MAPSLY Datenverarbeitungszusatz

1. Datenverarbeitung.

1.1 Umfang und Rollen. Diese DPA gilt, wenn MAPSLY Kundendaten verarbeitet. In diesem Kontext fungiert MAPSLY als Auftragsverarbeiter für den Kunden, der entweder als Verantwortlicher oder als Auftragsverarbeiter der Kundendaten tätig sein kann.

1.2 Kundensteuerelemente. Der Kunde kann die Service Controls nutzen, um ihm bei der Erfüllung seiner Verpflichtungen aus dem anwendbaren Datenschutzgesetz zu helfen, einschließlich seiner Verpflichtungen, auf Anfragen von betroffenen Personen zu antworten. Unter Berücksichtigung der Art der Verarbeitung stimmt der Kunde zu, dass es unwahrscheinlich ist, dass MAPSLY davon erfährt, dass die unter den Standardvertragsklauseln übermittelten Kundendaten ungenau oder veraltet sind. Sollte MAPSLY jedoch feststellen, dass die unter den Standardvertragsklauseln übermittelten Kundendaten ungenau oder veraltet sind, wird es den Kunden unverzüglich informieren. MAPSLY wird mit dem Kunden zusammenarbeiten, um ungenaue oder veraltete Kundendaten, die unter den Standardvertragsklauseln übermittelt wurden, zu löschen oder zu berichtigen, indem es die Service Controls bereitstellt, die der Kunde zur Löschung oder Berichtigung der Kundendaten verwenden kann.

1.3 Details der Datenverarbeitung.

1.3.1 Thema. Gegenstand der Datenverarbeitung im Rahmen dieser DPA sind Kundendaten.

1.3.2 Dauer. Zwischen MAPSLY und dem Kunden bestimmt der Kunde die Dauer der Datenverarbeitung im Rahmen dieser DPA.

1.3.3 Zweck. Der Zweck der Datenverarbeitung im Rahmen dieser DPA ist die Bereitstellung der Services, die von Customer von Zeit zu Zeit initiiert werden.

1.3.4 Art der Verarbeitung. Compute, Storage und weitere Services, wie in der Dokumentation beschrieben und vom Kunden von Zeit zu Zeit initiiert.

1.3.5 Art der Kundendaten. Kundendaten, die in die Services unter den MAPSLY-Konten des Kunden hochgeladen wurden.

1.3.6 Kategorien betroffener Personen. Die betroffenen Personen können unter anderem die Kunden von Customer, Mitarbeiter, Lieferanten und Endbenutzer umfassen.

1.4 Einhaltung der Gesetze. Jede Partei verpflichtet sich, alle für sie geltenden und bindenden Gesetze, Regeln und Vorschriften bei der Durchführung dieses DPA einzuhalten, einschließlich der anwendbaren Datenschutzgesetze.

1.5 Mapsly als Controller Der Kunde erkennt an, dass Mapsly spezifische Informationen über die Endnutzer des Kunden erhebt, die in der MAPSLY Datenschutzerklärung (aktuell veröffentlicht unter https://mapsly.com/privacy-policy)Soweit diese Daten gemäß den Datenschutzgesetzen als personenbezogene Daten gelten, ist Mapsly der Verantwortliche dieser Daten und verarbeitet sie als Teil der Kundendaten in Übereinstimmung mit diesem DPA. Der Kunde gewährt MAPSLY außerdem das Recht, diese Daten intern und an seine Subprozessoren für seine legitimen Geschäftszwecke im Zusammenhang mit dem Betrieb, Support und der Nutzung der Services offenzulegen, wie z. B. Abrechnung, Kontoverwaltung, technischer Support, Produktentwicklung, Vertrieb und Marketing.

2. Kundenanweisungen. Die Parteien stimmen zu, dass diese DPA und die Vereinbarung (einschließlich der Anweisungserteilung durch den Kunden über Konfigurationstools wie der MAPSLY Setup-Konsole und von MAPSLY für die Services bereitgestellten APIs) die dokumentierten Anweisungen des Kunden hinsichtlich der Verarbeitung von Kundendaten durch MAPSLY darstellen (Dokumentierte Anweisungen”). MAPSLY wird Kundendaten ausschließlich gemäß den dokumentierten Anweisungen verarbeiten (welche, falls der Kunde als Auftragsverarbeiter auftritt, auf den Anweisungen seiner Verantwortlichen basieren könnten). Zusätzliche Anweisungen, die über den Umfang der dokumentierten Anweisungen hinausgehen (sofern vorhanden), bedürfen einer vorherigen schriftlichen Vereinbarung zwischen MAPSLY und dem Kunden, einschließlich einer Vereinbarung über etwaige zusätzliche Gebühren, die der Kunde an MAPSLY für die Ausführung solcher Anweisungen zu zahlen hat. Der Kunde ist berechtigt, dieses DPA und die Vereinbarung zu kündigen, wenn MAPSLY sich weigert, Anweisungen des Kunden zu befolgen, die außerhalb des in diesem DPA gegebenen oder vereinbarten Rahmens liegen oder von diesen abweichen. Unter Berücksichtigung der Art der Verarbeitung stimmt der Kunde zu, dass es unwahrscheinlich ist, dass MAPSLY eine Meinung darüber bilden kann, ob die dokumentierten Anweisungen gegen anwendbares Datenschutzrecht verstoßen. Falls MAPSLY eine solche Meinung bildet, wird es den Kunden umgehend informieren, in welchem Fall der Kunde berechtigt ist, seine dokumentierten Anweisungen zurückzuziehen oder zu ändern.

3. Vertraulichkeit von Kundendaten. MAPSLY wird nicht auf Customer Data zugreifen, sie nicht verwenden oder an Dritte weitergeben, außer wenn dies jeweils notwendig ist, um die Services aufrechtzuerhalten oder bereitzustellen oder um den gesetzlichen Bestimmungen bzw. einer gültigen und verbindlichen Anordnung einer Regierungsbehörde (wie z. B. einer Vorladung oder eines Gerichtsbeschlusses) nachzukommen. Wenn eine Regierungsbehörde MAPSLY eine Anfrage bezüglich Customer Data zukommen lässt, wird MAPSLY versuchen, die betreffende Behörde dazu zu veranlassen, die Daten direkt beim Customer anzufordern. Im Rahmen dieser Maßnahmen kann MAPSLY die grundlegenden Kontaktinformationen des Customer an die Regierungsbehörde weitergeben. Sollte MAPSLY gezwungen sein, Customer Data an eine Regierungsbehörde zu übermitteln, wird MAPSLY dem Customer eine angemessene Benachrichtigung über die Anfrage zukommen lassen, damit der Customer eine Schutzanordnung oder eine andere angemessene Maßnahme einleiten kann, es sei denn, MAPSLY ist gesetzlich daran gehindert.

4. Vertraulichkeitsverpflichtungen des MAPSLY-Personals. MAPSLY untersagt seinem Personal, Kundendaten ohne Autorisierung durch MAPSLY zu verarbeiten. MAPSLY verpflichtet sein Personal durch entsprechende vertragliche Verpflichtungen, einschließlich relevanter Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz und Datensicherheit.

5. Sicherheit der Datenverarbeitung

5.1 MAPSLY hat die entsprechenden technischen und organisatorischen Maßnahmen implementiert und wird diese aufrechterhalten, um die Sicherheit und Vertraulichkeit der Kundendaten zu gewährleisten, gemäß den in diesem PDA beschriebenen Sicherheitsstandards von Mapsly und der MAPSLY Privacy Policy.

5.2 Kundenverantwortlichkeiten und optionale Sicherheitsfunktionen. MAPSLY stellt viele Service Controls zur Verfügung, die der Kunde wählen kann, um die Sicherheit der Kundendaten weiter zu erhöhen. Der Kunde ist verantwortlich für (a) die sichere Nutzung der Services, einschließlich der Sicherung seiner Kontozugangsdaten, (b) den Schutz der Sicherheit der Kundendaten beim Transport zu und von den Services, (c) geeignete Maßnahmen zur sicheren Verschlüsselung oder Sicherung der in die Services hochgeladenen Kundendaten zu treffen, (d) die ordnungsgemäße Konfiguration der Services und Service Controls sowie (e) weitere Maßnahmen zu ergreifen, die der Kunde für ausreichend hält, um die Sicherheit, den Schutz und die Löschung der Kundendaten zu gewährleisten.

5.3. Sicherheitsvorfall-Benachrichtigung.

5.3.1. Sicherheitsvorfall. MAPSLY wird (a) den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls benachrichtigen und (b) geeignete Maßnahmen ergreifen, um den Sicherheitsvorfall zu beheben, einschließlich Maßnahmen zur Minderung etwaiger negativer Auswirkungen des Sicherheitsvorfalls.

5.3.2. MAPSLY-Hilfe. Um es dem Customer zu ermöglichen, einen Sicherheitsvorfall den Aufsichtsbehörden oder betroffenen Personen (je nach Fall) mitzuteilen, wird MAPSLY mit dem Customer zusammenarbeiten und ihn unterstützen, indem in der Mitteilung solche Informationen über den Sicherheitsvorfall enthalten sind, die MAPSLY dem Customer unter Berücksichtigung der Art der Verarbeitung, der verfügbaren Informationen und etwaiger Einschränkungen bei der Offenlegung, wie z. B. der Vertraulichkeit, mitteilen kann. Unter Berücksichtigung der Art der Verarbeitung stimmt der Customer zu, dass er am besten in der Lage ist, die wahrscheinlichen Konsequenzen eines Sicherheitsvorfalls zu bestimmen.

5.3.3. Nicht erfolgreiche Sicherheitsvorfälle. Der Kunde stimmt zu, dass:

(i) Ein erfolgloser Sicherheitsvorfall unterliegt nicht diesem Abschnitt 5.3. Ein erfolgloser Sicherheitsvorfall ist ein Vorfall, bei dem es zu keinem unbefugten Zugriff auf Kundendaten oder auf Geräte oder Einrichtungen von MAPSLY, die Kundendaten speichern, kommt, und kann unter anderem Pings sowie andere Rundsendeangriffe auf Firewalls oder Edge-Server, Portscans, fehlgeschlagene Anmeldeversuche, Denial-of-Service-Angriffe, Paket-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über die Header hinausführen) oder ähnliche Vorfälle beinhalten;

(ii) MAPSLYs Verpflichtung, einen Sicherheitsvorfall gemäß diesem Abschnitt 5.3 zu melden oder darauf zu reagieren, wird nicht und auch künftig nicht als Anerkennung jeglicher Fehler oder Haftung von MAPSLY in Bezug auf den Sicherheitsvorfall ausgelegt.

5.3.4. Kommunikation. Benachrichtigung(en) über Sicherheitsvorfälle, sofern vorhanden, werden auf beliebige Weise, die MAPSLY auswählt – unter anderem per E-Mail – an einen oder mehrere Administrator(en) des Kunden zugestellt. Es liegt in der alleinigen Verantwortung des Kunden, dafür zu sorgen, dass seine Administratoren im MAPSLY-Setup-Konsolen stets genaue Kontaktinformationen pflegen und eine sichere Übertragung garantiert ist.

5.3.5. Benachrichtigungspflichten. Wenn MAPSLY den Kunden über einen Sicherheitsvorfall informiert oder der Kunde anderweitig Kenntnis von einer zufälligen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Offenlegung von oder einem unbefugten Zugriff auf Kundendaten erlangt, ist der Kunde dafür verantwortlich, (a) zu ermitteln, ob daraus eine Benachrichtigung oder eine andere Verpflichtung gemäß dem anwendbaren Datenschutzgesetz resultiert, und (b) die notwendigen Maßnahmen zur Einhaltung dieser Verpflichtungen zu ergreifen. Dies schränkt die Verpflichtungen von MAPSLY gemäß diesem Abschnitt 5.3 nicht ein.

6. Sub-Prozessierung.

6.1 Autorisierte Unterauftragsverarbeiter. Der Kunde erteilt MAPSLY eine allgemeine Genehmigung zur Nutzung von Subprozessoren, um Verarbeitungstätigkeiten an Kundendaten im Auftrag des Kunden durchzuführen (Unterauftragsverarbeiter”) in Übereinstimmung mit diesem Abschnitt. Die MAPSLY-Website (derzeit unter, https://mapsly.com/sub-processors/) listet Sub-Prozessoren auf, die derzeit von MAPSLY beauftragt werden. Mindestens 30 Tage, bevor MAPSLY einen Sub-Prozessor einsetzt, wird MAPSLY die entsprechende Website aktualisieren und dem Kunden einen Mechanismus bereitstellen, um eine Benachrichtigung über diese Aktualisierung zu erhalten. Um einem Sub-Prozessor zu widersprechen, kann der Kunde: (i) die Nutzung der Funktionalität des MAPSLY-Dienstes einstellen, für die MAPSLY den Sub-Prozessor beauftragt hat, oder (ii) den Vertrag gemäß dessen Bedingungen kündigen.

6.2 Verpflichtungen des Unterauftragsverarbeiters. Wo MAPSLY einen Unterauftragsverarbeiter wie in Abschnitt 6.1 autorisiert:

(i) MAPSLY wird den Zugriff des Sub-Prozessors auf Kundendaten ausschließlich auf das Notwendige beschränken, um die Dienste gemäß der Dokumentation bereitzustellen oder zu warten, und MAPSLY wird dem Sub-Prozessor den Zugriff auf Kundendaten für jeden anderen Zweck untersagen;

(ii) MAPSLY wird einen schriftlichen Vertrag mit dem Sub-processor abschließen und, sofern der Sub-processor dieselben Datenverarbeitungsdienste erbringt, die MAPSLY im Rahmen dieses DPA zur Verfügung stellt, dem Sub-processor dieselben vertraglichen Verpflichtungen auferlegen, die MAPSLY im Rahmen dieses DPA hat;

(iii) MAPSLY bleibt für die Einhaltung der Verpflichtungen aus diesem DPA verantwortlich und haftet für sämtliche Handlungen oder Unterlassungen des Subprozessors, die dazu führen, dass MAPSLY gegen eine ihrer Verpflichtungen aus diesem DPA verstößt.

7. MAPSLY-Hilfe bei Anfragen von betroffenen Personen. Unter Berücksichtigung der Art der Verarbeitung stellen die Service Controls die technischen und organisatorischen Maßnahmen dar, durch die MAPSLY den Kunden dabei unterstützt, seinen Verpflichtungen zur Beantwortung von Anfragen betroffener Personen gemäß dem geltenden Datenschutzrecht nachzukommen. Wenn eine betroffene Person eine Anfrage an MAPSLY richtet, wird MAPSLY diese Anfrage umgehend an den Kunden weiterleiten, sobald festgestellt wurde, dass die Anfrage von einer betroffenen Person stammt, für die der Kunde verantwortlich ist. Der Kunde ermächtigt MAPSLY in seinem Namen und im Namen seiner Verantwortlichen, sofern der Kunde als Processor auftritt, auf jede Anfrage einer betroffenen Person an MAPSLY zu reagieren, um zu bestätigen, dass MAPSLY die Anfrage an den Kunden weitergeleitet hat. Die Parteien vereinbaren, dass die Nutzung der Service Controls durch den Kunden und die Weiterleitung der Anfragen betroffener Personen durch MAPSLY gemäß diesem Abschnitt den Umfang und die Art der erforderlichen Unterstützung des Kunden darstellen.

8. Compliance-Überprüfung.

8.1 MAPSLY Prüfungen. MAPSLY setzt externe Prüfer ein, um die Angemessenheit seiner Sicherheitsmaßnahmen zu überprüfen. Diese Prüfung: (a) wird mindestens jährlich durchgeführt; (b) wird nach einem allgemein anerkannten Standard durchgeführt; (c) wird von unabhängigen Sicherheitsfachleuten von Dritten durchgeführt, die von MAPSLY ausgewählt werden und deren Kosten von MAPSLY getragen werden; und (d) führt zur Erstellung eines Prüfberichts (Bericht”), die als MAPSLY’s vertrauliche Informationen gelten werden.

8.2 Audit-Berichte. Auf schriftliche Anfrage des Kunden und unter der Voraussetzung, dass zwischen den Parteien eine gültige NDA besteht, wird MAPSLY dem Kunden eine Kopie des Berichts zur Verfügung stellen, damit der Kunde MAPSLY’s Einhaltung seiner Verpflichtungen gemäß diesem DPA nachvollziehen kann.

8.3 Datenschutz-Folgenabschätzung und vorherige Konsultation. Unter Berücksichtigung der Art der Verarbeitung und der MAPSLY verfügbaren Informationen wird MAPSLY dem Kunden dabei helfen, seinen Verpflichtungen in Bezug auf Datenschutz-Folgenabschätzungen und vorherige Konsultationen nachzukommen, indem es die Informationen bereitstellt, die MAPSLY gemäß diesem Abschnitt 8 zur Verfügung stellt.

9. Übermittlungen personenbezogener Daten.

9.1 Orte. MAPSLY kann Kundendaten innerhalb des MAPSLY-Netzwerks in den USA oder im EWR übertragen und verarbeiten. MAPSLY wird Kundendaten außerhalb des EWR und der USA nur dann übertragen, wenn dies zur Bereitstellung der vom Kunden initiierten Services oder zur Einhaltung gesetzlicher Vorschriften bzw. einer gültigen und bindenden Anordnung einer staatlichen Stelle erforderlich ist.

9.2 Anwendung der Standardvertragsklauseln. Vorbehaltlich Abschnitt 9.3 gelten die Standardvertragsklauseln nur für Kundendaten, die der DSGVO unterliegen und die entweder direkt oder über eine Weiterübertragung in ein Drittland (jedes ein “ übertragen werdenDatenübertragung”).,

9.2.1 Wenn der Kunde als Verantwortlicher agiert, gelten die Klauseln zum Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter für einen Datentransfer.

9.2.2 Wenn der Customer als Processor tätig ist, gelten die Processor-to-Processor-Klauseln für einen Data Transfer. Unter Berücksichtigung der Art der Verarbeitung erklärt sich der Customer damit einverstanden, dass es unwahrscheinlich ist, dass MAPSLY die Identität der Controllers des Customer kennt, da MAPSLY keine direkte Beziehung zu den Controllers des Customer hat und der Customer daher die Verpflichtungen von MAPSLY gegenüber den Controllers des Customer im Rahmen der Processor-to-Processor-Klauseln erfüllt.

9.3 Alternativer Übertragungsmechanismus. Die Standardvertragsklauseln finden keine Anwendung auf einen Datentransfer, wenn MAPSLY verbindliche Unternehmensregeln für Auftragsverarbeiter oder einen alternativen anerkannten Compliance-Standard für rechtmäßige Datentransfers eingeführt hat.

10. Beendigung des DPA. Diese DPA bleibt in Kraft, bis die Vereinbarung beendet wird (the “Kündigungsdatum”).,

11. Löschung von Kundendaten. Nach Beendigung oder Ablauf der Vereinbarung wird MAPSLY auf Kundenwunsch Kundendaten löschen, jedoch nicht später als innerhalb eines 90-Tage-Zeitraums, es sei denn, geltendes Recht verpflichtet MAPSLY dazu, einen Teil oder alle Kundendaten aufzubewahren, die MAPSLY dann sicher isoliert und gemäß den geltenden Aufbewahrungsfristen speichert. MAPSLY wird diese Daten vor jeglicher weiteren Verarbeitung schützen, soweit nicht gesetzlich anders vorgeschrieben.

12. Informationspflichten. Falls Kundendaten während Insolvenz- oder Konkursverfahren oder ähnlichen Maßnahmen durch Dritte, während sie von MAPSLY verarbeitet werden, der Beschlagnahme unterliegen, wird MAPSLY den Kunden unverzüglich informieren. MAPSLY wird zudem ohne unnötige Verzögerung alle relevanten Parteien in einem solchen Verfahren (zum Beispiel Gläubiger, Insolvenzverwalter) darüber in Kenntnis setzen, dass alle Kundendaten, die diesen Verfahren unterliegen, Eigentum des Kunden sind, in dessen Verantwortungsbereich fallen und ausschließlich dem Kunden zur Verfügung stehen.

13. Gesamte Vereinbarung; Konflikt. Diese DPA bezieht die Standard Contractual Clauses durch Bezugnahme ein. Sofern diese DPA nicht geändert wurde, bleibt das Agreement in vollem Umfang in Kraft. Bei einem Konflikt zwischen dem Agreement und dieser DPA haben die Bedingungen dieser DPA Vorrang, mit der Ausnahme, dass die Service Terms gegenüber dieser DPA maßgeblich sind. Nichts in diesem Dokument ändert oder modifiziert die Standard Contractual Clauses.

14. Die Verwendung von rohen oder abgeleiteten Nutzerdaten, die von, Arbeitsbereich-APIs wird die Google User Data Policy einhalten, einschließlich, die Anforderungen für die eingeschränkte Nutzung