Auftragsverarbeitungsvereinbarung
Privacy Policy - DPA - Subprocessors
Diese Auftragsverarbeitungsvereinbarung („AVV") ergänzt den Vertrag zwischen Meltwaterund dem Kunden und wird zum Zeitpunkt des Vertragsabschlusses abgeschlossen. Diese AVV bezieht den Vertrag mit ein und alle in dieser AVV verwendeten, aber nicht definierten Begriffe haben die im Vertrag festgelegte Bedeutung. Für die Zwecke dieser AVV ist der Kunde der für die Datenverarbeitung Verantwortliche und Meltwater der Auftragsverarbeiter, oder „Service Provider“, soweit zutreffend.
1. Auslegung
Die in dieser AVV verwendeten Begriffe und Ausdrücke haben die folgende Bedeutung:
1.1. "Vertrag" bezeichnet den Vertrag zwischen den Parteien über den Abschluss eines
Meltwater-Abonnements für die Plattform.
1.2. "Geltendes Datenschutzrecht" bezeichnet alle Gesetze, Richtlinien, Verordnungen und Vorschriften zum Schutz der Privatsphäre, der Datensicherheit und des Datenschutzes in jeder Rechtsordnung, die auf die Personenbezogenen Daten, die nach dieser AVV verarbeitet werden, anwendbar sind, einschließlich im jeweils anwendbaren Umfang, der Datenschutz-Grundverordnung, Verordnung (EU) 2016/679 ("DSGVO"), der „UK General Data Protection Regulation“ vom 31. Dezember 2020 und des „Data Protection Act 2018“ des Vereinigten Königreichs (zusammen "UK Datenschutzrecht"), des Schweizer Bundesgesetzes über den Datenschutz und der Datenschutzgesetze der US-Bundesstaaten (wie hierin definiert).
1.3. Die Begriffe "Verantwortlicher", "Auftragsverarbeiter" und "Verarbeitung" haben die ihnen in dem Geltenden Datenschutzrecht zugewiesene Bedeutung;
1.4. "Personenbezogene Daten" sind alle vom Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß dieser AVV verarbeiteten Daten, die sich auf natürliche Personen beziehen;
1.5. "Plattform" hat die ihr oder den Meltwater-Diensten im Vertrag gegebene Bedeutung.
1.6. "SCCs" bezeichnet die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021; und
1.7. "Unterauftragsverarbeiter" bezeichnet jeden Dritten, den der Auftragsverarbeiter mit der Verarbeitung Personenbezogener Daten im Auftrag des Verantwortlichen beauftragt, um die Plattform bereitzustellen.
Alle anderen definierten Begriffe haben die ihnen im Vertrag zugewiesene Bedeutung.
2. Kategorien der von dieser AVV erfassten Personenbezogenen Daten
2.1. Sollte der Verantwortliche die Media Intelligence (Meltwater) Plattform nutzen: Kontaktdaten (einschließlich Name, E-Mail-Adresse und ggf. Telefonnummer) und die IP-Adresse, die für die Anmeldung bei der Plattform verwendet wird, der Mitarbeiter des für die Verarbeitung Verantwortlichen, die als Autorisierte Nutzer der Plattform hinzugefügt werden.
2.2. Sollte der Verantwortliche die folgende Plattform nutzen: Newsletter- oder Media Relations-Dienste des Auftragsverarbeiters, gehören zu den Kategorien der verarbeiteten Personenbezogenen Daten auch: Name, E-Mail-Adresse, ggf. Telefonnummer, Titel, Arbeitgeber und Social Media Usernamen (Social Handles) der betroffenen Personen, deren Daten der Verantwortliche auf die Plattform hochlädt.
2.3. Sollte der Datenverantwortliche die Meltwater Engage Plattform nutzen, können die Kategorien der verarbeiteten personenbezogenen Daten auch Folgendes umfassen: (i) Name, E-Mail-Adresse, möglicherweise Telefonnummer und soziales Profil der betroffenen Personen in der Salesforce-Instanz des Datenverantwortlichen, die der Datenverantwortliche verwendet mit der Plattform und (ii) allen personenbezogenen Daten synchronisiert, die in den über Meltwater Engage verwalteten Direktnachrichten enthalten sind.
2.4. Sollte der Verantwortliche die Influencer Marketing-Plattform nutzen: Kontaktdaten der Mitarbeiter des Verantwortlichen (einschließlich, aber nicht beschränkt auf Name oder E-Mail-Adresse) und Anmelde-/Login-Informationen, sonstige Personenbezogene Daten (wie Notizen, Verträge usw.) in Bezug auf Influencer oder die Kundschaft des Verantwortlichen, die der Verantwortliche auf der Plattform hinzufügt und speichert, sowie Konversionsdaten und Informationen, die über Pixel gewonnen werden, die der Verantwortliche auf seiner Website platziert.
2.5. Sollte der Verantwortliche Consumer Insights- oder Content Curation-Plattformen nutzen: Kontaktdaten (einschließlich Name, E-Mail-Adresse und ggf. Telefonnummer), die IP-Adresse, die für die Anmeldung bei der Plattform verwendet wird, Soziale Netzwerk-Informationen und ein potenzielles Profilbild der Mitarbeiter des Verantwortlichen, die als Autorisierte Nutzer der Plattform hinzugefügt wurden.
2.6. Sollte der Verantwortliche die Sales-Intelligence-Plattform nutzen: E-Mail-Adresse, Funktion und Name des Arbeitgebers.
3. Verarbeitung und Verwendung der Personenbezogenen Daten
3.1. Der Auftragsverarbeiter darf die von dem Verantwortlichen erhaltenen Personenbezogenen Daten (a) gemäß den Weisungen des Verantwortlichen, wie in dieser AVV beschrieben, (b) ausschließlich zum Zweck der Bereitstellung der im Vertrag bestimmten Plattform oder (c) wie es dem Auftragsverarbeiter anderweitig schriftlich oder in Textform gemäß den Anforderungen an Mitteilungen im Vertrag vom Verantwortlichen während der Laufzeit des Vertrags mitgeteilt wird, verarbeiten.
3.2. Der Auftragsverarbeiter wird jederzeit Geltendes Datenschutzrecht einhalten und darf seine Verpflichtungen nach dieser AVV oder dem Vertrag nicht so ausführen, dass dadurch der Verantwortliche gegen eine seiner für ihn geltenden Verpflichtungen nach dem Geltenden Datenschutzrecht verstoßen würde.
3.3. Der Auftragsverarbeiter verpflichtet sich, allen zumutbaren Maßnahmen zu entsprechen, die der Verantwortliche verlangt, um sicherzustellen, dass der Auftragsverarbeiter seine Verpflichtungen nach dieser AVV zufriedenstellend in Übereinstimmung mit dem jeweils Geltenden Datenschutzrecht erfüllt.
4. Sicherheit der Personenbezogenen Daten
4.1. Der Auftragsverarbeiter verpflichtet sich, ein angemessenes Informationssicherheitsprogramm mit technischen und organisatorischen Maßnahmen zu implementieren und aufrechtzuerhalten, um die Sicherheit Personenbezogener Daten auf einem dem Risiko angemessenen Niveau zu schützen, insbesondere gegen unbefugte oder unrechtmäßige Verarbeitung und gegen unbeabsichtigten Verlust, Vernichtung, Beschädigung, Veränderung oder Offenlegung..
4.2. Der Auftragsverarbeiter wird auf Anfrage des Verantwortlichen Details zu den bestehenden technischen und organisatorischen Systemen zum Schutz der Sicherheit der vorhandenen Personenbezogenen Daten und zur Verhinderung unbefugten Zugangs zur Verfügung stellen.
4.3. Alle dem Auftragsverarbeiter vom Verantwortlichen zur Verfügung gestellten oder während seiner Arbeit für den Verantwortlichen erlangten Personenbezogenen Daten sind vertraulich und dürfen ohne die ausdrückliche Erlaubnis des Verantwortlichen in keiner Weise vervielfältigt, offengelegt oder verarbeitet werden.
5. Unterauftragsverarbeiter und Mitarbeiter
5.1. Soweit der Auftragsverarbeiter Personenbezogene Daten (ob in physischer oder elektronischer Form gespeichert) für den Verantwortlichen verarbeitet, wird er angemessene Maßnahmen ergreifen, um die Zuverlässigkeit all seiner Mitarbeiter und Unterauftragsverarbeiter zu gewährleisten.
5.2. Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um seine Mitarbeiter hinsichtlich relevanter Datenschutzgesetze und Datensicherheit zu informieren und zu schulen, und um sicherzustellen, dass sich die zur Verarbeitung Personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und um sicherzustellen, dass alle Mitarbeiter und Unterauftragsverarbeiter über die Vertraulichkeit der Personenbezogenen Daten informiert sind und die Pflichten des Auftragsverarbeiters nach dieser AVV sowie ihre persönlichen Pflichten und Verpflichtungen nach dem Geltenden Datenschutzrecht kennen.
5.3. Der Verantwortliche stimmt der Verwendung der Unterauftragsverarbeiter zu, die unter https://www.meltwater.com/en/privacy/subprocessors gelistet sind. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen schriftlich oder in Textform über jeden neuen Unterauftragsverarbeiter, bevor der Unterauftragsverarbeiter Zugriff auf Personenbezogenen Daten erhält, sofern der Verantwortliche solche Mitteilungen unter https://www.meltwater.com/en/privacy/subprocessors abonniert.
5.4. Der Auftragsverarbeiter darf einem Unterauftragsverarbeiter keine Personenbezogenen Daten offenlegen, übermitteln und/oder Zugang zu ihnen gewähren, es sei denn, der Auftragsverarbeiter (i) schließt mit diesem Unterauftragsverarbeiter eine schriftliche oder textförmliche Vereinbarung ab, die im Wesentlichen gleichartige Datenschutzverpflichtungen enthält, wie sie dem Auftragsverarbeiter durch diese AVV auferlegt werden, einschließlich der Implementierung angemessener technischer und organisatorischer Maßnahmen; und (ii) haftet weiterhin für die Nichterfüllung der Verpflichtungen des Unterauftragsverarbeiters in Bezug auf die Verarbeitung Personenbezogener Daten so, als ob der Auftragsverarbeiter diese Verpflichtungen selbst nicht erfüllt hätte..
6. Audit
DerAuftragsverarbeiter stimmt zu, von dem Verantwortlichen autorisierten Personen nach angemessener Vorankündigung, mindestens aber 30 Tage im Voraus, und höchstens einmal pro Kalenderjahr, den Zugang zu allen Räumlichkeiten zu gestatten, in denen dem Auftragsverarbeiter vom Verantwortlichen zur Verfügung gestellte Personenbezogenen Daten verarbeitet werden, und ihnen weiter zu gestatten, die Systeme des Auftragsverarbeiters daraufhin zu überprüfen, ob diese die Vorgaben dieser AVV erfüllen. Der Verantwortliche erkennt an, dass die Verpflichtungen des Auftragsverarbeiters nach dieser Ziffer ganz oder teilweise durch die Übermittlung geeigneter Informationen, Aufzeichnungen sowie Zertifizierungen und Auditberichte von angesehenen unabhängigen Dritten an den Verantwortlichen erfüllt werden können, sofern es seit der Ausstellung der Zertifizierung oder der Auditberichte keine wesentlichen Änderungen an den Maßnahmen zur Gewährleistung der Datensicherheit des Auftragsverarbeiters gegeben hat.
7. Zugang zu Personenbezogenen Daten und sicherheitsrelevante Ereignisse
7.1. Der Auftragsverarbeiter wird den Verantwortlichen benachrichtigen, wenn ihm ein Antrag einer betroffenen Person auf Auskunft zu ihren Personenbezogenen Daten, eine Beschwerde oder ein Antrag im Zusammenhang mit den Verpflichtungen des Verantwortlichen nach dem Geltenden Datenschutzrecht zugeht.
7.2. Der Auftragsverarbeiter wird bei erfolgten Beschwerden oder Anträgen uneingeschränkt mit dem Verantwortlichen kooperieren und diesen unterstützen, unter anderem durch umfassende Information des Verantwortlichen über die Einzelheiten der Beschwerde bzw. des Antrags und durch Bearbeitung von Auskunftsanträgen innerhalb der vom Geltenden Datenschutzrecht vorgegebenen Fristen und gemäß den Weisungen des Verantwortlichen.
7.3. Sollte dem Auftragsverarbeiter eine unbefugte oder unrechtmäßige Verarbeitung oder ein Verlust, eine Zerstörung, Beschädigung, Korruption oder Nichtverwendbarkeit Personenbezogener Daten oder eine Sicherheitsverletzung bekannt werden, wird der Auftragsverarbeiter den Verantwortlichen auf eigene Kosten unverzüglich (in jedem Fall innerhalb von 48 Stunden) benachrichtigen ("Benachrichtigung") und uneingeschränkt mit dem Verantwortlichen kooperieren und diesen so schnell wie vernünftigerweise möglich bei der Behandlung der Sicherheitsverletzung und der Sicherstellung der Einhaltung der Pflichten des Verantwortlichen nach dem Geltenden Datenschutzrecht im Hinblick auf Sicherheit, Meldung von Verletzungen, Folgenabschätzungen und Konsultationen der Aufsichts- oder Regulierungsbehörden unterstützen.
7.4. Die Benachrichtigung enthält, soweit die betreffende Information dem Auftragsverarbeiter zu diesem Zeitpunkt zur Verfügung steht, a) eine Beschreibung der Art des Vorfalls, soweit möglich mit Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen, b) eine Beschreibung der wahrscheinlichen Folgen des Vorfalls und c) eine Beschreibung der Maßnahmen, die der Auftragsverarbeiter zur Behebung des Vorfalls ergriffen hat oder zu ergreifen vorschlägt..
8. Internationale Datenübermittlung
8.1. Soweit der Auftragsverarbeiter auf Personenbezogene Daten zugreift oder diese an den Auftragsverarbeiter übermittelt werden, erfolgt die Übermittlung gemäß den Anforderungen des Geltenden Datenschutzrechts, einschließlich des Kapitels V der DSGVO.
8.2. Soweit Personenbezogene Daten solche aus der EU und dem EWR umfassen, gelten mit dem Abschluss dieses Vertrages und dieser AVV die beigefügten SCCs einschließlich ihrer Anhänge als zwischen den Parteien als unterzeichnet.
8.2.1. Soweit die SCCs abgeschlossen werden, gelten die folgenden Optionen für Modul 2 der SCCs:
8.2.1.1. Klausel 7. Die fakultative Kopplung findet keine Anwendung.
8.2.1.2. Klausel 9. Einsatz von Unterauftragsverarbeitern Option 2: Allgemeine schriftliche Genehmigung ist ausgewählt, und die Mindestfrist für die Vorankündigung von Änderungen bei Unterauftragsverarbeitern beträgt mindestens 30 Tage, sofern der Verantwortliche solche Mitteilungen unter https://www.meltwater.com/en/privacy/subprocessors abonniert.
8.2.1.3. Klausel 11. Die optionale Regelung findet keine Anwendung.
8.2.1.4. Klausel 17. Option 2 ist ausgewählt, und die Parteien vereinbaren, dass dies das auf den Vertrag anwendbare Recht sein soll.
8.2.1.5. Klausel 18 (b). Die Parteien vereinbaren, dass alle Streitigkeiten, die sich aus diesen Klauseln ergeben, von den Gerichten des Landes entschieden werden, das im Vertrag genannt ist.
8.2.1.6. Klausel 13. Alle eckigen Klammern hierin werden hiermit entfernt;
8.2.1.7. Anhang I dieser AVV enthält die in Anhang I der SCCs geforderten Informationen;
8.2.1.8. Anhang II dieser AVV enthält die in Anhang II der SCCs geforderten Informationen; und
8.2.1.9. Anhang III dieser AVV enthält die in Anhang III der SCCs geforderten Informationen.
8.3. Soweit die Personenbezogenen Daten auch personenbezogene Daten aus der Schweiz umfassen, gelten Ziffer 8.2 und der Zusatz für Übermittlungen aus der Schweiz.
8.4. Soweit die Personenbezogenen Daten auch personenbezogene Daten aus dem Vereinigten Königreich umfassen, gilt der Zusatz für UK-Datentransfers.
8.5. Datenschutzgesetze der US-Staaten. Wenn der Verantwortliche oder die betroffenen Personen in Kalifornien, Virginia, Colorado, Connecticut oder Utah ansässig sind, lesen Sie bitte unseren Zusatz für US-Bundesstaaten, um Informationen über Ihre Datenschutzrechte zu erhalten.
9. Rückgabe oder Löschung.
Der Auftragsverarbeiter wird alle Personenbezogenen Daten auf Verlangen des Verantwortlichen vernichten oder an den Verantwortlichen übermitteln, und zwar in dem Format, zu der Zeit und unter Einhaltung der Vorgaben, die dem Auftragsverarbeiter schriftlich oder in Textform vom Verantwortlichen mitgeteilt wurden. Die Personenbezogenen Daten des Verantwortlichen werden spätestens sechs (6) Monate nach Ablauf oder Kündigung des Vertrags vernichtet. Bei der Sales Intelligence-Plattform hat der Autorisierte Nutzer die Option, nach Beendigung des Vertrags ein Freemium-Nutzer zu bleiben.
10. Allgemeines
10.1. Widerspruch. Im Falle eines Widerspruchs zwischen den Bestimmungen des Vertrags und dieser AVV haben die Bestimmungen dieser AVV Vorrang.
10.2. Anwendbares Recht und Streitbeilegung. Diese AVV unterliegt dem auf den Vertrag anwendbaren Recht. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser AVV ergeben, werden von der im Vertrag vereinbarten Streitbeilegungsstelle endgültig beigelegt.
10.3. Gültigkeit. Diese AVV bleibt so lange gültig, wie der Vertrag in Kraft ist.
ANHANG I
A. LISTE DER PARTEIEN
Datenexporteur(e):
Name: Der Kunde gemäß der Definition in dem Vertrag
Anschrift: Die Adresse des Kunden gemäß der Definition in dem Vertrag
Name, Funktion und Kontaktdaten der Kontaktperson:: Die Kontaktperson für den Kunden gemäß der Definition in dem Vertrag
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: Die Nutzung der Plattform gemäß der Definition in dem Vertrag
Rolle (Verantwortlicher/ Auftragsverarbeiter): Verantwortlicher
Datenimporteur(e):
Name: Die kontrahierende Meltwater-Gesellschaft gemäß der Definition in dem Vertrag
Anschrift: Die Anschrift der kontrahierenden Meltwater-Gesellschaft gemäß der Definition in dem Vertrag
Name, Funktion und Kontaktdaten der Kontaktperson:: Die Kontaktperson der kontrahierenden Meltwater-Gesellschaft gemäß der Definition in dem Vertrag
Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: Die Bereitstellung der Plattform gemäß der Definition in dem Vertrag
Rolle (Verantwortlicher/ Auftragsverarbeiter): Auftragsverarbeiter
B. BESCHREIBUNG DER DATENÜBERMITTLUNG
Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden: Mitarbeiter des Verantwortlichen, die zur Nutzung der Plattform berechtigt sind.
Kategorien der übermittelten personenbezogenen Daten: Wie in Klausul 2 dem AVV definiert.
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen: Es werden keine sensiblen Daten übertragen.
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden): Kontinuierliche Basis.
Art der Verarbeitung: Übertragung, Vervielfältigung, Verwendung, Löschung, Berichtigung, Anpassung.
Zweck(e) der Datenübermittlung und Weiterverarbeitung: Personenbezogene Daten werden von dem Verantwortlichen an den Auftragsverarbeiter übermittelt, damit der Auftragsverarbeiter den SaaS-Dienst zur Medienüberwachung anbieten kann.
Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer: Die Dauer des Vertrags.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Angabe der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13
Die Hauptniederlassung des Auftragsverarbeiters befindet sich in den Niederlanden. Die niederländische Aufsichtsbehörde ist die zuständige Aufsichtsbehörde.
ANHANG II: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
Der Auftragsverarbeiter hat die technischen und organisatorischen Maßnahmen unter
https://www.meltwater.com/en/privacy/dpa-toms implementiert.
ANHANG III
LISTE DER UNTERAUFTRAGSVERARBEITER
Der Verantwortliche hat dem Einsatz von Unterauftragsverarbeitern zugestimmt, die unter https://www.meltwater.com/en/privacy/subprocessors aufgeführt sind.
Auftragsverarbeitungsvereinbarung (add the date when it was first published - add the date when it was updated now in June).