Diese Vereinbarung wird durch Verweis (wo zutreffend und vorbehaltlich einer ausdrücklichen gegenteiligen Vereinbarung) in Vereinbarungen zur Erbringung von Dienstleistungen aufgenommen, bei denen ASK4 Solutions Limited, ASK4 Business Limited oder ASK4 Data Centres Limited, wie in Ihrer Vereinbarung oder Bestellung zur Erbringung von Dienstleistungen angegeben, ("ASK4") als Auftragsverarbeiter fungieren.
Diese Vereinbarung gilt nicht, wenn ASK4 Limited oder andere Unternehmen der ASK4-Gruppe private oder verwaltete Internetdienste anbieten und dabei als Controller fungieren.
Definitionen
Die Begriffe "für die Verarbeitung Verantwortlicher", "betroffene Person", "personenbezogene Daten", "Auftragsverarbeiter" und "Unterauftragsverarbeiter" haben jeweils die Bedeutung, die ihnen nach den geltenden Datenschutzgesetzen zukommt;
"Kunde" bezeichnet die Person, die mit ASK4 einen Vertrag über die Erbringung der Dienstleistungen abgeschlossen hat;
"Persönliche Daten des Kunden" hat die Bedeutung, die ihm in Absatz 2.1 dieser Vereinbarung gegeben wird;
"Verarbeitungsanhang" ist der Anhang zu dieser Vereinbarung, in dem die Einzelheiten der Verarbeitung im Zusammenhang mit der Erbringung der Dienstleistungen aufgeführt sind;
"Datenschutzgesetze" bezeichnet die geltenden Rechtsvorschriften zum Schutz der personenbezogenen Daten und der Privatsphäre natürlicher Personen, insbesondere die britische Datenschutz-Grundverordnung (GDPR), das Datenschutzgesetz (Data Protection Act 2018) und die Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation (EG-Richtlinie) aus dem Jahr 2003 (SI 2426/2003) zusammen mit allen geltenden verbindlichen Leitlinien und Verhaltenskodizes, die von Zeit zu Zeit von den zuständigen Aufsichtsbehörden herausgegeben werden;
"Sicherheitsvorfall" bedeutet eine Verletzung der Sicherheit von ASK4, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf die persönlichen Daten des Kunden führt;
"Dienstleistungen" bedeutet IT-Support, Hosting, Rechenzentrumskolokation, Telekommunikation oder andere Dienstleistungen, die dem Kunden von ASK4 angeboten werden;
"UK GDPR" hat die Bedeutung, die ihm in Abschnitt 3(10) (in der durch Abschnitt 205(4) ergänzten Fassung) des Data Protection Act 2018 gegeben wird; und
"Erfolgloser Sicherheitsvorfall" bezeichnet einen Vorfall, der zu keinem unbefugten Zugriff auf personenbezogene Kundendaten führt, und kann unter anderem Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über die Header hinaus führen) oder ähnliche Vorfälle umfassen.
1. Geltungsbereich und Rollen
1.1 Diese Vereinbarung gilt nur, wenn personenbezogene Daten im Rahmen der Erbringung der Dienstleistungen durch den Kunden verarbeitet werden ("personenbezogene Daten des Kunden").
1.2 ASK4 wird als Auftragsverarbeiter oder Unterauftragsverarbeiter für den Kunden tätig, der entweder als Verantwortlicher oder als Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Kunden handeln kann.
2. Datenverarbeitung
2.1 Dieser Vertrag und der Verarbeitungsanhang stellen die schriftlichen Weisungen des Kunden an ASK4 zur Verarbeitung personenbezogener Daten dar, die zur Vermeidung von Zweifeln auf die für die Erbringung der Dienstleistungen notwendige Verarbeitung beschränkt sind ("Verarbeitungsanweisungen").
2.2 Der Kunde darf keine zusätzlichen oder abweichenden Verarbeitungsanweisungen erteilen, die den Umfang dieser Vereinbarung verändern, es sei denn, es wurde mit ASK4 etwas anderes vereinbart.
2.3 Der Kunde garantiert, dass: (a) die Verarbeitungsanweisungen, (b) die Erhebung der personenbezogenen Daten des Kunden und (c) vorbehaltlich der Einhaltung dieser Vereinbarung durch ASK4, die Verarbeitung der personenbezogenen Daten des Kunden jeweils den Datenschutzgesetzen entsprechen. Der Kunde ist allein verantwortlich für die Bereitstellung von Informationen über die Verarbeitung durch ASK4 an seine Mitarbeiter oder andere betroffene Personen.
3. Vertraulichkeit der persönlichen Daten des Kunden
3.1 ASK4 wird die persönlichen Daten des Kunden vertraulich behandeln und wird nicht auf die persönlichen Daten des Kunden zugreifen oder diese nutzen oder an Dritte weitergeben, es sei denn, dies ist notwendig, um die Dienste aufrechtzuerhalten oder bereitzustellen, oder es ist notwendig, um das Gesetz oder eine gültige und verbindliche Anordnung einer Strafverfolgungsbehörde, einer Regierungsbehörde oder eines Gerichts (wie eine Vorladung oder ein Gerichtsbeschluss) einzuhalten. Wenn eine staatliche Stelle ASK4 eine Anfrage nach persönlichen Daten des Kunden sendet, wird ASK4 versuchen, die staatliche Stelle umzuleiten, um diese Daten direkt vom Kunden anzufordern. Als Teil dieser Bemühungen kann ASK4 die grundlegenden Kontaktinformationen des Kunden an die Behörde weitergeben. Sollte ASK4 gezwungen sein, personenbezogene Daten des Kunden an eine Behörde weiterzugeben, wird ASK4 (soweit gesetzlich zulässig) den Kunden in angemessener Weise über die Anforderung informieren, um dem Kunden die Möglichkeit zu geben, eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel zu beantragen.
4. Sicherheit der Datenverarbeitung
4.1 ASK4 leistet hinreichende Gewähr dafür, dass sie alle erforderlichen oder geeigneten technischen und organisatorischen Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus getroffen hat.
4.2 Die Parteien anerkennen und vereinbaren, dass der Kunde verpflichtet ist, an den Sicherheitsmassnahmen von ASK4 mitzuwirken und keine Sicherheitsmassnahmen von ASK4 zu umgehen oder nicht zu befolgen.
4.3 Da ASK4 keine oder nur begrenzte Kenntnis von den persönlichen Daten des Kunden hat, ist der Kunde allein verantwortlich für: (a) Pseudonymisierung und Verschlüsselung zur Gewährleistung eines angemessenen Sicherheitsniveaus; (b) Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der vom Kunden betriebenen Verarbeitungssysteme und -dienste; (c) Maßnahmen, die es dem Kunden ermöglichen, Backups und Archive in angemessener Weise zu erstellen, um die Verfügbarkeit und den Zugang zu den personenbezogenen Daten des Kunden im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und (d) Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der vom Kunden getroffenen technischen und organisatorischen Maßnahmen (ASK4 stellt jedoch sicher, dass sie die Wirksamkeit ihrer Sicherheitsmaßnahmen regelmäßig prüft).
5. Unterverarbeitungen
5.1 Der Kunde ist damit einverstanden, dass ASK4 zur Erfüllung ihrer vertraglichen Verpflichtungen zur Erbringung der Dienstleistungen die im Verarbeitungsanhang aufgeführten Unterverarbeiter einsetzt.
5.2 Falls ASK4 einen neuen Unterauftragsverarbeiter mit der Verarbeitung von Personendaten im Auftrag des Kunden beauftragt, wird ASK4 den Kunden darüber informieren oder ihm einen Mechanismus zur Verfügung stellen, mit dem er über diese Änderung informiert werden kann. Wenn der Kunde innerhalb von 14 Tagen nach der Benachrichtigung durch ASK4 Einwände gegen einen neuen Unterauftragsverarbeiter erhebt, werden der Kunde und ASK4 nach Treu und Glauben besprechen, wie die Bedenken des Kunden ausgeräumt werden können, vorausgesetzt, dass der Kunde begründete Einwände hat, die von ASK4 nicht innerhalb einer angemessenen Frist ab dem Datum des Einwands ausgeräumt werden können, kann er seinen Vertrag für die Dienstleistungen mit einer Frist von 14 Tagen schriftlich an ASK4 kündigen. Mit Ausnahme der in dieser Vereinbarung festgelegten Fälle, im Falle eines Notfalls oder wenn der Kunde anderweitig zustimmt, wird ASK4 keinem Unterauftragsverarbeiter erlauben, personenbezogene Daten des Kunden im Namen des Kunden zu verarbeiten.
5.3 ASK4 wird den Zugang aller Unterauftragsverarbeiter zu den persönlichen Daten des Kunden auf den Umfang beschränken, der für die Aufrechterhaltung der Dienstleistungen oder für die Erbringung der Dienstleistungen für den Kunden erforderlich ist, und ASK4 wird den Unterauftragsverarbeitern den Zugang zu den persönlichen Daten des Kunden für jeden anderen Zweck untersagen.
5.4 ASK4 wird einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter abschliessen und, soweit der Unterauftragsverarbeiter die gleichen Datenverarbeitungsdienstleistungen erbringt, die von ASK4 im Rahmen dieses Vertrages erbracht werden, wird ASK4 dem Unterauftragsverarbeiter die gleichen vertraglichen Verpflichtungen auferlegen, die ASK4 im Rahmen dieses Vertrages hat, und ASK4 bleibt verantwortlich für die Einhaltung der Verpflichtungen dieses Vertrages und für jegliche Handlungen oder Unterlassungen der Unterauftragsverarbeiter, die ASK4 dazu veranlassen, eine der Verpflichtungen von ASK4 im Rahmen dieses Vertrages zu brechen.
6. Rechte der betroffenen Personen
6.1 In Anbetracht der Art der Dienstleistungen empfiehlt ASK4, dass der Kunde seine eigenen Prozesse einrichtet, um sicherzustellen, dass er seinen Verpflichtungen gegenüber den betroffenen Personen nachkommen kann. ASK4 wird den Kunden auf schriftliche Anfrage hin bei der Erfüllung seiner Verpflichtungen gegenüber den betroffenen Personen unterstützen, wobei die Art der Verarbeitung und die ASK4 zur Verfügung stehenden Informationen berücksichtigt werden, vorausgesetzt, dass die Verpflichtungen von ASK4 gegenüber dem Kunden in Bezug auf jegliche Auskunftsersuchen auf das nach den Datenschutzgesetzen erforderliche Mindestmaß beschränkt sind und die gesamte Haftung und Verantwortung für Auskunftsersuchen beim Kunden verbleibt.
6.2 Sollte sich eine betroffene Person an ASK4 wenden, um die Berichtigung oder Löschung ihrer persönlichen Daten zu verlangen, wird ASK4 alle wirtschaftlich vertretbaren Anstrengungen unternehmen, um solche Anfragen an den Kunden weiterzuleiten.
7. Benachrichtigung über Sicherheitsverletzungen
7.1 ASK4 wird: (a) den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls benachrichtigen; und (b) angemessene Maßnahmen ergreifen, um die Auswirkungen des Sicherheitsvorfalls zu mildern und den daraus resultierenden Schaden zu minimieren.
7.2 Der Kunde erklärt sich damit einverstanden, dass ein nicht erfolgreicher Sicherheitsvorfall nicht unter diese Ziffer 8 fällt.
7.3 Die Verpflichtung von ASK4, einen Sicherheitsvorfall gemäss dieser Ziffer 8 zu melden oder darauf zu reagieren, ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von ASK4 in Bezug auf den Sicherheitsvorfall auszulegen.
7.4 Um den Kunden bei der Meldung von Verletzungen des Schutzes personenbezogener Daten zu unterstützen, zu der der Kunde nach den anwendbaren Datenschutzgesetzen verpflichtet ist, wird ASK4 in die Meldung nach Absatz 1 die Informationen über den Sicherheitsvorfall aufnehmen, die ASK4 unter Berücksichtigung der Art der Dienstleistungen, der ASK4 zur Verfügung stehenden Informationen und etwaiger Beschränkungen bei der Offenlegung der Informationen, wie z.B. der Vertraulichkeit, dem Kunden nach billigem Ermessen offenlegen kann.
8. ASK4 Zertifizierungen und Audits
8.1 ASK4 stellt seine ISO 27001 Zertifizierung auf Anfrage zur Verfügung.
8.2 ASK4 setzt externe Auditoren ein, um die Angemessenheit ihrer Sicherheitsmaßnahmen zu überprüfen. Dieses Audit: (a) wird mindestens jährlich durchgeführt; (b) wird nach ISO 27001 Standards oder anderen alternativen Standards, die im Wesentlichen gleichwertig zu ISO 27001 sind, durchgeführt; (c) wird von unabhängigen Sicherheitsexperten auf Kosten von ASK4 durchgeführt; und (d) führt zur Erstellung eines Auditberichts ("Bericht"), der vertrauliche Information von ASK4 ist.
8.3 Auf schriftliche Anfrage des Kunden wird ASK4 (vorausgesetzt, die Parteien haben eine entsprechende Geheimhaltungsvereinbarung getroffen) nach eigenem Ermessen entweder: (a) dem Kunden eine Kopie des Berichts zur Verfügung stellen, so dass der Kunde die Einhaltung der Verpflichtungen von ASK4 aus diesem Vertrag in angemessener Weise überprüfen kann; oder (b) dem Kunden nach angemessener Vorankündigung und nicht öfter als einmal innerhalb eines Zeitraums von 12 Monaten die Durchführung eines Audits unter Aufsicht während der Arbeitszeit ermöglichen.
9. Datenschutz-Folgenabschätzung und vorherige Konsultation
9.1 Unter Berücksichtigung der Art der Dienstleistungen und der ASK4 zur Verfügung stehenden Informationen wird ASK4 den Kunden in angemessener Weise unterstützen, soweit dies erforderlich ist, damit der Kunde seinen Verpflichtungen in Bezug auf Datenschutz-Folgenabschätzungen und vorherige Konsultationen nachkommen kann, die gemäß den geltenden Datenschutzgesetzen erforderlich sind.
10. Übermittlungen
10.1 Jegliche Übermittlung von Daten in Länder außerhalb des Vereinigten Königreichs erfolgt in Übereinstimmung mit der britischen Datenschutz-Grundverordnung (GDPR), so dass ASK4 sicherstellt, dass das Land, in das die Daten übermittelt werden, ein angemessenes Schutzniveau gewährleistet, oder ASK4 verwendet Standardvertragsklauseln, um ein angemessenes Schutzniveau zu gewährleisten.
11. Rückgabe oder Löschung von persönlichen Daten des Kunden
11.1 Die Services bieten dem Kunden im Allgemeinen entweder: (a) Kontrollen, die der Kunde nutzen kann, um die persönlichen Daten des Kunden abzurufen oder zu löschen; oder (b) erlauben dem Kunden, die Kontrolle über seinen Zugang zu und die Löschung von persönlichen Daten des Kunden zu behalten. ASK4 wird sich auf schriftliche Anfrage in wirtschaftlich angemessener Weise bemühen, den Kunden bei der Abfrage oder Löschung der persönlichen Daten des Kunden zu unterstützen.
11.2 ASK4 wird die Verarbeitung der personenbezogenen Daten des Kunden unverzüglich nach Beendigung oder Ablauf der Erbringung der Dienstleistungen einstellen und (sofern ASK4 kein berechtigtes Interesse an der Aufbewahrung der personenbezogenen Daten des Kunden hat oder gesetzlich zur Aufbewahrung der personenbezogenen Daten des Kunden verpflichtet ist) nach Wahl des Kunden die personenbezogenen Daten des Kunden entweder zurückgeben oder sicher löschen.
VERARBEITUNGSANHANG
Gegenstand: Gegenstand der Datenverarbeitung im Rahmen dieses Vertrags sind die personenbezogenen Daten des Kunden.
Dauer der Verarbeitung: Im Verhältnis zwischen ASK4 und dem Kunden entspricht die Dauer der Datenverarbeitung der Dauer der Erbringung der Dienstleistungen.
Zweck: Der Zweck der Verarbeitung ist die Erbringung der vom Kunden von Zeit zu Zeit veranlassten Dienstleistungen. Es liegt in der Verantwortung des Kunden, ASK4 über jeden anderen Zweck der Verarbeitung und über jede Änderung dieser Art oder dieses Zwecks zu informieren.
Art der Verarbeitung: Rechenleistung, Speicherplatz, IT-Support und andere Dienstleistungen, die in der Bestellung des Kunden beschrieben sind oder von Zeit zu Zeit vom Kunden veranlasst werden.
Art der persönlichen Daten des Kunden: Name des Mitarbeiters, Kontaktinformationen, Rolle (einschließlich Berechtigungen) und technische Informationen (wie z. B. Informationen über Supportanfragen, die personenbezogene Daten sein können oder auch nicht) im Zusammenhang mit dem erbrachten Dienst. Persönliche Kundendaten, die in die Dienste hochgeladen werden, wenn Hosting- oder Speicherdienste bereitgestellt werden. Wenn solche Dienstleistungen erbracht werden, liegt es in der Verantwortung des Kunden, ASK4 über die Art der persönlichen Daten des Kunden, die verarbeitet werden sollen, und über alle Änderungen dieser Datenarten zu informieren.
Kategorien von betroffenen Personen: Zu den betroffenen Personen können Kunden, Mitarbeiter, Lieferanten und Endverbraucher des Kunden gehören. Es liegt in der Verantwortung des Kunden, ASK4 über alle anderen Kategorien von betroffenen Personen zu informieren, auf die sich die personenbezogenen Daten des Kunden beziehen, sowie über alle Änderungen dieser Kategorien.
Unterprozessoren:
- DRD Communications Ltd (als Käufer von Inclarity Communications Limited (mit Sitz im Vereinigten Königreich) - wo VoiP-Dienste angeboten werden
- Gamma Telecomm Limited (mit Sitz im Vereinigten Königreich) - wo VoiP-Dienste angeboten werden
- Anbieter von Telekommunikationsleitungen auf Großhandelsebene - wenn Mietleitungsdienste erbracht werden (wird bei der Bestellung oder auf Anfrage angegeben)
- Formagrid, Inc. bietet Airtable an, das wir als Geschäftsprozess-Software verwenden.
- Aspire Community Enterprise (Sheffield) Ltd - für die sichere Vernichtung von Elektrogeräten
- Utopi Limited - wo wir über die Utopi-Plattform und -Geräte intelligente Messsysteme und die damit verbundene ESG-Berichterstattung anbieten
HINWEIS: ASK4 kann Softwarelösungen, die von Dritten als Teil der Dienstleistungen bereitgestellt werden (z.B. Microsoft-Produkte), weiterverkaufen. Für die Verarbeitung personenbezogener Daten gilt die entsprechende EULA/Kundenvereinbarung (und alle darin enthaltenen Datenverarbeitungsanhänge oder Ähnliches) zwischen dem Kunden und dem Anbieter, nicht diese Vereinbarung.