Zum Inhalt springen

Exabeam Confronts AI Insider Threats Extending Behavior Detection and Response to OpenAI ChatGPT and Microsoft Copilot — Read the Release.

Demo anfordern

Datensicherheitsrichtlinie Exabeam

Im Zusammenhang mit dem Produkt, SaaS und/oder den Support-Services („Lösungen“) gehen die Parteien davon aus, dass EXABEAM und gegebenenfalls seine Subunternehmer von Zeit zu Zeit bestimmte personenbezogene Daten verarbeiten können, für die der KUNDE, seine verbundenen Unternehmen oder Kunden des KUNDEN oder seiner verbundenen Unternehmen gemäß der Datenschutzgesetzgebung (wie unten definiert) Verantwortliche sein können. EXABEAM und der KUNDE stimmen den Bedingungen dieser Datensicherheitsrichtlinie („Richtlinie“) zu, um sicherzustellen, dass angemessene Sicherheitsvorkehrungen zum Schutz dieser personenbezogenen Daten gemäß den Anforderungen der Datenschutzgesetzgebung getroffen werden.

1. DEFINITIONEN

Sofern hierin nicht anders definiert, haben in dieser Richtlinie verwendete Begriffe in Großbuchstaben dieselbe Bedeutung wie in der Vereinbarung festgelegt.

1.1 „Angemessenes Land“ bezeichnet ein Land oder Gebiet, das gemäß der jeweils geltenden Datenschutzgesetzgebung einen angemessenen Schutz für personenbezogene Daten bietet.

1.2 „Verbundenes Unternehmen“ bezeichnet ein Unternehmen, das eine Partei direkt oder indirekt kontrolliert, von einer Partei kontrolliert wird oder mit dieser unter gemeinsamer Kontrolle steht. Im Sinne dieser Richtlinie bedeutet „Kontrolle“ den direkten oder indirekten Besitz oder die Kontrolle von mindestens fünfzig Prozent (50 %) oder mehr aller stimmberechtigten Aktien (oder sonstigen Wertpapiere oder Rechte), die zur Wahl von Direktoren oder anderen Leitungsorganen berechtigt sind.

1.3 „CCPA“ bezeichnet den California Consumer Privacy Act von 2018.

1.4 „Datenschutzgesetzgebung“ bezeichnet alle Datenschutzgesetze und -vorschriften, die für Personenbezogene Daten gelten, die im Rahmen dieser Vereinbarung oder in Verbindung mit dieser Vereinbarung verarbeitet werden, einschließlich, aber nicht beschränkt auf die Datenschutzrichtlinie 95/46/EG (in der jeweils gültigen Fassung) und die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG, CCPA sowie alle nationalen Gesetze, die das Vorgenannte umsetzen oder ergänzen.

1.5 „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

1.6 „Personenbezogene Daten“ bezeichnet alle Daten, die in der Datenschutzgesetzgebung als „Personenbezogene Daten“ definiert sind und die EXABEAM vom KUNDEN direkt oder indirekt zur Verfügung gestellt werden oder auf die EXABEAM oder seine Unterauftragsverarbeiter (je nach Fall) zugreifen, die sie speichern oder anderweitig verarbeiten, um dem KUNDEN die Lösung bereitzustellen.

1.7 „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben die Bedeutung, die ihnen in der Datenschutzgesetzgebung zugeschrieben wird.

1.8 „Standardvertragsklauseln/SCC“ bezeichnet das als Anlage 1 beigefügte Dokument mit den Standardvertragsklauseln.

2. DATENVERARBEITUNG

2.1 Umfang und Rollen der Parteien. Die Parteien erkennen an und vereinbaren, dass in Bezug auf die Verarbeitung Personenbezogene Daten der KUNDE der Datenverantwortliche und EXABEAM der Datenverarbeiter ist und dass EXABEAM gemäß den in Abschnitt 7 unten dargelegten Anforderungen Unterauftragsverarbeiter beauftragen kann.

2.2 Einhaltung von Gesetzen. Jede Partei wird bei der Erfüllung ihrer Verpflichtungen aus dieser Richtlinie alle für sie geltenden und für sie bindenden Gesetze, Regeln und Vorschriften einhalten, einschließlich der Datenschutzgesetze.

2.3 Verarbeitungsanweisungen. EXABEAM verarbeitet Personenbezogene Daten gemäß der jeweils geltenden Vereinbarung zwischen EXABEAM und dem KUNDEN („Vereinbarung“) und gemäß den angemessenen schriftlichen Anweisungen des KUNDEN, sofern diese Anweisungen mit den Bedingungen der Vereinbarung und dieser Richtlinie übereinstimmen. EXABEAM kann Personenbezogene Daten des KUNDEN während der Abonnementlaufzeit auch zur Unterstützung von Produktangeboten, zur Fehlerbehebung und zur Validierung der Datenmodellierung verwenden. Zwischen den Parteien trägt der KUNDE die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Personenbezogene Daten und die Art und Weise, wie er Personenbezogene Daten erworben hat.

2.4 California Consumer Privacy Act. Die Lösungen können die Verarbeitung von Informationen durch EXABEAM im Auftrag des KUNDEN beinhalten, und/oder der KUNDE kann personenbezogene Daten gemäß der Definition im CCPA an EXABEAM als Dienstleister weitergeben, um die Lösung gemäß der Vereinbarung bereitzustellen. Soweit EXABEAM personenbezogene Daten von Einwohnern Kaliforniens im Auftrag des KUNDEN gemäß der Vereinbarung verarbeitet, hält EXABEAM die geltenden Bestimmungen des CCPA ein. EXABEAM verpflichtet sich, Folgendes zu unterlassen:

(1) diese personenbezogenen Daten für andere Zwecke als die Erfüllung der in der Vereinbarung festgelegten Rechte und Pflichten oder wie anderweitig durch das CCPA gestattet aufzubewahren, zu verwenden oder offenzulegen;

(2) diese personenbezogenen Daten für andere kommerzielle Zwecke als die Bereitstellung der Lösung oder wie anderweitig in der Vereinbarung festgelegt aufzubewahren, zu verwenden oder offenzulegen;

(3) diese personenbezogenen Daten zu verkaufen; oder

(4) die personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung zwischen EXABEAM und dem KUNDEN aufzubewahren, zu verwenden oder offenzulegen.

EXABEAM kennt die Anforderungen des CCPA und wird diese einhalten. EXABEAM wird angemessene Sicherheitsmaßnahmen ergreifen, um die in seinem Besitz befindlichen personenbezogenen Daten zu schützen. Darüber hinaus wird EXABEAM den KUNDEN angemessen dabei unterstützen, seinen CCPA-Verpflichtungen nachzukommen, was die Erfüllung nachweisbarer Löschanfragen und die Unterstützung bei nachweisbaren Zugriffsanfragen umfassen kann, indem der Zugriff auf personenbezogene Daten gewährt wird, die EXABEAM in einem einvernehmlich vereinbarten Format speichert. Die Parteien vereinbaren, dass dieser Vertrag oder die Lösung weder einen „Verkauf“ noch eine „Veräußerung“ personenbezogener Daten gemäß Cal. Civ. Code §1798.140(t)(1) beinhalten. Alle Begriffe in diesem Abschnitt, die in diesem Vertrag nicht anderweitig definiert sind, haben die ihnen gemäß dem CCPA zugeschriebene Bedeutung. Zur Vermeidung von Missverständnissen gilt dieser Abschnitt nicht für Informationen, die von der Anwendung des CCPA ausgenommen sind.

3. DATENÜBERTRAGUNGEN

3.1 Der KUNDE erkennt an, dass die Bereitstellung der Lösung im Rahmen der Vereinbarung von Zeit zu Zeit die Verarbeitung Personenbezogene Daten durch Unterauftragsverarbeiter in Ländern außerhalb des Europäischen Wirtschaftsraums (EWR) erfordern kann.

3.2 Soweit eine Verarbeitung Personenbezogene Daten durch EXABEAM oder seinen jeweiligen Unterauftragsverarbeiter (wozu ohne Einschränkung auch verbundene Unternehmen gehören können) unbeschadet von Abschnitt 7 in einem Land außerhalb des EWR stattfindet, vereinbaren die Parteien, dass sie sicherstellen werden, dass ein Mechanismus zur Gewährleistung einer angemessenen Datenverarbeitung vorhanden ist, beispielsweise: (i) das Land ist ein angemessenes Land; (ii) die Standardvertragsklauseln gelten für diese Verarbeitung und EXABEAM erfüllt die Verpflichtungen des „Datenimporteurs“ in den Standardvertragsklauseln und der KUNDE erfüllt die Verpflichtungen des „Datenexporteurs“, oder EXABEAM führt für seine Unterauftragsverarbeiter Standardvertragsklauseln aus, die von den EU-Behörden gemäß den Datenschutzgesetzen genehmigt wurden; oder (ii) andere speziell genehmigte Schutzmaßnahmen für Datenübertragungen (wie gemäß den Datenschutzgesetzen anerkannt) und/oder eine Feststellung der Angemessenheit durch die Europäische Kommission.

4. SICHERHEIT; PRÜFUNGEN

4.1 Sicherheit. EXABEAM wird angemessene technische und organisatorische Sicherheitsvorkehrungen gegen die unbefugte und unrechtmäßige Verarbeitung Personenbezogene Daten sowie gegen versehentlichen Verlust oder Zerstörung sowie Beschädigung von KUNDENdaten treffen. EXABEAM wird dem KUNDEN auf angemessene Anfrage des KUNDEN (unter Berücksichtigung der Art der Verarbeitung und der EXABEAM zur Verfügung stehenden Informationen) wirtschaftlich angemessene Unterstützung in Bezug auf: (i) die Verpflichtungen des KUNDEN gemäß den Datenschutzgesetzen in Bezug auf Datenschutz-Folgenabschätzungen (wie dieser Begriff in der DSGVO definiert ist); (ii) Meldungen an die Aufsichtsbehörde und/oder Kommunikation mit betroffenen Personen durch den KUNDEN als Reaktion auf Sicherheitsvorfälle (wie unten definiert); und (iii) die Einhaltung der Verpflichtungen des KUNDEN gemäß der DSGVO in Bezug auf die Sicherheit der Verarbeitung. Der KUNDE erklärt sich damit einverstanden, die Gebühren von EXABEAM für die Bereitstellung dieser Unterstützung zu den dem KUNDEN mitgeteilten Standardsätzen von EXABEAM zu zahlen.

4.2 Zertifizierungen. EXABEAM lässt die Angemessenheit seiner Sicherheitsmaßnahmen durch externe Prüfer überprüfen. Diese Prüfung wird (i) mindestens jährlich, (ii) gemäß den Service Organization Control (SOC) 2 Trust Services Principles oder anderen vergleichbaren Standards und (iii) von einem unabhängigen Dritten nach Wahl und auf Kosten von EXABEAM durchgeführt.

4.3 Prüfverfahren. EXABEAM wird dem KUNDEN und/oder seinen Prüfern angemessene Kooperation und Unterstützung bieten, damit der KUNDE die geltenden Anforderungen der Datenschutzgesetze erfüllen kann. Damit der KUNDE sein Prüfrecht gemäß den Datenschutzgesetzen ausüben kann, wird EXABEAM auf Anfrage Folgendes vorlegen: (i) einen Prüfbericht eines registrierten und unabhängigen externen Prüfers, der nicht älter als 18 Monate ist und nachweist, dass die technischen und organisatorischen Maßnahmen von EXABEAM ausreichend und im Einklang mit einem anerkannten Branchenprüfstandard wie ISO 27001 oder SOC2 sind; und (ii) zusätzliche Informationen im Besitz oder unter der Kontrolle von EXABEAM, die sich auf die von EXABEAM im Rahmen dieser Richtlinie durchgeführten Datenverarbeitungsaktivitäten beziehen, wie von einer EU-Aufsichtsbehörde verlangt und angefordert. Sofern von einer Aufsichtsbehörde nicht anders angeordnet, sind alle vom SCC geforderten Prüfungen auf höchstens einmal jährlich beschränkt, und Umfang und Zeitpunkt einer solchen Prüfung werden von den Parteien einvernehmlich vereinbart.

4.4. Aufzeichnungen. EXABEAM stellt dem KUNDEN gemäß den Datenschutzgesetzen die Informationen zur Verfügung, die sich in seinem Besitz oder unter seiner Kontrolle befinden und die der KUNDE auf angemessene Weise anfordern kann, um nachzuweisen, dass EXABEAM die Verpflichtungen von Datenverarbeitern gemäß den Datenschutzgesetzen in Bezug auf die Verarbeitung Personenbezogene Daten erfüllt.

4.5 Löschung. Sobald dies nach vernünftigem Ermessen möglich ist, in jedem Fall jedoch innerhalb von neunzig (90) Tagen nach Kündigung oder Ablauf der Vereinbarung oder einer entsprechenden Abonnementlaufzeit, löscht EXABEAM alle gemäß dieser Richtlinie verarbeiteten Personenbezogene Daten des KUNDEN (einschließlich Kopien davon).

5. BENACHRICHTIGUNG BEI VERLETZUNGEN

EXABEAM unterhält Richtlinien und Verfahren zur Reaktion auf Sicherheitsvorfälle und wird, soweit gesetzlich zulässig, (i) den KUNDEN unverzüglich und ohne unangemessene Verzögerung nach Kenntnisnahme über jede Sicherheitsverletzung informieren, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf von EXABEAM übermittelte, gespeicherte oder anderweitig verarbeitete Personenbezogene Daten führt (ein „Sicherheitsvorfall“); (ii) unter Berücksichtigung der Art der Verarbeitung und der EXABEAM zum Zeitpunkt der Kenntnisnahme des Sicherheitsvorfalls zur Verfügung stehenden Informationen angemessene Schritte unternehmen, um die Auswirkungen zu mildern und etwaige aus dem Sicherheitsvorfall resultierende Schäden so gering wie möglich zu halten; und (iii) während der Untersuchung eine wirtschaftlich angemessene Zusammenarbeit und Unterstützung leisten, um das Vorkommnis zu beheben.

6. EXABEAM-PERSONAL

6.1 EXABEAM stellt sicher, dass sein an der Verarbeitung Personenbezogene Daten beteiligtes Personal über die Vertraulichkeit der Personenbezogene Daten informiert ist, eine angemessene Schulung hinsichtlich seiner Verantwortlichkeiten erhalten hat und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet hat.

6.2 EXABEAM stellt sicher, dass der Zugriff auf Personenbezogene Daten auf das Personal beschränkt ist, das an der Bereitstellung der Lösung beteiligt ist, und dass dies der Informationssicherheitsrichtlinie von Exabeam entspricht.

6.3 EXABEAM ergreift wirtschaftlich angemessene Maßnahmen, um die Zuverlässigkeit aller mit der Verarbeitung Personenbezogene Daten befassten EXABEAM-Mitarbeiter sicherzustellen.

6.4 EXABEAM hat einen Datenschutzbeauftragten und ein Governance-Team ernannt, die unter [email protected] erreichbar sind.

7. Unterauftragsverarbeiter

7.1 Unterauftragsvergabe. Der KUNDE erteilt EXABEAM die allgemeine Vollmacht, Unterauftragsverarbeiter, externe Rechenzentrumsbetreiber sowie ausgelagerte Support- und Serviceanbieter zu beauftragen, um seine vertraglichen Verpflichtungen gemäß dieser Richtlinie zu erfüllen.

7.2 Pflichten des Unterauftragsverarbeiters. EXABEAM stellt sicher, dass jeder Unterauftragsverarbeiter, den es im Zusammenhang mit der Vereinbarung mit der Bereitstellung der Lösung in seinem Namen beauftragt: (i) auf KUNDENdaten nur insoweit zugreift, als dies zur Erfüllung der in der Vereinbarung oder dieser Richtlinie festgelegten Rechte und Pflichten von EXABEAM erforderlich ist, und nicht zu anderen Zwecken; und (ii) einen schriftlichen Vertrag abschließt, der dem jeweiligen Unterauftragsverarbeiter angemessene und relevante vertragliche Pflichten auferlegt, einschließlich solcher hinsichtlich Vertraulichkeit, Datenschutz, Datensicherheit und Prüfrechten; diese Pflichten müssen im Wesentlichen denselben Schutz Personenbezogene Daten bieten wie die EXABEAM in dieser Richtlinie auferlegten Pflichten. EXABEAM ist für die Einhaltung dieser Richtlinie sowie für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich, die dazu führen, dass EXABEAM gegen eine der Pflichten von EXABEAM gemäß dieser Richtlinie verstößt.

7.3 Einspruch gegen neue Unterauftragsverarbeiter. EXABEAM führt eine Liste der aktuellen Unterauftragsverarbeiter unter https://community.exabeam.com/s/subprocessors. Wenn Exabeam nach dem Inkrafttreten des Vertrags neue oder Ersatz-Unterauftragsverarbeiter beauftragt, werden diese Unterauftragsverarbeiter der Liste hinzugefügt, bevor sie mit der Unterverarbeitung Personenbezogene Daten beginnen. Wenn der KUNDE berechtigte Einwände gegen einen neuen oder Ersatz-Unterauftragsverarbeiter hat, muss er EXABEAM schriftlich über diese Einwände informieren und die Parteien werden versuchen, die Angelegenheit in gutem Glauben zu lösen. Wenn EXABEAM in der Lage ist, dem KUNDEN die Lösung gemäß dem Vertrag ohne den Einsatz eines Unterauftragsverarbeiters bereitzustellen und sich nach eigenem Ermessen dazu entscheidet, hat der KUNDE gemäß diesem Abschnitt 7.3 keine weiteren Rechte in Bezug auf die vorgeschlagene Verwendung des Unterauftragsverarbeiters. Wenn EXABEAM die Nutzung des Unterauftragsverarbeiters nicht vermeiden kann und den KUNDEN hinsichtlich der Eignung des Unterauftragsverarbeiters oder der zwischen EXABEAM und dem Unterauftragsverarbeiter bestehenden Dokumentation und Schutzmaßnahmen nicht zufriedenstellen kann, kann jede Partei alternative Lösungswege verfolgen.

8. ANFRAGEN DER BETROFFENEN PERSON; LÖSCHUNG

Sofern gemäß Datenschutzgesetzen erforderlich, benachrichtigt EXABEAM den KUNDEN unverzüglich, wenn es eine Anfrage einer betroffenen Person zum Zugriff auf, zur Berichtigung oder Löschung Personenbezogene Daten dieser Person erhält oder wenn eine betroffene Person der Verarbeitung dieser personenbezogenen Daten widerspricht oder eine Anfrage auf Datenübertragbarkeit in Bezug auf diese Personenbezogene Daten stellt (zusammen „Antrag der betroffenen Person“). EXABEAM unternimmt wirtschaftlich angemessene Anstrengungen, um den KUNDEN bei der Beantwortung eines Antrags der betroffenen Person zu unterstützen, vorausgesetzt, der KUNDE hat EXABEAM dazu angewiesen. EXABEAM wird ohne die vorherige schriftliche Zustimmung des KUNDEN nicht eigenständig auf Anfragen von Endnutzern des KUNDEN antworten, außer um zu bestätigen, dass sich die Anfrage auf den KUNDEN bezieht. Soweit der KUNDE nicht in der Lage ist, einen Antrag der betroffenen Person zu beantworten, leistet EXABEAM auf Anfrage des KUNDEN angemessene Unterstützung, um eine Beantwortung des Antrags der betroffenen Person zu ermöglichen. Der KUNDE erklärt sich damit einverstanden, EXABEAM die anfallenden Gebühren für diese Unterstützung zu den von EXABEAM dem KUNDEN mitgeteilten Standardsätzen zu zahlen.

9. ALLGEMEINES

9.1 Auslegung. Sofern in dieser Richtlinie nichts anderes bestimmt ist, bleibt die Vereinbarung in vollem Umfang in Kraft. Im Falle eines Widerspruchs zwischen der Vereinbarung und dieser Richtlinie gilt diese Richtlinie, soweit es um die Verarbeitung Personenbezogene Daten geht.

9.2 Salvatorische Klausel. Sollte ein zuständiges Gericht feststellen, dass eine Bestimmung dieser Richtlinie nicht durchsetzbar ist, wird diese Bestimmung abgetrennt, und die übrigen Bedingungen bleiben in vollem Umfang wirksam.

9.3 Geltendes Recht und Gerichtsstand. Diese Richtlinie unterliegt dem Recht der Vereinbarung.

ANHANG 1
STANDARDVERTRAGSKLAUSELN

STANDARDVERTRAGSKLAUSELN (VERARBEITER)

Im Sinne des Artikels 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

Die im Vertrag als Lizenznehmer der Lösung genannte Einheit (der Datenexporteur)

Und EXABEAM (der Datenimporteur)

jeweils eine „Partei“; zusammen „die Parteien“,

Haben die folgenden Vertragsklauseln (die Klauseln) vereinbart, um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre und der Grundrechte und -freiheiten des Einzelnen für die Übermittlung der in Anhang 1 genannten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu bieten.

Klausel 1 Definitionen.

Für die Zwecke dieser Klauseln gilt:

1.1 „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

1.2 „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt;

1.3 „Datenimporteur“ bezeichnet den Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen, die nach der Übermittlung in dessen Auftrag gemäß dessen Anweisungen und den Bestimmungen der Klauseln verarbeitet werden sollen, und der nicht einem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

1.4 „Unterauftragsverarbeiter“ bezeichnet jeden vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragten Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich für Verarbeitungstätigkeiten zu erhalten, die nach der Übermittlung im Auftrag des Datenexporteurs gemäß seinen Anweisungen, den Bedingungen der Klauseln und den Bedingungen eines anwendbaren schriftlichen Untervertrags durchgeführt werden;

1.5 „das anwendbare Datenschutzrecht“ bezeichnet die Gesetzgebung zum Schutz der Grundrechte und Grundfreiheiten von Personen und insbesondere ihres Rechts auf Privatsphäre im Hinblick auf die Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gilt, in dem der Datenexporteur niedergelassen ist;

1.6 „Technische und organisatorische Sicherheitsmaßnahmen“ sind Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk umfasst, sowie vor allen anderen Formen der unrechtmäßigen Verarbeitung.

Klausel 2 Einzelheiten der Übertragung.

Die Einzelheiten der Übermittlung und insbesondere die spezifischen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anhang 1 aufgeführt, der einen integralen Bestandteil der Klauseln bildet.

§ 3 Drittbegünstigtenklausel

3.1 Die betroffene Person kann diese Klausel, die Klauseln 4.2 bis 4.10, die Klauseln 5.1 bis 5.5 und 5.7 bis 5.10, die Klauseln 6.1 und 6.2, die Klausel 7, die Klausel 8.2 und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.

3.2 Die betroffene Person kann diese Klausel, die Klauseln 5.1 bis 5.5 und 5.7, Klausel 6, Klausel 7, Klausel 8.2 und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Nachfolgeunternehmen hat per Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen und tritt dadurch in die Rechte und Pflichten des Datenexporteurs ein. In diesem Fall kann die betroffene Person die Ansprüche gegenüber diesem Unternehmen geltend machen.

3.3 Die betroffene Person kann diese Klausel, die Klauseln 5.1 bis 5.5 und 5.7, Klausel 6, Klausel 7, Klausel 8.2 und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder insolvent sind, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen und damit auch die Rechte und Pflichten des Datenexporteurs. In diesem Fall kann die betroffene Person die Ansprüche gegenüber diesem Rechtsnachfolger geltend machen. Diese Haftpflicht des Unterauftragsverarbeiters ist auf dessen eigene Verarbeitungstätigkeiten gemäß diesen Klauseln beschränkt.

3.4 Die Parteien haben keine Einwände dagegen, dass sich eine betroffene Person durch einen Verband oder eine andere Stelle vertreten lässt, wenn die betroffene Person dies ausdrücklich wünscht und dies nach nationalem Recht zulässig ist.

§ 4 Pflichten des Datenexporteurs

Der Datenexporteur stimmt zu und garantiert:

4.1 dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, gemäß den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

4.2 dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;

4.3 dass der Datenimporteur ausreichende Garantien hinsichtlich seiner technischen und organisatorischen Sicherheitsmaßnahmen bietet;

4.4 dass nach einer Bewertung der Anforderungen des geltenden Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unberechtigter Offenlegung oder unberechtigtem Zugriff – insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk umfasst – sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung zu schützen, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten unter Berücksichtigung des Stands der Technik und der Kosten ihrer Umsetzung angemessen ist;

4.5 dass sie für die Einhaltung der Sicherheitsmaßnahmen sorgt;

4.6 dass die betroffene Person, wenn es sich bei der Übermittlung um besondere Kategorien von Daten handelt, vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;

4.7 alle vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Klausel 5.2 und Klausel 8.3 erhaltenen Mitteilungen an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

4.8 den betroffenen Personen auf Anfrage eine Kopie der Klauseln und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie aller Verträge über Unterauftragsverarbeitungsdienste, die gemäß den Klauseln abgeschlossen werden müssen, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall können diese Informationen entfernt werden;

4.9 dass im Falle einer Unterauftragsverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln; und

4.10 dass er die Einhaltung der Ziffern 4.1 bis 4.9 sicherstellen wird.

§ 5 Pflichten des Datenimporteurs

Der Datenimporteur stimmt zu und garantiert:

5.1 die personenbezogenen Daten ausschließlich im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den Klauseln zu verarbeiten; ist er aus irgendwelchen Gründen nicht in der Lage, diese Anweisung zu erfüllen, verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren; in diesem Fall ist der Datenexporteur berechtigt, die Datenübertragung auszusetzen und/oder den Vertrag zu kündigen;

5.2 dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die Anweisungen des Datenexporteurs zu erfüllen und seinen Verpflichtungen aus dem Vertrag nachzukommen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die voraussichtlich erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen hat, den Datenexporteur unverzüglich über die Änderung informieren wird, sobald er davon Kenntnis erlangt; in diesem Fall ist der Datenexporteur berechtigt, die Datenübertragung auszusetzen und/oder den Vertrag zu kündigen;

5.3 dass er vor der Verarbeitung der übermittelten personenbezogenen Daten die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 2 umgesetzt hat;

5.4 dass er den Datenexporteur unverzüglich über Folgendes informiert: (i) jede rechtlich bindende Aufforderung zur Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, sofern dies nicht anderweitig verboten ist, beispielsweise aufgrund eines strafrechtlichen Verbots zur Wahrung der Vertraulichkeit einer Strafverfolgungsuntersuchung; (ii) jeden versehentlichen oder unbefugten Zugriff; und (iii) jede Anfrage, die direkt von den betroffenen Personen gestellt wird, ohne auf diese Anfrage zu antworten, sofern er nicht anderweitig dazu ermächtigt wurde;

5.5 alle Anfragen des Datenexporteurs im Zusammenhang mit seiner Verarbeitung der übermittelten personenbezogenen Daten unverzüglich und ordnungsgemäß zu bearbeiten und den Anweisungen der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten Folge zu leisten;

5.6 falls der Datenexporteur dies auf Verlangen der Aufsichtsbehörde verlangt, seine Datenverarbeitungsanlagen einer Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zu unterziehen, die vom Datenexporteur oder einem aus unabhängigen Mitgliedern bestehenden und über die erforderlichen beruflichen Qualifikationen verfügenden und zur Vertraulichkeit verpflichteten Prüfgremium durchgeführt wird, das gegebenenfalls vom Datenexporteur im Einvernehmen mit der Aufsichtsbehörde ausgewählt wird;

5.7 der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags zur Unterauftragsverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen. In diesem Fall können solche kommerziellen Informationen entfernt werden, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn die betroffene Person keine Kopie vom Datenexporteur erhalten kann;

5.8 dass er im Falle einer Unterauftragsverarbeitung den Datenexporteur informiert und dessen vorherige schriftliche Zustimmung eingeholt hat;

5.9 dass die Verarbeitungsdienste durch den Unterauftragsverarbeiter gemäß Klausel 11 durchgeführt werden;

5.10 dem Datenexporteur auf Anfrage unverzüglich eine Kopie aller Unterauftragsverarbeitungsvereinbarungen zu senden, die er gemäß den Klauseln abschließt.

§ 6 Haftung

6.1 Die Parteien vereinbaren, dass jede betroffene Person, die aufgrund einer Verletzung der in Klausel 3 oder Klausel 11 genannten Pflichten durch eine der Parteien oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Entschädigung vom Datenexporteur für den entstandenen Schaden hat.

6.2 Kann eine betroffene Person gegenüber dem Datenexporteur keinen Schadensersatzanspruch gemäß 6.1 geltend machen, der sich aus einer Verletzung der in Klausel 3 oder Klausel 11 genannten Pflichten durch den Datenimporteur oder seinen Unterauftragsverarbeiter ergibt, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder insolvent ist, erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person gegenüber dem Datenimporteur wie gegenüber dem Datenexporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat vertraglich oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber diesem Rechtsnachfolger geltend machen. Der Datenimporteur darf sich nicht auf eine Verletzung seiner Pflichten durch einen Unterauftragsverarbeiter berufen, um seiner eigenen Haftung zu entgehen.

6.3 Kann eine betroffene Person gegenüber dem Datenexporteur oder Datenimporteur gemäß 6.1 und 6.2 keine Ansprüche geltend machen, die sich aus einer Verletzung der in Klausel 3 oder 11 genannten Pflichten durch den Unterauftragsverarbeiter ergeben, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder insolvent sind, erklärt sich der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person gegenüber dem Unterauftragsverarbeiter hinsichtlich seiner eigenen Datenverarbeitungstätigkeiten gemäß den Klauseln Ansprüche geltend machen kann, als wäre er der Datenexporteur oder der Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat vertraglich oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters ist auf dessen eigene Datenverarbeitungstätigkeiten gemäß den Klauseln beschränkt.

§ 7 Mediation und Gerichtsstand

7.1 Der Datenimporteur erklärt sich damit einverstanden, dass er, falls die betroffene Person ihm gegenüber Rechte als Drittbegünstigte geltend macht und/oder Schadensersatz gemäß den Klauseln verlangt, die Entscheidung der betroffenen Person akzeptiert: (i) den Streitfall einer Mediation durch eine unabhängige Person oder gegebenenfalls der Aufsichtsbehörde zu unterbreiten; oder (ii) den Streitfall den Gerichten des Mitgliedstaats vorzulegen, in dem der Datenexporteur niedergelassen ist.

7.2 Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person ihre materiellen oder verfahrensrechtlichen Rechte, Rechtsmittel gemäß anderen Bestimmungen des nationalen oder internationalen Rechts einzulegen, nicht beeinträchtigt.

§ 8 Zusammenarbeit mit Aufsichtsbehörden

8.1 Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder wenn dies nach geltendem Datenschutzrecht erforderlich ist.

8.2 Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, beim Datenimporteur und bei etwaigen Unterauftragsverarbeitern eine Prüfung durchzuführen, die denselben Umfang hat und denselben Bedingungen unterliegt, wie sie nach geltendem Datenschutzrecht für eine Prüfung des Datenexporteurs gelten würden.

8.3 Der Datenimporteur informiert den Datenexporteur unverzüglich über das Bestehen von für ihn oder einen Unterauftragsverarbeiter geltenden Rechtsvorschriften, die eine Prüfung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß 8.2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5.2 vorgesehenen Maßnahmen zu ergreifen.

Klausel 9 Geltendes Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

§ 10 Vertragsänderung

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu geschäftsrelevanten Themen hinzufügen, sofern diese den Klauseln nicht widersprechen.

§ 11 Unterauftragsverarbeitung

11.1 Der Datenimporteur darf die im Auftrag des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungsvorgänge ohne vorherige schriftliche Zustimmung des Datenexporteurs nicht an Unterauftragnehmer vergeben. Vergibt der Datenimporteur seine Verpflichtungen gemäß den Klauseln nach Benachrichtigung des Datenexporteurs an Unterauftragnehmer, so erfolgt dies ausschließlich im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt wie dem Datenimporteur gemäß den Klauseln. Erfüllt der Unterauftragsverarbeiter seine Datenschutzverpflichtungen gemäß dieser schriftlichen Vereinbarung nicht, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß dieser Vereinbarung voll haftbar.

11.2 Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss zudem eine Drittbegünstigtenklausel gemäß Klausel 3 für Fälle enthalten, in denen die betroffene Person den in 6.1 genannten Schadensersatzanspruch gegenüber dem Datenexporteur oder dem Datenimporteur nicht geltend machen kann, weil diese faktisch oder rechtlich nicht mehr bestehen oder insolvent sind und kein Nachfolgeunternehmen vertraglich oder kraft Gesetzes sämtliche rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs übernommen hat. Diese Dritthaftung des Unterauftragsverarbeiters ist gemäß den Klauseln auf dessen eigene Verarbeitungstätigkeiten beschränkt.

11.3 Die Bestimmungen zu Datenschutzaspekten für die Unterauftragsverarbeitung des in 11.1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

11.4 Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5.10 gemeldeten Unterauftragsverarbeitungsvereinbarungen, das mindestens einmal jährlich aktualisiert wird. Das Verzeichnis ist der Datenschutzaufsichtsbehörde des Datenexporteurs zugänglich zu machen.

§ 12 Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten

12.1 Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter nach Beendigung der Datenverarbeitungsleistungen nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dem Datenexporteur die erfolgte Vernichtung bescheinigen, es sei denn, dem Datenimporteur obliegende Rechtsvorschriften hindern ihn an der Rückgabe oder Vernichtung aller oder eines Teils der übermittelten personenbezogenen Daten. In diesem Fall garantiert der Datenimporteur, die Vertraulichkeit der übermittelten personenbezogenen Daten zu gewährleisten und diese nicht mehr aktiv zu verarbeiten.

12.2 Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Anfrage der Aufsichtsbehörde ihre Datenverarbeitungsanlagen einer Überprüfung der in 12.1 genannten Maßnahmen unterziehen.

ANHANG 1 – ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Teil der Klauseln. Die Mitgliedstaaten können gemäß ihren nationalen Verfahren zusätzliche erforderliche Informationen, die in diesem Anhang enthalten sein müssen, durch eine gesonderte schriftliche Vereinbarung ergänzen oder präzisieren.

Datenexporteur– Der Datenexporteur ist die im Vertrag als Lizenznehmer der Lösung genannte Entität.

Datenimporteur– Der Datenimporteur ist EXABEAM Inc. („EXABEAM“)

EXABEAM ist ein Anbieter von Unternehmenssoftware und bietet Software as a Service (SaaS)-Lösungen an. EXABEAM bietet außerdem On-Premise-Softwarelösungen und technischen Support für alle seine Produkte und Dienstleistungen an.

Betroffene Personen– Bei den übermittelten personenbezogenen Daten kann es sich um folgende Datenkategorien handeln (gilt nur, wenn es sich bei den betroffenen Personen um natürliche Personen handelt):

Vor- und Nachname
Kontaktinformationen (einschließlich Postanschrift, E-Mail-Adresse, Telefonnummer)
Unternehmen und/oder Arbeitgeber
Titel und/oder Position
Zusätzliche Daten, die nach Ermessen des Datenexporteurs eingegeben werden

Die Dauer der Verarbeitung beträgt: (bis zum Ablauf oder zur Kündigung des Vertrags) oder (ii) dem Datum, ab dem die Verarbeitung für die Zwecke der Erfüllung der Verpflichtungen einer der Parteien aus dem Vertrag nicht mehr erforderlich ist, sofern nicht schriftlich etwas anderes vereinbart wurde.

Die Verarbeitung umfasst nur die Aktivitäten, die zur Bereitstellung der Lösung erforderlich sind oder die anderweitig von den Parteien einvernehmlich vereinbart wurden.

ANHANG 2 – ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der vom Datenimporteur gemäß den Klauseln 4.4 und 5.3 implementierten technischen und organisatorischen Sicherheitsmaßnahmen: Wie in der obigen Richtlinie dargelegt.

Version 201015