Dieser Zusatz zur Datenverarbeitung ("DPA") gilt ab dem im Bestellformular aufgeführten Datum des Inkrafttretens zwischen TrackTik Software ULC. ("TrackTik") und dem auf dem Bestellformular angegebenen Kunden ("Kunde").

TrackTik und der Kunde werden im Folgenden gemeinsam als die "Parteien" und einzeln als "Partei" bezeichnet. Soweit eine der in dieser DPA enthaltenen Bestimmungen oder Bedingungen im Widerspruch zu Bestimmungen oder Bedingungen bezüglich der Verarbeitung personenbezogener Daten in Vereinbarungen zwischen den Parteien (jeweils eine "Vereinbarung" und zusammenfassend als "Vereinbarungen" bezeichnet) steht, wird ausdrücklich verstanden und vereinbart, dass die Bestimmungen dieser DPA Vorrang haben und diese anderen Bestimmungen oder Bedingungen ersetzen. Die Parteien erkennen an und vereinbaren, dass diese DPA und die ihr beigefügten Anhänge Teil der von TrackTik und dem Kunden abgeschlossenen TrackTik Software as a Service Terms of Service sind, wie auf dem jeweiligen Bestellformular angegeben, und dass sie so wirksam sind, als wären sie vollständig im Hauptteil des Vertrags enthalten.

In dieser DPA gelten die Begriffsbestimmungen und Auslegungsregeln des ursprünglichen Abkommens, es sei denn, sie stehen im Widerspruch zu dieser DPA oder sind in dieser DPA ausdrücklich definiert.

Die Vertragsparteien kommen wie folgt überein:

1. Begriffsbestimmungen

1.1 Für die Zwecke dieser DPA haben die folgenden Ausdrücke die folgende Bedeutung, sofern sich aus dem Kontext nichts anderes ergibt:

"Anwendbare Datenschutzgesetze" bedeutet in Bezug auf eine Vertragspartei alle anwendbaren Gesetze, Satzungen, Erklärungen, Dekrete, Richtlinien, Rechtsverordnungen, Verordnungen, Vorschriften, Regeln oder sonstigen verbindlichen Instrumente, die sich auf den Schutz personenbezogener Daten beziehen, einschließlich:

(a) die Richtlinie 2002/58/EG (in ihrer geänderten Fassung) (die "Datenschutzrichtlinie für elektronische Kommunikation"), die Datenschutzverordnung für elektronische Kommunikation 2017/003 (COD) (die "Datenschutzverordnung für elektronische Kommunikation"), sobald sie in Kraft tritt, und alle Gesetze zu ihrer Umsetzung;

(b) die Verordnung (EU) 2016/679 (die "GDPR"), die GDPR in der in das britische Recht übernommenen Fassung ("UK GDPR");

(c) das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente (PIPEDA"), einschließlich der Datenschutzgesetze der kanadischen Provinzen (soweit anwendbar), wie z. B. das Gesetz von Québec zum Schutz personenbezogener Daten im privaten Sektor in der Fassung des Gesetzes zur Modernisierung der gesetzlichen Bestimmungen zum Schutz personenbezogener Daten;

(d) sowie alle anderen geltenden Rechtsvorschriften, Verordnungen, Empfehlungen oder Stellungnahmen, die die geltenden Datenschutzgesetze ersetzen, ergänzen, ändern, erweitern, neu formulieren oder konsolidieren.

(jeweils in der von Zeit zu Zeit geänderten, konsolidierten, wieder in Kraft gesetzten oder ersetzten Fassung);

Die Begriffe "für die Verarbeitung Verantwortlicher" oder "für die Verarbeitung Verantwortlicher", "Datenverarbeiter" oder "Auftragsverarbeiter", "betroffene Person", "personenbezogene Daten", "verarbeiten", "verarbeitet" oder "Verarbeitung" haben jeweils die in der Datenschutz-Grundverordnung festgelegte Bedeutung;

"EU-Datenschutzgesetze" bezeichnet alle Gesetze, Satzungen, Erklärungen, Dekrete, Richtlinien, Rechtsakte, Anordnungen, Verordnungen, Vorschriften, Regeln oder andere verbindliche Instrumente, die sich auf den Schutz personenbezogener Daten beziehen und im Gebiet der Europäischen Union in Kraft sind, einschließlich der Datenschutz-Grundverordnung, der Datenschutzrichtlinie für elektronische Kommunikation und der Datenschutzverordnung für elektronische Kommunikation;

"Datenschutzgesetze des Vereinigten Königreichs" bezeichnet alle Gesetze, Satzungen, Erklärungen, Dekrete, Richtlinien, Rechtsverordnungen, Anordnungen, Verordnungen, Vorschriften, Regeln oder andere verbindliche Instrumente in Bezug auf den Schutz personenbezogener Daten, die im Hoheitsgebiet des Vereinigten Königreichs in Kraft sind, einschließlich der Datenschutz-Grundverordnung des Vereinigten Königreichs und des Data Protection Act 2018, soweit sie sich auf die Verarbeitung personenbezogener Daten und die Privatsphäre beziehen;

"Modellklauseln" sind die Standardvertragsklauseln gemäß dem Beschluss der Kommission vom 4. Juni 2021 ((EU) 2021/914) (der hier durch Verweis aufgenommen wird), insbesondere Modul 2 (für die Verarbeitung Verantwortlicher an den Auftragsverarbeiter), in der jeweils aktualisierten oder ersetzten Fassung der Europäischen Kommission, oder, sofern umgesetzt, andere Vertragsklauseln oder ähnliche Mechanismen, die von der britischen Regulierungsbehörde oder der britischen Datenschutz-Grundverordnung (GDPR) für die Verwendung in Bezug auf die eingeschränkte Übermittlung genehmigt wurden, in der jeweils aktualisierten oder ersetzten Fassung;

"Aufsichtsbehörde" bezeichnet die Datenschutzaufsichtsbehörde, die für die Verarbeitung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen und/oder einen Datenverarbeiter zuständig ist;

"Unterauftragsverarbeiter" bezeichnet jeden Dritten, der beauftragt ist, personenbezogene Daten im Namen des Datenverarbeiters im Zusammenhang mit dieser DSGVO zu verarbeiten.

"Drittländer" oder "Drittland" bezeichnet alle Länder außerhalb des Geltungsbereichs der Datenschutzgesetze des Europäischen Wirtschaftsraums ("EWR"), mit Ausnahme der Länder, denen die Europäische Kommission von Zeit zu Zeit einen angemessenen Schutz personenbezogener Daten bescheinigt, zu denen zum Zeitpunkt dieser DSGVO Andorra, Argentinien, Kanada (für die Verarbeitung gemäß PIPEDA), die Färöer-Inseln, Guernsey, die Isle of Man, Israel, Japan, Jersey, Neuseeland, Südkorea, die Schweiz, das Vereinigte Königreich und Uruguay gehören.

2. Verarbeitung von personenbezogenen Daten  

2.1 Die Parteien erkennen an und vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten der Kunde der "Datenverantwortliche" und TrackTik der "Datenverarbeiter" ist und dass TrackTik "Unterauftragsverarbeiter" gemäß den in Abschnitt 8 dargelegten Anforderungen einschalten wird.

2.2 Der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen, die im Rahmen dieser DSGVO verarbeitet werden, sind in Anhang 1 "Verarbeitungsdetails" dieser DSGVO näher beschrieben.

2.3 Der Datenverarbeiter darf die personenbezogenen Daten nur im Auftrag und in Übereinstimmung mit den dokumentierten Anweisungen des Datenverantwortlichen verarbeiten und muss alle Registrierungen und Benachrichtigungen aufrechterhalten, die gemäß den geltenden Datenschutzgesetzen erforderlich sind, damit er seine Verpflichtungen aus der Vereinbarung und dem Bestellformular erfüllen kann. Die Parteien vereinbaren, dass diese DPA die vollständigen und endgültigen Anweisungen des Kunden an TrackTik in Bezug auf die Verarbeitung von Kundendaten darstellt. Die verantwortliche Stelle stellt sicher, dass ihre Anweisungen mit allen anwendbaren Datenschutzgesetzen übereinstimmen und dass die Verarbeitung personenbezogener Daten gemäß den Anweisungen der verantwortlichen Stelle nicht dazu führt, dass der Datenverarbeiter gegen die anwendbaren Datenschutzgesetze verstößt. Der für die Verarbeitung Verantwortliche trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten sowie für die Mittel, mit denen der für die Verarbeitung Verantwortliche die personenbezogenen Daten erworben hat, und legt die Rechtsgrundlage für die Verarbeitung gemäß den geltenden Datenschutzgesetzen fest.

2.4 Jede Partei wird bei der Durchführung dieser DPA alle auf sie anwendbaren und für sie verbindlichen Gesetze, Regeln und Vorschriften einhalten, einschließlich der anwendbaren Datenschutzgesetze.

3. Autorisiertes Personal

3.1 Der Datenverarbeiter stellt sicher, dass seine zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit gegenüber dem Datenverarbeiter unterliegen. Der Datenverarbeiter stellt sicher, dass diese Vertraulichkeitsverpflichtungen auch nach Beendigung des Arbeitsverhältnisses bestehen bleiben.

4. Rechte der betroffenen Personen

4.1 Der Datenverarbeiter wird, soweit gesetzlich zulässig, den für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen, wenn er einen Antrag einer betroffenen Person auf Zugang zu ihren eigenen personenbezogenen Daten oder auf Berichtigung oder Löschung dieser personenbezogenen Daten oder einen anderen Antrag oder eine Anfrage einer betroffenen Person in Bezug auf ihre eigenen personenbezogenen Daten erhält (einschließlich der Ausübung von Rechten der betroffenen Person nach den geltenden Datenschutzgesetzen, wie z. B. das Recht auf Widerspruch, Einschränkung der Verarbeitung, Datenübertragbarkeit oder das Recht, keiner automatisierten Entscheidungsfindung unterworfen zu werden) (ein "Antrag der betroffenen Person"). Gegebenenfalls umfasst eine solche Meldung die schrittweise Übermittlung weiterer Informationen an den für die Verarbeitung Verantwortlichen, sobald Einzelheiten bekannt werden. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Datenverarbeiter den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, um die Verpflichtung des für die Verarbeitung Verantwortlichen zu erfüllen, auf eine Anfrage der betroffenen Person innerhalb der einschlägigen Fristen gemäß den geltenden Datenschutzgesetzen zu antworten. Soweit die für die Verarbeitung Verantwortliche bei der Nutzung der Dienste nicht in der Lage ist, eine Anfrage der betroffenen Person zu beantworten, wird der Datenverarbeiter auf Anfrage der für die Verarbeitung Verantwortlichen wirtschaftlich vertretbare Anstrengungen unternehmen, um die für die Verarbeitung Verantwortliche bei der Beantwortung einer solchen Anfrage der betroffenen Person zu unterstützen, soweit der Datenverarbeiter rechtlich dazu befugt ist und die Beantwortung einer solchen Anfrage der betroffenen Person nach den geltenden Datenschutzgesetzen erforderlich ist. Soweit dies rechtlich zulässig ist, trägt der für die Verarbeitung Verantwortliche alle angemessenen Kosten, die durch die Unterstützung des Datenverarbeiters entstehen.

5. Zugangsanträge der Regierung

5.1 Der Datenverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich über jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung personenbezogener Daten, bevor diese Offenlegung erfolgt, sofern dies nicht gesetzlich verboten ist.

6. Sicherheit

6.1 Der Datenverarbeiter wird geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit (einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust oder Veränderung oder Beschädigung, unbefugter Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten), der Vertraulichkeit und der Integrität personenbezogener Daten einführen und aufrechterhalten, und zwar in Übereinstimmung mit den Anforderungen der anwendbaren Datenschutzgesetze.

7. Einhaltung der Vorschriften

7.1 Der Datenverarbeiter unternimmt alle zumutbaren Anstrengungen, um dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der in dieser DSGVO festgelegten Verpflichtungen und der geltenden Datenschutzgesetze nachzuweisen.

7.2 Auf Ersuchen des für die Verarbeitung Verantwortlichen leistet der Datenverarbeiter dem für die Verarbeitung Verantwortlichen in angemessenem Umfang die Zusammenarbeit und Unterstützung, die erforderlich ist, um die Verpflichtungen des für die Verarbeitung Verantwortlichen gemäß der Datenschutz-Grundverordnung (DSGVO), einschließlich, soweit anwendbar, der Datenschutz-Grundverordnung des Vereinigten Königreichs, zu erfüllen und eine Datenschutz-Folgenabschätzung in Bezug auf die Nutzung der Dienste durch den für die Verarbeitung Verantwortlichen durchzuführen, soweit der für die Verarbeitung Verantwortliche nicht anderweitig Zugang zu den relevanten Informationen hat und soweit diese Informationen dem Datenverarbeiter zur Verfügung stehen. Der Datenverarbeiter unterstützt den für die Verarbeitung Verantwortlichen in angemessener Weise bei der Zusammenarbeit oder der vorherigen Konsultation mit der Aufsichtsbehörde bei der Erfüllung seiner Aufgaben im Zusammenhang mit Abschnitt 7 dieser DSGVO, soweit dies nach der Datenschutz-Grundverordnung und/oder gegebenenfalls der britischen Datenschutz-Grundverordnung erforderlich ist.

8. Weiterverarbeitung

8.1 Der für die Datenverarbeitung Verantwortliche stimmt zu, dass der Datenverarbeiter Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen kann. Die derzeit von TrackTik beauftragten und vom Kunden autorisierten Unterauftragsverarbeiter sind in Anhang 2 "Liste der Unterauftragsverarbeiter" aufgeführt .

8.2 Der Datenverarbeiter stellt sicher, dass der Unterauftragsverarbeiter einen schriftlichen Vertrag abgeschlossen hat, der den Unterauftragsverarbeiter zur Einhaltung von Bedingungen verpflichtet, die nicht weniger schützend sind als die in dieser DPA vorgesehenen. Der Datenverarbeiter haftet für die Handlungen und Unterlassungen von Unterauftragsverarbeitern in gleichem Maße, wie wenn die Handlungen oder Unterlassungen vom Datenverarbeiter selbst vorgenommen würden.

8.3 Der Datenverarbeiter meldet dem für die Verarbeitung Verantwortlichen schriftlich alle Änderungen an der Liste der Unterauftragsverarbeiter, die zur Verarbeitung personenbezogener Daten berechtigt sind ("Liste der Unterauftragsverarbeiter"), stellt dem für die Verarbeitung Verantwortlichen die Informationen über den Unterauftragsverarbeiter zur Verfügung, die der für die Verarbeitung Verantwortliche vernünftigerweise verlangen kann, und stellt dem für die Verarbeitung Verantwortlichen ein Verfahren zur Verfügung, mit dem er über Aktualisierungen der Liste der Unterauftragsverarbeiter informiert wird. Die Meldung eines neuen Unterauftragsverarbeiters erfolgt 30 Tage, bevor der neue Unterauftragsverarbeiter ermächtigt wird, personenbezogene Daten im Zusammenhang mit dem Vertrag zu verarbeiten.

8.4 Der für die Verarbeitung Verantwortliche kann der Beauftragung eines neuen Unterauftragsverarbeiters durch den Datenverarbeiter widersprechen, wenn es berechtigte Gründe für die Annahme gibt, dass der neue Unterauftragsverarbeiter nicht in der Lage sein wird, die Bedingungen dieser DPA oder der Vereinbarung einzuhalten. Erhebt der für die Verarbeitung Verantwortliche Einspruch gegen den Einsatz eines neuen Unterauftragsverarbeiters durch den Datenverarbeiter, so hat er den Datenverarbeiter unverzüglich innerhalb von zehn (10) Arbeitstagen nach der Benachrichtigung über einen solchen Unterauftragsverarbeiter schriftlich zu informieren. Erhebt der für die Verarbeitung Verantwortliche innerhalb dieser Frist keinen schriftlichen Einspruch, so gilt dies als Zustimmung zum Einsatz des neuen Unterauftragsverarbeiters. Der für die Verarbeitung Verantwortliche erkennt an, dass die Unfähigkeit, einen bestimmten neuen Unterauftragsverarbeiter einzusetzen, zu Verzögerungen bei der Erbringung der Dienstleistungen, zur Unfähigkeit, die Dienstleistungen zu erbringen, oder zu erhöhten Gebühren führen kann. Der Datenverarbeiter teilt dem für die Verarbeitung Verantwortlichen schriftlich jede Änderung der Dienstleistungen oder Gebühren mit, die sich aus der Unfähigkeit des Datenverarbeiters ergeben würde, einen neuen Unterauftragsverarbeiter einzusetzen, dem der für die Verarbeitung Verantwortliche widersprochen hat. Der für die Verarbeitung Verantwortliche kann entweder eine schriftliche Änderung der Vereinbarung vornehmen, um diese Änderung umzusetzen, oder von seinem Recht Gebrauch machen, die Vereinbarung gemäß den darin enthaltenen Kündigungsbestimmungen zu beenden. Eine solche Kündigung gilt nicht als Kündigung wegen Verletzung der Vereinbarung. Der Datenverarbeiter hat das Recht, die Vereinbarung zu kündigen, wenn der für die Verarbeitung Verantwortliche einen Unterauftragsverarbeiter in unangemessener Weise ablehnt oder einer schriftlichen Änderung der Vereinbarung nicht zustimmt, mit der Änderungen der Gebühren oder Dienstleistungen vorgenommen werden, die sich aus der Unfähigkeit ergeben, den betreffenden Unterauftragsverarbeiter einzusetzen.

9. Rückgabe und Löschung

9.1 Der Datenverarbeiter wird nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung löschen oder an den für die Verarbeitung Verantwortlichen zurückgeben und bestehende Kopien der personenbezogenen Daten löschen, es sei denn, dies ist gesetzlich verboten oder wird von einer staatlichen oder behördlichen Stelle mit Befugnissen im Bereich des Datenschutzes angeordnet, oder der Datenverarbeiter könnte dadurch haftbar gemacht werden.

9.2 Der für die Verarbeitung Verantwortliche erkennt an und erklärt sich damit einverstanden, dass der Datenverarbeiter keine Haftung übernimmt, die sich aus der Unfähigkeit des Datenverarbeiters ergibt, die Dienstleistungen zu erbringen, wenn der Datenverarbeiter einer Aufforderung des für die Verarbeitung Verantwortlichen zur Löschung oder Rückgabe personenbezogener Daten gemäß Abschnitt 9.1 nachkommt.

10. Datenpanne

10.1 Für den Fall, dass ein unzulässiger, unbefugter oder rechtswidriger Zugriff auf, eine unbefugte oder rechtswidrige Nutzung oder Offenlegung von oder eine sonstige Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit von personenbezogenen Daten, die vom Datenverarbeiter im Rahmen oder in Verbindung mit dieser DPA und/oder der Vereinbarung verarbeitet werden ("Datenschutzverletzung"), vorliegt oder der Datenverarbeiter vernünftigerweise davon ausgeht, dass dies der Fall ist, wird der Datenverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich benachrichtigen und dem für die Verarbeitung Verantwortlichen die folgenden Informationen zur Verfügung stellen, sobald diese vorliegen:

(i) eine Beschreibung der Art der Datenschutzverletzung, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen;

(ii) den Namen und die Kontaktdaten der Kontaktperson des Datenverarbeiters, bei der weitere Informationen eingeholt werden können, und

(iii) eine Beschreibung der Maßnahmen, die ergriffen wurden oder ergriffen werden sollen, um die Datenschutzverletzung zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.

10.2 Die Parteien vereinbaren, sich nach Treu und Glauben bei der Ausarbeitung des Inhalts aller damit zusammenhängenden öffentlichen Erklärungen und aller erforderlichen Mitteilungen an die betroffenen Personen und/oder die zuständigen Aufsichtsbehörden im Zusammenhang mit einem Datenschutzverstoß abzustimmen, vorausgesetzt, dass keine der Bestimmungen dieses Abschnitts 10.2 eine der Parteien daran hindert, ihren Verpflichtungen gemäß den Datenschutzgesetzen nachzukommen.

11. Internationale Überweisungen

11.1 Der Datenverarbeiter wird nur dann Daten in einem Drittland verarbeiten oder personenbezogene Daten aus der Europäischen Union oder dem Vereinigten Königreich in ein Drittland übermitteln, wenn eine solche Verarbeitung oder Übermittlung auf der Grundlage und in Übereinstimmung mit den anwendbaren Musterklauseln, mit den Verarbeitungsdetails, die Anhang 1 der Musterklauseln, wie in Anlage 1 dieser DSGVO dargelegt, umfassen, und mit den technischen und organisatorischen Sicherheitsmaßnahmen, die Anhang 2 der anwendbaren Musterklauseln, wie in Anlage 1 dieser DSGVO dargelegt, umfassen, erfolgt. Der Datenverarbeiter muss die Pflichten des Datenimporteurs einhalten. Der für die Verarbeitung Verantwortliche erfüllt die Verpflichtungen des Datenexporteurs, wie sie in den anwendbaren Musterklauseln festgelegt sind. Im Falle eines Konflikts zwischen dieser DSGVO und den Musterklauseln (insbesondere mit dem Modul 2 zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern) gelten die Bestimmungen der Musterklauseln.

11.2 Vorbehaltlich Abschnitt 8.3 muss der Datenverarbeiter, wenn er eine Tochtergesellschaft oder einen dritten Unterauftragnehmer mit der Verarbeitung personenbezogener Daten in einem Drittland beauftragt, sicherstellen, dass diese Verarbeitung in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze erfolgt. Die Parteien vereinbaren, dass personenbezogene Daten an eine Tochtergesellschaft oder einen dritten Unterauftragnehmer in den Vereinigten Staaten oder Kanada übermittelt werden können, sofern der Datenverarbeiter und der Unterauftragnehmer sicherstellen, dass ein angemessenes Schutzniveau und angemessene Sicherheitsvorkehrungen in Bezug auf alle personenbezogenen Daten, die in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden, vorhanden sind.

12. Allgemeine Bestimmungen 

12.1 Der Datenverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen in Übereinstimmung mit den geltenden Datenschutzgesetzen, wenn er der Ansicht ist, dass eine der Anweisungen des für die Verarbeitung Verantwortlichen gegen die geltenden Datenschutzgesetze verstößt.

12.2 Diese DPA endet, wenn der Datenverarbeiter die Verarbeitung personenbezogener Daten einstellt, es sei denn, die Parteien haben schriftlich etwas anderes vereinbart.

12.3 Die Parteien erkennen hiermit an und sind sich darüber einig, dass eine Person, die Rechte aus dieser DPA hat, durch einen Verstoß gegen die Bestimmungen dieser DPA irreparabel geschädigt werden kann und dass Schadenersatz allein möglicherweise keine angemessene Abhilfe darstellt. Dementsprechend hat eine Person, die einen Anspruch im Rahmen dieser DPA geltend macht, Anspruch auf Unterlassungsklagen, eine bestimmte Leistung oder andere billigkeitsrechtliche Maßnahmen bei einem drohenden oder tatsächlichen Verstoß gegen die Bestimmungen dieser DPA.

12.4 Wenn der Datenverarbeiter Änderungen der DSGVO anstrebt, um einer Änderung der anwendbaren Datenschutzgesetze oder einer verbindlichen und endgültigen Entscheidung einer Aufsichtsbehörde, die für die Verarbeitung personenbezogener Daten durch die Partei zuständig ist, zu entsprechen, wird er eine neue Version der DSGVO unter https://www.tracktik.com/dpa/ veröffentlichen . Eine solche Änderung gilt ab dem Datum ihrer Veröffentlichung auf der Website des Datenverarbeiters als wirksam.

12. 5 Die Überschriften der Abschnitte in dieser DPA dienen nur zu Referenzzwecken und haben keinerlei Einfluss auf die Bedeutung oder Auslegung dieser DPA.

SCHEDULE 1: VERARBEITUNGSDETAILS

Gegenstand der Verarbeitung

Der Gegenstand ist in den TrackTik Software as a Service Geschäftsbedingungen beschrieben, die von TrackTik und dem Kunden, wie auf dem entsprechenden Bestellformular angegeben, abgeschlossen wurden.

Art und Zweck der Verarbeitung Tätigkeiten

Die vom Datenverarbeiter verarbeiteten personenbezogenen Daten sind Gegenstand der folgenden grundlegenden Verarbeitungstätigkeiten: 

GuardTour-Aktivitäten (Berichterstattung, Disposition, Wachaktivitäten einschließlich GPS-Ortung, Nachrichtenbrett, Analysen/Zusammenfassungen, Bilder, Videos)

Backoffice-Tätigkeiten (Personaleinsatzplanung, Gehaltsabrechnung, Rechnungsstellung an Kunden, Verwaltung von Kundenverträgen)

Die Art der Verarbeitung, die erforderlich ist, damit TrackTik seinen Verpflichtungen aus dem Bestellformular nachkommen kann, umfasst alle Vorgänge wie das Erheben, das Aufzeichnen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Abrufen, die Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten (unabhängig davon, ob dies mit automatisierten Mitteln geschieht oder nicht) usw.

Der Zweck der Verarbeitung ist die Erfüllung der Verpflichtungen von TrackTik im Rahmen des jeweiligen Bestellformulars, einschließlich der Ausführung von Funktionen, die vom Kunden verlangt oder angefordert werden.

Dauer 

Die vom Datenverarbeiter verarbeiteten personenbezogenen Daten werden für die folgende Dauer verarbeitet: 

Vertragsdauer zwischen dem für die Verarbeitung Verantwortlichen und dem Datenverarbeiter. Am Ende der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung löscht der Datenverarbeiter nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten oder gibt sie gemäß Abschnitt 9 (Rückgabe und Löschung) an den für die Verarbeitung Verantwortlichen zurück.

Daten Subjekte

Die vom Datenverarbeiter verarbeiteten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen: 

Mitarbeiter des Kunden;
Kunden des Kunden;
Agentur oder andere Mitarbeiter des Kunden;
Mitglieder der Öffentlichkeit - Vorfallsberichte können personenbezogene Daten von Personen enthalten, die an einem Vorfall beteiligt sind.

Kategorien von Daten

Die vom Datenverarbeiter verarbeiteten personenbezogenen Daten umfassen die folgenden Standardkategorien von Daten, die in verschiedenen Formen der Anwendung verfügbar sind:

Grundlegende Informationen:

• Vorname, Nachname
• Geschlecht
• Geburtstag
• Telefon (Festnetz, Mobiltelefon)
• E-Mail Adresse und Passwort
• Arbeitsadresse (einschließlich Stadt, Postleitzahl, Land)
• Unternehmen & Berufsbezeichnung
• Mitarbeiter-ID
• Datum der Anstellung & Datum der Beendigung
• Anmerkungen zur Gehaltsabrechnung
• Stundensatz / Jahressatz
• Zeitplan für Mitarbeiter
• Informationen zur Gehaltsabrechnung (Überstundenregelungen, Mitarbeitertyp, Freistellungen)
• Zuweisungen an Standorte
• GPS-Standort auf der Guard Tour Aktivitäten

Grundlegende Informationen über den Kunden:

• Hauptkontaktinformationen (Vorname, Nachname, Telefon, E-Mail)
• Kontakte anderer Kunden pro Standort
• Adresse (einschließlich Stadt, Postleitzahl, Land)
• Informationen zu Verträgen pro Standort
• Rechnungen und Abrechnungsinformationen
• Berichte über Wachtour-Aktivitäten (einschließlich Berichte über Vorfälle, die personenbezogene Daten von an einem Vorfall beteiligten Personen enthalten können)
• Bilder und Videos hochgeladen

Besondere Kategorien von Daten (falls zutreffend)

Die vom Datenverarbeiter verarbeiteten personenbezogenen Daten betreffen die folgenden besonderen Kategorien von Daten:

Standardmäßig keine.

Die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anhang 2 der Musterklauseln: 

Die technischen und organisatorischen Sicherheitsmaßnahmen entsprechen der Beschreibung im jährlichen SOC-II Typ 2 Sicherheitsauditbericht des Datenverarbeiters.

TABELLE 2: LISTE DER UNTERAUFTRAGSVERARBEITER

Name der Entität: Atlassian
Land, in dem die Verarbeitung durchgeführt wird:

• Kontinentale USA auf AWS-Regionen

Bereitgestellte Aktivität: Jira-Ticketing-System für Benutzersupport und Entwicklung

Verarbeitete Daten: Ticketanfragen mit Screenshots, die PII enthalten können (z. B. Vor- und Nachname)

Anschrift: 341 George Street, Ebene 6, Sydney, Australien, NSW 2000

Name der Entität: Amazon Web Services
Land, in dem die Verarbeitung durchgeführt wird:

• Nord- und Südamerika und Kanada: Brasilien, Kontinentale USA, Kanada
• EU und UK: Deutschland + Irland
• Pazifischer Raum Asien: Australien
• Afrika: Deutschland + Irland oder Kontinental-USA

Erbrachte Leistung: Verschiedene Rechen- und Speicherdienste, Plattform- und Hosting-Dienste (Cloud-Dienste)

Verarbeitete Daten: Alle von TrackTik Clients empfangenen und erzeugten Daten

Anschrift: 410 Terry Avenue North Seattle, WA 98109-5210

Name der Einrichtung: Apple Inc.
Land, in dem die Verarbeitung erfolgt:

• Weltweit
• Apple verarbeitet die Daten an dem Ort, der der Anfrage des Kunden am nächsten liegt (d. h. wenn die Anfrage aus der EU kommt, erfolgt die Verarbeitung im EU-Rechenzentrum).

Bereitgestellte Aktivität: Apple Push-Benachrichtigungsdienst (APNs)

Verarbeitete Daten: Mobile Push-Benachrichtigungen, die personenbezogene Daten enthalten können (z. B. Vor- und Nachname)

Anschrift: https://www.apple.com/legal/privacy/contact/

Name des Unternehmens: Google LLC, Google Ireland Limited oder ein anderes verbundenes Unternehmen von Google LLC
Land, in dem die Verarbeitung durchgeführt wird:

• Nord- und Südamerika & Kanada: Kontinentale USA
• EU und UK: Irland
• Rest der Welt: Kontinentale USA als Standard

Bereitgestellte Aktivität: Google Firebase (Mobile Push-Benachrichtigungen und Cloud Messaging)

Verarbeitete Daten: Mobile Push-Benachrichtigungen, die personenbezogene Daten enthalten können (z. B. Vor- und Nachname)

Anschrift: [email protected]

Name des Unternehmens: Mailgun Technologies, Inc.
Land, in dem die Verarbeitung durchgeführt wird:

• Nord- und Südamerika & Kanada: Kontinentale USA
• EU und Vereinigtes Königreich: Deutschland, Belgien
• Rest der Welt: Kontinentale USA

Bereitgestellte Aktivität: Backup-E-Mail-Zustelldienste

Verarbeitete Daten: E-Mails (z. B. Benachrichtigungen, Zustellung von Berichten)

Adresse: 112 E Pecan St #1135, San Antonio, Vereinigte Staaten, TX 78205

Name des Unternehmens: Pusher Ltd.
Land, in dem die Verarbeitung durchgeführt wird:

• Weltweit auf AWS-Regionen
• Der Pusher verarbeitet die Daten an dem Ort, der der Anfrage des Kunden am nächsten liegt (d. h. wenn die Anfrage aus der EU kommt, erfolgt die Verarbeitung im EU-Rechenzentrum).

Bereitgestellte Aktivität: In Echtzeit verwaltete WebSocket-Verbindungen für Benachrichtigungen

Verarbeitete Daten: Interne gleichzeitige Echtzeitverarbeitung von Ereignissen. (z. B. mehrere Benutzer, die auf dasselbe Dashboard schauen, um in Echtzeit eine von einer Person vorgenommene Änderung auf den Bildschirmen anderer Personen zu reflektieren)

Anschrift: 160 Old Street, London, Vereinigtes Königreich, EC1V 9BW

Name des Unternehmens: Twilio Inc
Land, in dem die Verarbeitung erfolgt:

• Twilio verarbeitet die Daten an dem Ort, der der Anfrage des Kunden am nächsten liegt
  (d.h. wenn die Anfrage aus der EU kommt, erfolgt die Verarbeitung im EU-Rechenzentrum).
• Nord- und Südamerika und Kanada: Brasilien, Kontinentale USA, Kanada
• EU und UK: Deutschland + Irland
• Pazifischer Raum Asien: Australien, Singapur, Japan
• Afrika: Deutschland + Irland oder Kontinental-USA

Erbrachte Leistung: Voice-over-IP- und SMS-Dienste

Verarbeitete Daten: Telefonie-Metadaten (Telefonnummern - Anrufer und Empfänger) und SMS-Nachrichten für Benachrichtigungen, die PII enthalten können (z. B. Vor- und Nachname)

Anschrift: 375 Beale St, Suite 300, San Francisco, CA 94105

Name der juristischen Person: Zendesk

Land, in dem die Verarbeitung erfolgt:

• Kontinentale USA auf AWS-Regionen

Bereitgestellte Aktivität: Ticketing-System für Benutzerunterstützung und Entwicklung

Verarbeitete Daten: Ticketanfragen mit Screenshots, die personenbezogene Daten enthalten können (z. B. Vor- und Nachname)

Adresse: 989 Market St, San Francisco, Vereinigte Staaten, CA 94103.