Übersetzungshinweis: Dieses Dokument wurde aus dem Englischen übersetzt, um es leichter zugänglich zu machen. Soweit nach geltendem Recht zulässig, ist die englischsprachige Fassung die maßgebliche Fassung und gilt im Falle von Widersprüchen, Unstimmigkeiten, Mehrdeutigkeiten oder Unterschieden in der Auslegung.
Dieses Data Processing Agreement („DPA“) einschließlich seiner Schedules und Anhänge ist Bestandteil der Vereinbarung zwischen Rochen Limited („Rochen“) und dem Kunden über die Bereitstellung der Dienste.
Dieses DPA gilt, wenn und soweit Rochen personenbezogene Daten des Kunden im Auftrag des Kunden im Zusammenhang mit den Diensten verarbeitet. Die Nutzungsbedingungen von Rochen („TOS“) beziehen dieses DPA durch Verweis ein.
Begriffe mit Großschreibung, die in diesem DPA definiert sind, gelten für die Zwecke dieses DPA. Begriffe mit Großschreibung, die in diesem DPA verwendet, aber nicht definiert werden, haben die ihnen in den TOS zugewiesene Bedeutung.
Dieses DPA wird geschlossen zwischen:
Rochen Limited („Rochen“), einer in Schottland, Vereinigtes Königreich, gegründeten Gesellschaft mit der Gesellschaftsnummer SC242971 und eingetragenem Sitz in 11 Dudhope Terrace, Dundee, DD3 6TS, Vereinigtes Königreich, handelnd für sich selbst und für ihre an der Bereitstellung der Dienste beteiligten verbundenen Unternehmen, einschließlich Rochen US, Inc.; und
Kunde, der Person oder Einheit, die mit Rochen eine Vereinbarung über die Dienste geschlossen hat.
Rochen und der Kunde sind jeweils eine „Partei“ und gemeinsam die „Parteien“.
In diesem DPA gilt:
Verbundenes Unternehmen bezeichnet jede Einheit, die eine Partei unmittelbar oder mittelbar kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht.
Vereinbarung bezeichnet die Nutzungsbedingungen von Rochen zusammen mit jeder anwendbaren Bestellung, Dienstleistungsvereinbarung oder sonstigen schriftlichen oder elektronischen Vereinbarung zwischen dem Kunden und Rochen, die die Nutzung der Dienste durch den Kunden regelt, einschließlich aller durch Verweis einbezogenen Dokumente, wie der Richtlinie zur akzeptablen Nutzung von Rochen und anderer anwendbarer Richtlinien.
Anwendbare Datenschutzgesetze bezeichnet alle Datenschutz- und Privatsphäre-Gesetze, die auf die Verarbeitung personenbezogener Daten des Kunden nach der Vereinbarung anwendbar sind, einschließlich, soweit anwendbar, der UK GDPR, des britischen Data Protection Act 2018, der EU GDPR, anwendbarer nationaler Umsetzungsgesetze des Europäischen Wirtschaftsraums, des Schweizer Bundesgesetzes über den Datenschutz und anderer ähnlicher Datenschutzgesetze.
Personenbezogene Daten hat die Bedeutung, die diesem Begriff in den Anwendbaren Datenschutzgesetzen zugewiesen ist.
Personenbezogene Daten des Kunden bezeichnet personenbezogene Daten, die Rochen im Auftrag des Kunden im Zusammenhang mit den Diensten verarbeitet, einschließlich personenbezogener Daten, die vom Kunden oder in dessen Auftrag unter Nutzung der Dienste hochgeladen, übermittelt, gespeichert, übertragen oder anderweitig verfügbar gemacht werden.
Kundenbeziehungsdaten bezeichnet personenbezogene Daten, die Rochen als unabhängiger Verantwortlicher im Zusammenhang mit Kontoverwaltung, Abrechnung, Zahlungen, Support, Sicherheit und Betrieb der Kundenbeziehung verarbeitet, und nicht personenbezogene Daten des Kunden, die im Auftrag des Kunden unter Nutzung der Dienste verarbeitet werden.
Kundenanwendungen bezeichnet Anwendungen, Websites, Software, Code, Datenbanken oder sonstige Komponenten, die vom Kunden oder in dessen Auftrag unter Nutzung der Dienste bereitgestellt, gehostet oder betrieben werden, einschließlich zugehöriger Inhalte und Konfigurationen.
Betroffene Person, Verletzung des Schutzes personenbezogener Daten, verarbeiten, Verarbeitung, Verantwortlicher, Auftragsverarbeiter und Aufsichtsbehörde haben die ihnen in den Anwendbaren Datenschutzgesetzen zugewiesene Bedeutung.
Beschränkte Übermittlung bezeichnet eine Übermittlung personenbezogener Daten, die Übermittlungsbeschränkungen nach den Anwendbaren Datenschutzgesetzen unterliegt.
Dienste bezeichnet alle von Rochen nach der Vereinbarung bereitgestellten Dienste, einschließlich Webhosting, Managed Cloud Hosting, Server, Compute, Speicher, Domainregistrierung, Content Delivery Network (CDN), DNS, Backup, Sicherheit, Anwendungshosting, E-Mail-Hosting, Datenbankhosting, SSL-Zertifikat, technischer Support, Migration, professionelle Dienstleistungen und damit verbundene Dienste.
Unterauftragsverarbeiter bezeichnet jeden Dritten, einschließlich verbundener Unternehmen von Rochen, der von Rochen beauftragt wird, personenbezogene Daten des Kunden im Auftrag des Kunden im Zusammenhang mit den Diensten zu verarbeiten.
UK GDPR bezeichnet die in britisches Recht übernommene Fassung der Datenschutz-Grundverordnung.
EU GDPR bezeichnet die Verordnung (EU) 2016/679.
3.1 Dieses DPA gilt nur, soweit Rochen personenbezogene Daten des Kunden als Auftragsverarbeiter oder Unterauftragsverarbeiter im Auftrag des Kunden im Zusammenhang mit den Diensten verarbeitet.
3.2 Der Kunde handelt als Verantwortlicher oder als Auftragsverarbeiter im Auftrag eines dritten Verantwortlichen. Rochen handelt als Auftragsverarbeiter oder als Unterauftragsverarbeiter, wenn der Kunde als Auftragsverarbeiter handelt.
3.3 Rochen verarbeitet bestimmte personenbezogene Daten als unabhängiger Verantwortlicher. Dazu gehören Kontoregistrierungsdaten, Abrechnungs- und Zahlungsdaten, Support-Kommunikation, Metadaten zur Dienstnutzung, missbrauchs- und sicherheitsbezogene Daten sowie andere administrative oder operative Daten im Zusammenhang mit der Kundenbeziehung („Kundenbeziehungsdaten“). Zur Klarstellung: Kundenbeziehungsdaten umfassen keine Daten, die vom Kunden unter Nutzung der Dienste gespeichert, gehostet oder verarbeitet werden; diese bleiben personenbezogene Daten des Kunden. Soweit Support-Kommunikation personenbezogene Daten des Kunden enthält, die vom Kunden oder in dessen Auftrag zum Zweck des Erhalts von Support übermittelt werden, verarbeitet Rochen diese personenbezogenen Daten des Kunden gemäß diesem DPA.
3.4 Die Verarbeitung von Kundenbeziehungsdaten unterliegt der Datenschutzerklärung von Rochen und nicht diesem DPA.
3.5 Bei einem Widerspruch zwischen diesem DPA und der Vereinbarung hat dieses DPA in Bezug auf die Verarbeitung personenbezogener Daten des Kunden Vorrang. Bei einem Widerspruch zwischen diesem DPA und den Standardvertragsklauseln oder dem UK Addendum haben die Standardvertragsklauseln oder das UK Addendum im Umfang des Widerspruchs Vorrang.
3.6 Dieses DPA soll weltweit Anwendung finden. Soweit Gesetze außerhalb der UK GDPR oder EU GDPR Anwendung finden, einschließlich der Gesetze der Vereinigten Staaten, Kanadas, Brasiliens, Indiens oder anderer Rechtsordnungen, vereinbaren die Parteien, dass dieses DPA so ausgelegt und angewendet wird, dass die Anforderungen dieser Gesetze erfüllt werden, soweit sie anwendbar sind.
3.7 Soweit nach Datenschutzgesetzen der Vereinigten Staaten anwendbar, einschließlich des California Consumer Privacy Act (CCPA) und des California Privacy Rights Act (CPRA), ist der Kunde ein „business“ oder „controller“ und Rochen ein „service provider“ oder „processor“. Rochen wird personenbezogene Daten des Kunden nicht verkaufen oder teilen, wie diese Begriffe nach den anwendbaren Datenschutzgesetzen der US-Bundesstaaten definiert sind, außer soweit dies nach diesen Gesetzen zulässig ist.
4.1 Rochen verarbeitet personenbezogene Daten des Kunden nur auf dokumentierte Weisung des Kunden, es sei denn, Rochen ist nach geltendem Recht dazu verpflichtet. Die Vereinbarung, dieses DPA, die Nutzung und Konfiguration der Dienste durch den Kunden sowie die Weisungen des Kunden, die über das My Rochen-Portal, Support-Kanäle oder andere vereinbarte Mittel erteilt werden, stellen die dokumentierten Weisungen des Kunden dar.
4.2 Rochen ist nicht verpflichtet, die Rechtmäßigkeit der Nutzung der Dienste oder der Weisungen des Kunden zu prüfen oder zu überwachen, außer soweit dies nach den Anwendbaren Datenschutzgesetzen erforderlich ist. Rochen wird den Kunden informieren, wenn eine Weisung nach vernünftiger Einschätzung von Rochen und auf Grundlage der Rochen verfügbaren Informationen eindeutig gegen Anwendbare Datenschutzgesetze verstößt, sofern Rochen gesetzlich nicht daran gehindert ist.
4.3 Der Kunde ist dafür verantwortlich sicherzustellen, dass seine Weisungen rechtmäßig sind und dass der Kunde alle erforderlichen Hinweise erteilt sowie alle erforderlichen Rechte, Genehmigungen und Rechtsgrundlagen für die Verarbeitung personenbezogener Daten des Kunden unter Nutzung der Dienste erhalten hat.
5.1 Rochen verarbeitet personenbezogene Daten des Kunden, um die Dienste bereitzustellen, abzusichern, zu unterstützen, zu warten, zu überwachen, zu verbessern und Fehler zu beheben; Backups und Wiederherstellungen durchzuführen; Missbrauch und Sicherheitsvorfälle zu verhindern; die Weisungen des Kunden zu erfüllen; und wie anderweitig in der Vereinbarung und diesem DPA beschrieben.
5.2 Einzelheiten zu Gegenstand, Dauer, Art und Zweck der Verarbeitung, Arten personenbezogener Daten und Kategorien betroffener Personen sind in Schedule 1 aufgeführt.
6.1 Der Kunde ist verantwortlich für:
6.2 Zur Klarstellung: Der Kunde ist allein verantwortlich für die Sicherheit, Konfiguration, Aktualisierungen, Patches, Entfernung und Verwaltung von Kundenanwendungen, die unter Nutzung der Dienste gehostet oder verarbeitet werden, einschließlich aller personenbezogenen Daten des Kunden, die durch oder innerhalb von Kundenanwendungen verarbeitet werden. Diese Verantwortung gilt auch dann, wenn Kundenanwendungen mithilfe von Tools, Funktionen oder Support, die Rochen als Teil der Dienste bereitstellt, installiert, konfiguriert, migriert, aktualisiert oder anderweitig unterstützt werden, sofern die Vereinbarung nicht ausdrücklich etwas anderes vorsieht.
6.3 Der Kunde erkennt an, dass Rochen die Kategorien oder das Volumen der personenbezogenen Daten des Kunden, die der Kunde unter Nutzung der Dienste hochzuladen, zu speichern, zu übertragen oder anderweitig zu verarbeiten wählt, nicht kontrolliert.
Rochen wird sicherstellen, dass Personen, die zur Verarbeitung personenbezogener Daten des Kunden befugt sind, angemessenen Vertraulichkeitsverpflichtungen unterliegen, sei es vertraglich, gesetzlich oder beruflich, und dass sie personenbezogene Daten des Kunden nur verarbeiten, soweit dies zur Bereitstellung der Dienste erforderlich oder anderweitig nach diesem DPA zulässig ist.
8.1 Rochen wird geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, personenbezogene Daten des Kunden vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.
8.2 Die Maßnahmen berücksichtigen Art, Umfang, Kontext und Zwecke der Verarbeitung, die durch die Verarbeitung entstehenden Risiken, den Stand der Technik, Implementierungskosten und die Art der Dienste.
8.3 Die Sicherheitsmaßnahmen von Rochen umfassen, soweit für die Dienste anwendbar und beschränkt auf die von Rochen verwaltete Infrastruktur und Plattform:
8.4 Zur Klarstellung: Die Sicherheitsmaßnahmen von Rochen erstrecken sich nicht auf Kundenanwendungen. Rochen führt keine Sicherheitsprüfungen auf Anwendungsebene durch, einschließlich Schwachstellenscans oder Penetrationstests von Kundenanwendungen, sofern die Vereinbarung nicht ausdrücklich etwas anderes vorsieht.
8.5 Weitere Einzelheiten sind in Schedule 2 aufgeführt.
9.1 Rochen wird den Kunden ohne unangemessene Verzögerung benachrichtigen, nachdem Rochen Kenntnis von einer bestätigten Verletzung des Schutzes personenbezogener Daten erlangt hat, die personenbezogene Daten des Kunden betrifft.
9.2 Die Benachrichtigung von Rochen wird, soweit angemessen verfügbar, Informationen enthalten, die dem Kunden helfen, seine eigenen Meldepflichten bei Verletzungen zu erfüllen, einschließlich der Art des Vorfalls, der Kategorien und ungefähren Anzahl betroffener Personen und Datensätze, soweit bekannt, wahrscheinlicher Folgen und ergriffener oder vorgeschlagener Maßnahmen zur Behebung des Vorfalls.
9.3 Die Benachrichtigung oder Reaktion von Rochen auf eine Verletzung des Schutzes personenbezogener Daten stellt kein Anerkenntnis von Verschulden oder Haftung dar.
9.4 Der Kunde ist dafür verantwortlich zu bestimmen, ob eine Verletzung des Schutzes personenbezogener Daten einer Aufsichtsbehörde, betroffenen Personen oder einer anderen Partei gemeldet werden muss, sofern die Anwendbaren Datenschutzgesetze nicht verlangen, dass Rochen direkt benachrichtigt.
10.1 Der Kunde erteilt Rochen eine allgemeine Genehmigung, Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten des Kunden im Zusammenhang mit den Diensten einzusetzen.
10.2 Rochen wird eine Liste der Unterauftragsverarbeiter unter https://rochen.com/legal/subprocessors führen. Die Liste wird den Unterauftragsverarbeiter, den Zweck der Verarbeitung, den Sitz der Einheit und, soweit anwendbar, den Verarbeitungsort angeben. Dieselbe Seite kann auch andere Drittanbieter benennen, die Rochen im Zusammenhang mit Kundenbeziehungsdaten, Geschäftsabläufen, Abrechnung, Kommunikation, Betrugsprävention, Analytik, Marketing oder anderer verantwortlichenseitiger Verarbeitung verwendet, die in der Datenschutzerklärung von Rochen beschrieben ist.
10.3 Rochen wird jedem Unterauftragsverarbeiter schriftliche Datenschutzverpflichtungen auferlegen, die der Sache nach nicht weniger schützend sind als die Rochen nach diesem DPA auferlegten Verpflichtungen, soweit dies für die Art der vom Unterauftragsverarbeiter bereitgestellten Dienste gilt.
10.4 Rochen bleibt gegenüber dem Kunden für die Erfüllung der Verpflichtungen seiner Unterauftragsverarbeiter verantwortlich, soweit dies nach den Anwendbaren Datenschutzgesetzen erforderlich ist.
10.5 Rochen wird über neue oder ersetzende Unterauftragsverarbeiter durch Aktualisierung der Unterauftragsverarbeiterliste oder durch eine andere geeignete Methode informieren. Soweit vernünftigerweise praktikabel, erfolgt diese Mitteilung vor der Änderung. Der Kunde kann einem neuen oder ersetzenden Unterauftragsverarbeiter aus angemessenen Datenschutzgründen widersprechen, indem er Rochen innerhalb von 30 Tagen nach Mitteilung schriftlich benachrichtigt. Die Parteien werden nach Treu und Glauben zusammenarbeiten, um den Widerspruch zu lösen. Können die Parteien den Widerspruch nicht lösen, kann der Kunde die betroffenen Dienste kündigen, und Rochen wird vorausbezahlte Gebühren für den nicht genutzten Teil der gekündigten Dienste erstatten, sofern die Vereinbarung nichts anderes vorsieht.
11.1 Der Kunde kann die Rechenzentrumsregion für jede Website oder jeden Dienst auswählen, soweit eine Regionsauswahl verfügbar ist. Rochen bietet derzeit Hosting-Regionen in den Vereinigten Staaten, Kanada, dem Vereinigten Königreich, Deutschland, Australien, Indien und Brasilien an, vorbehaltlich Verfügbarkeit und Dienstkonfiguration.
11.2 Der Kunde erkennt an, dass einige Dienste, einschließlich Inhaltsbereitstellung, DNS, Sicherheit, Überwachung, Support, E-Mail-Routing, Fernadministration, Abrechnung, Betrugsprävention, Backups, Offsite-Backup-Speicher, Notfallwiederherstellung und andere betriebliche Funktionen, Verarbeitung oder Zugriff von Orten außerhalb der ausgewählten Hosting-Region beinhalten können.
11.3 Personal und verbundene Unternehmen von Rochen können personenbezogene Daten des Kunden aus dem Vereinigten Königreich, den Vereinigten Staaten, Kanada, Brasilien, Indien und anderen Orten verarbeiten, an denen Rochen oder seine genehmigten Unterauftragsverarbeiter tätig sind, soweit dies erforderlich ist, um die Dienste bereitzustellen, zu unterstützen, zu sichern und zu warten.
11.4 Für Beschränkte Übermittlungen, die der EU GDPR unterliegen, vereinbaren die Parteien, dass die durch den Durchführungsbeschluss (EU) 2021/914 der Kommission angenommenen Standardvertragsklauseln (die „Standardvertragsklauseln“) durch Verweis in dieses DPA einbezogen werden und wie folgt gelten:
11.5 Für Beschränkte Übermittlungen, die der UK GDPR unterliegen, vereinbaren die Parteien, dass das UK International Data Transfer Addendum zu den EU-Standardvertragsklauseln wie in Schedule 4 angegeben gilt.
11.6 Für Übermittlungen aus der Schweiz vereinbaren die Parteien, dass die Standardvertragsklauseln mit angemessenen schweizspezifischen Änderungen gelten.
11.7 Soweit ein Angemessenheitsbeschluss oder ein anderer rechtmäßiger Übermittlungsmechanismus gilt, kann Rochen sich anstelle der Standardvertragsklauseln oder des UK Addendum oder zusätzlich dazu auf diesen Mechanismus stützen.
11.8 Rochen wird angemessene Maßnahmen ergreifen, die darauf ausgelegt sind sicherzustellen, dass internationale Übermittlungen personenbezogener Daten des Kunden in Übereinstimmung mit den Anwendbaren Datenschutzgesetzen in allen Rechtsordnungen geschützt werden, in denen die Dienste bereitgestellt werden, einschließlich der Vereinigten Staaten und Kanadas.
12.1 Unter Berücksichtigung der Art der Verarbeitung wird Rochen dem Kunden durch geeignete technische und organisatorische Maßnahmen angemessene Unterstützung leisten, um dem Kunden bei der Beantwortung von Anfragen betroffener Personen nach den Anwendbaren Datenschutzgesetzen zu helfen.
12.2 Wenn Rochen eine Anfrage einer betroffenen Person erhält, die personenbezogene Daten des Kunden betrifft, wird Rochen die betroffene Person, sofern nicht gesetzlich verboten, an den Kunden verweisen oder den Kunden benachrichtigen. Rochen wird die Anfrage nicht beantworten, außer auf dokumentierte Weisung des Kunden oder soweit gesetzlich vorgeschrieben.
12.3 Der Kunde ist dafür verantwortlich, die in den Diensten verfügbaren Kontrollen zu nutzen, um personenbezogene Daten des Kunden abzurufen, zu berichtigen, zu exportieren, zu löschen oder einzuschränken, sofern diese Kontrollen verfügbar sind.
Unter Berücksichtigung der Art der Verarbeitung und der Rochen verfügbaren Informationen wird Rochen dem Kunden angemessene Unterstützung bei den Verpflichtungen des Kunden in Bezug auf Sicherheit, Meldung von Verletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultation mit Aufsichtsbehörden leisten, soweit dies nach den Anwendbaren Datenschutzgesetzen erforderlich ist und der Kunde anderweitig keinen Zugang zu den relevanten Informationen hat.
Diese Unterstützung wird auf angemessener Grundlage erbracht. Soweit diese Unterstützung erhebliche zusätzliche Ressourcen oder Anstrengungen über die standardmäßige Bereitstellung der Dienste hinaus erfordert, kann Rochen dem Kunden diese Unterstützung zu seinen Standardsätzen berechnen.
14.1 Während der Laufzeit der Dienste kann der Kunde personenbezogene Daten des Kunden mithilfe der über die Dienste bereitgestellten Tools und Protokolle abrufen, exportieren, ändern und löschen.
14.2 Nach Beendigung oder Ablauf der Dienste wird Rochen personenbezogene Daten des Kunden gemäß der Vereinbarung, der anwendbaren Dienstkonfiguration und den dokumentierten Weisungen des Kunden löschen oder zurückgeben, sofern geltendes Recht keine Aufbewahrung verlangt.
14.3 Der Kunde erkennt an, dass gelöschte personenbezogene Daten des Kunden für einen begrenzten Zeitraum in Backups verbleiben können, bis sie gemäß dem Backup-Lebenszyklus von Rochen überschrieben oder gelöscht werden. Backup-Daten sind von der gewöhnlichen Verarbeitung isoliert und werden nicht wiederhergestellt, außer im Rahmen von Backup-Wiederherstellung, Geschäftskontinuität, Sicherheit oder gesetzlichen Compliance-Prozessen.
15.1 Rochen wird Informationen bereitstellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieses DPA und der Anwendbaren Datenschutzgesetze nachzuweisen.
15.2 Der Kunde kann höchstens einmal pro Kalenderjahr ein Audit verlangen, es sei denn, dies wird von einer Aufsichtsbehörde verlangt oder folgt auf eine bestätigte Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten des Kunden betrifft. Jedes Audit muss angemessenen Anforderungen an Vertraulichkeit, Sicherheit, Zeitpunkt und Umfang unterliegen und darf den Geschäftsbetrieb von Rochen nicht unangemessen beeinträchtigen.
15.3 Rochen kann Audit-Verpflichtungen erfüllen, indem relevante Zertifizierungen Dritter, Audit-Berichte, Zusammenfassungen, Richtlinien, Fragebögen oder andere Unterlagen zum Nachweis der Einhaltung bereitgestellt werden, soweit angemessen.
15.4 Audits werden in erster Linie durch Bereitstellung von Dokumentation und aus der Ferne durchgeführt. Vor-Ort-Audits sind nicht zulässig, außer soweit nach den Anwendbaren Datenschutzgesetzen erforderlich und keine angemessene Alternative verfügbar ist.
15.5 Der Kunde ist verantwortlich für angemessene Kosten, die Rochen bei der Unterstützung von Audits entstehen, einschließlich Zeit, Ressourcen und etwaiger Drittanbieter-Kosten, es sei denn, ein solches Audit ist aufgrund eines Verstoßes von Rochen gegen dieses DPA oder die Anwendbaren Datenschutzgesetze erforderlich.
16.1 Wenn Rochen eine rechtlich bindende Anfrage einer öffentlichen Behörde nach personenbezogenen Daten des Kunden erhält, wird Rochen, sofern gesetzlich nicht verboten, den Kunden benachrichtigen und die anfragende Behörde an den Kunden verweisen.
16.2 Rochen wird solche Anfragen prüfen und Anfragen anfechten oder einschränken, wenn Rochen vernünftigerweise feststellt, dass die Anfrage rechtswidrig, übermäßig weit gefasst oder anderweitig unangemessen ist, unter Berücksichtigung der Umstände und des anwendbaren Rechts.
17.1 Rochen kann die Dienste über verbundene Unternehmen von Rochen bereitstellen, einschließlich Rochen US, Inc. Soweit ein verbundenes Unternehmen von Rochen personenbezogene Daten des Kunden im Auftrag des Kunden verarbeitet, wird Rochen sicherstellen, dass das verbundene Unternehmen an Verpflichtungen gebunden ist, die mit diesem DPA im Einklang stehen.
17.2 Rochen bleibt für die Leistung verbundener Unternehmen von Rochen nach diesem DPA verantwortlich, soweit dies nach den Anwendbaren Datenschutzgesetzen erforderlich ist.
Die Haftung jeder Partei nach diesem DPA unterliegt den Haftungsbeschränkungen und -ausschlüssen in der Vereinbarung, außer soweit dies nach den Anwendbaren Datenschutzgesetzen oder den Standardvertragsklauseln verboten ist.
Dieses DPA beginnt, wenn der Kunde der Vereinbarung zustimmt oder die Dienste zu nutzen beginnt, und bleibt in Kraft, bis Rochen keine personenbezogenen Daten des Kunden mehr im Auftrag des Kunden verarbeitet.
Rochen kann dieses DPA von Zeit zu Zeit aktualisieren, um Änderungen des Rechts, regulatorischer Leitlinien, der Dienste oder der Verarbeitungsaktivitäten von Rochen widerzuspiegeln. Rochen wird über wesentliche Änderungen durch geeignete Mittel informieren, etwa durch Veröffentlichung einer aktualisierten Version auf seiner Website, per E-Mail oder durch Mitteilung über das Kundenportal.
Rochen verarbeitet personenbezogene Daten des Kunden, soweit dies erforderlich ist, um die Dienste nach der Vereinbarung bereitzustellen, zu unterstützen, zu sichern, zu warten, zu administrieren und zu verbessern, einschließlich zugehörigem technischem Support und Kundenanfragen, und wie anderweitig durch den Kunden durch seine Nutzung der Dienste angewiesen.
Für die Laufzeit der Vereinbarung und jeden Zeitraum, in dem Rochen personenbezogene Daten des Kunden im Rahmen der Backup-Aufbewahrung, Kontoschließung, gesetzlichen Compliance, Streitbeilegung oder anderer rechtmäßiger Zwecke verarbeitet, die nach der Vereinbarung und den Anwendbaren Datenschutzgesetzen zulässig sind.
Rochen verarbeitet personenbezogene Daten des Kunden, soweit dies erforderlich ist, um die Dienste nach der Vereinbarung bereitzustellen, zu unterstützen, zu sichern, zu warten, zu administrieren und zu verbessern, und wie anderweitig durch den Kunden durch seine Nutzung der Dienste angewiesen.
Dies umfasst, soweit anwendbar:
Der Kunde bestimmt die Kategorien betroffener Personen. Sie können umfassen:
Der Kunde bestimmt die Kategorien personenbezogener Daten. Sie können umfassen:
Die Dienste sind nicht speziell für die Verarbeitung besonderer Kategorien personenbezogener Daten, Daten über Straftaten, geschützter Gesundheitsinformationen, vom Kunden gespeicherter Zahlungskartendaten oder ähnlich sensibler Daten konzipiert, es sei denn, die Vereinbarung sieht etwas anderes vor oder der Kunde hat die Dienste und seine eigenen Anwendungen so konfiguriert, dass sie die anwendbaren rechtlichen und sicherheitstechnischen Anforderungen erfüllen.
Kontinuierlich für die Dauer der Dienste.
Der Kunde kann die Hosting-Region für jede Website oder jeden Dienst auswählen, soweit eine Regionsauswahl verfügbar ist. Einige Verarbeitungen können dennoch außerhalb der ausgewählten Hosting-Region erfolgen, einschließlich Support-Zugriff, Kontoverwaltung, Sicherheitsüberwachung, Inhaltsbereitstellung, DNS, E-Mail-Routing, Zahlungsabwicklung, Betrugsprävention, Backups, Offsite-Backup-Speicher, Notfallwiederherstellung und sonstiger betrieblicher Verarbeitung.
Rochen unterhält technische und organisatorische Maßnahmen, die der Art der Dienste angemessen sind, einschließlich, soweit anwendbar:
Rochen beauftragt Unterauftragsverarbeiter, um bestimmte Aspekte der Dienste bereitzustellen.
Rochen führt eine aktuelle Liste der Unterauftragsverarbeiter, einschließlich ihrer Identität, ihres Zwecks und ihres Standorts, unter: https://www.rochen.com/legal/subprocessors
Diese Liste kann von Zeit zu Zeit gemäß Abschnitt 10 dieses DPA aktualisiert werden.
Dieses Schedule 3 ist Teil der Informationen, die nach den Anwendbaren Datenschutzgesetzen und, soweit anwendbar, den Standardvertragsklauseln erforderlich sind.
Dieses Schedule 4 ist Bestandteil des Data Processing Agreement (DPA) und gilt für Beschränkte Übermittlungen, die der UK GDPR unterliegen.
Die Parteien vereinbaren, dass das UK International Data Transfer Addendum („UK Addendum“), Version B1.0, herausgegeben vom UK Information Commissioner’s Office und in Kraft seit dem 21. März 2022, in dieses DPA einbezogen wird und auf die EU-Standardvertragsklauseln („EU SCCs“) Anwendung findet, wie nachstehend vervollständigt.
Die Angaben zu den Parteien, einschließlich Kontaktdaten, sind in der Vereinbarung und diesem DPA enthalten. Verbundene Unternehmen von Rochen und genehmigte Unterauftragsverarbeiter können an der Verarbeitung teilnehmen, wie in diesem DPA beschrieben.
Jede Partei kann dieses UK Addendum gemäß Abschnitt 19 des UK Addendum beenden.
Bei einem Widerspruch zwischen diesem Schedule 4 und den EU SCCs oder dem UK Addendum haben die EU SCCs und das UK Addendum im Umfang des Widerspruchs Vorrang.
Dieses Schedule 4 ist Teil der Schutzmaßnahmen für Beschränkte Übermittlungen nach den Anwendbaren Datenschutzgesetzen.
Zuletzt aktualisiert: 29. April 2026