Letzte Aktualisierung: Mai 14, 2025
Dieser Datenschutznachtrag („Nachtrag“) ergänzt die Bedingungen des Rahmenvertrags und ist darin aufgenommen. Im Falle eines Widerspruchs zwischen diesem Nachtrag und einer anderen Vereinbarung zwischen den Parteien zu den hierin dargelegten Fragen hat dieser Nachtrag Vorrang.
1.1. Begriffe, die hierin nicht definiert sind, haben die im Dienstleistungsrahmenvertrag festgelegte Bedeutung. Die folgenden Wörter in diesem Nachtrag haben die folgenden Bedeutungen:
1.2. „Autorisierter Benutzer“ bezeichnet eine Person, die vom Kunden gemäß der Unterzeichnung der Rahmenvereinbarung entweder den Mitarbeiter und/oder Auftragnehmer des Kunden einschließen kann, um auf die Plattform zuzugreifen und sie im Namen des Kunden zu nutzen.
1.3. „CCPA“ bezeichnet den California Consumer Privacy Act.
1.4. „Kundendaten“bezeichnet alle personenbezogenen Daten oder personenbezogenen Daten, die sich auf einen autorisierten Benutzer oder eine identifizierbare natürliche Person beziehen, die von Globalization Partners im Namen des Kunden zur Nutzung der Plattform durch den Kunden übertragen, verarbeitet oder gespeichert werden.
1.5. „Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze, denen eine Partei dieser Vereinbarung unterliegt und die für die erbrachten Dienstleistungen gelten, einschließlich, wo zutreffend, aber nicht beschränkt auf, die DSGVO, die britische DSGVO, die US-Datenschutzgesetze (einschließlich Landes- und Bundesgesetze) und Singapurs Personal Data Protection Act.
1.6. „DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679 und/oder die britische DSGVO.
1.7. „EWR“ bezeichnet den Europäischen Wirtschaftsraum.
1.8. „EU-SCCs“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die von der Durchführungsentscheidung (EU) 2021/914 der Europäischen Kommission vom genehmigt wurden4 Juni 2021.
1.9. „EOR-Dienstleistungen“ bezeichnet den Arbeitgeber von Aufzeichnungsdienstleistungen, die von Globalization Partners dem Kunden gemäß dem Rahmenvertrag zu erbringen sind.
1.10. „Rahmenvereinbarung“ bezeichnet die zwischen dem Kunden und Globalization Partners abgeschlossene Vereinbarung zur Erbringung der EOR-Dienstleistungen.
1.11. „Plattform“ bezeichnet die proprietäre Software von Globalization Partners, einschließlich, aber nicht beschränkt auf die Software, die mobile Version, die darin enthaltene Software und alle Daten, die durch die Nutzung der proprietären Software von Globalization Partners oder der Dienste von Drittanbietern zur Verfügung gestellt werden, einschließlich ihrer Updates, Upgrades, Plattform-as-a-Service, Dokumentation, deren Beschreibung unter https://www.globalization-partners.com/employer-of-record-solutions/ aufgeführt ist.
1.12. „GB-Ergänzung“ bezeichnet die Ergänzung zur internationalen Datenübertragung in Großbritannien zu den EU-Standardvertragsklauseln, die vom britischen Informationsbeauftragten herausgegeben und diesem als Anhang IV beigefügt werden.
1.13. „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „personenbezogene Daten“, „Datenschutzverletzung“, „Auftragsverarbeiter“, „Verarbeitung/Verarbeitung“, „Eingeschränkte Übermittlung“, „Dienstleister“ und/oder andere ähnliche Begriffe und Konzepte haben die in den Datenschutzgesetzen definierte Bedeutung
2.1. Rollen der Parteien und Details der Verarbeitung. Globalization Partners verarbeiten personenbezogene Daten als unabhängiger Verantwortlicher, wenn Globalization Partners EOR-Dienstleistungen erbringen. In keinem Fall verarbeiten die Parteien personenbezogene Daten im Rahmen dieses Nachtrags als gemeinsame Verantwortliche. Wenn Globalization Partners als unabhängiger Datenverantwortlicher tätig ist, müssen Globalization Partners bei der Verarbeitung personenbezogener Daten seine Verpflichtungen des Datenverantwortlichen gemäß den Datenschutzgesetzen einhalten und die personenbezogenen Daten gemäß der Datenschutzrichtlinie von Globalization Partners verarbeiten, die unter https://www.globalization-partners.com/privacy-policy/ verfügbar ist. Der Kunde muss seine Verpflichtungen gemäß den Datenschutzgesetzen bei der Verarbeitung personenbezogener Daten als Verantwortlicher erfüllen. Soweit Globalization Partners während der Verarbeitung von Kundendaten als Auftragsverarbeiter fungiert, wird diese Verarbeitung in Übereinstimmung mit dem nachstehenden Abschnitt 3 („Verarbeitung personenbezogener Daten“) durchgeführt.
2.2. Verantwortlichkeiten und Bestätigungen. Jede Partei kann personenbezogene Daten im Rahmen dieses Nachtrags in Bezug auf personenbezogene Daten als unabhängige Datenverantwortliche verarbeiten. Die Parteien verpflichten sich, ihren jeweiligen Verpflichtungen nachzukommen und personenbezogene Daten fair und rechtmäßig in Übereinstimmung mit diesem Nachtrag und allen Datenschutzgesetzen zu verarbeiten, die für die Verarbeitung personenbezogener Daten dieser Partei gelten. Jede Partei stellt sicher, dass ihre Verarbeitung personenbezogener Daten auf den Zweck der von Globalization Partners erbrachten EOR-Dienstleistungen beschränkt ist und auf einem rechtlichen Grund für die rechtmäßige Verarbeitung basiert. Die Parteien unterstützen sich gegenseitig bei der Erfüllung ihrer jeweiligen Verpflichtungen gemäß den Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf die gegenseitige Unterstützung bei einer Datenschutzverletzung, die Beantwortung von Anfragen betroffener Personen und/oder Aufsichtsbehörden.
3.1. Umfang. Die Nutzung der Plattform durch den Kunden und die Kundenbeziehung können die Verarbeitung von Kundendaten durch Globalization Partners als Auftragsverarbeiter oder Dienstleister im Namen des Kunden beinhalten.
3.2. Anweisungen. Globalization Partners verarbeiten Kundendaten in Übereinstimmung mit den dokumentierten Anweisungen des Kunden. Der Kunde erklärt sich damit einverstanden, dass dieser Nachtrag, der Rahmenvertrag und Anhang I, die hierunter beigefügt sind, die vollständigen Anweisungen des Kunden an Globalization Partners bezüglich der Verarbeitung von Kundendaten umfassen. Zusätzliche oder alternative Anweisungen müssen zwischen den Parteien schriftlich vereinbart werden, einschließlich der Kosten (falls vorhanden), die mit der Einhaltung dieser Anweisungen verbunden sind. Globalization Partners sind nicht dafür verantwortlich, festzustellen, ob die Anweisungen des Kunden mit den geltenden Gesetzen übereinstimmen. Wenn Globalization Partners jedoch der Meinung ist, dass eine Kundenanweisung gegen geltende Datenschutzgesetze verstößt, müssen Globalization Partners den Kunden so schnell wie vernünftigerweise möglich benachrichtigen und nicht verpflichtet sein, diese verletzenden Anweisungen einzuhalten.
3.3. Details der Verarbeitung. Einzelheiten zum Gegenstand der Verarbeitung, deren Dauer, Art und Zweck sowie die Art der Kundendaten und betroffenen Personen sind in Anhang I zu diesem Vertrag angegeben.
3.4. Compliance. Der Kunde und die Globalization Partners verpflichten sich, ihre jeweiligen Verpflichtungen gemäß den für die Kundendaten geltenden Datenschutzgesetzen einzuhalten, die gemäß Anhang I verarbeitet werden. Der Kunde trägt die alleinige Verantwortung für die Einhaltung der Datenschutzgesetze hinsichtlich der Rechtmäßigkeit der Verarbeitung von Kundendaten, bevor Kundendaten an Globalization Partners weitergegeben, übertragen oder anderweitig verfügbar gemacht werden. Zur Klarstellung sei angemerkt, dass der Kunde in allen Fällen, falls erforderlich, die Zustimmungen der betroffenen Personen für Globalization Partners zur Verarbeitung von Kundendaten gemäß den Anweisungen des Kunden einholen muss.
3.5. Unterauftragsverarbeiter. Der Kunde ermächtigt Globalization Partners, Auftragsverarbeiter („Unterauftragsverarbeiter“) zu ernennen und einzusetzen, um die Kundendaten in Verbindung mit den Dienstleistungen zu verarbeiten. Unterauftragsverarbeiter können Dritte oder Mitglieder der Globalization Partners-Unternehmensgruppe sein. Globalization Partners können die von Globalization Partners zum Zeitpunkt dieses Nachtrags bereits beauftragten Unterauftragsverarbeiter weiterhin einsetzen, und eine Liste dieser Unterauftragsverarbeiter ist in Anhang III dieser Vereinbarung verfügbar. Wenn ein Unterauftragsverarbeiter seine oben genannten Datenschutzverpflichtungen nicht erfüllt, haften Globalization Partners dem Kunden gegenüber für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters. Globalization Partners müssen den Kunden über alle Änderungen an seiner Liste der Unterauftragsverarbeiter informieren. Wenn der Kunde innerhalb von 10 (zehn) Tagen nach Erhalt dieser Mitteilung rechtmäßig der Hinzufügung oder Entfernung eines Unterauftragsverarbeiters aus Datenschutzgründen widerspricht und Globalization Partners dem Widerspruch des Kunden nicht angemessen nachkommen können, werden die Parteien die Bedenken des Kunden in gutem Glauben mit dem Ziel der Lösung der Angelegenheit besprechen.
3.6. Technische und organisatorische Sicherheitsmaßnahmen. Unter Berücksichtigung der Industriestandards die Kosten der Umsetzung, die Natur, Umfang, Kontext und Zwecke der Verarbeitung, und alle anderen relevanten Umstände im Zusammenhang mit der Verarbeitung der Kundendaten innerhalb der Plattform, Globalization Partners müssen geeignete technische und organisatorische Sicherheitsmaßnahmen ergreifen, um die Sicherheit zu gewährleisten, Vertraulichkeit, Integrität, die Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten, die an der Verarbeitung der Kundendaten beteiligt sind, dem Risiko in Bezug auf diese Kundendaten entspricht. Globalization Partners werden in regelmäßigen Abständen (i) die Wirksamkeit ihrer Schutzmaßnahmen, Kontrollen, Systeme und Verfahren testen und überwachen und (ii) vernünftigerweise vorhersehbare interne und externe Risiken für die Sicherheit, Vertraulichkeit und Integrität der Kundendaten identifizieren und sicherstellen, dass diese Risiken angegangen werden.
3.7. Vertraulichkeit. Globalization Partners stellen sicher, dass Personen, die befugt sind, auf die Kundendaten zuzugreifen, (i) sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen und (ii) nur auf dokumentierte Anweisungen von Globalization Partners zugreifen, es sei denn, dies ist nach geltendem Recht erforderlich.
3.8. Verletzung des Schutzes personenbezogener Daten. Globalization Partners werden den Kunden unverzüglich benachrichtigen, nachdem sie von einer Datenschutzverletzung in Bezug auf die Verarbeitung von Kundendaten erfahren haben, und werden angemessene Anstrengungen unternehmen, um den Kunden bei der Minderung der nachteiligen Auswirkungen einer Datenschutzverletzung zu unterstützen, wenn möglich.
3.9. Internationale Transfers . Globalization Partners ist berechtigt, im normalen Geschäftsverlauf weltweite Übertragungen von Kundendaten an seine verbundenen Unternehmen und/oder Unterauftragsverarbeiter vorzunehmen. Bei solchen Übertragungen stellen Globalization Partners sicher, dass ein angemessener Schutz besteht, um die im Rahmen oder in Verbindung mit dem Rahmenvertrag übermittelten Kundendaten wie folgt zu schützen:
3.9.1. Wenn Globalisierung Kundendaten in Länder außerhalb des EWR übermittelt (die keiner Angemessenheitsentscheidung gemäß den Datenschutzgesetzen unterliegen), müssen Globalization Partners ihre Verpflichtungen gemäß den EU-SCCs, die durch diese Bezugnahme in diesen Nachtrag aufgenommen und wie folgt ausgefüllt werden, erfüllen und erfüllen:
Das Modul 2 (Verantwortlicher für Auftragsverarbeiter) gilt, wenn der Kunde ein Verantwortlicher für personenbezogene Daten ist und Globalization Partners ein Auftragsverarbeiter für personenbezogene Daten sind;
in Klausel gilt 7die optionale Andockklausel;
in Klausel 2 gilt die 9Option mit 10 Tagen;
in Klausel findet 11die optionale Sprache keine Anwendung;
in Klausel unterliegen alle Ansprüche12, die im Rahmen der EU-SCCs geltend gemacht werden, den in der Vereinbarung festgelegten Bedingungen;
in Klausel gilt 17Option 1, EU-SCCs unterliegen irischem Recht;
in Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt;
Anhang I der EU-SCCs gilt mit den in Anhang I zu diesem Nachtrag dargelegten Informationen als abgeschlossen;
Anhang II der EU-SCCs gilt mit den in Anhang II zu diesem Nachtrag dargelegten Informationen als abgeschlossen; und
Anhang III der EU-SCCs gilt mit den in Anhang III zu diesem Nachtrag dargelegten Informationen als abgeschlossen.
3.9.2. In Bezug auf Kundendaten, die durch die britische DSGVO geschützt sind, ist es den Parteien gesetzlich gestattet, sich auf die EU-SCCs für eingeschränkte Übertragungen aus dem Vereinigten Königreich zu verlassen, vorbehaltlich des britischen Nachtrags, der durch diese Bezugnahme in diesen Nachtrag aufgenommen und gemäß der Definition in Anhang IV dieser Vereinbarung ausgefüllt wird. Wenn dieser Abschnitt 3.9.2 nicht zutrifft, kooperieren Globalization Partners Exporting Company und der Kunde in gutem Glauben, um angemessene Sicherheitsvorkehrungen für die Übermittlung solcher personenbezogenen Daten zu treffen, wie es die britische DSGVO verlangt oder erlaubt, ohne unangemessene Verzögerung.
3.9.3. Nichts in den Auslegungen in diesem Abschnitt 3.9 soll im Widerspruch zu den Rechten oder Verantwortlichkeiten einer der Parteien gemäß den EU-SCCs und/oder dem UK-Nachtrag stehen, und im Falle eines solchen Konflikts haben die EU-SCCs und/oder der UK-Nachtrag, wie jeweils zutreffend, Vorrang.
3.10. Löschung personenbezogener Daten. Nach Beendigung der Dienstleistungen (aus beliebigem Grund) und auf schriftliche Aufforderung des Kunden werden Globalization Partners die auf der Plattform gespeicherten Kundendaten so bald wie vernünftigerweise möglich zurückgeben oder löschen, es sei denn, das geltende Recht verlangt die Speicherung der Kundendaten für einen längeren Zeitraum. Für eine solche Aufbewahrung gelten die Bestimmungen dieses Nachtrags weiterhin für diese Kundendaten.
3.11. Anfragen betroffener Personen. Globalization Partners müssen den Kunden unverzüglich über alle Anfragen von betroffenen Personen in Bezug auf Kundendaten informieren. Der Kunde ist für die Beantwortung solcher Anfragen verantwortlich. Globalization Partners unterstützen den Kunden in angemessener Weise bei der Beantwortung solcher Anfragen betroffener Personen, soweit der Kunde bei seiner Nutzung der Plattform nicht auf die relevanten Kundendaten zugreifen kann.
3.12. Anfragen Dritter. Wenn Globalization Partners Anfragen von Dritten oder eine Anordnung eines Gerichts, Gerichts, einer Aufsichtsbehörde oder einer Regierungsbehörde mit zuständiger Gerichtsbarkeit erhält, der Globalization Partners im Zusammenhang mit der Verarbeitung von Kundendaten im Rahmen der Vereinbarung unterliegt, werden Globalization Partners die Anfrage unverzüglich an den Kunden weiterleiten. Globalization Partners werden solche Anfragen nicht ohne die vorherige Genehmigung des Kunden beantworten, es sei denn, sie sind gesetzlich dazu gezwungen. Globalization Partners werden den Kunden, sofern dies nicht gesetzlich verboten ist, im Voraus über eine Offenlegung von Kundendaten informieren und angemessen mit dem Kunden zusammenarbeiten, um den Umfang einer solchen Offenlegung auf das gesetzlich Erforderliche zu beschränken.
3.13. Datenschutz-Folgenabschätzung und vorherige Konsultation. Soweit dies nach den Datenschutzgesetzen erforderlich ist, werden Globalization Partners den Kunden in angemessener Weise bei der Durchführung einer Datenschutz-Folgenabschätzung in Bezug auf die Verarbeitung von Kundendaten durch Globalization Partners und/oder bei allen erforderlichen vorherigen Konsultation(en) mit Aufsichtsbehörden unterstützen. Globalization Partners behält sich das Recht vor, dem Kunden eine angemessene Gebühr für die Bereitstellung solcher Unterstützung zu berechnen.
3.14. Compliance demonstrieren. Globalization Partners führt regelmäßig externe Prüfungen der Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts-, Vertraulichkeits- und Datenschutzkontrollen der Organisation durch und stellt dem Kunden auf schriftliche Anfrage eine Kopie des aktuellsten zusammenfassenden Prüfungsberichts oder der Zertifizierung zur Verfügung. Wenn der Kunde es vorzieht, zusätzlich zu den bereitgestellten Zertifizierungen oder Berichten Dritter eine eigene Prüfung durchzuführen, ein solches Audit durchgeführt wird: i) nicht mehr als einmal pro 12 (zwölf) Monate; ii) während der normalen Geschäftszeiten und ohne Unterbrechung des Tagesgeschäfts von Globalization Partners; iii) mit dreißig (30) Tagen schriftlicher Vorankündigung; iv) auf alleinige Kosten des Kunden (einschließlich der Zeit, die der Globalisierungspartner für die Unterstützung des Kunden während der Prüfung auf der Grundlage des Tagessatzes eines Sicherheitsmanagers aufgewendet hat); v) auf der Grundlage einvernehmlich vereinbarter Parameter und des Umfangs, beschränkt auf den konkreten Leistungsumfang, Systeme, die verwendet werden und/oder Verarbeitungsaktivitäten in Betracht ziehen und spezifisch für die tatsächliche Anforderung sind; vi) nach einvernehmlich im Voraus vereinbartem Termin, vorbehaltlich einer angemessenen Verschiebung durch den Kunden auf angemessene Anfrage von Globalization Partners; und vii) in Übereinstimmung mit allen Vertraulichkeitsverpflichtungen und -beschränkungen. Unbeschadet des Vorstehenden wird nach Beendigung des Rahmenvertrages kein Prüfungsrecht eingeräumt, außer für gesetzliche Verpflichtungen, die vom Kunden nachzuweisen sind. Jeder externe Vertreter, der ausgewählt wurde, um eine Prüfung im Namen des Kunden durchzuführen, darf keine Eigentumsanteile an oder Zugehörigkeit zu einer EOR Services-Agentur, einer verbundenen Organisation oder einem Berater haben.
3.15. Keine Informationen verkaufen. Globalization Partners dürfen keine Rechte oder Vorteile in Bezug auf personenbezogene Daten ableiten oder ausüben, es sei denn, dies ist in diesem Nachtrag vorgesehen. Zur Klarstellung sei angemerkt, dass Globalization Partners Kundendaten nicht für andere Zwecke als für den spezifischen Zweck der Bereitstellung der Plattform an den Kunden gemäß der Rahmenvereinbarung aufbewahren, verwenden, weitergeben oder offenlegen werden. Globalization Partners dürfen keine personenbezogenen Daten verkaufen, wie der Begriff „Verkauf“ im CCPA definiert ist. Globalization Partners sichert zu und garantiert, dass es die Regeln, Anforderungen und Definitionen des CCPA versteht und verpflichtet sich, keine Maßnahmen zu ergreifen, die dazu führen würden, dass Übermittlungen personenbezogener Daten an oder von Globalization Partners als „Verkauf personenbezogener Daten“ gemäß dem CCPA gelten.
|
Parteien |
Verantwortlicher / Datenexporteur: Kundeneinheit, die den Master Agrement |
|
Kontaktdaten der Parteien |
Kontaktdaten des Kunden, wie im Rahmenvertrag dargelegt. Kontaktdaten von Globalization Partners, wie im Rahmenvertrag dargelegt. |
|
Aktivitäten, die für die übertragenen Daten relevant sind |
Aktivitäten im Zusammenhang mit der Plattform, die als Dienstleistung bereitgestellt wird. |
|
Verarbeitungstätigkeiten |
Globalization Partners verarbeiten Kundendaten bei der Bereitstellung der Plattform als Dienstleistung für den Kunden. |
|
Dauer der Verarbeitung |
Globalization Partners verarbeiten Kundendaten für die Dauer der Rahmenvereinbarung und kontinuierlich. |
|
Art und Zweck der Verarbeitung |
Der Kunde kann Kundendaten an Globalization Partners übermitteln, deren Umfang vom Kunden nach eigenem Ermessen festgelegt und kontrolliert wird. Globalization Partners verarbeiten Kundendaten, soweit dies für die Zwecke der Bereitstellung der Plattform als Dienstleistung für den Kunden gemäß dem Rahmenvertrag erforderlich ist. |
|
Kategorien betroffener Personen |
Die Kundendaten betreffen autorisierte Nutzer der Plattform, zu denen auch Mitarbeiter und/oder Auftragnehmer des Kunden gehören können, zusätzlich zu Personen, deren personenbezogene Daten von autorisierten Nutzern der Plattform bereitgestellt werden. |
|
Arten personenbezogener Daten |
Die übermittelten Kundendaten können die folgenden Datenkategorien umfassen: Kontaktdaten (z. B. Postanschrift, Telefonnummer und E-Mail-Adresse). Daten von Mitarbeitern/Auftragnehmern (wie z. B. Berufsbezeichnung und Name des Unternehmens). Kundendaten (wie z. B. Rechnungs- und Kreditdaten). Nutzungsdaten (z. B. Daten über das Gerät des autorisierten Benutzers und wie dieses Gerät mit der Plattform interagiert). Standortdaten (z. B. Standort, der von der IP-Adresse abgeleitet wurde). Inhaltsdaten (wie z. B. der Inhalt der Dateien des Kunden in Bezug auf die Fachleute und Kommunikationen). Anmeldedaten (wie Passwörter, Passworthinweise und ähnliche Sicherheitsinformationen, die für die Authentifizierung und den Kontozugriff auf die Plattform verwendet werden). Alle personenbezogenen Daten, die von autorisierten Benutzern bereitgestellt werden. |
|
Besondere Datenkategorien (falls zutreffend) |
n. z. |
|
Mitarbeiterbindung |
Kundendaten werden mindestens so lange aufbewahrt, wie eine geltende gesetzlich vorgeschriebene Mindestaufbewahrungsfrist, die mit den geltenden Verjährungsfristen übereinstimmt und die guten Geschäftspraktiken erfüllt. |
|
Zuständige Aufsichtsbehörde |
Die irische Datenschutzkommission |
|
Übertragungen an Unterauftragsverarbeiter |
Bei Übermittlungen an Auftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung gleich wie oben definiert. |
|
Datenschutz-Kontaktdaten von Globalization Partners |
privacy@globalization-partners.com
|
Globalization Partners wurde von unabhängigen Prüfern zertifiziert und bescheinigt, die Einhaltung der SOC-2Standards zu bestätigen. Berichte über Service Organization Controls (SOC) zeigen unser Engagement für die Sicherung von Kundendaten. Das Sicherheitsprogramm von Globalization Partners wurde entwickelt, um:
die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten im Besitz von Globalization Partners zu schützen oder auf die Globalization Partners Zugriff hat;
Schutz vor erwarteten Bedrohungen oder Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten;
Schutz vor unbefugtem oder unrechtmäßigem Zugriff, Verwendung, Offenlegung, Änderung oder Vernichtung von Kundendaten;
Schutz vor versehentlichem Verlust, versehentlicher Zerstörung oder Beschädigung von Kundendaten; und
Schützen Sie Informationen, wie in allen Vorschriften dargelegt, durch die Globalization Partners reguliert werden können.
Im Folgenden werden die Funktionen, Prozesse, Kontrollen, Systeme, Verfahren und Maßnahmen beschrieben, die Globalization Partners ergriffen haben, um die Sicherheit der Verarbeitung von Kundendaten zu gewährleisten:
a) Privacy by Design und Default:Globalization Partners berücksichtigt die Anforderungen von Artikel 25 DSGVO in der Konzeption und Entwicklungsphase der Produktentwicklung. Prozesse und Funktionalitäten sind so eingerichtet, dass die Datenschutzgrundsätze wie Legalität, Transparenz, Zweckbindung, Datenminimierung etc. sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.
b) Verschlüsselung personenbezogener Daten:Sicherstellung, dass personenbezogene Daten nur so im System gespeichert werden, dass Dritte die betroffene Person nicht identifizieren können.
Datenbank- und Speicherverschlüsselung:
Bei allen von Globalization Partners genutzten Datenbanken wird eine Verschlüsselung „at rest“ nach dem Stand der Technik verwendet, so dass die Daten aus der Datenbank erst nach ordnungsgemäßer Authentifizierung auf dem jeweiligen Datenbanksystem gelesen werden können.
Verschlüsselung mobiler Datenträger:
Die Verwendung mobiler Datenträger zur Speicherung von Kundendaten ist nicht zulässig.
Verschlüsselung von Datenträgern auf Laptops:
Auf den Laptops aller Mitarbeiter ist eine angemessene, hochmoderne Festplattenverschlüsselung installiert.
Verschlüsselter Austausch von Informationen und Dateien:
Grundsätzlich wird der Austausch von Informationen und Dateien direkt über eine spezielle Applikation verschlüsselt. Müssen personenbezogene Daten oder vertrauliche Informationen auf Server übertragen werden, die nicht über TLS-verschlüsselte HTTPS-Uploads gesendet werden können, werden diese mittels Secure File Transfer Protocol (SFTP), verschlüsseltem Umschlagdienst oder einem anderen verschlüsselten Mechanismus nach dem Stand der Technik übertragen.
E-Mail-Verschlüsselung:
Grundsätzlich werden alle von Mitarbeitern von Globalization Partners versendeten E-Mails mit TLS verschlüsselt. Ausnahmen können sein, wenn der empfangende Mailserver TLS nicht unterstützt. Der Kunde stellt sicher, dass die im Rahmen der Bestellung eingesetzten entsprechenden Mailserver die TLS-Verschlüsselung unterstützen
c) Zulassungskontrollen sind vorgesehen und eingerichtet, um die Nutzung und Verarbeitung von Daten, die durch Datenschutzgesetze geschützt sind, durch Unbefugte zu verhindern.
Verwendung von Authentifizierungsmethoden
Der Zugriff auf personenbezogene Daten erfolgt immer über verschlüsselte Protokolle: SSH, SSL/TLS, HTTPS oder vergleichbare Protokolle. Authentifizierungsverfahren für das IT-System: Anmeldung bei der Multifaktor-Authentifizierung im IT-System.
Automatische Sperrung bei Inaktivität
Laptops, die von Mitarbeitern von Globalization Partners verwendet werden, die mit Passwort- oder PIN-Schutz gesperrt sind, wenn sie nicht vom Benutzer verwendet werden. Zusätzlich wird nach 15 Minuten Inaktivität eine automatische Bildschirmsperre mit Passwortschutz eingerichtet.
Verwendung von Virenschutzsoftware
Laptops, die von Mitarbeitern von Globalization Partners verwendet werden, sind mit modernster Antivirensoftware ausgestattet, die auf allen betrieblichen oder geschäftlichen IT-Systemen auf dem neuesten Stand gehalten wird. Grundsätzlich dürfen keine Computer ohne residenten Virenschutz betrieben werden, es sei denn, es wurden andere gleichwertige, hochmoderne Sicherheitsmaßnahmen ergriffen oder es besteht kein Risiko. Standard-Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.
„Clean Desk-Richtlinie“
Mitarbeiter von Globalization Partners werden angewiesen, personenbezogene Daten von betroffenen Personen nicht auszudrucken oder lokal zu speichern, Arbeitsmaterialien nicht an einem Ort zu hinterlassen, an dem sie von Dritten eingesehen werden können, und alle Arbeitsmaterialien ordnungsgemäß zu speichern. Dokumente, die Globalization Partners gesetzlich in Papierform aufbewahren muss, werden in verschlossenen Schränken aufbewahrt.
d) Zugriffskontrollen Innerhalb der Plattform-Zugriffskontrollen stellen sicher, dass Personen, die zur Nutzung eines Verarbeitungssystems berechtigt sind, nur Zugriff auf die personenbezogenen Daten haben, die von ihrer Zugriffsberechtigung abgedeckt sind.
Rollen und Autorisierung
Rollen- und Autorisierungsplattform – Kundenzugriff Kundenbenutzer können Kundenkontoinformationen anzeigen und bearbeiten.
Rollen- und Autorisierungsplattform – Professional Access Professional-Benutzer können ihre eigenen beruflichen Informationen anzeigen und bearbeiten.
Profis können auch nach Anforderung und Genehmigung die Rolle des Kundenzugriffs übernehmen
Rollen- und Autorisierungsplattform – Interner Zugriff
Interne Zugriffsbenutzer haben verschiedene Rollen. Sie haben unterschiedlichen Zugriff, um Folgendes zu erstellen, anzuzeigen, zu bearbeiten und zu genehmigen:
Kundeninformationen
Informationen zur Abrechnung
Informationen zum Partner
Professionelles Personal zeichnet Informationen auf
Der Zugriff auf das Admin-System ist grundsätzlich auf geschulte Mitarbeiter in den Bereichen Kundenbetreuung und Produktentwicklung beschränkt.
e) Firewall as a ServiceGlobalization Partners verwendet eine externe Firewall als Service, die es ihm ermöglicht, den Zugriff auf Websites zu gewähren oder zu blockieren, um sicherzustellen, dass Systeme nicht auf bösartige Inhalte zugreifen können und um den Zugriff auf unangemessene Inhalte einzuschränken.
f) Die Aufzeichnung der Anmeldung bei der PlattformGlobalizationGlobalization Partners führt eine Aufzeichnung aller Anmeldeaktivitäten.
g) Trennbarkeit Sicherstellen, dass personenbezogene Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden können und von anderen Daten und Systemen so getrennt werden, dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.
Trennung von Entwicklungs-, Test- und Betriebsumgebungen
Daten aus der Betriebsumgebung dürfen nur in Test- oder Entwicklungsumgebungen übertragen werden, wenn sie vor der Übertragung vollständig anonymisiert wurden. Die Übertragung der anonymisierten Daten muss verschlüsselt oder über ein vertrauenswürdiges Netzwerk erfolgen.
Trennung in Netzwerken
Globalization Partners trennt seine Netzwerke nach Aufgaben. Die folgenden Netzwerke werden dauerhaft genutzt: Betriebsumgebung („Produktion“), Testumgebung („Staging“, „Sandbox“), IT-Mitarbeiter der Entwicklungsumgebung („Dev“) im Büro. Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z.B. für Wiederherstellungstests und Penetrationstests. Abhängig von den technischen Möglichkeiten werden die Netzwerke entweder physisch oder mittels virtueller Netzwerke getrennt.
h) VerfügbarkeitskontrolleGlobalizationGlobalization Partners unternimmt die folgenden Schritte, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Vernichtung oder Verlust geschützt sind.
Datenschutzverfahren / Backups
Um eine angemessene Verfügbarkeit zu gewährleisten, implementiert Globalization Partners tägliche Snapshots seiner Datenbank mit Replikation in eine andere Region. Es werden auch Maßnahmen ergriffen, um sicherzustellen, dass Mitarbeitern mit aufgabenbasierter Notwendigkeit, Daten zu überprüfen, nur Zugriff auf Replikat-Datensätze gewährt wird.
Georedundanz hinsichtlich Serverinfrastruktur produktiver Daten und Backups
IT-Vorfallmanagement („Vorfallmanagement“)
Es gibt ein Konzept und dokumentierte Verfahren für den Umgang mit Vorfällen und sicherheitsrelevanten Ereignissen. Dies umfasst die Planung und Vorbereitung der Reaktion auf Vorfälle, Verfahren zur Überwachung, Aufdeckung und Analyse sicherheitsrelevanter Ereignisse sowie die Definition entsprechender Verantwortlichkeiten und Meldewege bei einem Verstoß gegen den Schutz personenbezogener Daten im Rahmen der gesetzlichen Anforderungen.
Globalization Partners hat die folgenden organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass die Organisation auf eine Weise arbeitet, die die Datenschutz- und Schutzanforderungen erfüllt.
a) OrganisationsanweisungenGlobalisierungspartnerGlobalization Partners haben ein Data-Governance-Programm entwickelt, das Richtlinien, Verfahren und Leitlinien enthält, die Mitarbeiter befolgen müssen. Die Dokumentation umfasst die Identifizierung und Verwaltung von Datenschutzproblemen, bewährte Verfahren zur Gewährleistung der Einhaltung der Datenschutzbestimmungen und Richtlinien zur Behebung von Datenschutzvorfällen.
b) Verpflichtung zur Vertraulichkeit und zum DatenschutzGlobalizationGlobalization Partners hat ein Data-Governance-Programm entwickelt, das Richtlinien, Verfahren und Leitlinien enthält, die Mitarbeiter befolgen müssen. Alle Mitarbeiter und Auftragnehmer sind schriftlich zur Vertraulichkeit und zum Datenschutz sowie zu anderen relevanten Gesetzen verpflichtet. Alle Mitarbeiter erhalten Datenschutz- und Sicherheitsschulungen. Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Audits werden auf der Grundlage gängiger Prüfkriterien/-chemikalien durchgeführt. Die Mitarbeiter und Auftragnehmer von Globalization Partners werden angewiesen, personenbezogene Daten nur aus rechtmäßigen Gründen gemäß den geltenden Verträgen mit dem Kunden und der Fachkraft unter Berücksichtigung einer ausdrücklichen Zustimmung der betroffenen Person und im Einklang mit einer rechtmäßigen Verpflichtung der Organisation zu verarbeiten.
c) Datenschutzschulung Alle Mitarbeiter erhalten Datenschutz- und Sicherheitsschulungen, die jederzeit auf der Schulungsplattform von Globalization Partners zur Überprüfung verfügbar bleiben.
d) Physische ZugriffskontrollenGlobalizationGlobalization Partners verfügt über die folgenden physischen Kontrollen, um unbefugten Personen den Zugriff auf IT-Systemausrüstung zu verweigern, die für die Verarbeitung verwendet wird.
Elektronischer Türschutz
Die Eingangstüren zu den Räumlichkeiten der Büros von Globalization Partners sind immer verschlossen und elektronisch gesichert. Die Türen werden über einen persönlichen elektronischen Transponder geöffnet.
Kontrollierte Schlüsselverteilung
Eine zentrale, dokumentierte Zuordnung von Schlüsseln zu den Mitarbeitern von Globalization Partners erfolgt. Diese elektronischen Transponder/Schlüssel könnten zentral von jedem Büroleiter oder der Abteilung People Resources deaktiviert werden.
Betreuung und Begleitung externer Personen
Externen Dienstleistern und anderen Dritten darf der Zugang zu den Räumlichkeiten nur durch vorherige Genehmigung oder in Begleitung eines Mitarbeiters von Globalization Partners gewährt werden. Globalization Partners wenden ihre schriftliche Besucherrichtlinie an, wenn Besucher in die Räumlichkeiten eingeladen werden.
Sicherung von Räumlichkeiten mit erhöhtem Schutzbedarf
Räumlichkeiten oder Schränke mit erhöhten Schutzanforderungen, wie etwa Anwaltskanzleien und bestimmte Betriebsstandorte, sind mit Schließschränken und Schubladen ausgestattet. Schränke und Schubladen, in denen rechtliche Dokumente, Verträge und vertrauliche Dokumente aufbewahrt werden, müssen jederzeit verschlossen werden, außer wenn sie verwendet werden.
Geschlossene Türen und Fenster
Mitarbeiter werden organisatorisch angewiesen, Fenster und Türen außerhalb der Bürozeiten geschlossen oder verschlossen zu halten.
e) WiederherstellbarkeitGlobalisierungspartnerGlobalization Partners stellen sicher, dass die verwendeten Systeme im Falle eines physischen oder technischen Ausfalls wiederhergestellt werden können.
Regelmäßige Tests der Datenwiederherstellung („Restore-Tests“)
Es werden regelmäßige vollständige Wiederherstellungstests durchgeführt, um die Wiederherstellbarkeit im Notfall/Katastrophe sicherzustellen.
Notfallplan („Disaster Recovery Concept“)
Es gibt ein Konzept zur Behandlung von Notfällen/Katastrophen und einen entsprechenden Notfallplan. Globalization Partners stellen die Wiederherstellung aller Systeme auf der Grundlage der Datensicherungen/Backups sicher, in der Regel innerhalb von 48 Stunden.
Überprüfungs- und Bewertungsmaßnahmen
Darstellung der Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
f) Datenschutzteam Die Organisation verfügt über ein Global Data Privacy Office, das mit der Planung, Implementierung, Bewertung und Anpassung von Maßnahmen im Bereich Datenschutz beauftragt ist.
g) Risikomanagement Es gibt einen Prozess zur Analyse, Bewertung und Zuordnung von Risiken und zur Ableitung von Maßnahmen auf der Grundlage dieser Risiken.
a) Durchführung von Audits Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Audits werden auf der Grundlage gängiger Prüfkriterien/-chemikalien durchgeführt.
b) Überprüfung der Einhaltung von Sicherheitsrichtlinien und -standards Die Einhaltung der geltenden Sicherheitsrichtlinien, -standards und anderer Sicherheitsanforderungen für die Verarbeitung personenbezogener Daten wird regelmäßig überprüft. Wenn möglich, werden diese Prüfungen zufällig und unerwartet durchgeführt.
c) Überprüfung der Einhaltung der technischen Spezifikationen Regelmäßige automatisierte und manuelle Schwachstellenscans werden von der IT-Abteilung oder anderen qualifizierten Mitarbeitern durchgeführt, um die Sicherheit der Anwendungen und Infrastruktur sowie die regelmäßige Entwicklung des Produkts zu überprüfen. Detaillierte Penetrationstests werden von einem externen Dienstleister durchgeführt, um die Anwendungen und die Infrastruktur speziell auf Schwachstellen zu untersuchen.
d) Verarbeitung auf Anweisung Die Mitarbeiter von Globalization Partners werden angewiesen, personenbezogene Daten nur aus rechtmäßigen Gründen gemäß den geltenden Verträgen mit dem Kunden und der Fachkraft unter Berücksichtigung einer ausdrücklichen Zustimmung der betroffenen Person und im Einklang mit jeder rechtmäßigen Pflicht der Organisation zu verarbeiten.
e) Sorgfältige LieferantenauswahlGlobalisierungspartnerGlobalization Partners halten sich bei der Auswahl von Lieferanten und Lieferanten, die möglicherweise auf geschützte Daten treffen, an den Vorqualifizierungsprozess für Lieferanten. Dieser Prozess umfasst Feedback von den Abteilungen Finanzen und Recht/Datenschutz und umfasst Schritte zur Risikobewertung, Sicherheitsvorqualifizierung und Dokumentationszertifizierung. Lieferanten, die geschützte Daten verarbeiten, müssen nachweisen, dass sie die geltenden Datenschutzgesetze einhalten, einschließlich der Artikel-28DSGVO für abgedeckte Daten.
|
Unterauftragsverarbeiter |
Kontaktinformationen |
Beschreibung der Verarbeitung |
Standort |
|---|---|---|---|
|
Bereitstellung der Plattform und des Kundenbeziehungsmanagements |
USA |
||
|
3933 Lake Washington Blvd NE #350, Kirkland, WA98033, USA |
Finanzdienstleistungen |
USA |
|
|
P.O. Box 81226 Seattle, WA98108-1226, USA |
Hosting – Anbieter von Cloud-Services |
USA |
|
|
One Microsoft Way Redmond, Washington 98052 USA |
Kommunikation zur Unterstützung von Geschäftsprozessen (E-Mail); Servicemanagement |
USA |
|
|
350 Bush Street Floor 13 San Francisco, CA94104, USA |
Business Process Support für das Service Management |
USA |
|
|
|
Vertragsmanagement |
Großbritannien |
|
|
DocuSign International (EMEA) Ltd, Achtung: Privacy Team, 5 Hanover Quay, Ground Floor, Dublin2, Republik Irland |
Dokumentenverwaltung |
Irland |
|
|
265 Cambridge Ave, Suite 60717 Palo Alto, CA94306, USA |
Telekommunikationsdienste |
USA |
|
|
2 Kingdom Street Paddington London W2 6BD Vereinigtes Königreich |
Vertragsmanagement |
Großbritannien |
|
|
Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA |
Business Process Support für Customer Relationship Management (CRM) |
USA |
|
|
989 Market St San Francisco, CA 94103, USA |
Tabelle 1: Parteien
|
Aufnahme der Tätigkeit (Beginn) |
Datum des Inkrafttretens dieses Nachtrags |
|
|
Die Parteien |
Exporteur (der die eingeschränkte Übertragung sendet) |
Importeur (der die eingeschränkte Übertragung erhält) |
|
Details der Parteien |
Angaben zur Kundeneinheit, wie im Rahmenvertrag dargelegt. |
Details der Einheit von Globalization Partners, wie im Rahmenvertrag dargelegt. |
|
Wichtige Kontakte |
Kontaktdaten des Kunden, wie im Rahmenvertrag dargelegt. |
Kontaktdaten von Globalization Partners, wie im Rahmenvertrag dargelegt, und Kontaktdaten von Globalization Partners zum Datenschutz, wie in Anhang I oben definiert. |
Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
|
Ergänzung EU SCCs |
Die Version der genehmigten EU-SCCs, die in Abschnitt 3.9 des Nachtrags aufgenommen wurden, einschließlich der diesem Nachtrag beigefügten Anhangsinformationen. |
Tabelle 3: Anhangsinformationen„Anhangsinformationen“ bezeichnet die Informationen, die für die ausgewählten Module gemäß Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) bereitgestellt werden müssen und die für diesen Nachtrag in Folgendem dargelegt sind:
Anlage 1A: Liste der Parteien: Anlage I
Anlage 1B : Beschreibung der Übertragung: Anlage I
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Anhang II
Anhang III: Liste der Unterauftragsverarbeiter: Anhang III
Tabelle 4: Beenden dieses Nachtrags, wenn sich der genehmigte Nachtrag ändert
|
Beenden dieses Nachtrags, wenn sich der genehmigte Nachtrag ändert |
Welche Parteien können diesen Nachtrag gemäß Abschnitt 19 beenden: |
|
Obligatorische Klauseln |
Teil 2: Obligatorische Klauseln des genehmigten Nachtrags, die das vom ICO herausgegebene und dem Parlament gemäß s119A dem Datenschutzgesetz 2018 vom , wie es im Abschnitt 18 dieser Obligatorischen Klauseln überarbeitet wird2 Februar 2022, vorgelegte Addendum B1.0 darstellen. |
