Data Processing Addendum
Zuletzt geändert am: 18. August 2023
Dieser Zusatz zur Datenverarbeitung (Data Processing Addendum, „DPA“, im Folgenden als „der Zusatz“ bezeichnet) ist Bestandteil der Tipalti-Dienstleistungsvereinbarung oder anderer zugrundeliegender Dienstleistungsvereinbarungen zwischen dem Kunden von Tipalti („Kunde“) und Tipalti (wie in der Tipalti-Dienstleistungsvereinbarung definiert) oder seinen Partnern (die „Vereinbarung“). Tipalti und seine Partner werden im Folgenden als „Dienstleister“ bezeichnet. Indem der Kunde der zugrundeliegenden Vereinbarung zustimmt, in welche dieser Zusatz eingegliedert ist, erkennt er an, dass er diesen Zusatz gelesen und verstanden hat, sich zu seiner Einhaltung verpflichtet und eine bindende rechtliche Vereinbarung mit Tipalti eingeht, die die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten gemäß den Datenschutzgesetzen wiedergibt (gemäß den folgenden Definitionen dieser Begriffe). Beide Parteien werden als die „Parteien“ und einzeln als eine „Partei“ bezeichnet.
Der Dienstleister stellt die in der Vereinbarung festgelegten Dienste für den Kunden bereit (zusammen die „Dienste“), und
der Dienstleister verarbeitet im Rahmen der Bereitstellung der Dienste gemäß der Vereinbarung ggf. personenbezogene Daten (wie unten definiert) im Auftrag des Kunden in der Funktion eines Datenverarbeiters (wie unten definiert). Die Parteien möchten die Vereinbarungen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Dienste festlegen, wobei beide jeweils angemessen und in gutem Glauben handeln.
Die Parteien kommen hiermit folgendermaßen überein:
1. Definitionen
„Partner“ bezeichnet jedweden Rechtsträger, der direkt oder indirekt das vertragschließende Unternehmen kontrolliert, von diesem kontrolliert wird oder mit diesem gemeinsamer Kontrolle unterliegt. „Kontrolle“ bedeutet zum Zweck dieser Definition direkte oder indirekte Eigentümerschaft oder Kontrolle von mehr als 50 % der Stimmrechtsanteile des vertragschließenden Unternehmens.
„Datenschutzgesetze“ bezeichnet alle Gesetze und Verordnungen, die für die Verarbeitung personenbezogener Daten nach der Vereinbarung gelten, einschließlich aber nicht beschränkt auf die Datenschutzgrundverordnung der EU („DSGVO“), die Datenschutzgrundverordnung und das Datenschutzgesetz des Vereinigten Königreichs (2018), das kalifornische Verbraucherdatenschutzgesetz von 2018 und das kalifornische Datenschutzgesetz („kalifornische Datenschutzgesetze“), das Datenschutzgesetz von Colorado, das Datenschutzgesetz von Connecticut, das Verbraucherdatenschutzgesetz von Utah und das Verbraucherdatenschutzgesetz von Virginia, wenn gültig, und jeweils ggf. von Zeit zu Zeit geändert.
„EWR“ bezeichnet die Mitgliedsstaaten der EU, sowie Island, Liechtenstein und Norwegen.
„Durch den EWR beschränkte Übermittlung“ bezeichnet eine Übermittlung (oder eine Weiterleitung) von aus dem EWR stammenden personenbezogenen Daten, die der DSGVO unterliegen, in ein nicht adäquates Land, wobei alle erforderlichen Maßnahmen zur Angemessenheit durch Annahme der EWR-Standardvertragsklauseln erreicht werden können.
„Standardvertragsklauseln des EWR“ bezeichnet die Standardvertragsklauseln, die dem Durchführungsbeschluss der Kommission (EU) (2021/914) vom 4. Juni 2021 zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügt sind, in der von den Parteien gemäß diesem Zusatz eingegangenen Form.
„Personenbezogene Daten“ bezeichnet alle auf eine identifizierte oder identifizierbare natürliche Person bezogenen Informationen wie in den entsprechenden Datenschutzgesetzen definiert.
„Verarbeitung/Verarbeiten“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten unternommen werden, ob mit automatischen Mitteln oder nicht, beispielsweise Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Adaptierung oder Änderung, Wiederherstellung, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verteilung oder anderweitige Zurverfügungstellung, Ausrichtung oder Kombination, Beschränkung, Löschung oder Zerstörung.
„Unterverarbeiter“ bezeichnet jeden direkt vom Datenverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Datenverantwortlichen beauftragten Datenverarbeiter.
„Durch die Schweiz beschränkter Transfer“ bezeichnet einen Transfer (oder eine Weiterübermittlung) von aus der Schweiz stammenden personenbezogenen Daten, die dem Bundesdatenschutzgesetz der Schweiz unterliegen, in ein nicht-adäquates Land, wobei alle erforderlichen Maßnahmen zur Angemessenheit durch Annahme die Standardvertragsklauseln des EWR in lokaler Form erreicht werden können.
„Schweizer Standardvertragsklauseln“ bezeichnet die geltenden Standarddatenschutzklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ausgegeben, genehmigt oder anerkannt sind.
Der „Zusatz für das Vereinigte Königreich“ bezeichnet den Zusatz für das Vereinigte Königreich zu den Standardvertragsklauseln der EU, ausgegeben vom britischen Datenschutzbeauftragten, in Kraft getreten am 21. März 2022 unter S119A(1) Datenschutzgesetz von 2018 für durch das Vereinigte Königreich beschränkte Übermittlungen, in der von den Parteien gemäß diesem Zusatz eingegangenen Form.
„Durch das Vereinigte Königreich beschränkte Übermittlung“ bezeichnet eine Übermittlung (oder eine Weiterleitung) von aus dem Vereinigten Königreich stammenden personenbezogenen Daten, die der entsprechenden DSGVO unterliegen, in ein nicht-adäquates Land, wobei alle erforderlichen Maßnahmen zur Angemessenheit durch Annahme des Zusatzes für das Vereinigte Königreich erreicht werden können.
„Britische Standardvertragsklauseln“ bezeichnet die geltenden Datenschutzklauseln gemäß Artikel 46(2)(c) oder (d) der britischen DSGVO.
Die Begriffe „Kommission“, „Datenverantwortlicher“, „Datensubjekt“, „Mitgliedsstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Datenverarbeiter“ und „Aufsichtsbehörde“ entsprechen den in der DSGVO festgelegten Bedeutungen.
Alle wesentlichen Begriffe, die hier nicht anders definiert sind, haben die ihnen in der entsprechenden Vereinbarung zugewiesene Bedeutung.
2. Verarbeitung personenbezogener Daten
2.1. Die Rollen der Parteien. Die Parteien erkennen an, dass in Bezug auf die Verarbeitung personenbezogener Daten im Auftrag des Kunden zur Bereitstellung der Dienste der Kunde der Datenverantwortliche ist und der Dienstleister ein Datenverarbeiter. Der Kunde gestattet dem Dienstleister, in Übereinstimmung mit den Bedingungen dieses Zusatzes Unterverarbeiter zur Bereitstellung der Dienste zu engagieren.
2.2. Verarbeitung personenbezogener Daten durch den Kunden Der Kunde hat, im Rahmen seiner Nutzung der Dienste und der Bereitstellung von Anweisungen zur Verarbeitung, personenbezogene Daten in Übereinstimmung mit den Anforderungen der Datenschutzgesetze zu verarbeiten und sich jederzeit an die für Datenverantwortliche geltenden Verpflichtungen zu halten (einschließlich aber nicht beschränkt auf Artikel 24 der DSGVO). Der Kunde trägt die alleinige Verantwortung dafür, wie der Kunde die personenbezogenen Daten bezogen hat. Der Kunde hat uneingeschränkt allen Verpflichtungen in Bezug auf die Transparenz nachzukommen, einschließlich aber nicht beschränkt auf die Anzeige sämtlicher und erforderlicher Datenschutzhinweise oder -erklärungen, und sämtliche rechtlichen Grundlagen einzuholen und aufrechtzuerhalten, um die personenbezogenen Daten zu erfassen, zu verarbeiten und an den Dienstleister zu übermitteln und die Verarbeitung der personenbezogenen Daten durch den Dienstleister zu genehmigen.
2.3. Umfang der Verarbeitung.
(a) Vorbehaltlich der Vereinbarung darf der Dienstleister personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden und wie für die Performance der Dienste nach der Vereinbarung notwendig verarbeiten, außer nach geltenden Gesetzen anderweitig erforderlich. Im Falle gesetzlich erforderlicher Verarbeitung hat der Dienstleister den Kunden vor der Verarbeitung über die gesetzliche Verpflichtung zu informieren, es sei denn dieses Gesetz verbietet die Offenlegung dieser Informationen aus wichtigen Gründen der öffentlichen Ordnung. Die Dauer der Verarbeitung, die Art und Zwecke der Verarbeitung, sowie die Arten der verarbeiteten personenbezogenen Daten und Kategorien von Datensubjekten unter diesem Zusatz sind in Auflistung 1 dieses Zusatzes näher spezifiziert.
(b) Soweit der Dienstleister einer Anfrage (einschließlich aber nicht beschränkt auf Anweisungen, Anleitungen, Verhaltenskodexe, Zertifizierungen oder Änderungen jeglicher Art) vom Kunden bzw. seinen autorisierten Nutzern in Bezug auf die Verarbeitung von personenbezogenen Daten nicht nachkommen kann, oder wenn der Dienstleister eine solche Anfrage als ungesetzlich betrachtet, (1) informiert der Dienstleister den Kunden und stellt die relevanten Details zu dem Problem bereit, (2) stellt der Dienstleister ggf. ohne jegliche Haftung gegenüber dem Kunden zeitweise alle Verarbeitung der betroffenen personenbezogenen Daten ein (außer der sicher gespeicherten Daten), und (3) falls die Parteien sich nicht auf eine Lösung des betreffenden Problems und der diesbezüglichen Kosten einigen können, kann jede Partei als einziges Rechtsmittel die Vereinbarung und dieses Zusatzes im Hinblick auf die betroffene Verarbeitung beenden, und der Kunde hat dem Dienstleister alle dem Dienstleister zum Zeitpunkt der Beendigung geschuldeten Beträge zu zahlen. Der Kunde hat gegenüber dem Dienstleister keine weiteren Ansprüche (einschließlich aber nicht beschränkt auf die Anforderung von Rückerstattungen für Dienste) aufgrund der Beendigung der Vereinbarung bzw. des Zusatzes, die sich aus diesem Abschnitt ergeben (ausschließlich der Verpflichtungen in Bezug auf die Beendigung dieses Zusatzes wie unten ausgeführt).
(c) Der Dienstleister ist für keinerlei Ansprüche haftbar, die von einer Drittpartei, einschließlich aber nicht beschränkt auf ein Datensubjekt, vorgebracht werden, die sich irgendeiner Handlung oder Unterlassung seitens des Dienstleisters ergeben, soweit sie sich aus den Anweisungen des Kunden ergeben.
2.4. Personal des Dienstleisters. Der Dienstleister darf ihm unterstellten Personen (einschließlich aber nicht beschränkt auf sein Personal) nur im jeweils notwendigen Umfang Zugang zu den personenbezogenen Daten gewähren und muss sicherstellen, dass diese bei der Verarbeitung personenbezogener Daten involvierten Personen sich zur Geheimhaltung verpflichtet haben. Der Dienstleister kann ggf. auch die personenbezogenen Daten offenlegen und verarbeiten (1) soweit von einem zuständigen Gericht oder einer anderen Aufsichtsbehörde bzw. anderweitig von den geltenden Gesetzen oder den geltenden Datenschutzgesetzen gefordert und (2) im jeweils notwendigen Umfang unter Geheimhaltungspflicht gegenüber seinen Rechtsberatern, Datenschutzberatern und Buchhaltern.
2.5. Verpflichtungen des Datenverarbeiters.
(a) Der Dienstleister ergreift alle gemäß Artikel 30-36 der DSGVO erforderlichen Maßnahmen (einschließlich aber nicht beschränkt auf die Verarbeitungssicherheit), die für die Bereitstellung des Dienstes notwendig sind. Auf Kundenanfrage bietet der Dienstleister dem Kunden angemessene Kooperation und Unterstützung im zur Erfüllung der Verpflichtung des Kunden zur Durchführung einer Datenschutzfolgenabschätzung notwendigen oder anderweitigen Erfüllung seiner Verpflichtungen nach Artikel 28 der DSGVO in Bezug auf die Nutzung des Dienstes durch den Kunden erforderlichen Rahmen. Der Dienstleister unterstützt den Kunden angemessen in der Behandlung sämtlicher Anfragen von Aufsichtsbehörden gemäß DSGVO.
(b) Verpflichtungen nach den kalifornischen Datenschutzgesetzen. Die Parteien erkennen an und stimmen zu, dass Tipalti für die Zwecke der kalifornischen Datenschutzgesetze ein Dienstleister ist. Tipalti bestätigt, dass es die Regeln, Beschränkungen, Anforderungen und Definitionen der kalifornischen Datenschutzgesetze versteht. Tipalti (1) erkennt an und bestätigt, dass es keinerlei personenbezogene Daten von Kunden als Gegenleistung für dem Kunden bereitgestellte Dienste oder andere Elemente erhält und (2) stimmt zu, von sämtlichen Handlungen abzusehen, durch die Übermittlungen personenbezogener Daten von Tipalti an eine Drittpartei als ein Verkauf oder eine unbefugte Weitergabe personenbezogener Daten nach den kalifornischen Datenschutzgesetzen gelten würde.
(c) Ohne Einschränkung der Rechte des Dienstleisters nach der Vereinbarung, diesem Zusatz oder den kalifornischen Datenschutzgesetzen gelten in dem Rahmen, in dem die Verarbeitung der personenbezogenen Daten des Kunden durch den Dienstleister unter die kalifornischen Datenschutzgesetze fällt, diese Abschnitte 2.5(c)-(d). Der Kunde legt personenbezogene Daten gegenüber dem Dienstleister offen oder macht ihm diese anderweitig zugänglich zu dem beschränkten und spezifischen Zweck, dass der Dienstleister dem Kunden in Übereinstimmung mit der Vereinbarung und diesem Zusatz die Dienste bereitstellen kann. Der Dienstleister: (1) kommt seinen geltenden Verpflichtungen nach den kalifornischen Datenschutzgesetzen nach; (2) gewährleistet das gleiche Niveau an Schutz in Bezug auf die personenbezogenen Daten des Kunden wie nach den kalifornischen Datenschutzgesetzen erforderlich; (3) benachrichtigt den Kunden, falls er seinen Verpflichtungen nach den kalifornischen Datenschutzgesetzen nicht mehr nachkommen kann; (4) verkauft oder gibt keine personenbezogenen Daten des Kunden weiter; (5) speichert oder nutzt personenbezogene Daten des Kunden zu keinem anderen Zweck (auch nicht zu kommerziellen Zwecken) als dem, die Dienste gemäß der Vereinbarung oder wie anderweitig nach den kalifornischen Datenschutzgesetzen zulässig bereitzustellen, und legt sie auch zu keinem anderen Zweck offen; (6) speichert oder nutzt die personenbezogenen Daten des Kunden nicht und legt sie auch nicht offen außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und dem Dienstleister; und (7) außer nach den kalifornischen Datenschutzgesetzen anderweitig zulässig, kombiniert die personenbezogenen Daten des Kunden auch nicht mit personenbezogenen Daten, die der Dienstleister (A) von oder im Auftrag einer anderen Person erhält oder (B) aus seiner eigenen, unabhängigen Verbraucherinteraktion erfasst.
(d) Der Kunde: (1) unternimmt ggf. vernünftige und angemessene Schritte, die die Parteien vereinbart haben, um dazu beizutragen, dass der Dienstleister die personenbezogenen Daten des Kunden auf eine Art verarbeitet, die den Verpflichtungen des Kunden nach den kalifornischen Datenschutzgesetzen entspricht und (2) unternimmt auf die Benachrichtigung des Dienstleisters hin ggf. vernünftige und angemessene Schritte, die die Parteien vereinbart haben, um die unbefugte Verarbeitung von personenbezogenen Kundendaten durch den Dienstleister zu stoppen und zu beheben.
(e) Die Begriffe „Dienstleister“, „Verkauf“, „Weitergabe“ und „personenbezogene Daten“ entsprechen den jeweiligen Definitionen der kalifornischen Datenschutzgesetze.
3. Rechte von Datensubjekten
3.1. Der Kunde ist und bleibt alleinig verantwortlich für alle gesetzlichen Verpflichtungen in Bezug auf Aufforderungen zur Ausübung der Rechte von Datensubjekten nach den Datenschutzgesetzen (z. B. zur Richtigstellung, Löschung personenbezogener Daten des Kunden usw.)
3.2. Wenn der Dienstleister eine Aufforderung von einem Datensubjekt zur Ausübung seiner Rechte nach den Datenschutzgesetzen („Datensubjektaufforderung“) erhält, informiert der Dienstleister im gesetzlich zulässigen Rahmen umgehend den Kunden und leitet ihm die Datensubjektaufforderung weiter. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Dienstleister den Kunden in angemessenem und praktikablem Rahmen bei der Beantwortung von Aufforderungen zur Ausübung von Datensubjektrechten nach den Datenschutzgesetzen. Der Dienstleister beantwortet Datensubjektaufforderungen nicht, außer auf die dokumentierten Anweisungen des Kunden hin oder wie gemäß geltenden Gesetzen erforderlich, außer um zu bestätigen, dass sich eine solche Aufforderung auf den Kunden bezieht.
4. Unterverarbeiter
4.1. Autorisierung. Der Dienstleister darf die Unterverarbeiter, die er zum Zeitpunkt dieses Zusatzes bereits engagiert hat, weiter nutzen. Der Dienstleister darf nur Unterverarbeiter nutzen, die mindestens das gleiche Niveau an Sicherheitsmaßnahmen und adäquaten Schutzvorkehrungen aufrechterhalten wie von diesem Zusatz gefordert, und die eine schriftliche Vereinbarung mit dem Dienstleister eingegangen sind, die diese Schutzvorkehrungen enthält. Auf Anfrage des Kunden stellt der Dienstleister dem Kunden eine Liste der Unterverarbeiter bereit. Der Dienstleister informiert über jeden neuen Unterverarbeiter, bevor er diesen neuen Unterverarbeiter zur Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung der Dienste autorisiert.
4.2. Widerspruchsrecht für neue Unterverarbeiter. Der Dienstleister informiert den Kunden mindestens 7 Tage vorher über die Hinzufügung oder Ersetzung eines Unterverarbeiters über die Tipalti-Website. Der Kunde kann auch eine E-Mail an privacy@tipalti.com senden, um solche Informationen per E-Mail anzufordern. Der Kunde kann innerhalb von 7 Werktagen nach Erhalt der Benachrichtigung per E-Mail an privacy@tipalti.com gegen diese Veränderung Widerspruch einlegen. Wenn dieser Widerspruch nicht innerhalb weiterer 14 Tage gelöst wird, kann der Dienstleister mittels schriftlicher Benachrichtigung an den Kunden das TSA fristlos beenden, soweit es sich auf die Dienste bezieht, die die Nutzung des vorgeschlagenen Unterverarbeiters erfordern. Der Kunde kann Dienste, die nicht mit der Nutzung des vorgeschlagenen Unterverarbeiters zusammenhängen, weiterhin nutzen. Bei Kündigung hat der Kunde alle gemäß der Vereinbarung vor dem Kündigungsdatum fälligen Beträge an den Dienstleister zu zahlen. Bis eine Entscheidung in Bezug auf den neuen Unterverarbeiter getroffen ist, verarbeitet der Dienstleister ggf. zeitweise die betroffenen personenbezogenen Daten nicht. Der Kunde hat gegenüber dem Dienstleister aufgrund (1) der zeitweise ausbleibenden Verarbeitung bzw. (2) der Beendigung der Vereinbarung (einschließlich aber nicht beschränkt auf die Forderung von Rückerstattungen) bzw. des Zusatzes in dem in diesem Abschnitt beschriebenen Fall keine weiteren Ansprüche.
5. Sicherheit
5.1. Kontrollen zum Schutz der personenbezogenen Daten. Unter Berücksichtigung des Standes der Technik hat der Dienstleister nach den Datenschutzgesetzen zur Gewährleistung der Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten des Kunden notwendige, angemessene technische und organisatorische Maßnahmen aufrechtzuerhalten, wie in Auflistung 2 angegeben. Der Dienstleister kooperiert angemessen mit dem Kunden, um die Informationen bereitzustellen, die der Kunde benötigt, um die Sicherheit der Dienste zur Einhaltung der Datenschutzgesetze durch den Kunden zu beurteilen.
5.2. Drittparteizertifizierungen und -audits. Auf schriftliche Kundenanfrage aber nicht öfter als einmal jährlich stellt der Dienstleister dem Kunden (oder dem unabhängigen Drittparteiauditor des Kunden) ggf. eine Kopie des zu dem Zeitpunkt aktuellsten Drittparteiaudits oder äquivalenter Zertifizierungen des Dienstleisters zur Verfügung. Der Kunde darf solche Audits, Zertifizierungen und deren Ergebnisse, einschließlich der Dokumente, die das Ergebnis des Audits bzw. der Zertifizierungen wiedergeben, nur verwenden, um die Einhaltung dieses Zusatzes zu beurteilen, und zu keinem anderen Zweck. Ohne vorherige schriftliche Zustimmung des Dienstleisters darf der Kunde diese Informationen keiner Drittpartei gegenüber offenlegen. Auf Kosten des Kunden gestattet der Dienstleister vom Kunden oder einem anderen vom Kunden beauftragten Auditoren durchgeführte Audits und trägt zu diesen bei, vorausgesetzt, die Parteien einigen sich im Voraus über den Umfang, die Methoden, den Zeitplan und die Bedingungen solcher Audits und Inspektionen. Der Dienstleister kann der Auswahl des Auditors widersprechen, wenn er vernünftigerweise glaubt, dass ein Auditor Vertraulichkeit und Sicherheit nicht gewährleistet oder das Unternehmen des Dienstleisters anderweitig Risiken aussetzt. Diese Audits und Inspektionen sind auf einmal jährlich während der üblichen Geschäftszeiten beschränkt. Der Kunde erhält keinen Zugriff auf vertrauliche Informationen von Drittparteien, und der Kunde darf Räumlichkeiten und Personal des Dienstleisters keinen Schaden zufügen und diese nur minimal beeinträchtigen.
6. Vorgehen bei Verletzung des Schutzes personenbezogener Daten
6.1. Der Dienstleister informiert den Kunden unverzüglich nach Feststellung einer Verletzung des Schutzes personenbezogener Daten mit Auswirkungen auf vom Dienstleister oder seinen Unterverarbeitern verarbeitete personenbezogene Daten des Kunden.
6.2. Der Dienstleister unternimmt angemessene Anstrengungen, um die Ursache dieser Verletzung des Schutzes personenbezogener Daten zu identifizieren, und unternimmt die vom Dienstleister für notwendig erachteten und angemessenen Schritte zur Behebung der Verletzung des Schutzes personenbezogener Daten und wie gemäß den geltenden Gesetzen erforderlich. Die Verpflichtungen hierin gelten nicht für vom Kunden oder von Nutzern des Kunden verursachte Vorfälle. Der Dienstleister stellt dem Kunden ausreichend Informationen über die Verletzung des Schutzes personenbezogener Daten zur Verfügung, einschließlich einer kurzen Beschreibung des Vorfalls, der Art der Verletzung, des Datums, an dem sie aufgetreten ist, und falls bekannt, der Art der involvierten Daten. Der Kunde darf ohne vorherige schriftliche Zustimmung des Dienstleisters zur Herausgabe der öffentlichen Stellungnahme keine öffentlichen Stellungnahmen herausgeben. Der Kunde hat den Dienstleister im Voraus über alle schriftlichen Stellungnahmen zu informieren, die er gegenüber Regulatoren oder Strafverfolgungsbehörden macht, außer dies ist gesetzlich untersagt.
7. Rückgabe und Löschung personenbezogener Daten
7.1. Gemäß der Vereinbarung löscht der Dienstleister auf Kundenanfrage die personenbezogenen Daten nach Beendigung der Bereitstellung der Dienste oder gibt sie diesem zurück, und löscht existierende Kopien, außer wie autorisiert oder erforderlich in Übereinstimmung mit geltenden Gesetzen. Wenn der Kunde die Rückgabe der personenbezogenen Daten fordert, so werden die personenbezogenen Daten im Format und nach der Methode, die den Kunden des Dienstleisters generell zur Verfügung steht, zurückgegeben.
8. Datenübermittlungen
8.1. Der Kunde erkennt an und akzeptiert, dass die Bereitstellung der Dienste nach der Vereinbarung ggf. die Verarbeitung von personenbezogenen Daten durch Unterverarbeiter in Ländern außerhalb des EWR, der Schweiz oder des Vereinigten Königreichs („GB“) erfordert. Soweit der Dienstleister für diese Verarbeitung von personenbezogenen Daten durch den Dienstleister als Datenexporteur in Verbindung mit einer Übermittlung personenbezogener Daten an solche Unterverarbeiter außerhalb des EWR, der Schweiz oder des Vereinigten Königreichs agieren muss, hält der Dienstleister die Anforderungen der Datenschutzgesetze zur Durchführung solcher Übermittlungen ein.
8.2. Übermittlungen in Länder, die adäquate Datenschutzniveaus bieten. Personenbezogene Daten dürfen aus dem EWR, der Schweiz und dem Vereinigten Königreich in Länder übermittelt werden, die adäquate Datenschutzniveaus nach oder gemäß den von den relevanten Datenschutzbehörden des EWR (einschließlich der Kommission), der Schweiz oder des Vereinigten Königreichs veröffentlichten Angemessenheitsentscheidungen („Angemessenheitsentscheidungen“) bieten, ohne dass weitere Schutzvorkehrungen notwendig sind.
8.3. Durch den EWR beschränkte Übermittlungen. Wenn die Verarbeitung personenbezogener Daten Übermittlungen aus dem EWR in Länder außerhalb des EWR umfasst, die kein adäquates Datenschutzniveau bieten oder die keiner Angemessenheitsentscheidung unterliegen, („andere Länder“), so haben die Parteien Kapitel V der DSGVO einzuhalten, ggf. einschließlich der Umsetzung der Standardvertragsklauseln des EWR, welche hier als Verweis enthalten sind und sich auf Übermittlungen beziehen, die nicht von anderen Rechtsmechanismen für die Übermittlung personenbezogener Daten abgedeckt sind, und der Durchführung einer Folgenabschätzung der Übermittlung mit dem Kunden. Der Dienstleister hält sich bei der Übermittlung personenbezogener Daten in diese anderen Länder an die in der DSGVO vorgesehenen angemessenen Rechtsmechanismen. Die Standardvertragsklauseln für den EWR gelten nicht für personenbezogene Daten, die nicht, entweder direkt oder als Weiterübermittlung, außerhalb des EWR übermittelt werden. Zum Zweck solcher Übermittlungen aus dem EWR in Länder außerhalb des EWR werden die Standardvertragsklauseln für den EWR folgendermaßen ergänzt:
(a) Der Kunde wird als der „Datenexporteur“ und „Datenverantwortliche“ betrachtet, und der Dienstleister wird als der „Datenimporteur“ und „Datenverarbeiter“ betrachtet.
(b) Es gilt Modul 2 der Standardvertragsklauseln des EWR.
(c) In Artikel 7 gilt die optionale Kopplungsklausel;
(d) in Artikel 9 gilt Option 2, und die Frist für Vorabbenachrichtigungen über Änderungen in Bezug auf Unterverarbeiter ist wie in Artikel 4.2 dieses Zusatzes festgelegt;
(e) in Artikel 11 trifft die optionale Sprache nicht zu;
(f) in Artikel 17 gilt Option 1, und die Standardvertragsklauseln des EWR unterliegen den Gesetzen der Niederlande;
(g) in Artikel 18(b), Streitfälle sind vor den niederländischen Gerichten beizulegen, außer zwischen den Parteien anderweitig vereinbart;
(h) Anhang I der Standradvertragsklauseln des EWR wird ggf. als mit den in Auflistung 1 dieses Zusatzes festgelegten Informationen ausgefüllt angesehen; und
(i) nach Artikel 5 dieses Zusatzes wird Anhang II der Standardvertragsklauseln des EWR als mit den in Auflistung 2 dieses Zusatzes festgelegten Informationen ausgefüllt angesehen.
8.4. Durch das Vereinigte Königreich beschränkte Übermittlungen. Wenn und soweit die Bereitstellung der Dienste durch den Dienstleister eine durch das Vereinigte Königreich beschränkte Übermittlung umfasst, gelten die Bedingungen dieses Abschnitts 8.4 in Bezug auf solche/n durch das Vereinigte Königreich beschränkten Übermittlung/en. Wenn der Dienstleister in anderen Ländern ansässig ist und als der Datenimporteur in Bezug auf eine durch das Vereinigte Königreich beschränkte Übermittlung agiert, gelten die Standardvertragsklauseln für den EWR, wie im Zusatz für das Vereinigte Königreich angepasst, und Teil 1 des Zusatzes für das Vereinigte Königreich ist wie folgt auszufüllen:
(a) Tabelle 1. Das „Startdatum“ ist das Datum, an dem dieser Zusatz in Kraft tritt. Die „Parteien“ sind der Kunde als Exporteur und der Dienstleister als Importeur.
(b) Tabelle 2. Die „Übermittlungsdetails“ sind in der Vereinbarung zwischen den Parteien festgelegt.
(c) Tabelle 3. Der „Anhang Informationen“ ist wie in Auflistung 1 und Auflistung 2 dieses Zusatzes festgelegt.
(d) Tabelle 4. Der Exporteur kann den Zusatz für das Vereinigte Königreich in Übereinstimmung mit seinem Abschnitt 29 beenden. Es sei denn, die Standardvertragsklauseln des EWR, implementiert wie zuvor beschrieben, können nicht für die rechtmäßige Übermittlung solcher personenbezogenen Daten in Übereinstimmung mit der britischen DSGVO genutzt werden. In diesem Fall werden die britischen Standardvertragsklauseln stattdessen als Verweis aufgenommen und bilden einen integralen Bestandteil dieses Zusatzes und gelten für solche Übermittlungen. Wenn dies der Fall ist, werden die relevanten Anhänge oder Appendizes der britischen Standardvertragsklauseln unter Verwendung der in Auflistung 1 und 2 dieses Zusatzes ausgefüllt (falls zutreffend).
8.5. Durch die Schweiz beschränkte Übermittlungen. Wenn und soweit die Bereitstellung der Dienste durch den Dienstleister eine durch die Schweiz beschränkte Übermittlung umfasst, gelten die Bedingungen dieses Abschnitts 8.5 in Bezug auf solche durch die Schweiz beschränkte Übermittlungen. Wenn der Dienstleister in anderen Ländern ansässig ist und als der Datenimporteur in Bezug auf eine durch die Schweiz beschränkte Übermittlung agiert, gelten die Standardvertragsklauseln für den EWR, wie in Artikel 8.3 oben angegeben, mit folgenden Änderungen:
(a) jegliche Verweise in den Standardvertragsklauseln des EWR auf „Richtlinie 95/46/EG“ oder „Verordnung (EU) 2016/679“ werden als Verweise auf das Bundesdatenschutzgesetz der Schweiz interpretiert;
(b) Verweise auf „EU“, „Union“, „Mitgliedsstaat“ und „Gesetz des Mitgliedsstaates“ werden ggf. als Verweise auf die Schweiz und die Gesetze der Schweiz interpretiert; und
(c) Verweise auf die „zuständige Überwachungsbehörde“ und „zuständige Gerichte“ werden als Verweise auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die zuständigen Gerichte in der Schweiz interpretiert, es sei denn, die wie zuvor beschrieben implementierten Standardvertragsklauseln des EWR können nicht für die rechtmäßige Übermittlung solcher personenbezogenen Daten in Übereinstimmung mit dem Bundesdatenschutzgesetz der Schweiz verwendet werden. In dem Fall wird das Bundesdatenschutzgesetz der Schweiz als Verweis aufgenommen und bildet einen integralen Bestandteil dieses Zusatzes und gilt für solche Übermittlungen. Wenn dies der Fall ist, werden die relevanten Anhänge oder Appendizes der Schweizer Standardvertragsklauseln ggf. mit den in Auflistung 1 und 2 dieses Zusatzes enthaltenen Informationen ausgefüllt.
9. Beendigung
9.1. Dieser Zusatz endet mit der Beendigung oder dem Ablauf der Vereinbarung, gemäß der die Dienste bereitgestellt werden. Abschnitte 2.2, 2.3(c) und 10 bleiben auch nach Beendigung oder Ablauf dieses Zusatzes bestehen. Dieser Zusatz kann grundsätzlich nicht getrennt von der Vereinbarung beendet werden, außer wenn die Verarbeitung vor der Beendigung der Vereinbarung endet. In diesem Fall endet der Zusatz automatisch.
10. Sonstiges
10.1. Im Hinblick auf den Gegenstand dieses Zusatzes werden im Fall eines Konflikts zwischen den Bestimmungen dieses Zusatz und anderer, für die Parteien rechtlich bindender Dokumente die Bedingungen dieser Dokumente in der folgenden Rangfolge interpretiert: (1) Zusatz; (2) Vereinbarung; (3) Datenschutzerklärung oder andere Vereinbarung zur Bereitstellung der Dienste. Zur Vermeidung von Zweifeln: Die Vereinbarung zur Bereitstellung der Dienste bleibt in Kraft und regelt alle nicht von diesem Zusatz abgedeckten Probleme.
10.2. Sollte irgendeine Bestimmung dieses Zusatzes ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieses Zusatzes gültig und in Kraft. Die ungültigen oder nicht durchsetzbaren Bestimmungen werden entweder (1) so geändert wie notwendig, um ihre Gültigkeit und Durchsetzbarkeit zu gewährleisten, während die Absichten der Parteien so adäquat wie möglich erhalten bleiben, oder wenn dies nicht möglich sein sollte, (2) so ausgelegt, als wäre der ungültige oder nicht durchsetzbare Teil nie darin enthalten gewesen.
11. Änderungen
11.1 Dieser Zusatz kann jederzeit durch eine ordnungsgemäß ausgefertigte oder von jeder der beiden Parteien unterzeichnete schriftliche Urkunde geändert werden. Ungeachtet des zuvor Genannten behält sich der Dienstleister das Recht vor, die Bedingungen der Vereinbarung nach seinem alleinigen Ermessen zu ändern, wenn eine solche Änderung nach den geltenden Gesetzen erforderlich ist, so wie vom Dienstleister festgelegt.
12. Inkrafttreten
12.1. Dieser Zusatz wird zwischen dem Kunden und dem Dienstleister rechtsverbindlich, nachdem es oder die Vereinbarung, in welche es integriert ist, von den Unterzeichnern oder Vertretern beider Parteien ausgefertigt wurde. Jede Verpflichtung des Dienstleisters hierunter kann umgesetzt werden (ganz oder teilweise), und jedes Recht des Dienstleisters (einschließlich Fakturierungs- und Zahlungsrechte) oder Rechtsmittel kann von einem Partner des Dienstleisters ausgeübt werden (ganz oder teilweise).
12.2. ieser Zusatz unterliegt den geltenden Gesetzen und Bestimmungen der Gerichtsbarkeit in der Vereinbarung und wird nach ihnen ausgelegt, außer ggf. nach den geltenden Datenschutzrechten, den Standardvertragsklauseln des EWR oder dem Zusatz für das Vereinigte Königreich anderweitig erforderlich.
AUFLISTUNG 1 – DETAILS DER VERARBEITUNG
Gegenstand
Der Dienstleister verarbeitet personenbezogene Daten wie notwendig, um die Dienste gemäß dieser Vereinbarung bereitzustellen, wie weiter vom Kunden in seiner Nutzung der Dienste angewiesen.
Art und Zweck der Verarbeitung
1. Dem Kunden die Dienste bereitstellen, einschließlich Kreditorenabläufe, Rechnungsverwaltung, einschließlich Verarbeitung und Genehmigungen.
2. Die Vereinbarung, dieser Zusatz bzw. andere von den Parteien eingegangene Verträge umsetzen.
Dauer der Verarbeitung
Gemäß diesem Zusatz und der zugrundeliegenden Vereinbarung verarbeitet der Dienstleister personenbezogene Daten für die Dauer der Vereinbarung und in Übereinstimmung mit geltenden Gesetzen und relevanten Datenhaltungsfristen.
Häufigkeit der Übermittlungen
Die personenbezogenen Daten werden auf kontinuierlicher Basis übermittelt.
Art personenbezogener Daten
Der Kunde kann personenbezogene Daten an die Dienste übermitteln, wobei deren Umfang vom Kunden nach dessen alleinigem Ermessen bestimmt und kontrolliert wird, und welche die folgenden Kategorien personenbezogener Daten umfassen können aber nicht auf diese beschränkt sind:
- Name, Adresse, Telefonnummer, E-Mail-Adresse, Bankdaten, Rolle und Niveau der Abteilung, URL/Website des Kunden, soweit diese Informationen personenbezogene Daten enthalten
- Über die Dienste des Dienstleisters erfasste Zahlungsinformationen, soweit diese Informationen personenbezogene Daten enthalten
- Jegliche andere vom Kunden erhaltene Informationen, soweit diese Informationen personenbezogene Daten des Kunden oder seiner Nutzer enthalten.
Der Kunde und die Datensubjekte stellen dem Dienstleister die personenbezogenen Daten bereit, indem sie die personenbezogenen Daten dem/den Dienst/en des Dienstleisters bzw. seinem Personal bereitstellen.
In einigen begrenzten Umständen stammen personenbezogene Daten ggf. auch aus anderen Quellen, zum Beispiel im Fall von Anti-Geldwäscheermittlungen, Betrugserkennung oder wie nach geltenden Gesetzen erforderlich.
Kategorien von Datensubjekten
Der Kunde kann personenbezogene Daten an die Dienste übermitteln, wobei deren Umfang vom Kunden nach dessen alleinigem Ermessen bestimmt und kontrolliert wird, und wobei die personenbezogenen Daten folgende Kategorien von Datensubjekten umfassen können aber nicht auf diese beschränkt sind:
- Die vom Kunden zur Nutzung der Dienste befugten Kunden-Nutzer, sowie natürliche Personen oder juristische Personen, an die der Kunde Zahlungen sendet
- Mitarbeitende, Vertreter, Berater, Freiberufler des Kunden (die natürliche Personen sind)
- Potenzielle Kunden, Kunden, Geschäftspartner und Auftragnehmende des Kunden (die natürliche Personen sind)
- Mitarbeitende oder Kontaktpersonen der potenziellen Kunden, Kunden, Geschäftspartner und Auftragnehmenden des Kunden
AUFLISTUNG 2 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Tipalti erhält administrative, technische und organisatorische Sicherheitsmaßnahmen aufrecht, um die Sicherheit, Vertraulichkeit und Integrität personenbezogener Daten zu schützen. Die spezifischen Maßnahmen, die Tipalti implementiert, lauten wie folgt.
Netzwerksicherheit
Kundendaten werden bei der Übertragung verschlüsselt und während der Speicherung verschlüsselt (und bleiben verschlüsselt gespeichert). Die Verbindung mit den Diensten ist mit AES-256-Verschlüsselung verschlüsselt und unterstützt TLS 1.2 und höher. Anmeldungen und Übermittlungen sensibler Daten werden über verschlüsselte Protokolle wie TLS vorgenommen. Alle Server in der Umgebung von Tipalti werden von aktiver Anti-Malware-Software (falls unterstützt), einer Netzwerk-Anti-Malware-Komponente und einem System zur Erkennung von unbefugtem Zugriff geschützt.
Risikomanagement
Tipalti unterhält ein Informationssicherheitsprogramm, welches Folgendes umfasst: (a) Vorhandensein eines Sicherheitsrisikoprogramms; (b) Durchführung regelmäßiger Risikoeinschätzungen für alle Systeme und Netzwerke, die Kundendaten verarbeiten auf mindestens jährlicher Basis; (c) Überwachung in Bezug auf Sicherheitsvorfälle und Aufrechterhaltung eines gestuften Wiederherstellungsplans, um zeitnahe Behebung entdeckter Schwachstellen zu gewährleisten; (d) schriftliche Informationssicherheitsrichtlinie und Vorfallsreaktionsplan, die sich ausdrücklich an sein Personal richten und diesem Richtlinien für die Verbesserung der Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten geben; (e) von einer qualifizierten Partei auf jährlicher Basis durchgeführte Penetrationstests; und (f) Vorhandensein von für Informationssicherheitsbestrebungen zuständigen Ressourcen.
Geschäftskontinuität
Tipalti nimmt tägliche Snapshots von seinen Datenbanken und kopiert diese sicher in ein separates Datenzentrum für Wiederherstellungszwecke im Fall einer regionalen AWS-Störung. Sicherheitskopien werden verschlüsselt und genauso geschützt wie die Produktion.
Sicherheitstests
Tipalti führt auf jährlicher Basis selbst eine Vielzahl von Tests zum Schutz gegen unbefugten Zugriff auf Kundendaten und zur Beurteilung der Sicherheit, Verlässlichkeit und Integrität der Dienste durch und engagiert Drittparteien zu diesem Zweck. Soweit Tipalti nach seinem alleinigen Ermessen beschließt, dass eine Wiederherstellung basierend auf den Ergebnissen solcher Tests notwendig ist, führt es diese Wiederherstellung innerhalb einer angemessenen Frist und unter Berücksichtigung der Art und Schwere des identifizierten Problems durch. Ab dem Datum des Inkrafttretens unterzieht sich Tipalti auf jährlicher Basis einem SOC 2 Audit Typ II in Bezug auf die Angemessenheit seiner Kontrollen. Tipalti macht unseren SOC 2-Bericht auf Anfrage allen Kunden zugänglich.
Zugangsverwaltung und -kontrolle
Für den Zugang zur Verwaltung der AWS-Umgebung von Tipalti ist eine Multi-Faktor-Authentifizierung notwendig, der Zugang zum Dienst wird protokolliert, und der Zugang zu Kundendaten ist auf eine begrenzte Anzahl anerkannter Tipalti-Mitarbeitender beschränkt. Mitarbeitende werden in Bezug auf dokumentierte Informationssicherheits- und Datenschutzvorgänge geschult. Alle Tipalti-Mitarbeitenden unterschreiben eine Datenzugriffsrichtlinie, die sie an die Bedingungen der Datenschutzerklärung von Tipalti bindet. Bei Beendigung des Arbeitsverhältnisses wird der Zugang zu den Systemen von Tipalti unverzüglich entzogen.
Physische Schutzvorkehrungen
Tipalti verwendet Amazon Web Services (AWS) für die Bereitstellung von Verwaltung und Hosting von Produktionsservern und Datenbanken in den USA. AWS verwendet ein robustes physisches Sicherheitsprogramm mit mehreren Zertifizierungen, einschließlich der Zertifizierungen SSAE 16 und ISO 27001.
Datenminimierung und -haltung
Tipalti erfasst nur Informationen, die notwendig sind, um die in unseren Nutzungsbedingungen festgelegten Dienste bereitzustellen. Unsere Mitarbeitenden sind angewiesen, nur auf das Minimum an Informationen zuzugreifen, das für die Ausführung der vorliegenden Aufgabe notwendig ist.
Tipalti bewahrt Informationen so lange auf, wie für die Erfüllung der in unserer Datenschutzerklärung festgelegten Zwecke notwendig, es sei denn, eine längere Aufbewahrungsdauer ist gesetzlich erforderlich oder zulässig, oder wenn die Kundenvereinbarung spezifische Aufbewahrungs- oder Löschungsfristen erfordert oder gestattet. Kunden können jederzeit die Löschung von Daten fordern, und personenbezogene Daten des Kunden werden bei Beendigung der Vereinbarung gelöscht oder anonymisiert.