MSA Datenschutz Sprache

 ERGÄNZUNG ZUM DATENSCHUTZ

Der Kunde hat einen Rahmenvertrag oder einen Vertrag mit ähnlicher Art und ähnlichem Zweck (nachfolgend „Rahmenvertrag“) mit abgeschlossen G-P. Die Unterzeichnung eines solchen Rahmenvertrags kann die Verarbeitung personenbezogener Daten beinhalten. Der Kunde und G-P (gemeinsam als „Parteien“ bezeichnet) vereinbaren, dass dieser Datenschutznachtrag (Data Protection Addendum, „DPA“) ihre Verpflichtungen in Bezug auf die Verarbeitung und Sicherheit personenbezogener Daten im Zusammenhang mit den Dienstleistungen festlegt G-P, die dem Kunden im Rahmen des Rahmenvertrags bereitgestellt werden, und die Parteien vereinbaren, an diesen DPA gebunden zu sein. Dieser DPA ergänzt die Bedingungen im Rahmenvertrag und ist darin aufgenommen. Im Falle eines Konflikts zwischen diesem DPA und einer anderen Vereinbarung zwischen den Parteien zu den hierin dargelegten Fragen hat dieser DPA Vorrang. Wenn der Kunde bereits einen unterzeichneten Datenschutzzusatz mit in Kraft hat G-P, hat diese Vereinbarung Vorrang vor diesem DPA, und dieser DPA hat keine Gültigkeit oder Wirkung, es sei denn, der Kunde und haben schriftlich etwas anderes vereinbart G-P.

 

Wohingegen:

1. Wenn er dem Kunden Dienstleistungen des Employer of Records („EOR“) G-P bereitstellt, G-P übernimmt er die Rolle des gesetzlichen Arbeitgebers für alle vom Kunden ausgewählten Personen („Fachleute“), die eingestellt werden sollen.
2. In Bezug auf die personenbezogenen Daten dieser Fachkräfte G-P ist er im Laufe des Arbeitsverhältnisses ein Verantwortlicher.
3. In Bezug auf die personenbezogenen Daten von Fachkräften, die vom Kunden für seine eigenen Zwecke erfasst und verwendet werden, ist der Kunde auch ein Verantwortlicher mit unabhängigen Datenschutzverpflichtungen.
4. Bei der Erbringung der EOR-Dienstleistungen unterliegt der Austausch der personenbezogenen Daten von Fachkräften zwischen G-P und dem Kunden einer unabhängigen Beziehung zwischen Verantwortlichem und Verantwortlichem und es gelten die in Abschnitt 2 unten definierten Bedingungen zwischen Verantwortlichem und  Verantwortlichem.
5. G-P bietet auch verschiedene Software-as-a-Service-Produkte über G-Pdie Plattform („GPP“) von an, über die der Kunde die Beziehung zu diesen Fachleuten verwalten G-P kann.
6. Wenn dem Kunden Zugriff auf GPP gewährt G-P wird, gilt der Auftragsverarbeiter für die kontobezogenen Daten, die von den vom Kunden ernannten autorisierten Nutzern von GPP in das GPP hochgeladen werden, und die in Abschnitt 3 unten definierten Bedingungen für Verantwortliche und Auftragsverarbeiter.

 

G-P und der Kunde hat Folgendes vereinbart:

 

1. DEFINITIONEN

1.1. Begriffe, die hierin nicht definiert sind, haben die im Rahmenvertrag festgelegte Bedeutung. Die folgenden Wörter in diesem DPA haben die folgenden Bedeutungen:

1.2. “Autorisierter Benutzer“ bezeichnet eine Person, die vom Kunden zugelassen wird und die entweder einen oder den Mitarbeiter und/oder Auftragnehmer des Kunden einschließen kann, um im Namen des Kunden gemäß der Unterzeichnung des Rahmenvertrags auf die GPP zuzugreifen und diese zu nutzen.

1.3. “Kundendaten“ bezeichnet alle personenbezogenen Daten, die sich auf einen autorisierten Nutzer oder eine identifizierbare natürliche Person beziehen, die G-P im Auftrag des Kunden zur Nutzung der GPP durch den Kunden übertragen, verarbeitet oder gespeichert werden.

1.4. “ Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze, denen eine Partei dieser Vereinbarung unterliegt und die für die erbrachten Dienstleistungen gelten, einschließlich, wo zutreffend, aber nicht beschränkt auf, DSGVO, britische DSGVO, Schweizer Datenschutzgesetze, US-Datenschutzgesetze (einschließlich Landes- und Bundesgesetze) und Brasilien LGPD.

1.5. „DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679.

1.6. “„GPP“ bezeichnet die G-Pproprietäre Software von , einschließlich, aber nicht beschränkt auf die Software, die mobile Version, die darin enthaltene Software und alle Daten, die durch die Nutzung entweder der G-Pproprietären Software von oder der Dienste von Drittanbietern zur Verfügung gestellt werden, einschließlich deren Updates, Upgrades, Plattform-as-a-Service und Dokumentation.

1.7. “EWR“ bezeichnet den Europäischen Wirtschaftsraum.

1.8. “LGPD“ bezeichnet das brasilianische Gesetz Nr. 13.709, das allgemeine Gesetz zum Schutz personenbezogener Daten in der jeweils gültigen Fassung.

1.9. „Master Agreemen t“ bezeichnet die zwischen dem Kunden und G-P für die Erbringung der Dienstleistungen abgeschlossene Vereinbarung.

1.10. „Datenschutzrichtlinie“ bezeichnet G-Pdie Datenschutzrichtlinie von , die von Zeit zu Zeit aktualisiert wird und unter https://www.globalization-partners.com/privacy-policy/

1.11. „Professional-Daten“ bezeichnet die personenbezogenen Daten von Fachkräften, die G-P im Rahmen ihrer EOR-Dienstleistungsbereitstellung für den Kunden verarbeitet werden.

1.12. „Eingeschränkte Übermittlung“ bezeichnet jede Übermittlung personenbezogener Daten in ein Land außerhalb des EWR, des Vereinigten Königreichs, der Schweiz oder Brasiliens, das keiner Angemessenheitsentscheidung gemäß den geltenden Datenschutzgesetzen unterliegt und daher angemessene Schutzmaßnahmen gemäß den geltenden Datenschutzgesetzen erfordert.

1.13. „Dienstleistungen“ bezeichnet die Dienstleistungen, die dem Kunden im Rahmen der Rahmenvereinbarung G-P von zu erbringen sind, was die EOR-Dienstleistungen und den Zugriff auf und die Nutzung von GPP umfassen kann.

1.14. „Standardvertragsklauseln“ oder  „SCCs“ bezeichnen (i), wenn die DSGVO gilt, die dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission beigefügten Standardvertragsklauseln 4 Juni 2021 für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, verfügbar unter https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN („EU SCCs“); (ii) wenn die britische DSGVO gilt, die anwendbaren Standard-Datenschutzklauseln, die gemäß Artikel 46(2)(c) verabschiedet wurden, oder (d) wenn die britische DSGVO den Nachtrag zur internationalen Datenübertragung („Nachtrag zum Vereinigten Königreich“) zu den EU-Standardvertragsklauseln bezeichnet, die vom Büro des Informationsbeauftragten gemäß s.119A(1) des Datenschutzgesetzes 2018 herausgegeben wurden, als solches UK Addendum kann gemäß Abschnitt 18 darin überarbeitet werden („UK SCCs“); (iii) wenn die Schweizer Datenschutzgesetze gelten, die jeweils geltenden Standarddatenschutzklauseln erlassen, von der Eidgenössischen Datenschutzbehörde und dem Information Commissioner’s Office (die „Schweizer Plattenepithelkarzinome“) genehmigt oder anerkannt; wo die brasilianische LGPD gilt, die anwendbaren  Standardvertragsklauseln, beigefügt zu Resolution CD/ANPD Nr. 19/2024 , veröffentlicht von der brasilianischen nationalen Datenschutzbehörde („ANPD“), in der jeweils gültigen Fassung („Brasilien-SCCs“).

1.15. “Schweizer Datenschutzgesetze“ oder  „FADP“ bezeichnet (i) das Schweizer Bundesdatenschutzgesetz (vom Juni 19, 1992, 1. März 2019) („DSG“); (ii) die  Verordnung über das Bundesgesetz über den Datenschutz  („DSG“); und (iii) alle nationalen Datenschutzgesetze, die gemäß den Gesetzen, die eine der vorstehenden Bestimmungen ersetzen oder aktualisieren, erlassen wurden.

1.16. “UK Addendum“ bezeichnet den Nachtrag zur internationalen Datenübertragung im Vereinigten Königreich zu den EU-Standardvertragsklauseln, die vom britischen Informationsbeauftragten herausgegeben wurden.

1.17. “Datenschutzgesetze des Vereinigten Königreichs“ bezeichnet die DSGVO, wie sie gemäß Abschnitt 3 des Europäischen Unionsgesetzes (Widerrufsgesetz) 2019 des Vereinigten Königreichs („GB-DSGVO“) und des Datenschutzgesetzes 2018 (zusammen  „GB-Datenschutzgesetze“) in das Recht des Vereinigten Königreichs aufgenommen wurde.

1.18. “US-Datenschutzgesetze“ bezeichnet die geltenden Gesetze, Anordnungen, Vorschriften und regulatorischen Leitlinien der Vereinigten Staaten (USA), die sich auf die Verarbeitung personenbezogener Daten beziehen, einschließlich, aber nicht beschränkt auf: (a) den CCPA; (b) den Verbraucherdatenschutzgesetz von Virginia; (c) den Colorado Privacy Act; (d) den Connecticut Act betreffend Datenschutz und Online-Überwachung; (e) den Utah Consumer Privacy Act; und (f) alle ähnlichen staatlichen Gesetze

1.19. "Verantwortlicher, „betroffene Person“, „personenbezogene Daten“, „personenbezogene Daten“, „Datenschutzverletzung“, „Auftragsverarbeiter“, „Verarbeitung/Verarbeitung“, „Eingeschränkte Übermittlung“, „Dienstleister“ und/oder andere ähnliche Begriffe und Konzepte haben die in den Datenschutzgesetzen definierte Bedeutung.

 

 

2. KONTROLLE PERSONENBEZOGENER DATEN

2.1. Rollen der Parteien. Wenn sie als unabhängiger Verantwortlicher G-P tätig sind, G-P müssen sie ihre Pflichten des Verantwortlichen gemäß den Datenschutzgesetzen bei der Verarbeitung personenbezogener Daten einhalten und die personenbezogenen Daten gemäß der Datenschutzrichtlinie von verarbeiten, G-Pdie unter verfügbar ist https://www.globalization-partners.com/privacy-policy/. Der Kunde muss seine Verpflichtungen gemäß den Datenschutzgesetzen bei der Verarbeitung personenbezogener Daten als Verantwortlicher erfüllen. In keinem Fall werden die Parteien personenbezogene Daten im Rahmen dieser DPA als gemeinsame Verantwortliche verarbeiten.

2.2. Verantwortlichkeiten und Bestätigungen. Jede Partei kann personenbezogene Daten im Rahmen dieses DPA in Bezug auf die Daten von Fachkräften als unabhängige Datenverantwortliche verarbeiten. Die Parteien verpflichten sich, ihre jeweiligen Verpflichtungen zu erfüllen und personenbezogene Daten fair und rechtmäßig in Übereinstimmung mit diesem DPA und allen Datenschutzgesetzen zu verarbeiten, die für die Verarbeitung personenbezogener Daten dieser Partei gelten. Jede Partei muss sicherstellen, dass ihre Verarbeitung personenbezogener Daten auf den Zweck des GPP beschränkt ist, der von der GPP bereitgestellt wird, G-P und auf einem rechtlichen Grund für die rechtmäßige Verarbeitung basiert. Die Parteien unterstützen sich gegenseitig bei der Erfüllung ihrer jeweiligen Verpflichtungen gemäß den Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf die gegenseitige Unterstützung bei einer Datenschutzverletzung, die Beantwortung von Anfragen betroffener Personen und/oder Aufsichtsbehörden. 

 

3. VERARBEITUNG PERSONENBEZOGENER DATEN

 

3.1. Geltungsbereich. Die Verwendung von GPP kann die Verarbeitung von Kundendaten G-P durch einen Auftragsverarbeiter oder Dienstleister im Namen des Kunden beinhalten.

3.2. Anweisungen. G-P verarbeitet Kundendaten in Übereinstimmung mit den dokumentierten Anweisungen des Kunden. Der Kunde stimmt zu, dass dieser DPA, den Rahmenvertrag, und Anhang I, der hierunter angehängt ist, die vollständigen Anweisungen des Kunden G-P bezüglich der Verarbeitung von Kundendaten umfassen. Alle zusätzlichen oder alternativen Anweisungen müssen zwischen den Parteien schriftlich vereinbart werden, einschließlich der Kosten (falls vorhanden), die mit der Einhaltung solcher Anweisungen verbunden sind.  Der Kunde stellt sicher, dass seine Anweisungen den geltenden Datenschutzgesetzen entsprechen. Der Kunde erkennt an, dass weder für die Bestimmung verantwortlich G-P ist, welche Gesetze für das Geschäft des Kunden gelten. Der Kunde stellt sicher, dass G-Pdie Verarbeitung von Kundendaten durch , wenn sie gemäß den Anweisungen des Kunden erfolgt, nicht G-P dazu führt, dass geltende Gesetze, einschließlich der geltenden Datenschutzgesetze, verletzt werden. G-P Wenn jedoch der Meinung G-P ist, dass eine Kundenanweisung gegen geltende Datenschutzgesetze verstößt, G-P muss der Kunde so schnell wie vernünftigerweise möglich benachrichtigt werden und ist nicht verpflichtet, diese verletzenden Anweisungen zu befolgen.

3.3. Details zur Verarbeitung. Einzelheiten zum Gegenstand der Verarbeitung, deren Dauer, Art und Zweck sowie die Art der Kundendaten und der betroffenen Personen sind in Anhang I zu diesem Vertrag angegeben. 

3.4. Compliance. Der Kunde verpflichtet G-P sich, seine jeweiligen Verpflichtungen gemäß den für die Kundendaten geltenden Datenschutzgesetzen einzuhalten, die gemäß Anhang I verarbeitet werden. Der Kunde trägt die alleinige Verantwortung für die Einhaltung der Datenschutzgesetze hinsichtlich der Rechtmäßigkeit der Verarbeitung von Kundendaten vor der Offenlegung, übertragen, oder anderweitig zur Verfügung zu stellen, alle Kundendaten an G-P.  Zur Vermeidung von Zweifeln: in allen Fällen, Der Kunde muss Folgendes einholen: bei Bedarf, alle Einwilligungen der betroffenen Personen G-P zur Verarbeitung von Kundendaten gemäß den Anweisungen des Kunden.

3.5. Unterauftragsverarbeiter. Der Kunde autorisiert G-P, Auftragsverarbeiter („Unterauftragsverarbeiter“) zu ernennen und zu nutzen, um die Kundendaten in Verbindung mit den Dienstleistungen zu verarbeiten. Unterauftragsverarbeiter können Dritte oder ein Mitglied der G-P Unternehmensgruppe umfassen. G-P die Unterauftragsverarbeiter, die bereits bis G-P zum Datum dieses DPA beauftragt wurden, weiterhin nutzen können, und eine Liste dieser Unterauftragsverarbeiter ist in Anhang III dieses Vertrags verfügbar. Wenn ein Unterauftragsverarbeiter seine oben genannten Datenschutzverpflichtungen nicht erfüllt, G-P haftet er dem Kunden gegenüber für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters. G-P muss den Kunden über alle Änderungen an seiner Liste der Unterauftragsverarbeiter über GPP informieren. Wenn der Kunde innerhalb von 10 (zehn) Tagen nach Erhalt dieser Mitteilung rechtmäßig der Hinzufügung oder Entfernung eines Unterauftragsverarbeiters aus Datenschutzgründen widerspricht und dem Widerspruch des Kunden nicht angemessen nachkommen G-P kann, werden die Parteien die Bedenken des Kunden in gutem Glauben mit dem Ziel der Lösung der Angelegenheit besprechen.

3.6. Technische und organisatorische Sicherheitsmaßnahmen. Unter Berücksichtigung der Industriestandards die Kosten der Umsetzung, die Natur, Umfang, Kontext und Zwecke der Verarbeitung, und alle anderen relevanten Umstände im Zusammenhang mit der Verarbeitung der Kundendaten, G-P angemessene technische und organisatorische Sicherheitsmaßnahmen zur Gewährleistung der Sicherheit umzusetzen, Vertraulichkeit, Integrität, die Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten, die an der Verarbeitung der Kundendaten beteiligt sind, dem Risiko in Bezug auf diese Kundendaten entspricht, wie in Anhang II zu diesem Vertrag beschrieben. G-P wird in regelmäßigen Abständen (i) die Wirksamkeit seiner Schutzmaßnahmen prüfen und überwachen, Kontrollen, Systeme und Verfahren und (ii) vernünftigerweise vorhersehbare interne und externe Risiken für die Sicherheit identifizieren, Vertraulichkeit und Integrität der Kundendaten, und sicherstellen, dass diese Risiken angegangen werden.

3.7. Vertraulichkeit. G-P stellt sicher, dass Personen, die befugt sind, auf die Kundendaten zuzugreifen, (i) sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterliegen und (ii) nur auf dokumentierte Anweisungen von auf die Kundendaten zugreifen G-P, es sei denn, dies ist nach geltendem Recht erforderlich.

3.8. Verletzung des Schutzes personenbezogener Daten. G-P wird den Kunden unverzüglich benachrichtigen, nachdem er von einer Datenschutzverletzung in Bezug auf die Verarbeitung von Kundendaten Kenntnis erlangt hat, und wird angemessene Anstrengungen unternehmen, um den Kunden bei der Minderung der nachteiligen Auswirkungen einer Datenschutzverletzung zu unterstützen, wenn dies möglich ist.

3.9. Löschung personenbezogener Daten. Bei Beendigung der Dienstleistungen (aus beliebigem Grund) G-P werden die im GPP gespeicherten Kundendaten so schnell wie möglich zurückgegeben oder gelöscht, es sei denn, das geltende Recht verlangt die Speicherung der Kundendaten für einen längeren Zeitraum. Für eine solche Aufbewahrung gelten die Bestimmungen dieses DPA weiterhin für diese Kundendaten.

3.10.Anfragen  betroffener Personen. G-P informiert den Kunden unverzüglich über Anfragen betroffener Personen in Bezug auf Kundendaten. Der Kunde ist für die Beantwortung solcher Anfragen verantwortlich. G-P wird den Kunden angemessen dabei unterstützen, auf solche Anfragen von betroffenen Personen zu reagieren, soweit der Kunde bei seiner Nutzung der GPP nicht in der Lage ist, auf die relevanten Kundendaten zuzugreifen.

3.11. Anfragen Dritter. Wenn er Anfragen von Dritten oder eine Anordnung eines Gerichts, Gerichts, einer Aufsichtsbehörde oder einer Regierungsbehörde mit zuständiger Gerichtsbarkeit G-P erhält, der die Verarbeitung von Kundendaten im Rahmen der Vereinbarung G-P unterliegt, G-P leitet er die Anfrage unverzüglich an den Kunden weiter. G-P ohne vorherige Genehmigung des Kunden nicht auf solche Anfragen reagieren, es sei denn, er ist gesetzlich dazu gezwungen. G-P wird, sofern dies nicht gesetzlich verboten ist, den Kunden im Voraus über eine Offenlegung von Kundendaten informieren und angemessen mit dem Kunden zusammenarbeiten, um den Umfang einer solchen Offenlegung auf das gesetzlich Erforderliche zu beschränken. 

3.12. Datenschutzfolgenabschätzung und vorherige Konsultation. Soweit dies nach den Datenschutzgesetzen erforderlich ist, G-P leistet der Kunde angemessene Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung in Bezug auf die Verarbeitung von Kundendaten, die von G-P und/oder allen erforderlichen vorherigen Konsultation(en) mit Aufsichtsbehörden durchgeführt wird. G-P behält sich das Recht vor, dem Kunden eine angemessene Gebühr für die Bereitstellung dieser Unterstützung zu berechnen.

3.13. Audit. Der Kunde kann G-P die Einhaltung dieser DPA und der Datenschutzgesetze prüfen, indem er innerhalb von zwölf (12) Monaten ab dem Datum der Anfrage des Kunden ein Zertifikat zur Sicherheitsüberprüfung anfordert, das das Ergebnis eines von einem externen Prüfer durchgeführten Audits widerspiegelt (z. B. ISO27001 -Zertifizierung, SOC2 -Zertifikat). Alternativ für den Fall, dass die gemäß diesem Abschnitt 3.13 zur Verfügung gestellte Dokumentation nicht ausreicht, um die Einhaltung nachzuweisen, der Kunde kann zusätzlich zu den zur Verfügung gestellten Zertifizierungen oder Berichten Dritter eine eigene Prüfung durchführen, vorausgesetzt, dass eine solche Prüfung  durchgeführt wird: i) nicht mehr als einmal pro 12 (zwölf) Monate; ii) während der normalen Geschäftszeiten und ohne Unterbrechung G-Pdes Tagesgeschäfts; iii) mit dreißig (30) Tagen schriftlicher Vorankündigung; iv) auf alleinige Kosten des Kunden; v) auf der Grundlage einvernehmlicher Parameter und des Umfangs, beschränkt auf den konkreten Leistungsumfang, Systeme, die im Rahmen dieser Vereinbarung verwendet werden und/oder Verarbeitungstätigkeiten, vi) basierend auf einvernehmlich im Voraus vereinbartem Datum, vorbehaltlich einer angemessenen Verschiebung durch den Kunden auf angemessene Anfrage G-Pvon ; und vii) in Übereinstimmung mit allen Vertraulichkeitsverpflichtungen und -beschränkungen. Unbeschadet des Vorstehenden wird nach Beendigung des Rahmenvertrages kein Prüfungsrecht eingeräumt, außer für gesetzliche Verpflichtungen, die vom Kunden nachzuweisen sind. Alle externen Vertreter, die für die Durchführung einer Prüfung im Namen des Kunden ausgewählt wurden, dürfen keine Eigentumsanteile an oder Zugehörigkeit zu einem EOR-Dienstleistungsunternehmen, einer Agentur, einer verbundenen Organisation oder einem Berater haben. Nichts in diesem DPA erfordert G-P , dass es dem Kunden oder seinem externen Prüfer offengelegt wird, oder dem Kunden oder seinem externen Prüfer den Zugriff auf Folgendes zu ermöglichen: (i) alle Daten eines anderen Kunden G-Pvon ; (ii) interne G-PBuchhaltungs- oder Finanzinformationen; (iii) Geschäftsgeheimnisse von G-P oder deren verbundenen Unternehmen; (iv) alle Informationen, die nach vernünftiger Meinung G-Pvon die Sicherheit der G-PSysteme von gefährden oder eine Verletzung seiner Verpflichtungen nach geltendem Recht oder seiner Sicherheits- oder Datenschutzverpflichtungen gegenüber Dritten verursachen könnten; oder (v) Informationen, auf die der Kunde oder sein externer Prüfer aus einem anderen Grund als der Erfüllung der Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in gutem Glauben zugreifen möchte.

3.14. US-Datenschutzgesetze. Gemäß diesem Abschnitt 3 („Verarbeitung personenbezogener Daten“) vereinbaren die Parteien, dass G-P es sich um einen „Dienstleister“ oder „Auftragsverarbeiter“ handelt, wie diese Begriffe in den geltenden US-Datenschutzgesetzen definiert sind. Dementsprechend soweit die US-Datenschutzgesetze für die Verarbeitung von Kundendaten durch gelten G-P, G-P (a) nicht behalten, Verwendung, Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen G-P und dem Kunden offenzulegen, oder für einen anderen Zweck als den in Anhang I dieses Vertrags genannten Zweck, und G-P darf Kundendaten nur so lange verarbeiten, wie sie dem Kunden Dienstleistungen erbringen; (b) Verkauf von Kundendaten; (c) alle Kundendaten weiterzugeben; oder (d) die Kundendaten kombinieren, die G-P von oder im Auftrag von Kunde mit „personenbezogenen Daten“ (wie dieser Begriff oder ein gleichwertiger Begriff in den geltenden Datenschutzgesetzen definiert ist), von dem er erhält, oder im Auftrag von eine andere Person, oder aus eigener Interaktion mit einem Verbraucher erfasst, sofern die Kundendaten kombiniert werden G-P können, wenn sie im Rahmen der Erbringung der Dienstleistungen für den Kunden liegen. Gegebenenfalls muss jede Partei die andere Partei benachrichtigen, wenn sie entscheidet, dass sie ihre Verpflichtungen gemäß den US-Datenschutzgesetzen nicht mehr erfüllen kann.

 

 

4. Internationale Datenübertragungen

4.1. Angemessener Schutz. G-P ist im normalen Geschäftsverlauf befugt, weltweite Übermittlungen von Kundendaten an seine verbundenen Unternehmen und/oder Unterauftragsverarbeiter vorzunehmen. Wenn solche Übermittlungen in ein Gebiet erfolgen, das von den zuständigen Datenschutzbehörden nicht als ein angemessenes Schutzniveau für personenbezogene Daten gemäß den Datenschutzgesetzen anerkannt wurde, G-P muss sichergestellt werden, dass ein angemessener Schutz zum Schutz der Kundendaten besteht, die gemäß oder in Verbindung mit dem Rahmenvertrag übertragen werden.

4.2. Datenschutzrahmen. Fachkräfte und Kundendaten werden in GPP gespeichert, das in den USA gehostet wird. Es G-P ist gemäß der EU-U.S. zertifiziert. Datenschutzrahmenwerk (EU-US DPF) und gegebenenfalls der UK Extension in die EU-U.S. DPF und die Schweizer-US- Datenschutzrahmenwerk (Schweizer-US DPF). G-PDie Zertifizierung von kann auf der DPF- Websitehttps://www.dataprivacyframework.gov/list öffentlich bestätigt werden. Die EU-US Das Datenschutzrahmenwerk wurde von der Europäischen Kommission als angemessen erachtet und ist ein rechtmäßiger Mechanismus zur Datenübertragung gemäß Artikel 45 der DSGVO, der britischen DSGVO bzw. der FADP. Wenn das/die DPF-Rahmenwerk(e) ungültig gemacht, suspendiert oder anderweitig nicht mehr als ausreichender Schutz für internationale Datenübertragungen anerkannt werden, verpflichtet sich der Auftragsverarbeiter, die von der Europäischen Kommission, dem britischen Information Commissioner’s Office (ICO) oder dem Schweizer Bundesbeauftragten für Datenschutz und Information (EDÖB) herausgegebenen oder genehmigten SCCs einzugehen und einzuhalten. Die Parteien werden nach Treu und Glauben zusammenarbeiten, um etwaige ergänzende Maßnahmen zu ergreifen, die erforderlich sind, um ein im Wesentlichen gleichwertiges Schutzniveau für die übermittelten Daten zu gewährleisten.

4.3. Standardvertragsklauseln. Die Parteien vereinbaren, dass, wenn die Übermittlung personenbezogener Daten vom Kunden (als „Datenexporteur“) an G-P (als „Datenimporteur“) eine eingeschränkte Übermittlung ist und die geltenden Datenschutzgesetze vorschreiben, dass angemessene Sicherheitsvorkehrungen getroffen werden, eine solche Übermittlung den entsprechenden Standardvertragsklauseln unterliegt, die wie folgt als Bestandteil dieses DPA gelten:

1. In Bezug auf Übermittlungen personenbezogener Daten , die durch die DSGVO geschützt sind, gelten die EU-SCCs, die wie folgt ausgefüllt werden:

1. Es gelten die Module Eins und Zwei;
2. in Klausel gilt 7die optionale Andockklausel;
3. in Klausel 9 von Modul Zwei gilt Option 2 , und der Zeitraum für die vorherige Benachrichtigung über Änderungen des Unterauftragsverarbeiters ist wie in Abschnitt 3.5 dieses DPA festgelegt;
4. in Klausel findet 11die optionale Sprache keine Anwendung;
5. in Klausel 12 unterliegen alle Ansprüche, die gemäß den EU-SCCs geltend gemacht werden, den im Rahmenvertrag festgelegten Bedingungen;
6. in Klausel 17 gilt Option 1 und die EU-SCC unterliegen irischem Recht;
7. in Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt;
8. Anhang I der EU-SCCs gilt mit den in Anhang 1 zu diesem DPA dargelegten Informationen als abgeschlossen; und
9. Anhang II der EU-SCCs gilt mit den in Anhang 2 zu diesem DPA dargelegten Informationen als abgeschlossen;
10. Anhang III von Modul Zwei der EU-SCCs gilt mit den in Anhang 3 zu diesem DPA dargelegten Informationen als abgeschlossen.

b. In Bezug auf die Übermittlung personenbezogener Daten, die durch die britischen Datenschutzgesetze oder die Schweizer Datenschutzgesetze geschützt sind, gelten die EU-SCCs, wie sie unter den vorstehenden Unterabsätzen (a) implementiert wurden, mit den folgenden Änderungen:

1. Verweise auf „Verordnung (EU) 2016/679“ sind als Verweise auf britische Datenschutzgesetze oder die Schweizer Datenschutzgesetze (sofern zutreffend) auszulegen;
2. Verweise auf spezifische Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze oder der Schweizer Datenschutzgesetze (falls zutreffend) ersetzt;
3. Verweise auf „EU“, „Union“, „Mitgliedstaat“ und „Mitgliedstaatsrecht“ werden durch Verweise auf „UK“ oder „Schweiz“ oder „UK-Recht“ oder „Schweizer Recht“ (je nach Sachlage) ersetzt;
4. der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen im Vereinigten Königreich oder in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (d. h. im Vereinigten Königreich oder in der Schweiz) geltend zu machen;
5. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet und die „zuständige Aufsichtsbehörde“ ist der britische Informationsbeauftragte oder der Schweizerische Bundesbeauftragte für den Datenschutz (falls zutreffend);
6. Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ werden durch Verweise auf den „Informationsbeauftragten“ und die „Gerichte von England und Wales“ oder den „Datenschutzbeauftragten der Schweiz“ und die „zutreffenden Gerichte der Schweiz“ (falls zutreffend) ersetzt;
7. in Klausel 17 unterliegen die Standardvertragsklauseln den Gesetzen von England und Wales oder der Schweiz (falls zutreffend); und
8. In Bezug auf Übermittlungen, für die britische Datenschutzgesetze gelten, wird Klausel 18 dahingehend geändert, dass „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, von den Gerichten von England und Wales beigelegt werden. Eine betroffene Person kann Gerichtsverfahren gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten eines Landes im Vereinigten Königreich einleiten. Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen“, und in Bezug auf Übermittlungen, für die die Schweizer Datenschutzgesetze gelten, wird in Klausel 18(b) festgelegt, dass Streitigkeiten vor den zuständigen Gerichten der Schweiz beigelegt werden.
9. In Bezug auf Daten, die durch die britische DSGVO geschützt sind, gelten die EU-SCCs wie folgt: (i) gelten, wie sie gemäß den Absätzen (i) bis (viii) oben ausgefüllt wurden; und (ii) gelten als geändert, wie in Teil 2 des britischen Nachtrags angegeben, der als in diesen DPA aufgenommen gilt und einen integralen Bestandteil bildet. Darüber hinaus sind die Tabellen 1 bis 3 in Teil 1 des Nachtrags zum Vereinigten Königreich jeweils mit den in Anhang I und Anhang II dieses DPA dargelegten Informationen auszufüllen, und Tabelle 4 in Teil 1 des Nachtrags zum Vereinigten Königreich gilt als abgeschlossen, indem „keine Partei“ ausgewählt wird.

c. In Bezug auf die Übermittlung personenbezogener Daten, die durch das brasilianische LGPD geschützt sind, entweder direkt oder über eine Weiterübermittlung in ein Land außerhalb Brasiliens, das keiner Angemessenheitsentscheidung des ANPD unterliegt, gelten die brasilianischen SCCs als abgeschlossen und durch diesen Verweis in diesen DPA aufgenommen und wie folgt ausgefüllt :

1. Klausel 2 der brasilianischen SCCs wird durch die in Anhang I dargelegten Informationen erfüllt, der die Datenübertragung beschreibt;
2. I n Klausel 3 der brasilianischen SCCs, Option B gilt, mit Weiterübertragungen, die gemäß Abschnitt 3.5 („Unterauftragsverarbeiter“) dieses DPA zulässig sind. Gegenstand, Art und Dauer der Verarbeitung sind in Anhang I dieses DPA dargelegt;
3. Klausel 4 der brasilianischen SCCs wird durch die in Anhang I dieses DPA dargelegten Informationen erfüllt. Wenn es sich um einen Verantwortlichen G-P handelt, ist er die „bezeichnete Partei“, wie in den brasilianischen SCCs definiert, und für die Zwecke von Klausel 14 (Transparenz), Klausel 15 (Rechte betroffener Personen) und Klausel 16 (Meldung von Vorfällen) der brasilianischen SCCs. Der Kunde bleibt für die Einhaltung von Klausel 14 (Transparenz), Klausel 15 (Rechte betroffener Personen) und Klausel 16 Meldung von Vorfällen) der brasilianischen SCCs für alle personenbezogenen Daten verantwortlich, für die er ansonsten Verantwortlicher sein könnte;
4. In Klausel 9 der brasilianischen Standardvertragsklauseln findet die optionale Andockklausel keine Anwendung; und
5. Abschnitt III (Sicherheitsmaßnahmen) des brasilianischen SCC gilt mit den in Anhang II dieses DPA dargelegten Informationen als abgeschlossen.

 

Anhang I

Beschreibung der Datenverarbeitung

 

Parteien	Datenexporteur: Kundeneinheit, die den Rahmenvertrag unterzeichnet Datenimporteur: G-P Einheit, die den Rahmenvertrag ausfertigt.
Kontaktdaten der Parteien	Kontaktdaten, wie im Rahmenvertrag dargelegt.
Aktivitäten, die für die übertragenen Daten relevant sind	Aktivitäten im Zusammenhang mit den EOR-Dienstleistungen und der Nutzung von GPP, die dem Kunden als Dienstleistung bereitgestellt werden.
Verarbeitungstätigkeiten	Die verarbeiteten/übermittelten personenbezogenen Daten können den folgenden Verarbeitungsaktivitäten unterliegen: jeder Vorgang in Bezug auf personenbezogene Daten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere die Erhebung, Organisation, Speicherung, Speicherung, Verwendung, Abfrage, Konsultation, Archivierung, Übertragung, Sperrung, Löschung oder Vernichtung von Daten, der Betrieb und die Wartung von Systemen, Compliance, rechtliche und Auditfunktionen.
Dauer der Verarbeitung	G-P verarbeitet Kundendaten für die Dauer der Rahmenvereinbarung und auf kontinuierlicher Basis.
Art und Zweck der Verarbeitung	Der Kunde kann Kundendaten an übermitteln G-P, deren Umfang vom Kunden nach eigenem Ermessen festgelegt und kontrolliert wird. Der Zweck der Verarbeitung ist die Erbringung der Dienstleistungen gemäß dem Rahmenvertrag.
Kategorien betroffener Personen	a) Die personenbezogenen Daten, die von den Parteien als unabhängige Verantwortliche in Bezug auf die personenbezogenen Daten von Fachkräften ausgetauscht werden. b) Die Kundendaten, die von G-P als Datenverarbeiter verarbeitet werden, betreffen autorisierte Nutzer des GPP , zu denen Mitarbeiter und/oder Auftragnehmer des Kunden gehören können.
Arten personenbezogener Daten	· Kontaktdaten (wie Telefonnummer und E-Mail-Adresse). · Daten von Mitarbeitern/Auftragnehmern (z. B. Stellenbezeichnung und Name des Unternehmens). · Nutzungsdaten (z. B. Daten über das Gerät des autorisierten Benutzers und wie dieses Gerät mit dem GPP interagiert). · Standortdaten (z. B. Standort, der von der IP-Adresse abgeleitet ist). · Inhaltsdaten (wie z. B. der Inhalt der Dateien des Kunden in Bezug auf die Fachleute und damit verbundene Kommunikationen). · Anmeldeinformationen (wie Passwörter, Passworthinweise und ähnliche Sicherheitsinformationen, die für die Authentifizierung und den Kontozugriff auf die GPP verwendet werden). · Alle personenbezogenen Daten, die von autorisierten Benutzern bereitgestellt werden.
Besondere Datenkategorien (falls zutreffend)	n. z.
Aufbewahrung	Personenbezogene Daten werden mindestens so lange aufbewahrt, wie eine geltende gesetzlich vorgeschriebene Mindestaufbewahrungsfrist, die mit den geltenden Verjährungsfristen übereinstimmt und die guten Geschäftspraktiken erfüllt.
Zuständige Aufsichtsbehörde	Die irische Datenschutzkommission
Übertragungen an Unterauftragsverarbeiter	Bei Übermittlungen an Auftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung gleich wie oben definiert.
G-P Kontaktdaten zum Datenschutz	privacy@G-P.com Attn: Global Privacy Office.

 

 

Anhang II

Technische und organisatorische Maßnahmen

 

G-P wurde von unabhängigen Prüfern zertifiziert und bescheinigt, um die Einhaltung der Normen SOC 2 und ISO 27001 zu bestätigen. Solche Zertifizierungen zeigen unser Engagement für die Sicherung von Kundendaten. G-PDas Sicherheitsprogramm von wurde entwickelt, um:

• die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten, die sich im Besitz G-Pvon befinden oder auf die Zugriff G-P hat, zu schützen;
• Schutz vor erwarteten Bedrohungen oder Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten;
• Schutz vor unbefugtem oder unrechtmäßigem Zugriff, Verwendung, Offenlegung, Änderung oder Vernichtung von Kundendaten;
• Schutz vor versehentlichem Verlust, versehentlicher Zerstörung oder Beschädigung von Kundendaten; und
• Schützen Sie Informationen, wie in den Vorschriften dargelegt, durch die G-P reguliert werden kann.

 

Im Folgenden werden die Funktionen, Prozesse, Kontrollen, Systeme, Verfahren und Maßnahmen beschrieben, die ergriffen G-P wurden, um die Sicherheit der Verarbeitung von Kundendaten zu gewährleisten:

1) TECHNISCHE MAßNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES 

1. Privacy by Design und Default: G-P berücksichtigt die Anforderungen von Artikel 25 DSGVO in der Konzeption und Entwicklungsphase der Produktentwicklung. Prozesse und Funktionalitäten sind so eingerichtet, dass die Datenschutzgrundsätze wie Legalität, Transparenz, Zweckbindung, Datenminimierung etc. sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.

2. Verschlüsselung personenbezogener Daten: Sicherstellung, dass personenbezogene Daten nur so im System gespeichert werden, dass Dritte die betroffene Person nicht identifizieren können.

   1. Datenbank- und Speicherverschlüsselung: Bei allen Datenbanken, die nach dem Stand der Technik von G-P einer Verschlüsselung „at rest“ verwendet werden, wird verwendet, damit die Daten aus der Datenbank erst nach ordnungsgemäßer Authentifizierung auf dem jeweiligen Datenbanksystem gelesen werden können.

   2. Verschlüsselung mobiler Datenträger: Die Verwendung mobiler Datenträger zur Speicherung von Kundendaten ist nicht zulässig.

   3. Verschlüsselung von Datenträgern auf Laptops: Angemessene, hochmoderne Festplattenverschlüsselung ist auf den Laptops aller Mitarbeiter installiert.

   4. Verschlüsselter Austausch von Informationen und Dateien: Grundsätzlich wird der Austausch von Informationen und Dateien direkt über eine spezielle Anwendung verschlüsselt. Müssen personenbezogene Daten oder vertrauliche Informationen auf Server übertragen werden, die nicht über TLS-verschlüsselte HTTPS-Uploads gesendet werden können, werden diese mittels Secure File Transfer Protocol (SFTP), verschlüsseltem Umschlagdienst oder einem anderen verschlüsselten Mechanismus nach dem Stand der Technik übertragen.

   5. E-Mail-Verschlüsselung: Grundsätzlich G-P werden alle von Mitarbeitern von gesendeten E-Mails mit TLS verschlüsselt. Ausnahmen können sein, wenn der empfangende Mailserver TLS nicht unterstützt. Der Kunde stellt sicher, dass die im Rahmen der Bestellung eingesetzten entsprechenden Mailserver die TLS-Verschlüsselung unterstützen.

3. Zulassungskontrolle: Zulassungskontrollen sind vorgesehen und werden eingerichtet, um die Nutzung und Verarbeitung von Daten zu verhindern, die durch Datenschutzgesetze durch unbefugte Personen geschützt sind.

   1. Verwendung von Authentifizierungsmethoden: Der Zugriff auf personenbezogene Daten erfolgt immer über verschlüsselte Protokolle: SSH, SSL/TLS, HTTPS oder vergleichbare Protokolle. Authentifizierungsverfahren für das IT-System: Anmeldung bei der Multifaktor-Authentifizierung im IT-System.

   2. Automatische Sperrung bei Inaktivität: Laptops, die von G-P Mitarbeitern verwendet werden, die mit einem Passwort oder PIN-Schutz gesperrt sind, wenn sie nicht vom Benutzer verwendet werden. Zusätzlich wird nach 15 Minuten Inaktivität eine automatische Bildschirmsperre mit Passwortschutz eingerichtet.

   3. Verwendung von Antivirensoftware: Laptops, die von G-P Mitarbeitern verwendet werden, sind mit modernster Antivirensoftware ausgestattet, die auf allen betrieblichen oder geschäftlichen IT-Systemen auf dem neuesten Stand gehalten wird. Grundsätzlich dürfen keine Computer ohne residenten Virenschutz betrieben werden, es sei denn, es wurden andere gleichwertige, hochmoderne Sicherheitsmaßnahmen ergriffen oder es besteht kein Risiko. Standard-Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.

   4. „Clean Desk Policy“: Mitarbeiter von G-P werden angewiesen, keine personenbezogenen Daten von betroffenen Personen auszudrucken oder lokal zu speichern, keine Arbeitsmaterialien an einem Ort zu hinterlassen, an dem sie von Dritten eingesehen werden können, und alle Arbeitsmaterialien ordnungsgemäß zu speichern. Dokumente, die gesetzlich in Papierform aufbewahrt werden G-P müssen, werden in verschlossenen Schränken aufbewahrt.

4. Zugriffskontrollen innerhalb der Plattform: Zugriffskontrollen stellen sicher, dass Personen, die zur Nutzung eines Verarbeitungssystems berechtigt sind, nur Zugriff auf die personenbezogenen Daten haben, die von ihrer Zugriffsberechtigung abgedeckt sind.

   1. Rollen und Autorisierung

      1. Rollen- und Autorisierungsplattform – Kundenzugriff: Kundenbenutzer können Kundenkontoinformationen anzeigen und bearbeiten.

      2. Rollen- und Autorisierungsplattform – Professioneller Zugriff: Professionelle Benutzer können ihre eigenen beruflichen Informationen anzeigen und bearbeiten. Fachleute können auch die Rolle des Kundenzugangs nach Anforderung + Genehmigung erlangen

      3. Rollen- und Autorisierungsplattform – Interner Zugriff: Interne Zugriffsbenutzer haben verschiedene Rollen. Sie haben unterschiedlichen Zugriff, um Folgendes zu erstellen, anzuzeigen, zu bearbeiten und zu genehmigen:

         • Kundeninformationen

         • Informationen zur Abrechnung

         • Informationen zum Partner

         • Professionelles Personal zeichnet Informationen auf

      4. Der Zugriff auf das Admin-System ist grundsätzlich auf geschulte Mitarbeiter in den Bereichen Kundenbetreuung und Produktentwicklung beschränkt.

5. Firewall as a Service: G-P verwendet eine externe Firewall als Service, der es ihm ermöglicht, den Zugriff auf Websites zu gewähren oder zu blockieren, um sicherzustellen, dass Systeme nicht auf bösartige Inhalte zugreifen können und um den Zugriff auf unangemessene Inhalte einzuschränken.

6. Aufzeichnung der Anmeldung auf der Plattform: G-P führt eine Aufzeichnung aller Anmeldeaktivitäten.

7. Trennbarkeit: Sicherstellung, dass personenbezogene Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden können und von anderen Daten und Systemen so getrennt werden, dass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen ist.

   1. Trennung von Entwicklungs-, Test- und Betriebsumgebungen: Daten aus der Betriebsumgebung dürfen nur in Test- oder Entwicklungsumgebungen übertragen werden, wenn sie vor der Übertragung vollständig anonymisiert wurden. Die Übertragung der anonymisierten Daten muss verschlüsselt oder über ein vertrauenswürdiges Netzwerk erfolgen. In die Betriebsumgebung zu übertragende Software muss zunächst in einer identischen Testumgebung getestet werden („Staging“). Programme zur Fehleranalyse oder zur Erstellung/Zusammenstellung von Software dürfen in der Betriebsumgebung nur verwendet werden, wenn dies nicht vermieden werden kann. Dies ist insbesondere dann der Fall, wenn Fehlersituationen von Daten abhängen, die aufgrund der Anforderungen an die Anonymisierung bei der Übertragung in Testumgebungen gefälscht werden würden.

   2. Trennung in Netzwerken: G-P trennt seine Netzwerke nach Aufgaben. Die folgenden Netzwerke werden dauerhaft genutzt: Betriebsumgebung („Produktion“), Testumgebung („Staging“, „Sandbox“), Entwicklungsumgebung („Dev“) IT-Personal im Büro. Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z.B. für Wiederherstellungstests und Penetrationstests. Abhängig von den technischen Möglichkeiten werden die Netzwerke entweder physisch oder mittels virtueller Netzwerke getrennt.

8. Verfügbarkeitskontrolle : G-P Ergreift die folgenden Schritte, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Vernichtung oder Verlust geschützt sind.

   1. Datenschutzverfahren/-sicherung: Um eine angemessene Verfügbarkeit zu gewährleisten, werden tägliche Snapshots seiner Datenbank mit Replikation in eine andere Region G-P implementiert. Es werden auch Maßnahmen ergriffen, um sicherzustellen, dass Mitarbeitern mit aufgabenbasierter Notwendigkeit, Daten zu überprüfen, nur Zugriff auf Replikat-Datensätze gewährt wird.

   2. Georedundanz hinsichtlich Serverinfrastruktur produktiver Daten und Backups

   3. IT Incident Management („Incident Response Management“): Es gibt ein Konzept und dokumentierte Verfahren für den Umgang mit Vorfällen und sicherheitsrelevanten Ereignissen. Dies umfasst die Planung und Vorbereitung der Reaktion auf Vorfälle, Verfahren zur Überwachung, Aufdeckung und Analyse sicherheitsrelevanter Ereignisse sowie die Definition entsprechender Verantwortlichkeiten und Meldewege bei einem Verstoß gegen den Schutz personenbezogener Daten im Rahmen der gesetzlichen Anforderungen.

2) ORGANISATORISCHE MAßNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES

G-P hat die folgenden organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass die Organisation auf eine Weise arbeitet, die den Datenschutz- und Schutzanforderungen entspricht.

1. Organisationsanweisungen: G-P hat ein Data-Governance-Programm entwickelt, das Richtlinien, Verfahren und Leitfäden enthält, die Mitarbeiter befolgen müssen. Die Dokumentation umfasst die Identifizierung und Verwaltung von Datenschutzproblemen, bewährte Verfahren zur Gewährleistung der Einhaltung der Datenschutzbestimmungen und Richtlinien zur Behebung von Datenschutzvorfällen.
2. Verpflichtung zur Vertraulichkeit und zum Datenschutz: G-P hat ein Data-Governance-Programm entwickelt und entwickelt es, einschließlich Richtlinien, Verfahren und Leitlinien, die Mitarbeiter befolgen müssen. Alle Mitarbeiter und Auftragnehmer sind schriftlich zur Vertraulichkeit und zum Datenschutz sowie zu anderen relevanten Gesetzen verpflichtet. Alle Mitarbeiter erhalten Datenschutz- und Sicherheitsschulungen. Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Audits werden auf der Grundlage gängiger Prüfkriterien/-chemikalien durchgeführt. Die Mitarbeiter und Auftragnehmer von G-P werden angewiesen, personenbezogene Daten nur aus rechtmäßigen Gründen gemäß den geltenden Verträgen mit dem Kunden und der Fachkraft zu verarbeiten, unter Berücksichtigung einer ausdrücklichen Einwilligung, die von der betroffenen Person erteilt oder verweigert wird, und im Einklang mit jeder rechtmäßigen Pflicht der Organisation.
3. Datenschutzschulung: Alle Mitarbeiter erhalten eine Datenschutz- und Sicherheitsschulung, die jederzeit auf der G-P Schulungsplattform zur Überprüfung verfügbar bleibt.
4. Physische Zugangskontrollen: G-P verfügt über die folgenden physischen Kontrollen, um unbefugten Personen den Zugriff auf IT-Systemausrüstung zu verweigern, die für die Verarbeitung verwendet wird.
   1. Elektronischer Türschutz: Die Eingangstüren zu den Büroräumen G-P sind immer verschlossen und elektronisch gesichert. Die Türen werden über einen persönlichen elektronischen Transponder geöffnet.
   2. Kontrollierte Schlüsselverteilung: Eine zentrale, dokumentierte Schlüsselvergabe an die Mitarbeiter von G-P erfolgt. Diese elektronischen Transponder/Schlüssel könnten zentral von jedem Büroleiter oder der Abteilung People Resources deaktiviert werden.
   3. Betreuung und Begleitung externer Personen: Externen Dienstleistern und sonstigen Dritten darf der Zutritt zu den Räumlichkeiten nur durch vorherige Genehmigung oder in Begleitung eines Mitarbeiters von gewährt werden G-P. G-P wendet seine schriftliche Besucherrichtlinie an, wenn Besucher zu den Räumlichkeiten eingeladen werden.
   4. Sicherung von Räumlichkeiten mit erhöhtem Schutzbedarf: Räumlichkeiten oder Schränke mit erhöhtem Schutzbedarf, wie z. B. Anwaltskanzleien und bestimmte Betriebsstandorte, sind mit Schließschränken und Schubladen ausgestattet. Schränke und Schubladen, in denen rechtliche Dokumente, Verträge und vertrauliche Dokumente aufbewahrt werden, müssen jederzeit verschlossen werden, außer wenn sie verwendet werden.
   5. Geschlossene Türen und Fenster: Mitarbeiter werden organisatorisch angewiesen, Fenster und Türen außerhalb der Bürozeiten geschlossen oder verschlossen zu halten.
5. Wiederherstellbarkeit: G-P stellt sicher, dass die verwendeten Systeme im Falle eines physischen oder technischen Ausfalls wiederhergestellt werden können.

   1. Regelmäßige Tests der Datenwiederherstellung („Restore-Tests“): Regelmäßige vollständige Wiederherstellungstests werden durchgeführt, um die Wiederherstellbarkeit im Notfall/Katastrophenfall sicherzustellen.

   2. Notfallplan („Disaster Recovery Concept“): Es gibt ein Konzept zur Behandlung von Notfällen/Katastrophen und einen entsprechenden Notfallplan. G-P stellt die Wiederherstellung aller Systeme auf Basis der Datensicherungen / Backups sicher, in der Regel innerhalb von 48 Stunden.

   3. Überprüfungs- und Bewertungsmaßnahmen: Darstellung der Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

6. Datenschutzteam: Die Organisation verfügt über ein Global Data Privacy Office, das mit der Planung, Implementierung, Bewertung und Anpassung von Maßnahmen im Bereich Datenschutz beauftragt ist.

7. Risikomanagement: Es gibt einen Prozess zur Analyse, Bewertung und Zuweisung von Risiken und zur Ableitung von Maßnahmen auf der Grundlage dieser Risiken.

3) UNABHÄNGIGE PRÜFUNG DER INFORMATIONSSICHERHEIT

1. Durchführung von Audits: Es werden regelmäßig interne Audits zum Datenschutz und zur Informationssicherheit durchgeführt. Audits werden auf der Grundlage gängiger Prüfkriterien/-chemikalien durchgeführt.
2. Überprüfung der Einhaltung von Sicherheitsrichtlinien und -standards: Die Einhaltung der geltenden Sicherheitsrichtlinien, -standards und anderer Sicherheitsanforderungen für die Verarbeitung personenbezogener Daten wird regelmäßig überprüft. Wenn möglich, werden diese Prüfungen zufällig und unerwartet durchgeführt.
3. Überprüfung der Einhaltung technischer Spezifikationen: Regelmäßige automatisierte und manuelle Schwachstellenscans werden von der IT-Abteilung oder anderen qualifizierten Mitarbeitern durchgeführt, um die Sicherheit der Anwendungen und Infrastruktur sowie die regelmäßige Entwicklung des Produkts zu überprüfen. Detaillierte Penetrationstests werden von einem externen Dienstleister durchgeführt, um die Anwendungen und die Infrastruktur speziell auf Schwachstellen zu untersuchen.
4. Verarbeitung auf Anweisung: Die Mitarbeiter von G-P werden angewiesen, personenbezogene Daten nur aus rechtmäßigen Gründen gemäß den geltenden Verträgen mit dem Kunden und der Fachkraft zu verarbeiten, unter Berücksichtigung einer ausdrücklichen Einwilligung, die von der betroffenen Person erteilt oder verweigert wird, und im Einklang mit jeder rechtmäßigen Pflicht der Organisation.
5. Sorgfältige Lieferantenauswahl: G-P hält sich bei der Auswahl von Anbietern und Lieferanten, die auf geschützte Daten treffen, an den Vorqualifizierungsprozess für Lieferanten. Dieser Prozess umfasst Feedback von den Abteilungen Finanzen und Recht/Datenschutz und umfasst Schritte zur Risikobewertung, Sicherheitsvorqualifizierung und Dokumentationszertifizierung. Lieferanten, die geschützte Daten verarbeiten, müssen nachweisen, dass sie die geltenden Datenschutzgesetze einhalten, einschließlich der Artikel-28DSGVO für abgedeckte Daten.

 

Anhang III 

Liste der Unterauftragsverarbeiter

 

Unterauftragsverarbeiter	Standort- und Kontaktinformationen	Beschreibung der Verarbeitung
G-P Tochtergesellschaften	https://www.globalization- partners.com/contact-us/	Bereitstellung der Plattform und des Kundenbeziehungsmanagements
Akumatika	3933 Lake Washington Blvd NE #350, Kirkland, WA98033, USA	Finanzdienstleistungen
Amazon  WebService	Postfach 81226 Seattle, WA 98108-1226, USA	Hosting – Anbieter von Cloud-Services
Microsoft	Microsoft Corporation One Microsoft Way Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.	Business Process Support für Kommunikation (E-Mail) und Servicemanagement
Atlassisch	350 Bush Street Etage 13 San Francisco, CA 94104, USA +1 415 701 1110	Business Process Support für das Service Management
DocuSign	DocuSign International (EMEA) Ltd, Achtung: Privacy Team, 5 Hanover Quay, Ground Floor, Dublin2, Republik Irland	Dokumentenverwaltung
Salesforce.com	Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA 1-800-387-3285	Business Process Support für Customer Relationship Management (CRM)
Zendesk	989 Markt St San Francisco, CA 94103, USA zendesk.com 888-670-4887	Helpdesk-Anfragen für Kundensupport
Workday	6110 Stoneridge Mall Road Pleasanton, CA 94588, USA	Business Process Support für die Verwaltung von Gehaltsabrechnungs-, Sozialleistungs-, HR- und Mitarbeiterdaten.
Jetzt warten	2225 Lawson Lane Santa Clara, CA, 95054 USA	Business Process Support für IT-Service- und Betriebsmanagement, Mitarbeiter- und Kundenerfahrungen durch (automatisierter cloudbasierter Workflow)
Datenbricks	160 Spear Street, 15th Floor San Francisco, CA 94105 1-866-330-0121 USA	Cloud-Data-Warehouse-Infrastruktur.
Datadog	620 8th Ave 45th Etage New York, NY 10018 USA	Service-Überwachungs- und Debugging-Tool
Weisheit	Avenue Louise 54, Zimmer s52, 1050 Brüssel Belgien	Online-Zahlungsabwickler
Google	1600 Amphitheater Pkwy, Bergblick, CA 94043	Business Process Support für Kommunikation (E-Mail) und interne Dokumentenspeicherung