Diese Vereinbarung wird durch Verweis (falls zutreffend und vorbehaltlich einer ausdrücklichen gegenteiligen Vereinbarung) in Vereinbarungen zur Erbringung von Dienstleistungen aufgenommen, bei denen ASK4 Solutions Limited, ASK4 Business Limited oder ASK4 Data Centres Limited, wie in Ihrer Vereinbarung oder Ihrem Auftrag zur Erbringung von Dienstleistungen angegeben, ("ASK4") als Auftragsverarbeiter auftreten.
Diese Vereinbarung gilt nicht, wenn ASK4 Limited oder andere Unternehmen der ASK4-Gruppe private oder verwaltete Internetdienste anbieten und dabei als Controller fungieren.
Definitionen
Die Begriffe "für die Verarbeitung Verantwortlicher", "betroffene Person", "personenbezogene Daten", "Auftragsverarbeiter" und "Unterauftragsverarbeiter" haben jeweils die Bedeutung, die ihnen nach den geltenden Datenschutzgesetzen zukommt;
"Kunde" bezeichnet die Person, die mit ASK4 einen Vertrag über die Erbringung der Dienstleistungen abgeschlossen hat;
"Persönliche Daten des Kunden" hat die Bedeutung, die ihm in Absatz 2.1 dieser Vereinbarung gegeben wird;
"Verarbeitungsanhang" ist der Anhang zu dieser Vereinbarung, in dem die Einzelheiten der Verarbeitung im Zusammenhang mit der Erbringung der Dienstleistungen aufgeführt sind;
"Datenschutzgesetze" bezeichnet die geltenden Rechtsvorschriften zum Schutz der personenbezogenen Daten und der Privatsphäre natürlicher Personen, insbesondere die britische Datenschutz-Grundverordnung (GDPR), das Datenschutzgesetz (Data Protection Act 2018) und die Verordnung über den Schutz der Privatsphäre und der elektronischen Kommunikation (EG-Richtlinie) aus dem Jahr 2003 (SI 2426/2003) zusammen mit allen geltenden verbindlichen Leitlinien und Verhaltenskodizes, die von Zeit zu Zeit von den zuständigen Aufsichtsbehörden herausgegeben werden;
"Sicherheitsvorfall" bezeichnet eine Verletzung der Sicherheit von ASK4, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf die persönlichen Daten des Kunden führt;
"Dienstleistungen" bedeutet IT-Support, Hosting, Rechenzentrumskolokation, Telekommunikation oder andere Dienstleistungen, die dem Kunden von ASK4 angeboten werden;
"UK GDPR" hat die Bedeutung, die ihm in Abschnitt 3(10) (in der durch Abschnitt 205(4) ergänzten Fassung) des Data Protection Act 2018 gegeben wird; und
"Erfolgloser Sicherheitsvorfall" bezeichnet einen Vorfall, der zu keinem unbefugten Zugriff auf personenbezogene Kundendaten führt, und kann unter anderem Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über die Header hinaus führen) oder ähnliche Vorfälle umfassen.
1. Geltungsbereich und Rollen
1.1 Diese Vereinbarung gilt nur, wenn personenbezogene Daten im Rahmen der Erbringung der Dienstleistungen durch den Kunden verarbeitet werden ("personenbezogene Daten des Kunden").
1.2 ASK4 wird als Auftragsverarbeiter oder Unterauftragsverarbeiter für den Kunden tätig, der in Bezug auf die personenbezogenen Daten des Kunden entweder als Verantwortlicher oder als Auftragsverarbeiter handeln kann.
2. Datenverarbeitung
2.1 Diese Vereinbarung und der Verarbeitungsanhang stellen die schriftlichen Anweisungen des Kunden an ASK4 für die Verarbeitung personenbezogener Daten dar, die zur Vermeidung von Zweifeln auf die Verarbeitung beschränkt sind, die für die Erbringung der Dienstleistungen erforderlich ist ("Verarbeitungsanweisungen").
2.2 Der Kunde darf keine zusätzlichen oder alternativen Verarbeitungsanweisungen erteilen, um den Umfang dieser Vereinbarung zu ändern, es sei denn, es wurde etwas anderes mit ASK4 vereinbart.
2.3 Der Kunde garantiert, dass: (a) die Verarbeitungsanweisungen, (b) die Erhebung der persönlichen Daten des Kunden und (c) die Verarbeitung der persönlichen Daten des Kunden, vorbehaltlich der Einhaltung dieser Vereinbarung durch ASK4, jeweils den Datenschutzgesetzen entsprechen. Der Kunde ist allein verantwortlich für die Bereitstellung von Informationen über die Verarbeitung durch ASK4 an seine Mitarbeiter oder andere betroffene Personen.
3. Vertraulichkeit der persönlichen Daten des Kunden
3.1 ASK4 wird die persönlichen Daten des Kunden vertraulich behandeln und wird nicht auf die persönlichen Daten des Kunden zugreifen oder diese nutzen oder an Dritte weitergeben, es sei denn, dies ist notwendig, um die Dienste aufrechtzuerhalten oder bereitzustellen, oder es ist notwendig, um das Gesetz oder eine gültige und verbindliche Anordnung einer Strafverfolgungsbehörde, einer Regierungsbehörde oder eines Gerichts (wie eine Vorladung oder ein Gerichtsbeschluss) einzuhalten. Wenn eine staatliche Stelle ASK4 eine Anfrage nach persönlichen Daten des Kunden sendet, wird ASK4 versuchen, die staatliche Stelle umzuleiten, um diese Daten direkt vom Kunden anzufordern. Als Teil dieser Bemühungen kann ASK4 die grundlegenden Kontaktinformationen des Kunden an die Behörde weitergeben. Sollte ASK4 gezwungen sein, personenbezogene Daten des Kunden an eine Behörde weiterzugeben, wird ASK4 (soweit gesetzlich zulässig) den Kunden in angemessener Weise über die Anforderung informieren, um dem Kunden die Möglichkeit zu geben, eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel zu beantragen.
4. Sicherheit der Datenverarbeitung
4.1 ASK4 bietet hinreichende Gewähr dafür, dass sie alle erforderlichen oder geeigneten technischen und organisatorischen Maßnahmen ergriffen hat, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
4.2 Die Parteien erkennen an und sind sich einig, dass der Kunde verpflichtet ist, an den Sicherheitsmaßnahmen von ASK4 mitzuwirken und keine der Sicherheitsverfahren von ASK4 zu umgehen oder nicht zu befolgen.
4.3 Da ASK4 keine oder nur begrenzte Kenntnis von den persönlichen Daten des Kunden hat, ist der Kunde allein verantwortlich für: (a) Pseudonymisierung und Verschlüsselung zur Gewährleistung eines angemessenen Sicherheitsniveaus; (b) Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der vom Kunden betriebenen Verarbeitungssysteme und Dienste; (c) Maßnahmen, die es dem Kunden ermöglichen, Backups und Archive in angemessener Weise zu erstellen, um die Verfügbarkeit und den Zugang zu den personenbezogenen Daten des Kunden im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und (d) Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der vom Kunden getroffenen technischen und organisatorischen Maßnahmen (ASK4 stellt jedoch sicher, dass es die Wirksamkeit seiner Sicherheitsmaßnahmen regelmäßig prüft).
5. Unterverarbeitungen
5.1 Der Kunde ist damit einverstanden, dass ASK4 zur Erfüllung ihrer vertraglichen Verpflichtungen zur Erbringung der Dienstleistungen Unterverarbeiter einsetzt, die in der Anlage "Verarbeitung" aufgeführt sind.
5.2 Wenn ASK4 einen neuen Unterverarbeiter beauftragt, personenbezogene Daten des Kunden im Auftrag des Kunden zu verarbeiten, wird ASK4 den Kunden darüber informieren oder ihm einen Mechanismus zur Verfügung stellen, mit dem er über diese Änderung informiert werden kann. Wenn der Kunde innerhalb von 14 Tagen nach der Benachrichtigung durch ASK4 Einwände gegen einen neuen Unterauftragsverarbeiter erhebt, werden der Kunde und ASK4 nach Treu und Glauben besprechen, wie die Bedenken des Kunden ausgeräumt werden können, vorausgesetzt, dass der Kunde begründete Einwände hat, die von ASK4 nicht innerhalb einer angemessenen Frist ab dem Datum des Einwands ausgeräumt werden können, kann er seinen Vertrag für die Dienstleistungen mit einer Frist von 14 Tagen schriftlich an ASK4 kündigen. Ausser wie in dieser Vereinbarung festgelegt, in Notfällen oder wie vom Kunden anderweitig genehmigt, wird ASK4 keinem Unterauftragsverarbeiter erlauben, im Namen des Kunden Verarbeitungstätigkeiten an den persönlichen Daten des Kunden durchzuführen.
5.3 ASK4 wird den Zugang aller Unterauftragsverarbeiter zu den persönlichen Daten des Kunden auf das Ausmass beschränken, das notwendig ist, um die Dienstleistungen aufrechtzuerhalten oder die Dienstleistungen für den Kunden zu erbringen, und ASK4 wird den Unterauftragsverarbeitern den Zugang zu den persönlichen Daten des Kunden für jeden anderen Zweck untersagen.
5.4 ASK4 wird mit dem Unterauftragsverarbeiter einen schriftlichen Vertrag abschliessen und, soweit der Unterauftragsverarbeiter dieselben Datenverarbeitungsdienstleistungen erbringt, die von ASK4 im Rahmen dieses Vertrages erbracht werden, wird ASK4 dem Unterauftragsverarbeiter die gleichen vertraglichen Verpflichtungen auferlegen, die ASK4 im Rahmen dieses Vertrages hat, und ASK4 bleibt verantwortlich für die Einhaltung der Verpflichtungen dieses Vertrages und für Handlungen oder Unterlassungen der Unterauftragsverarbeiter, die ASK4 dazu veranlassen, eine der Verpflichtungen von ASK4 im Rahmen dieses Vertrages zu verletzen.
6. Rechte der betroffenen Personen
6.1 In Anbetracht der Art der Dienstleistungen empfiehlt ASK4, dass der Kunde seine eigenen Prozesse einrichtet, um sicherzustellen, dass er seinen Verpflichtungen gegenüber den betroffenen Personen nachkommen kann. ASK4 wird den Kunden auf schriftliche Anfrage bei der Erfüllung seiner Pflichten gegenüber den betroffenen Personen unterstützen, wobei die Art der Verarbeitung und die ASK4 zur Verfügung stehenden Informationen zu berücksichtigen sind, vorausgesetzt, dass die Verpflichtungen von ASK4 gegenüber dem Kunden in Bezug auf jegliche Anfragen von betroffenen Personen auf das nach den Datenschutzgesetzen erforderliche Mindestmaß beschränkt sind und die gesamte Haftung und Verantwortung für Anfragen von betroffenen Personen beim Kunden verbleibt.
6.2 Sollte sich eine betroffene Person an ASK4 wenden, um eine Berichtigung oder Löschung ihrer persönlichen Daten zu verlangen, wird ASK4 alle wirtschaftlich vertretbaren Anstrengungen unternehmen, um solche Anfragen an den Kunden weiterzuleiten.
7. Benachrichtigung bei Sicherheitsverstößen
7.1 ASK4 wird: (a) den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls benachrichtigen; und (b) angemessene Schritte unternehmen, um die Auswirkungen des Sicherheitsvorfalls zu mildern und den daraus resultierenden Schaden zu minimieren.
7.2 Der Kunde erklärt sich damit einverstanden, dass ein nicht erfolgreicher Sicherheitsvorfall nicht unter diese Ziffer 8 fällt.
7.3 Die Verpflichtung von ASK4, einen Sicherheitsvorfall gemäss dieser Ziffer 8 zu melden oder darauf zu reagieren, ist nicht als Anerkennung eines Verschuldens oder einer Haftung von ASK4 in Bezug auf den Sicherheitsvorfall zu verstehen und wird auch nicht als solche ausgelegt.
7.4 Um den Kunden bei der Meldung von Verletzungen des Schutzes personenbezogener Daten zu unterstützen, zu der der Kunde nach den geltenden Datenschutzgesetzen verpflichtet ist, wird ASK4 in die Meldung nach Absatz 1 solche Informationen über den Sicherheitsvorfall aufnehmen, die ASK4 unter Berücksichtigung der Art der Dienstleistungen, der ASK4 zur Verfügung stehenden Informationen und etwaiger Beschränkungen bei der Offenlegung der Informationen, wie z.B. der Vertraulichkeit, dem Kunden nach billigem Ermessen offenlegen kann.
8. ASK4 Zertifizierungen und Audits
8.1 ASK4 stellt seine ISO 27001 Zertifizierung auf Anfrage zur Verfügung.
8.2 ASK4 setzt externe Auditoren ein, um die Angemessenheit seiner Sicherheitsmassnahmen zu überprüfen. Dieses Audit: (a) wird mindestens jährlich durchgeführt; (b) wird gemäss ISO 27001 Standards oder anderen alternativen Standards, die im Wesentlichen gleichwertig mit ISO 27001 sind, durchgeführt; (c) wird von unabhängigen Sicherheitsexperten auf Kosten von ASK4 durchgeführt; und (d) führt zur Erstellung eines Auditberichts ("Bericht"), der vertrauliche Information von ASK4 ist.
8.3 Auf schriftliches Verlangen des Bestellers wird ASK4 (sofern die Parteien eine entsprechende Geheimhaltungsvereinbarung getroffen haben) nach eigenem Ermessen entweder: (a) dem Besteller eine Kopie des Berichts zur Verfügung stellen, so dass der Besteller in angemessener Weise die Einhaltung der Verpflichtungen von ASK4 aus diesem Vertrag überprüfen kann; oder (b) dem Besteller nach angemessener Vorankündigung und nicht öfter als einmal innerhalb eines Zeitraums von 12 Monaten die Durchführung eines Audits unter Aufsicht während der Arbeitszeit ermöglichen.
9. Datenschutz-Folgenabschätzung und vorherige Konsultation
9.1 Unter Berücksichtigung der Art der Dienstleistungen und der ASK4 zur Verfügung stehenden Informationen wird ASK4 den Kunden in angemessener Weise unterstützen, soweit dies erforderlich ist, damit der Kunde seinen Verpflichtungen in Bezug auf Datenschutz-Folgenabschätzungen und vorherige Konsultationen nachkommen kann, die gemäß den geltenden Datenschutzgesetzen erforderlich sind.
10. Übermittlungen
10.1 Jegliche Übermittlung von Daten in Länder außerhalb des Vereinigten Königreichs erfolgt in Übereinstimmung mit der britischen Datenschutz-Grundverordnung (GDPR), so dass ASK4 sicherstellt, dass das Land, in das die Daten übermittelt werden, ein angemessenes Schutzniveau gewährleistet, oder ASK4 verwendet Standardvertragsklauseln, um ein angemessenes Schutzniveau zu gewährleisten.
11. Rückgabe oder Löschung von persönlichen Daten des Kunden
11.1 Die Dienstleistungen bieten dem Kunden im Allgemeinen entweder: (a) Kontrollen, die der Kunde nutzen kann, um die persönlichen Daten des Kunden abzurufen oder zu löschen; oder (b) erlauben es dem Kunden, die Kontrolle über seinen Zugriff auf und die Löschung von persönlichen Daten des Kunden zu behalten. ASK4 wird sich auf schriftliche Anfrage in wirtschaftlich angemessener Weise bemühen, den Kunden bei der Abfrage oder Löschung der persönlichen Daten des Kunden zu unterstützen.
11.2 ASK4 wird die Verarbeitung der persönlichen Daten des Kunden unverzüglich nach Beendigung oder Ablauf der Erbringung der Dienstleistungen einstellen und (sofern ASK4 kein berechtigtes Interesse an der Aufbewahrung der persönlichen Daten des Kunden hat oder gesetzlich zur Aufbewahrung der persönlichen Daten des Kunden verpflichtet ist) nach Wahl des Kunden die persönlichen Daten des Kunden entweder zurückgeben oder sicher löschen.
VERARBEITUNGSANHANG
Gegenstand: Gegenstand der Datenverarbeitung im Rahmen dieses Vertrags sind die personenbezogenen Daten des Kunden.
Dauer der Verarbeitung: Im Verhältnis zwischen ASK4 und dem Kunden entspricht die Dauer der Datenverarbeitung der Dauer der Erbringung der Dienstleistungen.
Zweck: Der Zweck der Verarbeitung ist die Erbringung der vom Kunden von Zeit zu Zeit veranlassten Dienstleistungen. Es liegt in der Verantwortung des Kunden, ASK4 über jeden anderen Zweck der Verarbeitung und über jede Änderung dieser Art oder dieses Zwecks zu informieren.
Art der Verarbeitung: Rechenleistung, Speicherplatz, IT-Support und andere Dienstleistungen, die in der Bestellung des Kunden beschrieben sind oder von Zeit zu Zeit vom Kunden veranlasst werden.
Art der persönlichen Daten des Kunden: Name des Mitarbeiters, Kontaktinformationen, Rolle (einschließlich Berechtigungen) und technische Informationen (wie z. B. Informationen über Supportanfragen, die personenbezogene Daten sein können oder auch nicht) im Zusammenhang mit dem erbrachten Dienst. Persönliche Kundendaten, die in die Dienste hochgeladen werden, wenn Hosting- oder Speicherdienste bereitgestellt werden. Wenn solche Dienstleistungen erbracht werden, liegt es in der Verantwortung des Kunden, ASK4 über die Art der persönlichen Daten des Kunden, die verarbeitet werden sollen, und über alle Änderungen dieser Datenarten zu informieren.
Kategorien von betroffenen Personen: Zu den betroffenen Personen können Kunden, Mitarbeiter, Lieferanten und Endverbraucher des Kunden gehören. Es liegt in der Verantwortung des Kunden, ASK4 über alle anderen Kategorien von betroffenen Personen zu informieren, auf die sich die personenbezogenen Daten des Kunden beziehen, sowie über alle Änderungen dieser Kategorien.
Unterprozessoren:
- DRD Communications Ltd (als Käufer von Inclarity Communications Limited (mit Sitz im Vereinigten Königreich) - wo VoiP-Dienste erbracht werden
- Gamma Telecomm Limited (mit Sitz im Vereinigten Königreich) - wo VoiP-Dienste angeboten werden
- Anbieter von Telekommunikationsleitungen auf Großhandelsebene - wenn Mietleitungsdienste erbracht werden (wird bei der Bestellung oder auf Anfrage angegeben)
- Formagrid, Inc. bietet Airtable an, das wir als Geschäftsprozess-Software verwenden.
- Aspire Community Enterprise (Sheffield) Ltd - für die sichere Vernichtung von Elektrogeräten
- Utopi Limited - wo wir über die Utopi-Plattform und -Geräte intelligente Messsysteme und die damit verbundene ESG-Berichterstattung anbieten
HINWEIS: ASK4 kann Softwarelösungen, die von Dritten als Teil der Dienstleistungen zur Verfügung gestellt werden (z.B. Microsoft-Produkte), weiterverkaufen. Für die Verarbeitung personenbezogener Daten gilt die entsprechende EULA/Kundenvereinbarung (und alle darin enthaltenen Datenverarbeitungsanhänge oder Ähnliches) zwischen dem Kunden und dem Anbieter, nicht diese Vereinbarung.