Dieses Addendum zur Datenverarbeitung ("DPA") ist eine formelle Vereinbarung zwischen Simbase INC.eine nach dem Recht des Staates Delaware gegründete Gesellschaft ("Simbase") und die in der Vereinbarung genannte Einrichtung ("Kunde"). Beide Parteien werden hier einzeln als "Partei" und gemeinsam als "Parteien" bezeichnet.

Diese DPA ist nahtlos in den Abonnementvertrag, der die Nutzung des Dienstes (der "Vertrag") zwischen den Parteien regelt, integriert und bildet einen wesentlichen Bestandteil desselben. Alle in dieser DPA in Großbuchstaben geschriebenen Begriffe haben, sofern sie nicht anders definiert sind, die gleiche Bedeutung wie in der Vereinbarung angegeben. Im Falle von Unstimmigkeiten oder Widersprüchen zwischen dieser DPA, einer zuvor abgeschlossenen Datenverarbeitungsvereinbarung und anderen Teilen der Vereinbarung haben die Bestimmungen dieser DPA Vorrang.

Der Kern dieser DPA dreht sich um die Bedingungen, die gelten, wenn Simbase persönliche Daten im Rahmen der Vereinbarung verarbeitet. Sie soll sicherstellen, dass eine solche Verarbeitung im Einklang mit geltendem Recht steht und die Rechte der Personen, deren personenbezogene Daten verarbeitet werden, gewahrt werden.

1. Begriffsbestimmungen

"Anwendbares Recht" bezeichnet alle anwendbaren Bundes- und Landesgesetze der Vereinigten Staaten, Verordnungen und andere gesetzliche oder behördliche Anforderungen in jeder Gerichtsbarkeit, die sich auf die Vereinbarung beziehen, einschließlich, aber nicht beschränkt auf den California Consumer Privacy Act in der Fassung des California Privacy Rights Act ("CCPA/CPRA"), den Virginia Consumer Data Protection Act ("VCDPA"), den Colorado Privacy Act ("CPA"), den Connecticut Data Privacy Act ("CTDPA") und jedes andere anwendbare staatliche Datenschutzgesetz.

"Persönliche Informationen" sind Informationen, die eine identifizierte oder identifizierbare Person oder einen identifizierbaren Haushalt im Sinne des geltenden Rechts identifizieren, sich auf sie beziehen, sie beschreiben, mit ihr in Verbindung gebracht werden können oder mit ihr direkt oder indirekt in Verbindung gebracht werden könnten. Dies schließt gegebenenfalls "personenbezogene Daten" gemäß der Definition des CCPA/CPRA und gleichwertiger Begriffe in anderen staatlichen Datenschutzgesetzen ein.

"Dienstanbieter" bedeutet Simbase, wenn es persönliche Daten im Namen des Kunden gemäß der Vereinbarung verarbeitet, wie dieser Begriff nach geltendem Recht zu verstehen ist (einschließlich "Verarbeiter" nach den geltenden staatlichen Datenschutzgesetzen).

"Subprozessor" bezeichnet jede dritte Partei, die von Simbase beauftragt wurde, bei der Verarbeitung persönlicher Daten im Namen des Kunden zu helfen.

"Verbraucher" bezeichnet eine Person, die Gegenstand der im Rahmen dieser DSGVO verarbeiteten personenbezogenen Daten ist, einschließlich aller "Verbraucher" oder "Betroffenen" im Sinne des geltenden Rechts.

"Verletzung persönlicher Daten" bedeutet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf persönliche Daten führt, die von Simbase oder seinen Unterauftragsverarbeitern in Verbindung mit dem Vertrag übermittelt, gespeichert oder anderweitig verarbeitet werden.

2. Anwendungsbereich und Anwendbarkeit

Diese DPA gilt für die Verarbeitung personenbezogener Daten durch Simbase im Namen des Kunden in Verbindung mit der Bereitstellung von Dienstleistungen im Rahmen der Vereinbarung. Diese DPA gilt für Kunden mit Sitz in den Vereinigten Staaten oder Kanada und für die Verarbeitung personenbezogener Daten von Verbrauchern mit Sitz in den Vereinigten Staaten oder Kanada.

Simbase verarbeitet personenbezogene Daten nur in dem Umfang, der zur Erfüllung seiner Verpflichtungen aus dem Vertrag und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden erforderlich ist, es sei denn, die Verarbeitung ist durch geltendes Recht vorgeschrieben; in diesem Fall informiert Simbase den Kunden, soweit gesetzlich zulässig, vor der Verarbeitung über diese gesetzliche Anforderung.

3. Verpflichtungen von Simbase

In seiner Eigenschaft als Dienstanbieter im Rahmen dieser DPA verpflichtet sich Simbase:

(a) personenbezogene Daten nur in dem Maße zu verarbeiten, wie es zur Erreichung der in der Vereinbarung festgelegten betrieblichen Zwecke erforderlich und angemessen ist, und in Übereinstimmung mit den dokumentierten Anweisungen des Kunden;

(b) keine persönlichen Daten im Sinne des CCPA/CPRA oder gleichwertiger staatlicher Datenschutzgesetze zu verkaufen;

(c) Persönliche Daten nicht für andere als die in der Vereinbarung festgelegten Zwecke aufzubewahren, zu verwenden oder offenzulegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung von persönlichen Daten für einen anderen kommerziellen Zweck als die Erbringung der in der Vereinbarung genannten Dienstleistungen;

(d) keine personenbezogenen Daten für kontextübergreifende verhaltensorientierte Werbung gemäß der Definition des CCPA/CPRA weitergeben;

(e) Persönliche Daten, die wir vom Kunden oder in dessen Namen erhalten haben, nicht mit persönlichen Daten zu kombinieren, die Simbase von einer oder mehreren anderen Personen oder in deren Namen erhalten hat oder die wir aus unseren eigenen Interaktionen mit Verbrauchern gesammelt haben, es sei denn, dies ist nach geltendem Recht ausdrücklich erlaubt;

(f) angemessene administrative, technische und physische Sicherheitsvorkehrungen zu treffen und aufrechtzuerhalten, um persönliche Daten vor unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen, in Übereinstimmung mit den Standards, die in den Datensicherheitsstandards von Simbase unter www.simbase.com/terms/data-security-standards beschrieben sind;

(g) sicherzustellen, dass alle Angestellten, Beauftragten und Mitarbeiter, die zur Verarbeitung personenbezogener Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen oder vertraglichen Verpflichtung zur Vertraulichkeit unterliegen;

(h) auf schriftliches Verlangen des Kunden personenbezogene Daten (und alle Kopien davon) bei Beendigung dieser Vereinbarung zu löschen oder an den Kunden zurückzugeben, es sei denn, er ist nach geltendem Recht verpflichtet, diese personenbezogenen Daten aufzubewahren;

(i) dem Kunden alle Informationen zur Verfügung zu stellen, die vernünftigerweise erforderlich sind, um die Einhaltung der Verpflichtungen in diesem Abschnitt nachzuweisen, und Audits, einschließlich Inspektionen, die vom Kunden oder dem von ihm benannten Prüfer durchgeführt werden, zuzulassen und sinnvoll daran mitzuwirken (auf Kosten des Kunden, sofern nicht anders vereinbart);

(j) den Kunden unverzüglich zu benachrichtigen, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, und in angemessener Weise bei der Ermittlung, Behebung und Abschwächung der Auswirkungen einer solchen Verletzung zu kooperieren und zu helfen; und

(k) dem Kunden auf angemessenes Verlangen eine Zusammenfassung oder Kopie der Ergebnisse einschlägiger Sicherheitsprüfungen oder -bewertungen durch Dritte, die in Bezug auf die Dienste durchgeführt wurden, zur Verfügung zu stellen.

4. Verpflichtungen des Kunden

Der Kunde ist verpflichtet:

(a) sicherzustellen, dass seine Nutzung der Dienste und seine Anweisungen für die Verarbeitung personenbezogener Daten mit dem geltenden Recht übereinstimmen, einschließlich der Bereitstellung aller erforderlichen Mitteilungen an Verbraucher, deren personenbezogene Daten im Rahmen der Vereinbarung verarbeitet werden, und der Einholung aller erforderlichen Zustimmungen oder Genehmigungen von diesen;

(b) die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Simbase zur Verfügung gestellten persönlichen Daten sowie für die Mittel, mit denen der Kunde diese persönlichen Daten erworben hat;

(c) Simbase unverzüglich über alle Verbraucherrechtsanfragen zu informieren, deren Erfüllung die Unterstützung von Simbase erfordert, und mit Simbase bei der Beantwortung solcher Anfragen innerhalb der nach geltendem Recht erforderlichen Fristen zu kooperieren; und

(d) sicherstellen, dass er Simbase keine Kategorien personenbezogener Daten zur Verfügung stellt, zu deren Verarbeitung Simbase im Rahmen der Vereinbarung nicht befugt ist.

5. Anfragen zu Verbraucherrechten

Simbase unterstützt den Kunden in angemessener Weise bei der Beantwortung nachprüfbarer Anfragen zu Verbraucherrechten gemäß geltendem Recht, einschließlich Anfragen zum Zugriff, zur Löschung, zur Berichtigung oder zum Verzicht auf den Verkauf oder die Weitergabe von persönlichen Daten.

Wenn Simbase eine Anfrage zu Verbraucherrechten direkt erhält, wird Simbase den Kunden unverzüglich benachrichtigen und nicht direkt auf eine solche Anfrage reagieren, es sei denn, der Kunde hat dies genehmigt oder das geltende Recht verlangt es. Simbase wird mit dem Kunden zusammenarbeiten, um solche Anfragen innerhalb der vom anwendbaren Recht vorgeschriebenen Fristen zu erfüllen, die in der Regel betragen:

(a) Kalifornien (CCPA/CPRA): 45 Tage nach Eingang eines überprüfbaren Antrags, mit der Möglichkeit einer Verlängerung um weitere 45 Tage nach Benachrichtigung des Verbrauchers;

(b) Virginia (VCDPA): 45 Tage nach Erhalt, mit der Möglichkeit einer Verlängerung um weitere 45 Tage nach Benachrichtigung;

(c) Colorado (CPA) und Connecticut (CTDPA): 45 Tage nach Erhalt, mit der Möglichkeit einer Verlängerung um weitere 45 Tage nach Benachrichtigung; und

(d) andere anwendbare Staaten: wie im jeweiligen staatlichen Datenschutzgesetz vorgeschrieben.

6. Unterauftragsverarbeiter

Der Kunde erteilt Simbase hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten im Rahmen dieser DPA. Eine aktuelle Liste der Unterauftragsverarbeiter von Simbase ist unter www.simbase.com/terms/subprocessors verfügbar.

Simbase informiert den Kunden in angemessener Weise im Voraus, bevor es einen neuen Unterauftragsverarbeiter einstellt oder einen bestehenden Unterauftragsverarbeiter ersetzt, indem es die oben genannte Seite für Unterauftragsverarbeiter aktualisiert oder direkt benachrichtigt. Widerspricht der Kunde einem neuen Unterauftragsverarbeiter aus angemessenen datenschutzrechtlichen Gründen, muss er Simbase innerhalb von vierzehn (14) Tagen nach Erhalt der Mitteilung schriftlich darüber informieren. Die Parteien arbeiten in gutem Glauben zusammen, um eine für beide Seiten akzeptable Lösung zu finden. Wenn keine Lösung erreicht werden kann, kann der Kunde den betroffenen Dienst nach schriftlicher Mitteilung an Simbase straffrei kündigen.

Simbase stellt sicher, dass jeder Unterauftragsverarbeiter an Verpflichtungen gebunden ist, die nicht weniger schützend sind als die in dieser DPA dargelegten, und Simbase bleibt gegenüber dem Kunden für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter voll haftbar.

7. Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten benachrichtigt Simbase den Kunden unverzüglich, in jedem Fall aber innerhalb von zweiundsiebzig (72) Stunden nach Bekanntwerden der Verletzung. Eine solche Benachrichtigung muss, soweit angemessen verfügbar, Folgendes enthalten:

(a) eine Beschreibung der Art des Verstoßes, möglichst mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Verbraucher und Datensätze;

(b) Name und Kontaktdaten der Kontaktstelle bei Simbase, bei der weitere Informationen eingeholt werden können;

(c) eine Beschreibung der voraussichtlichen Folgen des Verstoßes; und

(d) eine Beschreibung der Maßnahmen, die Simbase ergriffen hat oder zu ergreifen gedenkt, um den Verstoß zu beheben und seine möglichen nachteiligen Auswirkungen abzumildern.

Simbase kooperiert mit dem Kunden bei der Erfüllung aller Verpflichtungen zur Benachrichtigung über Verstöße gemäß geltendem Recht, das im Allgemeinen eine Benachrichtigung der betroffenen Verbraucher und gegebenenfalls der Generalstaatsanwälte der einzelnen Bundesstaaten innerhalb eines Zeitrahmens von dreißig (30) bis neunzig (90) Tagen je nach Gerichtsbarkeit vorschreibt.

8. Sicherheitsmaßnahmen

Simbase implementiert und pflegt ein umfassendes Informationssicherheitsprogramm, das angemessene administrative, technische und physische Schutzmaßnahmen zum Schutz personenbezogener Daten umfasst, die mit Branchenstandards wie dem NIST Cybersecurity Framework und ISO/IEC 27001 übereinstimmen. Die Sicherheitsmaßnahmen von Simbase sind in den Datensicherheitsstandards unter www.simbase.com/terms/data-security-standards näher beschrieben.

Zu diesen Maßnahmen gehören mindestens: die Verschlüsselung personenbezogener Daten bei der Übertragung und im Ruhezustand, Zugangskontrollen und Authentifizierungsmechanismen, regelmäßige Schwachstellenbewertungen und Penetrationstests, Schulungen für das Sicherheitsbewusstsein der Mitarbeiter und Verfahren für die Reaktion auf Zwischenfälle.

9. Audits und Einhaltung der Vorschriften

Auf angemessenen schriftlichen Antrag des Kunden und vorbehaltlich angemessener Vertraulichkeitsverpflichtungen stellt Simbase die Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DSGVO erforderlich sind. Der Kunde kann eine Prüfung der Verarbeitungstätigkeiten von Simbase durchführen oder in Auftrag geben, vorausgesetzt, dass:

(a) der Kunde Simbase mindestens dreißig (30) Tage im Voraus schriftlich informiert;

(b) die Audits während der regulären Geschäftszeiten durchgeführt werden und den Betrieb von Simbase nicht unangemessen stören;

(c) der Kunde alle mit dem Audit verbundenen Kosten trägt, sofern nichts anderes vereinbart wurde; und

(d) Prüfungsergebnisse und alle erhaltenen Informationen werden als vertrauliche Informationen von Simbase behandelt.

Hat Simbase einschlägige Zertifizierungen oder Prüfberichte von Dritten erhalten (z. B. SOC 2 Typ II), kann Simbase diese Berichte dem Kunden nach eigenem Ermessen anstelle einer direkten Prüfung zur Verfügung stellen.

10. Rückgabe und Löschung von Daten

Bei Beendigung oder Ablauf der Vereinbarung und auf schriftliche Anfrage des Kunden wird Simbase nach Wahl des Kunden entweder alle persönlichen Daten in einem gängigen, maschinenlesbaren Format an den Kunden zurücksenden oder alle persönlichen Daten in seinem Besitz, einschließlich aller Kopien, innerhalb von dreißig (30) Tagen nach Erhalt einer solchen Anfrage sicher löschen.

Auf Anfrage des Kunden stellt Simbase eine schriftliche Bestätigung der Löschung aus. Simbase kann personenbezogene Daten in dem Umfang aufbewahren, der nach geltendem Recht erforderlich ist, vorausgesetzt, dass Simbase diese aufbewahrten personenbezogenen Daten weiterhin in Übereinstimmung mit dieser DPA schützt und sie nur für die gesetzlich vorgeschriebenen Zwecke verarbeitet.

11. Haftung und Entschädigung

Die Haftung der Vertragsparteien im Rahmen dieser DPA unterliegt den im Abkommen festgelegten Haftungsbeschränkungen und -ausschlüssen. Keine der Bestimmungen dieser DPA schränkt die Haftung der Vertragsparteien für vorsätzliches Fehlverhalten, grobe Fahrlässigkeit oder eine Haftung ein, die nach geltendem Recht nicht beschränkt oder ausgeschlossen werden kann.

Jede Vertragspartei entschädigt, verteidigt und hält die andere Vertragspartei schadlos gegenüber Ansprüchen Dritter, Schäden, Verlusten, Kosten und Ausgaben (einschließlich angemessener Anwaltsgebühren), die sich aus einer Verletzung dieser DPA durch die entschädigende Vertragspartei ergeben oder damit zusammenhängen, vorbehaltlich der Haftungsbeschränkungen im Abkommen.

12. Geltendes Recht und Streitbeilegung

Diese DPA unterliegt den Gesetzen des US-Bundesstaates Delaware unter Ausschluss der Grundsätze des Kollisionsrechts sowie den geltenden Bundesgesetzen der Vereinigten Staaten und ist entsprechend auszulegen. Soweit ein spezifisches staatliches Datenschutzgesetz auf die Verarbeitung personenbezogener Daten im Rahmen dieser DPA anwendbar ist, gilt dieses staatliche Gesetz auch für die entsprechenden Verarbeitungsaktivitäten.

Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben und von den Parteien nicht durch Verhandlungen in gutem Glauben beigelegt werden können, unterliegen der ausschließlichen Zuständigkeit der Bundes- oder Staatsgerichte im Bundesstaat Delaware.

13. Laufzeit und Beendigung

Diese DPA tritt am Tag der Unterzeichnung des Abkommens in Kraft und bleibt für die Dauer des Abkommens in Kraft. Bei Beendigung der Vereinbarung endet diese DPA automatisch, vorbehaltlich der Bestimmungen von Abschnitt 10 (Datenrückgabe und -löschung) und aller anderen Bestimmungen, die ihrer Natur nach die Beendigung überdauern sollen, einschließlich Vertraulichkeitsverpflichtungen, Haftung und Entschädigung.

14. Sonstiges

Diese DPA stellt zusammen mit der Vereinbarung die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand dieser Vereinbarung dar und ersetzt alle früheren und gleichzeitigen Vereinbarungen, Vorschläge oder Zusicherungen, ob schriftlich oder mündlich, in Bezug auf den Gegenstand dieser DPA.

Sollte sich eine Bestimmung dieser DPA als nicht durchsetzbar oder ungültig erweisen, ist diese Bestimmung auf das erforderliche Mindestmaß zu beschränken oder zu streichen, so dass diese DPA ansonsten in vollem Umfang wirksam und durchsetzbar bleibt.

Simbase kann diese DPA von Zeit zu Zeit aktualisieren, um Änderungen des anwendbaren Rechts oder der Verarbeitungspraktiken von Simbase zu berücksichtigen. Simbase wird den Kunden in angemessener Weise über wesentliche Änderungen informieren. Die fortgesetzte Nutzung der Dienste nach einer solchen Benachrichtigung gilt als Zustimmung zu der aktualisierten DPA.

Kontaktinformationen

Bei Fragen zu dieser DPA oder zur Ausübung von Rechten im Rahmen dieser DPA wenden Sie sich bitte an:

Simbase INC.

1401 Pennsylvania Ave, Suite 105 Wilmington, DE 19806

E-Mail: privacy@simbase.com

Website: www.simbase.com