehmen durchgeführt werden, in einer einzigen Prüfung zusammenfassen.

APPENDIX

ANHANG I

A. Liste der Parteien

Datenexporteur(e):

Name: Siehe Name(n) des Kunden, die im Vertrag angegeben sind.

Adresse: Siehe die im Vertrag angegebene Adresse des Kunden.

Name, Position und Kontaktdaten der Kontaktperson: Siehe die Kontaktdaten des Kunden in der Vereinbarung.

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Die Inanspruchnahme der Dienstleistungen im Rahmen des Vertrags.

Unterschrift und Datum: Siehe Unterschriftsblock des Abkommens.

Rolle (Controller/Prozessor): Controller

Datenimporteur(en):

Lucidworks
2261 Market Street
STE 36907
San Francisco, CA 94114

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Die Erbringung der Dienstleistungen im Rahmen des Vertrags.

Unterschrift und Datum: Siehe Unterschriftsblock des Abkommens.

Rolle (Controller/Prozessor): Prozessor

B. Beschreibungen der Übertragung

Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden.

Personen, über die dem Datenimporteur/-verarbeiter über die Dienste (oder auf dessen Anweisung) personenbezogene Daten zur Verfügung gestellt werden, wie z. B. der für die Verarbeitung Verantwortliche oder die Endnutzer des für die Verarbeitung Verantwortlichen, zu denen unter anderem die Mitarbeiter, Auftragnehmer und Endnutzer des für die Verarbeitung Verantwortlichen gehören können.

Kategorien der übermittelten personenbezogenen Daten.

Personenbezogene Daten, die dem Auftragsverarbeiter über die Dienste von (oder auf Anweisung von) der verantwortlichen Stelle oder den Endnutzern der verantwortlichen Stelle zur Verfügung gestellt werden, einschließlich, aber nicht beschränkt auf: Benutzerprofilinformationen wie Vorname, Nachname und E-Mail, Passwort (wenn SSO nicht verwendet wird) und alle anderen Kontaktinformationen, demografische Informationen oder andere Informationen, die vom Nutzer in unstrukturierten Daten zur Verfügung gestellt werden.

Übermittlung sensibler Daten (falls zutreffend) mit angewandten Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z.B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung und zusätzliche Sicherheitsmaßnahmen.

Die Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Auf kontinuierlicher Basis.

Art der Verarbeitung.

Die Bereitstellung der Services, wie im Vertrag näher beschrieben.

Zweck(e) der Datenübermittlung und Weiterverarbeitung.

Die Bereitstellung der Services, wie im Vertrag näher beschrieben.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird.

Die personenbezogenen Daten werden so lange aufbewahrt, wie es für die Erbringung der Dienstleistungen im Rahmen des Vertrags und unter Berücksichtigung der geltenden Gesetze erforderlich ist.

Bei Übermittlungen an Auftragsverarbeiter/Unterauftragsverarbeiter geben Sie auch Gegenstand, Art und Dauer der Verarbeitung an.

Wenn Lucidworks Unterauftragsverarbeiter einsetzt, geschieht dies in Übereinstimmung mit den Bedingungen der geltenden Standardvertragsklauseln. Gegenstand, Art und Dauer der von Lucidworks und einem Unterauftragsverarbeiter durchgeführten Verarbeitungstätigkeiten gehen nicht über Gegenstand, Art und Dauer der in diesem Anhang beschriebenen Verarbeitungstätigkeiten hinaus.

C. Zuständige Aufsichtsbehörde

Nennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13.

Die Aufsichtsbehörde, die dafür zuständig ist, die Einhaltung der DSGVO durch den Datenexporteur in Bezug auf eingeschränkte Übermittlungen zu gewährleisten, ist die Aufsichtsbehörde von Irland.

Soweit die Datenübermittlung durch die britische Datenschutz-Grundverordnung geregelt ist, ist die Aufsichtsbehörde das Information Commissioner’s Office.

Soweit die Datenübermittlung unter das Schweizerische Bundesgesetz über den Datenschutz fällt, ist die Aufsichtsbehörde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte der Schweiz.

Quick Links