Produkte entdecken
Produkte entdecken

Zusatzmenü

Zurück zu den rechtlichen Informationen

DATENVERARBEITUNGSNACHTRAG

Überarbeitet: 1. Januar 2025

Dieser Datenverarbeitungsnachtrag umfasst die Anhänge1 (Beschreibung der Verarbeitung) und 2 (Bedingungen für regionale Übermittlungen) („DVN“). Dieser DVN ergänzt und ist Teil der Nutzungsbedingungen oder einer anderen schriftlichen Vereinbarung (die „Vereinbarung“) zwischen GoTo und dem „Kunde“ und gilt für die Verarbeitung der personenbezogenen Daten des Kunden durch GoTo in Verbindung mit den im Rahmen der Vereinbarung erworbenen Dienstleistungen. Dieser DVN tritt in Kraft, wenn der Kunde (a) eine Vereinbarung abschließt oder eine Bestellung unterzeichnet, die diesen DVN in ihre Bedingungen aufgenommen hat, oder (b) die Dienstleistungen nach ihrer Veröffentlichung auf der Website von GoTo nutzt (das „Datum des Inkrafttretens“). Die Bedingungen dieses DVN haben Vorrang, soweit sie mit den Bedingungen der Vereinbarung in Konflikt stehen.

Der Kunde schließt diesen DVN in seinem eigenen Namen und, soweit dies nach den Datenschutzgesetzen erforderlich ist, im Namen seiner autorisierten Konzernunternehmen ab. Verweise auf den „Kunden“ in diesem DVN beziehen sich auf die vertragschließende Rechtspersönlichkeit des Kunden und seine autorisierten Konzernunternehmen, jedoch unter der Voraussetzung, dass die vertragschließende Rechtspersönlichkeit des Kunden (a) im eigenen und im Namen ihrer autorisierten Konzernunternehmen für die Koordination, Durchführung und Entgegennahme der gesamten Kommunikation mit GoTo im Rahmen dieses DVN verantwortlich bleibt und (b) ihre eigenen Rechte oder die ihrer autorisierten Konzernunternehmen in kombinierter Weise ausübt. Sofern in diesem DVN nicht anders angegeben, bezeichnet „GoTo“ die vertragschließende Rechtspersönlichkeit von GoTo und seine Konzernunternehmen.

Die Unterzeichnung oder Annahme der Vereinbarung oder eines Bestellformulars durch die Parteien stellt die Unterzeichnung und Annahme der folgenden Dokumente dar, soweit diese anwendbar sind: (a) die brasilianischen Standardvertragsklauseln; (b) die EU-Standardvertragsklauseln; und (c) der britische Zusatz zu den EU-Standardvertragsklauseln.


1. DEFINITIONEN
In diesem DVN haben die folgenden Begriffe die unten angegebene Bedeutung. Sofern in diesem DVN nichts anderes angegeben ist, haben alle verwendeten Begriffe, die nicht in diesem Dokument definiert werden, die in der Vereinbarung festgelegte Bedeutung.

Konzernunternehmen“ bezeichnet (a) in Bezug auf den Kunden jedes Unternehmen, das direkt oder indirekt das betroffene Unternehmen kontrolliert, von ihm kontrolliert wird oder unter gemeinsamer Kontrolle mit ihm steht, und (b) in Bezug auf GoTo jedes Unternehmen, das direkt oder indirekt von GoTo Group Parent, Inc. kontrolliert wird. „Kontrolle“ im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder Kontrolle von mehr als 50 % des Aktienkapitals oder der Stimmrechte des betroffenen Unternehmens.

Autorisiertes Konzernunternehmen“ bezeichnet jedes Konzernunternehmen des Kunden, das (i) den Datenschutzgesetzen unterworfen ist und (ii) von dem Kunden autorisiert wurde, die Dienstleistungen gemäß der Vereinbarung zwischen dem Kunden und GoTo zu nutzen, aber kein eigenes Bestellformular mit GoTo unterzeichnet hat und nicht in sonstiger Weise ein „Kunde“ im Rahmen dieser Vereinbarung ist.

Brasilianische Standardvertragsklauseln“ oder „Brasilianische SCCs“ bezeichnet die Standardvertragsklauseln, die dem Beschluss CD/ANPD Nr. 19/2024 beigefügt sind, der von der brasilianischen nationalen Datenschutzbehörde (der „Autoridade Nacional de Proteção de Dados“ oder „ANPD“) verkündet wurde, in der jeweils gültigen Fassung.

CCPA“ bezeichnet das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act), in der Fassung des California Privacy Rights Act von 2020 oder „CPRA“ (Cal. Civ. Code § 1798.100-1798.199.100 et seq.) und seine Durchführungsbestimmungen, in der gegebenenfalls geänderten, ersetzten oder überholten Fassung.

Für die Verarbeitung Verantwortlicher“ bezeichnet die Rechtspersönlichkeit, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.

Grenzüberschreitende Datenübermittlung“ bezeichnet die Übermittlung oder den Austausch von personenbezogenen Daten aus einem Land in ein anderes Land (oder im Falle des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums). Grenzüberschreitende Datenübermittlungen beinhalten eingeschränkte Übermittlungen.

Kundeninhalt“ bezeichnet alle Dateien, Dokumente, Aufzeichnungen, Chat-Logs, Abschriften und ähnliche Daten, die GoTo im Namen des Kunden und/oder seiner Endnutzer hält, sowie alle anderen Informationen, die der Kunde oder seine Nutzer gegebenenfalls in das Dienstleistungskonto des Kunden in Verbindung mit den Dienstleistungen hochladen können.

Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze und Verordnungen einschließlich der Gesetze und Verordnungen von Brasilien, der Europäischen Union, des Europäischen Wirtschaftsraumes und ihrer Mitgliedsstaaten, der Schweiz, des Vereinigten Königreiches sowie der Vereinigten Staaten und ihrer Bundesstaaten (einschließlich, aber nicht beschränkt auf Kalifornien). Dies gilt in jedem einzelnen Fall im dem zulässigen Umfang für die Verarbeitung personenbezogener Daten aufgrund dieser Vereinbarung.

Betroffene Person“ bezeichnet (i) die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten, wie von Datenschutzgesetzen definiert, beziehen, oder (ii) einen Verbraucher, so wie dieser Begriff im CCPA definiert ist.

Anfrage der betroffenen Person“ bezeichnet einen Antrag einer betroffenen Person auf Ausübung der Rechte in Bezug auf ihre personenbezogenen Daten, die ihr im Rahmen der Datenschutzgesetze gewährt werden, einschließlich, sofern anwendbar, der folgenden Rechte: (i) das Recht auf Auskunft; (ii) das Recht auf Berichtigung; (iii) das Recht auf Einschränkung der Verarbeitung; (iv) das Recht auf Löschung (z. B. ein „Recht auf Vergessenwerden“); (v) das Recht auf Datenübertragbarkeit; (vi) das Recht auf Auskunft über die Weitergabe von Daten an Dritte; (vii) das Recht auf Auskunft über die relevanten Verarbeitungsaktivitäten von GoTo; (viii) das Recht auf Überprüfung der Folgen von Widersprüchen oder des Widerrufs von Einwilligungen; (ix) das Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden; und/oder (x) das Recht auf Widerspruch gegen die Verarbeitung.

EU-Standardvertragsklauseln“ oder „EU-SCCs“ bezeichnet die dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission beigefügten Standardvertragsklauseln in ihrer jeweils gültigen Fassung.

DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), in der gegebenenfalls geänderten, ersetzten oder überholten Fassung.

GoTo“ bezeichnet GoTo und die Konzernunternehmen von GoTo, die an der Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung der Dienstleistungen für den Kunden beteiligt sind.

LGPD“ bezeichnet das brasilianische Gesetz mit der Nummer 13.709, das „Allgemeine Gesetz zum Schutz personenbezogener Daten“, in der gegebenenfalls geänderten, ersetzten oder überholten Fassung.

Partei“ oder „Parteien” bezeichnet entweder und soweit zutreffend den Kunden oder GoTo im Einzelnen bzw. beide Rechtspersönlichkeiten zusammen.

Personenbezogene Daten“ bezeichnet alle Kundeninformationen, die GoTo im Rahmen der Vereinbarung von oder im Namen des Kunden erhält, in Bezug auf (i) eine identifizierte oder identifizierbare natürliche Person (z. B. eine betroffene Person oder einen Verbraucher) oder (ii) einen Haushalt nach dem CCPA und/oder (iii) jegliche Elemente, die nach geltendem Recht personenbezogene Daten oder ein vergleichbares Konstrukt darstellen, wenn diese Informationen im Namen des für die Verarbeitung Verantwortlichen durch den Auftragsverarbeiter innerhalb seiner Dienstleistungsumgebung gepflegt werden und sie auf ähnliche Art und Weise wie personenbezogene Daten oder Informationen sowie personenbezogene, identifizierbare Informationen nach den Datenschutzgesetzen geschützt sind. Ungeachtet des Vorstehenden stellen Informationen des Kunden, die ansonsten dieser Definition entsprechen, aber von der Definition personenbezogener Daten gemäß den Datenschutzgesetzen ausgenommen sind, keine personenbezogenen Daten im Sinne dieses DVN dar.

Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten ausgeführt werden, ungeachtet der Tatsache, ob dies durch automatische Mittel geschieht oder nicht, wie zum Beispiel Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Hinzuziehung, Nutzung, Weitergabe durch Übermittlung, Veröffentlichung oder Verfügbarmachung auf sonstige Art und Weise, Abgleich oder Kombinierung, Beschränkung, Löschung oder Zerstörung.

Auftragsverarbeiter“ bezeichnet die Rechtspersönlichkeit, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, einschließlich, soweit zutreffend, einen „Dienstanbieter“, so wie dieser Begriff vom CCPA definiert wird.

Eingeschränkte Übermittlung“ bezeichnet eine Übermittlung personenbezogener Daten durch GoTo aus dem Land oder, im Falle der Europäischen Union, aus dem EWR, aus dem die Daten stammen, in eine andere Gerichtsbarkeit, deren Gesetze von der anwendbaren Aufsichtsbehörde als nicht angemessen erachtet werden, wenn das Datenschutzgesetz eine solche Feststellung erfordert. Eine Übermittlung personenbezogener Daten in die Vereinigten Staaten gemäß dem EU-US Data Privacy Framework und dessen Erweiterung durch das Vereinigte Königreich oder dem Swiss-US Data Privacy Framework ist keine eingeschränkte Übermittlung.

Sicherheitsvorfall“ bezeichnet eine Verletzung der Sicherheit von GoTo, von der GoTo Kenntnis erlangt und die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf personenbezogene Daten führt, die GoTo in seiner Eigenschaft als Auftragsverarbeiter oder Unterauftragsverarbeiter des Kunden verarbeitet oder die von Unterauftragsverarbeitern von GoTo verarbeitet werden.

Dienstleistungsdaten“ bezeichnet (a) alle Daten, einschließlich personenbezogener Daten, die von GoTo zum Zwecke der Speicherung, der Übertragung oder des Austauschs von Kundeninhalten, des Versands von Waren und der Erbringung der Dienstleistungen verarbeitet werden, wie z. B. die Versandadresse, Daten zur Verfolgung und Identifizierung der Quelle und des Ziels einer Kommunikation, einschließlich Telefonnummern, Daten über den Standort des Geräts, die im Rahmen der Erbringung der Dienstleistungen generiert werden, Daten über die Weiterleitung, das Datum, die Uhrzeit, die Dauer, die Art und andere Umstände der Kommunikation oder Daten, die von den Kanälen bereitgestellt werden, die der Kunde zur Kommunikation mit seinen Kunden oder Endnutzern verwendet; (b) Daten über die Kommunikation des Kunden mit GoTo (z. B. Anfragen und Supportanfragen) und andere ähnliche Informationen; und (c) personenbezogene Daten, die sich auf die Beziehung des Kunden zu GoTo beziehen, einschließlich der Namen, Telefonnummern und/oder Kontaktinformationen von Personen, die vom Kunden autorisiert sind, auf das Kundenkonto zuzugreifen oder die Dienstleistungen zu nutzen, sowie Rechnungsinformationen.

Unterauftragsverarbeiter“ bezeichnet jeden von GoTo beauftragten Auftragsverarbeiter, der GoTo bei der Erfüllung seiner Verpflichtungen in Bezug auf die Erbringung der Dienstleistungen gemäß der Vereinbarung unterstützt.

Aufsichtsbehörde“ bezeichnet eine unabhängige staatliche Stelle, die nach geltendem Recht für die Überwachung der Einhaltung der Datenschutzgesetze eingerichtet wurde.

Schweizer Datenschutzgesetz” bezeichnet das Schweizer Datenschutzgesetz vom 25. September 2023 in der geänderten, ersetzten oder aufgehobenen Fassung.

Technische und Organisatorische Maßnahmen“ oder „TOMs“ bezeichnet die Dokumentation der technischen und organisatorischen Maßnahmen für die Dienstleistungen von GoTo im Trust Center von GoTo.

Britischer Zusatz“ bezeichnet den Zusatz für die internationalen Datenübermittlung zu den EU-SCCs, das vom Information Commissioner gemäß S119A Data Protection Act 2018 herausgegeben wurde, in der jeweils gültigen Fassung.

Britisches Datenschutzrecht“ bezeichnet alle Gesetze, die sich auf den Datenschutz, die Verarbeitung personenbezogener Daten, den Schutz der Privatsphäre und/oder die elektronische Kommunikation beziehen und die von Zeit zu Zeit im Vereinigten Königreich in Kraft sind, einschließlich der UK GDPR und des Data Protection Act 2018, jeweils in der geänderten, ersetzten oder überholten Fassung.
2. VERARBEITUNG PERSONENBEZOGENER DATEN
2.1 Beziehung zwischen den Parteien.
2.1.1 In Bezug auf die Verarbeitung personenbezogener Daten durch GoTo im Auftrag des Kunden ist der Kunde entweder der Verantwortliche oder ein Auftragsverarbeiter, der personenbezogene Daten für einen dritten Verantwortlichen verarbeitet, und GoTo ist der Auftragsverarbeiter oder ein Unterauftragsverarbeiter des Kunden.
2.1.2 Ungeachtet des Abschnitts 2.1.1 ist GoTo ein unabhängiger Verantwortlicher für personenbezogene Daten, die in Kundeninhalten und -diensten und Kontodaten enthalten sind, wenn GoTo diese für die folgenden Zwecke verarbeitet: (i) Abrechnung, Konto, Kundenbeziehungsmanagement (Marketing- und kontobezogene Mitteilungen an Beschaffungs-, Vertriebs- und andere Kundenmitarbeiter) und damit zusammenhängende Kundenkorrespondenz (Mitteilungen über kontobezogene Dinge, z. B. notwendige Aktualisierungen); (ii) Erfüllung seiner gesetzlichen Verpflichtungen; (iii) die Bearbeitung von Supportanfragen, Beschwerden und Anfragen; (iv) die Bearbeitung und Verfolgung von Streitigkeiten und Rechtsansprüchen; (v) die Aufdeckung und das Management von Verstößen gegen die Benutzungsrichtlinien von GoTo und seine Nutzungsbedingungen; und (vi) die Untersuchung von Sicherheitsvorfällen und der Schutz der Dienstleistungsumgebung. GoTo pseudonymisiert oder aggregiert personenbezogene Daten so weit wie möglich für die folgenden Zwecke: (a) Wartung, Monitoring der Leistung und Verbesserung der Dienstleistung, (b) interne und finanzielle Berichterstattung, Umsatz- und Planungsprognosen und -modellierung (einschließlich Produktstrategie) und Kapazitätsplanung und (c) Erhalt von Feedback zu unseren Dienstleistungen.
2.2 Einzelheiten der Verarbeitung. Die Kategorien der betroffenen Personen, die Kategorien der übermittelten personenbezogenen Daten, die übermittelten sensiblen Daten (falls zutreffend), die Häufigkeit der Übermittlung, die Art und der Zweck der übermittelten und verarbeiteten personenbezogenen Daten, die Aufbewahrung personenbezogener Daten und der Gegenstand der Verarbeitung sind in Anhang 1 (Beschreibung der Verarbeitung) zu diesem DVN aufgeführt.
3. VERANTWORTUNG DES KUNDEN
3.1 Einhaltung des Datenschutzgesetzes. Bei der Nutzung der Dienstleistungen muss der Kunde personenbezogene Daten in Übereinstimmung mit den für ihn geltenden datenschutzrechtlichen Bestimmungen verarbeiten und sicherstellen, dass er alle anwendbaren Bekanntmachungen beachtet oder anderweitig geeignete Genehmigungen eingeholt hat, um GoTo die Verarbeitung personenbezogener Daten gemäß der Vereinbarung zu ermöglichen. Wenn der Kunde ein Auftragsverarbeiter für einen dritten Verantwortlichen ist, gewährleistet der Kunde, dass seine Anweisungen und Handlungen in Bezug auf die personenbezogenen Daten, die GoTo im Rahmen der Vereinbarung verarbeitet, von dem betreffenden dritten Verantwortlichen genehmigt sind. Im Verhältnis zwischen den Parteien ist der Kunde allein verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und für die Art und Weise, wie er die personenbezogenen Daten erwirbt.
3.2 Zusammenarbeit. Der Kunde muss GoTo alle Informationen und den Zugang zur Verfügung stellen, die erforderlich sind, damit GoTo die Anweisungen des Kunden befolgen kann.
4. VERANTWORTLICHKEITEN VON GOTO
4.1 Einhaltung der Datenschutzgesetze. Bei der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung muss GoTo die Bestimmungen der für GoTo geltenden Datenschutzgesetze einhalten und gewährleistet gegebenenfalls das gleiche Maß an Datenschutz für diese personenbezogenen Daten, das diese Gesetze vom Kunden verlangen.
4.2 Verarbeitungsbeschränkungen und Kundenanweisungen.
4.2.1 Wenn GoTo ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist, darf GoTo personenbezogene Daten nur in seinem Namen von und in Einklang mit den dokumentierten Anweisungen des Kunden verarbeiten, von denen angenommen wird, dass sie für die folgenden Zwecke gegeben wurden: (i) die Verarbeitung in Einklang mit der Vereinbarung und des/der maßgeblichen Bestellformulare(s); (ii) die von Nutzern bei ihrer Nutzung der Dienstleistungen eingeleitete Verarbeitung und (iii) die Verarbeitung zur Einhaltung anderer dokumentierter, angemessener Anweisungen, die von dem Kunden erteilt werden (z. B. per E-Mail), wenn diese Anweisungen im Einklang mit den Bedingungen der Vereinbarung stehen. Wenn GoTo als Verantwortlicher handelt, wird GoTo die personenbezogenen Daten des Kunden für die in Abschnitt 2.1.2 genannten Zwecke verarbeiten.
4.2.2 GoTo wird den Kunden informieren, wenn zusätzliche Kosten oder Gebühren anfallen, die nicht durch die Gebühren für die Dienstleistungen abgedeckt sind, um die Anweisungen des Kunden zu befolgen, und der Kunde wird für diese zusätzlichen Dienstleistungen zu den dann geltenden Tarifen von GoTo zahlen.
4.2.3 GoTo wird den Kunden unverzüglich informieren, wenn GoTo der Ansicht ist, dass Anweisungen des Kunden im Widerspruch zu den Anforderungen der Datenschutzgesetze stehen oder diese verletzen.
4.3 Sicherheit. GoTo wird unter Berücksichtigung des Standes der Technik, der Kosten für die Durchführung und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos einer unterschiedlichen Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit (einschließlich des Schutzes vor einem Sicherheitsvorfall), der Vertraulichkeit und Integrität von Kundeninhalten, wie in dem Anwendung findenden und im Trust Center von GoTo verfügbaren Dokument in Bezug auf technische und organisatorische Maßnahmen dargelegt, durchführen und aufrechterhalten. Der Kunde erkennt an, dass die TOMs dem Fortschritt und der Entwicklung unterworfen sind und dass GoTo die TOMs von Zeit zu Zeit aktualisieren oder ändern kann. Auf diese Weise wird GoTo die Sicherheit der Dienstleistungen insgesamt nicht verringern oder verschlechtern.
4.4 Vertraulichkeit und Schulung des Personals. Mitarbeiter von GoTo, die an der Verarbeitung personenbezogener Daten des Kunden beteiligt sind, (i) wurden über die Vertraulichkeit der personenbezogenen Daten des Kunden informiert; (ii) unterliegen schriftlichen Geheimhaltungsvereinbarungen oder gesetzlichen Geheimhaltungsverpflichtungen; (iii) haben eine sachdienliche Schulung zu ihren Aufgaben erhalten, insbesondere in Bezug auf die Maßnahmen zur Gewährleistung der Sicherheit und des Datenschutzes und (iv) haben Zugang zu personenbezogenen Daten nur in dem Umfang, der für die Ausführung ihrer Verpflichtungen, Aufgaben oder Pflichten erforderlich ist.
4.5 Datenschutz-Folgenabschätzungen; vorherige Konsultationen. GoTo muss mit dem Kunden zusammenarbeiten und ihn in angemessener Weise unterstützen, wenn der Kunde im Zusammenhang mit der Nutzung der Dienstleistungen aufgrund von Datenschutzgesetzen verpflichtet ist, eine Datenschutz-Folgenabschätzung oder eine ähnliche Datenschutzprüfung seiner Verarbeitungstätigkeiten durchzuführen oder auf andere Weise eine vorherige Konsultation mit einer Aufsichtsbehörde durchzuführen.
4.6 Anfragen betroffener Personen. Wenn der Kunde eine Anfrage von einer betroffenen Person erhält, kann der Kunde (i) sicher auf sein Konto zugreifen, um die Anfrage zu bearbeiten, oder (ii) wenn der Kunde Hilfe von GoTo benötigt, um die Anfrage zu erfüllen, ein Support-Ticket an das GoTo-Supportteam mit detaillierten Anweisungen über die benötigte Hilfe von GoTo zur Erfüllung der Anfrage senden. Wenn GoTo eine Anfrage von einer betroffenen Person direkt erhält, wird GoTo die Anfrage entweder unverzüglich an den Kunden weiterleiten oder der betroffenen Person raten, sich an den zuständigen Verantwortlichen zu wenden. In jedem Fall ist der Kunde dafür verantwortlich, die Identität der betroffenen Person zu überprüfen und die Gültigkeit der Anfrage der betroffenen Person zu beurteilen. GoTo trägt keine Verantwortung für Informationen, die dem Kunden in gutem Glauben im Vertrauen auf diesen Unterabschnitt zur Verfügung gestellt werden.
4.7 Benachrichtigung über einen Sicherheitsvorfall. GoTo wird den Kunden unverzüglich über einen Sicherheitsvorfall informieren. GoTo unternimmt angemessene Anstrengungen, um die Ursache eines solchen Sicherheitsvorfalls zu ermitteln, und vernünftige Maßnahmen ergreifen, um die Ursache eines solchen Sicherheitsvorfalls zu beheben, soweit die Behebung innerhalb der angemessenen Kontrolle von GoTo liegt. Darüber hinaus stellt GoTo dem Kunden relevante Informationen über den Sicherheitsvorfall zur Verfügung, die dieser vernünftigerweise benötigt, um den Kunden bei der Einhaltung seiner eigenen Verpflichtungen aus den Datenschutzgesetzen zu unterstützen, wie zum Beispiel Aufsichtsbehörden oder betroffene Personen zu informieren. Die nach diesem Abschnitt vorgesehene Benachrichtigung oder Zurverfügungstellung von Informationen wird nicht als Schuldeingeständnis oder Haftung von GoTo ausgelegt oder bewertet.
4.8 Unterauftragsverarbeiter.
4.8.1 Der Kunde erteilt GoTo die allgemeine Erlaubnis, die Konzernunternehmen von GoTo und andere dritte Unterauftragsverarbeiter im Zusammenhang mit der Bereitstellung und dem Betrieb der Dienstleistungen zu beauftragen. Vor der Beauftragung von Unterauftragsverarbeitern schließt GoTo mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag ab, der Bedingungen enthält, die nicht weniger schützend sind als die, die GoTo in diesem DVN auferlegt werden.
4.8.2 GoTo unterhält eine Liste der Unterauftragsverarbeiter für die Dienstleistung auf seinem Trust Center. Wenn der Kunde von GoTo Benachrichtigungen über die vorgeschlagene Ernennung neuer Unterauftragsverarbeiter erhalten möchte, kann er diese hier abonnieren. Der Kunde kann innerhalb von 15 Tagen nach Erhalt der Benachrichtigung durch GoTo schriftlich (per E-Mail) gutgläubige und angemessene Einwände gegen die vorgeschlagene Ernennung eines Unterauftragsverarbeiters erheben. Wenn GoTo nach vernünftigem Ermessen in der Lage ist, die Dienstleistungen ohne den vorgeschlagenen Unterauftragsverarbeiter zu erbringen, und sich nach eigenem Ermessen dafür entscheidet, hat der Kunde keine weiteren Rechte in dieser Angelegenheit. Ist GoTo ansonsten nicht in der Lage oder nicht dazu bereit, diese Änderung innerhalb eines angemessenen Zeitraums zur Verfügung zu stellen, kann der Kunde durch schriftliche Mitteilung an GoTo das/die maßgebliche(n) Bestellformular(e) nur hinsichtlich derjenigen Dienstleistungen kündigen, die von GoTo nicht ohne den Einsatz des Unterauftragsverarbeiters erbracht werden können. Wenn der Kunde nicht rechtzeitig Einwände gegen einen vorgeschlagenen Unterauftragsverarbeiter erhebt, wird davon ausgegangen, dass der Kunde dem vorgeschlagenen Unterauftragsverarbeiter zustimmt und auf sein Recht auf Einwände verzichtet.
4.8.3 GoTo bleibt gegenüber dem Kunden für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter haftbar, wenn diese ihre jeweiligen Datenschutzverpflichtungen in Bezug auf die relevanten Verarbeitungstätigkeiten im Rahmen der Vereinbarung nicht erfüllen.
5. VERPFLICHTUNGEN VON GOTO IM RAHMEN DES KALIFORNISCHEN DATENSCHUTZGESETZES FÜR VERBRAUCHER (California Consumer Privacy Act – CCPA)
In diesem Abschnitt 5 haben alle verwendeten Begriffe, die hierin nicht definiert werden, die im CCPA festgelegte Bedeutung. Die folgenden Bestimmungen gelten für die Verarbeitung personenbezogener Daten durch GoTo als Dienstanbieter, soweit die personenbezogenen Daten dem CCPA unterliegen:
5.1 Verpflichtungen. GoTo wird: (a) personenbezogene Daten gemäß den Anforderungen des CCPA verarbeiten, die für GoTo als Dienstanbieter für den Kunden gelten und dabei gemäß den Anforderungen des CCPA ein angemessenes Maß an Datenschutz sicherstellen; (b) den Kunden informieren, wenn es vernünftigerweise davon ausgeht, seine nach dem CCPA bestehenden Verpflichtungen nicht mehr erfüllen zu können; (c) dem Kunden vorbehaltlich Abschnitt 6 des DVN (Zertifizierungen und Audits von Drittanbietern) das Recht einräumen, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass die Nutzung der im Rahmen der Vereinbarung erhobenen personenbezogenen Daten seitens GoTo mit den im Rahmen dieser Vereinbarung und dem CCPA bestehenden Datenschutz- und Sicherheitsverpflichtungen von GoTo konform ist; und (d) auf die Aufforderung des Kunden hin, die GoTo mit einer angemessenen Frist zugehen muss, mit dem Kunden zusammenarbeiten, um angemessene und geeignete Schritte festzulegen, um unbefugte Nutzung (das heißt Nutzung, die mit den Bedingungen der Vereinbarung und/oder Datenschutzgesetzen unvereinbar ist) personenbezogener Daten des Kunden zu stoppen und zu beseitigen.
5.2 Verbote. GoTo ist nicht berechtigt: (a) personenbezogene Daten des Kunden, die es im Rahmen der Vereinbarung mit dem Kunden erhebt, zu verkaufen oder weiterzugeben; oder (b) die personenbezogenen Daten, die es im Rahmen der Vereinbarung erhoben hat, (i) für andere Zwecke als die in der Vereinbarung genannten oder anderweitig durch den CCPA erlaubten geschäftlichen oder kommerziellen Zwecke aufzubewahren, zu verwenden oder offenzulegen; oder (ii) außerhalb der direkten Geschäftsbeziehung zwischen den Parteien aufzubewahren, zu verwenden oder offenzulegen, es sei denn, dies ist durch den CCPA ausdrücklich erlaubt.
6. ZERTIFIZIERUNGEN UND AUDITS VON DRITTANBIETERN.
6.1 Informationen und Anfragen. GoTo hat dem Kunden Informationen zur Verfügung gestellt, die vernünftigerweise notwendig sind, um die Einhaltung seiner Verpflichtungen gemäß diesem DVN nachzuweisen, einschließlich in Form von anwendbaren Zertifizierungen und/oder Audits von Drittanbietern, einschließlich derjenigen, die in den anwendbaren technischen und organisatorischen Maßnahmen auf dem Trust Center von GoTo oder seinen Produkt-Support-Seiten aufgeführt sind. Wenn der Kunde die Einhaltung dieses DVN durch GoTo anhand der von GoTo zur Verfügung gestellten Informationen nicht angemessen überprüfen kann, kann der Kunde höchstens einmal alle zwölf Monate verlangen, dass GoTo auf vertraulicher Basis angemessene schriftliche Informationen über die Verarbeitung personenbezogener Kundendaten im Rahmen der Vereinbarung zur Verfügung stellt, die GoTo seinem Kundenstamm allgemein zugänglich macht. Der Kunde kann diese Anfrage an GoTo richten, indem er sich direkt an seinen Kundenbetreuer wendet oder indem er den Vertrieb von GoTo kontaktiert.
6.2 Aufsichtsrechtliche Überprüfungen. Sollte der Kunde Informationen benötigen, um eine Anfrage einer Aufsichtsbehörde für den Datenschutz gemäß den Datenschutzgesetzen zu beantworten, die nicht aus den in Abschnitt 6.1 genannten Informationen hervorgehen, kann der Kunde auf vertraulicher Basis ein Audit der Verfahren von GoTo in Bezug auf den Schutz personenbezogener Daten gemäß diesem DVN beantragen. Der Kunde und GoTo vereinbaren den Umfang, die Verfahren, den Zeitplan, die Dauer und/oder die erstattungsfähigen Kosten (falls zutreffend) des Audits, bevor sie mit der Überprüfung beginnen. Der Kunde ist verpflichtet: (a) GoTo unverzüglich über alle im Rahmen eines Audits aufgedeckten Verstöße zu informieren; und (b) sich nach besten Kräften zu bemühen, den Geschäftsbetrieb von GoTo bei der Durchführung eines solchen Audits so wenig wie möglich zu beeinträchtigen.
7. LÖSCHUNG UND RÜCKGABE VON KUNDENINHALTEN
Für viele Dienstleistungen stellt GoTo den Kundenadministratoren Funktionen zur Verfügung, mit denen sie Inhalte löschen oder exportieren können. Kunden können diese Funktionen jederzeit in Anspruch nehmen. Wenn diese Funktionen nicht verfügbar sind oder wenn der Kunde zusätzliche Unterstützung von GoTo benötigt, gelten die folgenden Bestimmungen. Nach der Kündigung oder dem Ablauf des Kundenvertrags, der Einstellung der Nutzung des GoTo-Kontos durch den Kunden oder auf schriftliche Anfrage des Kunden zu einem früheren Zeitpunkt löscht GoTo Kundeninhalte einschließlich aller darin enthaltenen personenbezogenen Daten und sorgt dafür, dass diese unwiederbringlich gelöscht werden, soweit dies nach geltendem Recht zulässig ist. Die automatischen Datenspeicherfristen müssen den Verfahren und Zeitrahmen entsprechen, die in den jeweiligen technischen und organisatorischen Maßnahmen näher angegeben sind. Auf schriftliche Aufforderung des Kunden wird GoTo (a) die Löschung der Kundeninhalte bestätigen, (b) Nachweise über eine solche Löschung erbringen und (c) sofern dies nach geltendem Recht zulässig ist, (i) dem Kunden oder dem Vertreter des Kunden alle von GoTo gespeicherten Kundeninhalte einschließlich der darin enthaltenen Personenbezogenen Daten zurückgeben oder (ii) den Kunden anderweitig anweisen, wie ein Self-Service-Datenexport durchgeführt werden kann (sofern verfügbar). Der Kunde kann solche Anfragen stellen, indem er ein Support-Ticket an das GoTo-Supportteam mit detaillierten Anweisungen zu der von GoTo benötigten Unterstützung sendet. In allen Fällen sind die Standardaufbewahrungsfristen von GoTo für Inhalte, bei denen GoTo als Auftragsverarbeiter für den Kunden fungiert, in den entsprechenden Service-TOMs angegeben, die auf dem Trust Center von GoTo verfügbar sind.

 
8. STAATLICHE ANFRAGEN NACH PERSONENBEZOGENEN DATEN VON KUNDEN
Wenn GoTo eine zivil- oder strafrechtliche Vorladung, einen Durchsuchungsbefehl oder ein anderes offizielles und schriftliches Ersuchen, das rechtlich bindend ist („Ersuchen“), von einer Behörde („ersuchende Partei“) erhält, die die Offenlegung der personenbezogenen Daten des Kunden verlangt, wird GoTo solche Ersuchen in Übereinstimmung mit seiner zu diesem Zeitpunkt gültigen Richtlinie für staatliche Ersuchen behandeln. Insbesondere wird GoTo, soweit gesetzlich zulässig, die ersuchende Partei an den Kunden weiterleiten. Sofern in unserer Richtlinie zu staatlichen Ersuchen nicht anders angegeben, wird GoTo (a) den Kunden unverzüglich über das Ersuchen informieren, um ihm die Möglichkeit zu geben, eine einstweilige Verfügung oder ein anderes geeignetes Rechtsmittel zu erwirken, sofern GoTo durch das Ersuchen nicht daran gehindert wird; (b) das Ersuchen überprüfen, um festzustellen, ob das Ersuchen gültig ist und ob GoTo gesetzlich verpflichtet ist, personenbezogene Daten offenzulegen; (c) jedes Ersuchen, das nicht gültig, rechtsverbindlich und rechtmäßig ist, zurückweisen oder anfechten; und (d) alle zu weit gehenden oder unangemessenen Ersuchen anfechten. Wenn personenbezogene Daten des Kunden zur Verfügung gestellt werden müssen, wird GoTo nur das Minimum an personenbezogenen Daten offenlegen, das erforderlich ist, um das Ersuchen zu erfüllen, und sich vergewissern, dass die personenbezogenen Daten des Kunden von der ersuchenden Partei vertraulich behandelt werden.
9. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNGEN
GoTo ist weltweit tätig und kann grenzüberschreitende Datenübermittlungen an seine Unterauftragsverarbeiter und/oder Konzernunternehmen vornehmen, um seine Dienstleistungen bereitzustellen. Einige Rechtsordnungen verlangen, dass die Vertragsparteien Schutzmaßnahmen für solche Übermittlungen treffen. In diesem Abschnitt werden die Schutzmaßnahmen beschrieben, die die Parteien für solche Übermittlungen im Rahmen der Vereinbarung vereinbart haben.
9.1 APEC Privacy Recognition for Processors. GoTo hat die Asia-Pacific Economic Cooperation („APEC“) Privacy Recognition for Processors („PRP“) Zertifizierung erhalten und verarbeitet personenbezogene Daten, soweit zutreffend, in Übereinstimmung mit den Verpflichtungen und Verantwortlichkeiten eines Auftragsverarbeiters gemäß dem APEC-Datenschutzrahmen.
9.2 Regionale Bedingungen. Zusätzliche Bedingungen in Bezug auf grenzüberschreitende Datenübermittlungen personenbezogener Daten, die dem LGPD, der DSGVO, dem britischen Datenschutzrecht und dem schweizerischen DSG unterliegen, sind in Anhang 2 (Bedingungen für regionale Übermittlungen) dargelegt, der durch Verweis in diesen DVN aufgenommen wird.
10. HAFTUNGSBESCHRÄNKUNG
Die Haftung der jeweiligen Parteien, einschließlich der Haftung aller ihrer Konzernunternehmen, die aus oder in Verbindung mit diesem DVN und allen DVN zwischen den autorisierten Konzernunternehmen und GoTo entsteht, sei es aufgrund eines Vertrages, einer unerlaubten Handlung oder nach einer anderen Haftungstheorie, unterliegt dem Abschnitt „Haftungsbeschränkung“ der Vereinbarung und eine Bezugnahme auf die Haftung einer Partei bezeichnet die Gesamthaftung dieser Partei und aller ihrer Konzernunternehmen nach der Vereinbarung.
11. HIPAA
Wenn der Kunde dem Health Insurance Portability and Accountability Act von 1996 (Pub. L. Nr. 104-191 (1996)), geändert durch den American Recovery and Reinvestment Act of 2009 (Pub. L. Nr. 111-5 (2009)) und den entsprechenden Durchführungsbestimmungen (zusammen „HIPAA“) unterliegt, darf der Kunde die Dienstleistungen nicht nutzen, um Informationen zu erstellen, zu empfangen, zu pflegen, zu übermitteln oder anderweitig zu verarbeiten, die „geschützte Gesundheitsinformationen“ gemäß der Definition der HIPAA Privacy Rule (45 C.F.R. Section 160.103) enthalten oder darstellen, es sei denn, der Kunde hat mit GoTo vor der Erstellung, dem Empfang, der Pflege, der Übermittlung oder anderweitigen Verarbeitung dieser Informationen über die Dienstleistung ein Business Associate Addendum („BAA“) unterzeichnet. Das BAA von GoTo ist hier verfügbar und wird nach seiner Ausführung in diesen DVN aufgenommen.
12. RECHTSWIRKSAMKEIT UND WIDERSPRUCH
Soweit gesetzlich zulässig, ersetzt dieser DVN alle früheren DVN und ähnliche Vereinbarungen in ihrer Gesamtheit. Im Falle eines Widerspruchs zwischen einzelnen Bedingungen der Vereinbarung und diesem DVN haben die Bestimmungen dieses DVN Vorrang. Im Falle eines Widerspruchs zwischen den Bestimmungen (a) des DVN und (b) der brasilianischen Standardvertragsklauseln, der EU-Standardvertragsklauseln oder des britischen Zusatzes, je nach Anwendbarkeit, haben letztere im Umfang des Widerspruchs Vorrang.

Aufstellung der Anhänge:

Anhang 1: Beschreibung der Verarbeitung

Anhang 2: Bedingungen für regionale Übermittlungen

 

ANHANG 1 – BESCHREIBUNG DER VERARBEITUNG
Kategorien von betroffenen Personen

Kundeninhalte

Der Kunde kann personenbezogene Daten an die Dienstleistungen übermitteln, deren Umfang vom Kunden nach freiem Ermessen festgelegt und kontrolliert wird und die insbesondere personenbezogene Daten in Bezug auf die folgenden Kategorien von betroffenen Personen enthalten können:

  • Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind)
  • Mitarbeiter oder Kontaktpersonen der potenziellen Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden
  • Mitarbeiter, Vertreter, Berater, freie Mitarbeiter des Kunden (die natürliche Personen sind)
  • Benutzer des Kunden (die natürliche Personen sind), die vom Kunden zur Nutzung der Dienstleistungen autorisiert wurden, einschließlich Webinar- oder Meeting-Einladungen und -Teilnehmer, Personen, die Anrufe tätigen oder entgegennehmen, und Personen, denen Sie Support bieten

Dienstdaten

  • Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind)
  • Mitarbeiter oder Kontaktpersonen der potenziellen Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden
  • Mitarbeiter, Vertreter, Berater, freie Mitarbeiter des Kunden (die natürliche Personen sind)
  • Benutzer des Kunden (die natürliche Personen sind), die vom Kunden zur Nutzung der Dienstleistungen autorisiert wurden, einschließlich Webinar- oder Meeting-Einladungen und -Teilnehmer, Personen, die Anrufe tätigen oder entgegennehmen, und Personen, denen Sie Support bieten

 

Kategorien der verarbeiteten personenbezogenen Daten

Kundeninhalte

Der Kunde kann personenbezogene Daten an die Dienstleistungen übermitteln, deren Umfang vom Kunden nach freiem Ermessen festgelegt und kontrolliert wird und die insbesondere die folgenden Kategorien personenbezogener Daten enthalten können:

  • Kontaktinformationen wie Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Faxnummer und physische Geschäftsadresse
  • Technische Informationen wie Geräteidentifikationsdaten und Verkehrsdaten (z. B. MAC-Adressen, Webprotokolle, IP-Adresse usw.), Benutzername und Passwortdaten
  • Berufliche oder beschäftigungsbezogene Informationen wie Berufsbezeichnung, aktueller/früherer Arbeitgeber, Standort, Nutzungskennzahlen, Schulzugehörigkeit und ähnliche Informationen
  • Audio- und Videoinhalte und Fotos, wie z. B. Standbild- und Videoaufnahmen sowie Sprachaufnahmen und Abschriften
  • Informationen zum Privatleben
  • Präferenzen, wie Kontaktmodus und Zeitpräferenzen und Kalenderverfügbarkeit, Sprachpräferenzen

Dienstdaten

GoTo kann in den Dienstdaten enthaltene personenbezogene Daten erheben und weiterverarbeiten, wozu unter anderem die folgenden Kategorien personenbezogener Daten gehören können:

  • Kontaktinformationen wie Vor- und Nachname, E-Mail-Adresse, Telefonnummer, Faxnummer und physische Geschäftsadresse, wie z. B. die Lieferadresse
  • Kommerzielle und finanzielle Informationen wie gekaufte oder in Erwägung gezogene Dienstleistungen, Kauf- oder Konsumhistorien oder -tendenzen, einschließlich Informationen, die zur Erleichterung von Transaktionen mit GoTo benötigt werden, einschließlich Zahlungstransaktionen, Informationen im Zusammenhang mit Feedback zu GoTo-Produkten und -Dienstleistungen, wie z. B. Umfragen oder Fokusgruppendaten, Informationen über besuchte GoTo-Veranstaltungen oder erhaltene Informationen
  • Technische Informationen wie Geräteidentifikationsdaten und Verkehrsdaten (z. B. MAC-Adressen, Webprotokolle, IP-Adresse usw.), Benutzernamen und Passwortdaten, Daten, die zur Rückverfolgung und Identifizierung der Quelle und des Ziels einer Kommunikation verwendet werden, wie z. B. die Telefonnummern einzelner betroffener Personen, Daten über den Standort des Geräts, die im Zusammenhang mit der Erbringung der Dienstleistungen erzeugt werden, das Routing, das Datum, die Uhrzeit, die Dauer, die Art und andere Umstände der Kommunikation, Daten, die von den Kanälen bereitgestellt werden, die der Kunde für die Kommunikation mit seinen Kunden verwendet, Daten über die Kommunikation des Kunden mit GoTo (z. B. Anfragen und Supportanfragen) und andere ähnliche Informationen
  • Berufliche oder beschäftigungsbezogene Informationen wie Berufsbezeichnung, aktueller/früherer Arbeitgeber, Standort, Nutzungskennzahlen, Schulzugehörigkeit und ähnliche Informationen
  • Audio- und Videoinhalte und Fotos, wie z. B. Standbild- und Videoaufnahmen sowie Sprachaufzeichnungen und Abschriften, wie z. B. der Inhalt von Supportanrufen oder Kundenprojektbesprechungen
  • Präferenzen, wie Kontaktmodus und Zeitpräferenzen und Kalenderverfügbarkeit, Sprachpräferenzen
  • Supportdaten wie Anfragen, Anträge, Fehlerbehebungsprotokolle und ähnliche Informationen

Verarbeitete sensible personenbezogene Daten (falls zutreffend)

Die Parteien gehen davon aus, dass keine sensiblen Daten verarbeitet werden. Es ist jedoch für den Kunden möglich, sensible Daten an die Dienstleistungen zu übermitteln, wobei der Umfang der Übermittlung vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die entsprechenden Sicherheitsvorkehrungen in Anhang 2 aufgeführt sind.

Art und Zweck der Verarbeitung personenbezogener Daten

GoTo erhebt, erfasst, organisiert, strukturiert, speichert, passt an oder ändert, ruft ab, konsultiert, verwendet, gibt durch Übermittlung oder Verbreitung weiter oder stellt anderweitig zur Verfügung, gleicht ab oder kombiniert, beschränkt, löscht und vernichtet personenbezogene Daten, während es als Auftragsverarbeiter Dienstleistungen erbringt oder als Verantwortlicher personenbezogene Daten verarbeitet. GoTo verarbeitet personenbezogene Daten zu den folgenden Zwecken:

  • GoTo als unabhängiger Verantwortlicher. Wie in Abschnitt 2.1.2 des DVN angegeben ist GoTo ein unabhängiger Verantwortlicher für personenbezogene Daten, die in Kundeninhalten und Dienstdaten enthalten sind, wenn GoTo diese für die folgenden Zwecke verarbeitet: (i) Abrechnung, Konto, Kundenbeziehungsmanagement (Marketing- und kontobezogene Mitteilungen an Beschaffungs-, Vertriebs- und andere Kundenmitarbeiter) und damit zusammenhängende Kundenkorrespondenz (Mitteilungen über kontobezogene Dinge, z. B. notwendige Aktualisierungen); (ii) Erfüllung seiner gesetzlichen Verpflichtungen; (iii) die Bearbeitung von Supportanfragen, Beschwerden und Anfragen; (iv) die Bearbeitung und Verfolgung von Streitigkeiten und Rechtsansprüchen; (v) die Aufdeckung und das Management von Verstößen gegen die Benutzungsrichtlinien von GoTo und die Vereinbarung; und (vi) die Untersuchung von Sicherheitsvorfällen und der Schutz der Dienstleistungsumgebung. GoTo pseudonymisiert oder aggregiert personenbezogene Daten so weit wie möglich für die folgenden Zwecke: (a) Wartung, Monitoring der Leistung und Verbesserung der Dienstleistung, (b) interne und finanzielle Berichterstattung, Umsatz- und Planungsprognosen und -modellierung (einschließlich Produktstrategie) und Kapazitätsplanung und (c) Erhalt von Feedback zu unseren Dienstleistungen. Die vertragsschließende Rechtspersönlichkeit von GoTo ist der zuständige unabhängige Verantwortliche. Wenn GoTo ein unabhängiger Verantwortlicher ist, verarbeitet es personenbezogene Daten in Übereinstimmung mit seiner Datenschutzrichtlinie.
  • GoTo als Auftragsverarbeiter. GoTo verarbeitet personenbezogene Daten in der Eigenschaft als Auftragsverarbeiter oder Unterauftragsverarbeiter und beauftragt Unterauftragsverarbeiter, soweit es für die Erbringung und den Betrieb der Dienstleistungen gemäß der Vereinbarung erforderlich ist, wie in der betreffenden Dokumentation „Technische und organisatorische Maßnahmen“ und der Liste der genehmigten Unterauftragsverarbeiter (beide hier verfügbar) näher angegeben und wie durch den Kunden durch dessen Nutzung der Dienstleistungen weiter angewiesen.

 

Aufbewahrung personenbezogener Daten
  • GoTo als unabhängiger Verantwortlicher. Wie in unserer Datenschutzrichtlinie angegeben speichern wir personenbezogene Daten nur so lange, wie diese für diejenigen Zwecke, für die sie erhoben wurden, oder zur Einhaltung unserer rechtlichen Verpflichtungen, zur Beilegung von Streitigkeiten und zur Durchsetzung unserer Vereinbarungen benötigt werden.
  • GoTo als Auftragsverarbeiter. GoTo wird in der Eigenschaft als Auftragsverarbeiter personenbezogene Daten für die Laufzeit der Vereinbarung (sofern in den technischen und organisatorischen Maßnahmen nicht anderweitig angegeben und/oder wie dort näher angegeben) verarbeiten und aufbewahren, es sei denn, es wurde etwas anderes schriftlich vereinbart oder nach geltendem Recht ist etwas anderes vorgeschrieben oder erlaubt.

 

Gegenstand, Art und Dauer der von Unterauftragsverarbeitern durchgeführten Verarbeitung
  • GoTo als unabhängiger Verantwortlicher. Wie in Abschnitt 2.1.2 des DVN angegeben ist GoTo ein unabhängiger Verantwortlicher für personenbezogene Daten, die in Kundeninhalten und Dienstdaten enthalten sind, wenn GoTo diese für die folgenden Zwecke verarbeitet: (i) Abrechnung, Konto, Kundenbeziehungsmanagement (Marketing- und kontobezogene Mitteilungen an Beschaffungs-, Vertriebs- und andere Kundenmitarbeiter) und damit zusammenhängende Kundenkorrespondenz (Mitteilungen über kontobezogene Dinge, z. B. notwendige Aktualisierungen); (ii) Erfüllung seiner gesetzlichen Verpflichtungen; (iii) die Bearbeitung von Supportanfragen, Beschwerden und Anfragen; (iv) die Bearbeitung und Verfolgung von Streitigkeiten und Rechtsansprüchen; (v) die Aufdeckung und das Management von Verstößen gegen die Benutzungsrichtlinien von GoTo und die Nutzungsbedingungen; und (vi) die Untersuchung von Sicherheitsvorfällen und der Schutz der Dienstleistungsumgebung. GoTo pseudonymisiert oder aggregiert personenbezogene Daten so weit wie möglich für die folgenden Zwecke: (a) Wartung, Monitoring der Leistung und Verbesserung der Dienstleistung, (b) interne und finanzielle Berichterstattung, Umsatz- und Planungsprognosen und -modellierung (einschließlich Produktstrategie) und Kapazitätsplanung und (c) Erhalt von Feedback zu unseren Dienstleistungen. Die vertragsschließende Rechtspersönlichkeit von GoTo ist der zuständige unabhängige Verantwortliche. Wenn GoTo ein unabhängiger Verantwortlicher ist, verarbeitet es personenbezogene Daten in Übereinstimmung mit seiner Datenschutzrichtlinie. GoTo kann Auftragsverarbeiter beauftragen, die es bei der Durchführung der vorgenannten Aufgaben unterstützen.
  • GoTo als Auftragsverarbeiter. GoTo bietet, direkt und mittels der Unterauftragsverarbeiter, ein Portfolio von cloudbasierten Kommunikations- und Kollaborationslösungen, Lösungen zur Kundenbindung sowie Supportlösungen. Ziel und Gegenstand der Verarbeitung personenbezogener Daten durch GoTo als Auftragsverarbeiter sind die Betreuung des Kunden und die Bereitstellung, Unterstützung und der Betrieb der Dienstleistungen.

 

ANHANG 2: BEDINGUNGEN FÜR REGIONALE ÜBERMITTLUNGEN

Die folgenden Bestimmungen gelten in dem Umfang, in dem GoTo personenbezogene Daten verarbeitet, die unter die folgenden Datenschutzgesetze fallen.

A. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNGEN NACH DEM LGPD
1. Die in diesem Anhang 2, Teil A enthaltenen Bestimmungen und Bedingungen gelten nur insoweit, als die von GoTo im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten dem LGPD unterliegen.
2. GoTo wird: (a) seine Dienstleistungen gemäß den ausdrücklichen Verpflichtungen erbringen, die das LGPD einem Auftragsverarbeiter zugunsten eines für die Datenverarbeitung Verantwortlichen auferlegt; und (b) gemäß den Artikeln 33 bis 36 des LGPD eingeschränkte Übermittlungen personenbezogener Daten auf der Grundlage der brasilianischen Standardvertragsklauseln vornehmen.
3. Wenn die brasilianischen SCCs gelten, werden sie wie folgt aufgebaut:
Klauseln 4.1 – 4.8, Option B ist enthalten. Klausel 4.1 wird wie folgt vervollständigt:
a. Der Kunde ist der Verantwortliche und GoTo ist ein Auftragsverarbeiter
i. Klausel 1.1 wird wie folgt vervollständigt:
Exporteur (Verantwortlicher)
Name: Siehe Vereinbarung oder Bestellformular
Qualifizierung: Siehe Vereinbarung oder Bestellformular
Hauptadresse: Siehe Vereinbarung oder Bestellformular
E-Mail-Adresse: Siehe Vereinbarung oder Bestellformular
Ansprechpartner für betroffene Personen: Siehe Vereinbarung oder Bestellformular
Weitere Informationen: NA
UND
Importeur (Auftragsverarbeiter)
Name: GoTo Technologies USA LLC, in eigenem Namen und im Namen seiner Konzernunternehmen
Qualifizierung: 5984112 (DE)
Hauptadresse: 333 Summer Street, 5th Floor, Boston, MA 02210
E-Mail-Adresse: privacy@goto.com
Ansprechpartner für betroffene Personen: NA
Weitere Informationen: NA
ii. Klausel 2.1 wird wie folgt vervollständigt:
Zweck der Datenübermittlung: Um GoTo in die Lage zu versetzen, dem Kunden im Rahmen der Vereinbarung Dienstleistungen zu erbringen.
Kategorien der übermittelten personenbezogenen Daten: Siehe Anhang 1 (Beschreibung der Verarbeitung)
Dauer der Datenaufbewahrung: Siehe entsprechende TOMs im Trust Center.
Weitere Informationen: NA
iii. Klausel 3.1, Option B ist enthalten und wird wie folgt vervollständigt:
Hauptzwecke der internationalen Datenübermittlung: Siehe DVN Abschnitt 2.1.2.
Kategorien der übermittelten personenbezogenen Daten: Siehe Anhang 1 (Beschreibung der Verarbeitung)
Aufbewahrungsfrist der Daten: Die Dauer der Datenaufbewahrung kann je nach dem spezifischen Zweck variieren, jedoch nicht länger als für die Geschäftszwecke, für die sie erhoben wurden, erforderlich. Personenbezogene Daten, die im Zusammenhang mit einem Vertrag verarbeitet werden, können für die Dauer des Vertrags und für einen angemessenen Zeitraum danach aufbewahrt werden, soweit dies erforderlich ist, um damit zusammenhängende Ansprüche festzustellen und zu regeln oder wie anderweitig gesetzlich vorgeschrieben.
Andere Informationen: Siehe Anhang 3 für eine aktuelle Liste der Unterauftragsverarbeiter. Die Parteien vereinbaren, das in Abschnitt 4.8 des DVN beschriebene Verfahren zur Identifizierung neuer Unterauftragsverarbeiter einzuhalten. Dieses Verfahren wurde entwickelt, um die Anforderungen der Klauseln 3.1 und 18 der brasilianischen Standardvertragsklauseln zu unterstützen und umzusetzen.
iv. Klauseln 4.1 – 4.2 Option A, gilt. Klausel 4.1 wird wie folgt vervollständigt:

4.1. Unbeschadet der Pflicht zur gegenseitigen Unterstützung und der allgemeinen Verpflichtungen der Parteien ist die nachstehend bezeichnete Partei in erster Linie für die Einhaltung der folgenden, in diesen Klauseln festgelegten Verpflichtungen verantwortlich:

a) Verantwortlich für die Veröffentlichung des in Klausel 14 vorgesehenen Dokuments:

b) Verantwortlich für die Beantwortung von Anfragen von betroffenen Personen, die in Klausel 15 behandelt werden:

c) Verantwortlich für die Meldung des Sicherheitsvorfalls gemäß Klausel 16:
v. Abschnitt III wird wie folgt vervollständigt: Siehe die entsprechenden TOMs im Trust Center.
vi. Abschnitt IV wird wie folgt vervollständigt: Die Parteien vereinbaren, dass die in der Vereinbarung genannten Bestimmungen zur Haftungsbeschränkung die jeweilige Haftung der Parteien untereinander gemäß Klausel 17 der vorliegenden brasilianischen Standardvertragsklauseln regeln sollen.
b. Der Kunde ist ein Auftragsverarbeiter und GoTo ist ein Unterauftragsverarbeiter
i. Klausel 1.1 wird wie folgt vervollständigt:
Exporteur (Auftragsverarbeiter)
Name: Siehe Vereinbarung oder Bestellformular
Qualifizierung: Siehe Vereinbarung oder Bestellformular
Hauptadresse: Siehe Vereinbarung oder Bestellformular
E-Mail-Adresse: Siehe Vereinbarung oder Bestellformular
Ansprechpartner für betroffene Personen: Siehe Vereinbarung oder Bestellformular
Weitere Informationen: NA
UND
Importeur (Auftragsverarbeiter)
Name: GoTo Technologies USA LLC, in eigenem Namen und im Namen seiner Konzernunternehmen
Qualifizierung: 5984112 (DE)
Hauptadresse: 333 Summer Street, 5th Floor, Boston, MA 02210
E-Mail-Adresse: privacy@goto.com
Ansprechpartner für betroffene Personen: NA
Weitere Informationen: NA
Name – Siehe Vereinbarung oder Bestellformular
ii. Klausel 2.1 wird wie folgt vervollständigt:
Zweck der Datenübermittlung: Um GoTo in die Lage zu versetzen, dem Kunden im Rahmen der Vereinbarung Dienstleistungen zu erbringen.
Kategorien der übermittelten personenbezogenen Daten: Siehe Anhang 1 (Beschreibung der Verarbeitung)
Dauer der Datenaufbewahrung: Siehe entsprechende TOMs im Trust Center
Weitere Informationen: NA
iii. Klausel 3.1, Option B ist enthalten und wird wie folgt vervollständigt:
Hauptzwecke der internationalen Datenübermittlung: Siehe DVN Abschnitt 2.1.2.
Kategorien der übermittelten personenbezogenen Daten: Siehe Anhang 1 (Beschreibung der Verarbeitung)
Aufbewahrungsfrist der Daten: Die Dauer der Datenaufbewahrung kann je nach dem spezifischen Zweck variieren, jedoch nicht länger als für die Geschäftszwecke, für die sie erhoben wurden, erforderlich. Personenbezogene Daten, die im Zusammenhang mit einem Vertrag verarbeitet werden, können für die Dauer des Vertrags und für einen angemessenen Zeitraum danach aufbewahrt werden, soweit dies erforderlich ist, um damit zusammenhängende Ansprüche festzustellen und zu regeln oder wie anderweitig gesetzlich vorgeschrieben.
Andere Informationen: Siehe Anhang 3 für eine aktuelle Liste der Unterauftragsverarbeiter. Die Parteien vereinbaren, das in Abschnitt 4.8 des DVN beschriebene Verfahren zur Identifizierung neuer Unterauftragsverarbeiter einzuhalten. Dieses Verfahren wurde entwickelt, um die Anforderungen der Klauseln 3.1 und 18 der brasilianischen Standardvertragsklauseln zu unterstützen und umzusetzen.
iv. Klauseln 4.1 – 4.8, Option B ist enthalten. Klausel 4.1 wird wie folgt vervollständigt:
4.1 In Anbetracht der Tatsache, dass beide Parteien im Rahmen der durch diese Klauseln geregelten internationalen Datenübermittlung ausschließlich als Auftragsverarbeiter handeln, erklärt und garantiert der Exporteur, dass die Übermittlung mit der Genehmigung und gemäß den schriftlichen Anweisungen des dritten Verantwortlichen erfolgt
Identifizierung des dritten Verantwortlichen: Siehe Kontaktinformationen, die in den Verträgen des Kunden mit seinen Kunden enthalten sind.

Name:
Adresse:
E-Mail-Adresse:
Gesetzlicher Vertreter:
Ansprechpartner für die betroffene Person:
Zweck der Datenübermittlung:
Bedingungen für die Übermittlung:
Weitere Informationen
Informationen über den entsprechenden Vertrag:
v. Abschnitt III wird wie folgt vervollständigt: Siehe die entsprechenden TOMs im Trust Center.
vi. Abschnitt IV wird wie folgt vervollständigt:
a. Die Parteien vereinbaren, dass die in der Vereinbarung genannten Bestimmungen zur Haftungsbeschränkung die jeweilige Haftung der Parteien untereinander gemäß Klausel 17 der vorliegenden brasilianischen Standardvertragsklauseln regeln sollen.
b. Mit der Unterzeichnung der Vereinbarung gewährleistet der Exporteur, dass er bevollmächtigt ist, diese brasilianischen Standardvertragsklauseln für und im Namen des dritten Verantwortlichen zu unterzeichnen. Der Exporteur muss alle Dokumente ausfüllen und alle Maßnahmen ergreifen, die GoTo angemessenerweise verlangt, um die Einhaltung dieser Bestimmung nachzuweisen.
c. Wenn Kunde und GoTo unabhängige Verantwortliche sind
i. Klausel 1.1 ist wie folgt zu vervollständigt:
Exporteur (Verantwortlicher)
Name: Siehe Vereinbarung oder Bestellformular
Qualifizierung: Siehe Vereinbarung oder Bestellformular
Hauptadresse: Siehe Vereinbarung oder Bestellformular
E-Mail-Adresse: Siehe Vereinbarung oder Bestellformular
Ansprechpartner für betroffene Personen: Siehe Vereinbarung oder Bestellformular
Weitere Informationen: NA
UND
Importeur (Verantwortlicher)
Name: GoTo Technologies USA LLC, in eigenem Namen und im Namen seiner Konzernunternehmen
Qualifizierung: 5984112 (DE)
Hauptadresse: 333 Summer Street, 5th Floor, Boston, MA 02210
E-Mail-Adresse: privacy@goto.com
Ansprechpartner für betroffene Personen: privacy@goto.com
Weitere Informationen: GoTo verarbeitet personenbezogene Daten, für die es verantwortlich ist, in Übereinstimmung mit seiner Datenschutzrichtlinie, die unter https://www.goto.com/company/legal/privacy verfügbar ist
ii. Klausel 2.1 wird wie folgt vervollständigt:
Zweck der Datenübermittlung: Siehe DVN Abschnitt 2.1.2.
Kategorien der übermittelten personenbezogenen Daten: Siehe Anhang 1 (Beschreibung der Verarbeitung)
Dauer der Datenaufbewahrung: Siehe entsprechende TOMs im Trust Center
Weitere Informationen: NA
iii. Klausel 3.1, Option B ist enthalten und wird wie folgt vervollständigt:
Hauptzwecke der internationalen Datenübermittlung: Siehe DVN Abschnitt 2.1.2.
Kategorien der übermittelten personenbezogenen Daten: Siehe Anhang 1 (Beschreibung der Verarbeitung)
Aufbewahrungsfrist der Daten: Die Dauer der Datenaufbewahrung kann je nach dem spezifischen Zweck variieren, jedoch nicht länger als sie für die Geschäftszwecke, für die sie erhoben wurden, oder zur Einhaltung unserer rechtlichen Verpflichtungen, zur Beilegung von Streitigkeiten und zur Durchsetzung unserer Vereinbarungen benötigt werden. Personenbezogene Daten, die im Zusammenhang mit einem Vertrag verarbeitet werden, können für die Dauer des Vertrags und für einen angemessenen Zeitraum danach aufbewahrt werden, soweit dies erforderlich ist, um damit zusammenhängende Ansprüche festzustellen und zu regeln oder wie anderweitig gesetzlich vorgeschrieben. Wo unsere Verarbeitung von personenbezogenen Daten auf rechtmäßigen Interessen oder auf der Einhaltung rechtlicher Verpflichtungen beruht, werden sie gelöscht, sobald der anwendbare, zugrunde liegende Zweck entfallen ist.
Weitere Informationen: NA
iv. Klauseln 4.1 – 4.2 Option A, gilt. Klausel 4.1 wird wie folgt vervollständigt:

4.1. Unbeschadet der Pflicht zur gegenseitigen Unterstützung und der allgemeinen Verpflichtungen der Parteien ist die nachstehend bezeichnete Partei in erster Linie für die Einhaltung der folgenden, in diesen Klauseln festgelegten Verpflichtungen verantwortlich.

a) Verantwortlich für die Veröffentlichung des in Klausel 14 vorgesehenen Dokuments:

b) Verantwortlich für die Beantwortung von Anfragen von betroffenen Personen, die in Klausel 15 behandelt werden:

c) Verantwortlich für die Meldung des Sicherheitsvorfalls gemäß Klausel 16:
v. Die Parteien vervollständigen Abschnitt III wie folgt: Siehe die entsprechenden TOMs im Trust Center.
vi. Die Parteien vervollständigen Abschnitt IV wie folgt: Die Parteien vereinbaren, dass die in der Vereinbarung genannten Bestimmungen zur Haftungsbeschränkung die jeweilige Haftung der Parteien untereinander gemäß Klausel 17 der vorliegenden brasilianischen Standardvertragsklauseln regeln sollen.
d. EU-SCCs. Wenn die ANPD nach dem Datum des Inkrafttretens die Verwendung der EU-SCCs als Übermittlungsmechanismus für eingeschränkte Übermittlungen, die dem LGPD unterliegen, genehmigt, werden die brasilianischen SCCs in ihrer Gesamtheit gestrichen und die EU-SCCs finden Anwendung, strukturiert wie in Teil B unten angegeben, mit den folgenden Änderungen: (a) alle Verweise auf die „Verordnung (EU) 2016/679“ in den EU-Standardvertragsklauseln sind so auszulegen, dass sie sich auf das LGPD beziehen; (b) alle Verweise auf „EU“, „Union“ und „Mitgliedstaat“ sind so auszulegen, dass sie sich auf Brasilien beziehen; und (c) alle Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ sind als Verweise auf die ANPD bzw. die „zuständigen brasilianischen Gerichte“ auszulegen.
B. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNGEN NACH DER DSGVO
1. Umfang des Abschnitts. Die in diesem Anhang 2, Teil B enthaltenen Bestimmungen und Bedingungen gelten nur insoweit, als die von GoTo im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten der DSGVO unterliegen.
2. Einhaltung der DSGVO. Jede Partei führt ihre Verarbeitungstätigkeiten in Übereinstimmung mit den für sie geltenden Anforderungen der DSGVO durch.
3. EU-US Data Privacy Framework. Bestimmte GoTo-Einrichtungen haben ihre Übereinstimmung mit dem EU-US Data Privacy Framework zertifiziert. Grenzüberschreitende Datenübermittlungen aus der EU in die Vereinigten Staaten von Amerika, die in den Geltungsbereich der GoTo-Zertifizierung fallen, werden gemäß diesem Rahmenwerk durchgeführt.
4. EU-Standardvertragsklauseln. Soweit (a) grenzüberschreitende Datenübermittlungen in oder aus der EU nicht dem EU-US Data Privacy Framework unterliegen und ansonsten eine eingeschränkte Übermittlung darstellen, oder (b) grenzüberschreitende Datenübermittlungen in die Vereinigten Staaten, die unter das EU-US Data Privacy Framework fallen, zu eingeschränkten Übermittlungen werden, weil (i) das EU-US Data Privacy Framework später für ungültig erklärt wird oder (ii) die Teilnahme von GoTo am EU-US Data Privacy Framework aus irgendeinem Grund endet, gelten die EU-SCCs für die betreffende grenzüberschreitende Datenübermittlung. Die EU-SCCs werden durch Verweis in diesen DVN aufgenommen und sind wie folgt aufgebaut:
a. Der Kunde ist der Verantwortliche für die personenbezogenen Daten und GoTo ist ein Auftragsverarbeiter:
i. Modul Zwei (Verantwortlicher an Auftragsverarbeiter) wird angewendet und die Module Eins, Drei und Vier werden vollständig gelöscht;
ii. Klausel 7 ist enthalten, jedoch mit der Maßgabe, dass das Unternehmen, das den SCCs beitritt, ein autorisiertes Konzernunternehmen sein muss;
iii. Klausel 9, Option 2 findet Anwendung (und die Parteien wenden das in Abschnitt 4.8 des DVN beschriebene Verfahren an, um die Verpflichtung von GoTo zu erfüllen, dem Kunden die Informationen zur Verfügung zu stellen, die er benötigt, um sein Recht auf Einwände auszuüben);
iv. Klausel 11, die optionale unabhängige Streitbeilegung ist enthalten. Die Stelle, die GoTo den betroffenen Personen kostenlos zur Verfügung stellt, ist TrustArc, ein externes Datenschutzunternehmen, unter https://feedback-form.truste.com/watchdog/request;
v. Klausel 17, Option 1 findet Anwendung. Die EU-SCCs unterliegen dem irischen Recht;
vi. In Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt; und
vii. die Anhänge der EU-SCCs werden mit den Informationen in Anhang 2-1 gefüllt, der durch Verweis hierin aufgenommen wird.
b. Der Kunde ist ein Auftragsverarbeiter der personenbezogenen Daten und GoTo ist ein Unterauftragsverarbeiter:
i. Modul Drei (Auftragsverarbeiter an Unterauftragsverarbeiter) findet Anwendung, und die Module Eins, Zwei und Vier werden vollständig gelöscht;
ii. Klausel 7 ist enthalten, jedoch mit der Maßgabe, dass das Unternehmen, das den EU-SCCs beitritt, ein autorisiertes Konzernunternehmen sein muss;
iii. Es gilt Klausel 9, Option 2 (wie in Abschnitt 5 dieses DVN beschrieben);
iv. Klausel 11, die optionale unabhängige Streitbeilegungsstelle ist enthalten. Die Stelle, die GoTo den betroffenen Personen kostenlos zur Verfügung stellt, ist TrustArc, ein externes Datenschutzunternehmen, unter https://feedback-form.truste.com/watchdog/request;
v. Es gilt Klausel 17, Option 1, und die Standardvertragsklauseln unterliegen dem irischen Recht;
vi. (vi) in Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt; und
vii. (vii) die Anhänge der EU-SCCs werden mit den Informationen in Anhang 2-1 gefüllt, der durch Verweis hierin aufgenommen wird.
c. Wenn Kunde und GoTo unabhängige Verantwortliche für die personenbezogenen Daten sind
i. Modul Eins (Verantwortlicher an Verantwortlicher) wird angewendet und die Module Zwei, Drei und Vier werden vollständig gelöscht;
ii. Klausel 7 ist enthalten, vorausgesetzt jedoch, dass das Unternehmen, das den EU-SCCs beitritt, ein von GoTo genehmigtes Konzernunternehmen oder autorisiertes Konzernunternehmen sein muss;
iii. Klausel 11 ist enthalten. Die optionale unabhängige Streitbeilegungsstelle, die GoTo den betroffenen Personen kostenlos zur Verfügung stellt, ist TrustArc, ein externes Datenschutzunternehmen, unter https://feedback-form.truste.com/watchdog/request;
iv. Klausel 17, Option 1 findet Anwendung. Die EU SCCs unterliegen dem irischen Recht;
v. In Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt; und
vi. Die Anhänge der EU-SCCs werden mit den Informationen in Anhang 2-1 gefüllt, der durch Verweis hierin aufgenommen wird.
C. BRITISCHE GRENZÜBERSCHREITENDE DATENÜBERMITTLUNGEN
1. Umfang des Abschnitts. Die in diesem Anhang 2, Teil C enthaltenen Bestimmungen und Bedingungen gelten nur insoweit, als die im Rahmen dieser Vereinbarung von GoTo verarbeiteten personenbezogenen Daten dem britischen Datenschutzrecht unterliegen.
2. Einhaltung des britischen Datenschutzrechts. Jede Partei führt ihre Verarbeitungstätigkeiten in Übereinstimmung mit den für sie geltenden Anforderungen des britischen Datenschutzrechts durch.
3. Britische Erweiterung des EU-US Data Privacy Framework. Bestimmte GoTo-Einrichtungen haben ihre Übereinstimmung mit der britischen Erweiterung des EU-US Data Privacy Framework zertifiziert. Grenzüberschreitende Datenübermittlungen aus dem Vereinigten Königreich in die Vereinigten Staaten von Amerika, die in den Geltungsbereich der GoTo-Zertifizierung fallen, werden gemäß diesem Rahmenwerk durchgeführt.
4. Britischer Zusatz Soweit (a) grenzüberschreitende Datenübermittlungen in oder aus dem Vereinigten Königreich nicht der britischen Erweiterung des EU-US Data Privacy Framework unterliegen und ansonsten eine eingeschränkte Übermittlung darstellen, oder (b) grenzüberschreitende Datenübermittlungen in die Vereinigten Staaten, die unter die britische Erweiterung des EU-US Data Privacy Framework fallen, zu eingeschränkten Übermittlungen werden, weil (i) die britische Erweiterung des EU-US Data Privacy Framework später für ungültig erklärt wird oder (ii) die Teilnahme von GoTo an der britischen Erweiterung des EU-US Data Privacy Framework aus irgendeinem Grund endet, gilt der britische Zusatz für die betreffende grenzüberschreitende Datenübermittlung. Der britische Zusatz wird durch Verweis in diesen DVN aufgenommen, und die Tabellen werden wie in Anhang 2-2 beschrieben vervollständigt.
D. SCHWEIZERISCHE GRENZÜBERSCHREITENDE DATENÜBERMITTLUNGEN
1. Umfang des Abschnitts. Die in diesem Anhang 2, Teil D enthaltenen Bestimmungen und Bedingungen gelten nur insoweit, als die von GoTo im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten dem Schweizer DSG unterliegen.
2. Einhaltung des Schweizer DSG. Jede Partei führt ihre Verarbeitungstätigkeiten in Übereinstimmung mit den für sie geltenden Anforderungen des Schweizer DSG durch.
3. Swiss-US Data Privacy Framework. Bestimmte GoTo-Einrichtungen haben ihre Übereinstimmung mit dem Swiss-US Data Privacy Framework zertifiziert. Grenzüberschreitende Datenübermittlungen aus der Schweiz in die Vereinigten Staaten von Amerika, die in den Geltungsbereich der GoTo-Zertifizierung fallen, werden gemäß diesem Rahmenwerk durchgeführt.
4. EU-SCCs. Soweit (a) grenzüberschreitende Datenübermittlungen in die oder aus der Schweiz nicht dem Swiss-US Data Privacy Framework unterliegen und eine eingeschränkte Übermittlung darstellen oder (b) Übermittlungen in die Vereinigten Staaten, die unter das Swiss-US Data Privacy Framework fallen, zu eingeschränkten Übermittlungen werden, weil (i) das Swiss-US Data Privacy Framework nachträglich für ungültig erklärt wird oder (ii) die Teilnahme von GoTo am Swiss-US Data Privacy Framework aus irgendeinem Grund endet, gelten die EU-Standardvertragsklauseln, die als Teil dieser DPA vervollständigt wurden, für die jeweilige grenzüberschreitende Datenübermittlung. Die EU-Standardvertragsklauseln sind wie in Teil B oben beschrieben aufgebaut, mit den folgenden Änderungen: (a) alle Verweise auf die „Verordnung (EU) 2016/679“ in den EU-Standardvertragsklauseln sind so auszulegen, dass sie sich auf das Schweizer DSG beziehen; (b) alle Verweise auf „EU“, „Union“ und „Mitgliedstaat“ sind so auszulegen, dass sie sich auf die Schweiz beziehen; und (c) alle Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ sind als Verweise auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten bzw. die „zuständigen Schweizer Gerichte“ auszulegen.

 

ANHANG 2-1 – ANHÄNGE zu den EU SCCs

ANHANG I (MODULE EINS, ZWEI UND DREI)


A. LISTE DER PARTEIEN
Datenexporteur(e):
1. Name: Siehe den in der Vereinbarung oder im Bestellformular angegebenen juristischen Namen des Kunden.
Adresse: Siehe die in der Vereinbarung oder im Bestellformular angegebene Kundenadresse.
Kontaktangaben: Hauptansprechpartner des Kunden, Position und Details, wie in den entsprechenden Auftragsunterlagen bzw. dem Bestellformular angegeben.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Der Datenexporteur erwirbt die Dienstleistungen vom Datenimporteur in den Bereichen cloudbasierte integrierte Kommunikation und Zusammenarbeit, Kundenbindung und Supportlösungen.
Unterschrift und Datum: Die EU-SCCs, einschließlich der Anhänge, gelten mit der Unterschrift des Datenexporteurs auf der Vereinbarung bzw. dem Bestellformular als unterzeichnet. Das Datum der Unterzeichnung gilt als Datum des Inkrafttretens
Rolle: Die Rolle des Datenexporteurs ist in Abschnitt 2 (Beziehung der Parteien) des DVN festgelegt.

Datenimporteur(e):
1. Name: GoTo Technologies USA LLC, in eigenem Namen und im Namen der GoTo-Konzernunternehmen
Adresse: c/o/ Legal Department, 333 Summer Street, 5th Floor, Boston, MA 02210
Kontaktangaben: privacy@goto.com.
Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: GoTo bietet eine Palette von Dienstleistungen in den Bereichen cloudbasierte integrierte Kommunikation und Zusammenarbeit, Kundenbindung und Supportlösungen. Die Aktivitäten, die für die Verarbeitung Personenbezogener Daten durch GoTo als Auftragsverarbeiter relevant sind, und/oder deren Ziel und Gegenstand sind die Betreuung des Kunden und die Bereitstellung, Unterstützung und der Betrieb der Dienstleistungen.
Unterschrift und Datum: Die EU-SCCs, einschließlich der Anhänge, gelten mit der Unterschrift des Datenimporteurs auf der Vereinbarung bzw. dem Bestellformular als unterzeichnet. Das Datum der Unterzeichnung gilt als Datum des Inkrafttretens.
Rolle: Die Rolle des Datenimporteurs ist in Abschnitt 2 (Beziehung der Parteien) des DVN festgelegt.

B. BESCHREIBUNG DER ÜBERMITTLUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden: Siehe TOMs.
Kategorien der übermittelten personenbezogenen Daten: Siehe die entsprechenden TOMs im Trust Center.
Sensible Daten: Siehe die entsprechenden TOMs im Trust Center.
Die Häufigkeit der Übermittlung: Kontinuierlich während der Laufzeit der Vereinbarung bis zum Ablauf der Aufbewahrungsfrist.
Art der Verarbeitung: Siehe die entsprechenden TOMs im Trust Center.
Zweck(e) der Datenübermittlung und Weiterverarbeitung: Siehe die entsprechenden TOMs im Trust Center.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden: Siehe die entsprechenden TOMs im Trust Center.
Für Übermittlungen an (Unter-) Auftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung in der Liste der Unterauftragsverarbeiter aufgeführt (siehe Abschnitt 4.8 und die entsprechenden Offenlegungen der
Unterauftragsverarbeiter im Trust Center).

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE (MODULE EINS, ZWEI UND DREI)
Identifizieren Sie die zuständige(n) Aufsichtsbehörde(n): Der Information Commissioner of the Republic of Ireland ist die zuständige Aufsichtsbehörde.

ANHANG II – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR SICHERHEIT DER DATEN (MODULE EINS, ZWEI UND DREI)
Siehe die entsprechenden TOMs im Trust Center. Der Datenimporteur kann sein Sicherheitsdokument von Zeit zu Zeit aktualisieren, sofern die Sicherheit und/oder der Datenschutz der Dienstleistungen dadurch nicht beeinträchtigt werden.

ANHANG III – LISTE DER UNTERAUFTRAGSVERARBEITER (MODULE ZWEI UND DREI)
Siehe die entsprechenden Angaben zu den Unterauftragsverarbeitern im Trust Center.

 

ANHANG 2-2 – Britischer Zusatz

Tabelle 1

Startdatum das Datum des Inkrafttretens
Die Parteien Exporteur (der die eingeschränkte Übermittlung sendet) Importeur (der die eingeschränkte Übermittlung erhält)

Angaben zu den Parteien

 




Hauptansprechpartner

Vollständiger juristischer Name: Siehe Vereinbarung oder Bestellformular
Handelsname, falls abweichend
Hauptadresse: Siehe Vereinbarung oder Bestellformular
Offizielle Registrierungsnummer


Vollständiger Name (optional): NA
Jobtitel: Siehe Vereinbarung oder Bestellformular
Kontaktangaben einschließlich E-Mail-Adresse: Siehe Vereinbarung oder Bestellformular 		Vollständiger rechtlicher Name: GoTo Technologies USA, LLC in eigenem Namen und im Namen seiner Konzernunternehmen
Handelsname, falls abweichend: NA
Hauptadresse: 333 Summer Street, 5th Floor, Boston, MA 02210
Offizielle Registrierungsnummer: 5984112 (DE)
Vollständiger Name (optional): NA
Jobtitel: Datenschutz-Team
Kontaktangaben einschließlich E-Mail-Adresse: privacy@goto.com
Unterschrift (falls für die Zwecke von Abschnitt 2 erforderlich) Die Unterzeichnung oder Annahme der Vereinbarung oder eines Bestellformulars durch den Kunden und GoTo stellt die Unterzeichnung und Annahme des britischen Zusatzes dar. Die Unterzeichnung oder Annahme der Vereinbarung oder eines Bestellformulars durch den Kunden und GoTo stellt die Unterzeichnung und Annahme des britischen Zusatzes dar.

Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln

Nachtrag EU-SCCs
Modul Modul in Betrieb Klausel 7 (Andockklausel) Klausel 11 (Option) Klausel 9a (Vorabgenehmigung oder allgemeine Genehmigung) Klausel 9(a) Zeitspanne Werden die vom Importeur erhaltenen personenbezogenen Daten mit den vom Exporteur erhobenen personenbezogenen Daten kombiniert?
1 Ja Ja Ja, die optionale unabhängige Streitbeilegungsstelle, die GoTo den betroffenen Personen kostenlos zur Verfügung stellt, wird von TrustArc, einer externen Datenschutzfirma, unter https://feedback-form.truste.com/watchdog/request angeboten      
2 Ja Ja Ja, die optionale unabhängige Streitbeilegungsstelle, die GoTo den betroffenen Personen kostenlos zur Verfügung stellt, wird von TrustArc, einer externen Datenschutzfirma, unter https://feedback-form.truste.com/watchdog/request angeboten Allgemein Siehe DVN, Abschnitt 8.2  
3 Ja Ja Ja, die optionale unabhängige Streitbeilegungsstelle, die GoTo den betroffenen Personen kostenlos zur Verfügung stellt, wird von TrustArc, einer externen Datenschutzfirma, unter https://feedback-form.truste.com/watchdog/request angeboten Allgemein Siehe DVN, Abschnitt 8.2  
4 Nein NA NA     NA

Tabelle 3: Informationen zum Anhang
„Informationen zum Anhang“ bezeichnet die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) bereitgestellt werden müssen und die für diesen Nachtrag in enthalten sind:

Anhang 1A: Liste der Parteien: Siehe oben
Anhang 1B: Beschreibung der Übermittlung: Siehe Anhang 1 zum DVN
Anhang II: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Siehe die entsprechenden TOMs im Trust Center
Anhang III: Liste der Unterauftragsverarbeiter (nur Module 2 und 3): Siehe die entsprechenden Offenlegungen für Unterauftragsverarbeiter im Trust Center

Tabelle 4: Beendigung dieses Nachtrags bei Änderungen des genehmigten Nachtrags

Beendigung dieses Nachtrags bei Änderungen des genehmigten Nachtrags Die Parteien können diesen Nachtrag wie in Abschnitt 19 beschrieben beenden: