Home » Nachtrag zur Datenverarbeitung

Data processing Addendum

November 2022 

 

Dieser Datenverarbeitungsnachtrag (DPA) ist eine Ergänzung zum Abonnementvertrag für den Sidetrade-Service und/oder zu den Allgemeinen Geschäftsbedingungen für das Business Process Outsourcing und/oder zum Auftrag für professionelle Dienstleistungen und/oder zu den Allgemeinen Geschäftsbedingungen für Online-Schulungen (Capsule-Angebote) (der „Vertrag“) und legt zusätzliche Bedingungen fest, die gelten, wenn personenbezogene Daten von Sidetrade im Rahmen des Vertrags und im Zusammenhang mit den im Rahmen des Vertrags erbrachten Dienstleistungen (im Folgenden die „Dienstleistungen“) verarbeitet werden. Der Zweck des Datenverarbeitungsnachtrags besteht darin, sicherzustellen, dass diese Verarbeitung in Übereinstimmung mit den geltenden Gesetzen erfolgt, einschließlich der Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutz-Grundverordnung“ oder DSGVO). 

 

In diesem Nachtrag haben die Begriffe „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“ und „Verletzung des Schutzes personenbezogener Daten“ dieselbe Bedeutung wie in der DSGVO. 

 

I – VON SIDETRADE IM AUFTRAG DES KUNDEN VERARBEITETE PERSONENBEZOGENE DATEN 

 

VERARBEITUNG PERSONENBEZOGENER KUNDENDATEN 

 

1.1 Rolle der Parteien – Die Parteien erkennen an und stimmen zu, dass der Kunde in Bezug auf die Verarbeitung personenbezogener Daten der Verantwortliche ist und Sidetrade als Auftragsverarbeiter für die Verarbeitung personenbezogener Daten im Auftrag des Kunden ernennt. 

 

1.2 Dauer der Verarbeitung – Sidetrade verarbeitet personenbezogene Daten gemäß den Bestimmungen dieses Datenverarbeitungsnachtrags bis zum frühesten der folgenden Ereignisse: (i) Beendigung der Vereinbarung oder (ii) dem Datum, an dem der Kunde Sidetrade darüber informiert, dass die Verarbeitung für die vom Kunden definierten Zwecke nicht mehr erforderlich ist (dieses Ereignis hat keine Auswirkungen auf andere mögliche vertragliche Verpflichtungen des Kunden, insbesondere im Hinblick auf finanzielle Abonnements). 

 

1.3 Art und Zweck der Verarbeitung – Sidetrade verarbeitet personenbezogene Daten, soweit dies zur Erbringung der Dienstleistungen gemäß der Vereinbarung erforderlich ist, und gemäß den weiteren Anweisungen des Kunden bei der Nutzung der Dienstleistungen, sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen. Sidetrade handelt nur auf Anweisung des Kunden und befolgt die von Zeit zu Zeit vom Kunden erhaltenen Anweisungen. 

 

1.4 Art der personenbezogenen Daten – Der Kunde kann personenbezogene Daten an die Dienste übermitteln, deren Umfang vom Kunden festgelegt und kontrolliert wird und die unter anderem die folgenden Kategorien personenbezogener Daten umfassen können: Vor- und Nachname, Titel/Position, Arbeitgeber, Kontaktinformationen (Unternehmen, E-Mail, Telefon, physische Geschäftsadresse, Adresse in sozialen Netzwerken). 

 

1.5 Kategorien betroffener Personen – Der Kunde kann personenbezogene Daten an die Dienste übermitteln, deren Umfang vom Kunden festgelegt und kontrolliert wird und die personenbezogene Daten in Bezug auf die folgenden Kategorien betroffener Personen enthalten können, aber nicht darauf beschränkt sind: Kunden, Mitarbeiter, potenzielle Kunden, Geschäftspartner. 

 

1.6 Aufzeichnung der Verarbeitungstätigkeit – Vorbehaltlich der Anwendbarkeit der in Artikel 30 der DSGVO festgelegten Bedingungen führt Sidetrade ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Kunden durchgeführt werden. 

 

SIDETRADE-PERSONAL 

 

2.1 Vertraulichkeit – Sidetrade stellt sicher, dass die Mitglieder seines Personals, die mit der Verarbeitung personenbezogener Daten befasst sind, über den vertraulichen Charakter der personenbezogenen Daten informiert sind und eine angemessene Schulung über ihre Verantwortlichkeiten erhalten haben. 

 

2.2 Zuverlässigkeit – Sidetrade ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter zu gewährleisten, die Zugang zu den personenbezogenen Daten des Kunden haben können, und um den Zugang auf diejenigen Personen zu beschränken, die die relevanten personenbezogenen Daten für die Durchsetzung der Vereinbarung kennen/auf sie zugreifen müssen. 

 

Anforderungen des California Consumer Privacy Act von 2018, Cal. Civ. Code §§ 1798.100 ff. (CCPA); 

 

Sidetrade darf die personenbezogenen Daten des Kunden ausschließlich für die Zwecke verwenden und offenlegen, für die diese personenbezogenen Daten ihm zur Verfügung gestellt wurden, wie in der Vereinbarung und dieser Datenschutzrichtlinie festgelegt. 

 

Sidetrade verpflichtet sich, die im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten nicht ohne vorherige schriftliche Zustimmung des Kunden zu „verkaufen“, wie dieser Begriff im CCPA definiert ist. 

 

SICHERHEIT 

 

4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen ergreift Sidetrade technische und organisatorische Maßnahmen, die den Risiken angemessen sind und darauf abzielen, die personenbezogenen Daten gemäß den Sicherheitsstandards von Sidetrade vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung, Zugriff oder Nutzung zu schützen. 

 

VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN 

 

5.1 Nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigt Sidetrade den Kunden unverzüglich. Sidetrade stellt dem Kunden rechtzeitig alle Informationen zur Verfügung, die dieser vernünftigerweise benötigt, um seinen Meldepflichten bei Datenschutzverletzungen gemäß den EU-Datenschutzgesetzen nachzukommen. 

 

5.2 Sidetrade unternimmt angemessene Anstrengungen, um die Ursache eines solchen Vorfalls mit personenbezogenen Daten zu ermitteln, und ergreift die von Sidetrade als notwendig und angemessen erachteten Maßnahmen, um die Ursache eines solchen Vorfalls zu beheben, soweit die Behebung innerhalb der angemessenen Kontrolle von Sidetrade liegt. Die hierin enthaltene Verpflichtung gilt nicht für Vorfälle, die vom Kunden oder den Nutzern des Kunden verursacht werden. 

 

RECHTE DER BETROFFENEN PERSONEN 

 

6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt Sidetrade den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtungen des Kunden, auf Anfragen von betroffenen Personen zur Ausübung ihrer Rechte zu reagieren. 

 

6.2 Soweit der Kunde nicht in der Lage ist, eine Anfrage einer betroffenen Person zu bearbeiten, leistet Sidetrade dem Kunden auf dessen Wunsch hin angemessene Unterstützung, soweit dies möglich ist, auf Kosten des Kunden und im gesetzlich zulässigen Umfang. 

 

ZUSAMMENARBEIT 

 

7.1 Sidetrade leistet dem Kunden angemessene Unterstützung bei allen Untersuchungen oder Anfragen einer Aufsichtsbehörde im Zusammenhang mit den Verpflichtungen des Kunden aus den Datenschutzgesetzen. 

 

7.2 Sidetrade wird dem Kunden angemessene Unterstützung in Bezug auf alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in Artikel 28 der DSGVO festgelegten Verpflichtungen nachzuweisen. 

 

UNTERAUFTRAGSVERARBEITUNG 

 

8.1 Der Kunde stimmt zu, dass Sidetrade im Zusammenhang mit der Bereitstellung der Dienste Drittanbieter als Subunternehmer beauftragen kann. Sidetrade stellt dem Kunden die aktuelle Liste der Subunternehmer für die Dienste unter https://www.sidetrade.com/sidetrade-sub-processors-list/ zur Verfügung. Sidetrade wird diesen Subunternehmern Datenschutzbedingungen auferlegen, die die personenbezogenen Daten nach demselben Standard schützen, wie er von Sidetrade vorgesehen ist. 

 

8.2 Der Kunde kann auf der vereinbarten Online-Seite von Sidetrade die Dokumentation des Unterauftragsverarbeiters sowie ein Gerät finden, um Benachrichtigungen über neue Unterauftragsverarbeiter für die relevanten Dienste zu erhalten. Wenn der Kunde sich anmeldet, wird Sidetrade dem Kunden eine Benachrichtigung über neue Unterauftragsverarbeiter zukommen lassen. Der Kunde kann der Wahl von Sidetrade widersprechen, indem er Sidetrade innerhalb von fünfzehn (15) Tagen nach Erhalt der Mitteilung von Sidetrade per Brief mit Empfangsbestätigung benachrichtigt und die genauen Gründe für den Widerspruch erläutert. In einem solchen Fall wird Sidetrade angemessene Anstrengungen unternehmen, um dem Kunden eine wirtschaftlich sinnvolle Änderung der Konfiguration oder Nutzung der Dienste durch den Kunden vorzuschlagen.  

 

RECHTE AUF PRÜFUNG 

 

9.1 Vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen und mit einer maximalen Häufigkeit von einmal pro Jahr gestattet Sidetrade dem Kunden oder einem vom Kunden vertraglich beauftragten Prüfer, während der normalen Geschäftszeiten mit einer Frist von fünfzehn (15) Arbeitstagen Vor-Ort-Prüfungen oder -Inspektionen durchzuführen, um die Einhaltung der Datenschutzgesetze durch Sidetrade zu überprüfen. 

 

9.2 Vor Beginn einer solchen Prüfung vereinbaren der Kunde und Sidetrade gemeinsam den Umfang, den Zeitpunkt und die Dauer der Prüfung, die einen (1) Werktag nicht überschreiten darf. Wenn die Identität des Prüfers zu einem Interessenkonflikt oder einem Wettbewerbsproblem führen könnte, hat Sidetrade das Recht, den Kunden um die Wahl eines anderen neutralen Prüfers zu bitten. 

 

9.3 Der Kunde ergreift alle erforderlichen Maßnahmen, um sicherzustellen, dass die Prüfung keine Schäden an den Geräten, Daten, dem Geschäft, dem Personal und den Räumlichkeiten von Sidetrade verursacht. Der Kunde hat nur Anspruch auf Zugang zu Informationen, die sich ausschließlich auf die für den Kunden erbrachten Dienstleistungen beziehen, und darf die erhaltenen Informationen ausschließlich für die Zwecke der Prüfung verwenden. 

 

LÖSCHUNG UND RÜCKGABE VON KUNDENDATEN 

 

10.1 Sofern Sidetrade nicht gesetzlich verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren, löscht Sidetrade bei Kündigung oder Ablauf des Vertrags und des zugehörigen Bestellformulars alle relevanten personenbezogenen Daten des Kunden innerhalb von fünfundvierzig (45) Tagen nach der Kündigung oder dem Ablauf. 

 

10.2 Während des oben genannten Zeitraums von fünfundvierzig (45) Tagen kann der Kunde durch schriftliche Mitteilung an Sidetrade ausdrücklich die Rückgabe einer vollständigen Kopie aller relevanten personenbezogenen Daten in einem angemessenen Format verlangen. Sidetrade kann nach eigenem Ermessen einer solchen Rückgabe zustimmen, und zwar gemäß den Bedingungen, die von den Parteien einvernehmlich festgelegt werden. 

 

DATENÜBERTRAGUNG 

 

11.1 Der Kunde erkennt an und akzeptiert, dass die Bereitstellung der Dienste die Verarbeitung personenbezogener Daten durch Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums erfordern kann. 

 

11.2 Soweit eine Verarbeitung personenbezogener Daten durch Sidetrade in einem Land außerhalb des Europäischen Wirtschaftsraums (und außerhalb eines „angemessenen Landes“) stattfindet, vereinbaren die Parteien, dass die Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten gemäß dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 sowie andere von der Europäischen Kommission, dem britischen Information Commissioner’s Office oder einer anderen zuständigen Datenschutzbehörde von Zeit zu Zeit genehmigte Standardvertragsklauseln in Bezug auf diese Verarbeitung zwischen Sidetrade und dem Unterauftragsverarbeiter gelten. In diesem Fall ist Sidetrade berechtigt, diese von den EU-Behörden gemäß den EU-Datenschutzgesetzen genehmigten Standardvertragsklauseln im Namen und im Auftrag des Kunden auszuführen. 

 

VERPFLICHTUNGEN DES KUNDEN 

 

12.1 Der Kunde wird alle Anfragen einer betroffenen Person in Bezug auf ihr Recht auf Zugang, Berichtigung, Löschung, Widerspruch, Nutzung der Datenübertragbarkeit oder jedes andere Recht in Bezug auf diese personenbezogenen Daten bearbeiten. 

 

12.2 Der Kunde stellt Sidetrade angemessene Informationen in Bezug auf die Verarbeitung personenbezogener Daten zur Verfügung und informiert Sidetrade entsprechend, wenn der Kunde die Zwecke und Mittel der Verarbeitung personenbezogener Daten ändert, damit bei der Verarbeitung weiterhin die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung berücksichtigt werden. Insbesondere darf der Kunde keine besonderen Kategorien personenbezogener Daten verarbeiten, die unter Artikel 9 der DSGVO fallen, oder Daten mit hoher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen verarbeiten, ohne Sidetrade entsprechend schriftlich und im Voraus zu warnen. Soweit gesetzlich zulässig, trägt der Kunde die Verantwortung für alle möglichen Kosten, die sich aus einer solchen Situation ergeben. 

 

GESCHÄFTSKONTAKTDATEN. 

 

Sidetrade verarbeitet personenbezogene Daten als Verantwortlicher für die Verwaltung der vertraglichen und administrativen Beziehungen zu seinen Kunden (Rechnungsstellung, Vertrags- und Vorverkaufsprozesse). Die erhobenen Daten sind für die Verarbeitung unerlässlich und für die betroffenen Abteilungen von Sidetrade und gegebenenfalls für seine Subunternehmer und Lieferanten bestimmt. Die erhobenen Daten können an die Muttergesellschaft des Lieferanten oder an Drittunternehmen weitergegeben werden. Es wurden Datenübertragungsvereinbarungen getroffen, um diese grenzüberschreitenden Datenflüsse zu verwalten und ein ausreichendes Schutzniveau zu gewährleisten. Gemäß der DSGVO haben die Kundenmitarbeiter das Recht, alle ihre Daten abzufragen, auf sie zuzugreifen und sie zu berichtigen sowie ihrer Verarbeitung aus legitimen Gründen zu widersprechen. Kundenmitarbeiter können diese Rechte ausüben, indem sie eine E-Mail an privacy@sidetrade.com senden, zusammen mit einer Kopie eines Ausweises.  

 

ALLGEMEINE BEDINGUNGEN 

 

14.1 Mit Ausnahme der Änderungen durch diesen Datenverarbeitungsnachtrag bleibt die Vereinbarung in vollem Umfang in Kraft und wirksam. 

 

14.2 Bei einem ausdrücklichen Widerspruch zwischen den Allgemeinen Geschäftsbedingungen der Vereinbarung und diesem Datenverarbeitungsnachtrag hat die Bestimmung dieses Datenverarbeitungsnachtrags Vorrang. 

 

 

 

II – VON SIDETRADE AN DEN KUNDEN ÜBERMITTELTE PERSONENBEZOGENE DATEN 

 

Für personenbezogene Daten, die Sidetrade aus seinen eigenen Datenbanken an den Kunden übermittelt, gewährt Sidetrade dem Kunden ein nicht ausschließliches, nicht unterlizenzierbares, nicht abtretbares und nicht übertragbares Recht auf Zugriff auf personenbezogene Daten für die vereinbarte begrenzte Dauer, für die Europäische Union und für den alleinigen Zweck der professionellen B2B-Direktmarketing-Aktivitäten (Business-to-Business) des Kunden für seine eigenen Produkte und Dienstleistungen. 

 

Bei der Nutzung der von Sidetrade übermittelten personenbezogenen Daten handelt der Kunde als Verantwortlicher. Folglich muss der Kunde alle erforderlichen Maßnahmen ergreifen und sicherstellen, dass seine Nutzung der personenbezogenen Daten den europäischen Datenschutzgesetzen entspricht, insbesondere in Bezug auf die Grundsätze für die Verarbeitung personenbezogener Daten, die Information der betroffenen Personen und die Ausübung ihrer Rechte durch die betroffenen Personen. Insbesondere 

 

  1. a) die personenbezogenen Daten keinen unbefugten Dritten zur Verfügung stellen oder sie in einer Weise lizenzieren, verkaufen, vermieten, verleasen, übertragen, abtreten, erneut veröffentlichen, verteilen oder anzeigen, die nicht ausdrücklich von Sidetrade im Rahmen der Vereinbarung gestattet wurde,

 

  1. b) über geeignete betriebliche und technische Verfahren verfügt, die den branchenüblichen Standards entsprechen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Zerstörung, Diebstahl, Nutzung oder Offenlegung zu schützen, und den vollständigen Schutz und die Sicherheit der übermittelten personenbezogenen Daten gewährleistet,

 

  1. c) die personenbezogenen Daten nicht für illegale oder unzulässige Zwecke oder auf illegale oder unzulässige Weise verwendet, insbesondere nicht, um direkt oder indirekt illegal Spam an Dritte zu versenden,

 

  1. d) alle relevanten Gesetze oder Vorschriften zum Direktmarketing einhalten, insbesondere Artikel 95 der DSGVO und die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation oder jede künftige Verordnung zur Aufhebung der Richtlinie 2002/58/EG (klare Angabe der vollständigen Identität in jeder Direktmarketing-Nachricht, Bestehen eines direkten Zusammenhangs mit der beruflichen Tätigkeit der Empfänger, Information der Empfänger, dass sie das Recht haben, kostenlos und über einen benutzerfreundlichen Mechanismus Widerspruch einzulegen, …) und etwaiger nachfolgender Rechtsvorschriften

 

  1. e) wird die Nutzung aller personenbezogenen Daten, die von einem ausgeübten Widerspruchsrecht betroffen sind, unverzüglich einstellen und Sidetrade über jeden Widerspruch informieren.

 

Sidetrade kann die personenbezogenen Daten von Zeit zu Zeit aktualisieren, je nach ausgeübtem Widerspruchsrecht, verfügbaren Datenquellen oder der Verpflichtung, einer Anordnung, Anweisung oder Aufforderung einer Verwaltungsbehörde oder eines Gerichts nachzukommen. 

 

Der Kunde erkennt an, dass Sidetrade keine Kontrolle über die tatsächliche Nutzung der personenbezogenen Daten durch den Kunden hat, die in seiner alleinigen Verantwortung liegt. 

 

Sidetrade übernimmt keine Gewähr dafür, dass die personenbezogenen Daten vollständig sind oder den Erwartungen oder Anforderungen des Kunden entsprechen. Sidetrade haftet nicht für Ansprüche, die sich aus einer unangemessenen oder unbefugten Nutzung der personenbezogenen Daten, einschließlich Spam, ergeben. Der Kunde haftet gegenüber Sidetrade für alle Schäden (direkte, indirekte, materielle oder immaterielle), die Sidetrade oder Dritten durch die Nichteinhaltung seiner gesetzlichen und vertraglichen Verpflichtungen im Zusammenhang mit seinen B2B-Direktmarketingaktivitäten entstehen. 

 

 

Im Falle einer Abweichung zwischen der deutschen und der englischen Version des Inhaltes dieser Webseite oder damit verbundener Informationen oder Weblinks gilt ausschließlich die englische Version.