Zum Hauptinhalt springen

DATENVERARBEITUNGSVEREINBARUNG

Diese Datenverarbeitungsvereinbarung (im Folgenden als die „Vereinbarung“ bezeichnet) gemäß Artikel 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachfolgend: „DSGVO“) stellt die Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar und wird geschlossen durch und zwischen:

Der für die personenbezogenen Daten Verantwortliche (im Folgenden als der „Verantwortliche“ oder „Auftraggeber“ bezeichnet) ist die Partei, die die Vereinbarung über die Bereitstellung des Vasco Audience-Dienstes und diese Vereinbarung abschließt, und die verarbeitende Stelle (im Folgenden als „Auftragsverarbeiter“ oder „verarbeitende Stelle“ bezeichnet) ist Vasco Electronics S.A. mit eingetragenem Sitz in Krakau, al. 29 Listopada 20, 31-401 Krakau, Polen.

Die Vereinbarung ist abgeschlossen, sobald sie vom Kunden elektronisch angenommen wurde. Die Person, die die Annahme durchführt und als Mitarbeiter, Bevollmächtigter, Berater oder sonstiger Beauftragter des Kunden handelt, sichert zu und gewährleistet, dass sie die volle und verbindliche Befugnis besitzt, im Namen des Kunden zu handeln und die Vereinbarung abzuschließen.

VORWORT

Die Vereinbarung wurde in Bezug auf die Bereitstellung des Vasco Audience-Dienstes durch die verarbeitende Stelle für den Verantwortlichen (nachfolgend: Rahmenvereinbarung) geschlossen.

In Bezug auf die Ausführung der Rahmenvereinbarung verarbeitet die verarbeitende Stelle personenbezogene Daten im Auftrag des Verantwortlichen, was gemäß Artikel 28 (3) DSGVO den Abschluss dieser Vereinbarung erfordert.

  1. DEFINITIONEN

    Sofern nicht ausdrücklich anders angegeben, gelten die folgenden Bedingungen in der Vereinbarung mit folgenden Bedeutungen:

    1. Datenschutzrechtliche Bestimmungen – alle bindenden Vorschriften des Gesetzes und der Vorschriften zum Datenschutz und zur Datensicherheit, einschließlich insbesondere der DSGVO und aller nationalen Vorschriften des Datenschutzrechts.
    2. Verantwortlicher, Auftragsverarbeiter, verarbeitende Stelle, personenbezogene Daten, Verarbeitung, Verletzung personenbezogener Daten, besondere Kategorien personenbezogener Daten haben die Bedeutung, die ihnen in der DSGVO zugewiesen wurde.
    3. Benutzer – Kunden und deren Vertreter und Endbenutzer des Verantwortlichen, deren Daten der verarbeitenden Stelle im Rahmen der Bereitstellung des Vasco Audience-Dienstes anvertraut werden.
    4. DSGVO – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
  2. UMFANG DER VEREINBARUNG UND ANWEISUNGEN FÜR DIE VERARBEITUNG
    1. Das verarbeitende Unternehmen verarbeitet die ihm gemäß der Vereinbarung anvertrauten personenbezogenen Daten im Einklang mit dem Verarbeitungsumfang gemäß Anhang 1 der Vereinbarung.
    2. Die vom Datenverantwortlichen anvertrauten personenbezogenen Daten werden von der verarbeitenden Stelle ausschließlich zum Zweck der Umsetzung der Rahmenvereinbarung verarbeitet.
  3. VERPFLICHTUNGEN DER VERARBEITENDEN STELLE
    1. Die verarbeitende Stelle verpflichtet sich, die personenbezogenen Daten des Benutzers ausschließlich zum Zweck der ordnungsgemäßen Bereitstellung des Vasco Audience-Dienstes gemäß dem Umfang und den dokumentierten Anweisungen des Verantwortlichen sowie der detaillierten Beschreibung im Anhang 1 zur Vereinbarung zu verarbeiten.
    2. Die verarbeitende Stelle verpflichtet sich, bei der Verarbeitung der anvertrauten personenbezogenen Daten die gebotene Sorgfalt walten zu lassen.
    3. Die verarbeitende Stelle verpflichtet sich, die verarbeiteten personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen zu sichern, die die Konformität mit der DSGVO sicherstellen, insbesondere ein angemessenes Sicherheitsniveau, das dem Risiko der Verletzung von Rechten der betroffenen Personen gerecht wird. Die Liste der technischen und organisatorischen Maßnahmen, die von der verarbeitenden Stelle angewendet werden, ist in Anhang 3 der Vereinbarung aufgeführt.
    4. Die verarbeitende Stelle verpflichtet sich, allen Personen, die an der Verarbeitung der anvertrauten personenbezogenen Daten beteiligt sind, die Erlaubnis zur Verarbeitung personenbezogener Daten zu erteilen. Gleichzeitig sichert die verarbeitende Stelle zu, dass nur die Personen an der Verarbeitung der Daten beteiligt sind, die für die Erbringung der in der Rahmenvereinbarung genannten Dienstleistungen erforderlich sind und über eine angemessene Schulung im Bereich des Schutzes personenbezogener Daten verfügen.
    5. Die verarbeitende Stelle sichert zu, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen (Artikel 28 (3) b) DSGVO), und zwar sowohl während der Dauer ihrer Beschäftigung bei der verarbeitenden Stelle als auch nach ihrer Beendigung. Die verarbeitende Stelle stellt ferner sicher, dass die in diesem Abschnitt genannten Personen personenbezogene Daten gemäß dem Grundsatz der Notwendigkeit zur Kenntnisnahme verarbeiten.
    6. Nach Abschluss der mit der Verarbeitung verbundenen Dienstleistungen muss die verarbeitende Stelle unverzüglich alle personenbezogenen Daten löschen oder an den Verantwortlichen zurückgeben und alle vorhandenen Kopien der Daten löschen, es sei denn, die EU-Gesetzgebung oder die Gesetzgebung eines Mitgliedslandes verlangt die Aufbewahrung personenbezogener Daten.
    7. Die verarbeitende Stelle ist verpflichtet, den Verantwortlichen in dokumentierter Form über Zweifel an der Rechtmäßigkeit erteilter Aufträge oder Anweisungen zu informieren, andernfalls verliert sie die Möglichkeit, Ansprüche gegenüber dem Verantwortlichen geltend zu machen.
    8. Soweit möglich unterstützt die verarbeitende Stelle den Verantwortlichen bei der Erfüllung der Verpflichtung, auf die Anfragen der betroffenen Person zu reagieren und die in Artikel 32–36 DSGVO festgelegten Verpflichtungen zu erfüllen. Wenn die verarbeitende Stelle einen Antrag auf Ausübung der Rechte von betroffenen Personen erhält, informiert sie den Verantwortlichen unverzüglich über diesen Antrag. Bei der Bereitstellung der Informationen stellt die verarbeitende Stelle dem Verantwortlichen die Absenderdaten und den Inhalt der Anfrage zur Verfügung und bestimmt, in welchem Umfang sie zur Erfüllung der Anfrage beitragen kann.
    9. Wird eine Verletzung des Schutzes personenbezogener Daten festgestellt, muss die verarbeitende Stelle den Verantwortlichen unverzüglich, jedoch nicht später als 48 Stunden nach Feststellung der Verletzung, über diese Tatsache informieren. Die Verletzung muss dem Verantwortlichen per E-Mail an die folgende Adresse gemeldet werden: gdpr@vasco-electronics.com.
  4. VERPFLICHTUNGEN DES VERANTWORTLICHEN
    1. Zur rechtmäßigen Nutzung des Dienstes, einschließlich der Einhaltung der Bestimmungen der DSGVO und anderer anwendbarer Vorschriften zum Schutz von Privatsphäre und personenbezogenen Daten.
    2. Der Verantwortliche ist verpflichtet zu überprüfen, ob die Art des Vasco Audience-Dienstes, seine Funktionalität und Verpflichtungen der verarbeitenden Stelle, die sich aus der Vereinbarung ergeben, seinen Anforderungen entspricht, insbesondere im Rahmen der Notwendigkeit, zusätzliche Sicherheitsmaßnahmen anzuwenden, um das Sicherheitsniveau zu gewährleisten, das dem Risiko in Bezug auf die verarbeiteten personenbezogenen Daten entspricht.
    3. Unbeschadet der Verpflichtungen der verarbeitenden Stelle gemäß Abschnitt III ist der Verantwortliche allein verantwortlich für:
      1. Sicherung aller Kontozugangsdaten, Passwörter, Zugangsschlüssel und anderer Autorisierungsmechanismen, die für den Zugriff auf den Vasco Audience-Dienst verwendet werden;
      2. Sicherung von Systemen, Endgeräten und Netzwerken, die vom Verantwortlichen und seinen Benutzern für den Zugriff auf den Vasco Audience-Dienst verwendet werden;
      3. Erstellen und Pflegen von Sicherungskopien der Daten des Kunden, sofern dies aufgrund der spezifischen Art der geschäftlichen oder internen Richtlinien des Kunden erforderlich ist, unabhängig vom Vasco Audience-Dienst.
  5. WEITERE ÜBERTRAGUNG VON DATEN
    1. Die verarbeitende Stelle darf die in der Vereinbarung enthaltenen personenbezogenen Daten nur nach vorheriger Zustimmung des Verantwortlichen an ihre Subunternehmer übertragen. Anhang 2 enthält eine Liste der weiteren verarbeitenden Stellen, die von der verarbeitenden Stelle eingereicht und vom Verantwortlichen akzeptiert wurden.
    2. Die Übertragung der Verarbeitung personenbezogener Daten an weitere verarbeitende Stellen, die in Anhang 2 der Vereinbarung nicht genannt sind, erfordert eine vorherige Benachrichtigung des Verantwortlichen, damit dieser wirksam Widerspruch einlegen kann. Wenn der Verantwortliche diesem widerspricht, hat die verarbeitende Stelle kein Recht, die Verarbeitung der Daten an eine andere verarbeitende Stelle zu übertragen.
    3. Die verarbeitende Stelle informiert den Verantwortlichen mit einer Frist von mindestens 14 Tagen über seine Absicht, einen neuen Unterauftragnehmer zu beauftragen oder den bestehenden zu ersetzen. Der Verantwortliche kann dieser Änderung innerhalb von 14 Tagen nach Erhalt der Mitteilung widersprechen, wobei der Widerspruch ordnungsgemäß begründet sein muss und auf sachlichen Gründen im Zusammenhang mit der Gefährdung des Schutzes der verarbeiteten personenbezogenen Daten, der mangelnden Konformität mit der DSGVO oder dem Fehlen angemessener Garantien seitens der vorgeschlagenen weiteren verarbeitenden Stelle beruhen muss. Wenn die Begründung für den Widerspruch nicht ausreichend ist, hat die verarbeitende Stelle das Recht, vom Verantwortlichen eine Ergänzung des Widerspruchs zu verlangen. Nachdem die verarbeitende Stelle die Einwände akzeptiert hat, hat jede der Parteien das Recht, die Vereinbarung mit sofortiger Wirkung zu kündigen.
    4. Die Übertragung der anvertrauten Daten in ein Drittland ist nur zulässig, wenn der Verantwortliche eine dokumentierte Anordnung erteilt hat, es sei denn, die verarbeitende Stelle ist aufgrund des EU-Rechts oder des Rechts eines Mitgliedslands, dem sie unterliegt, dazu verpflichtet. In einem solchen Fall muss, bevor die Verarbeitung beginnt, die verarbeitende Stelle den Verantwortlichen über diese gesetzliche Verpflichtung informieren, sofern das Gesetz die Offenlegung solcher Informationen nicht aus Gründen des öffentlichen Interesses verbietet.
    5. Die verarbeitende Stelle verpflichtet sich, dass die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) nur dann erfolgt, wenn die Stelle, die die Daten erhält, ein angemessenes Schutzniveau gemäß der DSGVO gewährleistet und die Übertragung auf einem der in Kapitel V DSGVO genannten Sicherheitsmechanismen basiert, insbesondere auf der Entscheidung der Europäischen Kommission zur Feststellung eines angemessenen Schutzniveaus (Artikel 45 DSGVO), auf Standardvertragsklauseln (SCC) oder auf anderen geeigneten Garantien.
    6. Weitere Unterauftragnehmer gemäß Abs. 1 müssen dieselben Garantien und Verpflichtungen erfüllen, die der verarbeitenden Stelle in der Vereinbarung auferlegt wurden.
    7. Die verarbeitende Stelle haftet gegenüber dem Verantwortlichen für mangelnde Erfüllung der aus der Vereinbarung resultierenden Verpflichtungen durch den Unterauftragnehmer.
  6. RECHT AUF PRÜFUNG UND RÜCKGABE VON DATEN
    1. Der Verantwortliche hat das Recht, Prüfungen und Inspektionen durchzuführen, um die Einhaltung der Anforderungen dieser Vereinbarung bei der Verarbeitung der Daten durch die verarbeitende Stelle zu überprüfen.
    2. Die in Abs. 1 genannte Prüfung darf erst durchgeführt werden, nachdem die verarbeitende Stelle über die Absicht, sie durchzuführen, mindestens 14 Tage im Voraus benachrichtigt wurde.
    3. Nach Eingang der Prüfungsanfrage vereinbaren die Parteien das Datum des Beginns der Prüfung, deren Dauer, Umfang sowie die während der Prüfung angewandten Sicherheits- und Vertraulichkeitskontrollmaßnahmen. Die verarbeitende Stelle hat das Recht vorzuschlagen, dass die Prüfung schriftlich statt in den Geschäftsräumen durchgeführt wird, sofern die eingereichten Materialien ausreichen, um die Einhaltung der Anforderungen zu überprüfen.
    4. Der Verantwortliche verpflichtet sich, die Prüfung in den Räumlichkeiten der verarbeitenden Stelle nur innerhalb der üblichen Arbeitszeiten und auf eine Weise durchzuführen, die die Beeinträchtigung der laufenden täglichen Aktivitäten auf ein Minimum beschränkt.
    5. Vor Beginn der Prüfung muss der Verantwortliche sicherstellen, dass die zur Durchführung der Prüfung berechtigten Personen eine Vertraulichkeitsvereinbarung unterzeichnen und der verarbeitenden Stelle Dokumente vorlegen, die ihre Befugnis bestätigen. Die verarbeitende Stelle hat das Recht, Personen, die diese Anforderungen nicht erfüllen oder gegen interne Sicherheitsregeln verstoßen, den Zugriff auf ihre Systeme zu verweigern.
    6. Der Verantwortliche verpflichtet sich, sein Recht auf Prüfung nicht öfter als einmal innerhalb eines Zeitraums von zwölf (12) Kalendermonaten auszuüben, es sei denn, die Prüfung wird von einer zuständigen Datenschutzbehörde verlangt oder ist aufgrund einer nachgewiesenen Verletzung des Schutzes personenbezogener Daten erforderlich.
    7. Die verarbeitende Stelle kann vorschlagen, dass der Bericht aus einem externen Audit anstelle einer physischen Inspektion akzeptiert wird, sofern die Berichte Systeme betreffen, die für den Vasco Audience-Dienst verwendet werden.
  7. RECHT AUF KONTROLLE
    1. Auf Verlangen des Verantwortlichen muss die verarbeitende Stelle alle Informationen weitergeben, die erforderlich sind, um die Erfüllung der Verpflichtungen aus der DSGVO zu erfüllen oder nachzuweisen.
    2. Die in Abs. 1 genannten Informationen werden innerhalb von 30 Arbeitstagen zur Verfügung gestellt, vorbehaltlich der rechtzeitigen Erfüllung der sich aus der DSGVO ergebenden Aufgaben ab dem Tag der Zustellung des Antrags, vorbehaltlich Abs. 3.
    3. Wenn sich die in Abs. 1 genannte Anfrage auf die Meldung einer Verletzung des Schutzes personenbezogener Daten oder die Beseitigung ihrer Auswirkungen bezieht, stellt die verarbeitende Stelle die Informationen so früh wie möglich zur Verfügung, spätestens jedoch innerhalb von 48 Stunden nach Zustellung der Anfrage.
  8. VERANTWORTUNG DER VERARBEITENDEN STELLE
    1. Die verarbeitende Stelle ist nur für den Schaden verantwortlich, der durch die Verarbeitung verursacht wurde, wenn sie ihre Verpflichtungen, die die DSGVO oder die Vereinbarung direkt der verarbeitenden Stelle auferlegt, nicht erfüllt hat oder wenn sie außerhalb der rechtmäßigen Anweisungen des Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
    2. Die verarbeitende Stelle ist insbesondere für Folgendes nicht verantwortlich:
      1. Unregelmäßigkeiten, die sich aus den Anweisungen des Verantwortlichen ergeben;
      2. Fehler bei der Konfiguration des Vasco Audience-Dienstes durch den Verantwortlichen;
      3. Verstöße, die durch Dritte verursacht wurden, wenn die verarbeitende Stelle die gebotene Sorgfalt im in der Vereinbarung festgelegten Umfang ausgeübt hat.
    3. Die verarbeitende Stelle verpflichtet sich, den Verantwortlichen unverzüglich über ein Verfahren, eine Verwaltungsentscheidung, eine Gerichtsentscheidung, eine Kontrolle oder Inspektion zu informieren, vorausgesetzt, dass dies rechtlich zulässig ist und dass es direkte und erhebliche Auswirkungen auf die Verarbeitung der gemäß dieser Vereinbarung anvertrauten personenbezogenen Daten oder auf die Maßnahmen zum Schutz dieser Daten in den Systemen der verarbeitenden Stelle hat.
    4. Die Offenlegungspflicht gemäß Abs. 3 gilt nicht für Verfahren und Inspektionen, die ausschließlich interne Prozesse der verarbeitenden Stelle, ihrer Mitarbeiter oder anderer Kunden betreffen, wenn sie nicht zu einem direkten Risiko eines Verstoßes gegen die Sicherheit oder Vertraulichkeit der im Auftrag des Kunden verarbeiteten personenbezogenen Daten führen.
  9. LAUFZEIT DER VEREINBARUNG

    Die Vereinbarung gilt ab dem Datum ihres Abschlusses für die Dauer der Rahmenvereinbarung sowie für den Zeitraum, der erforderlich ist, um die Verarbeitung der personenbezogenen Daten, die der verarbeitenden Stelle gemäß der Vereinbarung anvertraut wurden, zu beenden, einschließlich ihrer Löschung oder Rückgabe an den Verantwortlichen.

  10. SCHLUSSBESTIMMUNGEN
    1. Die Parteien bestätigen, dass die Vereinbarung einen integralen Bestandteil der Rahmenvereinbarung und der Allgemeinen Geschäftsbedingungen für die Bereitstellung des Vasco Audience-Dienstes darstellt. Im Falle eines Konflikts zwischen den Bestimmungen der Vereinbarung und der Rahmenvereinbarung oder den Allgemeinen Geschäftsbedingungen im Bereich der Rechte und Pflichten in Bezug auf den Schutz personenbezogener Daten haben die Bestimmungen der Vereinbarung Vorrang.
    2. Alle Angelegenheiten in Bezug auf die Gültigkeit, Auslegung und Erfüllung der Vereinbarung, einschließlich der daraus resultierenden Streitigkeiten, unterliegen dem polnischen Recht.
    3. Die Parteien werden zunächst versuchen, alle Streitigkeiten, Kontroversen oder Ansprüche, die sich aus der Vereinbarung oder in Bezug auf sie ergeben, einschließlich Streitigkeiten über ihre Gültigkeit, Verletzung, Beendigung oder Ungültigkeit, in einer friedlichen und gütlichen Weise zu lösen.
    4. Gerichtsstand für die aus der Vereinbarung resultierenden Streitigkeiten ist das Gericht, das für die verarbeitende Stelle zuständig ist.
    5. Die verarbeitende Stelle behält sich das Recht vor, die Vereinbarung in Übereinstimmung mit dem für Änderungen der Rahmenvereinbarung vorgesehenen Verfahren zu ändern. Die verarbeitende Stelle verpflichtet sich, den Verantwortlichen mit einer Frist von mindestens 14 Tagen vor Inkrafttreten über alle wesentlichen Änderungen der Vereinbarung zu informieren.
    6. Bei Nichtannahme der neuen Vertragsbedingungen ist der Kunde berechtigt, die Vereinbarung mit sofortiger Wirkung zu kündigen. Zu diesem Zweck ist der Kunde spätestens innerhalb von 14 Tagen ab dem Datum des Inkrafttretens der Vereinbarungsänderungen zu Folgendem verpflichtet:
      1. sein Konto zu löschen;
      2. Vasco per E-Mail an die folgende Adresse über die Kündigung der Vereinbarung aufgrund der Nichtannahme der Änderungen zu informieren: support@vasco-electronics.com.
    7. Die Nichtkündigung innerhalb der vorstehend in Abs. 6 genannten Frist bedeutet die Annahme der neuen Bestimmungen der Vereinbarung.
    8. Wenn ein zuständiges Gericht eine Bestimmung der Vereinbarung als ungültig, rechtswidrig oder nicht durchsetzbar erachtet, hat dies keine Auswirkungen auf die Gültigkeit, Rechtmäßigkeit oder Durchsetzbarkeit der übrigen Bestimmungen der Vereinbarung. In einem solchen Fall verpflichten sich die Parteien, eine ungültige, rechtswidrig oder nicht durchsetzbare Bestimmung umgehend durch eine neue Bestimmung zu ersetzen, deren Inhalt und Zweck so nah wie möglich an der ursprünglichen wirtschaftlichen Absicht der Parteien liegen.

ANHANG 1

BESCHREIBUNG DER METHODE ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

Gegenstand und Art der Verarbeitung

Gegenstand der Verarbeitung sind die Inhalte von Aussagen und deren Übersetzungen, Sprach- und Identifikationsdaten von Benutzern bei Veranstaltungen, die vom Kunden organisiert werden. Die Verarbeitung erfolgt automatisiert und besteht aus der Verwaltung des maschinellen Übersetzungsprozesses in nahezu Echtzeit.

Die Verarbeitung umfasst Folgendes: Erheben, Erfassen, Organisieren, Speichern, Überprüfen, Übermitteln und Löschen der Daten auf Anfrage des Verantwortlichen.

Zweck der Verarbeitung

Erfüllung der Rahmenvereinbarung, d. h. Bereitstellung des Dienstes automatisierter Übersetzung von Sprache im Format 1:n oder m:n über die Vasco Audience App. Bereitstellung der Möglichkeit für den Verantwortlichen, den Zugriff sowie die Liste der Veranstaltungsteilnehmer zu verwalten, und der Möglichkeit für die Teilnehmer, Fragen in Textform zu stellen und eine Übersetzung zu erhalten.

Dauer der Verarbeitung

Die Verarbeitung wird für die Dauer der Rahmenvereinbarung fortgesetzt. Die Daten der vom Benutzer veröffentlichten Inhalte werden gespeichert, bis die Veranstaltung beendet ist, der Verlauf gelöscht oder das Konto vom Kunden gelöscht wird.

Art (Kategorien) der personenbezogenen Daten

Daten im Zusammenhang mit Aussagen:

  1. Stimme des Sprechers;
  2. Vom Vortragenden veröffentlichte Inhalte, einschließlich der Transkripte und deren Übersetzungen;
  3. Inhalt von Fragen, die von Benutzern in Textform gestellt werden, zusammen mit ihren Übersetzungen.

Daten zur Benutzeridentifizierung, z. B. Benutzername, die sich auf ein bestimmtes, vom Verantwortlichen organisiertes Ereignis beziehen.

Kategorien der betroffenen Personen

Benutzer, die an einer bestimmten vom Verantwortlichen organisierten Veranstaltung teilnehmen und den Vasco Audience-Dienst als Referenten und Teilnehmer verwenden.


ANHANG 2

WEITERE ÜBERTRAGUNG VON DATEN

Nachstehend finden Sie eine Liste der Unterauftragnehmer, die die verarbeitende Stelle mit der Erbringung von Dienstleistungen für den Verantwortlichen beauftragen kann.

BETROFFENE DATEN LOKALISIERUNG ZWECK DER VERARBEITUNG
Google LLC Europäische Union Anbieter der Plattform für die Bereitstellung und Verwaltung von Mobil- und Web-Apps
Google LLC Globale Endpunkte Übersetzungsdienstanbieter
Microsoft Azure Globale Endpunkte Übersetzungsdienstanbieter
Amazon Web Services (AWS) Globale Endpunkte Übersetzungsdienstanbieter
DeepL Europäische Union Übersetzungsdienstanbieter
Translate.com Europäische Union Übersetzungsdienstanbieter
DigitalOcean Europäische Union Anbieter von Proxyservern
Amazon Web Services (AWS) Japan/USA Anbieter von Proxyservern
Cloudflare, Inc. USA Balancer-Provider


ANHANG 3

LISTE DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten.

Alle Daten, die an oder von Vasco gesendet werden, werden bei der Übertragung mit TLS 1.2+ verschlüsselt.

Vasco kann das Gerät nicht einem bestimmten Benutzer zuordnen. Das Gerät ist dem Benutzer in keiner Phase des Verkaufs- und Servicebereitstellungsprozesses zugewiesen.

Alle Anwendungsendpunkte werden nur mit TLS/SSL verschlüsselt.

Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und Diensten.

Vasco überprüft seine Fähigkeiten bezüglich der Geschäftskontinuität und legt die Ziele auf Basis einer gründlichen Bewertung der Geschäftsauswirkungen fest.

Daten werden in Übereinstimmung mit den Zielen der Geschäftskontinuität und -wiederherstellung gesichert und getestet.

Die Infrastruktur von Vasco wird ausschließlich von den Mitarbeitern von Vasco verwaltet und entwickelt. Die Infrastruktur von Vasco wird von den Ingenieurteams in Europa verwaltet und basiert auf einem Zero-Trust-Modell, bei dem keine direkte Abhängigkeit von bestimmten Bürostandorten besteht, um den Betrieb aufrechtzuerhalten. Vasco nutzt eine Reihe von erstklassigen Technologien und weiteren wichtigen Tools, um allen Mitarbeitern eine ununterbrochene Remote-Arbeit zu ermöglichen.

Prozesse zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.

Die Vasco-Infrastruktur überwacht kontinuierlich die Einhaltung von Branchenstandards und Best Practices.

Vasco führt eine regelmäßige Überprüfung der Sicherheitssysteme und -prozesse durch, um sicherzustellen, dass sie die Anforderungen der Informationssicherheitsrichtlinie erfüllen.

Vasco setzt einen unabhängigen Drittanbieter ein, um jährliche Penetrationstests für die Anwendungen und Websysteme durchzuführen.

Maßnahmen zur Identifizierung und Autorisierung von Benutzern.

Vasco setzt geeignete Mechanismen für den Datenzugriff ein. Vasco begrenzt die Anzahl der berechtigten Mitarbeiter und setzt eine hierarchische Rechteverwaltung ein, die den Anforderungen der jeweiligen Position und der Mitarbeiterebene entspricht.

Vasco gewährt den Zugang zu den Daten auf der Grundlage des Wissensbedarfs, für einen zulässigen Zweck und nach dem Prinzip der geringsten Rechte.

Vasco führt regelmäßige Überprüfungen des Benutzerzugriffs durch. Bei Beendigung des Arbeitsverhältnisses oder bei einer Änderung der Funktion, die dazu führt, dass die Beschäftigten keinen Zugang mehr zu den Daten benötigen, werden die Konten gesperrt und der Zugang entzogen.

Vasco überwacht und alarmiert das interne IT-Team bei verdächtigen Benutzeraktivitäten, die auf der Plattform erkannt werden, indem Tools zur Analyse des Benutzerverhaltens eingesetzt werden.

Vasco überwacht die Produktionssysteme und implementiert Sicherheitskontrollen und -verfahren, die darauf ausgelegt sind, Bedrohungen und Risiken im Zusammenhang mit Identifizierung und Autorisierung zu verhindern, zu erkennen und darauf zu reagieren.

Bevor Mitarbeiter die Erlaubnis zur Verarbeitung von Daten erhalten, werden sie mit den Datenverarbeitungsrichtlinien von Vasco vertraut gemacht und müssen alle Informationen vertraulich behandeln.

Vasco führt regelmäßig Schulungen für Mitarbeiter durch, um das Bewusstsein und die Kenntnisse über die Verarbeitung personenbezogener Daten kontinuierlich zu erhöhen.

Maßnahmen zum Schutz von Daten während der Speicherung

Datenspeicherendpunkte sind nicht mit dem Internet verbunden und werden überwacht, um einen solchen Zugriff zu verhindern.

Vasco hält seine Systeme und Software mit den neuesten Upgrades, Aktualisierungen, Fehlerbehebungen, neuen Versionen und anderen Änderungen, die zur Gewährleistung der Datensicherheit erforderlich sind, auf dem neuesten Stand.

Vasco bietet Sicherheits- und Datenschutzschulungen für alle Mitarbeiter mit Zugriff auf Daten an.

Verträge mit Mitarbeitern enthalten die Verpflichtung zur Wahrung der Vertraulichkeit hinsichtlich Informationen und Daten, die den Mitarbeitern im Rahmen der Ausübung ihrer Tätigkeit anvertraut werden.

Kundeninstanzen werden logisch getrennt, und Versuche, auf Daten außerhalb der zulässigen Domaingrenzen zuzugreifen, werden verhindert und protokolliert. Die logische Isolierung von Daten wird auch regelmäßig durch Penetrationstests der internen Sicherheitsteams und jährlich durch eine unabhängige Drittpartei geprüft.

Vasco verwendet Anti-Malware-Software und hält die Anti-Malware-Software auf dem neuesten Stand.

Access Control Lists (ACL) werden gepflegt und regelmäßig aktualisiert.

Maßnahmen zur Gewährleistung der physischen Sicherheit an Orten, an denen personenbezogene Daten verarbeitet werden.

Die Server von Vasco werden bei AWS & Digital Ocean gehostet, die angemessene Garantien zur Gewährleistung der physischen Sicherheit der Standorte bieten, an denen personenbezogene Daten verarbeitet werden.

AWS & Digital Ocean SOC2-Zertifizierungen werden von Vasco im Rahmen der Zertifizierungserneuerung überprüft.

Maßnahmen zur Sicherstellung der Ereignisprotokollierung.

Zugriffs-, Sicherheits- und Anwendungsprotokolle werden aufgezeichnet und sicher in einem verschlüsselten Format maximal 1 Jahr lang gespeichert.

Die Aufbewahrungsdauer der Protokolle hängt von ihrer Art, ihrer Bedeutung im Zusammenhang mit der Sicherheit und der Gewährleistung der Qualität und Unterstützung der Dienste ab.

Maßnahmen zur Sicherstellung der Datenminimierung.

Die Datenerfassung ist auf die Zwecke der Verarbeitung beschränkt.

Es bestehen Sicherheitsmaßnahmen, um nur das mindeste, für die Ausführung der erforderlichen Funktionen und Services erforderliche Volumen an Zugriffen zu gewährleisten.

Vasco befolgt das Recht der betroffenen Person auf Berichtigung und berücksichtigt sorgfältig alle Beanstandungen hinsichtlich der Richtigkeit der personenbezogenen Daten, wie in der Datenschutzerklärung von Vasco dokumentiert.

Maßnahmen zur Gewährleistung einer begrenzten Datenaufbewahrung.

Die Datenspeicherung ist auf die Zwecke der Verarbeitung beschränkt.

Vasco verfügt über geeignete Prozesse, um den Anfragen von betroffenen Personen nach Löschung im Rahmen des „Rechts auf Vergessenwerden“ nachzukommen.

Maßnahmen zur Sicherstellung der Verantwortlichkeit.

Vasco setzt erforderliche Maßnahmen ein, um die Datenschutzvorschriften in den Regionen, in denen es tätig ist, auf der höchsten Managementebene und im gesamten Unternehmen einzuhalten.

Vasco hat Datenschutzrichtlinien eingeführt.

Vasco verfolgt einen Datenschutzansatz, der auf dem Prinzip „by design“ und „by default“ basiert.

Vasco unterhält schriftliche Verträge mit Organisationen, die personenbezogene Daten in seinem Namen verarbeiten.

Vasco dokumentiert die Verarbeitungsaktivitäten.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter
Auch die spezifischen technischen und organisatorischen Maßnahmen des (Unter-)Auftragsverarbeiters zur Unterstützung des Verantwortlichen.

Vasco führt vor Aufnahme geschäftlicher Aktivitäten eine Bewertung der Datensicherheitskontrollen von Dritten durch.

Vasco beschränkt den Zugriff des Unterauftragsverarbeiters auf Daten auf das unbedingt erforderliche Maß, um die Dienste zu erbringen.

Vasco verpflichtet alle von ihm beauftragten Unterauftragsverarbeiter vertraglich zum Datenschutz und verlangt von diesen die Einhaltung der in den gegebenenfalls geltenden Datenschutzbestimmungen vorgeschriebenen Standards. Dazu gehören geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.

Vereinbaren Sie einen Rückruf

Rückruf vereinbaren

Bitte hinterlassen Sie Ihre Telefonnummer; wir werden Sie zur gewünschten Zeit anrufen.

Ihre Telefonnummer:*

Wählen Sie ein Thema:*

Gewünschte Rückrufzeit:

Ich willige in die Verarbeitung meiner personenbezogenen Daten ein zum Zweck der Durchführung eines Gesprächs gemäß der Datenschutzerklärung. Die Angabe der Daten ist freiwillig, aber für die Bearbeitung der Anfrage notwendig.