Die Pocket Risk Datenverarbeitungsvereinbarung (DPA) ist Teil der Pocket Risk Nutzungsbedingungen (der Vereinbarung) und unterliegt diesen. Großgeschriebene Begriffe, die in dieser DPA nicht definiert sind, haben die in der Vereinbarung zugewiesenen Bedeutungen.
Bitte senden Sie alle Fragen zu dieser DPA, indem Sie Pocket Risk hierkontaktieren..
Diese DPA gilt nur für Sie, wenn Sie oder Ihre Endbenutzer dem EU-Datenschutzrecht unterliegen. Sie stimmen zu, dass Pocket Risk nicht für personenbezogene Daten verantwortlich ist, die Sie über Drittanbieterdienste oder außerhalb des Services verarbeitet haben, einschließlich der Systeme anderer Drittanbieter-Cloud-Dienste, Offline- oder On-Premises-Speicher.
Diese DPA gilt, wenn Kundendaten von Pocket Risk verarbeitet werden. In diesem Zusammenhang wird Pocket Risk als „Datenverarbeiter“ oder „Sub-Verarbeiter“ für den Kunden tätig, der entweder als „Datenverantwortlicher“ oder „Datenverarbeiter“ in Bezug auf die Kundendaten fungieren kann.
Wir werden Kundendaten zum Zweck der Bereitstellung des Services für Sie verarbeiten. Je nachdem, wie Sie den Service nutzen, können wir Ihre Kundendaten zum Beispiel verarbeiten, um: (a) Daten von Ihren Endbenutzern zu sammeln, zu organisieren, zu berichten oder zu analysieren, die über von Pocket Risk unterstützte Formulare und Anwendungen erfasst werden, die direkt auf Ihrer Website eingebettet sein können, (b) Ihre Endbenutzer in Ihrem Auftrag per E-Mail zu kontaktieren oder (c) Ihre autorisierten Endbenutzer zu authentifizieren, damit sie auf Daten und Anwendungen zugreifen können, die Sie kontrollieren. Es kann auch andere Verarbeitungstätigkeiten durch Pocket Risk geben, die sich nach der Art richten, wie Sie den Service gestalten oder nutzen.
Wir werden Ihre Kundendaten für den Zweck und gemäß der Vereinbarung oder den Anweisungen verarbeiten, die Sie uns über Ihr Konto geben. Sie stimmen zu, dass die Vereinbarung und die über Ihr Konto gegebenen Anweisungen Ihre vollständigen und endgültigen Anweisungen an uns in Bezug auf Ihre Kundendaten sind. Zusätzliche Anweisungen, die über den Rahmen dieser DPA hinausgehen, erfordern eine vorherige schriftliche Vereinbarung zwischen Ihnen und uns, einschließlich einer Vereinbarung über etwaige zusätzliche Gebühren, die Sie uns für die Durchführung solcher Anweisungen zahlen müssen.
Sie stellen sicher, dass Ihre Anweisungen mit allen geltenden Gesetzen, Vorschriften und Regeln in Bezug auf Ihre Kundendaten übereinstimmen und dass Ihre Kundendaten rechtmäßig von Ihnen oder in Ihrem Auftrag gesammelt und uns gemäß diesen Gesetzen, Vorschriften und Regeln zur Verfügung gestellt werden. Sie stellen außerdem sicher, dass die Verarbeitung Ihrer Kundendaten gemäß Ihrer Anweisungen keine Gesetze, Vorschriften oder Regeln (einschließlich des EU-Datenschutzrechts) verletzt. Sie sind dafür verantwortlich, die uns zur Verfügung gestellten Informationen zur Datensicherheit gemäß der Vereinbarung zu überprüfen und eine unabhängige Entscheidung darüber zu treffen, ob der Service Ihre Anforderungen und rechtlichen Verpflichtungen sowie Ihre Verpflichtungen aus dieser DPA erfüllt. Pocket Risk wird Ihre Kundendaten nur im Rahmen der Vereinbarung, zur Aufrechterhaltung oder Bereitstellung des Services oder zur Einhaltung des Gesetzes oder einer verbindlichen Anordnung einer staatlichen, strafverfolgenden oder aufsichtsrechtlichen Stelle einsehen oder verwenden.
Sie sind verantwortlich für etwaige Haftung oder Kosten, die sich aus der Einhaltung Ihrer Anweisungen oder Anfragen durch Pocket Risk gemäß der Vereinbarung ergeben, die außerhalb der Standardfunktionen des Services liegen, einschließlich der Übertragung von Kundendaten an Drittanbieterdienste außerhalb des Pocket Risk Services.
Wir werden Ihnen ohne unangemessene Verzögerung eine Benachrichtigung zukommen lassen: (a) nachdem wir Kenntnis von einem Sicherheitsvorfall erhalten und dessen Auftreten bestätigt haben, für den eine Benachrichtigung an Sie gemäß den geltenden EU-Datenschutzgesetzen erforderlich ist; (b) werden wir angemessene Schritte unternehmen, um die Auswirkungen zu mildern und etwaige Schäden, die aus dem Sicherheitsvorfall resultieren, zu minimieren. Die Benachrichtigung über Sicherheitsvorfälle wird einem oder mehreren Kontoadministratoren des Kunden auf geeignete Weise zugestellt, die Pocket Risk auswählt, einschließlich per E-Mail. Wir werden Ihnen alle Informationen über den Sicherheitsvorfall zur Verfügung stellen, die wir Ihnen vernünftigerweise offenlegen können, unter Berücksichtigung der Art des Services, der uns verfügbaren Informationen und etwaiger Einschränkungen bei der Offenlegung der Informationen, wie etwa aufgrund von Vertraulichkeit.
Der Kunde stimmt zu, dass ein erfolgloser Sicherheitsvorfall nicht den gleichen Verpflichtungen unterliegt, die in dieser DPA gemäß den geltenden EU-Datenschutzgesetzen festgelegt sind. Unsere Verpflichtung zur Meldung oder Reaktion auf einen Sicherheitsvorfall gemäß diesem Abschnitt wird nicht und darf nicht als Anerkennung von Fehlern oder Haftung von Pocket Risk in Bezug auf den Sicherheitsvorfall ausgelegt werden. Ungeachtet des Vorstehenden gelten die Verpflichtungen von Pocket Risk gemäß diesem Abschnitt nicht für Vorfälle, die durch Sie, durch Aktivitäten in Ihrem Konto und/oder durch Drittanbieterdienste verursacht werden.
Wir werden Ihnen, soweit Sie dies nicht vernünftigerweise über den Service, Ihr Konto oder anderweitig tun können, angemessene Unterstützung leisten, falls eine Untersuchung durch eine Regulierungsbehörde, einschließlich einer Datenschutzbehörde oder einer ähnlichen Stelle, stattfindet, sofern und soweit diese Untersuchung die Verarbeitung von Kundendaten durch Pocket Risk in Ihrem Auftrag gemäß dieser DPA betrifft, unter Berücksichtigung der Art des Services und der uns verfügbaren Informationen. Sie sind verantwortlich für unsere angemessenen Kosten, die durch die Bereitstellung dieser Unterstützung entstehen. Pocket Risk kann eine angemessene Gebühr für diese angeforderte Unterstützung erheben, es sei denn, die Untersuchung ergibt sich aus einem Verstoß von Pocket Risk gegen die Vereinbarung oder diese DPA, soweit dies nach geltendem Recht zulässig ist.
Pocket Risk wird geeignete technische und organisatorische Maßnahmen umsetzen und während der Laufzeit der Vereinbarung und dieser DPA jederzeit in Übereinstimmung mit den aktuellen guten Branchenpraktiken aufrechterhalten, um Kundendaten gemäß dem EU-Datenschutzrecht zu schützen. Auf Ihre Anfrage hin wird Pocket Risk eine schriftliche Beschreibung der zu diesem Zeitpunkt ergriffenen Sicherheitsmaßnahmen bereitstellen. Sie stimmen zu, dass es erforderlich sein kann, dass Sie vor der Weitergabe solcher Informationen an Sie eine Vertraulichkeitsvereinbarung mit Pocket Risk abschließen. Wir können unsere Sicherheitsmaßnahmen jederzeit ändern, jedoch nicht auf eine Weise, die die Sicherheit der Kundendaten beeinträchtigt. Wir ergreifen Maßnahmen, um sicherzustellen, dass jede natürliche Person, die in unserer Autorität handelt und Zugang zu Kundendaten hat, diese nur auf unsere Anweisung hin verarbeitet, es sei denn, diese Person ist gemäß geltendem Recht dazu verpflichtet, und dass von uns autorisierte Personen zur Verarbeitung von Kundendaten sich zu relevanten Vertraulichkeitspflichten verpflichtet haben oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
Sie stimmen zu, dass wir Ihre Kundendaten mit Sub-Verarbeitern teilen können, um Ihnen den Service bereitzustellen. Wir werden vertragliche Verpflichtungen gegenüber unseren Sub-Verarbeitern auferlegen und unsere Sub-Verarbeiter vertraglich verpflichten, diese Verpflichtungen auch gegenüber weiteren Sub-Unternehmern, die sie zur Verarbeitung von Kundendaten engagieren, durchzusetzen. Diese Sub-Unternehmer müssen ein ebenso hohes Maß an Datenschutz für Kundendaten bieten wie die vertraglichen Verpflichtungen, die in dieser DPA festgelegt sind, soweit dies auf die Art des von diesem Sub-Verarbeiter bereitgestellten Services zutrifft. Eine Liste unserer aktuellen Sub-Verarbeiter zum Zeitpunkt des Inkrafttretens dieser DPA ist in Anhang A unten verfügbar.
Pocket Risk wird Sie im Voraus (per E-Mail und durch Benachrichtigung im Service) über Änderungen an der Liste der Sub-Verarbeiter informieren, die zum Zeitpunkt des Inkrafttretens dieser DPA vorhanden sind, außer bei Notfallersatz oder Löschung von Sub-Verarbeitern ohne Ersatz. Wenn Sie gegen einen Sub-Verarbeiter Einspruch erheben und Ihr Einspruch vernünftig und in Bezug auf Datenschutzbedenken gerechtfertigt ist, werden wir angemessene kommerzielle Anstrengungen unternehmen, Ihnen eine Möglichkeit zu bieten, die Verarbeitung durch den beanstandeten Sub-Verarbeiter zu vermeiden. Wenn wir innerhalb einer angemessenen Frist keine Änderung anbieten können, werden wir Sie benachrichtigen, und wenn Sie weiterhin gegen die Nutzung dieses Sub-Verarbeiters durch uns sind, können Sie Ihr Konto kündigen oder die Nutzung der Teile des Services einstellen, die den Sub-Verarbeiter betreffen. Sofern nicht in diesem Abschnitt festgelegt oder von Ihnen autorisiert, werden wir keinem Sub-Verarbeiter Zugang zu Ihren Kundendaten gewähren. Sofern nicht in diesem Abschnitt festgelegt, dürfen Sie den Service nicht nutzen oder darauf zugreifen, wenn Sie gegen einen Sub-Verarbeiter Einspruch erheben.
Pocket Risk kann einen Sub-Verarbeiter ändern, wenn der Grund für die Änderung außerhalb der angemessenen Kontrolle von Pocket Risk liegt. In diesem Fall wird Pocket Risk den Kunden so schnell wie möglich über den ersetzten Sub-Verarbeiter informieren. Der Kunde behält sich das Recht vor, gegen einen Ersatz-Sub-Verarbeiter gemäß diesem Abschnitt Einspruch zu erheben.
Pocket Risk bleibt für die Einhaltung der Verpflichtungen aus dieser DPA und für alle Handlungen oder Unterlassungen eines Sub-Verarbeiters oder dessen weiterer Sub-Unternehmer, die Ihre Kundendaten verarbeiten und Pocket Risk dazu führen, gegen eine der Verpflichtungen von Pocket Risk aus dieser DPA zu verstoßen, verantwortlich, jedoch nur insoweit, als Pocket Risk gemäß der Vereinbarung haften würde, wenn die Handlung oder Unterlassung die eigene von Pocket Risk wäre.
Pocket Risk stellt sicher, dass jede Person, die es autorisiert, Kundendaten zu verarbeiten, die Kundendaten gemäß den Vertraulichkeitsverpflichtungen von Pocket Risk unter der Vereinbarung und dieser DPA schützt. Pocket Risk wird Kundendaten nicht an eine Regierung oder eine andere Drittpartei weitergeben, außer wenn dies erforderlich ist, um dem Gesetz zu entsprechen oder einer gültigen und verbindlichen Anordnung einer Strafverfolgungsbehörde (wie einer Vorladung oder gerichtlichen Anordnung) nachzukommen.
Pocket Risk stellt Ihnen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen in dieser DPA nachzuweisen, und ermöglicht und trägt zu Audits bei, die von Ihnen oder einem von Ihnen beauftragten Auditor durchgeführt werden. Pocket Risk wird Sie informieren, wenn es der Meinung ist, dass eine Anweisung gegen die EU-Datenschutzgesetze verstößt. Pocket Risk wird Sie auch bei der Durchführung von gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzungen unterstützen (einschließlich anschließender Konsultationen mit einer Aufsichtsbehörde), falls dies nach dem EU-Datenschutzrecht erforderlich ist, unter Berücksichtigung der Art der Verarbeitung und der von Pocket Risk verfügbaren Informationen. Pocket Risk kann eine angemessene Gebühr für diese Unterstützung bei Informationsanforderungen, Audits oder Folgenabschätzungen erheben, soweit dies nach geltendem Recht zulässig ist.
Sie sind verantwortlich für die Bearbeitung von Anfragen oder Beschwerden von betroffenen Personen bezüglich ihrer personenbezogenen Daten, die von Pocket Risk als Kundendaten im Rahmen dieser DPA verarbeitet werden. Pocket Risk wird eine angemessene und zeitnahe Antwort geben und Sie benachrichtigen, wenn wir solche Anfragen oder Beschwerden erhalten, es sei denn, dies ist nach geltendem Recht verboten.
Sie autorisieren uns, Kundendaten aus dem Land, in dem diese Daten ursprünglich gesammelt wurden, zu übertragen. Insbesondere autorisieren Sie uns, Kundendaten in die USA zu übertragen. Wir werden Kundendaten unter Verwendung der Prinzipien des EU-U.S. und des Swiss-U.S. Privacy Shield Frameworks oder eines anderen rechtmäßigen Mechanismus für Datenübertragungen, der nach dem EU-Datenschutzrecht als ausreichend schützend für solche Datenübertragungen anerkannt ist, außerhalb des EWR übertragen.
Der Service bietet Funktionen, mit denen der Kunde, der Datenverantwortliche, Kundendaten herunterladen und löschen kann. Bei Kündigung Ihres Kontos aus beliebigem Grund wird Pocket Risk Kundendaten gemäß unseren Richtlinien zur Datenaufbewahrung und rechtlichen Verpflichtungen oder auf Ihre Anfrage hin löschen, indem Sie Pocket Risk hier kontaktieren. Ihre Anfragen zur Rückgabe oder Löschung von Kundendaten können nicht erfüllt werden, soweit Pocket Risk aufgrund gesetzlicher Verpflichtungen oder des EU-Datenschutzrechts dazu verpflichtet ist.
Die Haftung jeder Partei im Rahmen dieser DPA unterliegt den Ausschlüssen und Haftungsbeschränkungen, die in der Vereinbarung festgelegt sind. Sie stimmen zu, dass etwaige regulatorische Strafen oder Ansprüche von betroffenen Personen oder anderen, die Pocket Risk im Zusammenhang mit Kundendaten entstehen und die auf Ihre Nichteinhaltung Ihrer Verpflichtungen aus dieser DPA oder dem EU-Datenschutzrecht zurückzuführen sind, auf die Haftung von Pocket Risk im Rahmen der Vereinbarung angerechnet werden und diese reduzieren, als ob es sich um eine Haftung gegenüber dem Kunden im Rahmen der Vereinbarung handelt.
Im Falle eines Konflikts zwischen dieser DPA und der Vereinbarung hat diese DPA Vorrang. Diese DPA bleibt in Kraft, bis die Vereinbarung beendet wird.
Pocket Risk Sub-Verarbeiter: