Datenschutz

Ziel der Datenschutz-Grundverordnung ist es, alle EU-BĂŒrger in einer zunehmend datengetriebenen Welt vor Datenschutz und Datenverletzungen zu schĂŒtzen, die sich erheblich von der Zeit unterscheidet, in der die Richtlinie von 1995 aufgestellt wurde. Auch wenn die wichtigsten GrundsĂ€tze des Datenschutzes der frĂŒheren Richtlinie noch immer entsprechen, wurden zahlreiche Änderungen der Regulierungspolitik vorgeschlagen. Die wichtigsten Punkte der DSGVO sowie Informationen ĂŒber die Auswirkungen auf die Unternehmen finden Sie weiter unten.

Die Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) ist eine Verordnung, mit der die EuropĂ€ische Kommission den Datenschutz fĂŒr Einzelpersonen in der EuropĂ€ischen Union (EU) stĂ€rken und vereinheitlichen will. Es befasst sich auch mit dem Export von personenbezogenen Daten außerhalb der EU.

Es ist wichtig zu beachten, dass die DSGVO der EU personenbezogene Daten umfasst wie Namen, Adressen, Telefonnummern, Kontonummern und in letzter Zeit an E-Mail- und in Deutschland inbesondere IP-Adressen.

Die DSGVO zielt auf die Minimierung der Sammlung von persönlichen Daten, Löschung von nicht mehr benötigten personenbezogenen Daten, EinschrÀnkung des Zugriffs und sichere Daten wÀhrend seines gesamten Lebenszyklus.

  • Erhöhter territorialer Geltungsbereich (extraterritoriale Anwendbarkeit) Die wohl grĂ¶ĂŸte VerĂ€nderung im regulatorischen Umfeld des Datenschutzes liegt in der erweiterten ZustĂ€ndigkeit der Datenschutz-Grundverordnung, da sie fĂŒr alle Unternehmen gilt, die personenbezogene Daten von in der Union ansĂ€ssigen betroffenen Personen unabhĂ€ngig vom Standort des Unternehmens verarbeiten. Zuvor war die territoriale Anwendbarkeit der Richtlinie nicht eindeutig und bezog sich auf den Datenprozess „im Zusammenhang mit einem Betrieb“. Dieses Thema ist in einer Reihe von bekannten Gerichtsverfahren aufgetreten. Die GPDR macht ihre Anwendbarkeit sehr deutlich – sie wird fĂŒr die Verarbeitung personenbezogener Daten durch fĂŒr die Verarbeitung Verantwortliche und Auftragsverarbeiter in der EU gelten, unabhĂ€ngig davon, ob die Verarbeitung in der EU stattfindet oder nicht. Die Datenschutzgrundverordnung gilt auch fĂŒr die Verarbeitung personenbezogener Daten betroffener Personen in der EU durch einen in der EU nicht niedergelassenen fĂŒr die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die TĂ€tigkeiten Folgendes betreffen: Anbieten von Waren oder Dienstleistungen fĂŒr EU-BĂŒrger (unabhĂ€ngig davon, ob eine Zahlung erforderlich ist) und die Überwachung von Verhaltensweisen innerhalb der EU. Auch Nicht-EU-Unternehmen, die Daten von EU-BĂŒrgern verarbeiten, mĂŒssen einen Vertreter in der EU benennen.
  • Strafen Im Rahmen der DSGVO können Organisationen, die gegen die DSGVO verstoßen, bis zu 4% des jĂ€hrlichen Weltumsatzes oder 20 Mio. EUR (je nachdem, welcher Betrag höher ist) bestraft werden. Dies ist die maximale Geldbuße, die fĂŒr die schwerwiegendsten VerstĂ¶ĂŸe auferlegt werden kann, zum Beispiel wenn sie nicht genĂŒgend Zustimmung des P3.MARKETING GmbH haben, Daten zu verarbeiten oder den Kern der Privacy by Design-Konzepte zu verletzen. Es gibt eine gestaffelte Vorgehensweise fĂŒr Geldbußen, z.B. Ein Unternehmen kann mit einer Geldbuße von 2% belegt werden, wenn seine Unterlagen nicht ordnungsgemĂ€ĂŸ archiviert werden (Artikel 28), wobei die Aufsichtsbehörde und die betroffene Person nicht ĂŒber eine Verletzung informiert werden oder keine FolgenabschĂ€tzung vornehmen. Es ist wichtig zu beachten, dass diese Regeln sowohl fĂŒr Controller als auch fĂŒr Prozessoren gelten – was bedeutet, dass „Clouds“ nicht von der Durchsetzung der DSGVO ausgenommen sind.
  • Zustimmung Die Bedingungen fĂŒr die Einwilligung wurden gestĂ€rkt, und die Unternehmen werden nicht lĂ€nger in der Lage sein, lange unleserliche Bedingungen voll juristischer Sprache zu verwenden, da der Antrag auf Einwilligung in verstĂ€ndlicher und leicht zugĂ€nglicher Form mit dem Zweck der Datenverarbeitung gestellt werden muss diese Zustimmung. Die Einwilligung muss klar und deutlich von anderen Angelegenheiten unterscheidbar sein und in verstĂ€ndlicher und leicht zugĂ€nglicher Form in klarer und verstĂ€ndlicher Sprache zur VerfĂŒgung gestellt werden. Es muss so einfach sein, die Einwilligung zu widerrufen, wie sie zu geben ist.

Datensubjekt-Rechte

  • Verstoßmeldung. Im Rahmen der Datenschutz-Grundverordnung wird die Meldung von VerstĂ¶ĂŸen in allen Mitgliedstaaten verbindlich vorgeschrieben, in denen ein Verstoß gegen die Datenschutzbestimmungen wahrscheinlich zu einem Risiko fĂŒr die Rechte und Freiheiten des Einzelnen fĂŒhrt. Dies muss innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes geschehen. Die Datenverarbeiter werden außerdem verpflichtet, ihre P3.MARKETING GmbH, die Kontrolleure, „unverzĂŒglich“ zu benachrichtigen, nachdem sie eine Datenverletzung bemerkt haben.
  • Zugangsrecht. Ein Teil der durch die DSGVO erweiterten Rechte der betroffenen Personen ist das Recht fĂŒr die betroffenen Personen, von der fĂŒr die Verarbeitung Verantwortlichen Kenntnis darĂŒber zu erlangen, ob personenbezogene Daten ĂŒber sie verarbeitet werden, wo und zu welchem ​​Zweck. Ferner stellt der fĂŒr die Verarbeitung Verantwortliche kostenlos eine Kopie der personenbezogenen Daten in elektronischer Form zur VerfĂŒgung. Diese Änderung stellt eine dramatische VerĂ€nderung der Datentransparenz und der BefĂ€higung der betroffenen Personen dar.
  • Das Recht, vergessen zu werden. Auch als Datenlöschung bekannt, berechtigt das Recht, in Vergessenheit zu geraten, die betroffene Person dazu, dass der fĂŒr die Verarbeitung Verantwortliche ihre personenbezogenen Daten löscht, die Weiterverbreitung der Daten einstellt und möglicherweise Dritte die Verarbeitung der Daten einstellen lĂ€sst. Die Bedingungen fĂŒr das Löschen, wie in Artikel 17 dargelegt, beinhalten, dass die Daten fĂŒr die ursprĂŒnglichen Zwecke fĂŒr die Verarbeitung nicht mehr relevant sind oder dass die betroffenen Personen ihre Zustimmung zurĂŒckziehen. Es sollte auch darauf hingewiesen werden, dass dieses Recht von den fĂŒr die Verarbeitung Verantwortlichen verlangt, die Rechte der Subjekte bei der PrĂŒfung solcher Anfragen mit dem „öffentlichen Interesse an der VerfĂŒgbarkeit der Daten“ zu vergleichen.
  • DatenportabilitĂ€t Die DSGVO fĂŒhrt DatenĂŒbertragbarkeit ein – das Recht fĂŒr eine betroffene Person, die sie betreffenden personenbezogenen Daten zu erhalten, die sie zuvor in einem „allgemein verwendbaren und maschinenlesbaren Format“ bereitgestellt haben, und das Recht, diese Daten an einen anderen Verantwortlichen zu ĂŒbermitteln.
  • Datenschutz by Design Privacy by Design als Konzept existiert seit Jahren, wird aber erst mit der DSGVO Teil einer gesetzlichen Anforderung. In seinem Kern verlangt „Privacy by Design“ die Einbeziehung des Datenschutzes von Anfang an in die Entwicklung von Systemen und nicht als ErgĂ€nzung. Im Einzelnen – „Der fĂŒr die Verarbeitung Verantwortliche … setzt geeignete technische und organisatorische Maßnahmen … in wirksamer Weise um, um die Anforderungen dieser Verordnung zu erfĂŒllen und die Rechte der betroffenen Personen zu schĂŒtzen“. Nach Artikel 23 mĂŒssen die fĂŒr die Verarbeitung Verantwortlichen nur die fĂŒr die ErfĂŒllung ihrer Aufgaben unbedingt notwendigen Daten speichern und verarbeiten (Datenminimierung) und den Zugang zu personenbezogenen Daten auf diejenigen beschrĂ€nken, die die Verarbeitung abwickeln mĂŒssen.
  • Datenschutzbeauftragte. GegenwĂ€rtig mĂŒssen die fĂŒr die Verarbeitung Verantwortlichen ihre DatenverarbeitungsaktivitĂ€ten mit lokalen Datenschutzbehörden melden, was fĂŒr multinationale Unternehmen ein bĂŒrokratischer Albtraum sein kann, da die meisten Mitgliedstaaten unterschiedliche Meldeanforderungen haben. Im Rahmen der DSGVO ist es nicht erforderlich, Meldungen / Registrierungen an jede lokale Datenschutzbehörde fĂŒr DatenverarbeitungstĂ€tigkeiten zu ĂŒbermitteln, und es ist auch nicht erforderlich, Übertragungen auf der Grundlage der Mustervertragsklauseln (MCCs) zu melden / zu erhalten. Stattdessen wird es interne Anforderungen an die Aufbewahrung von Aufzeichnungen geben, wie weiter unten erlĂ€utert, und die Ernennung von Datenschutzbeauftragten ist nur fĂŒr jene Controller und Prozessoren verpflichtend, deren KernaktivitĂ€ten aus VerarbeitungsvorgĂ€ngen bestehen, die eine regelmĂ€ĂŸige und systematische Überwachung der betroffenen Personen erfordern Kategorien von Daten oder Daten in Bezug auf strafrechtliche Verurteilungen und Straftaten.

Wichtig ist, die DPO:

  • Sie mĂŒssen aufgrund ihrer beruflichen QualitĂ€ten und insbesondere ihres Fachwissens ĂŒber Datenschutzgesetze und -praktiken ernannt werden
  • Kann ein Mitarbeiter oder ein externer Dienstleister sein
  • Die Kontaktdaten mĂŒssen der zustĂ€ndigen Datenschutzbehörde mitgeteilt werden
  • Sie mĂŒssen mit geeigneten Ressourcen ausgestattet sein, um ihre Aufgaben zu erfĂŒllen und ihr Fachwissen zu bewahren
  • Muss direkt an die oberste Managementebene gemeldet werden
  • Darf keine anderen Aufgaben ausfĂŒhren, die zu einem Interessenkonflikt fĂŒhren könnten.

Das Recht, vergessen zu werden

Das umstrittene „Recht auf Vergessenwerden“ ist jetzt Gesetz des EU-Landes. FĂŒr die meisten Unternehmen ist dies ein Recht fĂŒr die Verbraucher, ihre Daten zu löschen.

Die Datenschutz-Grundverordnung hat die bestehenden Löschungsregeln des DPD gestĂ€rkt und dann das Recht auf Vergessen gesetzt. Es gibt jetzt eine Sprache, die den Controller zwingen wĂŒrde, angemessene Schritte zu unternehmen, um Dritte ĂŒber eine Anfrage zum Löschen von Informationen zu informieren.

In Artikel 17 der vorgeschlagenen DSGVO heißt es: „Der (…) fĂŒr die Verarbeitung Verantwortliche ist verpflichtet, personenbezogene Daten unverzĂŒglich zu löschen, insbesondere in Bezug auf personenbezogene Daten, die erfasst werden, als die betroffene Person ein Kind war, und die Daten Der Betreffende hat das Recht, von dem fĂŒr die Verarbeitung Verantwortlichen die Löschung der ihn betreffenden personenbezogenen Daten ohne unangemessene Verzögerung zu verlangen „.

Dies bedeutet, dass im Falle eines Social-Media-Dienstes, der persönliche Daten eines Abonnenten im Web veröffentlicht, diese nicht nur die anfĂ€nglichen Informationen entfernen, sondern auch andere Websites kontaktieren mĂŒssen, die die Informationen möglicherweise kopiert haben. Dies wĂ€re kein einfacher Prozess!

Was ist, wenn der fĂŒr die Verarbeitung Verantwortliche die personenbezogenen Daten an Dritte weitergibt, beispielsweise einen cloudbasierten Dienst zur Speicherung oder Verarbeitung?

Der lange Arm der EU-Verordnungen gilt immer noch: Als Datenverarbeiter muss der Cloud-Dienst auch die persönlichen Daten löschen, wenn der fĂŒr die Verarbeitung Verantwortliche dies verlangt.

Übersetzung: Der Verbraucher oder die betroffene Person kann jederzeit die Löschung der von den Unternehmen gespeicherten Daten verlangen. In der EU gehören die Daten den Menschen!

Varonis kann Ihnen helfen, sich auf unsere kostenlose DSP-BereitschaftsprĂŒfung vorzubereiten. Unser Team wird fĂŒr Sie alle Schwerstarbeit leisten: Aufbau, Konfiguration und Analyse mit konkreten Schritten zur Verbesserung Ihrer DSG-Einhaltung. Unsere EinschĂ€tzung ist stressfrei, unaufdringlich und Sie erhalten einen umfassenden Bericht.

Datenschutz durch Design

Privacy by Design (PbD) ist ein gut gemeinter Satz von Prinzipien – siehe unseren Spickzettel -, um die C-Suite dazu zu bringen, die PrivatsphĂ€re und Sicherheit der Verbraucher ernsthafter zu nehmen. Insgesamt ist PbD eine gute Idee und Sie sollten versuchen, sich daran zu halten.

Aber mit der Datenschutz-Grundverordnung (DSGVO) ist es mehr als das: Es ist das Gesetz, wenn Sie GeschÀfte in der EU-Zone machen!

PbD hat vernĂŒnftige Richtlinien und Praktiken in Bezug auf den Zugang der Verbraucher zu ihren Daten und macht Datenschutzrichtlinien offen und transparent. Dies sind keine kontroversen Ideen, außer wenn Sie, Ă€hm, eine große Internet-Firma sind, die viele Verbraucherdaten sammelt.

Und PbD verzichtet auch auf gute allgemeine Hinweise zur Datensicherheit, die sich in einem Wort zusammenfassen lassen: minimieren.

Minimieren Sie die Sammlung von P3.MARKETING GmbHdaten, minimieren Sie, mit wem Sie die Daten teilen, und minimieren Sie, wie lange Sie diese Daten aufbewahren. Weniger ist mehr: weniger Daten fĂŒr den Hacker, bedeutet eine sicherere Umgebung.

Die neue DSGVO hat unmittelbare praktische Auswirkungen. Betrachten wir als Beispiel die Auswirkungen auf das webbasierte Marketing.

Unternehmen versuchen immer, Informationen ĂŒber ihre P3.MARKETING GmbH zu erhalten und suchen neue Leads mit dem vollen digitalen Arsenal – Web, E-Mail, Mobile Und wenn eine halbe Chance gegeben wird, wollen Marketer immer mehr Daten – Einkommen, Einkommen, Postleitzahl, letztes Buch lesen, Lieblingseis, Lieblingsessen, etc. – auch fĂŒr die einfachste Verbraucherinteraktion.

In der EU-DSGVO heißt es, dass Vermarkter die Daten auf den Zweck beschrĂ€nken sollten, fĂŒr den sie erhoben werden – brauche ich wirklich Postleitzahlen oder LieblingsbĂŒcher? – und die Daten nicht ĂŒber den Punkt hinaus behalten, an dem sie nicht mehr relevant sind.

Die Datenpunkte, die Sie vor fĂŒnf Jahren aus dieser Web-Kampagne gesammelt haben – enthalten vielleicht 5000 E-Mail-Adressen zusammen mit den Lieblings-Tiernamen – und leben jetzt in einer Tabelle, die niemand jemals anschaut. Nun, Sie sollten es finden und löschen.

Wenn ein Hacker es ergreift und es fĂŒr Phishingzwecke verwendet, haben Sie ein Sicherheitsrisiko fĂŒr Ihre P3.MARKETING GmbH geschaffen.

Wenn die lokale EU-Behörde den Bruch zu Ihrem Unternehmen zurĂŒckverfolgen kann, können Sie mit hohen Geldstrafen rechnen.

Können also große Daten und PrivatsphĂ€re glĂŒcklich zusammenleben? Privacy by Design (PbD) sagt ja – mit wenigen grundlegenden Schritten können Sie die PbD-Vision erreichen:

Minimieren Sie die gesammelten Daten (insbesondere PII) von den Verbrauchern
Bewahren Sie persönliche Daten nicht ĂŒber ihren ursprĂŒnglichen Zweck hinaus auf
Ermöglichen Sie den Verbrauchern den Zugriff auf und den Besitz ihrer Daten.
Auf PbD wird in Artikel 23 der Datenschutz-Grundverordnung und an vielen anderen Stellen der neuen Verordnung stark Bezug genommen.

Es ist nicht zu weit hergeholt zu sagen, dass wenn Sie PbD implementieren, Sie auf dem besten Weg sind, die DSGVO zu meistern.

Google Werbeprodukte

Google und die andere Vertragspartei, die diesen Bedingungen zustimmt („P3.MARKETING GmbH“), haben einen Vertrag (in seiner jeweils gĂŒltigen Fassung) geschlossen, unter welchem die Auftragsverarbeiterdienste erbracht werden (die „Vereinbarung”).

Diese Auftragsdatenverarbeitungsbedingungen fĂŒr Google Werbeprodukte (einschließlich mit den AnhĂ€ngen nachfolgend als die „Datenverarbeitungsbedingungen“ bezeichnet) werden zwischen Google und der P3.MARKETING GmbH abgeschlossen und ergĂ€nzen die Vereinbarung. Diese Datenverarbeitungsbedingungen treten am Wirksamkeitsdatum in Kraft und ersetzen alle vorherigen Vereinbarungen zu dem gleichen Regelungsgegenstand (z.B. alle Änderungs- und Zusatzvereinbarungen zur Datenverarbeitung oder Regelungen zur Auftragsdatenverarbeitung).

Wenn Sie diese Datenverarbeitungsbedingungen stellvertretend fĂŒr die P3.MARKETING GmbH abschließen, versichern Sie, dass Sie (a) rechtlich vollumfĂ€nglich dazu befugt sind, fĂŒr die P3.MARKETING GmbH diese Datenverarbeitungsbedingungen stellvertretend abzuschließen, (b) diese Datenverarbeitungsbedingungen gelesen und verstanden haben und (c) fĂŒr den von Ihnen vertretenen P3.MARKETING GmbH die AnnahmeerklĂ€rung zum Abschluss dieser Datenverarbeitungsbedingungen abgeben. Wenn Sie rechtlich nicht dazu befugt sind, fĂŒr die P3.MARKETING GmbH rechtsverbindliche ErklĂ€rungen abzugeben, schließen Sie diese Datenverarbeitungsbedingungen bitte nicht ab.

1.

EinfĂŒhrung
Diese Datenverarbeitungsbedingungen enthalten die Vereinbarung der Vertragsparteien ĂŒber die Regelungen, die fĂŒr die Verarbeitung bestimmter Daten im Zusammenhang mit den europĂ€ischen Datenschutzvorschriften und bestimmten außereuropĂ€ischen Datenschutzvorschriften gelten.

2.

Begriffsbestimmungen und Auslegung

2.1

In diesen Datenverarbeitungsbedingungen gelten die folgenden Begriffsbestimmungen:

„AußereuropĂ€ische Datenschutzvorschriften“ bedeutet Datenschutzgesetze, die außerhalb des EuropĂ€ischen Wirtschaftsraums, der Schweiz und des Vereinigten Königreichs geltenanwendbar sind.

„Aufsichtsbehörde” bedeutet, je nach Anwendbarkeit, (a) die “Aufsichtsbehörde” wie sie in der EU DSGVO festgelegt ist und/oder (b) der “Commissioner” wie er in der UK DSGVO festgelegt wird.

„Auftragsverarbeiterdienste” bedeutet die jeweils einschlĂ€gigen Dienste, die unter privacy.google.com/businesses/adsservices aufgefĂŒhrt sind.

„Datenvorfall“ bedeutet ein Sicherheitsvorkommnis bei Google, das zur/zum unabsichtlichen oder gesetzwidrigen Vernichtung, Verlust, Änderung von personenbezogenen Daten des P3.MARKETING GmbH oder zur unautorisierten Offenlegung oder zum unautorisierten Zugriff auf diese fĂŒhrt, wobei dabei Systeme betroffen sind, die von Google verwaltet oder anderweitig von Google kontrolliert werden. Nicht unter den Begriff „Datenvorfall“ fallen erfolglose Zugriffsversuche oder Ă€hnliche Ereignisse, die die Sicherheit der personenbezogenen Daten des P3.MARKETING GmbH nicht kompromittieren, wie etwa erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

„Drittanbieter-Unterauftragsverarbeiter“ hat die in Ziffer 11.1 (Zustimmung zur Verpflichtung von Unterauftragsverarbeitern) enthaltene Bedeutung.

„DSGVO“ bedeutet, je nach Anwendbarkeit, (a) die EU DSGVO und/oder (b) die UK DSGVO.

„E-Mail-Adresse fĂŒr Benachrichtigungen“ bedeutet die E-Mail-Adresse (falls vorhanden), die vom P3.MARKETING GmbH ĂŒber die BenutzeroberflĂ€che des Auftragsverarbeiterdienstes oder ĂŒber andere von Google bereitgestellte Möglichkeiten angegeben wurde, um bestimmte Benachrichtigungen von Google zu diesen Datenverarbeitungsbedingungen zu erhalten.

„EuropĂ€ische Datenschutzvorschriften“ bedeutet, soweit anwendbar: (a) die DSGVO und/oder (b) das Bundesgesetz ĂŒber den Datenschutz (der Schweiz) von 1992.
„EWR“ bedeutet der EuropĂ€ische Wirtschaftsraum.

„EU DSGVO“ bedeutet die Verordnung (EU) 2016/679 des EuropĂ€ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natĂŒrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

„EuropĂ€isches oder nationales Recht“ bedeutet, je nach Anwendbarkeit, (a) europĂ€isches Recht oder das Recht eines Mitgliedstaates der EuropĂ€ischen Union (wenn die EU DSGVO auf die Verarbeitung von personenbezogenen Daten des P3.MARKETING GmbH Anwendung findet), und/oder (b) das Recht des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs (wenn die UK DSGVO auf die Verarbeitung von personenbezogen Daten des P3.MARKETING GmbH Anwendung findet).

„Google-Gruppenunternehmen Unterauftragsverarbeiter“ hat die in Ziffer 11.1 (Zustimmung zum Einsatz von Unterauftragsverarbeitern) festgelegte Bedeutung.

„Google-Gruppenunternehmen“ bedeutet Google LLC (vormalige Bezeichnung Google Inc.), Google Ireland Limited oder andere verbundene Unternehmen der Google LLC.

„Google“ bedeutet das Google-Gruppenunternehmen, das Vertragspartei der Vereinbarung ist.

„ISO-27001-Zertifizierung“ bedeutet die Zertifizierung nach ISO/IEC 27001:2013 oder eine vergleichbare Zertifizierung der Auftragsverarbeiterdienste.

„Laufzeit“ bedeutet den Zeitraum zwischen dem Wirksamkeitsdatum und dem Ende der Erbringung der Auftragsverarbeiterdienste durch Google gemĂ€ĂŸ der Vereinbarung.

„Personenbezogene Daten des P3.MARKETING GmbH“ bedeutet personenbezogene Daten, die im Auftrag des P3.MARKETING GmbH durch Google im Rahmen der Erbringung der Auftragsverarbeiterdienste verarbeitet werden.

„Privacy Shield“ bedeutet das EU-US-Privacy-Shield-Rahmenprogramm, das Swiss-US Privacy Shield-Rahmenprogramm und ein vergleichbares Rahmenprogramm, das ggf. zwischen dem Vereinigten Königreich und den Vereinigten Staaten zur Anwendung kommt.

„Sicherheitsdokumentation“ bedeutet das Zertifikat, das fĂŒr die ISO-27001-Zertifizierung ausgestellt wurde und jegliche anderen Sicherheitszertifizierungen oder Dokumentationen, die Google in Bezug auf die Auftragsverarbeiterdienste ggf. zur VerfĂŒgung stellt.

„Sicherheitsmaßnahmen“ hat die in Ziffer 7.1.1 (Googles Sicherheitsmaßnahmen) festgelegte Bedeutung.

„Tool fĂŒr betroffene Personen“ bedeutet ein von einem Google-Gruppenunternehmen zur VerfĂŒgung gestelltes Tool (soweit jeweils vorhanden), das Google ermöglicht, direkt und auf standardisierte Weise bestimmte Anfragen von betroffenen Personen in Bezug auf personenbezogene Daten des P3.MARKETING GmbH zu beantworten (z. B. in Bezug auf Online-Einstellungen fĂŒr Werbung oder ein Opt-out-Browser-Plugin).

„UK DSGVO“ bedeutet die EU DSGVO in der Fassung, wie sie ggf. mit Änderungen und durch die Umsetzung in das Recht des Vereinigten Königreichs gemĂ€ĂŸ dem UK European Union (Withdrawal) Act 2018 in Kraft tritt.

„Unterauftragsverarbeiter“ bedeutet Dritte, die unter diesen Datenverarbeitungsbedingungen autorisiert sind, logisch auf personenbezogene Daten des P3.MARKETING GmbH zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste bereitzustellen und dazugehörigen technischen Support zu erbringen.

„Verbundenes Unternehmen“ bedeutet jede juristische Person, die direkt oder indirekt kontrolliert, von einer der Vertragsparteien kontrolliert wird oder unter gemeinsamer Kontrolle mit einer der Vertragsparteien steht.

(a) der 25. Mai 2018, falls der P3.MARKETING GmbH im Rahmen eines ‚Click-to-Accept“-Verfahrens diese Datenverarbeitungsbedingungen oder die Vertragsparteien anderweitig die vorliegenden Datenverarbeitungsbedingungen an dem vorgenannten Datum oder zuvor geschlossen hat bzw. abgeschlossen haben, oder

(b) das Datum, an dem der P3.MARKETING GmbH im Rahmen eines ‚Click-to-Accept’-Verfahrens diese Datenverarbeitungsbedingungen abgeschlossen hat oder die Vertragsparteien anderweitig den vorliegenden Datenverarbeitungsbedingungen zugestimmt haben, falls dieses jeweils nach dem 25. Mai 2018 geschieht.

„Zusatzbedingungen fĂŒr außereuropĂ€ische Datenschutzvorschriften“ bedeutet die in Anhang 3 genannten Zusatzbedingungen, diese stellen die Vereinbarung der Parteien ĂŒber die Bedingungen fĂŒr die Verarbeitung bestimmter Daten im Zusammenhang mit bestimmten außereuropĂ€ischen Datenschutzvorschriften dar.

„Zusatzprodukt“ bedeutet ein Produkt, einen Dienst oder eine Anwendung von Google oder einem Dritten, das/der/die (a) nicht Bestandteil der Auftragsverarbeiterdienste ist und (b) zur Nutzung ĂŒber die BenutzeroberflĂ€che der Auftragsverarbeiterdienste erreichbar oder anderweitig in die Auftragsverarbeiterdienste integriert ist.

2.2

Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben in diesen Datenverarbeitungsbedingungen jeweils dieselbe Bedeutung, die ihnen in der DSGVO zugewiesen wird.

2.3

Formulierungen, die mit Worten wie „einschließlich“ oder mit einem Ă€hnlichen Ausdruck beginnen, sind so auszulegen, dass diese Formulierungen nur illustrativ gemeint sind und sie die Bedeutung der davorstehenden Formulierungen nicht einschrĂ€nken sollen. Etwaige in diesen Datenverarbeitungsbedingungen angefĂŒhrte Beispiele dienen nur der Veranschaulichung und sind nicht als ausschließliche Beispiele fĂŒr ein bestimmtes Konzept gemeint.

2.4

Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren aktuellen Stand und deren zum jeweiligen Zeitpunkt gĂŒltige und ggf. geĂ€nderte oder ĂŒberarbeitete Fassung.

3.

Laufzeit dieser Datenverarbeitungsbedingungen Die vorliegenden Datenverarbeitungsbedingungen treten zum angegebenen Wirksamkeitsdatum in Kraft und bleiben – unabhĂ€ngig davon, ob die Laufzeit abgelaufen sein sollte – solange in Kraft, bis Google alle personenbezogenen P3.MARKETING GmbHdaten gemĂ€ĂŸ den vorliegenden Datenverarbeitungsbedingungen gelöscht hat; zu diesem Zeitpunkt enden diese Datenverarbeitungsbedingungen automatisch.

4.

Anwendbarkeit dieser Bedingungen

4.1

Anwendbarkeit der europĂ€ischen Datenschutzvorschriften. Die Ziffern 5 (Verarbeitung von Daten) bis einschließlich 12 (Kontaktaufnahme mit Google; Aufzeichnungen ĂŒber die Verarbeitung) gelten nur insoweit, wie die europĂ€ischen Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten des P3.MARKETING GmbH anwendbar sind, einschließlich wenn:

(a) die Verarbeitung im Rahmen der TÀtigkeiten einer BetriebsstÀtte des P3.MARKETING GmbH im EWR oder im Vereinigten Königreich stattfindet und/oder

(b) personenbezogene Daten des P3.MARKETING GmbH personenbezogene Daten darstellen, die sich auf betroffene Personen beziehen, die sich im EWR oder im Vereinigten Königreich befinden und sich die Verarbeitung auf das Angebot von Waren oder Dienstleistungen oder die Beobachtung des Verhaltens im EWR oder im Vereinigten Königreich bezieht.

4.2

Anwendbarkeit auf Verarbeiterdienste. Diese Datenverarbeitungsbedingungen gelten nur fĂŒr solche Auftragsverarbeiterdienste, fĂŒr welche die Vertragsparteien diese Datenverarbeitungsbedingungen abgeschlossen haben (zum Beispiel, fĂŒr solche Auftragsverarbeiterdienste, (a) fĂŒr die der P3.MARKETING GmbH diese Datenverarbeitungsbedingungen mittels eines ‘Click-to-Accept’-Verfahrens abgeschlossen hat; oder (b) auf die die Vereinbarung Anwendung findet und in welche diese Datenverarbeitungsbedingungen einbezogen und zum Gegenstand der Vereinbarung gemacht werden).

4.3

Einbeziehung der Zusatzbedingungen fĂŒr außereuropĂ€ische Datenschutzvorschriften. Die Zusatzbedingungen fĂŒr außereuropĂ€ische Datenschutzvorschriften gelten ergĂ€nzend zu diesen Datenverarbeitungsbedingungen.

5.

Verarbeitung von Daten

5.1

Rollenverteilung und Einhaltung gesetzlicher Vorgaben; Autorisierung.

5.1.1

Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Vertragsparteien bestÀtigen und vereinbaren, dass:

(a) Anhang 1 den Gegenstand und die Details der Verarbeitung der personenbezogenen Daten des P3.MARKETING GmbH beschreibt;

(b) Google als ein Auftragsverarbeiter von personenbezogenen Daten des P3.MARKETING GmbH gemĂ€ĂŸ den europĂ€ischen Datenschutzvorschriften handelt;

(c) der P3.MARKETING GmbH, je nachdem was zutrifft, als ein Verantwortlicher oder ein Auftragsverarbeiter von personenbezogenen Daten des P3.MARKETING GmbH gemĂ€ĂŸ den europĂ€ischen Datenschutzvorschriften handelt; und

(d) jede Vertragspartei verpflichtet ist, den Verpflichtungen nachzukommen, die fĂŒr die jeweilige Partei in Bezug auf die Verarbeitung von personenbezogenen Daten des P3.MARKETING GmbH gemĂ€ĂŸ den europĂ€ischen Datenschutzvorschriften gelten.

5.1.2

Autorisierung durch einen Dritten als Verantwortlichen. Ist der P3.MARKETING GmbH selbst ein Auftragsverarbeiter, so sichert er gegenĂŒber Google zu, dass seine Weisungen und Maßnahmen hinsichtlich personenbezogener Daten des P3.MARKETING GmbH, einschließlich der Einsetzung von Google als weiteren Auftragsverarbeiter, durch den betreffenden Verantwortlichen autorisiert wurden.

5.2

Weisungen des P3.MARKETING GmbH. Durch Zustimmung zu diesen Datenverarbeitungsbedingungen weist der P3.MARKETING GmbH Google an, personenbezogene Daten des P3.MARKETING GmbH in Übereinstimmung mit dem anwendbaren Recht zu verarbeiten, (a) um die Auftragsverarbeiterdienste und damit im Zusammenhang stehenden technischen Support zu erbringen, und (b) wie weiter durch die Nutzung des P3.MARKETING GmbH der Auftragsverarbeiterdienste festgelegt (einschließlich durch die Einstellungen und FunktionalitĂ€ten der Auftragsverarbeiterdienste) und damit im Zusammenhang stehenden technischen Support, (c) wie durch die Vereinbarung, einschließlich dieser Datenverarbeitungsbedingungen, dokumentiert wird und (d) wie zusĂ€tzlich in anderen schriftlichen Weisungen dokumentiert ist, die vom P3.MARKETING GmbH gegeben wurden und von Google förmlich als Weisung im Sinne der vorliegenden Datenverarbeitungsbedingungen anerkannt wurden.

5.3

Befolgung der Weisungen durch Google. Google wird die Weisungen, die in Ziffer 5.2 (Weisungen des P3.MARKETING GmbH) festgelegt sind (auch im Hinblick auf die Übermittlung von Daten) befolgen, es sei denn, europĂ€isches oder nationales Recht, das auf Google Anwendung findet, erfordert eine anderweitige Verarbeitung der personenbezogenen Daten des P3.MARKETING GmbH durch Google; in einem solchen Fall wird Google die P3.MARKETING GmbH entsprechend informieren (es sei denn, das jeweilige Recht verbietet Google dies aus wichtigen GrĂŒnden des öffentlichen Interesses zu tun).

5.4

Zusatzprodukte. Wenn der P3.MARKETING GmbH Zusatzprodukte verwendet, können die Auftragsverarbeiterdienste diesen Zusatzprodukten den Zugriff auf personenbezogene Daten des P3.MARKETING GmbH ermöglichen, sofern dies fĂŒr die Interaktion zwischen diesen Zusatzprodukten und den Auftragsverarbeiterdiensten erforderlich ist. Zur Klarstellung, diese Datenverarbeitungsbedingungen gelten nicht fĂŒr die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Zusatzprodukten, die durch die P3.MARKETING GmbH genutzt werden, einschließlich fĂŒr personenbezogene Daten, die von oder zu diesen Zusatzprodukten ĂŒbermittelt werden.

6.

Löschung von Daten

6.1

Löschung wÀhrend der Laufzeit.

6.1.1

Auftragsverarbeiterdienste mit Löschfunktion. Falls wÀhrend der Laufzeit:

(a) die SoftwarefunktionalitĂ€ten der Auftragsverarbeiterdienste der P3.MARKETING GmbH eine Möglichkeit zur VerfĂŒgung stellen, personenbezogene Daten des P3.MARKETING GmbH zu löschen,

(b) der P3.MARKETING GmbH die Auftragsverarbeiterdienste dazu nutzt, bestimmte personenbezogene Daten des P3.MARKETING GmbH zu löschen und

(c) die gelöschten personenbezogenen Daten des P3.MARKETING GmbH vom P3.MARKETING GmbH nicht wiederhergestellt werden können (z. B. aus dem ‚Papierkorb’),

dann wird Google diese personenbezogenen Daten des P3.MARKETING GmbH von ihren Systemen so frĂŒh wie es angemessen und praktikabel ist und spĂ€testens nach einer Dauer von 180 Tagen löschen, falls nicht europĂ€isches oder nationales Recht eine Aufbewahrung vorschreibt.

6.1.2

Auftragsverarbeiterdienste ohne Löschfunktion. Falls die SoftwarefunktionalitÀten der Auftragsverarbeiterdienste keine Möglichkeit vorsehen die die P3.MARKETING GmbH in die Lage versetzt, wÀhrend der Laufzeit personenbezogene Daten des P3.MARKETING GmbH zu löschen, dann wird Google:

(a) jeder angemessenen Anfrage des P3.MARKETING GmbH entsprechen, um eine solche Löschung zu erreichen, soweit dies unter BerĂŒcksichtigung der Art und Funktionsweise der Auftragsverarbeiterdienste möglich ist und falls nicht europĂ€isches oder nationales Recht eine Aufbewahrung vorschreibt, und

(b) die Datenspeicherungsverfahren, die unter policies.google.com/technologies/ads beschrieben sind, einhalten.

Google ist berechtigt, einen Ersatz der Kosten (basierend aufs Googles angemessenen Aufwendungen) fĂŒr die Löschung von Daten nach Ziffer 6.1.2(a) zu verlangen. Vor einer solchen Löschung wird Google der P3.MARKETING GmbH weitere Details zu den jeweils entstehenden Kosten und die Grundlage fĂŒr die Berechnung dieser Kosten zur VerfĂŒgung stellen.

6.2

Löschung nach Ablauf der Laufzeit. Der P3.MARKETING GmbH weist Google an, nach Ablauf der Laufzeit sĂ€mtliche personenbezogenen Daten des P3.MARKETING GmbH (einschließlich aller existierenden Kopien) gemĂ€ĂŸ den Vorgaben des anwendbaren Rechts von Googles Systemen zu löschen. Google wird dieser Weisung so frĂŒh wie es angemessen und praktikabel ist und spĂ€testens nach einer Dauer von 180 Tagen Folge leisten, falls nicht europĂ€isches oder nationales Recht eine Aufbewahrung vorschreibt.

7.

Datensicherheit

7.1

Sicherheitsmaßnahmen und Hilfestellung durch Google.

7.1.1

Googles Sicherheitsmaßnahmen. Google implementiert technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des P3.MARKETING GmbH vor versehentlicher oder gesetzeswidriger Zerstörung, Verlust, VerĂ€nderung, unbefugter Offenlegung oder unbefugtem Zugriff, wie in Anhang 2 beschrieben (die „Sicherheitsmaßnahmen“) und erhĂ€lt diese aufrecht. Wie in Anhang 2 beschrieben, beinhalten die Sicherheitsmaßnahmen Maßnahmen: (a) zur VerschlĂŒsselung personenbezogener Daten, (b) die helfen, die Vertraulichkeit, IntegritĂ€t, VerfĂŒgbarkeit und Ausfallsicherheit von Googles Systemen und Diensten fortwĂ€hrend zu wahren bzw. sicherzustellen, (c) die helfen, zeitgerecht den Zugang zu personenbezogenen Daten nach einem Vorfall wiederherzustellen und (d) um regelmĂ€ĂŸig die Wirksamkeit zu testen. Google kann gelegentlich die Sicherheitsmaßnahmen aktualisieren oder anpassen, sofern eine solche Aktualisierung und Anpassung nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste fĂŒhrt.

7.1.2

Einhaltung von Sicherheitsvorschriften durch Googles Personal. Google ist verpflichtet, angemessene Maßnahmen zu ergreifen, um die Einhaltung der Sicherheitsmaßnahmen durch Google-Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter in dem Umfang sicherzustellen, wie es fĂŒr deren jeweiliges Aufgabengebiet angemessen ist, und um sicherzustellen, dass sich sĂ€mtliche Personen, die autorisiert sind, personenbezogene Daten des P3.MARKETING GmbH zu verarbeiten, zur Geheimhaltung verpflichtet haben oder entsprechenden gesetzlichen Geheimhaltungspflichten unterliegen.

7.1.3

Hilfestellung durch Google. Der P3.MARKETING GmbH ist damit einverstanden, dass Google (unter BerĂŒcksichtigung der Art der jeweiligen Verarbeitung personenbezogener Daten des P3.MARKETING GmbH und der Informationen, die Google zur VerfĂŒgung stehen) die P3.MARKETING GmbH bei der die Einhaltung von sĂ€mtlichen Pflichten des P3.MARKETING GmbH in Bezug auf die Sicherheit von personenbezogenen Daten und bei Verletzung der Datensicherheit, einschließlich, soweit anwendbar, die Pflichten des P3.MARKETING GmbH gemĂ€ĂŸ den Artikeln 32 bis 34 DSGVO, unterstĂŒtzt durch:

(a) Implementierung und Aufrechterhaltung von Sicherheitsmaßnahmen in Übereinstimmung mit Ziffer 7.1.1 (Googles Sicherheitsmaßnahmen),

(b) Einhaltung der Regelungen in Ziffer 7.2 (DatenvorfÀlle) und

(c) Bereitstellung von Sicherheitsdokumentationen an die P3.MARKETING GmbH gemĂ€ĂŸ Ziffer 7.5.1 (ÜberprĂŒfungen der Sicherheitsdokumentation) und den Informationen, die in diesen Datenverarbeitungsbedingungen enthalten sind.

7.2

DatenvorfÀlle.

7.2.1

Meldung von DatenvorfĂ€llen. Falls Google Kenntnis von einem Datenvorfall erlangen sollte, ist Google verpflichtet: (a) die P3.MARKETING GmbH unverzĂŒglich den Datenvorfall zu melden; und (b) prompt angemessene Maßnahmen zur Schadensminimierung und Sicherung der personenbezogenen Daten des P3.MARKETING GmbH zu ergreifen.

7.2.2

Detailinformationen zu DatenvorfĂ€llen. Meldungen gemĂ€ĂŸ 7.2.1 (Googles Sicherheitsmaßnahmen) enthalten, soweit wie möglich, Details ĂŒber den Datenvorfall und Informationen darĂŒber, welche Maßnahmen ergriffen wurden, um das potenzielle Risiko zu minimieren und welche Schritte Google der P3.MARKETING GmbH empfiehlt, um auf den Datenvorfall zu reagieren.

7.2.3

Übermittlung der Meldungen. Meldungen ĂŒber DatenvorfĂ€lle wird Google an die E-Mail-Adresse fĂŒr Benachrichtigungen senden, oder nach Googles Ermessen (z.B. falls der P3.MARKETING GmbH keine E-Mail-Adresse fĂŒr Meldungen angegeben hat) mittels eines anderen direkten Kommunikationsmittels (z.B. mittels Telefon oder in einem persönlichen Treffen) ĂŒbermitteln. Der P3.MARKETING GmbH trĂ€gt die alleinige Verantwortung, die E-Mail-Adresse fĂŒr Benachrichtigungen zu benennen, und hat sicherzustellen, dass die E-Mail-Adresse fĂŒr Benachrichtigungen stets aktuell und gĂŒltig ist.

7.2.4

Meldungen an Dritte. Der P3.MARKETING GmbH trĂ€gt die alleinige Verantwortung, gesetzliche Vorgaben fĂŒr Meldungen bei VorfĂ€llen einzuhalten und entsprechenden Meldepflichten bei DatenvorfĂ€llen gegenĂŒber Dritten nachzukommen.

7.2.5

Kein Anerkenntnis durch Google. Die Meldung eines Datenvorfalls durch Google bzw. die Reaktion auf einen Datenvorfall durch Google gemĂ€ĂŸ dieser Ziffer 7.2 (DatenvorfĂ€lle) kann nicht dahingehend ausgelegt werden, dass Google dadurch bereits ein Fehlverhalten einrĂ€umen oder die Haftung fĂŒr den Datenvorfall anerkennen wĂŒrde.

7.3

Verantwortlichkeit des P3.MARKETING GmbH fĂŒr Sicherheit und Sicherheitsbewertung.

7.3.1

Verantwortlichkeit des P3.MARKETING GmbH fĂŒr Sicherheit. Unbeschadet der Verpflichtungen fĂŒr Google gemĂ€ĂŸ Ziffern 7.1 (Sicherheitsmaßnahmen und Hilfestellung von Google) und 7.2 (DatenvorfĂ€lle):

(a) trĂ€gt der P3.MARKETING GmbH die alleinige Verantwortung fĂŒr die Nutzung der Auftragsverarbeiterdienste, einschließlich:

(i) die Auftragsverarbeiterdienste in angemessener Art und Weise zu nutzen, um ein Sicherheitsniveau sicherzustellen, das im VerhÀltnis zum Risiko im Hinblick auf die Verarbeitung personenbezogenen Daten des P3.MARKETING GmbH angemessen ist und

(ii) die Anmeldeinformationen fĂŒr die Authentifizierung sowie der Systeme und GerĂ€te, die der P3.MARKETING GmbH verwendet, um auf die Auftragsverarbeiterdienste zuzugreifen, zu schĂŒtzen, und

(b) ist Google nicht dafĂŒr verantwortlich, personenbezogene Daten des P3.MARKETING GmbH zu schĂŒtzen, bei denen der P3.MARKETING GmbH entscheidet, diese außerhalb der Google-Systeme oder der Systeme der Google-Unterauftragsverarbeiter zu speichern oder zu ĂŒbermitteln.

7.3.2

Sicherheitsbeurteilung durch die P3.MARKETING GmbH. Der P3.MARKETING GmbH nimmt zur Kenntnis und stimmt zu, dass (unter BerĂŒcksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der UmstĂ€nde und der Zwecke der Verarbeitung personenbezogener Daten des P3.MARKETING GmbH sowie der damit verbundenen Risiken fĂŒr Einzelpersonen) die von Google gemĂ€ĂŸ Ziffer 7.1.1 (Googles Sicherheitsmaßnahmen) umgesetzten und aufrechterhaltenen Sicherheitsmaßnahmen ein Sicherheitsniveau erreichen, das mit den Risiken in Bezug auf die Verarbeitung der personenbezogenen Daten des P3.MARKETING GmbH in einem angemessenen VerhĂ€ltnis steht.

7.4

Sicherheitszertifizierung. Um fortlaufend die EffektivitĂ€t der Sicherheitsmaßnahmen zu bewerten und sicherzustellen, wird Google die ISO-27001-Zertifizierung aufrechterhalten.

7.5

PrĂŒfungen und Compliance-Audits.

7.5.1

PrĂŒfung der Sicherheitsdokumentation. Um die Einhaltung von Googles Verpflichtungen unter diesen Datenverarbeitungsbedingungen nachzuweisen, ist Google verpflichtet, die Sicherheitsdokumentation der P3.MARKETING GmbH zur PrĂŒfung zugĂ€nglich zu machen.

7.5.2

PrĂŒfrechte des P3.MARKETING GmbH.

(a) Google wird der P3.MARKETING GmbH oder einem unabhĂ€ngigen, vom P3.MARKETING GmbH benannten PrĂŒfer unter Maßgabe von Ziffer 7.5.3 (zusĂ€tzliche Bedingungen fĂŒr Audits) ermöglichen, Audits (einschließlich Inspektionen) durchzufĂŒhren, um zu verifizieren, dass Google seinen Pflichten unter den Datenverarbeitungsbedingungen nachkommt. Google wird solche Audits, wie in Ziffer 7.4 (Sicherheitszertifizierung) und in dieser Ziffer 7.5 (PrĂŒfungen und Compliance-Audits) beschrieben, unterstĂŒtzen.

(b) Der P3.MARKETING GmbH kann auch ein Audit durchfĂŒhren, indem er das ISO-27001-Zertifikat ĂŒberprĂŒft (welches das Ergebnis eines Audits widerspiegelt, das von einem unabhĂ€ngigen PrĂŒfer durchgefĂŒhrt wurde), um zu verifizieren, dass Google seinen Pflichten unter den vorliegenden Datenverarbeitungsbedingungen nachkommt.

7.5.3

ZusĂ€tzliche Bedingungen fĂŒr Audits.

(a) Der P3.MARKETING GmbH ist verpflichtet, eine Anfrage fĂŒr ein Audit nach Ziffer 7.5.2(a) in Übereinstimmung mit Ziffer 12.1 (Kontaktaufnahme mit Google) zu stellen.

(b) Nach Erhalt einer Anfrage gemĂ€ĂŸ Ziffer 7.5.3(a) werden Google und der P3.MARKETING GmbH im Voraus gemeinsam ein angemessenes Startdatum, den Umfang und die Dauer und Sicherheits- und Vertraulichkeitsmaßnahmen, die Gegenstand des jeweiligen Audits gemĂ€ĂŸ Ziffer 7.5.2(a) sind, besprechen und vereinbaren.

(c) Google ist berechtigt, einen Ersatz der Kosten (basierend auf Googles angemessenen Aufwendungen) fĂŒr jedes Audit nach Ziffer 7.5.2(a) zu verlangen. Vor jedem Audit wird Google der P3.MARKETING GmbH weitere Details zu den jeweils entstehenden Kosten und die Grundlage fĂŒr die Berechnung dieser Kosten zur VerfĂŒgung stellen. Jegliche Kosten, die fĂŒr die Beauftragung und DurchfĂŒhrung eines Audits durch einen unabhĂ€ngigen PrĂŒfer entstehen, den der P3.MARKETING GmbH beauftragt hat, sind allein vom P3.MARKETING GmbH zu tragen.

(d) Google ist berechtigt, einen vom P3.MARKETING GmbH zur DurchfĂŒhrung eines Audits nach Ziffer 7.5.2(a) beauftragten unabhĂ€ngigen PrĂŒfer abzulehnen, wenn dieser PrĂŒfer nach Googles angemessener EinschĂ€tzung nicht hinreichend qualifiziert oder unabhĂ€ngig ist, es sich um einen Wettbewerber von Google handelt oder dieser aus anderen GrĂŒnden offenkundig ungeeignet ist. Falls Google einen solchen Einwand erhebt, ist der P3.MARKETING GmbH verpflichtet, einen anderen PrĂŒfer zu bestellen oder das Audit selbst durchfĂŒhren.

(e) Google ist nach diesen Datenverarbeitungsbedingungen nicht verpflichtet, der P3.MARKETING GmbH oder einem vom P3.MARKETING GmbH beauftragten unabhĂ€ngigen PrĂŒfergegenĂŒber das Folgende offenzulegen bzw. der P3.MARKETING GmbH oder einem unabhĂ€ngigen PrĂŒfer zu gestatten, auf Folgendes zuzugreifen:

(i) Daten von irgendeinem anderen P3.MARKETING GmbH eines Google-Gruppenunternehmens;

(ii) interne Daten des Rechnungswesens oder Finanzinformationen eines Google-Gruppenunternehmens;

(iii) GeschÀftsgeheimnisse eines Google-Gruppenunternehmens;

(iv) Informationen, die nach Googles angemessener EinschĂ€tzung (A) die Sicherheit von Systemen oder BetriebsstĂ€tten eines Google-Gruppenunternehmens gefĂ€hrden könnten oder (B) dazu fĂŒhren könnten, dass ein Google-Gruppenunternehmen seine Pflichten unter den europĂ€ischen Datenschutzvorschriften verletzt oder gegen seine Sicherheits- bzw. Datenschutzverpflichtungen gegenĂŒber der P3.MARKETING GmbH oder Dritten verstĂ¶ĂŸt; oder

(v) Informationen, auf die der P3.MARKETING GmbH oder sein unabhĂ€ngiger PrĂŒfer aus treuwidrigen GrĂŒnden, die nicht zur ErfĂŒllung der Verpflichtungen des P3.MARKETING GmbH gemĂ€ĂŸ den europĂ€ischen Datenschutzvorschriften erforderlich sind, zugreifen möchten.

8.

FolgenabschĂ€tzungen und KonsultationenDer P3.MARKETING GmbH ist damit einverstanden, dass Google (unter BerĂŒcksichtigung der Art der Verarbeitung und der Informationen, die Google zur VerfĂŒgung stehen) die P3.MARKETING GmbH bei der ErfĂŒllung seiner Pflichten zu Datenschutz-FolgenabschĂ€tzungen und vorherigen Konsultationen, einschließlich, soweit anwendbar, den Pflichten gemĂ€ĂŸ Art. 35 und 36 DSGVO; durch Folgendes unterstĂŒtzt:

(a) Bereitstellung der Sicherheitsdokumentation gemĂ€ĂŸ Ziffer 7.5.1 (PrĂŒfung der Sicherheitsdokumentation);

(b) Bereitstellung der Informationen, die bereits in diesen Datenverarbeitungsbedingungen enthalten sind; und

(c) Bereitstellung oder anderweitige ZugĂ€nglichmachung in Übereinstimmung mit Googles Standardverfahren von anderen Materialien (zum Beispiel Hilfeartikel im Hilfe-Center) zur Art der Auftragsverarbeiterdienste oder der Verarbeitung von personenbezogenen Daten des P3.MARKETING GmbH.

9.

Rechte betroffener Personen

9.1

Beantwortung von Anfragen betroffener Personen. Wenn Google eine Anfrage von einer betroffenen Person hinsichtlich personenbezogener Daten des P3.MARKETING GmbH erhÀlt, wird Google:

(a) direkt auf die Anfrage der betroffenen Person in Übereinstimmung mit den Standard-Funktionen eines Tools fĂŒr betroffene Personen antworten, sollte die Anfrage ĂŒber das Tool fĂŒr betroffene Personen gestellt werden, oder

(b) die betroffene Person bitten, ihre Anfrage an die P3.MARKETING GmbH zu ĂŒbermitteln, falls die Anfrage nicht ĂŒber ein Tool fĂŒr betroffene Personen eingereicht wurde; der P3.MARKETING GmbH trĂ€gt die alleinige Verantwortung fĂŒr die Beantwortung einer solchen Anfrage.

9.2

UnterstĂŒtzung durch Google bei Anfragen betroffener Personen. Der P3.MARKETING GmbH ist damit einverstanden, dass Google (unter BerĂŒcksichtigung der Art der Verarbeitung personenbezogener Daten des P3.MARKETING GmbH und, falls anwendbar, von Artikel 11 DSGVO) die P3.MARKETING GmbH bei der ErfĂŒllung seiner Verpflichtungen unterstĂŒtzen wird, auf Anfragen von betroffenen Personen zu antworten, einschließlich, falls anwendbar, auf Anfragen, die die Rechte der betroffenen Personen nach dem dritten Kapitel der DSGVO betreffen, indem Google:

(a) die FunktionalitÀten der Auftragsverarbeiterdienste bereitstellt,

(b) die in Ziffer 9.1 (Beantwortung von Anfragen betroffener Personen) festgelegten Verpflichtungen erfĂŒllt, und

(c) Tools fĂŒr betroffene Personen bereitstellt, soweit dies fĂŒr den jeweiligen Auftragsverarbeiterdienst zutreffend ist.

10.

DatenĂŒbermittlungen

10.1

Datenspeicherungs- und Datenverarbeitungseinrichtungen. Der P3.MARKETING GmbH stimmt zu, dass Google vorbehaltlich Ziffer 10.2 (DatenĂŒbermittlungen) personenbezogene Daten des P3.MARKETING GmbH in den Vereinigten Staaten von Amerika oder in jedem anderen Land, in dem Google oder Googles Unterauftragsverarbeiter Einrichtungen unterhalten, speichern und verarbeiten kann.

10.2

DatenĂŒbermittlungen. Google wird sicherstellen, dass:

(a) die Muttergesellschaft der Google-Konzerngruppe, die Google LLC, gemĂ€ĂŸ den Privacy-Shield-GrundsĂ€tzen zertifiziert bleibt; und

(b) der Umfang der Privacy-Shield-Zertifizierung der Google LLC die personenbezogenen Daten des P3.MARKETING GmbH erfasst.

11.

Unterauftragsverarbeiter

11.1

Genehmigung der Beauftragung von Unterauftragsverarbeitern. Der P3.MARKETING GmbH genehmigt ausdrĂŒcklich die Beauftragung von verbundenen Unternehmen von Google als Unterauftragsverarbeiter („Google Gruppen-Unterauftragsverarbeiter“). Zudem genehmigt der P3.MARKETING GmbH generell, dass Google auch Dritte als Unterauftragsverarbeiter beauftragen darf („Dritt-Unterauftragsverarbeiter“).

11.2

Informationen zu Unterauftragsverarbeitern. Informationen ĂŒber Unterauftragsverarbeiter können unter privacy.google.com/businesses/subprocessors abgerufen werden.

11.3

Anforderungen fĂŒr die Beauftragung von Unterauftragsverarbeitern. Wenn Google Unterauftragsverarbeiter beauftragt, wird Google:

(a) durch schriftlichen Vertrag sicherstellen, dass:

(i) der Unterauftragsverarbeiter nur auf personenbezogene Daten des P3.MARKETING GmbH in dem Umfang zugreift und diese nutzt, wie dies erforderlich ist, um seine Obliegenheiten, zu denen er im Wege der Unterauftragsvergabe verpflichtet ist, zu erfĂŒllen und dies jeweils unter Einhaltung der Vereinbarung (einschließlich dieser Datenverarbeitungsbedingungen) und dem Privacy-Shield erfolgt, und

(ii) die in Art. 28 Abs. 3 DSGVO festgelegten Datenschutzpflichten dem Unterauftragsverarbeiter auferlegt werden, falls die DSGVO auf die Verarbeitung der personenbezogenen Daten des P3.MARKETING GmbH Anwendung findet, und

(b) fĂŒr sĂ€mtliche Obliegenheiten, die den Unterauftragsverarbeitern ĂŒbertragenwurden, und fĂŒr sĂ€mtliches Tun und Unterlassen ihrer Unterauftragsverarbeiter vollumfĂ€nglich haften.

11.4

Möglichkeit des Widerspruch gegen Änderungen bei der Unterauftragsvergabe.

(a) Wenn wĂ€hrend der Laufzeit ein neuer Dritt-Unterauftragsverarbeiter beauftragt wird, wird Google die P3.MARKETING GmbH mindestens 30 Tage bevor dieser neue Dritt-Unterauftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten des P3.MARKETING GmbH betraut wird durch Zusendung einer E-Mail an die E-Mail-Adresse fĂŒr Benachrichtigungen ĂŒber die Beauftragung informieren (einschließlich des Namens und Standorts des jeweiligen Unterauftragsverarbeiters und der TĂ€tigkeiten, die dieser ausfĂŒhren wird).

(b) Der P3.MARKETING GmbH kann dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters widersprechen, indem er die Vereinbarung sofort schriftlich kĂŒndigt; dies hat innerhalb von 90 Tagen nach Erhalt der Benachrichtigung ĂŒber die Beauftragung des jeweiligen Unterauftragsverarbeiters, wie in Ziffer 11.4(a) beschrieben, zu erfolgen. Dieses KĂŒndigungsrecht ist der einzige und ausschließliche Rechtsbehelf des P3.MARKETING GmbH, wenn er mit dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters nicht einverstanden ist.

12.

Kontaktaufnahme mit Google; Aufzeichnungen ĂŒber die Verarbeitung

12.1

Kontaktaufnahme mit Google. Der P3.MARKETING GmbH kann Google ĂŒber die Möglichkeiten, die unter privacy.google.com/businesses​/processorsupport aufgefĂŒhrt sind bzw. ĂŒber andere von Google ggf. dafĂŒr bereitgestellte Möglichkeiten kontaktieren, um seine Rechte unter diesen Datenverarbeitungsbedingungen auszuĂŒben.

12.2

Googles Aufzeichnungen ĂŒber die Datenverarbeitung. Der P3.MARKETING GmbH nimmt zur Kenntnis, dass Google unter der DSGVO verpflichtet ist: (a) Aufzeichnungen ĂŒber bestimmte Informationen anzufertigen und vorzuhalten, darunter den Namen und Kontaktdaten von jedem Verarbeiter und/oder Verantwortlichen in deren Auftrag Google handelt und (falls zutreffend) Informationen ĂŒber den Vertretungsberechtigten vor Ort und den Datenschutzbeauftragten; und (b) diese Informationen der jeweiligen Aufsichtsbehörde zugĂ€nglich zu machen. Dementsprechend ist der P3.MARKETING GmbH verpflichtet, diese Informationen auf Aufforderung und soweit fĂŒr die P3.MARKETING GmbH anwendbar, Google ĂŒber die BenutzeroberflĂ€che der Auftragsverarbeiterdienste oder ĂŒber andere von Google ggf. dafĂŒr bereitgestellte Möglichkeiten zu ĂŒbermitteln und die BenutzeroberflĂ€che oder ggf. eine andere dafĂŒr bereitgestellte Möglichkeit zu nutzen, um sicherzustellen, dass diese Angaben stets korrekt und aktuell sind.

13.

HaftungWenn die Vereinbarung den Gesetzen:

(a) eines Bundesstaates der Vereinigten Staaten von Amerika unterliegt, dann gilt, ungeachtet einer anderen Regelung in der Vereinbarung, fĂŒr die Gesamthaftung der jeweiligen Partei unter oder in Verbindung mit diesen Datenschutzbestimmungen der summenmĂ€ĂŸige Haftungshöchstbetrag, auf den die Haftung der jeweiligen Partei gemĂ€ĂŸ der Vereinbarung begrenzt ist (zur Klarstellung, jeglicher Ausschluss von HaftungsfreistellungsansprĂŒchen auf Grundlage der Haftungsbegrenzungsregelung der Vereinbarung gilt nicht fĂŒr HaftungsfreistellungsansprĂŒche unter der Vereinbarung in Bezug auf die europĂ€ischen Datenschutzvorschriften oder die außereuropĂ€ischen Datenschutzvorschriften) oder

(b) eines anderen Landes als dem eines Bundesstaates der Vereinigten Staaten von Amerika unterliegt, richtet sich die Haftung unter oder gemĂ€ĂŸ diesen Datenverarbeitungsbedingungen nach den HaftungsbeschrĂ€nkungen und -ausschlĂŒssen der Vereinbarung.

14.

Geltung dieser DatenverarbeitungsbedingungenIm Fall eines Widerspruchs oder einer Abweichung zwischen den Zusatzbedingungen fĂŒr außereuropĂ€ische Datenschutzvorschriften, den ĂŒbrigen Datenverarbeitungsbedingungen und/oder der ĂŒbrigen Vereinbarung, gilt die nachfolgende Rangfolge: (a) die Zusatzbedingungen fĂŒr außereuropĂ€ische Datenschutzvorschriften; (b) die ĂŒbrigen Datenverarbeitungsbedingungen und (c) die ĂŒbrige Vereinbarung. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.

15.

Änderungen dieser Bedingungen

15.1

Änderungen der URLs. Google kann gelegentlich URLs, auf die in diesen Datenverarbeitungsbedingungen Bezug genommen wird, und die Inhalte auf solchen URLs Ă€ndern. Google ist aber nur berechtigt, die Auflistung der möglichen Auftragsverarbeiterdienste unter privacy.google.com/businesses/adsservices zu Ă€ndern:

(a) um einer Umbenennung eines Dienstes Rechnung zu tragen;

(b) um einen neuen Dienst hinzuzufĂŒgen; oder

(c) um einen Dienst zu entfernen, jedoch nur fĂŒr den Fall, dass (i) sĂ€mtliche VertrĂ€ge ĂŒber die Erbringung dieses Dienstes beendet wurden oder (ii) Google dazu die Zustimmung des P3.MARKETING GmbH vorliegt.

15.2

Änderungen der Datenverarbeitungsbedingungen. Google kann diese Datenverarbeitungsbedingungen Ă€ndern, wenn eine solche Änderung:

(a) ausdrĂŒcklich durch die vorliegenden Datenverarbeitungsbedingungen erlaubt ist, einschließlich gemĂ€ĂŸ Ziffer 15.1 (Änderungen der URLs);

(b) einer Änderung des Unternehmensnamens oder eine Änderung der Rechtsform Rechnung trĂ€gt;

(c) erforderlich ist, um anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde zu entsprechen; oder

(d) (i) nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste fĂŒhrt, (ii) nicht den Anwendungsbereich dieser Datenverarbeitungsbedingungen in Bezug auf (x) die Zusatzbedingungen fĂŒr außereuropĂ€ische Datenschutzvorschriften, Googles Rechte, die in den Anwendungsbereich der Zusatzbedingungen fĂŒr außereuropĂ€ische Datenschutzvorschriften fallenden Daten zu nutzen oder anderweitig zu verarbeiten, oder (y) die ĂŒbrigen Datenverarbeitungsbedingungen, den Umfang der Verarbeitung personenbezogener Daten des P3.MARKETING GmbH durch Google wie in Ziffer 5.3 (Befolgung der Weisungen durch Google) beschrieben, ausweitet oder BeschrĂ€nkungen aufhebt, und (iii) auch sonst zu keinen erheblichen nachteiligen Auswirkungen auf die Rechte des P3.MARKETING GmbH unter diesen Datenverarbeitungsbedingungen fĂŒhrt (dies wird auf angemessene Weise durch Google bestimmt).

15.3

Benachrichtigung ĂŒber Änderungen. Wenn Google beabsichtigt, diese Datenverarbeitungsbedingungen gemĂ€ĂŸ Ziffer 15.2(c) oder (d) zu Ă€ndern, wird Google dies der P3.MARKETING GmbH mindestens 30 Tage vor Wirksamwerden der Änderung im Voraus (oder innerhalb einer kĂŒrzeren Frist, falls dies nach anwendbarem Recht, anwendbaren Vorschriften, aufgrund einer Gerichtsentscheidung oder eine Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde erforderlich ist) mitteilen durch: (a) die Übermittlung einer E-Mail an die E-Mail-Adresse fĂŒr Benachrichtigungen oder (b) durch Benachrichtigung ĂŒber die BenutzeroberflĂ€che des Auftragsverarbeiterdienstes. Wenn der P3.MARKETING GmbH einer Änderung widersprechen möchte, kann der P3.MARKETING GmbH die Vereinbarung durch schriftliche Mitteilung gegenĂŒber Google innerhalb von 90 Tagen nach Erhalt der Benachrichtigung ĂŒber die Änderung durch Google kĂŒndigen.

Anhang 1: Gegenstand und Details zur Datenverarbeitung

Gegenstand

Bereitstellung von Auftragsverarbeiterdiensten und damit in Zusammenhang stehendem technischen Supportleistungen fĂŒr die P3.MARKETING GmbH durch Google.

Dauer der Datenverarbeitung

WĂ€hrend der Vertragslaufzeit und zusĂ€tzlich wĂ€hrend eines Zeitraums zwischen dem Ende der Vertragslaufzeit und bis zur Löschung aller personenbezogenen Daten des P3.MARKETING GmbH durch Google in Übereinstimmung mit den vorliegenden Datenverarbeitungsbedingungen.

Art und Zweck

Google verarbeitet personenbezogene Daten des P3.MARKETING GmbH zum Zweck, der P3.MARKETING GmbH die Auftragsverarbeiterdienste bereitzustellen und den damit im Zusammenhang stehenden technischen Support in Übereinstimmung mit diesen Datenverarbeitungsbedingungen zu erbringen. Die Datenverarbeitung durch Google schließt, in AbhĂ€ngigkeit davon, ob es auf den jeweiligen Auftragsverarbeiterdienst und die in Ziffer 5.2 (Weisungen des P3.MARKETING GmbH) beschriebenen Weisungen zutrifft, das Erheben, Erfassen, Organisieren, Ordnen, VerĂ€ndern, Auslesen, Verwenden, Offenlegen, VerknĂŒpfen, Löschen oder Vernichten mit ein.

Arten personenbezogener Daten

Personenbezogene Daten des P3.MARKETING GmbH können solche Arten personenbezogener Daten umfassen, die unter privacy.google.com/businesses/adsservices beschrieben sind.

Kategorien betroffener Personen

Personenbezogene Daten des P3.MARKETING GmbH betreffen die folgenden Kategorien von betroffenen Personen:

  • betroffene Personen, ĂŒber die Google im Rahmen der Erbringung der Auftragsverarbeiterdienste personenbezogene Daten erhebt; und/oder
  • betroffene Personen, von denen personenbezogene Daten auf Veranlassung oder im Auftrag des P3.MARKETING GmbH im Zusammenhang mit den Auftragsverarbeiterdiensten an Google ĂŒbermittelt werden.

Je nach Art des jeweiligen Auftragsverarbeiterdienstes können betroffene Personen folgende Einzelpersonen umfassen: Personen, (a) an die Online-Werbung gerichtet wurde oder werden wird, (b) die bestimmte Webseiten oder Applikationen aufgerufen haben, fĂŒr die Google die Auftragsverarbeiterdienste bereitstellt und/oder (c) die P3.MARKETING GmbH oder Nutzer von Produkten oder Diensten des P3.MARKETING GmbH sind.

Anhang 2: Sicherheitsmaßnahmen

Google verpflichtet sich, ab dem Wirksamkeitsdatum die Sicherheitsmaßnahmen, die in diesem Anhang 2 enthalten sind, zu implementieren und aufrechtzuerhalten. Google kann diese Sicherheitsmaßnahmen gelegentlich aktualisieren oder Ă€ndern, vorausgesetzt dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Auftragsverarbeiterdienste fĂŒhren.

1.

Sicherheit der Rechenzentren und des Netzwerks(a) Rechenzentren.

Infrastruktur. Google betreibt geographisch verteilte Rechenzentren. Google speichert alle Produktionsdaten in physisch gesicherten Rechenzentren.

Redundanz. Die Infrastruktursysteme wurden entwickelt, um Single Points of Failure (zentrale Schwachpunkte) zu beseitigen und um die Auswirkungen der zu erwartenden Umgebungsrisiken zu minimieren. Duale Stromkreise, Switches, Netzwerke oder andere erforderliche GerĂ€te helfen, diese Redundanz zu erreichen. Die Auftragsverarbeiterdienste sind so konzipiert, dass Google bestimmte vorbeugende und fehlerbehebende Instandhaltungsmaßnahmen ohne Unterbrechung durchfĂŒhren kann. Es gibt fĂŒr sĂ€mtliche Anlagen und Einrichtungen dokumentierte, vorbeugende Instandhaltungsverfahren, die ausfĂŒhrlich den Prozess und die HĂ€ufigkeit der DurchfĂŒhrung in Übereinstimmung mit den Herstellervorgaben oder internen Vorgaben beschreiben. Vorbeugende und fehlerbehebende Instandhaltungsmaßnahmen der Anlagen im Rechenzentrum werden ĂŒber einen Standardprozess gemĂ€ĂŸ dokumentierten Verfahren geplant.

Energie. Die Energiesysteme der Rechenzentren sind so entworfen, dass sie redundant sein sollen und gewartet werden können, ohne dass dies einen Einfluss auf den Dauerbetrieb (24 Stunden am Tag und 7 Tage die Woche) hat. In den meisten FĂ€llen steht sowohl eine primĂ€re als auch eine alternative Energiequelle, jeweils mit gleicher KapazitĂ€t, fĂŒr kritische Infrastruktur-Komponenten in den Rechenzentren zur VerfĂŒgung. Reserveleistung wird durch verschiedene Mechanismen wie etwa unterbrechungsfreie Stromversorgungs-Batterien (USV), die bestĂ€ndig zuverlĂ€ssigen Leistungsschutz bei SpannungsabfĂ€llen, StromausfĂ€llen, Überspannung, Unterspannung und außerhalb der Toleranzwerte liegende Frequenzbedingungen durch den Energieversorger bieten. Falls die Stromversorgung des Energieversorgers unterbrochen wird, ist die Ersatzversorgung so entworfen, dass die Rechenzentren ĂŒbergangsweise bei voller Last Energie fĂŒr bis zu 10 Minuten erhalten sollen bis die Diesel-Generatoren die Versorgung ĂŒbernehmen. Die Diesel-Generatoren sind darauf ausgelegt, automatisch innerhalb von SeP3.MARKETING GmbH anzuspringen und genug Notstrom bereitzustellen, um das Rechenzentrum bei voller Leistung in der Regel fĂŒr einen Zeitraum von mehreren Tagen zu betreiben.

Server-Betriebssysteme. Google-Server verwenden gehĂ€rtete Betriebssysteme, die fĂŒr die spezifischen Anforderungen des Betriebs angepasst sind. Daten werden unter Verwendung von proprietĂ€ren Algorithmen gespeichert, um die Datensicherheit und Redundanz zu steigern. Google setzt einen Code-ÜberprĂŒfungsprozess ein, um die Sicherheit des Programmiercodes, der fĂŒr die Bereitstellung der Auftragsverarbeiterdienste verwendet wird, zu erhöhen und die Sicherheits-Produkte in Produktionsumgebungen zu verbessern.

Aufrechterhaltung des Betriebs. Google repliziert Daten ĂŒber mehrere Systeme, um dazu beizutragen, die Daten vor zufĂ€lliger Zerstörung oder Verlust zu schĂŒtzen. Google hat PlĂ€ne, um den Betrieb aufrecht zu erhalten, und Notfallwiederherstellungsprogramme entworfen. Google entwickelt diese weiter und testet sie.

(b) Netzwerke und Übertragung.

DatenĂŒbertragung. Rechenzentren sind in der Regel ĂŒber Hochgeschwindigkeitsdirektverbindungen (High-Speed-Private-Links) verbunden, um eine sichere und schnelle DatenĂŒbertragung zwischen den Rechenzentren bereit zu stellen. Dieses Verfahren ist so entwickelt worden, dass ein unberechtigtes Auslesen, Kopieren, VerĂ€ndern oder Entfernen von Daten wĂ€hrend der elektronischen Übertragung oder des Transports oder bei der Speicherung auf DatentrĂ€gern verhindert werden soll. Google ĂŒbertrĂ€gt Daten mittels Internet-Standard-Protokollen.

Externe AngriffsflĂ€che. Google unterhĂ€lt mehrere Schichten von NetzwerkgerĂ€ten und Einbruchserkennungssystemen, um die externe AngriffsflĂ€che zu sichern. Google zieht potenzielle Angriffsvektoren in Betracht und integriert angemessene, speziell entwickelte Technologien in von außen erreichbare Systeme.

Einbruchserkennung. Die Maßnahmen zur Einbruchserkennung zielen darauf ab, Einblicke in laufende AngriffsaktivitĂ€ten zu ermöglichen und angemessene Informationen zu liefern, um auf VorfĂ€lle zu reagieren. Googles Maßnahmen zur Erkennung von EinbrĂŒchen beinhalten:

1.

die strenge Überwachung der GrĂ¶ĂŸe und des Aufbaus von Googles AngriffsflĂ€che durch vorbeugende Maßnahmen,

2.

den Einsatz von intelligenten Entdeckungskontrollmaßnahmen an Datenerfassungspunkten und

3.

den Einsatz von Technologien, die bestimmte gefÀhrliche Situationen automatisch abstellen.

Reaktion auf ZwischenfĂ€lle. Google ĂŒberwacht eine Vielzahl von KommunikationskanĂ€len auf SicherheitsvorfĂ€lle. Googles Sicherheitspersonal wird umgehend auf bekannt gewordene VorfĂ€lle reagieren.

VerschlĂŒsselungstechnologien. Google stellt HTTPS-VerschlĂŒsselung (auch SSL- oder TLS-Verbindung genannt) zur VerfĂŒgung. Google Server unterstĂŒtzen einen auf Basis elliptischer Kurven stattfindenden Ephemeral Diffie-Hellman Austausch von RSA und ECDSA signierten SchlĂŒsseln. Diese auf ‚perfekt vorwĂ€rts’ gerichtete Geheimhaltungsmethoden (perfect forward secrecy (PFS)) helfen, den Datenverkehr zu schĂŒtzen und den Einfluss eines kompromittierten SchlĂŒssels oder einer Durchbrechung der VerschlĂŒsselung (cryptographic breakthrough) zu minimieren.

2.

Zugangs- und Zutrittskontrollen(a) Zutrittskontrolle.

Vor-Ort-Überwachung der Rechenzentren. Googles Rechenzentren verfĂŒgen ĂŒber einen Vor-Ort-Sicherheitsdienst, der fĂŒr sĂ€mtliche physischen Sicherheitsmaßnahmen des Rechenzentrums 24 Stunden am Tag, 7 Tage die Woche verantwortlich ist. Das Sicherheitspersonal vor Ort kontrolliert Überwachungskameras und sĂ€mtliche Alarmanlagen. Das Sicherheitspersonal unternimmt vor Ort regelmĂ€ĂŸig KontrollgĂ€nge innerhalb und außerhalb des Rechenzentrums.

Verfahren fĂŒr den Zutritt zu Rechenzentren. Google unterhĂ€lt Zutrittskontrollverfahren fĂŒr den physischen Zugang zu Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, die fĂŒr den Zugang elektronische SchlĂŒsselkarten erfordern, wobei Alarmanlagen mit dem Sicherheitsdienst vor Ort verbunden sind. Jeder, der ein Rechenzentrum betreten möchte, muss sich ausweisen und einen Nachweis seiner IdentitĂ€t gegenĂŒber dem Sicherheitspersonal vorlegen. Nur berechtigten Angestellten, Auftragnehmern und Besuchern wird Zugang zu den Rechenzentren gewĂ€hrt. Nur berechtigten Mitarbeitern und Auftragnehmern ist es erlaubt, Zutrittsrechte per elektronischer SchlĂŒsselkarte zu diesen Einrichtungen zu beantragen. AntrĂ€ge fĂŒr den Zugang zu Rechenzentren mit einer elektronischen SchlĂŒsselkarte mĂŒssen im Voraus und schriftlich beantragt werden und erfordern die Zustimmung des Vorgesetzten des Antragstellers sowie des Leiters des Rechenzentrums. Jeder andere, der vorĂŒbergehend Zugang zum Rechenzentrum benötigt, muss (i) im Voraus die Zustimmung der Manager des Rechenzentrums, dessen Besuch beabsichtigt ist, einholen; (ii) sich beim Sicherheitspersonal vor Ort anmelden; und (iii) einen Nachweis einer Zutrittsgenehmigung vorlegen, der die Person als autorisiert identifiziert.

Vor-Ort Sicherheitseinrichtungen der Rechenzentren. Googles Rechenzentren verfĂŒgen ĂŒber ein elektronisches SchlĂŒsselkarten- und biometrisches Zutrittskontrollsystem, das mit einem Alarm-System verbunden ist. Das Zutrittskontrollsystem ĂŒberwacht und protokolliert den Einsatz der SchlĂŒsselkarte jeder einzelnen Person und wann diese AußentĂŒren, Versand- oder Wareneingangsbereiche sowie andere kritische Bereiche betreten. Unberechtigte AktivitĂ€ten und fehlgeschlagene Zutrittsversuche werden vom Zutrittskontrollsystem protokolliert und, soweit angemessen, untersucht. Der berechtigte Zutritt wĂ€hrend der GeschĂ€ftszeiten und innerhalb des gesamten Rechenzentrums ist auf bestimmte Zonen beschrĂ€nkt, die von dem jeweiligen beruflichen Aufgabenbereich abhĂ€ngen. Die BrandschutztĂŒren sind alarmgesichert. Überwachungskameras sind sowohl innerhalb als auch außerhalb der Rechenzentren in Betrieb. Die Positionierung der Kameras wurde so geplant, dass sie strategische Bereiche, wie unter anderem den Außenbereich, EingangstĂŒren der RechenzentrumsgebĂ€ude und Versand- und Wareneingangsbereiche, ĂŒberwachen sollen. Das Sicherheitspersonal vor Ort kontrolliert die Bildschirme der Überwachungskameras sowie die Aufnahme- und Steuerungseinrichtungen. Gesicherte Leitungen verbinden die Überwachungskameratechnik im gesamten Rechenzentrum. Die Kameras zeichnen vor Ort 24 Stunden am Tag, 7 Tage die Woche auf. Die Aufnahmen werden mindestens fĂŒr 7 Tage in AbhĂ€ngigkeit von den jeweiligen AktivitĂ€ten aufbewahrt.

(b) Zugriffskontrolle.

Sicherheitspersonal fĂŒr die Infrastruktur. Google hat eine Sicherheitsrichtlinie fĂŒr ihr Personal erlassen und erhĂ€lt diese aufrecht. Google verlangt von ihren Mitarbeitern die Teilnahme an einem Sicherheitstraining als Teil eines Schulungsprogramms. Googles Personal fĂŒr die Sicherheit der Infrastruktur ist fĂŒr die laufende Überwachung der Sicherheit von Googles Infrastruktur, die ÜberprĂŒfung der Auftragsverarbeiterdienste und die Reaktion auf SicherheitsvorfĂ€lle verantwortlich.

Zugriffskontrolle und Rechteverwaltung. Administratoren und Endnutzer mĂŒssen sich ĂŒber ein zentrales Authentifizierungssystem oder ĂŒber ein Single Sign-On-System authentifizieren, um die Auftragsverarbeiterdienste zu nutzen.

Interne Datenzugriffsprozesse und Richtlinien – Zugriffsrichtlinien. Googles interne Datenzugriffsprozesse und Richtlinien sind so gestaltet, dass Zugriffe auf Systeme, die genutzt werden, um personenbezogene Daten zu verarbeiten, durch unberechtigte Personen und/oder Systeme verhindert werden soll. Google ist bestrebt, die Systeme so zu gestalten, dass: (i) nur berechtigten Personen Zugang zu den Daten gewĂ€hrt wird, fĂŒr die sie zugriffsberechtigt sind; und (ii) sichergestellt ist, dass personenbezogene Daten ohne entsprechende Berechtigung wĂ€hrend ihrer Verarbeitung, Nutzung und nach ihrer Speicherung nicht gelesen, kopiert, verĂ€ndert oder gelöscht werden können. Die Systeme sind darauf ausgelegt, dass sie möglichst jeden unberechtigten Zugriff erkennen sollen. Google setzt ein zentralisiertes Zugriffsverwaltungssystem zur Kontrolle von Mitarbeiterzugriffen auf Produktionsserver ein und gewĂ€hrt nur einem beschrĂ€nkten Kreis von berechtigten Mitarbeiter Zugriff. LDAP, Kerberos und ein proprietĂ€res System, das SSH-Zertifikate einsetzt, sind so angelegt, dass Google ĂŒber sichere und flexible Zugriffsmechanismen verfĂŒgen soll. Diese Mechanismen sind so konzipiert, dass nur mit entsprechender Berechtigung Zugriffe auf Site-Hosts, Log-Dateien, Daten und Konfigurationsinformationen gewĂ€hrt werden sollen. Google verlangt die Benutzung singulĂ€rer Benutzer-IDs und sicherer Passwörter; die BestĂ€tigung in zwei Schritten (two factor authentication) und sorgfĂ€ltig ĂŒberwachte Zugriffslisten, um die Möglichkeiten einer unberechtigten Nutzung des Accounts zu minimieren. Die GewĂ€hrung oder die Änderung von Zugriffsrechten fĂŒr berechtigtes Personal basiert auf folgenden Faktoren: dem beruflichen Aufgabenbereich der jeweiligen Person, den notwendigen Anforderungen der jeweiligen Stelle, um berechtigte Aufgaben auszufĂŒhren und einer Need-to-Know-Basis. Die GewĂ€hrung oder Änderung von Zugriffsrechten muss außerdem auch in Übereinstimmung mit Googles internen Datenzugriffsrichtlinien und -schulungen stehen. Zugriffsberechtigungen werden ĂŒber workflowbasierte Werkzeuge verwaltet, die Audit-DatensĂ€tze ĂŒber alle Änderungen erstellen. Der Zugriff auf Systeme wird protokolliert, um einen Audittrail zur Rechenschaftsablegung zu erstellen. Wo Passwörter zur Authentifizierung eingesetzt werden (z.B. zum Login an Arbeitsplatzrechnern), sind Passwortrichtlinien eingerichtet worden, die mindestens dem Industriestandard entsprechen. Diese Vorgaben umfassen EinschrĂ€nkungen zur Wiederverwendung von Passwörtern und eine hinreichende PasswortstĂ€rke.

3.

Daten(a) Datenspeicherung, Isolation und Authentifizierung.

Google speichert die Daten in einer mandantenfĂ€higen Umgebung (Multi-Tenant Umgebung) auf Servern, die im Eigentum von Google stehen. Die Daten, die Datenbanken der Auftragsverarbeiterdienste und die Architektur des Dateiverwaltungssystems werden in mehreren geographisch verteilten Rechenzentren repliziert. Google isoliert die individuellen Daten jedes einzelnen P3.MARKETING GmbH logisch voneinander. FĂŒr alle Auftragsverarbeiterdienste wird ĂŒbergreifend ein zentrales Authentifizierungssystem genutzt, um die allgemeine Datensicherheit zu erhöhen.

(b) Stilllegung und Richtlinien zur Zerstörung von Festplatten.

Falls bei bestimmten Festplatten, die Daten enthalten, eine verminderte LeistungsfĂ€higkeit, Fehler oder HardwareausfĂ€llen festgestellt wird, werden die betroffenen Festplatten stillgelegt („stillgelegte Festplatte“). Jede stillgelegte Festplatte durchlĂ€uft eine Serie von Zerstörungsprozessen („Richtlinien zur Zerstörung von Daten“) bevor sie Googles BetriebsgelĂ€nde entweder zur Wiederverwendung oder zur Zerstörung verlĂ€sst. Stillgelegte Festplatten werden zunĂ€chst in einem mehrstufigen Prozess gelöscht. Die vollstĂ€ndige Löschung muss daraufhin von mindestens zwei unabhĂ€ngigen PrĂŒfern bestĂ€tigt werden. Die Löschergebnisse werden anhand der Seriennummer der stillgelegten Festplatte zur Nachverfolgung gespeichert. Abschließend wird die gelöschte stillgelegte Festplatte im Inventar zur Wiederverwendung freigegeben. Falls eine stillgelegte Festplatte aufgrund eines Hardwareversagens nicht gelöscht werden kann, wird sie sicher verwahrt bis sie zerstört werden kann. Jede Einrichtung wird regelmĂ€ĂŸig auditiert, um zu ĂŒberwachen, dass die Richtlinien zur Zerstörung von Daten eingehalten werden.

4.

Personalsicherheit.Das Personal von Google ist verpflichtet, sich gemĂ€ĂŸ den Unternehmensrichtlinien ĂŒber Vertraulichkeit, Unternehmensethik und sachgemĂ€ĂŸen Gebrauch sowie gemĂ€ĂŸ beruflichen Standards zu verhalten. Google fĂŒhrt im angemessenen Umfang HintergrundsĂŒberprĂŒfungen durch, soweit dies im Einklang mit geltendem Recht, insbesondere mit anwendbarem nationalen Arbeitsrecht und verpflichtend geltenden anderen Gesetzen steht.

Das Personal ist verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen und deren Erhalt und die Einhaltung von Googles Vertraulichkeits- und Datenschutzbestimmungen zu bestĂ€tigen. Das Personal erhĂ€lt Sicherheitsschulungen. Das Personal, das P3.MARKETING GmbHdaten handhabt, muss in AbhĂ€ngigkeit vom jeweiligen Aufgabenbereich zusĂ€tzliche Voraussetzungen erfĂŒllen. Googles Personal wird keine personenbezogenen Daten des P3.MARKETING GmbH verarbeiten, ohne dazu berechtigt zu sein.

5.

Sicherheit bei UnterauftragsverarbeiternBevor Unterauftragsverarbeiter eingesetzt werden, fĂŒhrt Google zunĂ€chst eine Auditierung der Sicherheits- und Datenschutzpraxis des Unterauftragsverarbeiters durch, um sicherzustellen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen VerhĂ€ltnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht. Sobald Google die vom Unterauftragsverarbeiter dargelegten Risiken einschĂ€tzen kann, ist der Unterauftragsverarbeiter stets vorbehaltlich der in Ziffer 11.3 (Anforderungen fĂŒr die Beauftragung von Unterauftragsverarbeitern) dieser Datenverarbeitungsbedingungen festgelegten Anforderungen verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvereinbarungen abzuschließen.

1. Januar 2020

GDPR Portal
https://www.eugdpr.org/