Human Design Gemeinschaft
Nachtrag zur EU-Datenverarbeitung für das Online Netzwerk
Nachtrag zur Datenverarbeitung von Mighty Networks für die EU, das Vereinigte Königreich und die Schweiz
Letzte Aktualisierung: 20. Juni 2023
Dieser Datenverarbeitungszusatz („DPA“) ist Teil der Vereinbarung zwischen Mighty Software, Inc. („Mighty Networks“) und Ihnen, einem Host eines Mighty Network. Es trat erstmals am 25. Mai 2018 in Kraft und wurde am 14. Oktober 2020 geändert, um die Standardvertragsklauseln für Datenübertragungen aufzunehmen und Verweise auf Privacy Shield zu entfernen. Am 22. Dezember 2021 und am 5. Mai 2022 wurde es erneut aktualisiert, um die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln einzubeziehen. Am 4. April 2023 wurde es aktualisiert, um Verweise auf das International Data Transfer Addendum aufzunehmen vom britischen Parlament und dem überarbeiteten Schweizer Bundesdatenschutzgesetz gefordert.
1. Definitionen
Alle großgeschriebenen Begriffe, die in dieser DPA nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. In diesem DPA verwendete, aber nicht definierte Begriffe wie „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben die gleiche Bedeutung wie im EU-Datenschutzrecht festgelegt.
„Verbundenes Unternehmen“ bezeichnet ein Unternehmen, das ein Unternehmen direkt oder indirekt kontrolliert, von diesem kontrolliert wird oder unter gemeinsamer Kontrolle mit diesem steht.
„Vereinbarung“ bezeichnet die Nutzungsbedingungen von Mighty Networks, die die Bereitstellung der Dienste für Hosts regeln, da diese Bedingungen von Zeit zu Zeit von Mighty Networks aktualisiert werden können.
„Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich gegebenenfalls der Datenschutzgesetze der EU, der Schweiz und des Vereinigten Königreichs.
„EU-Datenschutzrecht“ bezeichnet (i) vor dem 25. Mai 2018 die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Daten („Richtlinie“) und ab dem 25. Mai 2018 die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeines). Datenschutzgrundverordnung) („DSGVO“); und (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation und anwendbare nationale Umsetzungen davon (in der jeweils geänderten, ersetzten oder ersetzten Fassung).
„EWR“ bezeichnet die 27 Länder der Europäischen Union sowie Island, Liechtenstein und Norwegen.
„Host-Daten“ bezeichnet alle personenbezogenen Daten, die Mighty Networks im Auftrag des Hosts als Auftragsverarbeiter im Zuge der Bereitstellung von Diensten verarbeitet, wie in dieser DPA genauer beschrieben. Host-Daten sind alle personenbezogenen Daten, die Mighty Networks direkt vom Host bereitgestellt werden, und zwar alle personenbezogene Daten, die Mitglieder von Host’s Networks angeben, wenn sie sich für Host’s Networks registrieren und daran teilnehmen.
„Nachtrag zur internationalen Datenübertragung“ bezeichnet Anhang 2, der diesem DPA beigefügt ist und gemäß der Zustimmung des britischen Parlaments am 21. März 2022 Teil dieses DPA ist und gemäß Abschnitt 119A des Datenschutzgesetzes von 2018 herausgegeben wurde. Dieser Nachtrag zur internationalen Datenübertragung ist ein Nachtrag dazu die Standardvertragsklauseln.
„Sicherheitsvorfall“ bezeichnet jede unbefugte oder rechtswidrige Verletzung der Sicherheit, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf Host-Daten führt.
„Dienste“ bezeichnet alle Produkte oder Dienste, die Mighty Networks dem Host gemäß der Vereinbarung bereitstellt.
„Standardvertragsklauseln“ bezeichnet Anhang 1, der gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung ( EU) 2016/679 des Europäischen Parlaments und des Rates.
„Unterauftragsverarbeiter“ bezeichnet die anderen Auftragsverarbeiter, die Mighty Networks zur Verarbeitung personenbezogener Daten einsetzt.
„Schweizerisches Datenschutzrecht“ bezeichnet das revidierte Bundesgesetz über den Datenschutz (DSG), in Kraft getreten am 1. September 2023.
„Britisches Datenschutzrecht“ bezeichnet die britische Datenschutz-Grundverordnung (UK DSGVO).
2. Verhältnis zur Vereinbarung
2.1 Die Parteien vereinbaren, dass die DPA alle bestehenden Datenverarbeitungszusätze ersetzt, die die Parteien möglicherweise zuvor im Zusammenhang mit den Diensten abgeschlossen haben.
2.2 Mit Ausnahme der durch diese DPA vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft und wirksam. Sollte es einen Konflikt zwischen dieser DPA und der Vereinbarung geben, hat diese DPA im Ausmaß dieses Konflikts Vorrang.
2.3 Alle im Rahmen oder im Zusammenhang mit diesem DPA geltend gemachten Ansprüche unterliegen den Allgemeinen Geschäftsbedingungen, einschließlich, aber nicht beschränkt auf, den in der Vereinbarung festgelegten Ausschlüssen und Beschränkungen.
2.4 Der Host erklärt sich weiterhin damit einverstanden, dass alle behördlichen Strafen, die Mighty Networks im Zusammenhang mit den Host-Daten entstehen und die sich aus oder im Zusammenhang mit der Nichteinhaltung der Verpflichtungen des Hosts aus dieser DPA oder den geltenden Datenschutzgesetzen ergeben, Mighty Networks Haftung nach dieser Vereinbarung.
2.5 Niemand außer einer Partei dieses DPA, seinen Rechtsnachfolgern und zulässigen Abtretungsempfängern hat das Recht, seine Bedingungen durchzusetzen. Betroffene Personen sind Drittbegünstigte der Standardvertragsklauseln in Anhang I.
2.6 Diese DPA unterliegt den geltenden Gesetzen und Gerichtsbarkeitsbestimmungen der Vereinbarung und wird in Übereinstimmung mit diesen ausgelegt, sofern die geltenden Datenschutzgesetze nichts anderes vorschreiben.
3. Umfang und Anwendbarkeit dieser DPA
3.1 Diese DPA gilt, wenn und nur in dem Umfang, in dem Mighty Networks im Namen des Hosts Hostdaten verarbeitet, die aus dem EWR stammen oder anderweitig den Datenschutzgesetzen der EU, des Vereinigten Königreichs oder der Schweiz unterliegen Bereitstellung von Dienstleistungen gemäß der Vereinbarung.
4. Rollen und Umfang der Verarbeitung
4.1 Rolle der Parteien.
Im Verhältnis zwischen Mighty Networks und dem Host ist der Host der Verantwortliche für die Hostdaten, und Mighty Networks verarbeitet die Hostdaten nur als Auftragsverarbeiter, der im Namen des Hosts handelt.
4.2 Host-Verarbeitung von Host-Daten.
Der Host erklärt sich damit einverstanden, dass (i) er seinen Verpflichtungen als Verantwortlicher gemäß den Datenschutzgesetzen in Bezug auf die Verarbeitung von Host-Daten und allen Verarbeitungsanweisungen, die er Mighty Networks erteilt, nachkommt; und (ii) es hat eine Mitteilung gemacht und alle Einwilligungen und Rechte eingeholt (oder wird diese einholen), die gemäß den Datenschutzgesetzen erforderlich sind, damit Mighty Networks Hostdaten verarbeiten und die Dienste gemäß der Vereinbarung und dieser DPA bereitstellen kann.
4.3 Verarbeitung von Hostdaten durch Mighty Networks.
Mighty Networks darf Host-Daten nur für die in dieser DPA beschriebenen Zwecke und nur in Übereinstimmung mit den dokumentierten, rechtmäßigen Anweisungen des Hosts verarbeiten. Die Parteien vereinbaren, dass diese DPA und die Vereinbarung die vollständigen und endgültigen Anweisungen des Hosts an Mighty Networks in Bezug auf die Verarbeitung von Host-Daten und die Verarbeitung außerhalb des Geltungsbereichs dieser Anweisungen (sofern vorhanden) darlegen und einer vorherigen schriftlichen Vereinbarung zwischen Host und Mighty Networks bedürfen .
4.4 Einzelheiten der Datenverarbeitung
A. Gegenstand: Gegenstand der Datenverarbeitung im Rahmen dieses DPA sind die Hostdaten.
B. Dauer: Zwischen Mighty Networks und Host beträgt die Dauer der Datenverarbeitung im Rahmen dieser DPA bis zur Beendigung der Vereinbarung gemäß ihren Bedingungen.
C. Zweck: Der Zweck der Datenverarbeitung gemäß dieser DPA besteht darin, dem Host die Dienste bereitzustellen, die Verpflichtungen von Mighty Networks gemäß der Vereinbarung (einschließlich dieser DPA) zu erfüllen, die Nutzung von Mighty Networks zu analysieren, die Gesetze einzuhalten, um einen Missbrauch der Dienste zu verhindern und wie von den Parteien anderweitig vereinbart.
D. Art der Verarbeitung: Mighty Networks bietet Gastgebern eine Plattform zum Erstellen und Verwalten von Communities, die einer Einzelperson, einer Identität oder einem Interesse gewidmet sind. Gastgeber laden Menschen („Mitglieder“) ein, miteinander in Kontakt zu treten, Nachrichten zu senden und Informationen und Inhalte auszutauschen. Gastgeber passen ihr Mighty Network an die von ihnen eingeladenen Mitglieder, die von ihnen organisierten Gespräche, das, was sie ihr Mighty Network nennen, und zusätzliches Branding an, das sie möglicherweise verwenden möchten.
E. Kategorien betroffener Personen: Jede Einzelperson, die über das Konto des Gastgebers auf die Dienste zugreift und/oder diese nutzt („Benutzer“); und jede Person, die einem der Netzwerke des Gastgebers beitritt (zusammen „Mitglieder“).
F. Arten von Hostdaten:
i. Gastgeber und Benutzer: Identifikations- und Kontaktdaten (Name, E-Mail-Adresse, Titel, Kontaktdaten, Benutzername); Einzelheiten zur Beschäftigung (Arbeitgeber, Berufsbezeichnung, geografischer Standort, Verantwortungsbereich); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten, Browserdaten); Finanzinformationen (Kreditkartendaten, Kontodaten, Zahlungsinformationen);
ii. Mitglieder: Identifikations- und Kontaktdaten (Name, Geschlecht, Beruf, E-Mail-Adresse, Titel), persönliche Interessen oder Vorlieben (einschließlich Marketingpräferenzen und, wenn der Endbenutzer sich für die Integration eines Netzwerkkontos in ein Social-Media-Profil entscheidet, Social-Media-Profilinformationen); IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten (abhängig von den Einstellungen des Endbenutzers) und Browserdaten); Finanzinformationen, wenn der Endbenutzer für den Beitritt zum Netzwerk bezahlen muss (Kreditkartendaten, Kontodaten, Zahlungsinformationen); und alle anderen Informationen, die der Endbenutzer dem Netzwerk zur Verfügung stellt.
4.5 Offenlegungen für legitime Geschäftszwecke.
Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung (einschließlich dieser DPA) erkennt der Host an, dass Mighty Networks das Recht hat, Daten im Zusammenhang mit dem Betrieb, der Unterstützung und/oder der Nutzung der Dienste für seine legitimen Geschäftszwecke, wie z. B. die Abrechnung, zu verwenden und offenzulegen , Account Management, technischer Support, Produktentwicklung sowie Vertrieb und Marketing.
4.6 Tracking-Technologien.
Der Host erkennt an, dass Mighty Networks und seine Dienstanbieter im Zusammenhang mit der Erbringung der Dienste Cookies, eindeutige Kennungen und ähnliche Tracking-Technologien („Tracking-Technologien“) verwenden. Mighty Networks sorgt für angemessene Hinweise, Einwilligungen, Opt-in- und Opt-out-Mechanismen gemäß den Datenschutzgesetzen, um es ihm und seinen Dienstanbietern zu ermöglichen, Tracking-Technologien rechtmäßig auf den Geräten von Benutzern und Mitgliedern einzusetzen und Daten von diesen zu sammeln, in Übereinstimmung mit und wie in der Cookie-Richtlinie von Mighty Networks beschrieben.
5. Unterverarbeitung
5.1 Autorisierte Unterauftragsverarbeiter.
Der Gastgeber erklärt sich damit einverstanden, dass Mighty Networks Unterauftragsverarbeiter damit beauftragen kann, Host-Daten im Namen des Gastgebers zu verarbeiten.
5.2 Pflichten des Unterauftragsverarbeiters.
Mighty Networks muss: (i) mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung treffen, in der Datenschutzbestimmungen festgelegt werden, die den Unterauftragsverarbeiter dazu verpflichten, die Hostdaten gemäß dem von den Datenschutzgesetzen geforderten Standard zu schützen; und (ii) bleibt für die Einhaltung der Verpflichtungen aus diesem DPA sowie für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich, die dazu führen, dass Mighty Networks gegen seine Verpflichtungen aus diesem DPA verstößt.
5.3 Die Liste der Unterauftragsverarbeiter zum Datum des Inkrafttretens finden Sie hier und hier: https://www.mightynetworks.com/subprocessors. Mighty Networks stellt auf schriftliche Anfrage des Hosts eine aktuelle Liste der von ihm ernannten Unterauftragsverarbeiter zur Verfügung. Die Liste der Unterauftragsverarbeiter wird regelmäßig aktualisiert.
5.4 Mighty Networks informiert den Host vorab schriftlich über die Ernennung eines neuen Unterauftragsverarbeiters durch Veröffentlichung der aktualisierten Liste. Der Gastgeber kann der Ernennung zusätzlicher Unterauftragsverarbeiter durch Mighty Networks schriftlich widersprechen, sofern dieser Einspruch auf berechtigten Gründen im Zusammenhang mit dem Datenschutz beruht. Wenn der Gastgeber Mighty Networks innerhalb von fünf (5) Werktagen nach Erhalt dieser Mitteilung schriftlich über etwaige Einwände (aus berechtigten Gründen) gegen die vorgeschlagene Ernennung informiert, wird Mighty Networks angemessene Schritte unternehmen, um auf die vom Gastgeber erhobenen Einwände einzugehen. Wenn Host und Mighty Networks nicht in der Lage sind, die Ernennung eines neuen Unterauftragsverarbeiters innerhalb einer angemessenen Frist zu vereinbaren, hat Host das Recht, die Vereinbarung zu kündigen (ohne Rückerstattung oder unbeschadet etwaiger Gebühren, die dem Host vor der Aussetzung oder Kündigung entstanden sind).
6. Sicherheit
6.1 Sicherheitsmaßnahmen.
A. Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten:
Alle Datenspeicher, die personenbezogene Daten enthalten, sind im Ruhezustand vollständig verschlüsselt und Passwörter werden innerhalb der Tabellen symmetrisch verschlüsselt. Die gesamte anwendungsinterne Datenübertragung erfolgt innerhalb der sicheren Netzwerkumgebungen von Amazon Web Services und anwendungsübergreifende Übertragungen nutzen SSL-Verschlüsselung. Persönliche Informationsfelder für Analysedaten werden von unserer Datenaufnahmepipeline pseudonymisiert, bevor sie das Data Warehouse erreichen.
B. Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten:
Alle Systeme befinden sich in virtuellen privaten Netzwerken von Amazon Web Services und der eingehende Datenverkehr wird durch Edge-Netzwerk-Webanwendungs-Firewalls kontrolliert. Compute ist in mehreren Regionen hochverfügbar und wird über den elastischen Lastausgleich von Amazon Web Services ausgeglichen. Alle Datenspeicher verfügen über integrierte Redundanz durch V-Datendienste.
C. Maßnahmen zur Gewährleistung der rechtzeitigen Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls:
Die Haltbarkeit wird durch eine Point-in-Time-Wiederherstellung gewährleistet, die für alle relationalen Datenspeicher innerhalb von 60 Minuten wiederhergestellt werden kann.
D. Prozesse zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung:
Systemische und organisatorische Maßnahmen werden durch Automatisierung über Vanta durchgeführt und Penetrationstests werden einmal im Jahr manuell durchgeführt.
E. Maßnahmen zur Benutzeridentifizierung und -autorisierung:
Die Systemauthentifizierung und -autorisierung erfolgt über den Amazon Web Services Identity and Access Management Service. Die Anwendungsauthentifizierung erfolgt über DoorKeeper und die Autorisierung über CanCan.
F. Maßnahmen zum Schutz der Daten bei der Übertragung:
Alle Datenübertragungskanäle zu und von Auftragsverarbeitern sind SSL-verschlüsselt.
G. Maßnahmen zum Schutz der Daten bei der Speicherung:
Alle Datenspeicher, die personenbezogene Daten enthalten, sind im Ruhezustand vollständig verschlüsselt.
H. Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden:
Wir verlassen uns auf unseren Rechenzentrumsanbieter (AWS), um die physische Sicherheit zu gewährleisten. Unten finden Sie eine Kopie der Richtlinie für den physischen Zugang für AWS-Rechenzentren.
ZUGANG ZUM RECHENZENTRUM FÜR MITARBEITER
AWS gewährt nur zugelassenen Mitarbeitern Zugang zum physischen Rechenzentrum. Alle Mitarbeiter, die Zugang zum Rechenzentrum benötigen, müssen zunächst den Zugang beantragen und eine gültige geschäftliche Begründung vorlegen. Diese Anfragen werden auf der Grundlage des Prinzips der geringsten Privilegien gewährt, wobei Anfragen angeben müssen, auf welche Ebene des Rechenzentrums die Person Zugriff benötigt, und zeitgebunden sind. Anfragen werden von autorisiertem Personal geprüft und genehmigt und der Zugriff wird nach Ablauf der angeforderten Zeit widerrufen. Sobald Einzelpersonen Zutritt erhalten, sind sie auf die in ihren Berechtigungen festgelegten Bereiche beschränkt.
ZUGRIFF AUF RECHENZENTREN DRITTER
Der Zugriff Dritter wird von autorisierten AWS-Mitarbeitern beantragt, die den Zugriff Dritter beantragen und eine gültige geschäftliche Begründung vorlegen müssen. Diese Anfragen werden auf der Grundlage des Prinzips der geringsten Privilegien gewährt, wobei Anfragen angeben müssen, auf welche Ebene des Rechenzentrums die Person Zugriff benötigt, und zeitgebunden sind. Diese Anfragen werden von autorisiertem Personal genehmigt und der Zugriff wird nach Ablauf der Anfragezeit widerrufen. Sobald Einzelpersonen Zutritt erhalten, sind sie auf die in ihren Berechtigungen festgelegten Bereiche beschränkt. Jeder, der Zugang zu einem Besucherausweis hat, muss sich bei der Ankunft vor Ort ausweisen und muss angemeldet sein und von autorisiertem Personal begleitet werden.
I. Maßnahmen zur Sicherstellung der Ereignisprotokollierung:
Alle Änderungen an der Quellcodeverwaltung können über den Github-Prüfpfad überprüft werden. Der gesamte Infrastrukturzugriff, die Autorisierung und die Authentifizierung können über Amazon Web Services Cloud Trail überprüft werden. Alle Anwendungsspuren werden über New Relic APM erfasst.
J. Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration:
Wir verwenden branchenübliche Best Practices wie Infrastructure as Code, um die Systemkonfiguration im großen Maßstab durchzuführen.
K. Maßnahmen zur internen IT- und IT-Sicherheits-Governance und -Steuerung:
Richtlinie zu Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Informationssicherheitsrichtlinie
Betriebssicherheitsrichtlinie
L. Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten:
Vanta wird verwendet, um die Prozesskonformität und Richtliniendurchsetzung von Produkten Dritter sicherzustellen.
M. Maßnahmen zur Gewährleistung der Datenminimierung:
Unsere Datenverwaltungsrichtlinie klassifiziert und begrenzt die Aufbewahrung.
N. Maßnahmen zur Sicherung der Datenqualität und Maßnahmen zur Ermöglichung der Datenportabilität und zur Sicherstellung der Löschung:
Unsere Datenverwaltungsrichtlinie deckt insbesondere die Klassifizierung, Handhabung und Aufbewahrung von Daten ab.
O. Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung:
Die Datenspeicherung ist begrenzt und wird nach Ablauf der Aufbewahrungsfrist automatisch gelöscht.
P. Maßnahmen zur Sicherstellung der Rechenschaftspflicht:
Mighty Networks hat ein SOC2-Typ-1-Audit mit 15 Richtlinien erfolgreich abgeschlossen. Jede Richtlinie muss von allen Mitarbeitern und Auftragnehmern akzeptiert werden.
Mighty Networks unterstützt die US-Regierung nicht freiwillig bei der Durchführung der Aktivitäten gemäß Executive Order 12333 https://dodsioo.defense.gov/Library/EO-12333/ und hat keine Anweisungen gemäß Abschnitt 702 des U.S. Foreign Surveillance Act erhalten ( https://www.law.cornell.edu/uscode/text/50/1881a).
6.2 Aktualisierungen der Sicherheitsmaßnahmen.
Der Host ist dafür verantwortlich, die von Mighty Networks zur Verfügung gestellten Informationen zur Datensicherheit zu prüfen und eine unabhängige Entscheidung darüber zu treffen, ob die Dienste den Anforderungen und gesetzlichen Verpflichtungen des Hosts gemäß den Datenschutzgesetzen entsprechen. Der Gastgeber erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der technischen Entwicklung unterliegen und dass Mighty Networks die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der Dienste führen.
6.3 Pflichten des Gastgebers.
Ungeachtet des Vorstehenden stimmt der Host zu, dass er, sofern in dieser DPA nicht anders vorgesehen, für die sichere Nutzung der Dienste verantwortlich ist, einschließlich der Sicherung seiner Kontoauthentifizierungsdaten, des Schutzes der Sicherheit von Benutzerdaten bei der Übertragung zu und von den Diensten und der Ergreifung aller angemessenen Maßnahmen Schritte zur sicheren Verschlüsselung oder Sicherung aller auf die Dienste hochgeladenen Benutzerdaten. Der Host ist sich darüber im Klaren, dass die Dienste auf Amazon-Cloud-Servern gehostet werden.
6.4 Vertraulichkeit der Verarbeitung.
Mighty Networks stellt sicher, dass jede Person, die von Mighty Networks zur Verarbeitung von Hostdaten autorisiert wurde (einschließlich ihrer Mitarbeiter, Vertreter und Subunternehmer), einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es eine vertragliche oder gesetzliche Verpflichtung).
6.5 Reaktion auf Sicherheitsvorfälle.
Sobald Mighty Networks Kenntnis von einem Sicherheitsvorfall erlangt, benachrichtigt er den Host unverzüglich und stellt zeitnah Informationen über den Sicherheitsvorfall bereit, sobald dieser bekannt wird oder vom Host in angemessener Weise verlangt wird. Mighty Networks kooperiert uneingeschränkt und unterstützt den Host bei seinen Ermittlungs-, Eindämmungs- und Schadensbegrenzungsbemühungen.
6.6 Notfallwiederherstellung
Für alle Systeme, die im Zusammenhang mit den Diensten verwendet werden, muss Mighty Networks Vorkehrungen für Notfall-Backup-Dienste und -Ressourcen treffen und aufrechterhalten, die eine unterbrechungsfreie Bereitstellung der Dienste im Rahmen des vernünftigerweise praktikablen Umfangs gewährleisten. Wenn eine Katastrophe in den Einrichtungen eintritt und/oder diese beeinträchtigt und die Dienste unterbricht, unabhängig davon, ob sie durch einen zum Zeitpunkt des Inkrafttretens bestehenden schriftlichen Notfallwiederherstellungsplan abgedeckt ist oder nicht, ergreift Mighty Networks alle wirtschaftlich angemessenen Maßnahmen, um den durch die Beeinträchtigung verursachten Schaden zu minimieren der aus der Katastrophe resultierenden Dienstleistungen zu verbessern und Wiederholungen zu vermeiden.
7. Überprüfung
7.1 Auf begründete Anfrage überprüft Mighty Networks die Einhaltung dieser DPA, vorausgesetzt, dass der Host dieses Recht nicht mehr als einmal pro Jahr ausübt.
8. Internationale Überweisungen
8.1 Rechenzentrumsstandorte.
Mighty Networks kann Hostdaten überall auf der Welt übertragen und verarbeiten, wo Mighty Networks, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen. Mighty Networks sorgt jederzeit für ein angemessenes Schutzniveau für die erhobenen, übertragenen, verarbeiteten oder gespeicherten Hostdaten gemäß den Anforderungen der Datenschutzgesetze.
8.2 Standardvertragsklauseln und Nachtrag zur internationalen Datenübertragung.
Mighty Networks verarbeitet keine Hostdaten im Zusammenhang mit personenbezogenen Daten von im EWR oder in der Schweiz ansässigen betroffenen Personen an einem Ort außerhalb des EWR, außer gemäß den Standardvertragsklauseln (als Anhang 1 beigefügt) oder einem Ersatz davon. Mighty Networks wird Hostdaten von im Vereinigten Königreich ansässigen Datensubjekten nicht an einem Standort außerhalb des Vereinigten Königreichs verarbeiten, außer gemäß dem International Data Transfer Addendum (im Anhang als Anlage 2 beigefügt).
8.3 Gesetzesänderungen.
Soweit sich Host oder Mighty Networks auf einen bestimmten gesetzlichen Mechanismus zur Normalisierung internationaler Datenübertragungen (nämlich Standardvertragsklauseln) verlassen, der anschließend geändert, widerrufen oder von einem zuständigen Gericht für ungültig erklärt wird, können Mighty Networks und Host verpflichten sich, nach Treu und Glauben zusammenzuarbeiten, um die Übertragung umgehend zu beenden oder einen geeigneten alternativen Mechanismus zu verfolgen, der die Übertragung rechtmäßig unterstützen kann.
9. Rückgabe oder Löschung von Daten
9.1 Bei Kündigung oder Ablauf der Vereinbarung löscht Mighty Networks (nach Wahl des Gastgebers) alle Host-Daten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, oder gibt sie an den Gastgeber zurück, mit der Ausnahme, dass diese Anforderung nicht in dem Umfang gilt, in dem Mighty Networks dies verlangt Es unterliegt dem geltenden Recht, Kopien einiger oder aller Host-Daten oder von Host-Daten, die es auf Backup-Systemen archiviert hat, aufzubewahren, die Host Data Mighty Networks sicher isolieren und vor jeder weiteren Verarbeitung schützen wird, sofern dies nicht durch geltendes Recht vorgeschrieben ist .
10. Zusammenarbeit
10.1 Die Dienste bieten Gastgebern und Mitgliedern Kontrollen, mit denen Gastgeber und Mitglieder Gastgeberdaten abrufen, korrigieren, löschen oder einschränken können, die der Gastgeber nutzen kann, um ihn bei der Erfüllung seiner Pflichten gemäß der DSGVO zu unterstützen, einschließlich seiner Pflichten im Zusammenhang mit der Beantwortung von Anfragen von betroffenen Personen oder zuständigen Datenschutzbehörden. Soweit der Host nicht in der Lage ist, unabhängig auf die relevanten Host-Daten innerhalb der Dienste zuzugreifen, leistet Mighty Networks (auf Kosten des Hosts) eine angemessene Zusammenarbeit, um den Host bei der Beantwortung von Anfragen von Einzelpersonen oder zuständigen Datenschutzbehörden im Zusammenhang mit der Verarbeitung personenbezogener Daten zu unterstützen Daten im Rahmen der Vereinbarung. Für den Fall, dass eine solche Anfrage direkt an Mighty Networks gerichtet wird, wird Mighty Networks ohne die vorherige Genehmigung des Gastgebers nicht direkt auf diese Kommunikation reagieren, es sei denn, es besteht eine gesetzliche Verpflichtung dazu. Wenn Mighty Networks auf eine solche Anfrage reagieren muss, benachrichtigt Mighty Networks den Host unverzüglich und stellt ihm eine Kopie der Anfrage zur Verfügung, es sei denn, dies ist gesetzlich verboten.
10.2 Wenn eine Strafverfolgungsbehörde Mighty Networks eine Anfrage nach Host-Daten sendet (z. B. durch eine Vorladung oder einen Gerichtsbeschluss), wird Mighty Networks versuchen, die Strafverfolgungsbehörde dazu zu bewegen, diese Daten direkt vom Host anzufordern. Im Rahmen dieser Bemühungen kann Mighty Networks der Strafverfolgungsbehörde die grundlegenden Kontaktinformationen des Gastgebers zur Verfügung stellen. Wenn Mighty Networks gezwungen ist, Host-Daten an eine Strafverfolgungsbehörde weiterzugeben, muss Mighty Networks den Host mit einer angemessenen Frist über die Aufforderung informieren, damit der Host eine Schutzanordnung oder einen anderen geeigneten Rechtsbehelf beantragen kann, es sei denn, Mighty Networks ist dies gesetzlich untersagt.
10.3 Soweit Mighty Networks nach dem EU-Datenschutzrecht dazu verpflichtet ist, stellt Mighty Networks (auf Kosten des Hosts) angemessenerweise angeforderte Informationen zu den Diensten zur Verfügung, damit der Host Datenschutz-Folgenabschätzungen oder vorherige Konsultationen mit Datenschutzbehörden gemäß den Anforderungen durchführen kann Gesetz.
11. Änderungen der Datenschutzgesetze
11.1 Mighty Networks kann diesen Nachtrag mit angemessener Mitteilung an den Host ändern oder ergänzen: (i) wenn dies von einer Aufsichtsbehörde oder einer anderen Regierungs- oder Regulierungsbehörde verlangt wird; (ii) Wenn es zur Einhaltung geltender Gesetze erforderlich ist; (iii) Um neue oder aktualisierte Standardvertragsklauseln umzusetzen, die von der Europäischen Kommission genehmigt wurden; oder (iv) sich an einen genehmigten Verhaltenskodex oder Zertifizierungsmechanismus zu halten, der gemäß den Artikeln 40, 42 und 43 DSGVO genehmigt oder zertifiziert wurde.