Charta der Datenschutzgesetze

Datum – Veröffentlicht am 01.01.2020

Zuletzt geändert am – 12.06.2023

Anwendbarkeit:

Dieses Dokument („Anforderungen“) ist ein integraler und rechtsverbindlicher Bestandteil jedes Rahmendienstleistungsvertrags, jeder Leistungsbeschreibung oder jedes anderen Vertrags („Vereinbarung“) zwischen Shaip („Unternehmen“) und dem Dienstanbieter („Anbieter/Freiberufler/Berater“).

1. Definitionen

Für die Zwecke dieser Anforderungen haben die folgenden Begriffe die unten angegebene Bedeutung:

  • „Anwendbare Datenschutzgesetze“ bezeichnet alle internationalen, bundesstaatlichen, staatlichen und lokalen Gesetze, Regeln und Vorschriften, die für die Verarbeitung personenbezogener Daten gelten, einschließlich, aber nicht beschränkt auf die DSGVO, die britische DSGVO, CCPA/CPRA, HIPAA, PIPEDA und LGPD.
  • „Firmendaten“ bezeichnet alle Daten, Informationen und Materialien in jeglicher Form und auf jeglichem Medium, die dem Lieferanten vom Unternehmen oder in dessen Namen zur Verfügung gestellt oder vom Lieferanten im Namen des Unternehmens gesammelt, generiert, abgeleitet, pseudonymisiert, anonymisiert (sofern reversibel) oder verarbeitet werden. Dies schließt Projektdaten und alle personenbezogenen Daten ein.
  • „Datenleck“ bezeichnet jeden tatsächlichen oder vermuteten Sicherheitsverstoß, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf Unternehmensdaten führt.
  • „Das BIP ist“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679.
  • "Persönliche Daten" bezeichnet alle in den Unternehmensdaten enthaltenen Informationen zu einer identifizierten oder identifizierbaren natürlichen Person („betroffene Person“).
  • „Sensible personenbezogene Daten“ bezeichnet jede Kategorie von Daten, die gemäß den geltenden Datenschutzgesetzen als sensibel gelten, einschließlich, aber nicht beschränkt auf rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftsmitgliedschaft, genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
  • "Wird bearbeitet" bezeichnet jeden Vorgang, der mit Unternehmensdaten durchgeführt wird, wie z. B. Erfassung, Aufzeichnung, Organisation, Speicherung, Anpassung, Abruf, Verwendung, Offenlegung, Verbreitung oder Vernichtung.
  • „Projektdaten“ bezeichnet die spezifischen Daten (z. B. Sprache, Bild, Text), die vom Anbieter im Rahmen der an das Unternehmen gelieferten Dienste erfasst oder erstellt werden.
  • „Unterauftragsverarbeiter“ bezeichnet jeden Dritten, der vom Anbieter mit der Verarbeitung von Unternehmensdaten beauftragt wird.

2. Rolle und Pflichten des Verkäufers

2.1 Rolle als Auftragsverarbeiter/Unterauftragsverarbeiter. Der Verkäufer erkennt an, dass er bei der Verarbeitung von Unternehmensdaten als „Auftragsverarbeiter“ oder „Unterauftragsverarbeiter“ im Auftrag des Unternehmens fungiert. Der Verkäufer hat weder Eigentums- noch eigenständige Rechte an den Unternehmensdaten.

2.2 Auftragsverarbeitung. Der Lieferant verarbeitet Unternehmensdaten ausschließlich gemäß den dokumentierten, rechtmäßigen Anweisungen des Unternehmens, einschließlich der im Vertrag und den entsprechenden Leistungsbeschreibungen festgelegten. Dem Lieferanten ist es ausdrücklich untersagt, Unternehmensdaten für eigene Zwecke oder für Zwecke zu verarbeiten, die nicht ausdrücklich vom Unternehmen angewiesen wurden. Die Anweisungen müssen Anforderungen zur Datenaufbewahrung und -entsorgung enthalten. Ist der Lieferant der Ansicht, dass eine Anweisung gegen geltende Datenschutzgesetze verstößt, muss er das Unternehmen unverzüglich informieren.

2.3 Einhaltung von Gesetzen. Der Anbieter gewährleistet und erklärt, dass er bei der Erfüllung der Vereinbarung alle geltenden Datenschutzgesetze einhalten wird und das Unternehmen unverzüglich benachrichtigen wird, wenn ein Gesetz die Einhaltung verhindert oder die Offenlegung von Unternehmensdaten erfordert (z. B. bei Zugriffsanfragen der Regierung).

3. Technische und organisatorische Sicherheitsmaßnahmen

3.1 Sicherheitsstandards. Der Lieferant muss angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der Unternehmensdaten vor Datenmissbrauch implementieren und aufrechterhalten. Diese Maßnahmen müssen dem Risiko und der Art der Daten angemessen sein und mindestens Folgendes umfassen:

  1. Verschlüsselung: Verschlüsselung aller Unternehmensdaten im Ruhezustand und während der Übertragung.
  2. Zugangskontrolle: Strenge Zugriffskontrollen auf Basis des Prinzips der geringsten Privilegien stellen sicher, dass nur autorisiertes Personal Zugriff auf Unternehmensdaten hat.
  3. Datenminimierung: Es werden nur die für das jeweilige Projekt erforderlichen Mindestmengen an personenbezogenen Daten erhoben und verarbeitet.
  4. Sichere Umgebungen: Sicherstellen, dass alle zur Verarbeitung von Unternehmensdaten verwendeten Systeme sicher konfiguriert, gepatcht, protokolliert und überwacht werden.
  5. Sicheres Löschen: Implementierung von Prozessen zur sicheren und dauerhaften Löschung von Unternehmensdaten auf Anweisung des Unternehmens, einschließlich der Löschung aus Backups.
  6. Physische Sicherheit: Sicherung aller physischen Standorte und Geräte, an denen Unternehmensdaten gespeichert oder abgerufen werden.
  7. Testen und Überwachen: Regelmäßige Penetrationstests, Schwachstellenbewertungen und kontinuierliche Überwachung.
  8. Geschäftskontinuität: Aufrechterhaltung von Plänen für die Reaktion auf Vorfälle, die Notfallwiederherstellung und die Geschäftskontinuität.

4. Unterauftragsverarbeitung

4.1 Vorherige Zustimmung erforderlich. Der Verkäufer darf ohne die vorherige ausdrückliche schriftliche Zustimmung des Unternehmens keinen Unterauftragsverarbeiter mit der Verarbeitung von Unternehmensdaten beauftragen.

4.2 Übertragung von Verpflichtungen. Wird die Zustimmung erteilt, muss der Anbieter mit dem Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließen, die dem Unterauftragsverarbeiter dieselben oder strengere Datenschutzpflichten auferlegt, die dem Anbieter durch diese Anforderungen auferlegt werden.

4.3 Liste der Unterauftragsverarbeiter. Der Lieferant führt eine aktuelle Liste der Unterauftragsverarbeiter und stellt diese dem Unternehmen auf Anfrage zur Verfügung. Das Unternehmen behält sich das Recht vor, jederzeit Einspruch gegen einen Unterauftragsverarbeiter einzulegen.

4.4 Volle Haftung. Der Verkäufer bleibt gegenüber dem Unternehmen für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters voll haftbar.

5. Meldung und Management von Datenschutzverletzungen

5.1 Sofortige Benachrichtigung. Der Verkäufer muss das Unternehmen unverzüglich und in keinem Fall später als vierundzwanzig (24) Stunden nach der ersten Kenntnisnahme einer Datenverletzung schriftlich benachrichtigen.

5.2 Einzelheiten zum Verstoß. Die Meldung muss mindestens:

  1. Beschreiben Sie die Art der Datenschutzverletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze.
  2. Geben Sie den Namen und die Kontaktdaten des Datenschutzbeauftragten des Anbieters oder einer anderen relevanten Kontaktstelle an.
  3. Beschreiben Sie die wahrscheinlichen Folgen des Datenschutzverstoßes.
  4. Beschreiben Sie die vom Anbieter ergriffenen oder geplanten Maßnahmen, um den Datenschutzverstoß zu beheben und seine Auswirkungen zu mildern.

5.3 Laufende Updates. Der Anbieter stellt regelmäßige Updates bereit, bis der Vorfall vollständig behoben ist.

5.4 Zusammenarbeit. Der Lieferant verpflichtet sich, bei der Untersuchung, Behebung und Meldung von Datenschutzverletzungen uneingeschränkt mit dem Unternehmen zusammenzuarbeiten. Der Lieferant trägt alle mit einer Datenschutzverletzung verbundenen Kosten, soweit diese durch seinen Verstoß gegen diese Anforderungen verursacht wurden.

6. Internationale Datenübertragungen

6.1 Der Lieferant darf Unternehmensdaten nicht ohne vorherige schriftliche Zustimmung des Unternehmens über internationale Grenzen hinweg übermitteln. Der Lieferant muss alle Länder angeben, in denen er Unternehmensdaten verarbeiten wird.

6.2 Bei Bedarf erklärt sich der Anbieter damit einverstanden, Standardvertragsklauseln (SCCs), verbindliche Unternehmensregeln (BCRs), den UK-Nachtrag oder andere vom Unternehmen vorgeschriebene Mechanismen abzuschließen, um rechtmäßige Datenübertragungen sicherzustellen.

6.3 Der Anbieter muss gegebenenfalls die lokalen Anforderungen an die Datenaufbewahrung einhalten.

7. Audits und Inspektionen

Das Unternehmen oder ein von ihm beauftragter externer Prüfer ist berechtigt, auf eigene Kosten Prüfungen durchzuführen, um die Einhaltung dieser Anforderungen durch den Lieferanten zu überprüfen. Der Lieferant stellt alle erforderlichen Informationen und Unterlagen zur Verfügung und gewährt Zugang zu Einrichtungen und Personal.

Der Lieferant muss sich regelmäßig Zertifizierungen durch Dritte (z. B. ISO 27001, SOC 2) und/oder Selbstbewertungen unterziehen und alle bei Audits oder Bewertungen festgestellten Mängel innerhalb eines gemeinsam vereinbarten Zeitrahmens umgehend beheben.

8. Unterstützung bei der Wahrung der Rechte betroffener Personen

Der Anbieter informiert das Unternehmen unverzüglich, spätestens jedoch achtundvierzig (48) Stunden nach Eingang einer Anfrage einer betroffenen Person zur Ausübung ihrer Rechte (z. B. Zugriff, Berichtigung, Löschung, Datenübertragbarkeit). Der Anbieter beantwortet solche Anfragen nur auf Anweisung des Unternehmens und leistet die erforderliche Unterstützung, um die Beantwortung des Antrags zu ermöglichen.

9. Datenherausgabe und Löschung

Nach Beendigung des Vertrags oder auf Verlangen des Unternehmens ist der Lieferant verpflichtet, sämtliche Unternehmensdaten nach Wahl des Unternehmens innerhalb von dreißig (30) Tagen sicher zu löschen oder zurückzugeben. Der Lieferant stellt die Löschung aus Backups sicher und stellt eine schriftliche Bestätigung der Löschung aus.

10. Besondere Kategorien von Daten

10.1 Gesundheitsdaten (HIPAA): Wenn der Lieferant geschützte Gesundheitsinformationen (PHI) verarbeitet, erkennt er an, dass er ein „Geschäftspartner“ (oder Subunternehmer eines Geschäftspartners) gemäß HIPAA ist. Der Lieferant muss die HIPAA-Anforderungen erfüllen und die Geschäftspartnervereinbarung (BAA) des Unternehmens abschließen.

10.2 Andere sensible Daten: Bei Projekten, bei denen sensible personenbezogene Daten (einschließlich biometrischer Daten oder Daten von Kindern) im Spiel sind, muss der Lieferant die Genehmigung des Unternehmens einholen und die vom Unternehmen festgelegten erhöhten Sicherheits- und Handhabungsprotokolle einhalten.

11. Schadloshaltung und Haftung

Der Anbieter verpflichtet sich, das Unternehmen, seine verbundenen Unternehmen, leitenden Angestellten und Kunden von allen Ansprüchen, Verbindlichkeiten, Schäden, Verlusten, Bußgeldern, Strafen und Kosten (einschließlich angemessener Anwaltskosten) freizustellen und schadlos zu halten, die sich aus einer Verletzung dieser Anforderungen durch den Anbieter, seine Mitarbeiter oder seine Unterauftragsverarbeiter ergeben oder damit in Zusammenhang stehen.

Die Haftung für Verstöße im Zusammenhang mit Datenverletzungen, Bußgeldern, vorsätzlichem Fehlverhalten oder Betrug ist nicht begrenzt.

12. Allgemeine Bestimmungen

12.1 Vorrang. Im Falle eines Konflikts zwischen den Bedingungen der Vereinbarung und diesen Anforderungen haben diese Anforderungen in Bezug auf den Datenschutz Vorrang.

12.2 Änderung. Diese Anforderungen können nur durch eine schriftliche Änderung geändert werden, die von bevollmächtigten Vertretern beider Parteien unterzeichnet ist.

12.3 Fortbestand. Verpflichtungen hinsichtlich Vertraulichkeit, Datenlöschung, Haftung und Prüfrechten bleiben auch nach Beendigung des Vertrags bestehen.

12.4 Geltendes Recht. Diese Anforderungen unterliegen dem in der Vereinbarung festgelegten geltenden Recht und werden entsprechend ausgelegt.