Human Design Gemeinschaft
Nachtrag zur Datenverarbeitung für das Online Netzwerk

Nachtrag zur Datenverarbeitung von Mighty Networks, Inc

Letzte Aktualisierung: 27. Juni 2023

Diese US-Datenschutzvereinbarung („USDPA“) regelt alle Lieferantendienstleistungen, die dem Kunden im Rahmen der in der DPA genannten Vereinbarung bereitgestellt werden, zu der diese USDPA Anhang A ist. Der Zweck dieser USDPA ist die Einhaltung des California Consumer Privacy Act von 2018, Cal . Bürgerliches Gesetzbuch §1798.100 ff. („CCPA“), geändert durch den California Privacy Rights Act („CPRA“), den Virginia Consumer Data Protection Act („VCDPA“) und den Colorado Privacy Act („CPA“) (zusammen „Anwendbare Gesetze“). Alle großgeschriebenen Begriffe haben die in den anwendbaren Gesetzen definierte Bedeutung, mit der Ausnahme, dass der hier verwendete Begriff „personenbezogene Daten“ die Definition von „personenbezogenen Daten“ im CPA und dem VCDPA einschließt und der hier verwendete Begriff „Sicherheitsvorfall“ die Definition von „personenbezogenen Daten“ im CPA und im VCDPA einschließt enthalten den in Cal. beschriebenen Begriff „Sicherheitsverstoß“. BGB §1798.82, die „Sicherheitsverletzung“-Definition in den Colorado Revised Statutes §6-1-716(1)(h) und die „Sicherheitsverletzung des Systems“-Definition in Titel 18.2 des Code of Virginia.

1. Verhältnis zur Vereinbarung.

Die Parteien vereinbaren, dass dieser USDPA alle bestehenden Datenverarbeitungszusätze ersetzt, die die Parteien möglicherweise zuvor im Zusammenhang mit personenbezogenen Daten abgeschlossen haben. Dieses USDP hat keine Auswirkungen auf etwaige Datenverarbeitungszusätze hinsichtlich der Einhaltung europäischer Gesetze und Vorschriften.

Mit Ausnahme der durch dieses USDPA vorgenommenen Änderungen bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft und wirksam. Sollte es einen Konflikt zwischen diesem USDPA und der Vereinbarung geben, hat dieser USDPA im Ausmaß dieses Konflikts Vorrang.

2. Verarbeitung.

Der Kunde ist ein Unternehmen im Sinne des CCPA (§1798.140(d)) und der Lieferant ist ein Dienstleister (CCPA §1798.140 (ag)) in Bezug auf die in Anlage 1 unten aufgeführten personenbezogenen Daten. Gemäß CPA §6-1-1303(7) und (19) und VCDPA§59.1-571, wie zwischen Parteien ist der Kunde ein Verantwortlicher und der Lieferant ein Verarbeiter der in Anlage 1 genannten personenbezogenen Daten. Der Kunde gibt die personenbezogenen Daten an den Lieferanten ausschließlich für den in Anlage 1 genannten Geschäftszweck weiter. Der Lieferant verarbeitet personenbezogene Daten nur in dem Umfang, der vernünftigerweise für die Zwecke erforderlich ist Erbringung der Dienstleistungen. Dem Lieferanten ist es ausdrücklich untersagt, (a) die personenbezogenen Daten zu verkaufen (CCPA §1798.140 (ad); CPA §6-1-1303(23); VCDPA §59.1-571) oder weiterzugeben (CCPA §1798.140 (ah)); (b) die personenbezogenen Daten für andere Zwecke als den Geschäftszweck aufzubewahren, zu nutzen oder offenzulegen; (c) Aufbewahrung, Nutzung oder Offenlegung der Informationen außerhalb der direkten Geschäftsbeziehung zwischen Lieferant und Kunde; und (d) Kombinieren der personenbezogenen Daten, die der Lieferant vom Kunden oder im Namen des Kunden erhält, mit personenbezogenen Daten, die er von oder im Namen einer anderen Person oder Personen erhält oder die er aus seiner eigenen Interaktion mit dem Verbraucher sammelt. Persönliche Daten können im Rahmen der Dienste anonymisiert oder aggregiert werden, jedoch nur in dem Umfang, in dem eine solche Anonymisierung bzw. Aggregation dem Standard für eine solche Aktivität entspricht, der nach geltendem Recht erforderlich ist.

3. Subunternehmer; Autorisierte Offenlegungen; Vertraulichkeit.

Wenn der Lieferant einem Dritten Zugriff auf personenbezogene Daten gewährt oder seine Rechte oder Pflichten in Bezug auf personenbezogene Daten einem Dritten überträgt, unterliegt dieser Subunternehmer Vertragsbedingungen, die mindestens so restriktiv sind, wie in diesem USDPA dargelegt und gemäß den Anforderungen von Anwendbares Gesetz. Der Lieferant bleibt für die Handlungen und Unterlassungen jedes Subunternehmers verantwortlich und voll haftbar. Der Lieferant stellt sicher, dass jede Person, die personenbezogene Daten verarbeitet, einer Geheimhaltungspflicht in Bezug auf die personenbezogenen Daten unterliegt. Der Lieferant wird einen Subunternehmer nur dann beauftragen, wenn er dem Kunden die Möglichkeit zum Widerspruch gegeben hat.

4. Sicherheit.

Der Lieferant muss ein schriftliches Informationssicherheitsprogramm implementieren, aufrechterhalten und durchsetzen, das administrative, physische und technische Maßnahmen zum Schutz der Sicherheit und Vertraulichkeit personenbezogener Daten und der zur Verarbeitung personenbezogener Daten verwendeten Systeme umfasst (die „Sicherheitsmaßnahmen“). Solche Sicherheitsmaßnahmen müssen mindestens: (i) nicht weniger streng sein als anerkannte Industriestandards und -praktiken für Informationssicherheit (d. h. ISO 27001/2-zertifiziert oder SSAE 16 (Typ 2)-konform); (ii) den Risiken angemessen sein, die sich aus der Art der Dienste und der Verarbeitung personenbezogener Daten durch den Lieferanten ergeben, insbesondere aufgrund möglicher Sicherheitsvorfälle; und (iii) das geltende Recht einhalten.

5. Sicherheitsvorfall.

Im Falle eines Sicherheitsvorfalls muss der Lieferant auf eigene Kosten und Kosten: (i) den Kunden unverzüglich (und in keinem Fall später als vierundzwanzig (24) Stunden nach Kenntniserlangung des Sicherheitsvorfalls) benachrichtigen; (ii) unverzüglich eine Untersuchung des Sicherheitsvorfalls durchführen und im Zusammenhang mit der Untersuchung angemessen mit dem Kunden zusammenarbeiten, einschließlich durch die Aufbewahrung und Bereitstellung aller relevanten Aufzeichnungen, Protokolle, Dateien oder anderen relevanten Materialien für den Kunden sowie durch regelmäßige Aktualisierungen; und (iii) gemäß den Anweisungen des Kunden unverzüglich geeignete Abhilfemaßnahmen und alle anderen Maßnahmen ergreifen, die nach geltendem Recht erforderlich sind oder auf andere Weise der Art des Sicherheitsvorfalls entsprechen. Der Lieferant erstattet dem Kunden umgehend alle Kosten und Ausgaben (einschließlich Anwaltskosten), die ihm im Zusammenhang mit dem Sicherheitsvorfall angemessenerweise entstanden sind. Der Lieferant darf ohne vorherige schriftliche Genehmigung des Kunden keine Mitteilungen veröffentlichen oder übermitteln, die sich auf einen Sicherheitsvorfall beziehen und so den Kunden identifizieren.

6. Datenzugriffsanfragen.

Der Lieferant arbeitet mit dem Kunden zusammen, wenn ein relevanter Verbraucher vom Kunden (i) Zugang zu seinen persönlichen Daten, (ii) Informationen über die Kategorien von Quellen, aus denen die persönlichen Daten gesammelt werden, oder (iii) Informationen über die Kategorien oder bestimmte Informationen verlangt Teile dieser personenbezogenen Daten, einschließlich der Bereitstellung der angeforderten Informationen in einem tragbaren und, soweit technisch machbar, leicht verwendbaren Format, das es dem Verbraucher ermöglicht, die Informationen ungehindert an eine andere Stelle zu übermitteln. Der Lieferant informiert den Kunden unverzüglich schriftlich über alle Anfragen, die er in Bezug auf personenbezogene Daten erhält. Auf Wunsch des Kunden löscht der Lieferant die personenbezogenen Daten eines bestimmten Verbrauchers unverzüglich aus den Aufzeichnungen des Lieferanten. Für den Fall, dass der Lieferant die personenbezogenen Daten aus nach geltendem Recht zulässigen Gründen nicht löschen kann, muss der Lieferant (i) den Kunden unverzüglich über den/die Grund(e) für die Ablehnung des Löschantrags informieren, (ii) die Privatsphäre, Vertraulichkeit und Sicherheit von gewährleisten solche personenbezogenen Daten und (iii) die personenbezogenen Daten unverzüglich löschen, nachdem der/die Grund(e) für die Ablehnung des Lieferanten abgelaufen ist/sind. Der Lieferant ergreift, soweit möglich, geeignete technische und organisatorische Maßnahmen, um der Pflicht des Kunden zur Beantwortung von Datenzugriffsanfragen nachzukommen.

7. Regelkonformität.

Der Lieferant muss alle anwendbaren Gesetze einhalten. Der Lieferant verpflichtet sich, nach Treu und Glauben alle Änderungen der Vereinbarung auszuhandeln, die zur Einhaltung der geltenden Gesetze erforderlich sind. Der Lieferant benachrichtigt den Kunden, wenn er die Anforderungen der geltenden Gesetze nicht mehr erfüllen kann, und der Lieferant gewährt dem Kunden das Recht, nach einer solchen Benachrichtigung angemessene und angemessene Maßnahmen zu ergreifen, um die unbefugte Nutzung personenbezogener Daten zu stoppen und zu beheben.

8. Audits.

Mindestens einmal pro Jahr im Zeitraum der vorangegangenen zwölf (12) Monate muss der Lieferant eine unabhängige Prüfung der Richtlinien sowie der technischen und organisatorischen Maßnahmen des Lieferanten zur Unterstützung der Verpflichtungen gemäß diesem USDPA unter Verwendung eines geeigneten und akzeptierten Kontrollstandards oder -rahmens durchführen Prüfungsverfahren, soweit zutreffend. Auf Anfrage des Kunden stellt der Lieferant dem Kunden Kopien dieser Audits zur Verfügung. Der Lieferant stellt dem Kunden außerdem alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses USDPA erforderlich sind, und ermöglicht dem Kunden, die Einhaltung dieses USDPA durch den Lieferanten durch Maßnahmen zu überwachen, einschließlich, aber nicht beschränkt auf, laufende manuelle Überprüfungen und automatisierte Scans sowie regelmäßige Bewertungen, Audits, oder andere technische und betriebliche Tests mindestens alle zwölf (12) Monate. Der Lieferant trägt zu angemessenen Audits und Inspektionen durch den Kunden bei. Der Lieferant gewährt dem Kunden das Recht, angemessene und angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass die Verwendung personenbezogener Daten durch den Lieferanten mit den Verpflichtungen des Kunden gemäß den geltenden Gesetzen im Einklang steht.

9. Zertifizierung.

Der Lieferant bestätigt, dass er die in diesem USDPA dargelegten Anforderungen und Einschränkungen versteht und einhält.

10. Rückgabe oder Vernichtung personenbezogener Daten.

Nach Wahl des Kunden löscht der Lieferant alle personenbezogenen Daten oder gibt sie am Ende der Erbringung der Dienstleistungen wie gewünscht an den Kunden zurück, es sei denn, die Aufbewahrung der personenbezogenen Daten ist nach geltendem Recht erforderlich.

11. Datenschutzbewertungen.

Der Lieferant unterstützt den Kunden bei der Erfüllung seiner Verpflichtungen gemäß den geltenden Gesetzen. Unter Berücksichtigung der Art der Verarbeitung und der dem Lieferanten zur Verfügung stehenden Informationen unterstützt der Lieferant den Kunden, indem er ihm die erforderlichen Informationen zur Verfügung stellt, damit der Kunde alle nach geltendem Recht erforderlichen Datenschutzbewertungen durchführen und dokumentieren kann.

Anlage 1 zu USDPA

Einzelheiten zu Geschäftszweck, Dienstleistungen, personenbezogenen Daten und Dauer der Verarbeitung

Geschäftszweck: „Geschäftszweck“ bezeichnet die Verwendung personenbezogener Daten für betriebliche Zwecke des Kunden oder andere mitgeteilte Zwecke, vorausgesetzt, dass die Verwendung personenbezogener Daten angemessen notwendig und verhältnismäßig ist, um den Zweck zu erreichen, für den die personenbezogenen Daten erfasst oder verarbeitet wurden für einen anderen Zweck, der mit dem Kontext vereinbar ist, in dem die personenbezogenen Daten erfasst wurden.

Der/die Geschäftszweck(e) der vom Lieferanten durchzuführenden Verarbeitung:

Um Mighty Software die Bereitstellung seiner Dienste (wie in der Vereinbarung zwischen den Parteien definiert) für den Kunden zu ermöglichen, insbesondere um es Mighty Software zu ermöglichen, Einzelpersonen Einladungen zu senden, um Mitglieder des Mighty Networks des Kunden zu werden; um Kunden und Mitglieder einzubinden; die Teilnahme am Mighty Network des Kunden erleichtern; um Kunden- und Mitgliederinhalte im Mighty Network des Kunden zu verarbeiten, zu speichern und verfügbar zu machen. Darüber hinaus halten Sie sich an die Gesetze, führen Analysen der Nutzung des Mighty Network des Kunden durch Kunden und Mitglieder durch und verhindern den Missbrauch des Mighty Network des Kunden und Verstöße gegen die Richtlinien zur akzeptablen Nutzung.

Die Art der Dienste, die die Verwendung personenbezogener Daten erfordern: Mighty Networks bietet Hosts (Kunden) eine Plattform zum Erstellen und Verwalten von Communities, die einer Einzelperson, einer Identität oder einem Interesse gewidmet sind. Gastgeber laden Menschen („Mitglieder“) ein, miteinander in Kontakt zu treten, Nachrichten zu senden und Informationen und Inhalte auszutauschen. Gastgeber passen ihr Mighty Network an die von ihnen eingeladenen Mitglieder, die von ihnen organisierten Gespräche, das, was sie ihr Mighty Network nennen, und zusätzliches Branding an, das sie möglicherweise verwenden möchten.

Arten personenbezogener Daten: Identifikations- und Kontaktdaten (Name, Geschlecht, Beruf, E-Mail-Adresse, Titel), persönliche Interessen oder Vorlieben (einschließlich Marketingpräferenzen und, wenn der Endbenutzer sich für die Integration eines Netzwerkkontos in ein Social-Media-Profil entscheidet, Social-Media-Profilinformationen) ; IT-Informationen (IP-Adressen, Nutzungsdaten, Cookie-Daten, Online-Navigationsdaten, Standortdaten (abhängig von den Einstellungen des Endbenutzers) und Browserdaten); und alle anderen Informationen, die der Endbenutzer dem Netzwerk zur Verfügung stellt.

Dauer der Verarbeitung: Wie in der Vereinbarung vorgesehen.