versandkostenfrei innerhalb Deutschlands ab 50 €
- 10% Newsletter Rabatt
-
Einloggen
Anmelden
Datenschutzerklärung
Diese Datenschutzerklärung klärt über die Art, den Umfang und Zwecke der Erhebung und Verwendung von Daten der Besucher und Nutzer (nachfolgend zusammenfassend bezeichnet als „Nutzer“) durch Andrea Wolf & Thomas Karcher GbR, Im Mittelfeld 9, 76135 Karlsruhe (nachfolgend „Anbieter“) als datenschutzrechtlich verantwortliche Stelle auf.
Bei Fragen zum Datenschutz erreichen Sie uns per E-Mail unter shop@nutsandgolden.de
Erhebung von Zugriffsdaten
Der Anbieter erhebt Daten über jeden Zugriff auf das Onlineangebot (so genannte Serverlogfiles). Zu den Zugriffsdaten gehören Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.
Der Anbieter verwendet die Protokolldaten ohne Zuordnung zur Person des Nutzersoder sonstiger Profilerstellung entsprechend den gesetzlichen Bestimmungen nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Onlineangebotes. Der Anbieter behält sich jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.
Erhebung und Nutzung personenbezogener Daten
Personenbezogene Daten werden vom Anbieter nur dann erhoben und genutzt, wenn dies gesetzlich erlaubt ist oder die Nutzer in die Datenerhebung einwilligen. In der Regel ist es für die Nutzer bei der Nutzung des Dienstes erkennbar welche Daten gespeichert werden, so zum Beispiel Name, E-Mailadresse und Nachricht bei der Nutzung des Bestellformulars.
Die zum Zwecke der Bestellung von Waren angegebenen persönlichen Daten (wie zum Beispiel Name, E-Mail-Adresse, Anschrift, Zahlungsdaten) werden vom Verkäufer zur Erfüllung und Abwicklung des Vertrags verwendet. Diese Daten werden vertraulich behandelt, verschlüsselt übertragen und nicht an Dritte weitergegeben, die nicht am Bestell-, Auslieferungs- und Zahlungsvorgang beteiligt sind.
Bei der Kontaktaufnahme mit dem Anbieter (per Kontaktformular oder Email) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.
Der Anbieter hat organisatorische, vertragliche und technische Sicherheitsmaßnahmen getroffen, um sicher zu stellen, dass die Vorschriften der Datenschutzgesetze eingehalten werden und zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder der Zugriff unberechtigter Personen verhindert wird.
Datenweiterleitung an Dritte
Die Daten der Nutzer werden nur dann an Dritte weiter geleitet, wenn dies gesetzlich erlaubt ist oder ein Nutzer in die Weiterleitung eingewilligt hat.
Das ist zum Beispiel der Fall wenn die Weiterleitung der Daten der Erfüllung vertraglicher Verpflichtungen gegenüber dem Nutzer dient und die Postadresse nach einer Shopbestellung an ein Speditionsunternehmen übergeben wird. Oder falls die Daten von zuständigen Stellen wie Strafverfolgungsbehörden angefordert werden.
Die personenbezogenen Daten der Nutzer werden keineswegs an Dritte zu Werbezwecken oder zwecks Erstellung von Nutzerprofilen verkauft oder weitergeleitet.
Cookies
Der Anbieter setzt im Rahmen seines Onlineangebotes „Cookies“ ein. Cookies sind kleine Dateien, die auf dem Computer der Nutzer abgelegt werden und Informationen für Anbieter speichern können. Temporäre Cookies werden nach dem Schließen des Browsers gelöscht, permanente Cookies bleiben für einen vorgegebenen Zeitraum erhalten und können beim erneuten Aufruf des Onlineangebotes die gespeicherten Informationen zur Verfügung stellen.
Cookies werden zum einen eingesetzt um die Nutzung des Dienstes zu erleichtern. So speichert ein Cookie den Warenkorbstatus eines Nutzers.
Der Nutzer kann auf den Einsatz der Cookies Einfluss nehmen. Die meisten Browser verfügen eine Option mit der das Speichern von Cookies eingeschränkt oder komplett verhindert wird. Anbieter bemüht sich das Onlineangebot so zu gestalten, dass der Einsatz von Cookies nicht notwendig ist. Allerdings wird darauf hingewiesen, dass die Nutzung und insbesondere der Nutzungskomfort ohne Cookies eingeschränkt werden.
Informationsversand per Newsletter
E-Mails mit werblichen Informationen über den Anbieter sowie dessen Leistungen werden nur mit einer ausdrücklichen Einwilligung der Nutzer versendet. Die Nutzer können dem Empfang der Newsletter jederzeit widersprechen. Eine Widerspruchsmöglichkeit findet sich u.a. in jeder E-Mail.
Vor dem Versand des Newsletters geht dem E-Mail-Inhaber eine Bestätigungsemail zu, in welcher er die Newsletteranmeldung bestätigen muss. Nicht bestätigte Anmeldungen werden automatisch spätestens innerhalb von vier Wochen gelöscht.
Nicht zu werblichen Informationen gehören Nachrichten im Rahmen der Vertragsbeziehung mit dem Nutzer. Dazu gehört der Versand von technischen Informationen, Informationen zur Zahlungsabwicklung, Rückfragen zu Aufträgen und vergleichbare Nachrichten.
Die Nutzer können nachträglich die Austragung aus der Benachrichtigungsliste per E-Mail an die oben angegebenen Kontaktmöglichkeiten beantragen.
Im Rahmen der Anmeldung speichert der Anbieter den Anmelde- sowie den Bestätigungszeitpunkt und die IP-Adresse des Nutzers. Der Anbieter ist gesetzlich verpflichtet die Anmeldungen zu protokollieren, um eine ordnungsgemäße Anmeldung nachweisen zu können.
Verwendung der Remarketing- oder „Ähnliche Zielgruppen“-Funktion der Google Inc.
Wir verwenden auf unserer Website die Remarketing- oder „Ähnliche Zielgruppen“- Funktion der Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). Diese Funktion dient dem Zweck der Analyse des Besucherverhaltens und der Besucherinteressen.
Zur Durchführung der Analyse der Websiten-Nutzung, welche die Grundlage für die Erstellung der interessenbezogenen Werbeanzeigen bildet, setzt Google Cookies ein. Über die Cookies werden die Besuche der Website sowie anonymisierte Daten über die Nutzung der Website erfasst. Es erfolgt keine Speicherung von personenbezogenen Daten der Besucher der Website. Besuchen Sie nachfolgend eine andere Website im Google Display-Netzwerk werden Ihnen Werbeeinblendungen angezeigt, die mit hoher Wahrscheinlichkeit zuvor aufgerufene Produkt- und Informationsbereiche berücksichtigen.
Ihre Daten werden dabei gegebenenfalls auch in die USA übermittelt. Für Datenübermittlungen in die USA ist ein Angemessenheitsbeschluss der Europäischen Kommission vorhanden.
Die Verarbeitung erfolgt auf Grundlage des Art. 6 (1) lit. f DSGVO aus dem berechtigten Interesse, die Besucher der Website zielgerichtet mit Werbung anzusprechen, indem für Besucher der Website des Anbieters personalisierte, interessenbezogene Werbung-Anzeigen geschaltet werden, wenn sie andere Websiten im Google Display-Netzwerk besuchen.
Sie haben das Recht aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit dieser auf Art. 6 (1) f DSGVO beruhenden Verarbeitung Sie betreffender personenbezogener Daten zu widersprechen.
Sie können dazu die Verwendung von Cookies durch Google dauerhaft deaktivieren, indem Sie dem nachfolgenden Link folgen und das dort bereitgestellte Plug-In herunterladen und installieren: https://support.google.com/ads/answer/7395996?hl=de
Alternativ können Sie die Verwendung von Cookies durch Drittanbieter deaktivieren, indem sie die Deaktivierungsseite der Netzwerkwerbeinitiative (Network Advertising Initiative) unter https://www.networkadvertising.org/choices/ aufrufen und die dort genannten weiterführenden Information zum Opt-Out umsetzen.
Nähere Informationen zu Google Remarketing sowie die dazugehörige Datenschutzerklärung finden Sie unter:h ttps://www.google.com/privacy/ads/
Verwendung von Facebook Social Plugins
Auf diesem Onlineangebot werden Social Plugins („Plugins“) des sozialen Netzwerkes facebook.com verwendet, welches von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA betrieben wird („Facebook“). Die Plugins sind an einem der Facebook Logos erkennbar (weißes „f“ auf blauer Kachel oder ein „Daumen hoch“-Zeichen) oder sind mit dem Zusatz “Facebook Social Plugin” gekennzeichnet. Die Liste und das Aussehen der Facebook Social Plugins kann hier eingesehen werden: https://developers.facebook.com/docs/plugins/.
Wenn ein Nutzer eine Webseite dieses Onlineangebotes aufruft, die ein solches Plugin enthält, baut sein Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an den Browser des Nutzers übermittelt und von dem Browser in die Webseite eingebunden. Der Anbieter hat daher keinen Einfluss auf den Umfang der Daten, die Facebook mit Hilfe dieses Plugins erhebt und informiert die Nutzer daher entsprechend ihrem Kenntnisstand: Durch die Einbindung der Plugins erhält Facebook die Information, dass ein Nutzer die entsprechende Seite des Onlineangebots aufgerufen hat. Ist der Nutzer bei Facebook eingeloggt, kann Facebook den Besuch seinem Facebook-Konto zuordnen. Wenn ein Nutzer mit den Plugins interagieren, zum Beispiel den Like Button betätigen oder einen Kommentar abgeben, wird die entsprechende Information von Ihrem Browser direkt an Facebook übermittelt und dort gespeichert. Falls ein Nutzer kein Mitglied von Facebook ist, besteht trotzdem die Möglichkeit, dass Facebook seine IP-Adresse in Erfahrung bringt und speichert. Laut Facebook wird in Deutschland nur eine anonymisierte IP-Adresse gespeichert.
Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie die diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz der Privatsphäre der Nutzer , können diese den Datenschutzhinweisen von Facebook entnehmen: https://www.facebook.com/about/privacy/.
Wenn ein Nutzer Facebookmitglied ist und nicht möchte, dass Facebook über dieses Onlineangebot Daten über ihn sammelt und mit seinen bei Facebook gespeicherten Mitgliedsdaten verknüpft, muss er sich vor dem Besuch des Internetauftritts bei Facebook ausloggen und entsprechende Facebook-Cookies löschen. Ebenfalls ist es möglich Facebook-Social-Plugins mit Add-ons für den Browser zu blocken, zum Beispiel mit dem „Facebook Blocker“.
Facebook-, Custom Audiences und Facebook-Marketing-Dienste
Innerhalb unseres Onlineangebotes wird aufgrund unserer berechtigten Interessen an Analyse, Optimierung und wirtschaftlichem Betrieb unseres Onlineangebotes und zu diesen Zwecken das sog. „Facebook-Pixel“ des sozialen Netzwerkes Facebook, welches von der Facebook Inc., 1 Hacker Way, Menlo Park, CA 94025, USA, bzw. falls Sie in der EU ansässig sind, Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland betrieben wird („Facebook“), eingesetzt.
Facebook ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das europäische Datenschutzrecht einzuhalten (https://www.privacyshield.gov/participant?id=a2zt0000000GnywAAC&status=Active).
Mit Hilfe des Facebook-Pixels ist es Facebook zum einen möglich, die Besucher unseres Onlineangebotes als Zielgruppe für die Darstellung von Anzeigen (sog. „Facebook-Ads“) zu bestimmen. Dementsprechend setzen wir das Facebook-Pixel ein, um die durch uns geschalteten Facebook-Ads nur solchen Facebook-Nutzern anzuzeigen, die auch ein Interesse an unserem Onlineangebot gezeigt haben oder die bestimmte Merkmale (z.B. Interessen an bestimmten Themen oder Produkten, die anhand der besuchten Webseiten bestimmt werden) aufweisen, die wir an Facebook übermitteln (sog. „Custom Audiences“). Mit Hilfe des Facebook-Pixels möchten wir auch sicherstellen, dass unsere Facebook-Ads dem potentiellen Interesse der Nutzer entsprechen und nicht belästigend wirken. Mit Hilfe des Facebook-Pixels können wir ferner die Wirksamkeit der Facebook-Werbeanzeigen für statistische und Marktforschungszwecke nachvollziehen, in dem wir sehen ob Nutzer nachdem Klick auf eine Facebook-Werbeanzeige auf unsere Website weitergeleitet wurden (sog. „Conversion“).
Das Facebook-Pixel wird beim Aufruf unserer Webseiten unmittelbar durch Facebook eingebunden und kann auf Ihrem Gerät ein sog. Cookie, d.h. eine kleine Datei abspeichern. Wenn Sie sich anschließend bei Facebook einloggen oder im eingeloggten Zustand Facebook besuchen, wird der Besuch unseres Onlineangebotes in Ihrem Profil vermerkt. Die über Sie erhobenen Daten sind für uns anonym, bieten uns also keine Rückschlüsse auf die Identität der Nutzer. Allerdings werden die Daten von Facebook gespeichert und verarbeitet, sodass eine Verbindung zum jeweiligen Nutzerprofil möglich ist und von Facebook sowie zu eigenen Marktforschungs- und Werbezwecken verwendet werden kann. Sofern wir Daten zu Abgleichzwecken an Facebook übermitteln sollten, werden diese lokal in auf dem Browser verschlüsselt und erst dann an Facebook über eine gesicherte https-Verbindung gesendet. Dies erfolgt alleine mit dem Zweck, einen Abgleich mit den gleichermaßen durch Facebook verschlüsselten Daten herzustellen.
Sie können der Erfassung durch den Facebook-Pixel und Verwendung Ihrer Daten zur Darstellung von Facebook-Ads widersprechen. Um einzustellen, welche Arten von Werbeanzeigen Ihnen innerhalb von Facebook angezeigt werden, können Sie die von Facebook eingerichtete Seite aufrufen und dort die Hinweise zu den Einstellungen nutzungsbasierter Werbung befolgen: https://www.facebook.com/settings?tab=ads. Die Einstellungen erfolgen plattformunabhängig, d.h. sie werden für alle Geräte, wie Desktopcomputer oder mobile Geräte übernommen.
Sie können dem Einsatz von Cookies, die der Reichweitenmessung und Werbezwecken dienen, ferner über die Deaktivierungsseite der Netzwerkwerbeinitiative (http://optout.networkadvertising.org/) und zusätzlich die US-amerikanische Webseite (http://www.aboutads.info/choices) oder die europäische Webseite (http://www.youronlinechoices.com/uk/your-ad-choices/) widersprechen.
Google Analytics
Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Google Analytics verwendet so genannte „Cookies“. Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Die Speicherung von Google-Analytics-Cookies und die Nutzung dieses Analyse-Tools erfolgen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.
IP Anonymisierung
Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.
Browser Plugin
Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.
Widerspruch gegen Datenerfassung
Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren.
Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de.
Auftragsverarbeitung
Wir haben mit Google einen Vertrag zur Auftragsverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.
Nutzung von WhatsApp
Soweit Sie eingewilligt haben, verarbeiten wir Ihre mitgeteilten oder vorliegenden personenbezogenen Daten (z.B. Name, Telefonnummer, E-Mail-Adresse, Messenger-ID, Profilbild, Nachrichten) zur Kommunikation bezüglich der Vorbereitung und Durchführung etwaiger Aufträge wie auch zur Versendung werblicher Informationen (z.B. Angebote, Newsletter) unter Nutzung des Instant-Messaging-Dienstes „WhatsApp“ der WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.
Für die Nutzung dieses Dienstes wird ein bestehendes Messaging Konto benötigt.
Wir weisen darauf hin, dass möglicherweise die WhatsApp Ireland Limited möglicherweise auch personenbezogene Daten (insbesondere Metadaten der Kommunikation) an die WhatsApp Inc. weitergibt, die auch auf Servern in Staaten außerhalb der EU (z.B. USA) verarbeitet werden, in denen kein angemessenes Datenschutzniveau herrscht. Diese Daten gibt WhatsApp möglicherweise an andere Unternehmen innerhalb und außerhalb der Facebook-Unternehmensgruppe weiter. Weitere Informationen enthält die Datenschutzrichtlinie von WhatsApp Business (https://www.whatsapp.com/legal/business-policy/) und WhatsApp (https://www.whatsapp.com/legal/#privacy-policy). Wir haben weder genaue Kenntnis noch Einfluss auf die Datenverarbeitung durch die WhatsApp Ireland Limited oder die WhatsApp Inc., die insoweit datenschutzrechtlich verantwortlich ist.
Neben den oben bereits konkret benannten Empfänger bedienen wir uns zur Erfüllung unserer Verpflichtungen der Hilfe weiterer Dienstleister (Auftragsverarbeiter).
Wir weisen darauf hin, dass Sie Ihre einmal erteilte Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft widerrufen können, indem Sie uns Ihren Widerruf per Whatsapp mit einer Nachricht mit dem Hinweis WIDERRUF oder per E-Mail an die in dieser Datenschutzerklärung bzw. unserem Impressum genannte E-Mailadresse der entsprechenden Verarbeitung ihrer personenbezogenen Daten mitteilen.
Die oben genannten Daten werden nach Maßgabe der gesetzlichen Vorgaben bei uns gelöscht, sobald deren zur Verarbeitung erlaubten Einwilligungen widerrufen werden bzw. wenn der Zweck der Verarbeitung dieser Daten entfallen ist oder sie für den Zweck nicht erforderlich sind.
Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung auf diese Zwecke beschränkt. D.h., die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person erforderlich ist.
Hotjar
Diese Website nutzt Hotjar. Anbieter ist die Hotjar Ltd., Level 2, St Julians Business Centre, 3, Elia Zammit Street, St Julians STJ 1000, Malta, Europe (Website: https://www.hotjar.com).
Hotjar ist ein Werkzeug zur Analyse Ihres Nutzerverhaltens auf unserer Website. Mit Hotjar können wir u. a. Ihre Maus- und Scrollbewegungen und Klicks aufzeichnen. Hotjar kann dabei auch feststellen, wie lange Sie mit dem Mauszeiger auf einer bestimmten Stelle verblieben sind. Aus diesen Informationen erstellt Hotjar sogenannte Heatmaps, mit denen sich feststellen lässt, welche Websitebereiche vom Websitebesucher bevorzugt angeschaut werden.
Des Weiteren können wir feststellen, wie lange Sie auf einer Seite verblieben sind und wann Sie sie verlassen haben. Wir können auch feststellen, an welcher Stelle Sie Ihre Eingaben in ein Kontaktformular abgebrochen haben (sog. Conversion-Funnels).
Darüber hinaus können mit Hotjar direkte Feedbacks von Websitebesuchern eingeholt werden. Diese Funktion dient der Verbesserung der Webangebote des Websitebetreibers.
Hotjar verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Sie dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Mit diesen Cookies lässt sich insbesondere feststellen, ob unsere Website mit einem bestimmten Endgerät besucht wurde oder ob die Funktionen von Hotjar für den betreffenden Browser deaktiviert wurde. Hotjar-Cookies verbleiben auf Ihrem Endgerät, bis Sie sie löschen.
Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.
Die Nutzung von Hotjar und die Speicherung von Hotjar-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.
Deaktivieren von Hotjar
Wenn Sie die Datenerfassung durch Hotjar deaktivieren möchten, klicken Sie auf folgenden Link und folgen Sie den dortigen Anweisungen: https://www.hotjar.com/opt-out
Bitte beachten Sie, dass die Deaktivierung von Hotjar für jeden Browser bzw. für jedes Endgerät separat erfolgen muss.
Nähere Informationen über Hotjar und zu den erfassten Daten entnehmen Sie der Datenschutzerklärung von Hotjar unter dem folgenden Link: https://www.hotjar.com/privacy
Vertrag über Auftragsverarbeitung
Wir haben einen Vertrag über Auftragsverarbeitung mit Hotjar geschlossen, um die strengen europäischen Datenschutzvorschriften umzusetzen.
+1 Schaltfläche von Google+
Auf diesem Onlineangebot werden die Schaltflächen des sozialen Netzwerkes Google+ verwendet (z.B. „+1“-Schaltfläche), welches von der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States betrieben wird (“Google”). Wenn ein Nutzer eine Webseite dieses Onlineangebotes aufruft, die eine solche Schaltfläche enthält, baut der Browser eine direkte Verbindung mit den Servern von Google auf. Der Inhalt der Schaltflächen wird von Google direkt an seinen Browser übermittelt und von diesem in die Webseite eingebunden. Der Anbieter hat daher keinen Einfluss auf den Umfang der Daten, die Google mit den Schaltflächen erhebt.
Laut Google werden ohne einen Klick auf die Schaltfläche keine personenbezogenen Daten erhoben. Nur bei eingeloggten Mitgliedern von Google+, werden solche Daten, unter anderem die IP-Adresse, erhoben und verarbeitet. Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Google sowie die diesbezüglichen Rechte und Einstellungsmöglichkeiten der Nutzer zum Schutz Ihrer Privatsphäre können Googles Datenschutzhinweisen zu der “+1″-Schaltfläche entnommen werden: http://www.google.com/intl/de/+/policy/+1button.html und der FAQ: http://bit.ly/r3Qmer. Wenn ein Nutzer Google+ Mitglied ist und nicht möchte, dass Google über diesen Internetauftritt Daten über ihn sammelt und mit Ihren bei Google gespeicherten Mitgliedsdaten verknüpft, muss der Nutzer sich vor seinem Besuch dieses Internetauftritts bei Google Plus ausloggen und die zu Google gehörenden Cookies innerhalb des Browsers löschen.
Nutzung der Twitter-Schaltflächen
Auf diesem Onlineangebot werden die Schaltflächen des Dienstes Twitter eingesetzt. Diese Schaltflächen (z.B. „Twittern“ oder „Folgen“) werden angeboten durch die Twitter Inc., 795 Folsom St., Suite 600, San Francisco, CA 94107, USA.
Wenn ein Nutzer eine Webseite dieses Internetauftritts aufruft, die einen solchen Button enthält, baut sein Browser eine direkte Verbindung mit den Servern von Twitter auf. Der Inhalt des Twitter-Schaltflächen wird von Twitter direkt an den Browser des Nutzers übermittelt. Der Anbieter hat daher keinen Einfluss auf den Umfang der Daten, die Twitter mit Hilfe dieses Plugins erhebt und informiert die Nutzer entsprechend seinem Kenntnisstand. Nach diesem wird lediglich die IP-Adresse des Nutzers die URL der jeweiligen Webseite beim Bezug der Schaltfläche mit übermittelt, aber nicht für andere Zwecke, als die Darstellung des Buttons, genutzt. Weitere Informationen hierzu finden sich in der Datenschutzerklärung von Twitter unter http://twitter.com/privacy.
Nutzung der Pinterest-Schaltflächen
Auf diesem Angebot werden die Schaltflächen („Pin It“) des Dienstes Pinterest, http://pinterest.com eingesetzt. Mit Hilfe der Schaltflächen ist es den Nutzern möglich, die Artikel des Anbieters auf deren „Pinterest-Boards“ zu teilen.
Wenn ein Nutzer eine Webseite aufruft, die eine „Pin It“-Schaltfläche enthält, baut sein Browser eine direkte Verbindung mit den Servern von Pinterest auf. Der Inhalt der „Pin It“-Schaltfläche wird von Pinterest direkt an den Browser des Nutzers übermittelt. Der Anbieter hat daher keinen Einfluss auf den Umfang der Daten, die Pinterest mit Hilfe der „Pin It“-Schaltfläche erhebt und informiert die Nutzer entsprechend seinem Kenntnisstand. Nach diesem wird lediglich die IP-Adresse des Nutzers sowie die URL der jeweiligen Webseite übermittelt, aber nur für die Zwecke der Darstellung der „Pin It“-Schaltfläche und zum Teilen des Inhalts verwendet. Weitere Informationen hierzu finden sich in der Datenschutzerklärung von Pinterest unter http://pinterest.com/about/privacy/.
Widerruf, Änderungen, Berichtigungen und Aktualisierungen
Der Nutzer hat das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die personenbezogenen Daten, die vom Anbieter über ihn gespeichert wurden. Kontaktdaten finden sich im Impressum des Anbieters.
Zusätzlich hat der Nutzer das Recht auf Berichtigung unrichtiger Daten, Sperrung und Löschung seiner personenbezogenen Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
Änderungen der Datenschutzerklärung
Der Anbieter behält sich vor, die Datenschutzerklärung zu ändern, um sie an geänderte Rechtslage oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen.
Snap Pixel und Website Custom Audiences
Wir setzen zwecks Analyse und Optimierung unserer Webseite und Leistungen das sog. „Snap Pixel“ des sozialen Netzwerkes Snapchat ein, welches von Snap Inc., Market Street, Venice, CA 90291, USA betrieben wird („Snapchat“).
Mit Hilfe des Snap-Pixels ist es Snapchat zum einen möglich, die Besucher unserer Webseite als Zielgruppe für die Darstellung von Anzeigen (sog. „Snapchat-Ads“) zu bestimmen. Dementsprechend setzen wir das Snapchat-Pixel ein, um die durch uns geschalteten Snapchat-Ads nur solchen Snapchat-Nutzern anzuzeigen, die auch ein Interesse an unserer Webseite gezeigt haben oder die bestimmte Merkmale (z.B. Interessen an bestimmten Themen oder Produkten, die anhand der besuchten Webseiten bestimmt werden) aufweisen, die wir an Snapchat übermitteln (sog. „Custom Audiences“).
Mit Hilfe des Snap-Pixels möchten wir auch sicherstellen, dass unsere Snapchat-Ads dem potentiellen Interesse der Nutzer entsprechen und nicht belästigend wirken. Mit Hilfe des Snap-Pixels können wir ferner die Wirksamkeit der Snapchat-Werbeanzeigen für statistische und Marktforschungszwecke nachvollziehen, in dem wir sehen ob Nutzer nachdem Klick auf eine Snapchat-Werbeanzeige auf unsere Webseite weitergeleitet wurden (sog. „Conversion“).
Die Verarbeitung der Daten durch Snapchat erfolgt im Rahmen von Snapchats Datenverwendungsrichtlinie. Dementsprechend generelle Hinweise zur Darstellung von Snapchat-Ads, in der Datenverwendungsrichtlinie von Snapchat: https://www.snap.com/en-US/privacy/privacy-center/.
Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte
Google und die andere Vertragspartei, die diesen Bedingungen zustimmt („Kunde“), haben einen Vertrag (in seiner jeweils gültigen Fassung) geschlossen, unter welchem die Auftragsverarbeiterdienste erbracht werden (die „Vereinbarung”).
Diese Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte (einschließlich mit den Anhängen nachfolgend als die „Datenverarbeitungsbedingungen“ bezeichnet) werden zwischen Google und dem Kunden abgeschlossen und ergänzen die Vereinbarung. Diese Datenverarbeitungsbedingungen treten am Wirksamkeitsdatum in Kraft und ersetzen alle vorherigen Vereinbarungen zu dem gleichen Regelungsgegenstand (z.B. alle Änderungs- und Zusatzvereinbarungen zur Datenverarbeitung oder Regelungen zur Auftragsdatenverarbeitung).
Wenn Sie diese Datenverarbeitungsbedingungen stellvertretend für den Kunden abschließen, versichern Sie, dass Sie (a) rechtlich vollumfänglich dazu befugt sind, für den Kunden diese Datenverarbeitungsbedingungen stellvertretend abzuschließen, (b) diese Datenverarbeitungsbedingungen gelesen und verstanden haben und (c) für den von Ihnen vertretenen Kunden die Annahmeerklärung zum Abschluss dieser Datenverarbeitungsbedingungen abgeben. Wenn Sie rechtlich nicht dazu befugt sind, für den Kunden rechtsverbindliche Erklärungen abzugeben, schließen Sie diese Datenverarbeitungsbedingungen bitte nicht ab.
1. Einführung
Diese Datenverarbeitungsbedingungen enthalten die Vereinbarung der Vertragsparteien über die Regelungen, die für die Verarbeitung bestimmter Daten im Zusammenhang mit den europäischen Datenschutzvorschriften und bestimmten außereuropäischen Datenschutzvorschriften gelten.
2. Begriffsbestimmungen und Auslegung
2.1 In diesen Datenverarbeitungsbedingungen gelten die folgenden Begriffsbestimmungen:„Außereuropäische Datenschutzvorschriften“ bedeutet Datenschutzgesetze, die außerhalb des Europäischen Wirtschaftsraums, der Schweiz und des Vereinigten Königreichs geltenanwendbar sind.
„Aufsichtsbehörde” bedeutet, je nach Anwendbarkeit, (a) die “Aufsichtsbehörde” wie sie in der EU DSGVO festgelegt ist und/oder (b) der “Commissioner” wie er in der UK DSGVO festgelegt wird.
„Auftragsverarbeiterdienste” bedeutet die jeweils einschlägigen Dienste, die unter privacy.google.com/businesses/adsservices aufgeführt sind.
„Datenvorfall“ bedeutet ein Sicherheitsvorkommnis bei Google, das zur/zum unabsichtlichen oder gesetzwidrigen Vernichtung, Verlust, Änderung von personenbezogenen Daten des Kunden oder zur unautorisierten Offenlegung oder zum unautorisierten Zugriff auf diese führt, wobei dabei Systeme betroffen sind, die von Google verwaltet oder anderweitig von Google kontrolliert werden. Nicht unter den Begriff „Datenvorfall“ fallen erfolglose Zugriffsversuche oder ähnliche Ereignisse, die die Sicherheit der personenbezogenen Daten des Kunden nicht kompromittieren, wie etwa erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
„Drittanbieter-Unterauftragsverarbeiter“ hat die in Ziffer 11.1 (Zustimmung zur Verpflichtung von Unterauftragsverarbeitern) enthaltene Bedeutung.
„DSGVO“ bedeutet, je nach Anwendbarkeit, (a) die EU DSGVO und/oder (b) die UK DSGVO.
„E-Mail-Adresse für Benachrichtigungen“ bedeutet die E-Mail-Adresse (falls vorhanden), die vom Kunden über die Benutzeroberfläche des Auftragsverarbeiterdienstes oder über andere von Google bereitgestellte Möglichkeiten angegeben wurde, um bestimmte Benachrichtigungen von Google zu diesen Datenverarbeitungsbedingungen zu erhalten.
„Europäische Datenschutzvorschriften“ bedeutet, soweit anwendbar: (a) die DSGVO und/oder (b) das Bundesgesetz über den Datenschutz (der Schweiz) von 1992.
„EWR“ bedeutet der Europäische Wirtschaftsraum.
„EU DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
„Europäisches oder nationales Recht“ bedeutet, je nach Anwendbarkeit, (a) europäisches Recht oder das Recht eines Mitgliedstaates der Europäischen Union (wenn die EU DSGVO auf die Verarbeitung von personenbezogenen Daten des Kunden Anwendung findet), und/oder (b) das Recht des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs (wenn die UK DSGVO auf die Verarbeitung von personenbezogen Daten des Kunden Anwendung findet).
„Google-Gruppenunternehmen Unterauftragsverarbeiter“ hat die in Ziffer 11.1 (Zustimmung zum Einsatz von Unterauftragsverarbeitern) festgelegte Bedeutung.
„Google-Gruppenunternehmen“ bedeutet Google LLC (vormalige Bezeichnung Google Inc.), Google Ireland Limited oder andere verbundene Unternehmen der Google LLC.
„Google“ bedeutet das Google-Gruppenunternehmen, das Vertragspartei der Vereinbarung ist.
„ISO-27001-Zertifizierung“ bedeutet die Zertifizierung nach ISO/IEC 27001:2013 oder eine vergleichbare Zertifizierung der Auftragsverarbeiterdienste.
„Laufzeit“ bedeutet den Zeitraum zwischen dem Wirksamkeitsdatum und dem Ende der Erbringung der Auftragsverarbeiterdienste durch Google gemäß der Vereinbarung.
„Personenbezogene Daten des Kunden“ bedeutet personenbezogene Daten, die im Auftrag des Kunden durch Google im Rahmen der Erbringung der Auftragsverarbeiterdienste verarbeitet werden.
„Sicherheitsdokumentation“ bedeutet das Zertifikat, das für die ISO-27001-Zertifizierung ausgestellt wurde und jegliche anderen Sicherheitszertifizierungen oder Dokumentationen, die Google in Bezug auf die Auftragsverarbeiterdienste ggf. zur Verfügung stellt.
„Sicherheitsmaßnahmen“ hat die in Ziffer 7.1.1 (Googles Sicherheitsmaßnahmen) festgelegte Bedeutung.
„Standardvertragsklauseln“ bedeutet die Vertragsbedingungen unter https://privacy.google.com/businesses/processorterms/mccs, bei denen es sich um Standarddatenschutzklauseln für die Übermittlung von personenbezogenen Daten an Auftragsverarbeiter handelt, die in Drittländern, die kein angemessenes Datenschutzniveau bieten, niedergelassen sind, wie in Artikel 46 der EU DSGVO beschrieben.
„Tool für betroffene Personen“ bedeutet ein von einem Google-Gruppenunternehmen zur Verfügung gestelltes Tool (soweit jeweils vorhanden), das Google ermöglicht, direkt und auf standardisierte Weise bestimmte Anfragen von betroffenen Personen in Bezug auf personenbezogene Daten des Kunden zu beantworten (z. B. in Bezug auf Online-Einstellungen für Werbung oder ein Opt-out-Browser-Plugin).
„UK DSGVO“ bedeutet die EU DSGVO in der Fassung, wie sie ggf. mit Änderungen und durch die Umsetzung in das Recht des Vereinigten Königreichs gemäß dem UK European Union (Withdrawal) Act 2018 in Kraft tritt.
„Unterauftragsverarbeiter“ bedeutet Dritte, die unter diesen Datenverarbeitungsbedingungen autorisiert sind, logisch auf personenbezogene Daten des Kunden zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste bereitzustellen und dazugehörigen technischen Support zu erbringen.
„Verbundenes Unternehmen“ bedeutet jede juristische Person, die direkt oder indirekt kontrolliert, von einer der Vertragsparteien kontrolliert wird oder unter gemeinsamer Kontrolle mit einer der Vertragsparteien steht.
„Wirksamkeitsdatum“ bedeutet entweder.
(a) der 25. Mai 2018, falls der Kunde im Rahmen eines ‚Click-to-Accept“-Verfahrens diese Datenverarbeitungsbedingungen oder die Vertragsparteien anderweitig die vorliegenden Datenverarbeitungsbedingungen an dem vorgenannten Datum oder zuvor geschlossen hat bzw. abgeschlossen haben, oder
(b) das Datum, an dem der Kunde im Rahmen eines ‚Click-to-Accept’-Verfahrens diese Datenverarbeitungsbedingungen abgeschlossen hat oder die Vertragsparteien anderweitig den vorliegenden Datenverarbeitungsbedingungen zugestimmt haben, falls dieses jeweils nach dem 25. Mai 2018 geschieht.
„Zusatzbedingungen für außereuropäische Datenschutzvorschriften“ bedeutet die in Anhang 3 genannten Zusatzbedingungen, diese stellen die Vereinbarung der Parteien über die Bedingungen für die Verarbeitung bestimmter Daten im Zusammenhang mit bestimmten außereuropäischen Datenschutzvorschriften dar.
„Zusatzprodukt“ bedeutet ein Produkt, einen Dienst oder eine Anwendung von Google oder einem Dritten, das/der/die (a) nicht Bestandteil der Auftragsverarbeiterdienste ist und (b) zur Nutzung über die Benutzeroberfläche der Auftragsverarbeiterdienste erreichbar oder anderweitig in die Auftragsverarbeiterdienste integriert ist.
2.2 Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben in diesen Datenverarbeitungsbedingungen jeweils dieselbe Bedeutung, die ihnen in der DSGVO zugewiesen wird, und die Begriffe „Datenimporteur“ und „Datenexporteur“ haben dieselbe Bedeutung, die ihnen in den Standardvertragsklauseln zugewiesen wird.
2.3 Formulierungen, die mit Worten wie „einschließlich“ oder mit einem ähnlichen Ausdruck beginnen, sind so auszulegen, dass diese Formulierungen nur illustrativ gemeint sind und sie die Bedeutung der davorstehenden Formulierungen nicht einschränken sollen. Etwaige in diesen Datenverarbeitungsbedingungen angeführte Beispiele dienen nur der Veranschaulichung und sind nicht als ausschließliche Beispiele für ein bestimmtes Konzept gemeint.
2.4 Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren aktuellen Stand und deren zum jeweiligen Zeitpunkt gültige und ggf. geänderte oder überarbeitete Fassung.
3. Laufzeit dieser Datenverarbeitungsbedingungen
Die vorliegenden Datenverarbeitungsbedingungen treten zum angegebenen Wirksamkeitsdatum in Kraft und bleiben – unabhängig davon, ob die Laufzeit abgelaufen sein sollte – solange in Kraft, bis Google alle personenbezogenen Kundendaten gemäß den vorliegenden Datenverarbeitungsbedingungen gelöscht hat; zu diesem Zeitpunkt enden diese Datenverarbeitungsbedingungen automatisch.
4. Anwendbarkeit dieser Datenverarbeitungsbedingungen
4.1 Anwendbarkeit der europäischen Datenschutzvorschriften. Die Ziffern 5 (Verarbeitung von Daten) bis einschließlich 12 (Kontaktaufnahme mit Google; Aufzeichnungen über die Verarbeitung) gelten nur insoweit, wie die europäischen Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten des Kunden anwendbar sind, einschließlich wenn:
(a) die Verarbeitung im Rahmen der Tätigkeiten einer Betriebsstätte des Kunden im EWR oder im Vereinigten Königreich stattfindet und/oder
(b) personenbezogene Daten des Kunden personenbezogene Daten darstellen, die sich auf betroffene Personen beziehen, die sich im EWR oder im Vereinigten Königreich befinden und sich die Verarbeitung auf das Angebot von Waren oder Dienstleistungen oder die Beobachtung des Verhaltens im EWR oder im Vereinigten Königreich bezieht.
4.2 Anwendbarkeit auf Auftragsverarbeiterdienste. Diese Datenverarbeitungsbedingungen gelten nur für solche Auftragsverarbeiterdienste, für welche die Vertragsparteien diese Datenverarbeitungsbedingungen abgeschlossen haben (zum Beispiel, für solche Auftragsverarbeiterdienste, (a) für die der Kunde diese Datenverarbeitungsbedingungen mittels eines ‘Click-to-Accept’-Verfahrens abgeschlossen hat; oder (b) auf die die Vereinbarung Anwendung findet und in welche diese Datenverarbeitungsbedingungen einbezogen und zum Gegenstand der Vereinbarung gemacht werden).
4.3 Einbeziehung der Zusatzbedingungen für außereuropäische Datenschutzvorschriften. Die Zusatzbedingungen für außereuropäische Datenschutzvorschriften gelten ergänzend zu diesen Datenverarbeitungsbedingungen.
5. Verarbeitung von Daten
5.1 Rollenverteilung und Einhaltung gesetzlicher Vorgaben; Autorisierung.
5.1.1 Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Vertragsparteien bestätigen und vereinbaren, dass:
(a) Anhang 1 den Gegenstand und die Details der Verarbeitung der personenbezogenen Daten des Kunden beschreibt;
(b) Google als ein Auftragsverarbeiter von personenbezogenen Daten des Kunden gemäß den europäischen Datenschutzvorschriften handelt;
(c) der Kunde, je nachdem was zutrifft, als ein Verantwortlicher oder ein Auftragsverarbeiter von personenbezogenen Daten des Kunden gemäß den europäischen Datenschutzvorschriften handelt; und
(d) jede Vertragspartei verpflichtet ist, den Verpflichtungen nachzukommen, die für die jeweilige Partei in Bezug auf die Verarbeitung von personenbezogenen Daten des Kunden gemäß den europäischen Datenschutzvorschriften gelten.
5.1.2 Autorisierung durch einen Dritten als Verantwortlichen. Ist der Kunde selbst ein Auftragsverarbeiter, so sichert er gegenüber Google zu, dass seine Weisungen und Maßnahmen hinsichtlich personenbezogener Daten des Kunden, einschließlich der Einsetzung von Google als weiteren Auftragsverarbeiter, durch den betreffenden Verantwortlichen autorisiert wurden.
5.2 Weisungen des Kunden. Durch Zustimmung zu diesen Datenverarbeitungsbedingungen weist der Kunde Google an, personenbezogene Daten des Kunden in Übereinstimmung mit dem anwendbaren Recht zu verarbeiten, (a) um die Auftragsverarbeiterdienste und damit im Zusammenhang stehenden technischen Support zu erbringen, und (b) wie weiter durch die Nutzung des Kunden der Auftragsverarbeiterdienste festgelegt (einschließlich durch die Einstellungen und Funktionalitäten der Auftragsverarbeiterdienste) und damit im Zusammenhang stehenden technischen Support, (c) wie durch die Vereinbarung, einschließlich dieser Datenverarbeitungsbedingungen, dokumentiert wird und (d) wie zusätzlich in anderen schriftlichen Weisungen dokumentiert ist, die vom Kunden gegeben wurden und von Google förmlich als Weisung im Sinne der vorliegenden Datenverarbeitungsbedingungen anerkannt wurden.
5.3 Befolgung der Weisungen durch Google. Google wird die Weisungen, die in Ziffer 5.2 (Weisungen des Kunden) festgelegt sind (auch im Hinblick auf die Übermittlung von Daten) befolgen, es sei denn, europäisches oder nationales Recht, das auf Google Anwendung findet, erfordert eine anderweitige Verarbeitung der personenbezogenen Daten des Kunden durch Google; in einem solchen Fall wird Google den Kunden entsprechend informieren (es sei denn, das jeweilige Recht verbietet Google dies aus wichtigen Gründen des öffentlichen Interesses zu tun).
5.4 Zusatzprodukte. Wenn der Kunde Zusatzprodukte verwendet, können die Auftragsverarbeiterdienste diesen Zusatzprodukten den Zugriff auf personenbezogene Daten des Kunden ermöglichen, sofern dies für die Interaktion zwischen diesen Zusatzprodukten und den Auftragsverarbeiterdiensten erforderlich ist. Zur Klarstellung, diese Datenverarbeitungsbedingungen gelten nicht für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Zusatzprodukten, die durch den Kunden genutzt werden, einschließlich für personenbezogene Daten, die von oder zu diesen Zusatzprodukten übermittelt werden.
6. Löschung von Daten
6.1 Löschung während der Laufzeit.
6.1.1 Auftragsverarbeiterdienste mit Löschfunktion. Falls während der Laufzeit:
(a) die Softwarefunktionalitäten der Auftragsverarbeiterdienste dem Kunden eine Möglichkeit zur Verfügung stellen, personenbezogene Daten des Kunden zu löschen,
(b) der Kunde die Auftragsverarbeiterdienste dazu nutzt, bestimmte personenbezogene Daten des Kunden zu löschen und
(c) die gelöschten personenbezogenen Daten des Kunden vom Kunden nicht wiederhergestellt werden können (z. B. aus dem ‚Papierkorb’),
dann wird Google diese personenbezogenen Daten des Kunden von ihren Systemen so früh wie es angemessen und praktikabel ist und spätestens nach einer Dauer von 180 Tagen löschen, falls nicht europäisches oder nationales Recht eine Aufbewahrung vorschreibt.
6.1.2 Auftragsverarbeiterdienste ohne Löschfunktion. Falls die Softwarefunktionalitäten der Auftragsverarbeiterdienste keine Möglichkeit vorsehen die den Kunden in die Lage versetzt, während der Laufzeit personenbezogene Daten des Kunden zu löschen, dann wird Google:
(a) jeder angemessenen Anfrage des Kunden entsprechen, um eine solche Löschung zu erreichen, soweit dies unter Berücksichtigung der Art und Funktionsweise der Auftragsverarbeiterdienste möglich ist und falls nicht europäisches oder nationales Recht eine Aufbewahrung vorschreibt, und
(b) die Datenspeicherungsverfahren, die unter policies.google.com/technologies/ads beschrieben sind, einhalten.
Google ist berechtigt, einen Ersatz der Kosten (basierend aufs Googles angemessenen Aufwendungen) für die Löschung von Daten nach Ziffer 6.1.2(a) zu verlangen. Vor einer solchen Löschung wird Google dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage für die Berechnung dieser Kosten zur Verfügung stellen.
6.2 Löschung nach Ablauf der Laufzeit. Der Kunde weist Google an, nach Ablauf der Laufzeit sämtliche personenbezogenen Daten des Kunden (einschließlich aller existierenden Kopien) gemäß den Vorgaben des anwendbaren Rechts von Googles Systemen zu löschen. Google wird dieser Weisung so früh wie es angemessen und praktikabel ist und spätestens nach einer Dauer von 180 Tagen Folge leisten, falls nicht europäisches oder nationales Recht eine Aufbewahrung vorschreibt.
7. Datensicherheit
7.1 Sicherheitsmaßnahmen und Hilfestellung durch Google.
7.1.1 Googles Sicherheitsmaßnahmen. Google implementiert technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Kunden vor versehentlicher oder gesetzeswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff, wie in Anhang 2 beschrieben (die „Sicherheitsmaßnahmen“) und erhält diese aufrecht. Wie in Anhang 2 beschrieben, beinhalten die Sicherheitsmaßnahmen Maßnahmen: (a) zur Verschlüsselung personenbezogener Daten, (b) die helfen, die Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Googles Systemen und Diensten fortwährend zu wahren bzw. sicherzustellen, (c) die helfen, zeitgerecht den Zugang zu personenbezogenen Daten nach einem Vorfall wiederherzustellen und (d) um regelmäßig die Wirksamkeit zu testen. Google kann gelegentlich die Sicherheitsmaßnahmen aktualisieren oder anpassen, sofern eine solche Aktualisierung und Anpassung nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste führt.
7.1.2 Einhaltung von Sicherheitsvorschriften durch Googles Personal. Google ist verpflichtet, angemessene Maßnahmen zu ergreifen, um die Einhaltung der Sicherheitsmaßnahmen durch Google-Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter in dem Umfang sicherzustellen, wie es für deren jeweiliges Aufgabengebiet angemessen ist, und um sicherzustellen, dass sich sämtliche Personen, die autorisiert sind, personenbezogene Daten des Kunden zu verarbeiten, zur Geheimhaltung verpflichtet haben oder entsprechenden gesetzlichen Geheimhaltungspflichten unterliegen.
7.1.3 Hilfestellung durch Google. Der Kunde ist damit einverstanden, dass Google (unter Berücksichtigung der Art der jeweiligen Verarbeitung personenbezogener Daten des Kunden und der Informationen, die Google zur Verfügung stehen) den Kunden bei der die Einhaltung von sämtlichen Pflichten des Kunden in Bezug auf die Sicherheit von personenbezogenen Daten und bei Verletzung der Datensicherheit, einschließlich, soweit anwendbar, die Pflichten des Kunden gemäß den Artikeln 32 bis 34 DSGVO, unterstützt durch:
(a) Implementierung und Aufrechterhaltung von Sicherheitsmaßnahmen in Übereinstimmung mit Ziffer 7.1.1 (Googles Sicherheitsmaßnahmen),
(b) Einhaltung der Regelungen in Ziffer 7.2 (Datenvorfälle) und
(c) Bereitstellung von Sicherheitsdokumentationen an den Kunden gemäß Ziffer 7.5.1 (Überprüfungen der Sicherheitsdokumentation) und den Informationen, die in diesen Datenverarbeitungsbedingungen enthalten sind.
7.2 Datenvorfälle.
7.2.1 Meldung von Datenvorfällen. Falls Google Kenntnis von einem Datenvorfall erlangen sollte, ist Google verpflichtet: (a) den Kunden unverzüglich den Datenvorfall zu melden; und (b) prompt angemessene Maßnahmen zur Schadensminimierung und Sicherung der personenbezogenen Daten des Kunden zu ergreifen.
7.2.2 Detailinformationen zu Datenvorfällen. Meldungen gemäß 7.2.1 (Googles Sicherheitsmaßnahmen) enthalten, soweit wie möglich, Details über den Datenvorfall und Informationen darüber, welche Maßnahmen ergriffen wurden, um das potenzielle Risiko zu minimieren und welche Schritte Google dem Kunden empfiehlt, um auf den Datenvorfall zu reagieren.
7.2.3 Übermittlung der Meldungen. Meldungen über Datenvorfälle wird Google an die E-Mail-Adresse für Benachrichtigungen senden, oder nach Googles Ermessen (z.B. falls der Kunde keine E-Mail-Adresse für Meldungen angegeben hat) mittels eines anderen direkten Kommunikationsmittels (z.B. mittels Telefon oder in einem persönlichen Treffen) übermitteln. Der Kunde trägt die alleinige Verantwortung, die E-Mail-Adresse für Benachrichtigungen zu benennen, und hat sicherzustellen, dass die E-Mail-Adresse für Benachrichtigungen stets aktuell und gültig ist.
7.2.4 Meldungen an Dritte. Der Kunde trägt die alleinige Verantwortung, gesetzliche Vorgaben für Meldungen bei Vorfällen einzuhalten und entsprechenden Meldepflichten bei Datenvorfällen gegenüber Dritten nachzukommen.
7.2.5 Kein Anerkenntnis durch Google. Die Meldung eines Datenvorfalls durch Google bzw. die Reaktion auf einen Datenvorfall durch Google gemäß dieser Ziffer 7.2 (Datenvorfälle) kann nicht dahingehend ausgelegt werden, dass Google dadurch bereits ein Fehlverhalten einräumen oder die Haftung für den Datenvorfall anerkennen würde.
7.3 Verantwortlichkeit des Kunden für Sicherheit und Sicherheitsbewertung.
7.3.1 Verantwortlichkeit des Kunden für Sicherheit. Unbeschadet der Verpflichtungen für Google gemäß Ziffern 7.1 (Sicherheitsmaßnahmen und Hilfestellung von Google) und 7.2 (Datenvorfälle):
(a) trägt der Kunde die Verantwortung für die Nutzung der Auftragsverarbeiterdienste, einschließlich:
(i) die Auftragsverarbeiterdienste in angemessener Art und Weise zu nutzen, um ein Sicherheitsniveau sicherzustellen, das im Verhältnis zum Risiko im Hinblick auf die Verarbeitung personenbezogenen Daten des Kunden angemessen ist und
(ii) die Anmeldeinformationen für die Authentifizierung sowie der Systeme und Geräte, die der Kunde verwendet, um auf die Auftragsverarbeiterdienste zuzugreifen, zu schützen, und
(b) ist Google nicht dafür verantwortlich, personenbezogene Daten des Kunden zu schützen, bei denen der Kunde entscheidet, diese außerhalb der Google-Systeme oder der Systeme der Google-Unterauftragsverarbeiter zu speichern oder zu übermitteln.
7.3.2 Sicherheitsbeurteilung durch den Kunden. Der Kunde nimmt zur Kenntnis und stimmt zu, dass (unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung personenbezogener Daten des Kunden sowie der damit verbundenen Risiken für Einzelpersonen) die von Google gemäß Ziffer 7.1.1 (Googles Sicherheitsmaßnahmen) umgesetzten und aufrechterhaltenen Sicherheitsmaßnahmen ein Sicherheitsniveau erreichen, das mit den Risiken in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden in einem angemessenen Verhältnis steht.
7.4 Sicherheitszertifizierung. Um fortlaufend die Effektivität der Sicherheitsmaßnahmen zu bewerten und sicherzustellen, wird Google die ISO-27001-Zertifizierung aufrechterhalten.
7.5 Prüfungen und Compliance-Audits.
7.5.1 Prüfung der Sicherheitsdokumentation. Um die Einhaltung von Googles Verpflichtungen unter diesen Datenverarbeitungsbedingungen nachzuweisen, ist Google verpflichtet, die Sicherheitsdokumentation dem Kunden zur Prüfung zugänglich zu machen.
7.5.2 Prüfrechte des Kunden.
(a) Google wird dem Kunden oder einem unabhängigen, vom Kunden benannten Prüfer unter Maßgabe von Ziffer 7.5.3 (zusätzliche Bedingungen für Audits) ermöglichen, Audits (einschließlich Inspektionen) durchzuführen, um zu verifizieren, dass Google seinen Pflichten unter den Datenverarbeitungsbedingungen nachkommt. Google wird solche Audits, wie in Ziffer 7.4 (Sicherheitszertifizierung) und in dieser Ziffer 7.5 (Prüfungen und Compliance-Audits) beschrieben, unterstützen.
(b) Sofern die Standardvertragsklauseln nach Ziffer 10.2 (Datenübermittlungen) Anwendung finden, gestattet Google dem Kunden oder einem vom Kunden beauftragten unabhängigen Prüfer im Einklang mit Ziffer 7.5.3 (Zusätzliche Bedingungen für Audits) die Durchführung von Audits wie in den Standardvertragsklauseln beschrieben.
(c) Der Kunde kann auch ein Audit durchführen, indem er das ISO-27001-Zertifikat überprüft (welches das Ergebnis eines Audits widerspiegelt, das von einem unabhängigen Prüfer durchgeführt wurde), um zu verifizieren, dass Google seinen Pflichten unter den vorliegenden Datenverarbeitungsbedingungen nachkommt.
7.5.3 Zusätzliche Bedingungen für Audits.
(a) Der Kunde ist verpflichtet, eine Anfrage für ein Audit nach Ziffer 7.5.2(a) oder 7.5.2(b) in Übereinstimmung mit Ziffer 12.1 (Kontaktaufnahme mit Google) zu stellen.
(b) Nach Erhalt einer Anfrage gemäß Ziffer 7.5.3(a) werden Google und der Kunde im Voraus gemeinsam ein angemessenes Startdatum, den Umfang und die Dauer und Sicherheits- und Vertraulichkeitsmaßnahmen, die Gegenstand des jeweiligen Audits gemäß Ziffer 7.5.2(a) oder 7.5.2(b) sind, besprechen und vereinbaren.
(c) Google ist berechtigt, einen Ersatz der Kosten (basierend auf Googles angemessenen Aufwendungen) für jedes Audit nach Ziffer 7.5.2(a) oder 7.5.2(b) zu verlangen. Vor jedem Audit wird Google dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage für die Berechnung dieser Kosten zur Verfügung stellen. Jegliche Kosten, die für die Beauftragung und Durchführung eines Audits durch einen unabhängigen Prüfer entstehen, den der Kunde beauftragt hat, sind allein vom Kunden zu tragen.
(d) Google ist berechtigt, einen vom Kunden zur Durchführung eines Audits nach Ziffer 7.5.2(a) oder 7.5.2(b) beauftragten unabhängigen Prüfer abzulehnen, wenn dieser Prüfer nach Googles angemessener Einschätzung nicht hinreichend qualifiziert oder unabhängig ist, es sich um einen Wettbewerber von Google handelt oder dieser aus anderen Gründen offenkundig ungeeignet ist. Falls Google einen solchen Einwand erhebt, ist der Kunde verpflichtet, einen anderen Prüfer zu bestellen oder das Audit selbst durchzuführen.
(e) Google ist nach diesen Datenverarbeitungsbedingungen nicht verpflichtet, dem Kunden oder einem vom Kunden beauftragten unabhängigen Prüfer gegenüber das Folgende offenzulegen bzw. dem Kunden oder einem unabhängigen Prüfer zu gestatten, auf Folgendes zuzugreifen:
(i) Daten von irgendeinem anderen Kunden eines Google-Gruppenunternehmens;
(ii) interne Daten des Rechnungswesens oder Finanzinformationen eines Google-Gruppenunternehmens;
(iii) Geschäftsgeheimnisse eines Google-Gruppenunternehmens;
(iv) Informationen, die nach Googles angemessener Einschätzung (A) die Sicherheit von Systemen oder Betriebsstätten eines Google-Gruppenunternehmens gefährden könnten oder (B) dazu führen könnten, dass ein Google-Gruppenunternehmen seine Pflichten unter den europäischen Datenschutzvorschriften verletzt oder gegen seine Sicherheits- bzw. Datenschutzverpflichtungen gegenüber dem Kunden oder Dritten verstößt; oder
(v) Informationen, auf die der Kunde oder sein unabhängiger Prüfer aus treuwidrigen Gründen, die nicht zur Erfüllung der Verpflichtungen des Kunden gemäß den europäischen Datenschutzvorschriften erforderlich sind, zugreifen möchten.
7.5.4 Keine Änderung der Standardvertragsklauseln. Sofern die Standardvertragsklauseln nach Ziffer 10.2 (Datenübermittlungen) Anwendung finden, ändert oder modifiziert nichts in dieser Ziffer 7.5 (Prüfungen und Compliance-Audits) die Rechte oder Verpflichtungen des Kunden oder von Google LLC nach den Standardvertragsklauseln.
8. Folgenabschätzungen und Konsultationen
Der Kunde ist damit einverstanden, dass Google (unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Google zur Verfügung stehen) den Kunden bei der Erfüllung seiner Pflichten zu Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, einschließlich, soweit anwendbar, den Pflichten gemäß Art. 35 und 36 DSGVO; durch Folgendes unterstützt:
(a) Bereitstellung der Sicherheitsdokumentation gemäß Ziffer 7.5.1 (Prüfung der Sicherheitsdokumentation);
(b) Bereitstellung der Informationen, die bereits in diesen Datenverarbeitungsbedingungen enthalten sind; und
(c) Bereitstellung oder anderweitige Zugänglichmachung in Übereinstimmung mit Googles Standardverfahren von anderen Materialien (zum Beispiel Hilfeartikel im Hilfe-Center) zur Art der Auftragsverarbeiterdienste oder der Verarbeitung von personenbezogenen Daten des Kunden.
9. Rechte betroffener Personen
9.1 Beantwortung von Anfragen betroffener Personen. Wenn Google eine Anfrage von einer betroffenen Person hinsichtlich personenbezogener Daten des Kunden erhält, wird Google:
(a) direkt auf die Anfrage der betroffenen Person in Übereinstimmung mit den Standard-Funktionen eines Tools für betroffene Personen antworten, sollte die Anfrage über das Tool für betroffene Personen gestellt werden, oder
(b) die betroffene Person bitten, ihre Anfrage an den Kunden zu übermitteln, falls die Anfrage nicht über ein Tool für betroffene Personen eingereicht wurde; der Kunde trägt die alleinige Verantwortung für die Beantwortung einer solchen Anfrage.
9.2 Unterstützung durch Google bei Anfragen betroffener Personen. Der Kunde ist damit einverstanden, dass Google (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Kunden und, falls anwendbar, von Artikel 11 DSGVO) den Kunden bei der Erfüllung seiner Verpflichtungen unterstützen wird, auf Anfragen von betroffenen Personen zu antworten, einschließlich, falls anwendbar, auf Anfragen, die die Rechte der betroffenen Personen nach dem dritten Kapitel der DSGVO betreffen, indem Google:
(a) die Funktionalitäten der Auftragsverarbeiterdienste bereitstellt,
(b) die in Ziffer 9.1 (Beantwortung von Anfragen betroffener Personen) festgelegten Verpflichtungen erfüllt, und
(c) Tools für betroffene Personen bereitstellt, soweit dies für den jeweiligen Auftragsverarbeiterdienst zutreffend ist.
10. Datenübermittlungen
10.1 Datenspeicherungs- und Datenverarbeitungseinrichtungen. Der Kunde stimmt zu, dass Google vorbehaltlich Ziffer 10.2 (Datenübermittlungen) personenbezogene Daten des Kunden in jedem Land, in dem Google oder Googles Unterauftragsverarbeiter Einrichtungen unterhalten, speichern und verarbeiten kann.
10.2 Datenübermittlungen.
Sofern die Speicherung und/oder Verarbeitung von personenbezogene Daten des Kunden Übermittlungen von personenbezogene Daten des Kunden aus dem EWR, der Schweiz oder dem Vereinigten Königreich in ein Drittland einschließt, dass nicht Gegenstand einer Angemessenheitsentscheidung nach den europäischen Datenschutzvorschriften ist,
(a) gelten die Standardvertragsklauseln als zwischen Kunde (als Datenexporteur) und Google LLC (als Datenimporteur) vereinbart,
(b) unterliegen die Übermittlungen den Standardvertragsklauseln und
(c) stellt Google sicher, dass Google LLC im Hinblick auf solche Übermittlungen seine Verpflichtungen nach den besagten Standardvertragsklauseln einhält.
10.3 Informationen zu Rechenzentren. Informationen über die Standorte der Rechenzentren von Google können unter www.google.com/about/datacenters/inside/locations/ abgerufen werden.
11. Unterauftragsverarbeiter
11.1 Genehmigung der Beauftragung von Unterauftragsverarbeitern. Der Kunde genehmigt ausdrücklich die Beauftragung von verbundenen Unternehmen von Google als Unterauftragsverarbeiter („Google Gruppen-Unterauftragsverarbeiter“). Zudem genehmigt der Kunde generell, dass Google auch Dritte als Unterauftragsverarbeiter beauftragen darf („Dritt-Unterauftragsverarbeiter“). Sofern die Standardvertragsklauseln nach Ziffer 10.2 (Datenübermittlungen) Anwendung finden, stellen die vorgenannten Genehmigungen die vorherige schriftliche Einwilligung des Kunden zu der Unterauftragsvergabe durch Google LLC hinsichtlich der Verarbeitung von personenbezogenen Daten des Kunden dar.
11.2 Informationen zu Unterauftragsverarbeitern. Informationen über Unterauftragsverarbeiter können unter privacy.google.com/businesses/subprocessors abgerufen werden.
11.3 Anforderungen für die Beauftragung von Unterauftragsverarbeitern. Wenn Google Unterauftragsverarbeiter beauftragt, wird Google:
(a) durch schriftlichen Vertrag sicherstellen, dass:
(i) der Unterauftragsverarbeiter nur auf personenbezogene Daten des Kunden in dem Umfang zugreift und diese nutzt, wie dies erforderlich ist, um seine Obliegenheiten, zu denen er im Wege der Unterauftragsvergabe verpflichtet ist, zu erfüllen und dies jeweils unter Einhaltung der Vereinbarung (einschließlich dieser Datenverarbeitungsbedingungen) und, sofern nach Ziffer 10.2 (Datenübermittlungen) anwendbar, den Standardvertragsklauseln erfolgt, und
(ii) die in Art. 28 Abs. 3 DSGVO festgelegten Datenschutzpflichten dem Unterauftragsverarbeiter auferlegt werden, falls die DSGVO auf die Verarbeitung der personenbezogenen Daten des Kunden Anwendung findet, und
(b) für sämtliche Obliegenheiten, die den Unterauftragsverarbeitern übertragenwurden, und für sämtliches Tun und Unterlassen ihrer Unterauftragsverarbeiter vollumfänglich haften.
11.4 Möglichkeit des Widerspruch gegen Änderungen bei der Unterauftragsvergabe.
(a) Wenn während der Laufzeit ein neuer Dritt-Unterauftragsverarbeiter beauftragt wird, wird Google den Kunden mindestens 30 Tage bevor dieser neue Dritt-Unterauftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten des Kunden betraut wird durch Zusendung einer E-Mail an die E-Mail-Adresse für Benachrichtigungen über die Beauftragung informieren (einschließlich des Namens und Standorts des jeweiligen Unterauftragsverarbeiters und der Tätigkeiten, die dieser ausführen wird).
(b) Der Kunde kann dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters widersprechen, indem er die Vereinbarung sofort schriftlich kündigt; dies hat innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Beauftragung des jeweiligen Unterauftragsverarbeiters, wie in Ziffer 11.4(a) beschrieben, zu erfolgen. Dieses Kündigungsrecht ist der einzige und ausschließliche Rechtsbehelf des Kunden, wenn er mit dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters nicht einverstanden ist.
12. Kontaktaufnahme mit Google; Aufzeichnungen über die Verarbeitung
12.1 Kontaktaufnahme mit Google. Der Kunde kann Google über die Möglichkeiten, die unter privacy.google.com/businesses/processorsupport aufgeführt sind bzw. über andere von Google ggf. dafür bereitgestellte Möglichkeiten kontaktieren, um seine Rechte unter diesen Datenverarbeitungsbedingungen auszuüben.
12.2 Googles Aufzeichnungen über die Datenverarbeitung. Der Kunde nimmt zur Kenntnis, dass Google unter der DSGVO verpflichtet ist: (a) Aufzeichnungen über bestimmte Informationen anzufertigen und vorzuhalten, darunter den Namen und Kontaktdaten von jedem Verarbeiter und/oder Verantwortlichen in deren Auftrag Google handelt und (falls zutreffend) Informationen über den Vertretungsberechtigten vor Ort und den Datenschutzbeauftragten; und (b) diese Informationen der jeweiligen Aufsichtsbehörde zugänglich zu machen. Dementsprechend ist der Kunde verpflichtet, diese Informationen auf Aufforderung und soweit für den Kunden anwendbar, Google über die Benutzeroberfläche der Auftragsverarbeiterdienste oder über andere von Google ggf. dafür bereitgestellte Möglichkeiten zu übermitteln und die Benutzeroberfläche oder ggf. eine andere dafür bereitgestellte Möglichkeit zu nutzen, um sicherzustellen, dass diese Angaben stets korrekt und aktuell sind.
13. Haftung
13.1Haftungsbegrenzung. Wenn die Vereinbarung den Gesetzen:
(a) eines Bundesstaates der Vereinigten Staaten von Amerika unterliegt, dann gilt, ungeachtet einer anderen Regelung in der Vereinbarung, für die Gesamthaftung der jeweiligen Partei unter oder in Verbindung mit diesen Datenschutzbestimmungen der summenmäßige Haftungshöchstbetrag, auf den die Haftung der jeweiligen Partei gemäß der Vereinbarung begrenzt ist (zur Klarstellung, jeglicher Ausschluss von Haftungsfreistellungsansprüchen auf Grundlage der Haftungsbegrenzungsregelung der Vereinbarung gilt nicht für Haftungsfreistellungsansprüche unter der Vereinbarung in Bezug auf die europäischen Datenschutzvorschriften oder die außereuropäischen Datenschutzvorschriften) oder
(b) eines anderen Landes als dem eines Bundesstaates der Vereinigten Staaten von Amerika unterliegt, richtet sich die Haftung unter oder gemäß diesen Datenverarbeitungsbedingungen nach den Haftungsbeschränkungen und -ausschlüssen der Vereinbarung.
13.2Haftung im Falle der Anwendung der Standardvertragsklauseln. Sofern die Standardvertragsklauseln nach Ziffer 10.2 (Datenübermittlungen) Anwendung finden, dann richtet sich
(a) die gemeinsame Gesamthaftung von Google LLC und Google gegenüber dem Kunden und
(b) die Gesamthaftung des Kunden gegenüber Google LLC und Google
unter oder in Verbindung mit der Vereinbarung und den Standardvertragsklauseln insgesamt nach Ziffer 13.1 (Haftungsbegrenzung).
14. Drittbegünstigte
Sofern Google LLC nicht Vertragspartei der Vereinbarung ist und die Standardvertragsklauseln nach Ziffer 10.2 (Datenübermittlungen) Anwendung finden, ist Google LLC ein Drittbegünstigter bezüglich Ziffer 6.2 (Löschung nach Ablauf der Laufzeit), 7.5 (Prüfungen und Compliance-Audits), 9.1 (Beantwortung von Anfragen betroffener Personen), 10.2 (Datenübermittlungen), 11.1 (Genehmigung der Beauftragung von Unterauftragsverarbeitern) und 13.2 (Haftung im Falle der Anwendung der Standardvertragsklauseln). Soweit diese Ziffer 14 (Drittbegünstigte) mit einer Klausel dieser Vereinbarung im Konflikt steht oder inkonsistent ist, findet diese Ziffer 14 (Drittbegünstigte) Anwendung.
15. Geltung dieser Datenverarbeitungsbedingungen
Im Fall eines Widerspruchs oder einer Abweichung zwischen den Standardvertragsklauseln, den Zusatzbedingungen für außereuropäische Datenschutzvorschriften, und den übrigen Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung, gilt die nachfolgende Rangfolge: (a) die Standardvertragsklauseln; (b) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften; (c) die übrigen Datenverarbeitungsbedingungen und (d) die übrige Vereinbarung. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.
16. Änderungen dieser Datenverarbeitungsbedingungen
16.1 Änderungen der URLs. Google kann gelegentlich URLs, auf die in diesen Datenverarbeitungsbedingungen Bezug genommen wird, und die Inhalte auf solchen URLs vorbehaltlich des Folgenden ändern:
(a) Google ist berechtigt, die Standardvertragsklauseln nur zu ändern, wenn dies im Einklang mit Ziffer 16.2(b) – 16.2(d) (Änderungen der Datenverarbeitungsbedingungen) oder zur Einbeziehung einer neuen Version der Standardvertragsklauseln , die nach den europäischen Datenschutzvorschriften erlassen wurde, und zudem hinsichtlich beider Fälle in einer Weise erfolgt, die nicht die Gültigkeit der Standardvertragsklauseln nach den europäischen Datenschutzvorschriften berührt, und
(b) Google ist nur berechtigt, die Auflistung der möglichen Auftragsverarbeiterdienste unter privacy.google.com/businesses/adsservices zu ändern:
(i) um einer Umbenennung eines Dienstes Rechnung zu tragen;
(ii) um einen neuen Dienst hinzuzufügen; oder
(iii) um einen Dienst zu entfernen, jedoch nur für den Fall, dass (x) sämtliche Verträge über die Erbringung dieses Dienstes beendet wurden oder (y) Google dazu die Zustimmung des Kunden vorliegt.
16.2 Änderungen der Datenverarbeitungsbedingungen. Google kann diese Datenverarbeitungsbedingungen ändern, wenn eine solche Änderung:
(a) ausdrücklich durch die vorliegenden Datenverarbeitungsbedingungen erlaubt ist, einschließlich gemäß Ziffer 16.1 (Änderungen der URLs);
(b) einer Änderung des Unternehmensnamens oder eine Änderung der Rechtsform Rechnung trägt;
(c) erforderlich ist, um anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde zu entsprechen; oder
(d) (i) nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste führt, (ii) nicht den Anwendungsbereich dieser Datenverarbeitungsbedingungen in Bezug auf (x) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften, Googles Rechte, die in den Anwendungsbereich der Zusatzbedingungen für außereuropäische Datenschutzvorschriften fallenden Daten zu nutzen oder anderweitig zu verarbeiten, oder (y) die übrigen Datenverarbeitungsbedingungen, den Umfang der Verarbeitung personenbezogener Daten des Kunden durch Google wie in Ziffer 5.3 (Befolgung der Weisungen durch Google) beschrieben, ausweitet oder Beschränkungen aufhebt, und (iii) auch sonst zu keinen erheblichen nachteiligen Auswirkungen auf die Rechte des Kunden unter diesen Datenverarbeitungsbedingungen führt (dies wird auf angemessene Weise durch Google bestimmt).
16.3Benachrichtigung über Änderungen. Wenn Google beabsichtigt, diese Datenverarbeitungsbedingungen gemäß Ziffer 16.2(c) oder (d) zu ändern, wird Google dies dem Kunden mindestens 30 Tage vor Wirksamwerden der Änderung im Voraus (oder innerhalb einer kürzeren Frist, falls dies nach anwendbarem Recht, anwendbaren Vorschriften, aufgrund einer Gerichtsentscheidung oder eine Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde erforderlich ist) mitteilen durch: (a) die Übermittlung einer E-Mail an die E-Mail-Adresse für Benachrichtigungen oder (b) durch Benachrichtigung über die Benutzeroberfläche des Auftragsverarbeiterdienstes. Wenn der Kunde einer Änderung widersprechen möchte, kann der Kunde die Vereinbarung durch schriftliche Mitteilung gegenüber Google innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Änderung durch Google kündigen.
Anhang 1: Gegenstand und Details zur Datenverarbeitung
Gegenstand
Bereitstellung von Auftragsverarbeiterdiensten und damit in Zusammenhang stehendem technischen Supportleistungen für den Kunden durch Google.
Dauer der Datenverarbeitung
Während der Vertragslaufzeit und zusätzlich während eines Zeitraums zwischen dem Ende der Vertragslaufzeit und bis zur Löschung aller personenbezogenen Daten des Kunden durch Google in Übereinstimmung mit den vorliegenden Datenverarbeitungsbedingungen.
Art und Zweck der Datenverarbeitung
Google verarbeitet personenbezogene Daten des Kunden zum Zweck, dem Kunden die Auftragsverarbeiterdienste bereitzustellen und den damit im Zusammenhang stehenden technischen Support in Übereinstimmung mit diesen Datenverarbeitungsbedingungen zu erbringen. Die Datenverarbeitung durch Google schließt, in Abhängigkeit davon, ob es auf den jeweiligen Auftragsverarbeiterdienst und die in Ziffer 5.2 (Weisungen des Kunden) beschriebenen Weisungen zutrifft, das Erheben, Erfassen, Organisieren, Ordnen, Verändern, Auslesen, Verwenden, Offenlegen, Verknüpfen, Löschen oder Vernichten mit ein.
Arten personenbezogener Daten
Personenbezogene Daten des Kunden können solche Arten personenbezogener Daten umfassen, die unter privacy.google.com/businesses/adsservices beschrieben sind.
Kategorien betroffener Personen
Personenbezogene Daten des Kunden betreffen die folgenden Kategorien von betroffenen Personen:
- betroffene Personen, über die Google im Rahmen der Erbringung der Auftragsverarbeiterdienste personenbezogene Daten erhebt; und/oder
- betroffene Personen, von denen personenbezogene Daten auf Veranlassung oder im Auftrag des Kunden im Zusammenhang mit den Auftragsverarbeiterdiensten an Google übermittelt werden.
Je nach Art des jeweiligen Auftragsverarbeiterdienstes können betroffene Personen folgende Einzelpersonen umfassen: Personen, (a) an die Online-Werbung gerichtet wurde oder werden wird, (b) die bestimmte Webseiten oder Applikationen aufgerufen haben, für die Google die Auftragsverarbeiterdienste bereitstellt und/oder (c) die Kunden oder Nutzer von Produkten oder Diensten des Kunden sind.
Anhang 2: Sicherheitsmaßnahmen
Google verpflichtet sich, ab dem Wirksamkeitsdatum die Sicherheitsmaßnahmen, die in diesem Anhang 2 enthalten sind, zu implementieren und aufrechtzuerhalten. Google kann diese Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, vorausgesetzt dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Auftragsverarbeiterdienste führen.
1. Sicherheit der Rechenzentren und des Netzwerks
(a) Rechenzentren.
Infrastruktur. Google betreibt geografisch verteilte Rechenzentren. Google speichert alle Produktionsdaten in physisch gesicherten Rechenzentren.
Redundanz. Die Infrastruktursysteme wurden entwickelt, um Single Points of Failure (zentrale Schwachpunkte) zu beseitigen und um die Auswirkungen der zu erwartenden Umgebungsrisiken zu minimieren. Duale Stromkreise, Switches, Netzwerke oder andere erforderliche Geräte helfen, diese Redundanz zu erreichen. Die Auftragsverarbeiterdienste sind so konzipiert, dass Google bestimmte vorbeugende und fehlerbehebende Instandhaltungsmaßnahmen ohne Unterbrechung durchführen kann. Es gibt für sämtliche Anlagen und Einrichtungen dokumentierte, vorbeugende Instandhaltungsverfahren, die ausführlich den Prozess und die Häufigkeit der Durchführung in Übereinstimmung mit den Herstellervorgaben oder internen Vorgaben beschreiben. Vorbeugende und fehlerbehebende Instandhaltungsmaßnahmen der Anlagen im Rechenzentrum werden über einen Standardprozess gemäß dokumentierten Verfahren geplant.
Energie. Die Energiesysteme der Rechenzentren sind so entworfen, dass sie redundant sein sollen und gewartet werden können, ohne dass dies einen Einfluss auf den Dauerbetrieb (24 Stunden am Tag und 7 Tage die Woche) hat. In den meisten Fällen steht sowohl eine primäre als auch eine alternative Energiequelle, jeweils mit gleicher Kapazität, für kritische Infrastruktur-Komponenten in den Rechenzentren zur Verfügung. Reserveleistung wird durch verschiedene Mechanismen wie etwa unterbrechungsfreie Stromversorgungs-Batterien (USV), die beständig zuverlässigen Leistungsschutz bei Spannungsabfällen, Stromausfällen, Überspannung, Unterspannung und außerhalb der Toleranzwerte liegende Frequenzbedingungen durch den Energieversorger bieten. Falls die Stromversorgung des Energieversorgers unterbrochen wird, ist die Ersatzversorgung so entworfen, dass die Rechenzentren übergangsweise bei voller Last Energie für bis zu 10 Minuten erhalten sollen bis die Diesel-Generatoren die Versorgung übernehmen. Die Diesel-Generatoren sind darauf ausgelegt, automatisch innerhalb von Sekunden anzuspringen und genug Notstrom bereitzustellen, um das Rechenzentrum bei voller Leistung in der Regel für einen Zeitraum von mehreren Tagen zu betreiben.
Server-Betriebssysteme. Google-Server verwenden gehärtete Betriebssysteme, die für die spezifischen Anforderungen des Betriebs angepasst sind. Daten werden unter Verwendung von proprietären Algorithmen gespeichert, um die Datensicherheit und Redundanz zu steigern. Google setzt einen Code-Überprüfungsprozess ein, um die Sicherheit des Programmiercodes, der für die Bereitstellung der Auftragsverarbeiterdienste verwendet wird, zu erhöhen und die Sicherheits-Produkte in Produktionsumgebungen zu verbessern.
Aufrechterhaltung des Betriebs. Google repliziert Daten über mehrere Systeme, um dazu beizutragen, die Daten vor zufälliger Zerstörung oder Verlust zu schützen. Google hat Pläne, um den Betrieb aufrecht zu erhalten, und Notfallwiederherstellungsprogramme entworfen. Google entwickelt diese weiter und testet sie.
(b) Netzwerke und Übertragung.
Datenübertragung. Rechenzentren sind in der Regel über Hochgeschwindigkeitsdirektverbindungen (High-Speed-Private-Links) verbunden, um eine sichere und schnelle Datenübertragung zwischen den Rechenzentren bereit zu stellen. Darüber hinaus verschlüsselt Google die zwischen Rechenzentren übertragenen Daten. Dieses Verfahren ist so entwickelt worden, dass ein unberechtigtes Auslesen, Kopieren, Verändern oder Entfernen von Daten während des elektronischen Transports verhindert werden soll. Google überträgt Daten mittels Internet-Standard-Protokollen.
Externe Angriffsfläche. Google unterhält mehrere Schichten von Netzwerkgeräten und Einbruchserkennungssystemen, um die externe Angriffsfläche zu sichern. Google zieht potenzielle Angriffsvektoren in Betracht und integriert angemessene, speziell entwickelte Technologien in von außen erreichbare Systeme.
Einbruchserkennung. Die Maßnahmen zur Einbruchserkennung zielen darauf ab, Einblicke in laufende Angriffsaktivitäten zu ermöglichen und angemessene Informationen zu liefern, um auf Vorfälle zu reagieren. Googles Maßnahmen zur Erkennung von Einbrüchen beinhalten:
1. die strenge Überwachung der Größe und des Aufbaus von Googles Angriffsfläche durch vorbeugende Maßnahmen,
2. den Einsatz von intelligenten Entdeckungskontrollmaßnahmen an Datenerfassungspunkten und
3. den Einsatz von Technologien, die bestimmte gefährliche Situationen automatisch abstellen.
Reaktion auf Zwischenfälle. Google überwacht eine Vielzahl von Kommunikationskanälen auf Sicherheitsvorfälle. Googles Sicherheitspersonal wird umgehend auf bekannt gewordene Vorfälle reagieren.
Verschlüsselungstechnologien. Google stellt HTTPS-Verschlüsselung (auch TLS-Verbindung genannt) zur Verfügung. Google Server unterstützen einen auf Basis elliptischer Kurven stattfindenden Ephemeral Diffie-Hellman Austausch von RSA und ECDSA signierten Schlüsseln. Diese auf ‚perfekt vorwärts’ gerichtete Geheimhaltungsmethoden (perfect forward secrecy (PFS)) helfen, den Datenverkehr zu schützen und den Einfluss eines kompromittierten Schlüssels oder einer Durchbrechung der Verschlüsselung (cryptographic breakthrough) zu minimieren.
2. Zugangs- und Zutrittskontrollen
(a) Zutrittskontrolle.
Vor-Ort-Überwachung der Rechenzentren. Googles Rechenzentren verfügen über einen Vor-Ort-Sicherheitsdienst, der für sämtliche physischen Sicherheitsmaßnahmen des Rechenzentrums 24 Stunden am Tag, 7 Tage die Woche verantwortlich ist. Das Sicherheitspersonal vor Ort kontrolliert Überwachungskameras und sämtliche Alarmanlagen. Das Sicherheitspersonal unternimmt vor Ort regelmäßig Kontrollgänge innerhalb und außerhalb des Rechenzentrums.
Verfahren für den Zutritt zu Rechenzentren. Google unterhält Zutrittskontrollverfahren für den physischen Zugang zu Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, die für den Zugang elektronische Schlüsselkarten erfordern, wobei Alarmanlagen mit dem Sicherheitsdienst vor Ort verbunden sind. Jeder, der ein Rechenzentrum betreten möchte, muss sich ausweisen und einen Nachweis seiner Identität gegenüber dem Sicherheitspersonal vorlegen. Nur berechtigten Angestellten, Auftragnehmern und Besuchern wird Zugang zu den Rechenzentren gewährt. Nur berechtigten Mitarbeitern und Auftragnehmern ist es erlaubt, Zutrittsrechte per elektronischer Schlüsselkarte zu diesen Einrichtungen zu beantragen. Anträge für den Zugang zu Rechenzentren mit einer elektronischen Schlüsselkarte müssen im Voraus und schriftlich beantragt werden und erfordern die Zustimmung des autorisierten Rechenzentrumspersonals. Jeder andere, der vorübergehend Zugang zum Rechenzentrum benötigt, muss (i) im Voraus die Zustimmung des autorisierten Rechenzentrumspersonals, dessen Besuch beabsichtigt ist, einholen; (ii) sich beim Sicherheitspersonal vor Ort anmelden; und (iii) einen Nachweis einer Zutrittsgenehmigung vorlegen, der die Person als autorisiert identifiziert.
Vor-Ort Sicherheitseinrichtungen der Rechenzentren. Googles Rechenzentren verfügen über ein elektronisches Schlüsselkarten- und biometrisches Zutrittskontrollsystem, das mit einem Alarmsystem verbunden ist. Das Zutrittskontrollsystem überwacht und protokolliert den Einsatz der Schlüsselkarte jeder einzelnen Person und wann diese Außentüren, Versand- oder Wareneingangsbereiche sowie andere kritische Bereiche betritt. Unberechtigte Aktivitäten und fehlgeschlagene Zutrittsversuche werden vom Zutrittskontrollsystem protokolliert und, soweit angemessen, untersucht. Der berechtigte Zutritt während der Geschäftszeiten und innerhalb des gesamten Rechenzentrums ist auf bestimmte Zonen beschränkt, die von dem jeweiligen beruflichen Aufgabenbereich abhängen. Die Brandschutztüren sind alarmgesichert. Überwachungskameras sind sowohl innerhalb als auch außerhalb der Rechenzentren in Betrieb. Die Positionierung der Kameras wurde so geplant, dass sie strategische Bereiche, wie unter anderem den Außenbereich, Eingangstüren der Rechenzentrumsgebäude und Versand- und Wareneingangsbereiche, überwachen sollen. Das Sicherheitspersonal vor Ort kontrolliert die Bildschirme der Überwachungskameras sowie die Aufnahme- und Steuerungseinrichtungen. Gesicherte Leitungen verbinden die Überwachungskameratechnik im gesamten Rechenzentrum. Die Kameras zeichnen vor Ort 24 Stunden am Tag, 7 Tage die Woche auf. Die Aufnahmen werden mindestens für 7 Tage in Abhängigkeit von den jeweiligen Aktivitäten aufbewahrt.
(b) Zugriffskontrolle.
Sicherheitspersonal für die Infrastruktur. Google hat eine Sicherheitsrichtlinie für sein Personal erlassen und erhält diese aufrecht. Google verlangt von seinen Mitarbeitern die Teilnahme an einem Sicherheitstraining als Teil eines Schulungsprogramms. Googles Personal für die Sicherheit der Infrastruktur ist für die laufende Überwachung der Sicherheit von Googles Infrastruktur, die Überprüfung der Auftragsverarbeiterdienste und die Reaktion auf Sicherheitsvorfälle verantwortlich.
Zugriffskontrolle und Rechteverwaltung. Administratoren und Endnutzer müssen sich über ein zentrales Authentifizierungssystem oder über ein Single Sign-On-System authentifizieren, um die Auftragsverarbeiterdienste zu nutzen.
Interne Datenzugriffsprozesse und Richtlinien – Zugriffsrichtlinien. Googles interne Datenzugriffsprozesse und Richtlinien sind so gestaltet, dass Zugriffe auf Systeme, die genutzt werden, um personenbezogene Daten zu verarbeiten, durch unberechtigte Personen und/oder Systeme verhindert werden sollen. Google ist bestrebt, die Systeme so zu gestalten, dass: (i) nur berechtigten Personen Zugang zu den Daten gewährt wird, für die sie zugriffsberechtigt sind; und (ii) sichergestellt ist, dass personenbezogene Daten ohne entsprechende Berechtigung während ihrer Verarbeitung, Nutzung und nach ihrer Speicherung nicht gelesen, kopiert, verändert oder gelöscht werden können. Die Systeme sind darauf ausgelegt, dass sie möglichst jeden unberechtigten Zugriff erkennen sollen. Google setzt ein zentralisiertes Zugriffsverwaltungssystem zur Kontrolle von Mitarbeiterzugriffen auf Produktionsserver ein und gewährt nur einem beschränkten Kreis von berechtigten Mitarbeitern Zugriff. LDAP, Kerberos und ein proprietäres System, das digitale Zertifikate einsetzt, sind so angelegt, dass Google über sichere und flexible Zugriffsmechanismen verfügen soll. Diese Mechanismen sind so konzipiert, dass nur mit entsprechender Berechtigung Zugriffe auf Site-Hosts, Log-Dateien, Daten und Konfigurationsinformationen gewährt werden sollen. Google verlangt die Benutzung singulärer Nutzer-IDs und sicherer Passwörter; die Bestätigung in zwei Schritten (two factor authentication) und sorgfältig überwachte Zugriffslisten, um die Möglichkeiten einer unberechtigten Nutzung des Accounts zu minimieren. Die Gewährung oder die Änderung von Zugriffsrechten für berechtigtes Personal basiert auf folgenden Faktoren: dem beruflichen Aufgabenbereich der jeweiligen Person, den notwendigen Anforderungen der jeweiligen Stelle, um berechtigte Aufgaben auszuführen und einer Need-to-know-Basis. Die Gewährung oder Änderung von Zugriffsrechten muss außerdem auch in Übereinstimmung mit Googles internen Datenzugriffsrichtlinien und -schulungen stehen. Zugriffsberechtigungen werden über workflowbasierte Werkzeuge verwaltet, die Audit-Datensätze über alle Änderungen erstellen. Der Zugriff auf Systeme wird protokolliert, um einen Audittrail zur Rechenschaftspflicht zu erstellen. Wo Passwörter zur Authentifizierung eingesetzt werden (z. B. zum Login an Arbeitsplatzrechnern), sind Passwortrichtlinien eingerichtet worden, die mindestens dem Industriestandard entsprechen. Diese Vorgaben umfassen Einschränkungen zur Wiederverwendung von Passwörtern und eine hinreichende Passwortstärke.
3. Daten
(a) Datenspeicherung, Isolation und Authentifizierung.
Google speichert die Daten in einer mandantenfähigen Umgebung (Multi-Tenant Umgebung) auf Servern, die im Eigentum von Google stehen. Die Daten, die Datenbanken der Auftragsverarbeiterdienste und die Architektur des Dateiverwaltungssystems werden in mehreren geografisch verteilten Rechenzentren repliziert. Google isoliert die individuellen Daten jedes einzelnen Kunden logisch voneinander. Für alle Auftragsverarbeiterdienste wird übergreifend ein zentrales Authentifizierungssystem genutzt, um die allgemeine Datensicherheit zu erhöhen.
(b) Stilllegung und Richtlinien zur Zerstörung von Festplatten.
Falls bei bestimmten Festplatten, die Daten enthalten, eine verminderte Leistungsfähigkeit, Fehler oder Hardwareausfälle festgestellt werden, werden die betroffenen Festplatten stillgelegt („stillgelegte Festplatte“). Jede stillgelegte Festplatte durchläuft eine Serie von Zerstörungsprozessen („Richtlinien zur Zerstörung von Daten“) bevor sie Googles Betriebsgelände entweder zur Wiederverwendung oder zur Zerstörung verlässt. Stillgelegte Festplatten werden zunächst in einem mehrstufigen Prozess gelöscht. Die vollständige Löschung muss daraufhin von mindestens zwei unabhängigen Prüfern bestätigt werden. Die Löschergebnisse werden anhand der Seriennummer der stillgelegten Festplatte zur Nachverfolgung gespeichert. Abschließend wird die gelöschte stillgelegte Festplatte im Inventar zur Wiederverwendung freigegeben. Falls eine stillgelegte Festplatte aufgrund eines Hardwareversagens nicht gelöscht werden kann, wird sie sicher verwahrt, bis sie zerstört werden kann. Jede Einrichtung wird regelmäßig auditiert, um zu überwachen, dass die Richtlinien zur Zerstörung von Daten eingehalten werden.
4. Personalsicherheit.
Das Personal von Google ist verpflichtet, sich gemäß den Unternehmensrichtlinien über Vertraulichkeit, Unternehmensethik und sachgemäßen Gebrauch sowie gemäß beruflichen Standards zu verhalten. Google führt im angemessenen Umfang Hintergrundsüberprüfungen durch, soweit dies im Einklang mit geltendem Recht, insbesondere mit anwendbarem nationalen Arbeitsrecht und verpflichtend geltenden anderen Gesetzen steht.
Das Personal ist verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen und deren Erhalt und die Einhaltung von Googles Vertraulichkeits- und Datenschutzbestimmungen zu bestätigen. Das Personal erhält Sicherheitsschulungen. Das Personal, das Kundendaten handhabt, muss in Abhängigkeit vom jeweiligen Aufgabenbereich zusätzliche Voraussetzungen erfüllen. Googles Personal wird keine personenbezogenen Daten des Kunden verarbeiten, ohne dazu berechtigt zu sein.
5. Sicherheit bei Unterauftragsverarbeitern
Bevor Unterauftragsverarbeiter eingesetzt werden, führt Google zunächst eine Auditierung der Sicherheits- und Datenschutzpraxis des Unterauftragsverarbeiters durch, um sicherzustellen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen Verhältnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht. Sobald Google die vom Unterauftragsverarbeiter dargelegten Risiken einschätzen kann, ist der Unterauftragsverarbeiter vorbehaltlich der in Ziffer 11.3 (Anforderungen für die Beauftragung von Unterauftragsverarbeitern) festgelegten Anforderungen verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvereinbarungen abzuschließen.
Anhang 3: Zusatzbedingungen für Außereuropäische Datenschutzvorschriften
Die folgenden Zusatzbedingungen für außereuropäische Datenschutzvorschriften ergänzen diese Datenverarbeitungsbedingungen:
- CCPA Service Provider Addendum, abrufbar unter privacy.google.com/businesses/processorterms/ccpa (Stand 1. Januar 2020)
- Ergänzung für LGPD-Auftragsverarbeiter, abrufbar unter https://privacy.google.com/businesses/processorterms/lgpd/ (Stand 16. August 2020)
Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte (Google Ads Data Processing Terms), Version 2.1
Suche
nuts & golden Newsletter
Jetzt anmelden und 10% Newsletter RABATT aufs ganze Sortiment sichern! Wir versprechen: kein Spam, sondern alle Neuheiten, Coupons, Aktionen, Rabattcodes, Gewinnspiele, stark reduzierte Artikel und Infos von hinter den Kulissen...