G-P Logo​​ 
Angebot anfordern​​ 

Datenschutzbestimmungen der MSA​​ 

Letzte Aktualisierung: Juni 26, 2026​​ 

NACHTRAG ZUM DATENSCHUTZ​​ 

Kunde und G-P sind Vertragsparteien eines Rahmenvertrags oder einer Vereinbarung mit ähnlicher Art und ähnlichem Zweck (nachfolgend „Rahmenvertrag“). Diese Datenschutzvereinbarung ergänzt die Bestimmungen und Bedingungen des Rahmenvertrags und ist Bestandteil desselben. Im Falle eines Widerspruchs zwischen dieser Datenschutzvereinbarung und einer anderen Vereinbarung zwischen den Parteien zu den hierin dargelegten Fragen hat diese Datenschutzvereinbarung Vorrang. Wenn der Kunde bereits eine gültige, abgeschlossene Datenschutzvereinbarung mit G-P hat, dann hat diese Vereinbarung Vorrang vor dieser Datenverarbeitungsvereinbarung, und diese Datenverarbeitungsvereinbarung ist unwirksam, es sei denn, der Kunde und G-P vereinbaren schriftlich etwas anderes.​​ 
 

1. DEFINITIONEN​​  

Begriffe, die hier nicht definiert sind, haben die im Rahmenvertrag festgelegten Bedeutungen. Die folgenden Wörter in dieser DPA haben die folgenden Bedeutungen:​​ 
1.1 "​​ Autorisierter Nutzer​​ „“ bezeichnet eine vom Kunden autorisierte Person, die entweder ein Mitarbeiter und/oder ein Auftragnehmer des Kunden sein kann, um im Namen des Kunden auf das GPP zuzugreifen und es zu nutzen, gemäß der Ausführung des Rahmenvertrags.​​ 
1.2 "​​ Kundendaten​​ „personenbezogene Daten“ bezeichnet alle personenbezogenen Daten, die sich auf einen autorisierten Benutzer oder eine identifizierbare natürliche Person beziehen und die von G-P im Auftrag des Kunden im Zusammenhang mit den Diensten für die Nutzung des GPP durch den Kunden übermittelt, verarbeitet oder gespeichert werden.​​ 
1.3 "​​ Datenschutz-​​  Gesetze​​ " bezeichnet alle Datenschutz- und Datenschutzgesetze, denen eine Vertragspartei dieses Vertrags unterliegt und die auf die erbrachten Dienstleistungen gelten, einschließlich, wo zutreffend, aber nicht beschränkt auf, Datenschutz-Grundverordnung, UK Datenschutz-Grundverordnung, Schweizer Datenschutzgesetze, US-Datenschutzgesetze (einschließlich Landes- und Bundesgesetze) und Brasilien LGPD.​​ 
1.4 "​​ Employer of Record​​ " bedeutet Employer of Record.​​ 
1.5 "​​ Datenschutz-Grundverordnung​​ “ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679.​​ 
1.6 "​​ GPP​​ " bedeutet die proprietäre Software von G-P, einschließlich ohne Einschränkung der Software, der mobilen Version, jeglicher darin enthaltenen Software und allen Daten, die entweder durch die proprietäre Software von G-P oder die Drittanbieterdienste bereitgestellt werden, einschließlich deren Updates, Upgrades, Platform as a Service und Dokumentation.​​ 
1.7 "​​ EEA​​ „“ bedeutet Europäischer Wirtschaftsraum.​​ 
1.8 "​​ LGPD​​ „“ bezeichnet das brasilianische Gesetz Nr. 13.709, das Allgemeine Gesetz zum Schutz personenbezogener Daten, in seiner jeweils gültigen Fassung.​​ 
1.9 "​​ Datenschutzrichtlinie​​ „Datenschutzrichtlinie von G-P “ bezeichnet die jeweils aktuelle Datenschutzrichtlinie, abrufbar unter​​   
1.10 "​​ Daten von Fachleuten​​ " bezeichnet personenbezogene Daten von Fachleuten, die von G-P im Rahmen der Erbringung von Employer of Record-Dienstleistungen für Kunden verarbeitet werden.​​ 
1.11 "​​ Eingeschränkter Transfer"​​  bedeutet jede Übertragung personenbezogener Daten in ein Land außerhalb des EWR, das Vereinigte Königreich, die Schweiz oder Brasilien, die nicht einer Angemessenheitsentscheidung nach den geltenden Datenschutzgesetzen unterliegt und daher entsprechende Schutzmaßnahmen gemäß den geltenden Datenschutzgesetzen erfordert.​​ 
1.12 "​​ Dienstleistungen“​​  bedeuten​​  die Dienstleistungen​​  Die Leistungen werden von G-P dem Kunden im Rahmen des Rahmenvertrags erbracht und können die Bereitstellung von Employer-of-Record-Diensten sowie den Zugang und die Nutzung von GPP umfassen.​​ 
1.13 "​​ Standardvertragsklauselen"​​  oder​​  "SCCs"​​  bedeutet (i) sofern die Datenschutz-Grundverordnung Anwendung findet, die dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4 Juni 2021 beigefügten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, abrufbar unter​​   ("EU SCCs"); (ii) wo die UK Datenschutz-Grundverordnung anwendbar ist, die geltenden Standard-Datenschutzklauseln gemäß Artikel 46(2)(c) angenommen wurden, oder (d), wenn die UK Datenschutz-Grundverordnung das International Data Transfer Addendum ("UK Addendum") zu den EU-Standardvertragsklauseln meint, die vom Information Commissioner's Office gemäß §119A(1) des Datenschutzgesetzes 2018erlassen wurden, als solcher kann der britische Zusatz gemäß Abschnitt 18 darin ("UK SCCs") überarbeitet werden; (iii) wo die Schweizer Datenschutzgesetze gelten, die geltenden standardisierten Datenschutzklauseln, die von der Eidgenössischen Datenschutzbehörde und dem Informationskommissar (die "Schweizer Sozialversicherungen") herausgegeben, genehmigt oder anerkannt werden; Wo das brasilianische LGPD anwendbar ist, gelten die geltenden standardisierten Vertragsklauseln, die der Resolution CD/ANPD Nr. 19/2024 von der brasilianischen Nationalen Datenschutzbehörde ("ANPD") erlassen, wie sie von Zeit zu Zeit geändert werden können ("Brazil SCCs").​​ 
1.14 "​​ Schweizer Datenschutzgesetze​​ " oder​​  "FADP"​​  bedeutet (i) Bundesgesetz über den Datenschutz in der Schweiz („​​ FDPA​​ ”); (ii) Die Verordnung zum Bundesgesetz zum Datenschutz ("​​ FODP​​ “); und (iii) alle nationalen Datenschutzgesetze, die aufgrund, gemäß, anstelle oder als Nachfolger der vorstehenden Gesetze erlassen wurden, sowie alle Gesetze, die die vorstehenden Gesetze ersetzen oder aktualisieren.​​ 
1.15 "​​ Zusatz zum Vereinigten Königreich​​ „“ bezeichnet den vom britischen Informationsbeauftragten herausgegebenen Zusatz des Vereinigten Königreichs zu den EU-Standardvertragsklauseln international Datentransfers.​​ 
1.16 "​​ Britische Datenschutzgesetze​​  bezeichnet die Datenschutz-Grundverordnung in der Fassung, die durch Abschnitt 3 des britischen Gesetzes über den Austritt aus der Europäischen Union 2019 („UK Datenschutz-Grundverordnung“) und des Data Protection Act 2018 (zusammen „UK Data Protection Laws“) in britisches Recht übernommen wurde.​​ 
1.17 "​​ US-Datenschutzgesetze​​ " bedeutet geltende Gesetze, Anordnungen, Vorschriften und regulatorische Leitlinien der Vereinigten Staaten (US) im Zusammenhang mit der Verarbeitung personenbezogener Daten, einschließlich ohne Einschränkung: (a) des CCPA; (b) Virginias Verbraucherdatenschutzgesetz; (c) das Colorado Privacy Act; (d) Connecticuts Gesetz zum Datenschutz und zur Online-Überwachung; (e) dem Utah Consumer Privacy Act; und (f) alle ähnlichen Landesgesetze.​​ 
1.18 "​​ Verantwortlicher, betroffene Person, personenbezogene Daten, persönliche Informationen, Datenschutzverletzung, Auftragsverarbeiter, Verarbeitung, eingeschränkte Übermittlung, Dienstleister​​  und/oder alle anderen ähnlichen Begriffe und Konzepte haben die in den Datenschutzgesetzen definierte Bedeutung.​​ 
 
 

2. UNABHÄNGIGER STEUERER – STEUERER-BEZIEHUNG​​  

2.1​​  Rollen der Parteien.​​  Wenn G-P dem Kunden Employer of Record-Dienstleistungen erbringt, übernimmt G-P die Rolle des rechtlichen Arbeitgebers für alle vom Kunden ausgewählten Personen ("Fachmannen)") zur Einstellung. Bezüglich der persönlichen Daten solcher Fachleute ist G-P während des Arbeitsverhältnisses ein unabhängiger Verantwortlicher. Bezüglich der persönlichen Daten von Professional, die vom Kunden für eigene Zwecke gesammelt und verwendet werden, ist der Kunde zudem ein unabhängiger Verantwortlicher mit unabhängigen Datenschutzpflichten. Bei der Erbringung der Employer of Record-Dienstleistungen erfolgt der Austausch personenbezogener Daten von Fachleuten zwischen G-P und dem Kunden im Rahmen einer unabhängigen Beziehung zwischen Verantwortlichen, und die Bestimmungen dieses Abschnitts 2 ("Unabhängiger Verantwortlicher-Verantwortlicher-Beziehung") gelten. In keinem Fall werden die Parteien personenbezogene Daten gemäß diesem DPA als gemeinsame Verantwortliche verarbeiten.​​ 
2.2​​  Verantwortlichkeiten und Danksagungen​​ Die Parteien in ihrer Eigenschaft als Verantwortliche sind verpflichtet:​​ 
2.2.1 Einhaltung der geltenden Datenschutzgesetze im Zusammenhang mit der Verarbeitung personenbezogener Daten von Fachleuten.​​ 
2.2.2 Die personenbezogenen Daten der Fachkräfte werden fair und rechtmäßig verarbeitet und weitergegeben, um (gegebenenfalls) die Leistungen des Arbeitgebers im Rahmen seiner berechtigten Interessen zu erbringen oder in Anspruch zu nehmen.​​ 
2.2.3 Stellen Sie sicher, dass ein rechtmäßiger Verarbeitungsgrund für jede Weitergabe von Fachdaten zwischen den Parteien gilt.​​ 
2.2.4 Sich gegenseitig bei der Einhaltung ihrer jeweiligen Verpflichtungen gemäß Datenschutzgesetzen zu unterstützen, einschließlich, aber nicht beschränkt auf, gegenseitige Unterstützung bei einer Datenpanne sowie die Reaktion auf Anfragen von Betroffenen und/oder Regulierungsbehörden.​​  
 

3. BEZIEHUNG ZWISCHEN STEUERUNG UND PROZESSOR​​ 

3.1​​  Aufgaben der Parteien​​ . G-P bietet außerdem verschiedene Software-as-a-Service-Produkte über GPP an, durch die G-P es dem Kunden ermöglicht, die Beziehung zu diesen Fachleuten zu verwalten. Wenn G-P dem Kunden Zugang zu GPP gewährt, ist G-P der Bearbeiter für die kontobezogenen personenbezogenen Daten, die von den vom Kunden ernannten autorisierten Nutzer der GPP hochgeladen werden, und der Kunde ist der Verantwortliche für diese Daten; die Bestimmungen dieses Abschnitts 3 ("Beziehung zwischen Verantwortlichem und Bearbeiter") gelten.​​ 
3.2​​  Anweisungen.​​  G-P verarbeitet Kundendaten gemäß den dokumentierten Anweisungen des Kunden.  Der Kunde erklärt sich damit einverstanden, dass diese Datenverarbeitungsvereinbarung, der Rahmenvertrag und der beigefügte Anhang I die vollständigen Anweisungen des Kunden an G-P hinsichtlich der Verarbeitung von Kundendaten darstellen.  Zusätzliche oder abweichende Anweisungen müssen zwischen den Parteien schriftlich vereinbart werden, einschließlich der gegebenenfalls anfallenden Kosten für die Befolgung solcher Anweisungen.  Der Kunde stellt sicher, dass seine Anweisungen den geltenden Datenschutzgesetzen entsprechen. Der Kunde erkennt an, dass G-P nicht dafür verantwortlich ist, festzustellen, welche Gesetze für das Geschäft des Kunden gelten. Der Kunde stellt sicher, dass die Verarbeitung der Kundendaten durch G-P, sofern sie in Übereinstimmung mit den Anweisungen des Kunden erfolgt, nicht dazu führt, dass G-P gegen geltendes Recht, einschließlich geltender Datenschutzgesetze, verstößt. Wenn G-P jedoch der Ansicht ist, dass eine Kundenanweisung gegen geltende Datenschutzgesetze verstößt, wird G-P den Kunden so bald wie möglich darüber informieren und ist nicht verpflichtet, dieser verstoßenden Anweisung Folge zu leisten.​​  
3.3​​  Details zur Verarbeitung​​ Einzelheiten zum Gegenstand der Verarbeitung, ihrer Dauer, Art und ihrem Zweck sowie zur Art der Kundendaten und der betroffenen Personen sind in Anhang I dieser Vereinbarung aufgeführt.​​   
3.4​​  Compliance.​​  Kunde und G-P verpflichten sich, ihre jeweiligen Verpflichtungen gemäß den für die Verarbeitung der Kundendaten geltenden Datenschutzgesetzen gemäß Anhang I einzuhalten. Der Kunde trägt die alleinige Verantwortung dafür, die Einhaltung der Datenschutzgesetze hinsichtlich der Rechtmäßigkeit der Verarbeitung der Kundendaten vor der Offenlegung, Übermittlung oder anderweitigen Bereitstellung der Kundendaten an G-P sicherzustellen.  Um Missverständnisse auszuschließen, wird darauf hingewiesen, dass der Kunde in allen Fällen, sofern erforderlich, die Einwilligung der betroffenen Personen zur Verarbeitung der Kundendaten durch G-P gemäß den Anweisungen des Kunden einholt.​​ 
3.5​​  Subprozessoren​​ Der Kunde ermächtigt G-P Auftragsverarbeiter („Unterauftragsverarbeiter“) mit der Verarbeitung der Kundendaten im Zusammenhang mit den Dienstleistungen zu beauftragen und einzusetzen.  Zu den Unterauftragnehmern können Dritte oder jedes Mitglied der G-P -Unternehmensgruppe gehören. G-P kann die Unterauftragnehmer, die G-P zum Zeitpunkt dieser Auftragsverarbeitungsvereinbarung bereits beauftragt hat, weiterhin einsetzen. Eine Liste dieser Unterauftragnehmer ist in Anhang III enthalten, der diesem Dokument beigefügt ist. Kommt ein Unterauftragnehmer seinen oben genannten datenschutzrechtlichen Verpflichtungen nicht nach, so haftet G-P gegenüber dem Kunden für die Erfüllung der Verpflichtungen des Unterauftragnehmers. G-P wird den Kunden über GPP über jegliche Änderungen in seiner Liste der Unterauftragnehmer informieren. Wenn der Kunde innerhalb von 10 (zehn) Tagen nach Erhalt dieser Mitteilung berechtigterweise aus datenschutzrechtlichen Gründen gegen die Hinzufügung oder Entfernung eines Unterauftragnehmers Einspruch erhebt und G-P diesem Einspruch nicht in angemessener Weise nachkommen kann, werden die Parteien die Bedenken des Kunden in gutem Glauben erörtern, um die Angelegenheit beizulegen.​​ 
3.6​​  Technische und organisatorische Sicherheitsmaßnahmen​​ . Unter Berücksichtigung der Industriestandards, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie aller weiteren relevanten Umstände im Zusammenhang mit der Verarbeitung der Kundendaten wird G-P geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen, um die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der an der Verarbeitung der Kundendaten beteiligten Verarbeitungssysteme und -dienstleistungen sicherzustellen, die dem Risiko in Bezug auf solche Kundendaten, wie sie im angehängten Anhang II aufgeführt sind.  G-P wird periodisch (i) die Wirksamkeit seiner Schutzmaßnahmen, Kontrollen, Systeme und Verfahren testen und überwachen und (ii) vernünftigerweise vorhersehbare interne und externe Risiken für die Sicherheit, Vertraulichkeit und Integrität der Kundendaten identifizieren und sicherstellen, dass diese Risiken angegangen werden.​​  
3.7​​  Vertraulichkeit​​ G-P stellt sicher, dass Personen, die zum Zugriff auf die Kundendaten berechtigt sind, (i) sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitsverpflichtung unterliegen und (ii) nur auf dokumentierte Anweisung von G-P auf die Kundendaten zugreifen, es sei denn, dies ist nach geltendem Recht erforderlich.​​ 
3.8​​  Verletzung des Schutzes personenbezogener Daten.​​  G-P wird den Kunden ohne unnötige Verzögerung benachrichtigen, sobald er von einer Datenpanne im Zusammenhang mit der Verarbeitung von Kundendaten erfahren hat, und wird angemessene Anstrengungen unternehmen, um dem Kunden zu helfen, soweit möglich, die negativen Auswirkungen eines Datenlecks zu mildern​​ Die​​ 
3.9​​  Löschung personenbezogener Daten.​​   Bei Beendigung der Dienstleistungen (aus welchem Grund auch immer) wird G-P die im GPP gespeicherten Kundendaten so bald wie möglich zurückgeben oder löschen, es sei denn, geltendes Recht schreibt eine längere Speicherung der Kundendaten vor. Für eine solche Aufbewahrung gelten die Bestimmungen dieser Datenverarbeitungsvereinbarung weiterhin für diese Kundendaten.​​ 
3.10​​  Anfragen betroffener Personen​​ .  G-P informiert den Kunden umgehend über Anfragen von Betroffenen bezüglich Kundendaten. Der Kunde ist dafür verantwortlich, auf solche Anfragen zu reagieren. G-P wird dem Kunden angemessen helfen, auf solche Anfragen der Datenperson zu reagieren, soweit der Kunde bei der Nutzung des GPP nicht auf die relevanten Kundendaten zugreifen kann.​​  
3.11​​  Anfragen Dritter​​ Sollte G-P Anfragen von Dritten oder eine Anordnung eines Gerichts, Tribunals, einer Aufsichtsbehörde oder einer Regierungsbehörde mit zuständiger Gerichtsbarkeit erhalten, der G-P unterliegt und die sich auf die Verarbeitung von Kundendaten im Rahmen dieser Vereinbarung bezieht, wird G-P die Anfrage unverzüglich an den Kunden weiterleiten. G-P wird auf solche Anfragen ohne vorherige Genehmigung des Kunden nicht reagieren, es sei denn, GP ist gesetzlich dazu verpflichtet. G-P wird, sofern dies nicht gesetzlich untersagt ist, den Kunden im Voraus über jede Weitergabe von Kundendaten informieren und in angemessener Weise mit dem Kunden zusammenarbeiten, um den Umfang einer solchen Weitergabe auf das gesetzlich Notwendige zu beschränken.​​   
3.12​​  Datenschutz-Folgenabschätzung und vorherige Konsultation​​ Soweit dies nach den Datenschutzgesetzen erforderlich ist, wird G-P dem Kunden angemessene Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung in Bezug auf die von G-P durchgeführte Verarbeitung von Kundendaten und/oder bei allen erforderlichen vorherigen Konsultationen mit Aufsichtsbehörden leisten. G-P behält sich das Recht vor, dem Kunden für die Erbringung dieser Unterstützung eine angemessene Gebühr in Rechnung zu stellen.​​ 
3.13​​  Prüfung.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  US-Datenschutzgesetze.​​  Unter diesem Abschnitt 3 vereinbaren die Parteien, dass G-P ein „Dienstleister“ oder „Auftragsverarbeiter“ im Sinne der geltenden US-amerikanischen Datenschutzgesetze ist. Soweit US-amerikanische Datenschutzgesetze auf die Verarbeitung von Kundendaten durch G-P Anwendung finden, darf G-P (a) Kundendaten nicht außerhalb der direkten Geschäftsbeziehung zwischen G-P und dem Kunden speichern, verwenden oder offenlegen, und zwar ausschließlich zu dem in Anhang I genannten Zweck. G-P darf Kundendaten nur so lange verarbeiten, wie GP dem Kunden Dienstleistungen erbringt. Weiterhin darf GP keine Kundendaten verkaufen, weitergeben oder (b) die von G-P oder in dessen Auftrag erhaltenen Kundendaten nicht mit personenbezogenen Daten (gemäß der Definition dieses Begriffs oder eines gleichwertigen Begriffs in den geltenden Datenschutzgesetzen) kombinieren, die GP von oder in dessen Auftrag von einer anderen Person erhält oder die G-P im Rahmen der eigenen Interaktion mit einem Verbraucher erhebt. Eine Kombination von Kundendaten ist jedoch zulässig, sofern dies im Rahmen der Erbringung von Dienstleistungen für den Kunden erfolgt. Soweit anwendbar, benachrichtigt jede Partei die andere Partei, wenn sie zu der Feststellung gelangt, dass sie ihren Verpflichtungen gemäß den US-amerikanischen Datenschutzgesetzen nicht mehr nachkommen kann.​​ 
 

4. INTERNATIONALE DATENÜBERTRAGUNGEN​​ 

4.1​​  Angemessener Schutz​​ G-P ist im Rahmen des normalen Geschäftsablaufs berechtigt, weltweite Übermittlungen von Kundendaten an verbundene Unternehmen und/oder Unterauftragnehmer vorzunehmen.  Bei Übermittlungen in Gebiete, die von den zuständigen Datenschutzbehörden nicht als Gebiete mit einem angemessenen Schutzniveau für personenbezogene Daten gemäß den Datenschutzgesetzen anerkannt sind, stellt G-P sicher, dass geeignete Schutzmaßnahmen für die im Rahmen oder im Zusammenhang mit dem Rahmenvertrag übermittelten Kundendaten getroffen werden.​​ 
4.2​​  Datenschutzrahmen.​​  Fachkräfte​​  und Kundendaten werden in GPP gespeichert, das in den USA gehostet wird. G-P ist nach dem EU-US-Datenschutzrahmen (EU-US DPF) und gegebenenfalls der UK-Erweiterung zum EU-US-DPF sowie dem Swiss-US-DPF zertifiziert. Datenschutzrahmen (Schweizerisch-US) DPF). Die Zertifizierung von G-P kann öffentlich auf der DPF-Website bestätigt werden​​   . Der EU-US-Datenschutzrahmen wurde von der Europäischen Kommission als ausreichend angesehen, da er gemäß Artikel 45 der Datenschutz-Grundverordnung, der UK Datenschutz-Grundverordnung und der FADP ein rechtmäßiger Datenübertragungsmechanismus darstellt. Werden die DPF-Rahmenwerke für ungültig, ausgesetzt oder anderweitig nicht mehr als ausreichend Schutz für international Datenübertragungen anerkannt, stimmt der Bearbeiter zu, die von der Europäischen Kommission, dem UK Information Commissioner's Office (ICO) oder dem Schweizer Bundesbeauftragten für Datenschutz und Informationsschutz (FDPIC) ausgestellt oder genehmigt zu werden, Soweit zutreffend. Die Parteien arbeiten in gutem Glauben zusammen, um alle ergänzenden Maßnahmen umzusetzen, die erforderlich sind, um ein im Wesentlichen gleichwertiges Schutzniveau für die übertragenen Daten zu gewährleisten.​​ 
4.3​​  Standardvertragsklauseln.​​  Die Parteien vereinbaren, dass, wenn die Übermittlung personenbezogener Daten vom Kunden (als „Datenexporteur“) an G-P (als „Datenimporteur“) eine eingeschränkte Übermittlung darstellt und die anwendbaren Datenschutzgesetze die Einrichtung geeigneter Schutzmaßnahmen erfordern, diese Übermittlung den entsprechenden Standardvertragsklauseln unterliegt, die als Bestandteil dieser Datenverarbeitungsvereinbarung gelten, wie folgt:​​ 
a. Im Zusammenhang mit personenbezogenen Datenübertragungen, die durch die Datenschutz-Grundverordnung geschützt sind, gelten die EU-SCCs, die wie folgt ausgefüllt sind:​​ 
i. Es gelten die Module Eins und Zwei;​​ 
ii. In Klausel 7gilt die optionale Andockklausel;​​ 
iii. In Klausel 9 von Modul Zwei gilt Option 2 , und die Frist für vorherige Mitteilung über Änderungen des Subprozessors ist wie in Abschnitt 3festgelegt.5 dieses DPA;​​ 
iv. In Klausel 11 findet die optionale Sprache keine Anwendung;​​ 
v. in Klausel 12 unterliegen alle Ansprüche, die auf Grundlage der EU-Standardvertragsklauseln geltend gemacht werden, den im Rahmenvertrag festgelegten Bedingungen.​​ 
vi. In Klausel 17gilt Option 1 , und die EU-SCCs werden dem irischen Recht unterliegen;​​ 
vii. in Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands entschieden;​​ 
viii. Anhang I der EU-SCCs gilt als mit den in Anhang 1 zu diesem DPA genannten Informationen abgeschlossen; und​​ 
ix. Anhang II der EU-SCCs gilt als mit den im Anhang 2 zu diesem DPA genannten Informationen abgeschlossen;​​ 
x. Anhang III von Modul Zwei der EU-SCCs gilt als abgeschlossen mit den in Anhang 3 zu diesem DPA genannten Informationen.​​ 
B. Im Hinblick auf die Übermittlung personenbezogener Daten, die den britischen Datenschutzgesetzen oder den schweizerischen Datenschutzgesetzen unterliegen, gelten die EU-Standardvertragsklauseln (SCCs) gemäß Unterabsatz (a) mit folgenden Änderungen:​​ 
i. Verweise auf „Verordnung (EU) 2016/679 “ sind als Verweise auf die britischen Datenschutzgesetze bzw. die schweizerischen Datenschutzgesetze (je nach Anwendbarkeit) auszulegen;​​ 
ii. Verweise auf bestimmte Artikel der "Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze bzw. der schweizerischen Datenschutzgesetze (soweit anwendbar) ersetzt;​​ 
iii. Verweise auf „EU“, „Union“, „Mitgliedstaat“ und „Mitgliedstaatsrecht“ werden durch Verweise auf „Vereinigtes Königreich“ oder „Schweiz“ bzw. „britisches Recht“ oder „schweizerisches Recht“ (je nach Anwendbarkeit) ersetzt;​​ 
iv. Der Begriff "Mitgliedstaat" darf nicht so ausgelegt werden, dass betroffene Personen im Vereinigten Königreich oder in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Wohnort (d. h. im Vereinigten Königreich oder der Schweiz) zu verklagen;​​ 
v. Klausel 13(a) und Teil C des Anhangs I werden nicht verwendet, und die "zuständige Aufsichtsbehörde" ist der britische Informationskommissar oder der Schweizer Bundesbeauftragte für Datenschutzinformationen (sofern zutreffend);​​ 
vi. Verweise auf die "zuständige Aufsichtsbehörde" und "zuständige Gerichte" werden durch Verweise auf den "Informationsbeauftragten" und die "Gerichte von England und Wales" oder den "Schweizer Bundesbeauftragten für Datenschutzinformationen" und "anwendbare Gerichte der Schweiz" (je nach Anwendung) ersetzt;​​ 
vii. in Klausel 17unterliegen die Standardvertragsklauseln den Gesetzen von England und Wales oder der Schweiz (sofern zutreffend); und​​ 
viii. bezüglich der Übertragungen, auf die britische Datenschutzgesetze Anwendung finden, wird Klausel 18 dahingehend geändert: "Jeder Streit, der sich aus diesen Klauseln ergibt, wird von den Gerichten von England und Wales gelöst. Ein Datenträger kann ein rechtliches Verfahren gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten eines beliebigen Landes im Vereinigten Königreich einleiten. Die Parteien verpflichten sich, sich der Zuständigkeit dieser Gerichte zu unterwerfen", und bezüglich der Übertragungen, auf die die Schweizer Datenschutzgesetze gelten, besagt Klausel 18(b), dass Streitigkeiten vor den zuständigen Gerichten der Schweiz entschieden werden müssen.​​ 
ix. In Bezug auf Daten, die durch die UK Datenschutz-Grundverordnung geschützt sind, gelten die EU-SCCs wie folgt: (i) gelten gemäß den Absätzen (i) bis (viii) oben; und (ii) gemäß Teil 2 des britischen Zusatzes als geändert angesehen werden, das als integraler Bestandteil dieses DPA aufgenommen und als integraler Bestandteil dieses gilt. Zusätzlich werden Tabellen 1 zu 3 Teil 1 des UK-Zusatzes jeweils mit den in Anhang I und Anhang II dieses DPA angegebenen Informationen ergänzt, und Tabelle 4 in Teil 1 des UK-Zusatzes gilt als abgeschlossen, indem "keine der Parteien" ausgewählt wird.​​ 
C. Im Hinblick auf die Übermittlung personenbezogener Daten, die dem brasilianischen LGPD unterliegen, sei es direkt oder durch Weitergabe, in ein Land außerhalb Brasiliens, für das kein Angemessenheitsbeschluss der ANPD vorliegt, gelten die brasilianischen Standardvertragsklauseln als durch diese Bezugnahme in diese Datenverarbeitungsvereinbarung aufgenommen und wie folgt vervollständigt:​​ 
i. Klausel 2 der brasilianischen SCCs ist durch die im Anhang I dargelegten Informationen erfüllt, die die Datenübertragung beschreiben;​​ 
ii. In Klausel 3 der brasilianischen SCCs gilt Option B, wobei Weiterübertragungen gemäß Abschnitt 3erlaubt sind.5 ("Unterprozessoren") dieses DPA. Der Gegenstand, die Art und die Dauer der Bearbeitung sind in Anhang I dieses DPA festgelegt;​​ 
iii. Klausel 4 der brasilianischen Standardvertragsklauseln wird durch die in Anhang I dieser Datenverarbeitungsvereinbarung enthaltenen Informationen erfüllt. Ist G-P ein Verantwortlicher, so ist GP die „benannte Partei“ im Sinne der brasilianischen Standardvertragsklauseln und gilt für die Zwecke der Klausel 14 (Transparenz), der Klausel 15 (Rechte der betroffenen Person) und der Klausel 16 (Meldung von Vorfällen) der brasilianischen Standardvertragsklauseln. Der Kunde bleibt für die Einhaltung der Klauseln 14 (Transparenz), 15 (Rechte der betroffenen Person) und 16 (Meldung von Vorfällen) der brasilianischen Standardvertragsklauseln für alle personenbezogenen Daten verantwortlich, für die er ansonsten Verantwortlicher wäre;​​ 
iv. In Klausel 9 der brasilianischen Standardvertragsklauseln findet die optionale Docking-Klausel keine Anwendung; und​​ 
v. Abschnitt III (Sicherheitsmaßnahmen) der brasilianischen SCCs gilt als abgeschlossen mit den in Anhang II dieses DPA genannten Informationen.​​ 
4.4​​  Unvorhergesehene Datenübertragungen​​ Sollte eine der Parteien im Rahmen der Erbringung der Dienstleistungen feststellen, dass eine Übermittlung personenbezogener Daten erfolgt oder wahrscheinlich erfolgen wird, die nicht bereits durch die in den Abschnitten 4.1 bis 4.3 dieser Vereinbarung über die Verarbeitung personenbezogener Daten (DPA) dargelegten Mechanismen abgedeckt ist, werden die Parteien einander unverzüglich benachrichtigen und in gutem Glauben zusammenarbeiten, um ohne unangemessene Verzögerung die nach geltendem Datenschutzrecht erforderlichen zusätzlichen Übermittlungsmechanismen oder ergänzenden Maßnahmen umzusetzen, um die Rechtmäßigkeit dieser Übermittlung zu gewährleisten. Keine der Parteien ist verpflichtet, eine solche unvorhergesehene Übertragung vorzunehmen, bis ein geeigneter Mechanismus vereinbart und eingerichtet wurde.​​ 
 

Anhang I​​  

Beschreibung der Datenverarbeitung​​ 
DETAILS DER UNABHÄNGIGEN CONTROLLER – CONTROLLER-BEZIEHUNGEN​​ 
(Dieser Abschnitt betrifft die Details der personenbezogenen Daten, die zwischen den Parteien in ihrer Funktion als Verantwortliche geteilt werden.)​​ 
Parteien​​ 
Datenexporteur: Kundenunternehmen, das den Rahmenvertrag ausführt​​ 
Datenimporteur: Globalization Partners LLC.​​ 
Kontaktdaten der Parteien​​ 
Die Kontaktdaten sind im Rahmenvertrag festgelegt.​​ 
Aktivitäten im Zusammenhang mit den übertragenen Daten​​ 
Tätigkeiten im Zusammenhang mit den Employer of Record Services.​​ 
Rollen​​ 
Datenexporteur: Controller.​​ 
Datenimporteur: Controller.​​ 
Verarbeitungstätigkeiten​​ 
Die verarbeiteten bzw. übertragenen personenbezogenen Daten können folgenden Verarbeitungsaktivitäten unterliegen: jeder Operation im Zusammenhang mit personenbezogenen Daten unabhängig von den angewandten Mitteln und Verfahren, insbesondere der Erhebung, Organisation, Speicherung, Lagerung, Nutzung, Abruf, Konsultation, Archivierung, Übertragung, Blockierung, Löschung oder Vernichtung von Daten, Betrieb und Wartung von Systemen, Compliance, Rechts- und Prüfungsfunktionen.​​ 
Dauer der Bearbeitung​​ 
Die Laufzeit des Rahmenvertrags und auf fortlaufender Basis.​​ 
Art und Zweck der Verarbeitung​​ 
Der Kunde kann Kundendaten an G-P übermitteln; der Umfang dieser Übermittlung wird vom Kunden nach eigenem Ermessen festgelegt und kontrolliert. Zweck der Datenverarbeitung ist die Erbringung von Dienstleistungen für den eingetragenen Arbeitgeber gemäß dem Rahmenvertrag.​​ 
Kategorien von Datenpersonen​​ 
Fachleute.​​ 
Arten von personenbezogenen Daten​​ 
Kontaktdaten (die Name, Adresse, E-Mail-Adresse, Telefon, Fax, Notfallkontaktdaten und zugehörige lokale Zeitzoneninformationen umfassen können).​​ 
Beschäftigungsdetails (einschließlich Ausbildung, Lebenslauf, Berufsbezeichnung, Gehaltsstufe, demografische Daten, Standortdaten, Nationalität und Exportkonformitätsstatus, Vergütung, Bonus).​​ 
E-Mail-Inhalte der betroffenen Personen.​​ 
Details zu Dienstleistungen, die für oder zum Nutzen von betroffenen Personen erbracht werden.​​ 
Besondere Datenkategorien (falls zutreffend)​​  
N / A​​ 
Mitarbeiterbindung​​ 
Personenbezogene Daten werden mindestens so lange aufbewahrt, wie es die gesetzlich vorgeschriebene Mindestaufbewahrungsfrist vorschreibt, die mit den geltenden Verjährungsfristen vereinbar ist und den Grundsätzen guter Geschäftspraxis entspricht.​​ 
Zuständige Aufsichtsbehörde​​ 
Die zuständige Aufsichtsbehörde wird gemäß den anwendbaren Datenschutzgesetzen bestimmt und umfasst: die irische Datenschutzkommission (für die EU-Datenschutz-Grundverordnung); den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) der Schweiz (für die Schweizer Datenschutz-Grundverordnung); das Information Commissioner's Office des Vereinigten Königreichs (für die britische Datenschutz-Grundverordnung); und die Autoridade Nacional de Proteção de Dados (ANPD) (für das brasilianische Datenschutzgesetz).​​ 
Übertragungen an Unterprozessoren​​  
Bei Übermittlungen an Auftragsverarbeiter gelten die gleichen Bestimmungen hinsichtlich Gegenstand, Art und Dauer der Verarbeitung wie oben definiert.​​ 
Datenschutzhinweise G-P​​  
 
Zu Händen des globalen Datenschutzbüros.​​  
 
 
 
DETAILS ZUR BEZIEHUNG ZWISCHEN STEUERUNG UND PROZESSOR​​ 
(Dieser Abschnitt bezieht sich auf die Einzelheiten der personenbezogenen Daten, die von G-P im Auftrag des Kunden verarbeitet werden.)​​ 
Parteien​​ 
Datenexporteur: Kundenunternehmen, das den Rahmenvertrag ausführt​​ 
Datenimporteur: Globalization Partners LLC.​​ 
Kontaktdaten der Parteien​​ 
Die Kontaktdaten sind im Rahmenvertrag festgelegt.​​ 
Aktivitäten im Zusammenhang mit den übertragenen Daten​​ 
Tätigkeiten im Zusammenhang mit den Employer of Record Services und der Nutzung von GPP, die dem Kunden als Dienstleistung bereitgestellt werden.​​ 
Rollen​​ 
Datenexporteur: Controller​​ 
Datenimporteur: Prozessor​​ 
Verarbeitungstätigkeiten​​ 
Die verarbeiteten/übermittelten personenbezogenen Daten können folgenden Verarbeitungstätigkeiten unterliegen: jegliche Vorgänge im Zusammenhang mit personenbezogenen Daten unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Erheben, Organisieren, Speichern, Aufbewahren, Verwenden, Abrufen, Abfragen, Archivieren, Übermitteln, Sperren, Löschen oder Vernichten von Daten, der Betrieb und die Wartung von Systemen, die Einhaltung gesetzlicher Bestimmungen sowie die Durchführung von Rechts- und Prüfungsfunktionen.​​ 
Dauer der Bearbeitung​​ 
Die Laufzeit des Rahmenvertrags und auf fortlaufender Basis.​​ 
Art und Zweck der Verarbeitung​​ 
Der Kunde kann Kundendaten an G-P übermitteln; der Umfang dieser Übermittlung wird vom Kunden nach eigenem Ermessen festgelegt und kontrolliert. Zweck der Verarbeitung ist die Bereitstellung von GPP als Dienstleistung für den Kunden gemäß dem Rahmenvertrag.​​ 
Kategorien von Datenpersonen​​ 
Autorisierte Nutzer des GPP, zu denen auch Mitarbeiter und/oder Auftragnehmer des Kunden gehören können.​​ 
Arten von personenbezogenen Daten​​ 
Kontaktdaten (wie Telefonnummer und E-Mail-Adresse).​​ 
Mitarbeiter-/Auftragnehmerdaten (z. B. Berufsbezeichnung und Name des Unternehmens).​​ 
Nutzungsdaten (z. B. Daten über das Gerät des autorisierten Benutzers und wie dieses Gerät mit dem GPP interagiert).​​ 
Standortdaten (z. B. der aus der IP-Adresse abgeleitete Standort).​​ 
Inhaltsdaten (wie zum Beispiel der Inhalt der Kundendateien bezüglich der Fachkräfte und der damit verbundenen Kommunikation).​​ 
Anmeldeinformationen (wie Passwörter, Passwort-Hinweise und ähnliche Sicherheitsinformationen, die zur Authentifizierung und zum Kontozugriff auf das GPP verwendet werden).​​ 
Alle von autorisierten Benutzern bereitgestellten personenbezogenen Daten.​​ 
Besondere Datenkategorien (falls zutreffend)​​  
N / A​​ 
Mitarbeiterbindung​​ 
Personenbezogene Daten werden mindestens so lange aufbewahrt, wie es die gesetzlich vorgeschriebene Mindestaufbewahrungsfrist vorschreibt, die mit den geltenden Verjährungsfristen vereinbar ist und den Grundsätzen guter Geschäftspraxis entspricht.​​ 
Zuständige Aufsichtsbehörde​​ 
Die zuständige Aufsichtsbehörde wird gemäß den anwendbaren Datenschutzgesetzen bestimmt und umfasst: die irische Datenschutzkommission (für die EU-Datenschutz-Grundverordnung); den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) der Schweiz (für die Schweizer Datenschutz-Grundverordnung); das Information Commissioner's Office des Vereinigten Königreichs (für die britische Datenschutz-Grundverordnung); und die Autoridade Nacional de Proteção de Dados (ANPD) (für das brasilianische Datenschutzgesetz).​​ 
Übertragungen an Unterprozessoren​​  
Bei Übermittlungen an Auftragsverarbeiter gelten die gleichen Bestimmungen hinsichtlich Gegenstand, Art und Dauer der Verarbeitung wie oben definiert.​​ 
Datenschutzhinweise G-P​​  
 
Zu Händen des globalen Datenschutzbüros.​​  
 

Anhang II​​ 

Technische und organisatorische Maßnahmen​​ 

G-P wurde von unabhängigen Prüfern zertifiziert und beglaubigt, um die Einhaltung der SOC- 2 - und ISO 27001 -Standards zu bestätigen. Solche Zertifizierungen zeigen unser Engagement für die Sicherung von Kundendaten. Das Sicherheitsprogramm von G-P ist darauf ausgelegt,​​ 

Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten, die sich im Besitz von G-P befinden oder auf die G-P Zugriff hat;​​ 

Schutz vor vorhersehbaren Bedrohungen oder Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten;​​ 

Schutz vor unbefugtem oder rechtswidrigem Zugriff, Nutzung, Offenlegung, Änderung oder Zerstörung von Kundendaten;​​ 

Schutz vor versehentlichem Verlust, Zerstörung oder Beschädigung von Kundendaten; und​​ 

Schutz von Informationen gemäß den in den für die Regulierung G-P geltenden Vorschriften festgelegten Bestimmungen.​​ 

Im Folgenden werden die Funktionen, Prozesse, Kontrollen, Systeme, Verfahren und Maßnahmen beschrieben, die G-P ergriffen hat, um die Sicherheit der Verarbeitung von Kundendaten zu gewährleisten:​​ 

1) TECHNISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES UND -SCHUTZES​​ 

Privatsphäre durch Design und Standard:​​ 

G-P berücksichtigt die Anforderungen des Artikels 25 der Datenschutz-Grundverordnung bereits in der Konzeptions- und Entwicklungsphase der Produktentwicklung. Prozesse und Funktionalitäten sind so gestaltet, dass die Datenschutzgrundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung usw. sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.​​ 

b) Verschlüsselung personenbezogener Daten:​​ 

Sicherstellen, dass personenbezogene Daten nur so im System gespeichert werden, dass Dritte die betroffene Person nicht identifizieren können.​​ 

Datenbank- und Speicherverschlüsselung:​​ 

Auf allen von G-P verwendeten Datenbanken wird gemäß dem Stand der Technik eine Verschlüsselung "im Ruhestand" verwendet, sodass die Daten aus der Datenbank erst nach ordnungsgemäßer Authentifizierung im jeweiligen Datenbanksystem gelesen werden können.​​ 

Verschlüsselung mobiler Datenmedien:​​ 

Die Nutzung von Mobilfunknetzen zur Speicherung von Kundendaten ist nicht gestattet.​​ 

Verschlüsselung von Datenträgern auf Laptops:​​ 

Auf allen Laptops der Mitarbeiter ist eine angemessene, dem neuesten Stand der Technik entsprechende Festplattenverschlüsselung installiert.​​ 

Verschlüsselter Austausch von Informationen und Dateien:​​ 

Prinzipiell wird der Austausch von Informationen und Dateien direkt über eine spezielle Bewerbung verschlüsselt. Wenn personenbezogene Daten oder vertrauliche Informationen an Server übertragen werden müssen, die nicht über TLS-verschlüsselte HTTPS-Uploads gesendet werden können, werden diese unter Verwendung des Secure File Transfer Protocol (SFTP), eines verschlüsselten Envelope-Dienstes oder eines anderen dem Stand der Technik entsprechenden Verschlüsselungsmechanismus übertragen.​​ 

E-Mail-Verschlüsselung:​​ 

Grundsätzlich sind alle von Mitarbeitern von G-P gesendeten E-Mails mit TLS verschlüsselt. Ausnahmen können sein, wenn der empfangende Mailserver TLS nicht unterstützt. Der Kunde stellt sicher, dass die entsprechenden Mailserver, die im Rahmen der Bestellung verwendet werden, TLS-Verschlüsselung unterstützen​​ 

c) Zulassungskontrolle​​ 

Die Zugangskontrollen dienen dazu, die Nutzung und Verarbeitung von Daten, die dem Datenschutz unterliegen, durch unbefugte Personen zu verhindern.​​ 

Verwendung von Authentifizierungsmethoden​​ 

Der Zugriff auf personenbezogene Daten erfolgt stets über verschlüsselte Protokolle: SSH, SSL/TLS, HTTPS oder vergleichbare Protokolle. Authentifizierungsverfahren für das IT-System: Anmeldung am IT-System mittels Multifaktor-Authentifizierung.​​ 

Automatische Sperrung bei Inaktivität​​ 

Laptops, die von G-P-Mitarbeitern genutzt werden, sind mit Passwort- oder PIN-Schutz gesperrt, wenn sie nicht vom Nutzer genutzt werden. Zusätzlich wird nach 15 Minuten Inaktivität eine automatische Bildschirmsperre mit Passwortschutz eingerichtet.​​ 

Einsatz von Antivirensoftware​​ 

Die von den Mitarbeitern von G-P verwendeten Laptops sind mit modernster Antivirensoftware ausgestattet, die auf allen betrieblichen IT-Systemen stets auf dem neuesten Stand gehalten wird. Grundsätzlich dürfen Computer nicht ohne eingebauten Virenschutz betrieben werden, es sei denn, es wurden andere gleichwertige, dem Stand der Technik entsprechende Sicherheitsmaßnahmen getroffen oder es besteht kein Risiko. Die Standard-Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.​​ 

"Saubere Schreibtisch-Richtlinie"​​ 

Mitarbeiter von G-P sind angewiesen, keine persönlichen Daten von betroffenen Personen auszudrucken oder lokal zu speichern, Arbeitsmaterialien nicht an einem Ort zu hinterlassen, an dem sie von Dritten eingesehen werden können, und alle Arbeitsmaterialien ordnungsgemäß zu lagern. Dokumente, die G-P gesetzlich in gedruckter Form aufbewahren muss, werden in verschlossenen Schränken aufbewahrt.​​ 

d) Zugriffskontrollen innerhalb der Plattform​​ 

Zugriffskontrollen gewährleisten, dass Personen, die zur Nutzung eines Verarbeitungssystems berechtigt sind, nur auf die personenbezogenen Daten zugreifen können, die unter ihre Zugriffsberechtigung fallen.​​ 

Rollen und Berechtigungen​​ 

Rollen- und Autorisierungsplattform – Kundenzugriff Kundenbenutzer können Kundenkontoinformationen einsehen und bearbeiten.​​ 

Rollen- und Berechtigungsplattform – Professioneller Zugriff Professionelle Benutzer können ihre eigenen beruflichen Informationen einsehen und bearbeiten.​​ 

Fachkräfte können nach Bedarf und Genehmigung auch die Kundenzugriffsrolle erhalten.​​ 

Rollen und Autorisierungsplattform – Interner Zugriff​​ 

Nutzer des internen Zugangs haben unterschiedliche Rollen. Sie haben unterschiedliche Zugänge, um Folgendes zu erstellen, anzuzeigen, zu bearbeiten und zu genehmigen:​​ 

Kundeninformationen​​ 

Abrechnungsdaten​​ 

Partnerinformationen​​ 

Informationen zu Personalakten​​ 

Der Zugriff auf das Administrationssystem ist grundsätzlich auf geschulte Mitarbeiter in den Bereichen Kundensupport und Produktentwicklung beschränkt.​​ 

e) Firewall als Dienst​​ 

G-P nutzt eine externe Firewall als Dienst, die es ermöglicht, Zugang zu Webseiten zu gewähren oder zu blockieren, um sicherzustellen, dass Systeme keinen Zugriff auf bösartige Inhalte haben und um den Zugriff auf unangemessene Inhalte zu beschränken.​​ 

f) Protokoll der Anmeldung auf der Plattform​​ 

G-P führt eine Aufzeichnung aller Login-Aktivitäten.​​ 

g) Trennbarkeit​​ 

Sicherzustellen, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben werden, separat verarbeitet und von anderen Daten und Systemen getrennt werden, sodass eine ungeplante Nutzung dieser Daten für andere Zwecke ausgeschlossen wird.​​ 

Trennung von Entwicklungs-, Test- und Betriebsumgebungen​​ 

Daten aus der Betriebsumgebung dürfen nur dann in Test- oder Entwicklungsumgebungen übertragen werden, wenn sie vor der Übertragung vollständig anonymisiert wurden. Die Übertragung der anonymisierten Daten muss verschlüsselt oder über ein vertrauenswürdiges Netzwerk erfolgen.​​ 

Software, die in die Betriebsumgebung übertragen werden soll, muss zunächst in einer identischen Testumgebung („Staging“) getestet werden. Programme zur Fehleranalyse oder zur Erstellung/Kompilierung von Software dürfen nur dann in der Betriebsumgebung eingesetzt werden, wenn dies unvermeidbar ist. Dies ist insbesondere dann der Fall, wenn Fehlersituationen von Daten abhängen, die aufgrund der Anonymisierungsanforderungen bei der Übertragung in Testumgebungen verfälscht würden.​​ 

Trennung in Netzwerken​​ 

G-P unterteilt seine Netzwerke nach Aufgaben. Folgende Netzwerke werden permanent genutzt: Betriebsumgebung („Produktion“), Testumgebung („Staging“, „Sandbox“), Entwicklungsumgebung („Dev“), Büro-IT-Personal. Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z. B. für Wiederherstellungstests und Penetrationstests. Je nach den technischen Möglichkeiten werden die Netzwerke entweder physisch oder mittels virtueller Netzwerke getrennt.​​ 

h) Verfügbarkeitskontrolle​​ 

G-P ergreift folgende Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind.​​ 

Datenschutzverfahren/Datensicherungen​​ 

Um eine ausreichende Verfügbarkeit zu gewährleisten, implementiert G-P tägliche Snapshots seiner Datenbank mit Replikation in eine andere Region. Es werden auch Maßnahmen ergriffen, um sicherzustellen, dass Mitarbeiter mit arbeitsbezogenem Bedürfnis, Daten zu überprüfen, nur Zugriff auf Repliken-Datensätze erhalten.​​ 

Georedundanz in Bezug auf die Serverinfrastruktur für Produktivdaten und Backups​​ 

IT-Incident-Management („Incident Response Management“)​​ 

Es gibt ein Konzept und dokumentierte Verfahren für den Umgang mit Zwischenfällen und sicherheitsrelevanten Ereignissen. Dies umfasst die Planung und Vorbereitung der Reaktion auf Vorfälle, Verfahren zur Überwachung, Erkennung und Analyse sicherheitsrelevanter Ereignisse sowie die Festlegung entsprechender Verantwortlichkeiten und Meldewege im Falle einer Verletzung des Schutzes personenbezogener Daten im Rahmen der gesetzlichen Bestimmungen.​​ 

2) ORGANISATORISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES UND DER DATENSICHERHEIT​​ 

G-P hat die folgenden organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass die Organisation in einer Weise arbeitet, die den Anforderungen an Datenschutz und Datensicherheit entspricht.​​ 

a) Organisatorische Anweisungen​​ 

G-P hat ein Daten-Governance-Programm entwickelt und entwickelt es in Arbeit, das Richtlinien, Verfahren und Richtlinien für Mitarbeiter umfasst. Die Dokumentation umfasst Anleitungen zur Identifizierung und zum Umgang mit Datenschutzproblemen, bewährte Verfahren zur Sicherstellung der Einhaltung der Datenschutzbestimmungen sowie Richtlinien für den Umgang mit Datenschutzvorfällen.​​ 

b) Verpflichtung zur Vertraulichkeit und zum Datenschutz​​ 

G-P hat ein Daten-Governance-Programm entwickelt und entwickelt es in Arbeit, das Richtlinien, Verfahren und Richtlinien für Mitarbeiter umfasst. Alle Mitarbeiter und Auftragnehmer sind schriftlich an Vertraulichkeit und Datenschutz sowie an andere relevante Gesetze gebunden. Alle Mitarbeiter erhalten Schulungen zu Datenschutz und Sicherheit. Interne Audits zu Datenschutz und Informationssicherheit werden regelmäßig durchgeführt. Prüfungen werden auf Grundlage gemeinsamer Testkriterien/-systeme durchgeführt. Die Mitarbeiter und Auftragnehmer von G-P sind angewiesen, personenbezogene Daten ausschließlich aus rechtmäßigen Gründen gemäß geltenden Verträgen mit dem Kunde und dem Fachmann zu verarbeiten, unter gebührender Berücksichtigung jeglicher ausdrücklicher Zustimmung des betroffenen Betroffenen und im Einklang mit jeglicher rechtmäßigen Pflichten der Organisation.​​ 

c) Datenschutzschulungen​​ 

Alle Mitarbeiter erhalten Datenschutz- und Sicherheitsschulungen, die jederzeit auf der G-P-Schulungsplattform zur Einsicht verfügbar sind.​​ 

d) Physische Zugangskontrollen​​ 

G-P verfügt über folgende physische Kontrollen, um unbefugten Personen den Zugang zu IT-Systemgeräten zu verwehren, die für die Verarbeitung verwendet werden.​​ 

Elektronischer Türschutz​​ 

Die Eingangstüren zu den Räumlichkeiten der G-P-Büros sind stets verschlossen und elektronisch gesichert. Die Türen werden über einen persönlichen elektronischen Transponder geöffnet.​​ 

Kontrollierte Schlüsselverteilung​​ 

Es findet eine zentrale, dokumentierte Zuteilung der Schlüssel an die Mitarbeiter von G-P statt. Diese elektronischen Transponder/Schlüssel konnten zentral von jedem Büroleiter oder der Personalabteilung deaktiviert werden.​​ 

Überwachung und Begleitung externer Personen​​ 

Externe Dienstleister und andere Dritte erhalten nur nach vorheriger Genehmigung oder in Begleitung eines Mitarbeiters von G-P Zutritt zu den Räumlichkeiten. G-P wendet seine schriftliche Besucherrichtlinie an, wenn Besucher in die Räumlichkeiten eingeladen werden.​​ 

Sicherung von Räumlichkeiten mit erhöhtem Schutzbedarf​​ 

Räumlichkeiten oder Schränke mit erhöhten Sicherheitsanforderungen, wie z. B. Anwaltskanzleien und bestimmte Betriebsstätten, sind mit abschließbaren Schränken und Schubladen ausgestattet. Schränke und Schubladen, in denen Rechtsdokumente, Verträge und vertrauliche Unterlagen aufbewahrt werden, müssen stets verschlossen sein, außer wenn sie benutzt werden.​​ 

Geschlossene Türen und Fenster​​ 

Die Mitarbeiter sind organisatorisch angewiesen, Fenster und Türen außerhalb der Bürozeiten geschlossen oder verschlossen zu halten.​​ 

e) Wiederherstellbarkeit​​ 

G-P stellt sicher, dass die in Betrieb befindlichen Systeme im Falle eines physischen oder technischen Ausfalls wiederhergestellt werden können.​​ 

Regelmäßige Tests der Datenwiederherstellung („Wiederherstellungstests“)​​ 

Regelmäßige vollständige Wiederherstellungstests werden durchgeführt, um die Wiederherstellbarkeit im Notfall oder einer Katastrophe sicherzustellen.​​ 

Notfallplan („Katastrophenbewältigungskonzept“)​​ 

Es gibt ein Konzept für die Behandlung von Notfällen/Katastrophen und einen entsprechenden Notfallplan. G-P stellt die Wiederherstellung aller Systeme auf Basis der Daten-Backups / Backups sicher, in der Regel innerhalb von 48 Stunden.​​ 

Überprüfungs- und Bewertungsmaßnahmen​​ 

Vorstellung der Verfahren zur regelmäßigen Überprüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.​​ 

f) Datenschutzteam​​ 

Die Organisation verfügt über ein globales Datenschutzbüro, das mit der Planung, Umsetzung, Bewertung und Anpassung von Maßnahmen im Bereich des Datenschutzes beauftragt ist.​​ 

g) Risikomanagement​​ 

Es gibt einen Prozess zur Analyse, Bewertung und Zuweisung von Risiken sowie zur Ableitung von Maßnahmen auf der Grundlage dieser Risiken.​​ 

3) Unabhängige Überprüfung der Informationssicherheit​​ 

Durchführung von Prüfungen​​ 

Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Die Audits werden auf der Grundlage gemeinsamer Testkriterien/Testschemata durchgeführt.​​ 

b) Überprüfung der Einhaltung der Sicherheitsrichtlinien und -standards​​ 

Die Einhaltung der geltenden Sicherheitsrichtlinien, -standards und sonstigen Sicherheitsanforderungen für die Verarbeitung personenbezogener Daten wird regelmäßig überprüft. Soweit möglich, werden diese Kontrollen stichprobenartig und unangekündigt durchgeführt.​​ 

c) Überprüfung der Einhaltung der technischen Spezifikationen​​ 

Regelmäßige automatisierte und manuelle Schwachstellenscans werden von der IT-Abteilung oder anderem qualifizierten Personal durchgeführt, um die Sicherheit der Anwendungen und der Infrastruktur sowie die regelmäßige Weiterentwicklung des Produkts zu überprüfen. Detaillierte Penetrationstests werden von einem externen Dienstleister durchgeführt, um die Anwendungen und die Infrastruktur gezielt auf Schwachstellen zu untersuchen.​​ 

d) Verarbeitung gemäß Anweisung​​ 

Die Mitarbeiter von G-P sind angewiesen, personenbezogene Daten ausschließlich aus rechtmäßigen Gründen gemäß den geltenden Verträgen mit dem Kunde und dem Fachmann zu verarbeiten, unter gebührender Berücksichtigung jeglicher ausdrücklicher Zustimmung, die vom betreffenden Betroffenen gegeben oder zurückgehalten wurde, und im Einklang mit jeglicher rechtmäßigen Pflicht der Organisation.​​ 

e) Sorgfältige Lieferantenauswahl​​ 

G-P hält sich bei der Auswahl von Anbietern und Lieferanten, die möglicherweise mit geschützten Daten in Berührung kommen, an seinen Lieferanten-Vorqualifizierungsprozess. Dieser Prozess beinhaltet Rückmeldungen der Finanz- und Rechts-/Datenschutzabteilung und umfasst Risikobewertung, Sicherheitsvorqualifizierung und Dokumentationszertifizierung. Lieferanten, die geschützte Daten verarbeiten, müssen ihre Einhaltung der geltenden Datenschutzgesetze, einschließlich Artikel 28 der Datenschutz-Grundverordnung für erfasste Daten, nachweisen.​​ 

Anhang III​​ 

Liste der Unterprozessoren​​ 
Subprozessor​​ 
Standort- und Kontaktinformationen​​ 
Beschreibung der Verarbeitung​​ 
3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA​​ 
Finanzdienstleistungen​​ 
PO Box 81226​​ 
Seattle, WA 98108-1226, USA​​ 
Hosting – Cloud-Dienstleister​​ 
Microsoft Corporation – Ein Microsoft-Weg​​ 
Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.​​ 
Unterstützung von Geschäftsprozessen für die Kommunikation (E-Mail) und das Servicemanagement​​ 
350 Bush Street Etage 13​​ 
San Francisco, CA 94104, USA​​ 
+1 415 701 1110​​ 
Geschäftsprozessunterstützung für das Dienstleistungsmanagement​​ 
DocuSign International (EMEA) Ltd, z. Hd.: Datenschutzteam, 5 Hanover Quay, Erdgeschoss, Dublin 2, Republik Irland​​ 
Dokumentenmanagement​​ 
Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA​​ 
1-800-387-3285​​ 
Geschäftsprozessunterstützung für das Kundenbeziehungsmanagement (CRM)​​ 
989 Marktstraße​​ 
San Francisco, CA 94103, USA​​ 
888-670-4887​​ 
Helpdesk-Anfragen für den Kundensupport​​ 
2225 Lawson Lane Santa Clara, CA, 95054​​ 
USA​​ 
Unterstützung von Geschäftsprozessen für IT-Service- und Betriebsmanagement, die Mitarbeiter- und Kundenerfahrungen durch (​​ automatisierter cloudbasierter Workflow)​​ 
160 Spear Street, 15th Floor San Francisco, CA 94105 1-866-330-0121​​ 
USA​​ 
Cloud-Data-Warehouse-Infrastruktur.​​ 
620 8th​​  Ave 45​​ th​​  Boden​​ 
New York, NY 10018​​ 
USA​​ 
Serviceüberwachungs- und Debugging-Tool​​ 
Avenue Louise 54, Zimmer s52,​​ 
1050 Brüssel​​ 
Belgien​​ 
Online-Zahlungsabwickler​​ 
1600 Amphitheatre Pkwy, Mountain View, CA 94043​​ 
Unterstützung von Geschäftsprozessen für die Kommunikation (E-Mail) und die interne Dokumentenablage​​