Letzte Aktualisierung: 16.07.2025
Dieser Zusatz zur Datenverarbeitung („DPA“) ergänzt und ist in jeden Vertrag zwischen Netradyne und einer natürlichen oder juristischen Person („Kunde“) aufgenommen, der die Nutzung der Produkte und Dienste von Netradyne durch den Kunden regelt, unabhängig davon, ob diese Nutzung (i) aufgrund einer direkten Vereinbarung mit Netradyne, (ii) über einen Wiederverkäufer oder (iii) im Rahmen anderer Nutzungsbedingungen oder Vereinbarungen erfolgt, die eine solche Nutzung zulassen (zusammen die „Vereinbarung“)“). Wenn der Kunde über einen Wiederverkäufer auf die Produkte und Dienste zugreift, kann die Annahme dieser Datenschutzvereinbarung durch den Kunden auf elektronischem Wege, durch Produktaktivierung oder durch fortgesetzte Nutzung der Produkte und Dienste erfolgen. Diese DPA ist eine Vereinbarung zwischen dem Kunden (zusammen mit all seinen verbundenen Unternehmen, die die Produkte und Dienstleistungen im Rahmen der Vereinbarung nutzen) und Netradyne (jeweils eine „Partei“ und gemeinsam die „Parteien“).
In diesem Addendum haben die folgenden Begriffe die unten aufgeführten Bedeutungen:
1.1. „Personenbezogene Kundendaten“ sind alle personenbezogenen Daten, die den Datenschutzgesetzen unterliegen, die in Kundendaten enthalten sind, die der Kunde Netradyne zur Verfügung stellt oder zur Verfügung gestellt hat und die von Netradyne im Namen des Kunden gemäß der Vereinbarung verarbeitet werden.
1.2. „Datenschutzgesetze“ bedeuten, soweit zutreffend, (i) die Datenschutz-Grundverordnung der EU (EU 2016/679) (die „EU-DSGVO“), ihre Übernahme in die Gesetze von England und Wales, Schottland und Nordirland gemäß dem UK European Union (Withdrawal) Act 2018 (die „britische DSGVO“); (ii) das schweizerische Bundesgesetz über den Datenschutz („FADP“); (iii) Bundes- und/oder Landesdaten der Vereinigten Staaten Schutz- oder Datenschutzgesetze, einschließlich, aber nicht beschränkt auf den California Consumer Privacy Act von 2018, geändert durch den California Privacy Rights Act von 2020 (zusammen mit seinem Durchführungsbestimmungen, die „CPRA“); (iv) das belgische Datenschutzgesetz vom 30. Juli 2018 (das „BDPA“) und/oder (v) alle anderen geltenden nationalen Gesetze im Europäischen Wirtschaftsraum oder im Vereinigten Königreich, die die EU-DSGVO oder die britische DS-GVO (soweit zutreffend) ergänzen, und/oder die geltenden Datenschutz- und/oder geltenden Datenschutzgesetze in jedem Land; in jedem Fall können sie von Zeit zu Zeit geändert, ersetzt oder ersetzt werden.
1.3. „Verantwortlicher“ bezeichnet die Stelle, die die Mittel und Zwecke der Verarbeitung personenbezogener Daten festlegt.
1.4. „Datensubjekt“ bezeichnet die Person, die Gegenstand personenbezogener Daten ist.
1.5. „EU SCCs“ sind die Standardvertragsklauseln, die dem Durchführungsbeschluss 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügt sind.
1,6. „Personenbezogene Daten“ bezeichnet „personenbezogene Daten“, „personenbezogene Daten“ oder „persönlich identifizierbare Informationen“ oder einen ähnlichen Begriff in den Datenschutzgesetzen, wie diese Begriffe in den Datenschutzgesetzen definiert sind.
1.7. „Verletzung personenbezogener Daten“ bezeichnet jede Sicherheitsverletzung, die gemäß Datenschutzgesetzen (i) Netradyne dem Kunden melden muss oder (ii) der Kunde einer Aufsichtsbehörde oder betroffenen Personen melden muss oder über die er Aufzeichnungen führen muss und die personenbezogene Daten betrifft, die diesem Zusatz unterliegen.
1.8. „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Gruppen personenbezogener Daten ausgeführt werden.
1.9. „Verarbeiter“ bezeichnet eine Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet.
1,10. „Aufsichtsbehörde“ bezeichnet eine Regierungs- oder Aufsichtsbehörde, die für die Verwaltung, Überwachung der Einhaltung und/oder Durchsetzung von Datenschutzgesetzen zuständig ist.
1,11. Großgeschriebene Begriffe, die hier nicht anders definiert sind, haben die ihnen in der Vereinbarung zugewiesene Bedeutung.
Diese Datenschutzvereinbarung gilt nur in dem Umfang, in dem Netradyne personenbezogene Kundendaten im Namen des Kunden als Verarbeiter (oder Unterauftragsverarbeiter) und, in Bezug auf CPRA, als „Dienstleister“ oder „Auftragnehmer“ im Rahmen der Bereitstellung der Produkte und Dienstleistungen im Rahmen der Vereinbarung verarbeitet.
Im Falle und im Umfang eines Widerspruchs zwischen den Bedingungen der Vereinbarung und dieser DPA haben die Bedingungen dieser DPA Vorrang. Im Falle und im Umfang eines Widerspruchs zwischen den Bedingungen dieser DPA und den SCCs oder dem britischen Nachtrag haben die SCCs oder der britische Nachtrag (sofern zutreffend) im Umfang dieses Konflikts Vorrang. Sofern hier nicht ausdrücklich geändert, bleiben die Bedingungen der Vereinbarung in vollem Umfang in Kraft und wirksam.
3.1. Rolle der Parteien
Im Verhältnis zwischen den Parteien fungiert Netradyne als Verarbeiter (oder Unterauftragsverarbeiter, Dienstleister oder Auftragnehmer) der personenbezogenen Daten des Kunden.
3.2. Anweisungen des Kunden
3.2.1. Netradyne verarbeitet personenbezogene Kundendaten wie in der Vereinbarung, diesem DPA und/oder den dokumentierten Anweisungen des Kunden ausdrücklich dargelegt oder wie es das geltende Recht, dem Netradyne unterliegt, anderweitig vorgeschrieben ist (die „Kundenanweisungen“). Wenn Netradyne nach geltendem Recht verpflichtet ist, personenbezogene Kundendaten auf andere Weise als gemäß den Kundenanweisungen zu verarbeiten, wird Netradyne den Kunden, soweit dies nach geltendem Recht zulässig ist, vor einer solchen Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
3.2.2. Netradyne wird den Kunden umgehend benachrichtigen, wenn nach Ansicht von Netradyne Kundenanweisungen gegen geltendes Recht verstoßen oder wenn Netradyne feststellt, dass es seinen Verpflichtungen nach geltendem Recht nicht mehr nachkommen kann. Netradyne ist berechtigt, die Erfüllung dieser Kundenanweisungen auszusetzen.
3.2.3. Der Kunde stellt sicher, dass Netradyne aufgrund seiner Anweisungen nicht gegen geltende Gesetze oder Vorschriften verstößt.
4.1. Netradyne stellt sicher, dass seine Mitarbeiter, Vertreter, Auftragnehmer und sonstiges Personal, das Zugang zu personenbezogenen Daten hat, (a) dies nur tun, soweit dies für die Erbringung der Dienste unbedingt erforderlich ist; und (b) an angemessene verbindliche Vertraulichkeitsverpflichtungen gebunden sind, die nicht weniger schützend sind als in der Vereinbarung festgelegt.
5.1. Netradyne wird angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der personenbezogenen Kundendaten ergreifen und aufrechterhalten. Netradyne setzt die in Anhang II aufgeführten Maßnahmen um. Netradyne kann diese Maßnahmen von Zeit zu Zeit ändern, sofern die Änderungen die Gesamtsicherheit der personenbezogenen Kundendaten nicht wesentlich beeinträchtigen.
6.1. Der Kunde erteilt hiermit den verbundenen Unternehmen von Netradyne sowie anderen in Anlage 3 aufgeführten Dritten eine allgemeine Genehmigung, Unterauftragsverarbeiter zu werden (jeweils ein „Unterauftragsverarbeiter“). Netradyne kann personenbezogene Kundendaten an seine Unterauftragsverarbeiter weitergeben, um die Produkte und Dienstleistungen bereitzustellen, vorausgesetzt, die Unterauftragsverarbeiter von Netradyne verpflichten sich, verbindliche Datenschutzverpflichtungen einzuhalten, die nicht weniger belastend sind als die in dieser DPA festgelegten.
6.2. Der Kunde ist berechtigt, jeder Änderung der Unterauftragsverarbeiter, die von Netradyne von Zeit zu Zeit innerhalb von dreißig (30) Kalendertagen nach dieser Mitteilung mitgeteilt wird, zu widersprechen. Widerspricht der Kunde einer solchen Änderung nicht innerhalb dieser Frist, wird davon ausgegangen, dass der Kunde dieser Änderung zugestimmt hat. Liegt ein wichtiger Grund für einen solchen Einwand vor und wird dieser Netradyne schriftlich mitgeteilt, und wird diese Angelegenheit von den Parteien nicht einvernehmlich gelöst (jede Partei handelt vernünftig und in gutem Glauben), kann der Kunde das/die entsprechende (n) Bestellformular (e) nur in Bezug auf die betroffenen Merkmale oder Funktionen der Produkte und Dienste kündigen.
6.3. Netradyne bleibt für die Handlungen oder Unterlassungen von Unterauftragsverarbeitern in dem von den Datenschutzgesetzen vorgeschriebenen Umfang verantwortlich, als ob die Handlungen oder Unterlassungen von Netradyne vorgenommen worden wären, und ist berechtigt, jegliche Verpflichtungen erneut zu erfüllen oder erneut zu erfüllen. Der Kunde erkennt an und akzeptiert, dass eine solche Nacherfüllung alle Ansprüche des Kunden gegenüber Netradyne in Bezug auf die Haftung des Unterauftragsverarbeiters mindert.
7.1. Netradyne informiert den Kunden und unterstützt ihn, wenn es Anfragen von betroffenen Personen zur Ausübung ihrer Rechte erhält (Anfragen der betroffenen Person), sofern Netradyne anhand der von den betroffenen Personen bereitgestellten Informationen vernünftigerweise erkennen kann, dass sich diese Anfrage auf den Kunden oder die personenbezogenen Daten des Kunden bezieht. Netradyne wird auf solche Anfragen nicht antworten, sofern dies nicht durch geltendes Recht vorgeschrieben ist. Netradyne kann vom Kunden verlangen, dass er die tatsächlichen Kosten trägt, die aufgrund der gemäß diesem Abschnitt erbrachten Unterstützung auf der Grundlage der jeweils geltenden Servicetarife von Netradyne entstanden sind.
7.2. Zur Klarstellung: Der Kunde ist als Verantwortlicher für die Beantwortung von Anfragen der betroffenen Person verantwortlich. Die Produkte und Dienstleistungen von Netradyne beinhalten technische und organisatorische Maßnahmen, die darauf ausgelegt sind, den Kunden bei der Beantwortung von Anfragen von betroffenen Personen zu unterstützen.
Netradyne soll:
(a) sofern dies nicht gesetzlich verboten ist, den Kunden unverzüglich (und in jedem Fall innerhalb von 72 Stunden) über jede Informationsanfrage oder Beschwerde einer Aufsichtsbehörde, Aufsichtsbehörde, Strafverfolgungsbehörde oder Kreditauskunftei in Bezug auf personenbezogene Daten, die Netradyne im Zusammenhang mit der Vereinbarung verarbeitet, informieren; und
(b) falls vom Kunden gewünscht, besprechen und kooperieren Sie bei der Vorbereitung einer Antwort auf eine solche Anfrage;
(c) ohne vorherige schriftliche Zustimmung des Kunden nicht auf eine solche Anfrage antworten, es sei denn, dies ist gesetzlich vorgeschrieben.
Sofern dies nicht gesetzlich verboten ist, wird Netradyne den Kunden zunächst benachrichtigen, bevor eine Benachrichtigung oder Offenlegung an Dritte im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten erfolgt, und die vorherige schriftliche Zustimmung des Kunden einholen.
9.1. Netradyne wird den Kunden unverzüglich benachrichtigen, sobald eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die die personenbezogenen Daten des Kunden betrifft. Zur Klarstellung: Eine Verletzung des Schutzes personenbezogener Daten umfasst nicht (i) Handlungen oder Unterlassungen, die Netradyne oder seinen Unterauftragsverarbeitern nicht direkt zuzuschreiben sind, oder (ii) jeglichen Zugriff auf personenbezogene Kundendaten oder deren Verarbeitung, die den Anweisungen des Kunden entspricht. Auf Anfrage des Kunden wird Netradyne angemessene Unterstützung und Zusammenarbeit leisten, um den Kunden bei der Erfüllung aller geltenden Informationspflichten gemäß den geltenden Datenschutzgesetzen in Bezug auf die Verletzung des Schutzes personenbezogener Daten zu unterstützen. Die Meldung oder Reaktion von Netradyne über eine Verletzung des Schutzes personenbezogener Daten darf nicht als Bestätigung eines Fehlers oder einer Haftung in Bezug auf die Leistung der Produkte und Dienstleistungen durch Netradyne oder gegebenenfalls seine Unterauftragsverarbeiter ausgelegt werden. Netradyne kann vom Kunden verlangen, dass er die tatsächlichen Kosten trägt, die aufgrund der gemäß diesem Abschnitt erbrachten Unterstützung auf der Grundlage der jeweils geltenden Servicetarife von Netradyne entstanden sind.
10.1. Auf Anfrage des Kunden leistet Netradyne dem Kunden angemessene Unterstützung bei allen datenschutzrechtlichen Folgenabschätzungen und vorherigen Konsultationen mit den Aufsichtsbehörden, die nach den Datenschutzgesetzen erforderlich sind, und zwar jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Kundendaten durch Netradyne im Rahmen der Vereinbarung und unter Berücksichtigung der Art der Verarbeitung und der Netradyne zur Verfügung stehenden Informationen. Netradyne behält sich das Recht vor, für die angeforderte Unterstützung eine angemessene Gebühr zu erheben, soweit dies nach geltendem Recht zulässig ist.
11,1. Auf schriftliche Anfrage und ohne zusätzliche Kosten für den Kunden gewährt Netradyne dem Kunden und/oder seinem entsprechend qualifizierten externen Vertreter (zusammen der „Prüfer“) Zugang zu Unterlagen, die belegen, dass Netradyne seinen Verpflichtungen aus diesem DPA nachkommt, in Form von Berichten über relevante Audits oder Zertifizierungen, wie ISO 27001 oder ausgefüllte branchenübliche Fragebögen (zusammen „Berichte“). Solche Berichte werden gemäß den Vertraulichkeitsbestimmungen der Vereinbarung die vertraulichen Informationen von Netradyne sein. Der Kunde erklärt sich damit einverstanden, dass die Berichte verwendet werden, um allen Prüf- oder Inspektionsanforderungen nachzukommen, die von oder im Namen des Kunden in Bezug auf Datenschutzgesetze, diese DPA und/oder Vereinbarung gestellt werden.
11.2. Handelt es sich bei dem Prüfer um einen Dritten, kann der Prüfer verpflichtet werden, vor einer Überprüfung der Berichte oder einer Prüfung von Netradyne eine separate Vertraulichkeitsvereinbarung mit Netradyne abzuschließen. Netradyne kann gegen einen solchen Prüfer schriftlich Einspruch erheben, wenn der Prüfer nach vernünftiger Auffassung von Netradyne nicht ausreichend qualifiziert ist oder ein Konkurrent von Netradyne ist. Ein solcher Einwand von Netradyne erfordert, dass der Kunde entweder einen anderen Wirtschaftsprüfer ernennt oder die Prüfung selbst durchführt. Alle Kosten, die einem Abschlussprüfer im Zusammenhang mit der Überprüfung von Berichten oder einer Prüfung entstehen, gehen ausschließlich zu Lasten des Abschlussprüfers.
11,3. Wenn ein Bericht nicht verfügbar ist, kann der Kunde nach einer schriftlichen Ankündigung von 30 Tagen und bis zu einmal pro Kalenderjahr verlangen, auf eigene Kosten eine Überprüfung der relevanten Richtlinien und Verfahren von Netradyne, die den Umgang von Netradyne mit personenbezogenen Kundendaten im Zusammenhang mit den Produkten regeln, durchzuführen, um zu überprüfen, ob Netradyne diese Anforderungen einhält. DPA. Diese Überprüfung wird so durchgeführt, dass die Vertraulichkeitsverpflichtungen von Netradyne gegenüber den anderen Kunden von Netradyne nicht beeinträchtigt werden. Die Parteien erkennen an und vereinbaren, dass die Richtlinien und Verfahren von Netradyne sowie alle Ergebnisse der Überprüfung durch den Kunden gemäß den Vertraulichkeitsbestimmungen der Vereinbarung vertrauliche Informationen von Netradyne sind.
11,4. Soweit es die Datenschutzgesetze vorschreiben, hat der Kunde das Recht, nach schriftlicher Mitteilung an Netradyne angemessene und angemessene Maßnahmen zu ergreifen, um jegliche Nutzung personenbezogener Kundendaten, die gegen die Vereinbarung verstößt, einzustellen und zu korrigieren.
12,1. Netradyne kann personenbezogene Kundendaten in jedes Land oder Gebiet übertragen, soweit dies nach vernünftigem Ermessen für die Bereitstellung der Produkte und Dienstleistungen gemäß diesem DPA erforderlich ist. Soweit eine solche Übertragung personenbezogene Kundendaten beinhaltet, die durch die für die Europäische Union, das Vereinigte Königreich und/oder die Schweiz geltenden Datenschutzgesetze geschützt sind, verpflichten sich Netradyne und der Kunde, die personenbezogenen Kundendaten gemäß den unten angegebenen Übertragungsmechanismen einzuhalten und zu verarbeiten.
12.1.1. Soweit Netradyne — in seiner Eigenschaft als Datenverarbeiter — Empfänger personenbezogener Kundendaten ist, die durch die EU-DSGVO („EU-Daten“) in einem Land außerhalb des Europäischen Wirtschaftsraums (EWR) geschützt sind, das nach den Datenschutzgesetzen nicht als ein angemessenes Schutzniveau für personenbezogene Daten anerkannt ist, verpflichten sich der Kunde (als „Datenexporteur“) und Netradyne (als „Datenimporteur“), EU-Daten einzuhalten und zu verarbeiten Einhaltung der SCCs der EU, die wie folgt als in diese DPA aufgenommen gelten und als Teil dieser Vereinbarung gelten:
12.1.2. Soweit Netradyne Empfänger von Kundendaten ist, die durch die schweizerische Datenschutzbehörde („Schweizer Daten“) geschützt sind, in einem Land außerhalb der Schweiz, das nach den Datenschutzgesetzen nicht als ein angemessenes Schutzniveau für personenbezogene Daten anerkannt ist, verpflichten sich der Kunde (als „Datenexporteur“) und Netradyne (als „Datenimporteur“), Schweizer Daten gemäß den EU-SCCs einzuhalten und zu verarbeiten, die als in und sind gemäß Abschnitt 12.1.1 oben und den Änderungen in Abschnitt unten Teil dieser Datenschutzvereinbarung.
12.1.3. Soweit Netradyne ein Empfänger personenbezogener Kundendaten ist, die durch britische Datenschutzgesetze („britische Daten“) in einem Land außerhalb des Vereinigten Königreichs geschützt sind, das vom Vereinigten Königreich nicht als Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet, verpflichten sich der Kunde (als „Datenexporteur“) und Netradyne (als „Datenimporteur“), britische Daten gemäß den EU-SCCs einzuhalten und zu verarbeiten, wie sie gemäß den Abschnitt 12.1.1 oben und die Änderungen in Abschnitt unten. Soweit und solange die gemäß diesem DPA umgesetzten EU-SCCs nicht dazu verwendet werden können, personenbezogene Kundendaten gemäß den britischen Datenschutzgesetzen rechtmäßig an Netradyne zu übertragen, gelten die britischen SCCs als Bestandteil dieser DPA und gelten für Übertragungen, die der britischen DSGVO unterliegen. Für die Zwecke der britischen SCCs gelten die entsprechenden Anlagen, Anlagen oder Tabellen als mit den in den Anhängen 1 und 2 dieser DPA aufgeführten Informationen gefüllt.
12.1.4. In Bezug auf Übertragungen von Daten aus dem Vereinigten Königreich oder aus der Schweiz gelten die gemäß Abschnitt 12.1.1 oben umgesetzten EU-SCCs mit den folgenden Änderungen (die von Zeit zu Zeit gemäß den Richtlinien des britischen Informationskommissars oder des schweizerischen Eidgenössischen Datenschutzbeauftragten geändert werden):
12.1.4.1. Verweise auf die „Verordnung (EU) 2016/679" sind als Verweise auf die Datenschutzgesetze des Vereinigten Königreichs oder die schweizerische Datenschutzbehörde (soweit zutreffend) auszulegen;
12.1.4.2. Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze oder der schweizerischen Datenschutzbehörde (sofern zutreffend) ersetzt;
12.1.4.3. Verweise auf „EU“, „Union“, „Mitgliedstaat“ und „Recht der Mitgliedstaaten“ werden durch Verweise auf das „Vereinigte Königreich“ oder die „Schweiz“ oder „britisches Recht“ oder „schweizerisches Recht“ (je nach Anwendbarkeit) ersetzt;
12.1.4.4. Der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass er betroffene Personen im Vereinigten Königreich oder in der Schweiz von der Möglichkeit ausschließt, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (d. h. im Vereinigten Königreich oder in der Schweiz) geltend zu machen;
12.1.4.5. Klausel 13 (a) der EU-SCCs und Teil C von Anhang I werden nicht verwendet, und die „zuständige Aufsichtsbehörde“ ist der Informationsbeauftragte des Vereinigten Königreichs oder der Eidgenössische Datenschutzbeauftragte der Schweiz (je nach Anwendbarkeit);
12.1.4.6. Verweise auf die „zuständige Aufsichtsbehörde“ und „zuständige Gerichte“ werden durch Verweise auf den „Information Commissioner“ und die „Gerichte von England und Wales“ oder den „Eidgenössischen Datenschutzbeauftragten“ und „die zuständigen Gerichte der Schweiz“ (soweit zutreffend) ersetzt;
12.1.4.7. In Klausel 17 unterliegen die EU-SCCs den Gesetzen von England und Wales oder der Schweiz (je nach Anwendbarkeit); und
12.1.4.8. In Bezug auf Übertragungen, für die die Datenschutzgesetze des Vereinigten Königreichs gelten, wird Klausel 18 dahingehend geändert, dass es heißt: „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten von England und Wales beigelegt. Eine betroffene Person kann vor den Gerichten eines beliebigen Landes im Vereinigten Königreich rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur einleiten. Die Parteien vereinbaren, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen. „In Bezug auf Übertragungen, für die das schweizerische DPA gilt, heißt es in Klausel 18 (b), dass Streitigkeiten vor den zuständigen Gerichten der Schweiz beigelegt werden.
12,2. Netradyne kann personenbezogene Kundendaten an einen Unterauftragsverarbeiter außerhalb der Europäischen Union, der Schweiz oder des Vereinigten Königreichs übertragen, sofern Netradyne Maßnahmen zur Sicherstellung einer rechtmäßigen Datenübertragung ergreift. Aufgrund dieser Maßnahmen muss Netradyne möglicherweise (a) sicherstellen, dass der Drittanbieter Standardvertragsklauseln einhält; oder (b) andere alternative rechtmäßige Datenübertragungsmechanismen (wie in den Datenschutzgesetzen anerkannt) einführen.
12,3. Soweit die Übertragungsmechanismen, auf die sich die Übertragung personenbezogener Daten stützt, nicht genutzt werden können, um personenbezogene Daten gemäß den geltenden Datenschutzgesetzen rechtmäßig von einer Gerichtsbarkeit in die andere zu übertragen, werden sich die Parteien umgehend treffen, um einen alternativen Übertragungsmechanismus oder alternative ergänzende Maßnahmen zu erörtern und zu vereinbaren, um eine rechtmäßige Übertragung von Daten zu ermöglichen, sobald dies nach vernünftigem Ermessen möglich ist.
13,1. Der Kunde erklärt sich damit einverstanden, dass die Richtlinien zur Aufbewahrung und Löschung von Daten den in der Vereinbarung festgelegten Bedingungen unterliegen. Nach Erhalt der Kundenanfrage zur Löschung personenbezogener Kundendaten löscht Netradyne alle personenbezogenen Daten umgehend oder gibt sie auf Anfrage an den Kunden zurück. Sofern der Kunde Netradyne nichts anderes mitteilt, löscht Netradyne bei Kündigung des Vertrags alle personenbezogenen Daten innerhalb von 30 Tagen. Ungeachtet des Vorstehenden darf Netradyne personenbezogene Daten nur in dem Umfang speichern, in dem das Datenschutzgesetz etwas anderes vorschreibt.
13,2. Soweit nach den geltenden Datenschutzgesetzen zulässig, kann Netradyne personenbezogene Kundendaten zur späteren Aufbewahrung und Verwendung anonymisieren oder anonymisieren, sofern Netradyne sich öffentlich verpflichtet, die Informationen in anonymisierter oder anonymisierter Form aufzubewahren und zu verwenden und nicht zu versuchen, diese Informationen erneut zu identifizieren. Zur Vermeidung von Zweifeln und soweit dies nach den geltenden Datenschutzgesetzen zulässig ist, gilt eine solche Anonymisierung oder Anonymisierung der personenbezogenen Kundendaten als Erfüllung der Verpflichtungen von Netradyne zur Datenlöschung gemäß der Vereinbarung, dieser DPA und den geltenden Datenschutzgesetzen.
14,1. Alle Ansprüche, die im Rahmen dieses DPA (einschließlich der Standardvertragsklauseln) geltend gemacht werden, unterliegen den Allgemeinen Geschäftsbedingungen, einschließlich, aber nicht beschränkt auf die in der Vereinbarung festgelegten Haftungsausschlüsse und -beschränkungen.
15,1. Soweit sich personenbezogene Kundendaten auf Einwohner Kaliforniens beziehen, wird Netradyne personenbezogene Kundendaten nicht speichern, verwenden, verkaufen, weitergeben oder anderweitig weitergeben (auch nicht für kommerzielle Zwecke oder andere Zwecke außerhalb der direkten Geschäftsbeziehung zwischen den Parteien), es sei denn, dies ist gesetzlich zulässig oder erforderlich, um die Produkte und Dienstleistungen bereitzustellen und zu unterstützen, wie in der Vereinbarung dargelegt.
15,2. Soweit sich personenbezogene Kundendaten auf Einwohner Kaliforniens beziehen, wird Netradyne die geltenden Beschränkungen des CPRA einhalten, was die Kombination der personenbezogenen Kundendaten, die Netradyne vom oder im Namen des Kunden erhält, mit personenbezogenen Daten, die Netradyne von oder im Namen einer anderen Person oder Personen erhält oder die Netradyne im Rahmen einer Interaktion zwischen dem Unternehmen und einer betroffenen Person erhebt, unterliegt.
15,3. Soweit sich personenbezogene Kundendaten auf Einwohner Kaliforniens beziehen, wird Netradyne die CPRA einhalten und unter Berücksichtigung der Rolle von Netradyne bei der Verarbeitung das von der CPRA geforderte Schutzniveau für die entsprechenden personenbezogenen Kundendaten bieten.
16,1. Wenn ein neues Datenschutzgesetz in Kraft tritt und für Netradyne gilt, werden Netradyne und der Kunde alle nach diesem Datenschutzgesetz erforderlichen angemessenen Maßnahmen ergreifen, um sicherzustellen, dass die Parteien in der Lage sind, ihren Verpflichtungen nach geltendem Recht nachzukommen und sicherzustellen, dass Netradyne alle für Netradyne geltenden Datenschutzgesetze einhält.
17,1. Sofern die Standardvertragsklauseln oder die geltenden Datenschutzgesetze nichts anderes vorschreiben, unterliegen diese DPA und alle Streitigkeiten oder Ansprüche, die sich aus oder in Verbindung mit ihr oder ihrem Gegenstand oder ihrer Gründung ergeben, den Gesetzen des Bundesstaates Kalifornien und werden gemäß diesen ausgelegt, ohne Rücksicht auf die Grundsätze des Kollisionsrechts. Zur Klarstellung: Soweit die Standardvertragsklauseln gelten, unterliegen diese den Gesetzen und der darin angegebenen Gerichtsbarkeit.
Beschreibung der Verarbeitung/Übertragung
Artikel
Einzelheiten
Datenexporteur
Kunde ist der Datenexporteur
Datenimporteur
Netradyne, Inc.
9171 Towne Centre Drive, Suite 110
San Diego, CA 92122
Kontaktdetails:
privacy@netradyne.com
dpo@netradyne.com
legal@netradyne.com
Beschreibung der Übertragung/Verarbeitung
Artikel
Einzelheiten
Betroffene Personen:
Mitarbeiter oder unabhängige Auftragnehmer des Kunden, Dienstleister des Kunden, einschließlich derer, die Fahrzeuge fahren („Fahrer“). Mitglieder der Öffentlichkeit oder Passanten.
Kategorien personenbezogener Daten:
Zu den verarbeiteten personenbezogenen Daten gehören:
Besondere Kategorien personenbezogener Daten:
Nicht zutreffend
Art, Zweck und Häufigkeit der Verarbeitung:
Netradyne verarbeitet personenbezogene Kundendaten so lange, wie es für die Bereitstellung der Produkte und Dienstleistungen für den Kunden gemäß der Vereinbarung und soweit anderweitig zulässig, sowie für alle gesetzlich vorgeschriebenen Offenlegungen erforderlich ist.
Dauer:
So lange es für die Erfüllung der Geschäftszwecke erforderlich ist oder wie in der Vereinbarung festgelegt und vorbehaltlich Abschnitt 13 dieser DPA.
Zugelassene Unterauftragsverarbeiter (falls vorhanden):
Wie in Schedule 3 aufgeführt
Genehmigter Übertragungsmechanismus:
Standardvertragsklauseln: Siehe Abschnitt 12 der DPA
Zuständige Aufsichtsbehörde:
Gemäß den Datenschutzgesetzen festgelegt.
Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit
Netradyne entwickelt, implementiert und unterhält angemessene physische, administrative und technische Kontrollen, um die Vertraulichkeit, Verfügbarkeit und Integrität der Dienste und der personenbezogenen Kundendaten zu schützen („Sicherheitsmaßnahmen“). Die Sicherheitsmaßnahmen müssen mindestens den geltenden Datenschutzgesetzen entsprechen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die gesetzlich geschützten Interessen natürlicher Personen ergreift Netradyne die erforderlichen technischen und organisatorischen Maßnahmen („Sicherheitsmaßnahmen“), um ein dem Risiko bei der Verarbeitung personenbezogener Daten angemessenes Sicherheitsniveau zu gewährleisten.
Netradyne wird Sicherheitsmaßnahmen einhalten, die den branchenweit anerkannten Best Practices entsprechen (einschließlich der Normen ISO 27001 und 27002 der Internationalen Organisation für Normung). Das Informationssicherheitsprogramm von Netradyne umfasst mindestens die folgenden Schutzmaßnahmen und Kontrollen:
Artikel
Einzelheiten
Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten.
Netradyne verwendet kryptografische Techniken, um Kundendaten zu schützen.
Maßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste.
Netradyne implementiert strenge Zugriffskontrollen, um den Zugriff auf Kundeninformationen einzuschränken. Zu den Zugriffskontrollen gehören die kontrollierte Nutzung von Administratorrechten, die Implementierung von Richtlinien zur Konto- und Passwortverwaltung sowie die Multifaktor-Authentifizierung (MFA) für Server und Produktionssysteme.
Netradyne hat Netzwerksicherheitskontrollen, Schwachstellenanalysen, Patch-Management und geplante Überwachungsverfahren implementiert, um Sicherheitsbedrohungen zu identifizieren, zu bewerten, zu mindern und vor ihnen zu schützen. Patches mit kritischem Schweregrad werden nach Plan sofort oder innerhalb von 5 Tagen überprüft, bewertet und bereitgestellt. Patches mit hohem Schweregrad werden ebenfalls überprüft und sofort oder innerhalb von 30 Tagen bereitgestellt.
Patches mit mittlerem und niedrigem Schweregrad werden im Rahmen des internen Auditprozesses überprüft und in der Regel je nach Relevanz und Schweregrad innerhalb von 3 bis 12 Monaten bereitgestellt.
Die Deep Packet Inspection der Netradyne-Firewall-Funktion ermöglicht das Blockieren von bösartigem Datenverkehr. Sie werden rund um die Uhr auf Leistung, Sicherheit und ordnungsgemäßen Betrieb überwacht.
Datentrennung. Netradyne hat Maßnahmen ergriffen, um Kundendaten logisch von den internen Daten oder Daten Dritter von Netradyne zu trennen.
Körperliche Sicherheit. Netradyne hat physische Sicherheitskontrollen (Zugangskarten, Videoüberwachung und Sicherheitspersonal) eingeführt, um den physischen Zugang zu seinen Einrichtungen zu überwachen und zu kontrollieren.
Netradyne führt Leistungstests, regelmäßige Gerätezustandsüberwachungen und Datensicherungen durch, um die Verfügbarkeit und Belastbarkeit seiner Plattformen und Dienste sicherzustellen.
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen.
Netradyne speichert alle Daten in der AWS-Cloud (Elastic Block Storage — EBS), die so konfiguriert ist, dass sie regelmäßige Datensicherungen oder Datenwiederherstellungen ermöglicht. Netradyne unterhält ein Security Incident Response Team (SIRT), das die Maßnahmen koordiniert, die zur Eindämmung von Vorfällen und zur Wiederherstellung von Daten erforderlich sind.
Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.
Netradyne führt mindestens einmal jährlich eine interne Prüfung seiner Sicherheits- und Datenschutzkontrollen durch. Regelmäßige Schwachstellenscans und Penetrationstests durch externe Gutachter werden ebenfalls durchgeführt.
Maßnahmen zur Benutzeridentifikation und Autorisierung.
Netradyne weist allen Benutzern eine Benutzer-ID zu. Zu den Zugriffskontrollen gehören die kontrollierte Nutzung von Administratorrechten, die Implementierung von Richtlinien zur Konto- und Passwortverwaltung sowie die Multifaktor-Authentifizierung (MFA) für Server und Produktionssysteme.
Passwörter müssen die Anforderungen an die Passwortkomplexität erfüllen, die in der Passwortrichtlinie von Netradyne beschrieben sind.
Privilegierte Accountfunktionen werden einer begrenzten Anzahl von Netradyne-Mitarbeitern gewährt, die diese Zugangsstufe benötigen, um ihre berufliche Tätigkeit auszuüben.
Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden.
Die Produktions- und Entwicklungsrechenzentren von Netradyne sind durch technische, administrative und physische Sicherheitskontrollen vor Umwelt- und Sicherheitsbedrohungen geschützt. Für eine hohe Verfügbarkeit sind redundante unterbrechungsfreie Stromversorgungen, Feuer- und Rauchmelde- und -unterdrückungssysteme, redundante Lüftungs- und Klimaanlagen und vieles mehr enthalten. Alle Systeme werden häufig und regelmäßig präventiv gewartet.
Die Unternehmenseinrichtungen von Netradyne werden videoüberwacht. Ein Team von Sicherheitspersonal ist am Eingang und in der gesamten Anlage im Einsatz. Der Zugang zum Gebäude wird durch Sicherheitsschlüsselkarten kontrolliert.
Maßnahmen zur Sicherstellung der Protokollierung von Ereignissen.
Netradyne-Systeme werden mithilfe branchenüblicher Protokollierungsmechanismen zentral verwaltet und überwacht.
Netradyne-Anwendungen sind so konfiguriert, dass sie Details der Benutzersitzungen und der Aktionen, die Benutzer ausführen, protokollieren. Es zeichnet auch Verwaltungsereignisse wie Operationen mit Benutzerkonten auf. Administrationsereignisse, wie das Erstellen oder Deaktivieren eines Benutzerkontos, das Sperren oder Ablaufen eines Kontos, Kennwortänderungen, Zuweisen oder Entfernen einer Benutzerrolle, Hinzufügen oder Entfernen eines Benutzers zu einer Gruppe, werden ebenfalls protokolliert.
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration.
Netradyne hat eine Standardbasis für die Workstation-Konfiguration festgelegt, um die Sicherheitsziele zu erreichen. Die Serversysteme von Netradyne sind im Hinblick auf Leistung, Stabilität, Skalierbarkeit und Sicherheit konfiguriert. Alle Serversysteme, einschließlich Web-, Anwendungs- und Datenbankserver, sind nach Konfigurationsstandards gebaut. Alle SQL Server-Dienste werden gehärtet, indem alle Dienste deaktiviert werden, die nicht von der Netradyne-Anwendung verwendet werden. Der Härteprozess beinhaltet die folgenden Ziele:
Entfernen aller unnötigen Funktionen wie Skripts, Treiber, Funktionen, Subsysteme, Dateisysteme und überflüssige Webserver.
Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und -verwaltung.
Netradyne verfügt über ein engagiertes InfoSec-Team und hat IT-Sicherheitsrichtlinien und -verfahren eingeführt. Dazu gehören ein formeller Change-Management-Prozess und eine Richtlinie zur akzeptablen Nutzung.
Maßnahmen zur Zertifizierung/Absicherung von Prozessen und Produkten.
Netradyne beauftragt unabhängige Sicherheitsauditoren mit der regelmäßigen Bewertung seiner Sicherheits- und Datenschutzkontrollen im Rahmen seiner ISO 27001- und Privacy by Design-Zertifizierungen.
ISO 27001 - https://gmsintercert.com/verify/single-cert-verify.php?cRegName=ISMS2020025
Datenschutz durch Design - https://msecb.com/certifications-granted
Maßnahmen zur Sicherstellung der Datenminimierung.
Verschiedene Datenschutzmodi und Datenschutzkonfigurationen können aktiviert werden, um die von Netradyne verarbeitete Datenmenge zu reduzieren.
Der größte Teil des auf dem Driver.i-Gerät aufgezeichneten Videomaterials verbleibt auf dem Gerät und wird überschrieben, sobald der Speicher des Geräts voll ist.
Ein Videomaterial wird nur dann in die Netradyne Cloud hochgeladen, wenn ein Ereignis erkannt wird. Im Durchschnitt wird weniger als 1% des Filmmaterials in die Cloud hochgeladen.
Je nach Ereignistyp wird nur das relevante Event-Filmmaterial (entweder externes Filmmaterial oder Filmmaterial aus der Kabine) in die Cloud hochgeladen.
Für alle Ereignisse lädt das Gerät die Eventdaten in die Cloud hoch.
Maßnahmen zur Sicherstellung einer begrenzten Datenspeicherung.
Die Standarddatenspeicherung ist ein Gleichgewicht zwischen der Sicherstellung, dass Daten für einen ausreichenden Zeitraum aufbewahrt werden, um für den Datenexporteur nützlich zu sein, und der Sicherstellung, dass sie nicht über diesen nützlichen Zeitraum hinaus aufbewahrt werden. Die Anforderungen an die Aufbewahrung und Löschung von Daten sind in der Vereinbarung oder der DPA festgelegt.
Maßnahmen zur Sicherstellung der Rechenschaftspflicht.
Netradyne führt Beweise für die Maßnahmen, die zur Einhaltung der EU-DSGVO ergriffen wurden. Netradyne ergreift angemessene technische und organisatorische Maßnahmen, wie z. B.: (i) Annahme und Umsetzung von Datenschutzrichtlinien (sofern angemessen), (ii) Ausführung schriftlicher Verträge mit Dienstleistern, (iii) Pflege der Dokumentation der Verarbeitungstätigkeiten, (iv) Umsetzung geeigneter Sicherheitsmaßnahmen, (v) Aufzeichnung und, falls erforderlich, Meldung von Verstößen gegen personenbezogene Daten, (vi) Durchführung von Datenschutzfolgenabschätzungen für Nutzungen personenbezogener Daten, die wahrscheinlich zu einem hohen Risiko für Einzelpersonen führen Interessen der Als und (vii) Implementierung der Protokollierung und Überwachungskontrollen.
Maßnahmen zur Gewährleistung der Datenübertragbarkeit und zur Sicherstellung der Löschung.
Netradyne ermöglicht es betroffenen Personen, ihre Rechte auszuüben, indem sie sich an bestimmte Kontaktstellen wenden. Die Hauptverantwortung für die Beantwortung von Anfragen von betroffenen Personen liegt beim Kunden. Netradyne unterstützt den Kunden bei der Beantwortung von Anfragen von betroffenen Personen.
Liste der zugelassenen Unterauftragsverarbeiter
Der für die Verarbeitung Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter autorisiert:
Subprozessor
Zweck der Verarbeitung
Standort
Netradyne Technology India Private Limited („Netradyne India“)
Technik und Support
Indien
Amazon Web Services (AWS)
Hosting von Daten
Vereinigte Staaten
Eancer IT Solutions Private Limited
Dienstleistungen zur Kennzeichnung von Daten
Indien
Gainsight, Inc.
Plattform für Kundenerfolg
Vereinigte Staaten
Mixpanel, Inc.
Benutzeraktivität/Erfahrung (Datenanalyse)
Vereinigte Staaten
VVDN-Technologien
Überholung von Geräten
Indien