Übersetzte Versionen der Verträge und Richtlinien werden nur bereitgestellt, um das Verständnis der englischen Version zu erleichtern. Mit der Bereitstellung von Übersetzungen der Verträge und Richtlinien wird nicht das Ziel verfolgt, eine rechtsverbindliche Vereinbarung zu schaffen, und die Übersetzungen sind kein Ersatz für die Rechtsgültigkeit der englischen Versionen. Im Fall von Widersprüchen oder Konflikten ist immer die englische Version maßgebend für unsere Beziehung und hat Vorrang vor den Bestimmungen in anderen Sprachen.
GoDaddy ZUSATZ – DATENVERARBEITUNG
Dieser Zusatz über die Datenverarbeitung („Zusatz“) gilt zwischen GoDaddy.com, LLC, a Delaware limited liability company und seinen verbundenen Unternehmen („GoDaddy“) und Ihnen („Kunde“) und ergänzt unsere Universellen Nutzungsbedingungen, Datenschutzbestimmungen und sämtliche Verträge der einschlägigen Dienste (“Nutzungsbedingungen“).
1. Definitionen1.1 Sofern nicht anderweitig in diesem Zusatz definiert, haben alle nicht in diesem Zusatz definierten großgeschriebenen Begriffe die Bedeutung, die in den Nutzungsbedingungen definiert ist.
„Verbundenes Unternehmen“ bezeichnet Unternehmen, die von GoDaddy kontrolliert werden, es kontrollieren oder mit ihm gemeinsam unter Kontrolle stehen.
„Einschlägige Dienste“bezeichnet gehostete Dienste, die unsere Verarbeitung personenbezogener Daten beinhalten könnten und für die die AGB der folgenden Verträge gelten: (1) E-Mail-Marketing-Services, (2) Hosting, (3) Online-Shop/Express-Warenkorb, (4) Website-Services, (5) Workspace-Service.
„Kundendaten“ bezeichnet personenbezogene Daten Betroffener, die GoDaddy im GoDaddy-Netzwerk im Auftrag des Kunden gemäß oder in Verbindung mit den Nutzungsbedingungen verarbeitet werden.
„Datenschutzgesetze“ bezeichnet alle Datenschutzgesetze und -vorschriften bezüglich der Verarbeitung personenbezogener Daten gemäß des Vertrags, einschließlich (i) der Australian Privacy Principles und des Australian Privacy Act (1988), (ii) des brasilianischen Lei Geral de Proteção de Dados (LGPD), (iii) des California Consumer Privacy Act (CCPA), (iv) des kanadischen Federal Personal Information Protection and Electronic Documents Act (PIPEDA), (v) der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, (vi) jeglicher nationaler Datenschutzgesetze gemäß der DSGVO, (vii) der EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), (viii) des Personal Data Protection Act 2012 (PDPA) aus Singapur, (ix) des Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und seine Verordnungen, (x) des GDPR oder Data Protection Act 2018 des Vereinigten Königreichs; jeweils in der geänderten, ergänzten oder ersetzten Fassung.
„EWR“ bezeichnet den Europäischen Wirtschaftsraum.
„EU DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
„EU-Standardvertragsklauseln“ bezeichnet die durch den Beschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 genehmigten Standard-Datenschutzklauseln, die hier durch Verweis aufgenommen werden. Modul zwei (Verantwortlicher an Auftragsverarbeiter) und Modul drei (Auftragsverarbeiter an Auftragsverarbeiter) der EU-Standardvertragsklauseln stehen auf der EUR-Lex-Website zum Download bereit.
„GoDaddy-Netzwerk“ bezeichnet Rechenzentren, Server, Netzwerkausrüstungen und Host-Softwaresysteme (beispielsweise virtuelle Firewalls) von GoDaddy und unter der Kontrolle von GoDaddy, die zur Bereitstellung der einschlägigen Dienste verwendet werden.
„Sicherheitsvorfall“ bezeichnet einen Verstoß gegen die Sicherheitsstandards von GoDaddy, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten in von GoDaddy verwalteten oder kontrollierten Systemen führt.
„Sicherheitsstandards“ bezeichnet die Sicherheitsstandards, die diesem Zusatz als Anhang 2 angefügt sind.
„Sensible Daten“bezeichnet (a) Sozialversicherungsnummer, Passnummer, Führerscheinnummer oder ähnliche Kennungen (oder Teile davon); (b) Kredit- oder Debit-Kartennummer (außer der abgekürzten letzten vier Ziffern einer Kredit- oder Debit-Karte), finanzielle Informationen, Bankkontonummern oder -passwörter, (c) beschäftigungsbezogene, finanzielle, genetische, biometrische oder Gesundheitsinformationen; (d) Informationen zur Herkunft, Ethnie, Religionszugehörigkeit, Gewerkschaftsmitgliedschaft, zum Sexualleben oder zur sexuellen Orientierung; (e) Kontopasswörter, Mädchenname der Mutter oder Geburtsdatum; (f) kriminelle Vergangenheit; oder (g) alle anderen Informationen oder Kombinationen an Informationen, die unter die Definition von „besondere Kategorien von Daten“ gemäß der DSGVO oder einem anderen anwendbaren Recht oder einer Vorschrift bezüglich Privatsphäre und Datenschutz fallen.
„Unterauftragsverarbeiter“ bezieht sich auf Auftragsverarbeiter, die vom Auftragsverarbeiter zum Zweck der Verarbeitung von Daten im Auftrag des Verantwortlichen beauftragt werden.
„UK GDPR“ bezeichnet die EU-DSGVO in der geänderten Fassung, die gemäß dem UK European Union (Withdrawal) Act 2018 in britisches Recht übernommen wurde, sowie die gemäß diesem Gesetz erlassenen sekundären Rechtsvorschriften.
„Zusatz zum internationalen Datentransfer im Vereinigten Königreich“ bezeichnet den Zusatz zum internationalen Datentransfer zu den EU-Standardvertragsklauseln, herausgegeben vom UK Information Commissioner, Version B1.0, in Kraft am 21. März 2022, das hier durch Verweis aufgenommen wird. Der Zusatz zum internationalen Datentransfer im Vereinigten Königreich steht auf der Website des britischen Informationsbeauftragten zum Download bereit.
1.2 Die Begriffe „personenbezogene Daten“, „betroffene Person“, „Verarbeitung“, „Verantwortlicher“ und „Auftragsverarbeiter“, wie sie in diesem Nachtrag verwendet werden, haben die in der EU-DSGVO angegebene Bedeutung, unabhängig davon, welche Datenschutzgesetze gelten.
2. Umfang der Datenverarbeitung und Verhältnis der Parteien zueinander2.1 GoDaddy als Auftragsverarbeiter. Die Parteien bestätigen und vereinbaren, (i) dass GoDaddy ein Auftragsverarbeiter von Kundendaten im Sinne der Datenschutzgesetze ist; (ii) dass der Kunde ein Auftragsverarbeiter bzw. ein Verantwortlicher für die Kundendaten im Sinne der Datenschutzgesetze ist; und (iii) dass jede Partei ihren Verpflichtungen aus den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung von Kundendaten nachkommen wird.
2.2 Details der Datenverarbeitung. Gegenstand der Verarbeitung von Kundendaten durch GoDaddy ist die Erbringung der einschlägigen Dienste gemäß den Nutzungsbedingungen. GoDaddy verarbeitet Kundendaten ausschließlich im Auftrag des Kunden und gemäß dessen dokumentierten Anweisungen für folgende Zwecke: (i) Verarbeitung gemäß Nutzungsbedingungen; (ii) Verarbeitung, die durch Endnutzer in ihrer Nutzung der einschlägigen Dienste initiiert wird; (iii) Verarbeitung, um sonstigen dokumentierten, sinnvollen Anweisungen von Kunden (beispielsweise per E-Mail) nachzukommen, wenn solche Anweisungen den Nutzungsbedingungen entsprechen. GoDaddy ist nicht berechtigt, (a) Kundendaten zu verarbeiten, vorzuhalten, zu nutzen, zu veräußern oder offenzulegen, sofern dies nicht zur Erbringung der in den Nutzungsbedingungen beschriebenen einschlägigen Dienste erforderlich oder aber gesetzlich vorgeschrieben ist, (b) solche Kundendaten an Dritte zu veräußern oder (c) solche Kundendaten außerhalb der direkten Geschäftsbeziehung zwischen GoDaddy und dem Kunden vorzuhalten, zu nutzen oder offenzulegen.
Um jeden Zweifel auszuschließen, müssen die Anweisungen des Kunden zur Verarbeitung der Kundendaten allen Datenschutzgesetzen entsprechen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten sowie für die Mittel, mit denen er die Kundendaten erworben hat. Wenn der Kunde ein Verantwortlicher für die Kundendaten ist, erkennt er Folgendes an und stimmt zu: (i) Sie müssen alle wirtschaftlich vertretbaren Anstrengungen unternehmen, um jegliche Datenerhebung, -weitergabe und -nutzung, die im Rahmen der einschlägigen Dienste stattfindet, klar offenzulegen und die Einwilligung dazu einzuholen; und (ii) Sie müssen deutlich machen, dass als Folge Ihrer Nutzung der einschlägigen Dienste Endnutzerdaten außerhalb ihres Herkunftslandes verarbeitet werden können. Wenn der Kunde ein Auftragsverarbeiter der Kundendaten ist, gewährleistet er, dass die Anweisungen und Handlungen des Kunden in Bezug auf die Kundendaten, einschließlich der Ernennung von GoDaddy als weiteren Auftragsverarbeiter, von dem jeweiligen Auftragsverarbeiter genehmigt wurden. GoDaddy ist nicht verpflichtet, die Anweisungen des Kunden zu befolgen oder zu beachten, wenn diese Anweisungen gegen Datenschutzgesetze verstoßen würden. Die Dauer der Verarbeitung, Wesen und Zweck der Verarbeitung, die Arten personenbezogener Daten und die Kategorien Betroffener, die im Rahmen dieses Zusatzes verarbeitet werden, sind in Anhang 1 dieses Zusatzes („Details der Verarbeitung“) ausführlicher beschrieben.
3. Vertraulichkeit der KundendatenGoDaddy ist ausschließlich insoweit zur Offenlegung von Kundendaten gegenüber Behörden oder Dritten berechtigt, als dies zur Einhaltung gesetzlicher Anforderungen oder einer gültigen und bindenden Anordnung einer Vollstreckungsbehörde (einschließlich Vorladungen und gerichtliche Verfügungen) notwendig ist. Sofern GoDaddy eine gültige zivilrechtliche Vorladung zugestellt wird, wird GoDaddy im Rahmen des Zulässigen versuchen, den Kunden in angemessener Weise per E-Mail oder auf dem Postweg über die Forderung zu informieren, damit der Kunde eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel beantragen kann.
4. Modell der geteilten Verantwortung für die Sicherheit4.1 GoDaddy hat technische und organisatorische Maßnahmen für das GoDaddy-Netzwerk gemäß diesem Abschnitt und wie weiter in „Anhang 2“ dieses Zusatzes (Sicherheitsstandards) dargelegt, implementiert und wird diese umsetzen. Speziell hat GoDaddy folgende technische und organisatorische Maßnahmen implementiert und wird diese umsetzen, welche folgende Aspekte betreffen: (i) Sicherheit des Netzwerks von GoDaddy; (ii) physische Sicherheit der Einrichtungen; (iii) Kontrollen des Zugriffs für Mitarbeiter und Auftragnehmer auf (i) und (ii); sowie (iv) Verfahren für Tests, Einstufungen und Bewertungen der Effektivität technischer und organisatorischer Maßnahmen, die von GoDaddy implementiert wurden. Sollten wir nicht in der Lage sein, die hierin dargelegten Pflichten zu erfüllen, so zeigen wir dies (über unsere Website oder per E-Mail) schriftlich an, sobald dies praktisch durchführbar ist.
4.2 GoDaddy macht eine Reihe von Sicherheitsfunktionen und -einrichtungen verfügbar, welche der Kunde für die einschlägigen Dienste nutzen kann. Der Kunde ist verantwortlich dafür: (a) die einschlägigen Dienste angemessen zu konfigurieren, (b) die in Verbindung mit den einschlägigen Diensten verfügbaren Steuerungen zu nutzen (darunter Steuerung der Sicherheit), um die fortgesetzte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und Dienste zu gewährleisten, (c) die in Verbindung mit den einschlägigen Diensten verfügbaren Steuerungen zu nutzen (darunter Steuerung der Sicherheit), die dem Kunden ermöglichen, rechtzeitig Verfügbarkeit von und Zugriff auf Kundendaten wiederherzustellen, wenn ein physischer oder technischer Zwischenfall eintritt (beispielsweise Backups und regelmäßige Archivierung von Kundendaten), sowie (d) Schritte zu unternehmen, welche der Kunde als angemessen erachtet, um die angemessene Sicherheit, den Schutz und die Löschung von Kundendaten zu pflegen, darunter Nutzung von Verschlüsselungstechnik zum Schutz von Kundendaten vor unberechtigtem Zugriff sowie Maßnahmen zur Steuerung der Berechtigung zum Zugriff auf Kundendaten.
5. BetroffenenrechtIn Anbetracht der Natur der einschlägigen Dienste bietet GoDaddy dem Kunden bestimmte Möglichkeiten der Steuerung und Kontrolle. Der Kunde kann diese nutzen, um Kundendaten abzurufen, zu korrigieren, zu löschen und deren Nutzung und Weitergabe zu beschränken, wie dies in den einschlägigen Diensten dargelegt ist. Der Kunde kann diese Steuerungsmöglichkeiten als technische und organisatorische Maßnahmen in Verbindung mit seinen Verpflichtungen im Rahmen der Datenschutzgesetze nutzen. Dazu gehören Verpflichtungen der Reaktion auf Anfragen von Betroffenen. GoDaddy benachrichtigt den Kunden umgehend (wenn dies wirtschaftlich machbar und gesetzlich gestattet oder gefordert ist), wenn GoDaddy eine direkte Anfrage eines Betroffenen bezüglich der Ausübung solcher Rechte im Rahmen geltender Datenschutzgesetze erhält („Anfrage von Betroffenen“). Zudem kann GoDaddy, wenn die Nutzung der einschlägigen Dienste durch den Kunden dessen Möglichkeiten der Reaktion auf die Anfrage von Betroffenen beschränkt, auf die spezifische Anfrage des Kunden (und wenn rechtlich gestattet und angemessen) wirtschaftlich machbare Hilfestellung bei der Beantwortung dieser Anfrage bereitstellen. Dies geschieht ggf. auf Kosten des Kunden.
6. Weiterverarbeiter6.1 Autorisierte Unterauftragsverarbeiter. Der Kunde stimmt zu, dass GoDaddy zur Erfüllung seiner vertraglichen Verpflichtungen im Rahmen der Nutzungsbedingungen und dieses Zusatzes Unterauftragsverarbeiter heranziehen kann, sowie um bestimmte Dienste in seinem Auftrag bereitzustellen, beispielsweise Supportdienste. Der Kunde stimmt hiermit zu, dass GoDaddy Unterauftragsverarbeiter wie in diesem Abschnitt dargelegt nutzen kann.
6.2 Verpflichtungen des Unterauftragsverarbeiters. Wenn GoDaddy autorisierte Unterauftragsverarbeiter nutzt, wie in Abschnitt 6.1 dargelegt:
(i) GoDaddy wird den Zugriff von Unterauftragsverarbeitern auf Kundendaten auf das Notwendige für Pflege oder Bereitstellung der einschlägigen Dienste für die Kunden und Endbenutzer gemäß den Nutzungsbedingungen beschränken. GoDaddy wird dem Unterauftragsverarbeiter den Zugriff auf Kundendaten für andere Zwecke untersagen;
(ii) GoDaddy geht einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ein und GoDaddy wird, in dem Maß, in dem der Unterauftragsverarbeiter dieselben Dienste der Datenverarbeitung durchführt, die im Rahmen dieses Zusatzes von GoDaddy bereitgestellt werden, dem Unterauftragsverarbeiter im Wesentlichen ähnliche vertraglichen Verpflichtungen auferlegen, die GoDaddy unter dem Zusatz auferlegt sind; und
(iii) GoDaddy bleibt verantwortlich für die Einhaltung der Verpflichtungen dieses Zusatzes und für sämtliche Handlungen und Unterlassungen des Unterauftragsverarbeiters, welche dazu führen, dass GoDaddy Verpflichtungen von GoDaddy im Rahmen dieses Zusatzes verletzt.
6.3 Neue Unterauftragsverarbeiter. Gelegentlich können wir neue Unterauftragsverarbeiter im Rahmen und gemäß den Bedingungen dieses Zusatzes beauftragen. In einem solchen Fall informieren wir Sie hierüber (auf unserer Website oder per E-Mail) mit dreißig (30) Tagen Frist, bevor ein neuer Unterauftragsverarbeiter Zugriff auf Kundendaten erhält. Ist Ihr Kunde mit einem neuen Unterauftragsverarbeiter nicht einverstanden, so hat der Kunde das Recht, jegliche einschlägigen Dienste ohne Sanktionen zu kündigen. Die Kündigung bedarf der Schriftform und muss innerhalb von zehn (10) Tagen ab Erhalt unserer Mitteilung bei uns eingehen. Im Kündigungsschreiben sind die Gründe für die Ablehnung anzugeben. Sind die einschlägigen Dienste Teil eines Pakets oder eines Paketkaufs, so gilt die Kündigung für das gesamte Paket.
7. Sicherheitsvorfälle7.1 Sicherheitsvorfälle. Wird GoDaddy ein Sicherheitsvorfall bekannt, so wird GoDaddy unverzüglich (a) den Kunden über den Sicherheitsvorfall informieren und (b) angemessene Schritte unternehmen, um die Auswirkungen des Sicherheitsvorfalls zu beschränken und daraus entstehende Schäden zu minimieren.
7.2 GoDaddyUnterstützung. Zur Unterstützung des Kunden bei Benachrichtigungen über Verletzungen des Schutzes personenbezogener Daten, die der Kunde im Rahmen der Datenschutzgesetze vornehmen muss, integriert GoDaddy in die Benachrichtigung solche Informationen über den sicherheitsrelevanten Vorfall, die GoDaddy dem Kunden gegenüber billigerweise offenlegen kann, wobei das Wesen der einschlägigen Dienste, die GoDaddy vorliegenden Informationen und jegliche Einschränkungen der Offenlegung der Daten (beispielsweise Vertraulichkeit) in Betracht zu ziehen sind.
7.3 Nichtige Sicherheitsvorfälle. Der Kunde erkennt an, dass ein nichtiger Sicherheitsvorfall nicht den Bedingungen dieses Zusatzes unterliegt. Ein nichtiger Sicherheitsvorfall ist ein Sicherheitsvorfall, der keinen Zugriff auf Kundendaten oder das Netzwerk, Ausrüstungen oder Einrichtungen von GoDaddy, die Kundendaten speichern, durch Unbefugte zur Folge hatte. Dies schließt insbesondere Pings und weitere Übertragungsattacken auf Firewalls oder Edge-Server, Port-Scans, fehlgeschlagene Anmeldeversuche, Denial-of-Service-Attacken, Packet Sniffing (und sonstiger unberechtigter Zugriff auf Trafficdaten, der nicht zu Zugriff über Kopfzeilen hinaus führt) und Ähnliches ein.
7.4 Benachrichtigung. Benachrichtigungen zu Sicherheitsvorfällen sind ggf. dem oder den Administratoren des Kunden über die von GoDaddy gewählten Kanäle, einschließlich E-Mail, zuzustellen. Es liegt in der alleinigen Verantwortung des Kunden, dafür Sorge zu tragen, dass die Administratoren des Kunden in der GoDaddy-Verwaltungskonsole korrekte und vollständige Kontaktdaten pflegen und deren Übertragung jederzeit schützen.
7.5 Kein Anerkenntnis eines Verschuldens durch GoDaddy: Die Verpflichtung von GoDaddy, einen Sicherheitsvorfall im Sinne dieses Abschnittes zu melden oder darauf zu reagieren, ist weder jetzt noch künftig als Eingeständnis der Schuld oder der Haftung aufseiten von GoDaddy im Hinblick auf den bei GoDaddy aufgetretenen Sicherheitsvorfall aufzufassen.
8. Kundenrechte8.1 Unabhängige Feststellung. Der Kunde ist dafür verantwortlich, die Daten, die durch GoDaddy bezüglich der Datensicherheit und dessen Sicherheitsstandards zur Verfügung gestellt werden, zu prüfen und unabhängig festzustellen, ob die einschlägigen Dienste den Anforderungen und rechtlichen Verpflichtungen des Kunden und den Verpflichtungen des Kunden im Rahmen dieses Zusatzes entsprechen. Die zur Verfügung gestellten Informationen sollen den Kunden bei der Einhaltung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen unterstützen. Der Kunde erklärt sich damit einverstanden, dass die einschlägigen Dienste und die von GoDaddy implementierten und aufrechterhaltenen Sicherheitsstandards ein Sicherheitsniveau bieten, das dem Risiko für personenbezogene Daten angemessen ist (unter Berücksichtigung des Stands der Technik, der Kosten der Implementierung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung personenbezogener Daten sowie der Risiken für Einzelpersonen).
8.2 Audit-Rechte der Kunden. Der Kunde hat das Recht, die Einhaltung dieses Zusatzes durch GoDaddy für die abgedeckten Services zu bestätigen, indem er in angemessenen Zeitabständen eine spezifische, schriftliche Anfrage an die in den Nutzungsbedingungen angegebene Adresse stellt. Lehnt GoDaddy ab, Anweisungen des Kunden bezüglich eines ordnungsgemäß angeforderten und definierten Audits oder einer Inspektion nachzukommen, hat der Kunde das Recht, diesen Zusatz und die Nutzungsbedingungen zu kündigen.
9. Übertragung von Kundendaten9.1 Verarbeitung in den USA. Sofern nicht in den Nutzungsbedingungen gesondert angegeben, werden Kundendaten außerhalb des Vereinigten Königreiches oder des EWR übertragen und in den USA verarbeitet.
9.2 Anwendung der EU-Standardvertragsklauseln. Modul Zwei (Datenverantwortlicher an Auftragsverarbeiter) der EU-Standardvertragsklauseln oder Modul Drei (Datenverantwortlicher an Datenverantwortlicher) der EU-Standardvertragsklauseln gelten für Kundendaten, die direkt oder auf Umwegen in ein Land außerhalb des EWR übermittelt werden, das von der Europäischen Kommission als Drittland eingestuft wurde, d. h. ein Land, in dem nach Einschätzung der Europäischen Kommission kein ausreichender Schutz für Kundendaten gewährleistet werden kann. Diese EU-Standardvertragsklauseln finden keine Anwendung auf Kundendaten, die weder durch direkte Übertragung noch auf Umwegen in Länder außerhalb des EWR übertragen werden. Unbeschadet des Voranstehenden finden die EU-Standardvertragsklauseln keine Anwendung, wenn die Daten gemäß einem anerkannten Konformitätsstandard für die rechtmäßige Übertragung personenbezogener Daten außerhalb des EWR übertragen werden, beispielsweise wenn dies für die Erbringung der Leistungen im Rahmen der Nutzungsbedingungen erforderlich ist oder mit Ihrer Zustimmung erfolgt.
- Für jedes Modul gilt gegebenenfalls Folgendes:
- In Klausel 7 der EU-Standardvertragsklauseln findet die optionale Andockklausel keine Anwendung;
- in Klausel 9 der EU-Standardvertragsklauseln findet Option 2 Anwendung, und die Frist für die vorherige schriftliche Mitteilung von Änderungen des Unterauftragsverarbeiters ist in Abschnitt 6.3 (Neue Unterauftragsverarbeiter) dieses Zusatzes festgelegt;
- in Klausel 11 der EU-Standardvertragsklauseln findet die optionale Sprache keine Anwendung;
- in Klausel 17 (Option 1) unterliegen die EU-Standardvertragsklauseln deutschem Recht;
- in Klausel 18(b) der EU-Standardvertragsklauseln werden Streitigkeiten vor den Gerichten der Bundesrepublik Deutschland ausgetragen;
- in Anlage I, Teil A der EU-Standardvertragsklauseln:
- Liste der Parteien
Datenexporteur(e): Der Datenexporteur ist die Rechtspersönlichkeit, die im Zusatz als „Kunde“ identifiziert wird
Unterschrift und Datum: Ab dem Datum der elektronischen Annahme der Nutzungsbedingungen des Datenimporteurs durch den Datenexporteur, gelten die Standardvertragsklauseln als vom Datenexporteur unterzeichnet.
Rolle: Datenverantwortlicher (unter Modul Zwei) oder Auftragsverarbeiter (unter Modul Drei)
Datenimporteur(e): GoDaddy.com, LLC
Kontaktdaten: Office of the Data Protection Officer – privacy@godaddy.com
Unterschrift und Datum: Ab dem Datum der elektronischen Annahme der Nutzungsbedingungen des Datenimporteurs durch den Datenexporteur, gelten die Standardvertragsklauseln als vom Datenexporteur unterzeichnet.
Rolle: Auftragsverarbeiter
- Liste der Parteien
- in Anlage I, Teil B der EU-Standardvertragsklauseln:
- Beschreibung der Übermittlung
Die Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden, sind in Anhang 1 des Zusatzes beschrieben.
Die Kategorien der übermittelten personenbezogenen Daten sind in Anhang 1 des Zusatzes beschrieben. Die übertragenen sensiblen Daten sind in Anhang 1 dieses Zusatzes beschrieben.
Die Häufigkeit der Übermittlung erfolgt kontinuierlich für die Dauer des Dienstes.
Die Art der Verarbeitung ist in Abschnitt 2.2 und Anhang 1 des Zusatzes beschrieben.
Zweck(e) der Datenübermittlung und Weiterverarbeitung sind in Abschnitt 2.2 und Anhang 1 dieses Zusatzes beschrieben.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, ist in Anhang 1 dieses Zusatzes beschrieben.
Für Übermittlungen an (Unter-)Auftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung in Anlage III der Standardvertragsklauseln festgelegt.
- Beschreibung der Übermittlung
- in Anlage I, Teil C der EU-Standardvertragsklauseln:
- Zuständige Aufsichtsbehörde
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen („LDI NRW“) ist die zuständige Aufsichtsbehörde.
- Zuständige Aufsichtsbehörde
- in Anlage II der EU-Standardvertragsklauseln:
Die vom Datenimporteur getroffenen technischen und organisatorischen Sicherheitsmaßnahmen sind in Anhang 2 des Zusatzes aufgeführt. - in Anhang III der EU-Standardvertragsklauseln:
Liste der Unterauftragsverarbeiter in Anhang 3 dieses Zusatzes.
9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
- Bei Datenübermittlungen aus dem Vereinigten Königreich, die dem Zusatz zum internationalen Datentransfer im Vereinigten Königreich unterliegen, gilt der Zusatz zum internationalen Datentransfer im Vereinigten Königreich als abgeschlossen (und wird durch diesen Verweis in diesen Zusatz aufgenommen) und wird wie folgt ausgefüllt:
- In Tabelle 1 des Zusatzes zum internationalen Datentransfer im Vereinigten Königreich finden sich die Angaben der Parteien und die wichtigsten Kontaktinformationen in Abschnitt 9.2 (i)(f) dieses Zusatzes.
- Tabelle 2 des Zusatzes zum internationalen Datentransfer im Vereinigten Königreich enthält in Abschnitt 9.2 (EU-Standardvertragsklauseln) Informationen über die Version der EU-Standardvertragsklauseln, Module und ausgewählte Klauseln, denen dieser Zusatz zum internationalen Datentransfer im Vereinigten Königreich beigefügt ist.
- Tabelle 3 des Zusatzes zum internationalen Datentransfer im Vereinigten Königreich:
- Die Liste der Parteien befindet sich in Abschnitt 9.2 (i)(f) dieses Zusatzes.
- Die Beschreibung der Übermittlung ist in Abschnitt 1 (Art und Zweck der Verarbeitung) des Anhangs 1 (Einzelheiten der Verarbeitung) dieses Zusatzes enthalten.
- Anhang II befindet sich in Anlage 2 (Sicherheitsstandards) dieses Zusatzes.
- Die Liste der Unterauftragsverarbeiter ist in Anlage 3 dieses Zusatzes enthalten.
- In Tabelle 4 des Zusatzes zum internationalen Datentransfer im Vereinigten Königreich können sowohl der Importeur als auch der Exporteur den Zusatz zum internationalen Datentransfer im Vereinigten Königreich gemäß den Bedingungen des Zusatzes zum internationalen Datentransfer im Vereinigten Königreich beenden.
Dieser Zusatz bleibt bis zur Kündigung unserer Verarbeitung in Übereinstimmung mit den Nutzungsbedingungen („Kündigungsdatum“) in Kraft.
11. Rückgabe oder Löschung von KundendatenWie in den einschlägigen Diensten dargelegt, können Kunden Steuerungsmöglichkeiten gegeben werden, die sie dazu nutzen können, Kundendaten abzurufen oder zu löschen. Die Löschung von Kundendaten erfolgt dreißig (30) Tage nach dem Kündigungsdatum unter Einhaltung der Bedingungen der entsprechenden einschlägigen Dienste. Der Kunde erkennt an, dass es in seiner Verantwortung liegt, vor dem Beendigungsdatum alle Kundendaten zu exportieren, die er nach dem Beendigungsdatum aufbewahren möchte.
12. HaftungsbeschränkungenDie Haftbarkeit der Parteien im Rahmen dieses Zusatzes unterliegt den Ausschlüssen und Haftungsbeschränkungen, welche in den Nutzungsbedingungen festgelegt sind. Der Kunde stimmt zu, dass gesetzliche Strafzahlungen, die GoDaddy in Verbindung mit Kundendaten entstehen oder im Ergebnis oder in Verbindung mit dem Versäumnis des Kunden anfallen, seinen Verpflichtungen im Rahmen dieses Zusatzes und geltender Datenschutzgesetze nachzukommen, auf die Haftbarkeit von GoDaddy gemäß den Nutzungsbedingungen angerechnet werden (bzw. diese reduzieren), als handele es sich um Haftbarkeit gegenüber dem Kunden gemäß den Nutzungsbedingungen.
13. Gesamte Nutzungsbedingungen; KonfliktDieser Zusatz tritt bezüglich des Gegenstandes des Zusatzes an Stelle sämtlicher voriger oder gleichzeitiger Zusicherungen, Einverständnisse, Verträge und Kommunikationen zwischen dem Kunden und GoDaddy, seien diese schriftlich oder mündlich, darunter sämtliche Zusätze bezüglich der Datenverarbeitung, die von GoDaddy und dem Kunden bezüglich der Verarbeitung personenbezogener Daten und der freien Übertragung solcher Daten eingegangen wurden. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den EU-Standardvertragsklauseln oder dem Zusatz zum internationalen Datentransfer im Vereinigten Königreich und anderen Bestimmungen in diesem Zusatz oder den Nutzungsbedingungen haben die Bestimmungen der EU-Standardvertragsklauseln oder des Zusatzes zum internationalen Datentransfer im Vereinigten Königreich Vorrang. Die Nutzungsbedingungen bleiben vollständig in Kraft, außer wenn durch diesen Zusatz ergänzt. Treten Konflikte bei Verträgen zwischen den Nutzungsbedingungen und diesem Zusatz auf, gelten die Regelungen dieses Zusatzes.
Anlage 1
DETAILS DER VERARBEITUNG
1. Natur und Zweck der Verarbeitung. GoDaddy wird Kundendaten in dem Maß verarbeiten, das zur Ausübung der einschlägigen Dienste gemäß der Nutzungsbedingungen und gemäß weiterer Anweisungen des Kunden im Verlauf seiner Nutzung der einschlägigen Dienste erforderlich ist.
2. Dauer der Verarbeitung. Gemäß Abschnitt 10 und 11 dieses Zusatzes verarbeitet GoDaddy Kundendaten während des Gültigkeitszeitraums der Nutzungsbedingungen. Ungeachtet des Vorstehenden, kann GoDaddy Kundendaten oder einen Teil davon aufbewahren, wenn die geltenden Gesetze oder Vorschriften dies erfordern, einschließlich geltender Datenschutzgesetze, vorausgesetzte, die Kundendaten bleiben in Übereinstimmung mit den Bedingungen dieses Zusatzes und geltenden Datenschutzgesetzen geschützt.
3. Kategorien der Betroffenen. Der Kunde kann bei seiner Nutzung der einschlägigen Dienste personenbezogene Daten hochladen, deren Umfang im alleinigen Ermessen des Kunden liegt. Zu diesen können folgende Kategorien personenbezogener Daten Betroffener gehören:
- Potenzielle Kunden, Kunden, Geschäftspartner und Anbieter des Kunden (natürliche Personen)
- Mitarbeiter und Kontaktpersonen potenzieller Kunden des Kunden, Kunden, Geschäftspartner und Anbieter
- Mitarbeiter, Agenten, Berater und freiberuflich Tätige des Kunden (natürliche Personen)
- Nutzer des Kunden, welche der Kunde zur Verwendung der einschlägigen Dienste autorisiert
4. Kategorien personenbezogener Daten. Der Kunde kann bei seiner Nutzung der einschlägigen Dienste personenbezogene Daten hochladen, deren Art und Umfang im alleinigen Ermessen des Kunden liegen. Zu diesen können folgende Kategorien personenbezogener Daten Betroffener gehören:
- Name
- Anschrift
- Telefonnummer
- Geburtsdatum
- E-Mail-Adresse
- Weitere erfasste Daten, welche die betroffenen Personen direkt oder indirekt identifizieren könnten.
5. Sensible Daten oder besondere Kategorien von Daten. Der Kunde lädt im Rahmen der Nutzung der abgedeckten Services möglicherweise sensible Daten hoch, deren Art und Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird. Der Kunde ist für die Verwendung von Beschränkungen und Schutzvorkehrungen verantwortlich, die die Art der Daten und die bestehenden Risiken vor der Übertragung oder Verarbeitung sensibler Daten über die abgedeckten Services vollständig berücksichtigen.
Anlage 2
Sicherheitstandards
I. Technische und organisatorische Maßnahmen
Wir nehmen den Schutz der Daten unserer Kunden ernst. Unter Berücksichtigung der Best Practices, der Implementierungskosten sowie Art, Umfang, Umstände und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und des Ausmaßes Risikos auf die Rechte und Grundfreiheiten natürlicher Personen ergreifen wir die folgenden technischen und organisatorischen Maßnahmen. Bei der Auswahl der Maßnahmen berücksichtigen wir die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.
II. Datenschutzprogramm
Unser Datenschutzprogramm dient der Pflege einer weltweiten Struktur für die Daten-Governance und sichere Daten im gesamten Zyklus. Dieses Programm wird vom Büro des Datenschutzbeauftragten gesteuert, der die Implementierung der Datenschutzpraktiken und Sicherheitsmaßnahmen beaufsichtigt. Die Effektivität des Datenschutzprogramms und der Sicherheitsstandards wird von uns regelmäßig geprüft, bewertet und ausgewertet.
1. Vertraulichkeit. „Vertraulichkeit bezieht sich auf den Schutz personenbezogener Daten vor unberechtigter Offenlegung.“
Wir nutzen eine Reihe physischer und digitaler Maßnahmen, um die Vertraulichkeit der personenbezogenen Daten unserer Kunden zu schützen. Zu diesen Maßnahmen gehören:
Physische Sicherheit
- Systeme für die Kontrolle des Zugangs sind vorhanden (Zugangskontrolle über Ausweise, Überwachung von Zwischenfällen bei der Sicherheit usw.)
- Überwachungssysteme mit Alarm und Videoüberwachung (wenn angemessen)
- Clean-Desk-Richtlinien (keine Unterlagen auf Schreibtisch liegenlassen) und Kontrollen sind vorhanden (Verschluss unbeaufsichtigter Computer, von Schränken usw.)
- Verwaltung des Zugriffes für Besucher
- Vernichten von Daten auf physischen Speichermedien und Dokumenten (schreddern, entmagnetisieren usw.)
Zugangskontrolle und Vorbeugung vor unberechtigtem Zugriff
- Beschränkung des Zugriffs für Benutzer und Zugriffsberechtigungen auf Basis von Rollen werden auf Grundlage des Prinzips der Aufgabentrennung vergeben/geprüft
- Wirksame Methoden der Authentifizierung und Autorisierung (mehrstufige Authentifizierung, Autorisierung über Zertifikate, automatische Deaktivierung oder Abmeldung usw.)
- Zentrale Verwaltung von Passwörtern und Richtlinien für starke/komplexe Passwörter (minimale Länge, Komplexität der Zeichen, Ablauf von Passwörtern usw.)
- Kontrolle des Zugriffs auf E-Mails und Internet
- Antiviren-Management
- Verwaltung von Intrusion Prevention-Systemen
Verschlüsselung
- Verschlüsselung interner und externer Kommunikationen mittels starker kryptographischer Protokolle
- Verschlüsselung personenbezogener Daten und sensibler Daten im Ruhezustand (Datenbanken, gemeinsame Verzeichnisse usw.)
- Vollständige Verschlüsselung der Datenträger von Firmen-PCs und -Laptops
- Verschlüsselung von Speichermedien
- Remote-Verbindungen mit den Netzwerken des Unternehmens sind per VPN verschlüsselt
- Schutz von Chiffrierschlüsseln in der gesamten Laufzeit
Datenminimierung
- PII/SPI-Minimierung bei Anwendung, Debugging und Sicherheitsprotokollen
- Anonymisierung personenbezogener Daten zur Verhinderung direkter Identifizierung natürlicher Personen
- Trennung gespeicherter Daten nach Funktion (Test, Staging, Live)
- Logische Abtrennung von Daten durch Zugriffsrechte auf Basis von Rollen
- Festgelegte Zeiträume für die Aufbewahrung personenbezogener Daten
Sicherheitstests
- Eindring-Tests für die wichtigsten Plattformen und Netzwerke des Unternehmens, die personenbezogene Daten hosten
- Regelmäßige Scans des Netzwerkes und auf Prüfung der Netzwerkanfälligkeit
2. Integrität. „Integrität bezieht sich auf die Gewährleistung der Richtigkeit (Intaktheit) von Daten und der korrekten Funktion von Systemen. Wird der Begriff „Integrität“ in Verbindung mit dem Begriff „Daten“ genutzt, bringt er zum Ausdruck, dass die Daten vollständig und unverändert sind.“
Angemessene Änderungs- und Protokollverwaltungskontrollen sind vorhanden, neben Zugriffskontrollen, um die Integrität personenbezogener Daten zu wahren, wie:
Verwaltung von Änderungen und Freigaben
- Verwaltungsverfahren für Änderungen und Freigaben (Analyse von Auswirkungen, Genehmigungen, Tests, Sicherheitsprüfungen, Staging, Monitoring usw.)
- Rollen-/funktionsbasierter (Aufgabentrennung) Zugang in der Produktion
Protokolle und Überwachung
- Protokolle des Zugriffs auf und der Änderung von Daten
- Zentrale Audit- und Sicherheitsprotokolle
- Überwachung der Vollständigkeit und Richtigkeit der Datenübertragung (vollständige Prüfung)
3. Verfügbarkeit. „Die Verfügbarkeit von Diensten und IT-Systemen, IT-Anwendungen und IT-Netzwerkfunktionen sowie von Daten ist garantiert, wenn die Nutzer jederzeit in der Lage sind, sie wie vorgesehen zu nutzen.“
Wir implementieren angemessene Maßnahmen gegen Unterbrechungen und für den Schutz, um die Verfügbarkeit der Dienste und der Daten in diesen Diensten zu gewährleisten:
- Regelmäßige Failover-Tests (Ausfallsicherung) für geschäftskritische Dienste
- Umfassende Überwachung und Berichte der Leistung und Verfügbarkeit entscheidender Systeme
- Maßnahmen bei Sicherheitsvorfällen
- Wichtige Daten werden entweder dupliziert oder erhalten ein Backup (Cloud-Backups/Festplatten/Datenbank-Duplizierung usw.)
- Planmäßige Wartung von Software, Infrastruktur und Sicherheit ist vorhanden (Software-Aktualisierungen, Sicherheits-Patches usw.)
- Redundante und widerstandsfähige Systeme (Servercluster, gespiegelte DBs, Setups mit hoher Verfügbarkeit usw.) an Orten außerhalb des Betriebs oder geografisch entfernten Orten
- Nutzung unterbrechungsfreier Stromzufuhr, ausfallsicherer Hardware und Netzwerksysteme
- Vorhandene Alarm- und Sicherheitssysteme
- Physische Schutzmaßnahmen für wichtige Standorte (Schutz vor Überspannung, Doppelböden, Kühlsysteme, Sensoren für Feuer und Rauch, Löschsysteme usw.)
- DDOS-Schutz zur Aufrechterhaltung der Verfügbarkeit
- Belastungs- und Stress-Tests
4. Anweisungen zur Datenverarbeitung. „Anweisungen zur Datenverarbeitung bezieht sich auf die Gewährleistung, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des Datenverantwortlichen und einschlägigen Maßnahmen des Unternehmens verarbeitet werden.“
Wir haben interne Richtlinien und Verträge für den Datenschutz eingeführt und schulen unsere Mitarbeiter regelmäßig bezüglich des Datenschutzes, um zu gewährleisten, dass personenbezogene Daten in Übereinstimmung mit den Einstellungen und Einweisungen der Kunden verarbeitet werden.
- Klauseln bezüglich Datenschutz und Vertraulichkeit in Arbeitsverträgen
- Regelmäßige Schulungen der Mitarbeiter über Datenschutz und Sicherheit
- Angemessene vertragliche Bestimmungen in den Verträgen mit Auftragnehmern zur Aufrechterhaltung der Anweisungsrechte
- Regelmäßige Datenschutzüberprüfungen für externe Service-Provider
- Kunde hat volle Kontrolle über seine Einstellungen in Bezug auf die Datenverarbeitung
- Regelmäßige Sicherheitsüberprüfungen
Anlage 3 – Weiterverarbeiter von GoDaddy
Übersetzte Versionen der Verträge und Richtlinien werden nur bereitgestellt, um das Verständnis der englischen Version zu erleichtern. Mit der Bereitstellung von Übersetzungen der Verträge und Richtlinien wird nicht das Ziel verfolgt, eine rechtsverbindliche Vereinbarung zu schaffen, und die Übersetzungen sind kein Ersatz für die Rechtsgültigkeit der englischen Versionen. Im Fall von Widersprüchen oder Konflikten ist immer die englische Version maßgebend für unsere Beziehung und hat Vorrang vor den Bestimmungen in anderen Sprachen.