ERGÄNZUNG ZUR DATENVERARBEITUNG

Gültig ab: 25. Mai 2018

Diese Ergänzung zur Datenverarbeitung wird referenziert in Abschnitt 7 der AdRoll-Nutzungsbedingungen und stellt einen integralen Teil derselben und aller geltenden Ergänzungen zu Produkten dar („Nutzungsbedingungen“). Sie gilt ab dem Zeitpunkt, an dem die Nutzungsbedingungen akzeptiert werden.

Dort, wo im Rahmen der Nutzungsbedingungen verarbeitete Daten dem maßgeblichen Datenschutzrecht unterliegen, können Kunden diese Ergänzung zur Datenverarbeitung (welche die Standardvertragsklauseln der Europäischen Union enthält) abschließen: (i) um die Daten in Übereinstimmung mit den Vorschriften des maßgeblichen Datenschutzrechts zu schützen und (ii) um angemessene Sicherheitsvorkehrungen in Bezug auf die Daten zu treffen, die außerhalb des Europäischen Territoriums verarbeitet werden können.

Diese Ergänzung zur Datenverarbeitung spiegelt die Übereinkunft der Parteien in Bezug auf die Bestimmungen wider, denen die Verarbeitung von Daten im Rahmen der Nutzungsbedingungen unterliegt.

1. BEGRIFFSBESTIMMUNGEN

  • Die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ (und „verarbeiten“) und „besondere Kategorien personenbezogener Daten“ haben die ihnen im maßgeblichen Datenschutzrecht verliehenen Bedeutungen; und
  • „Maßgebliches Datenschutzrecht“ bezeichnet: (i) vor dem 25. Mai 2018, die Datenschutzrichtlinie (Richtlinie 95/46/EG); (ii) nach dem 25. Mai 2018, die EU-Datenschutz-Grundverordnung (Verordnung 2016/679); (iii) die EU-ePrivacy-Richtlinie (Richtlinie 2002/58/EG); (iv) alle gemäß (i), (ii) oder (iii) eingeführten nationalen Gesetze; und (v) alle Gesetze, die (i), (ii), (iii) oder (iv) verändern oder ablösen.
  • Alle anderen großgeschriebenen, in dieser Ergänzung zur Datenverarbeitung nicht definierten Begriffe haben die ihnen in den Nutzungsbedingungen verliehene Bedeutung.

2. BEZIEHUNG ZWISCHEN DEN PARTEIEN

Der Kunde (der „Verantwortliche“) beauftragt AdRoll, Inc., tätig unter dem Namen AdRoll Group („AdRoll“) als einen Auftragsverarbeiter mit der Verarbeitung von in Ziffer 7.1 der Nutzungsbedingungen zwischen den Parteien beschriebenen personenbezogenen Daten (die „Daten“) zu in den Nutzungsbedingungen beschriebenen Zwecken (oder wie sonst schriftlich zwischen den Parteien vereinbart) (der „Zulässige Zweck“). Jede Partei hat die Pflichten zu erfüllen, die ihr im Rahmen des maßgeblichen Datenschutzrechts obliegen. Falls der Verantwortliche davon erfährt, dass die Verarbeitung zum Zulässigen Zweck gegen das maßgebliche Datenschutzrecht verstößt, wird er AdRoll unverzüglich informieren.

3. VERBOTENE DATEN

Der Verantwortliche darf AdRoll für die Verarbeitung keine besonderen Kategorien personenbezogener Daten weitergeben (und darf betroffenen Personen die Weitergabe nicht gestatten).

4. INTERNATIONALE ÜBERMITTLUNG

AdRoll darf keine Daten außerhalb des Europäischen Territoriums übermitteln, es sei denn, es hat solche Maßnahmen ergriffen, wie sie erforderlich sind, um zu gewährleisten, dass die Übermittlung in Einklang mit dem maßgeblichen Datenschutzrecht steht. Zu derartigen Maßnahmen können (unter anderem) folgende zählen: Transfer der Daten an einen Empfänger in einem Land, das nach der Entscheidung der Europäischen Kommission ausreichenden Schutz für personenbezogene Daten gewährt, an einen Empfänger in den Vereinigten Staaten von Amerika, der über eine gültige und aktuelle EU-US Privacy Shield -Zertifizierung verfügt, an einen Empfänger, der die Genehmigung seiner verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) im Einklang mit dem maßgeblichen Datenschutzrecht erreicht hat, oder an einen Empfänger, der von der Europäischen Kommission verabschiedete oder genehmigte vertragliche Standardvertragsklauseln eingeführt hat.

5. STANDARDVERTRAGSKLAUSELN

Um zu gewährleisten, dass angemessene Sicherheitsvorkehrungen auf die vom Verantwortlichen an AdRoll übertragenen personenbezogenen Daten angewandt werden, nehmen die Parteien hiermit die von der Europäischen Kommission im Beschluss 2010/87/EU verabschiedeten Standardvertragsklauseln für die Übermittlung personenbezogener Daten von Verantwortlichen an Auftragsverarbeiter in ihrer Gesamtheit in diesen Vertrag auf, vorbehaltlich der folgenden Voraussetzungen: (a) Die Anhänge 1 und 2 der Standardvertragsklauseln werden als Anhang A zu dieser Ergänzung zur Datenverarbeitung dargelegt; (b) es wird davon ausgegangen, dass AdRoll die Vorschriften für die Unterauftragsverarbeitung in Abschnitt 11 der Standardvertragsklauseln vollständig erfüllt, wenn es die Vorschriften der Ziffer 8 dieser Ergänzung zur Datenverarbeitung erfüllt; und (c) es wird davon ausgegangen, dass AdRoll die Rechte auf die Überprüfung, die Verantwortliche gemäß Abschnitt 5(f) der Standardvertragsklauseln haben können, vollständig erfüllt, wenn es die Vorschriften der Ziffer 13 dieser Ergänzung zur Datenverarbeitung erfüllt.

6. VERTRAULICHKEIT DER VERARBEITUNG

AdRoll wird sicherstellen, dass jede Person, die es zur Verarbeitung der Daten autorisiert, die Daten in Übereinstimmung mit den Vertraulichkeitsverpflichtungen des Verantwortlichen im Rahmen dieser Ergänzung und der Nutzungsbedingungen schützt.

7. SICHERHEIT

AdRoll wird angemessene technische und organisatorische Maßnahmen, wie in Anhang C dargelegt, treffen, um die Daten vor (i) versehentlicher oder rechtswidriger Vernichtung und (ii) Verlust, Veränderung, unbefugter Weitergabe der Daten oder unbefugtem Zugriff auf die Daten (ein „Sicherheitsvorfall“) zu schützen.

8. UNTERAUFTRAGSVERGABE

Der Verantwortliche willigt ein, dass AdRoll Dritte als Auftragsverarbeiter im Unterauftragsverhältnis damit beauftragt, die Daten für den Zulässigen Zweck zu verarbeiten, vorausgesetzt: (i) AdRoll pflegt eine aktuelle Liste seiner Auftragsverarbeiter im Unterauftragsverhältnis, die dem Verantwortlichen auf Anfrage hin übergeben wird und die AdRoll eine angemessene Zeit im Voraus mit den Details jedes vorgeschlagenen Wechsels aktualisieren wird, bei dem ein Auftragsverarbeiter im Unterauftragsverhältnis ernannt oder ersetzt wird; (ii) AdRoll erlegt jedem von ihm ernannten Auftragsverarbeiter im Unterauftragsverhältnis Datenschutzbestimmungen auf, die ihn dazu verpflichten, die Daten nach dem vom maßgeblichen Datenschutzrecht und dieser Ergänzung zur Datenverarbeitung vorgeschriebenen Standard zu schützen; und (iii) AdRoll bleibt haftbar für jeden Verstoß gegen diese Klausel, der durch eine Handlung, einen Fehler oder eine Unterlassung seines Auftragsverarbeiters im Unterauftragsverhältnis verursacht wird. Eine Liste der genehmigten Auftragsverarbeiter im Unterauftragsverhältnis ist in Anhang B angehängt. Der Verantwortliche kann gegen die Ernennung oder Ersetzung eines Auftragsverarbeiters im Unterauftragsverhältnis durch AdRoll Einspruch einlegen, bevor dieser ernannt oder ersetzt wird, vorausgesetzt, dass ein solcher Einspruch sich auf berechtigte Gründe des Datenschutzes stützt. In einem solchen Fall wird AdRoll entweder den Auftragsverarbeiter im Unterauftragsverhältnis nicht ernennen oder ersetzen oder, falls dies nicht möglich ist, kann der Verantwortliche die Nutzungsbedingungen aussetzen oder kündigen (unbeschadet irgendwelcher Gebühren, die dem Verantwortlichen vor der Aussetzung oder Kündigung entstanden sind).

9. KOOPERATION UND RECHTE BETROFFENER PERSONEN

AdRoll wird dem Verantwortlichen (auf Kosten des Verantwortlichen) angemessene und zeitnahe Unterstützung gewähren, um dem Verantwortlichen eine Antwort auf die folgenden Anliegen zu ermöglichen: (i) eine Anfrage von einer betroffenen Person zur Ausübung ihrer Rechte unter dem maßgeblichen Datenschutzrecht (einschließlich ihrer Rechte auf Zugriff, Korrektur, Einspruch, Löschung, Beschränkung und Datenportabilität, je nachdem, was zutrifft); und (ii) jede sonstige Korrespondenz, Anfrage oder Beschwerde, die von einer betroffenen Person, einer Aufsichtsbehörde oder einem Dritten in Zusammenhang mit der Verarbeitung von Daten erhalten wird. Falls eine solche Anfrage, Korrespondenz oder Beschwerde direkt an AdRoll gerichtet wird, so wird AdRoll den Verantwortlichen unverzüglich und einschließlich der Übergabe sämtlicher Details derselben informieren.

10. DATENSCHUTZFOLGEABSCHÄTZUNG

AdRoll shall provide reasonable cooperation to the Controller (at Controller’s expense) in connection with any data protection impact assessment that the Controller may be required under Applicable Data Protection Law.

11. SICHERHEITSVORFÄLLE

Falls AdRoll von einem bestätigten Sicherheitsvorfall Kenntnis erlangt, wird es den Verantwortlichen ohne unangemessene Verzögerung informieren und dem Verantwortlichen geeignete Informationen zukommen lassen und Kooperation zusichern, so dass der Verantwortliche alle Verpflichtungen zur Berichterstattung über die Verletzung des Schutzes personenbezogener Daten erfüllen kann, denen er gegebenenfalls gemäß dem (und in Übereinstimmung mit den vorgeschriebenen Fristen des) maßgeblichen Datenschutzrecht unterliegt. AdRoll wird des Weiteren alle angemessenen erforderlichen Maßnahmen und Handlungen unternehmen, um die Auswirkung des Sicherheitsvorfalls zu beheben oder zu mindern, und wird den Verantwortlichen über alle wesentlichen Entwicklungen in Zusammenhang mit dem Sicherheitsvorfall informieren.

12. LÖSCHUNG ODER RÜCKGABE VON DATEN

Bei Kündigung oder Ablauf der Nutzungsbedingungen wird AdRoll (nach Wahl des Verantwortlichen) alle Daten, die sich in seinem Besitz oder unter seiner Kontrolle befinden, vernichten oder an den Verantwortlichen zurückgeben. Diese Vorschrift findet keine Anwendung in dem Ausmaß, in dem es AdRoll nach geltendem Recht vorgeschrieben ist, einige oder alle der Daten aufzubewahren, oder auf die Daten, die es in Backup-Systemen archiviert hat, in welchem Fall AdRoll diese auf sichere Art und Weise isolieren und vor jeder weiteren Verarbeitung schützen muss, soweit es von einem solchen Gesetz vorgeschrieben ist.

13. AUDIT

AdRoll wird dem Verantwortlichen alle notwendigen Informationen zur Verfügung stellen, damit dieser die Einhaltung der in dieser Ergänzung zur Datenverarbeitung niedergelegten Pflichten nachweisen kann.

Der Verantwortliche stimmt zu, dass er das Auditrecht gemäß dem maßgeblichen Datenschutzrecht (oder den durch Erwähnung in Abschnitt 5 aufgenommenen Standardvertragsklauseln) ausüben wird, indem er AdRoll schriftliche Auditfragen überreicht. AdRoll wird auf solche ihm vom Verantwortlichen überreichten schriftlichen Auditfragen antworten, vorausgesetzt, der Verantwortliche übt dieses Recht nicht mehr als einmal pro Jahr aus.

Anhang A

Anhang 1 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Standardvertragsklauseln.

Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen.

Datenexporteur

Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind):

  • • Der Kunde ist der Datenexporteur, gegenüber dem Dienstleistungen gemäß den Nutzungsbedingungen erbracht werden.

Datenimporteur

Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind):

  • AdRoll erbringt Dienstleistungen für den Datenexporteur gemäß den Nutzungsbedingungen.

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte spezifizieren):

  • Interessenten und existierende Kunden des Datenexporteurs

Datenkategorien

Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien (bitte spezifizieren):

  • Kontaktdaten einschließlich E-Mail-Adressen und alle anderen verbundenen Kontaktdaten, die der Datenexporteur dem Datenimporteur zur Durchführung der Dienstleistungen zur Verfügung stellt (z. B. Name, Adresse, E-Mail-Adresse, Telefonnummer, Name des Unternehmens, Arbeitstitel).

Besondere Datenkategorien (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen folgende besondere Datenkategorien (bitte spezifizieren):

  • Keine

Verarbeitungsverfahren

Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsaktivitäten unterzogen (bitte spezifizieren):

  • Nutzung beim Targeting und beim Bieten auf Werbung, die auf Webseiten von Inhaltsanbietern angezeigt werden sollen;
  • Aggregieren und Analyse zur Verbesserung der Dienstleistungen des Datenimporteurs; und
  • Übermittlung und Speicherung von personenbezogenen Daten beim Auftragsverarbeiter für Speicherung und Datenverarbeitung, der im Unterauftragsverhältnis mit dem Datenimporteur zusammenarbeitet, Amazon Web Services.

Anhang 2 zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Standardvertragsklauseln.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und Klausel 5(c) eingeführt hat (oder dem angehängten Dokument/Rechtsvorschrift):

Siehe Anhang C.

ANHANG B

Liste der genehmigten Auftragsverarbeiter im Unterauftragsverhältnis

Bezeichnung der Organisation Verarbeitungsaktivität Standort
Amazon Web Services Speicherung USA und Europa
Mailgun (nur zutreffend, wenn der Kunde die AdRoll E-Mail Services in Anspruch nimmt) Versenden von E-Mails USA

Anhang C

AdRoll-Sicherheitsanlage

AdRoll wird mindestens die folgenden Sicherheitsmaßnahmen ergreifen und kann auch andere Sicherheitsmaßnahmen einführen, um ein angemessenes Schutzniveau (einschließlich Vertraulichkeit, Integrität und Verfügbarkeit) zu gewährleisten, unter Berücksichtigung des Stands der Technik und der Kosten der Implementierung im Verhältnis zu den Risiken und der Art der Daten, die geschützt werden müssen:

  • Risikomanagement. Erhält ein Risikomanagementprogramm aufrecht.
  • Richtlinien. Absichtserklärungen zu wichtigen Bereichen der Risikoprävention.
  • Betriebsabläufe. Einschließlich:
    • Änderungskontrolle;
    • Vorfallsreaktion; und
    • Benachrichtigung über Sicherheitsverstöße.
  • Auditierung. Zentrale Protokollierung von Sicherheitsereignissen zur Ermöglichung der Erkennung von und Reaktion auf Sicherheitsereignisse.
  • Personalmanagement. Verwaltung von Personalkräften, einschließlich Hintergrundüberprüfungen.
  • Lieferantenmanagement. Ein Programm zur Minimierung der durch den Einsatz von Dritten bei der Verwaltung von Systemen und Daten entstehenden Risiken.
  • Zugangskontrolle zu Verarbeitungsbereichen. Prozesse, um zu verhindern, dass unbefugte Personen Zugang zu Datenverarbeitungsanlagen erhalten, an denen sensible Daten verarbeitet oder genutzt werden.
  • Zugriffskontrolle auf Datenverarbeitungssysteme. Prozesse, um zu verhindern, dass Datenverarbeitungssysteme von unbefugten Personen genutzt werden.
  • Zugriff mit den geringsten Rechten. Maßnahmen, die gewährleisten, dass Personen, die zur Nutzung der Datenverarbeitungssysteme berechtigt sind, nur auf die Daten innerhalb des Umfangs und in dem Ausmaß zugreifen können, wie es in ihrer entsprechenden Zugriffserlaubnis (Autorisierung) enthalten ist, und dass sensible Daten nicht ohne Autorisierung gelesen, kopiert, verändert oder entfernt werden können.
  • Übermittlungskontrolle. Verfahren, die verhindern, dass Daten während ihrer Übermittlung oder während des Transports der Datenmedien von unbefugten Parteien gelesen, kopiert, verändert oder gelöscht werden, und gewährleisten, dass es möglich ist, zu prüfen und festzustellen, an welche Einrichtungen die Übermittlung von Daten über Datenübermittlungseinrichtungen vorgesehen ist.
  • Speicherkontrolle. Kontrollen bei der Speicherung von sensiblen Daten.
  • Eingabekontrolle. Maßnahmen, die gewährleisten, dass es möglich ist, zu prüfen und festzustellen, ob und von wem Daten in Datenverarbeitungssysteme eingegeben oder aus diesen entfernt wurden.
  • Verfügbarkeitskontrolle. Maßnahmen, um zu gewährleisten, dass Daten vor zufälliger Vernichtung oder zufälligem Verlust geschützt sind.
  • Trennung der Verarbeitung. Prozeduren, die gewährleisten, dass für verschiedene Zwecke erhobene Daten getrennt verarbeitet werden können.
  • Schwachstellenmanagement. Systeme werden regelmäßig auf Schwachstellen überprüft und alle entdeckten Schwachstellen werden unverzüglich behoben.
  • Vorfallsmanagement. Etablierung eines angemessenen und geeigneten Vorfallsmanagements.