Nachtrag zur Datenverarbeitung von Ownbackup

SO FÜHREN SIE DIESEN DPA AUS

1. Dieses DPA besteht aus zwei Teilen: dem Hauptteil des DPA und den Anhängen 1, 2, 3, 4 und 5.
2. Diese DPA wurde im Namen von OwnBackup vorab unterzeichnet.
3. Um diese DPA abzuschließen, muss der Kunde:
   1. Füllen Sie den Abschnitt „Kundenname und Kundenadresse“ auf Seite 2 aus.
   2. Vervollständigen Sie die Angaben im Unterschriftenfeld und unterschreiben Sie auf Seite 6.
   3. Stellen Sie sicher, dass die Informationen in Anhang 3 („Einzelheiten der Verarbeitung“) die zu verarbeitenden Datensubjekte und -kategorien genau widerspiegeln.
   4. Senden Sie das ausgefüllte und unterschriebene DPA an OwnBackup unter privatsphäre@ownbackup.com.

Sobald OwnBackup die gültig ausgefüllte DPA an diese E-Mail-Adresse erhält, wird diese DPA rechtsverbindlich.
Die Unterzeichnung dieser DPA auf Seite 6 gilt als Unterzeichnung und Annahme der Standardvertragsklauseln (einschließlich ihrer Anhänge) und des UK-Nachtrags, die beide durch Bezugnahme hierin aufgenommen werden.

WIE DIESE DPA GILT

• Wenn das Kundenunternehmen, das diese DPA unterzeichnet, Vertragspartei der Vereinbarung ist, ist diese DPA ein Nachtrag zur Vereinbarung und bildet einen Teil davon. In einem solchen Fall ist das OwnBackup-Unternehmen, das Vertragspartei der Vereinbarung ist, Vertragspartei dieser DPA.
• Wenn das Kundenunternehmen, das diese DPA unterzeichnet, ein Bestellformular mit OwnBackup oder seinem verbundenen Unternehmen gemäß der Vereinbarung ausgeführt hat, aber selbst keine Vertragspartei der Vereinbarung ist, ist diese DPA ein Nachtrag zu diesem Bestellformular und den geltenden Bestellformularen für Verlängerungen sowie zu OwnBackup Das Unternehmen, das Partei dieses Bestellformulars ist, ist Partei dieser DPA.
• Wenn der Kunde, der diese DPA unterzeichnet, weder Vertragspartei eines Bestellformulars noch der Vereinbarung ist, ist diese DPA nicht gültig und nicht rechtsverbindlich. Ein solches Unternehmen sollte verlangen, dass das Kundenunternehmen, das Vertragspartei ist, diese DPA ausführt.
• Wenn der Kunde, der die DPA unterzeichnet, nicht Partei eines Bestellformulars oder eines Master-Abonnementvertrags direkt mit OwnBackup ist, sondern stattdessen indirekt über einen autorisierten Wiederverkäufer von OwnBackup-Diensten Kunde ist, ist diese DPA nicht gültig und nicht rechtsverbindlich. Ein solches Unternehmen sollte sich an den autorisierten Wiederverkäufer wenden, um zu besprechen, ob eine Änderung seiner Vereinbarung mit diesem Wiederverkäufer erforderlich ist.
• Im Falle eines Konflikts oder einer Inkonsistenz zwischen dieser DPA und einer anderen Vereinbarung zwischen dem Kunden und OwnBackup (einschließlich, aber nicht beschränkt auf die Vereinbarung oder einen Nachtrag zur Datenverarbeitung zur Vereinbarung) haben die Bedingungen dieser DPA Vorrang und Vorrang.

Dieser Datenverarbeitungszusatz, einschließlich seiner Anhänge und Anhänge („DPA“) ist Teil des Master-Abonnementvertrags oder einer anderen schriftlichen oder elektronischen Vereinbarung zwischen OwnBackup Inc. („OwnBackup“) und dem oben genannten Kundenunternehmen für den Kauf von Online-Diensten von OwnBackup (die „Vereinbarung“), um die Vereinbarung der Parteien bezüglich der Verarbeitung personenbezogener Daten zu dokumentieren. Wenn dieses Kundenunternehmen und OwnBackup keine Vereinbarung getroffen haben, ist diese DPA ungültig und hat keine rechtliche Wirkung.
Das oben genannte Kundenunternehmen schließt diese DPA für sich selbst und, sofern eines seiner verbundenen Unternehmen als Verantwortliche für personenbezogene Daten fungiert, im Namen dieser autorisierten verbundenen Unternehmen ab. Alle hier nicht definierten großgeschriebenen Begriffe haben die in der Vereinbarung festgelegte Bedeutung.
Im Zuge der Bereitstellung der SaaS-Dienste für den Kunden im Rahmen der Vereinbarung kann OwnBackup personenbezogene Daten im Namen des Kunden verarbeiten. Die Parteien stimmen den folgenden Bedingungen in Bezug auf diese Verarbeitung zu.

DEFINITIONEN

• „CCPA“ bezeichnet den California Consumer Privacy Act, Cal. Zivil. Gesetzbuch § 1798.100 ff. ff., geändert durch den California Privacy Rights Act von 2020 und zusammen mit allen Durchführungsbestimmungen. „Verantwortlicher“ bezeichnet die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, und bezieht sich auch auf ein „Unternehmen“ im Sinne des CCPA.
• „Kunde“ bezeichnet das oben genannte Unternehmen und seine verbundenen Unternehmen.
• „Datenschutzgesetze und -vorschriften“ bezeichnet alle Gesetze und Vorschriften der Europäischen Union und ihrer Mitgliedsstaaten, des Europäischen Wirtschaftsraums und seiner Mitgliedsstaaten, des Vereinigten Königreichs, der Schweiz, der Vereinigten Staaten, Kanadas, Neuseelands und Australiens sowie deren jeweiligen politischen Unterabteilungen, die für die Verarbeitung personenbezogener Daten gelten. Dazu gehören, soweit anwendbar, unter anderem Folgendes: die DSGVO, das britische Datenschutzgesetz, das CCPA, das Virginia Consumer Data Protection Act („VCDPA“), das Colorado Privacy Act und damit verbundene Vorschriften („CPA“) “), dem Utah Consumer Privacy Act („UCPA“) und dem Connecticut Act Concerning Personal Data Privacy and Online Monitoring (der „CPDPA“). „Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen, und schließt „Verbraucher“ im Sinne der Datenschutzgesetze und -vorschriften ein. „Europa“ bezeichnet die Europäische Union, den Europäischen Wirtschaftsraum, die Schweiz und das Vereinigte Königreich.
• Zusätzliche Bestimmungen, die für die Übermittlung personenbezogener Daten aus Europa gelten, sind in Anhang 5 enthalten. Für den Fall, dass Anhang 5 entfernt wird, garantiert der Kunde, dass er keine personenbezogenen Daten verarbeiten wird, die den Datenschutzgesetzen und -vorschriften Europas unterliegen.
• „DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
• „OwnBackup-Gruppe“ bezeichnet OwnBackup und seine verbundenen Unternehmen, die an der Verarbeitung personenbezogener Daten beteiligt sind.
• „Personenbezogene Daten“ sind alle Informationen, die sich auf (i) eine identifizierte oder identifizierbare natürliche Person und (ii) eine identifizierte oder identifizierbare juristische Person beziehen (wobei diese Informationen ähnlich geschützt sind wie personenbezogene Daten, personenbezogene Daten oder persönlich identifizierbare Informationen im Rahmen der geltenden Daten). Schutzgesetze und -vorschriften), wobei es sich bei diesen Daten für jeden (i) oder (ii) um Kundendaten handelt.
• „Dienste zur Verarbeitung personenbezogener Daten“ bezeichnet die in Anhang 2 aufgeführten SaaS-Dienste, für die OwnBackup personenbezogene Daten verarbeiten kann.
• Unter „Verarbeitung“ versteht man jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Zuordnung oder Verknüpfung, Einschränkung, Löschung oder Vernichtung. „Auftragsverarbeiter“ bezeichnet das Unternehmen, das personenbezogene Daten im Namen des Verantwortlichen verarbeitet, einschließlich gegebenenfalls aller „Dienstleister“ gemäß der Definition dieses Begriffs im CCPA.
• „Standardvertragsklauseln“ bezeichnet den Anhang zum Durchführungsbeschluss (EU) 2021/914 (https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj) der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates der Europäischen Union und vorbehaltlich der erforderlichen Änderungen für die Schweiz, die in Anhang 5 näher beschrieben werden.
• „Unterauftragsverarbeiter“ bezeichnet jeden von OwnBackup, einem Mitglied der OwnBackup-Gruppe oder einem anderen Unterauftragsverarbeiter beauftragten Auftragsverarbeiter.
• „Aufsichtsbehörde“ bezeichnet eine staatliche oder staatlich anerkannte Regulierungsbehörde mit verbindlicher rechtlicher Autorität gegenüber dem Kunden.
• „UK Addendum“ bezeichnet das United Kingdom International Data Transfer Addendum zu den Standardvertragsklauseln der EU-Kommission (verfügbar ab 21. März 2022 unter https://ico.org.uk/for-organisations/guideto-data-protection/guide-to -the-general-data-protection-regulation-gdpr/international-data-transferagreement-and-guidance/), ausgefüllt wie in Anhang 5 beschrieben.
• „Datenschutzrecht des Vereinigten Königreichs“ bezeichnet die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, da sie Teil des englischen Rechts ist und Wales, Schottland und Nordirland gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018, in der jeweils gültigen Fassung durch die Datenschutzgesetze und -vorschriften des Vereinigten Königreichs

VERARBEITUNG PERSONENBEZOGENER DATEN

• Umfang. Die Parteien vereinbaren, dass diese DPA ausschließlich für die Verarbeitung personenbezogener Daten im Rahmen der Dienste zur Verarbeitung personenbezogener Daten gilt.
• Rollen der Parteien. Die Parteien vereinbaren, dass im Hinblick auf die Verarbeitung personenbezogener Daten der Kunde der Verantwortliche und OwnBackup der Auftragsverarbeiter ist.
• Verarbeitung personenbezogener Daten durch OwnBackup. OwnBackup behandelt personenbezogene Daten als vertrauliche Informationen und verarbeitet personenbezogene Daten im Namen und nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden für die folgenden Zwecke: (i) Verarbeitung gemäß der Vereinbarung und den geltenden Bestellungen; (ii) Verarbeitung, die vom Personal des Kunden bei der Nutzung der SaaS-Dienste initiiert wird; und (iii) Verarbeitung zur Einhaltung anderer dokumentierter angemessener Anweisungen des Kunden (z. B. per E-Mail), sofern diese Anweisungen mit den Bedingungen der Vereinbarung vereinbar sind.
• Verarbeitungsbeschränkungen. OwnBackup darf nicht: (i) personenbezogene Daten im Sinne der Datenschutzgesetze und -vorschriften „verkaufen“ oder „weitergeben“; (ii) personenbezogene Daten für kommerzielle oder andere Zwecke außer der Erbringung der SaaS-Dienste aufzubewahren, zu nutzen, offenzulegen oder zu verarbeiten; oder (iii) personenbezogene Daten außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und OwnBackup aufzubewahren, zu verwenden oder offenzulegen. OwnBackup muss die geltenden Beschränkungen der Datenschutzgesetze und -vorschriften für die Kombination personenbezogener Daten mit personenbezogenen Daten einhalten, die OwnBackup von oder im Namen einer oder mehrerer anderer Personen erhält oder die OwnBackup aus der Interaktion zwischen ihm und einer Einzelperson erfasst.
• Meldung rechtswidriger Weisungen; Unbefugte Verarbeitung. OwnBackup wird den Kunden unverzüglich informieren, wenn eine Weisung des Kunden seiner Meinung nach gegen Datenschutzgesetze oder -vorschriften verstößt. Der Kunde behält sich das Recht vor, nach Benachrichtigung angemessene und angemessene Maßnahmen zu ergreifen, um die unbefugte Nutzung personenbezogener Daten zu stoppen und zu beheben, einschließlich der Nutzung personenbezogener Daten, die in dieser DPA nicht genehmigt ist.
• Einzelheiten der Verarbeitung. Gegenstand der Verarbeitung personenbezogener Daten durch OwnBackup ist die Erbringung der SaaS-Dienste gemäß der Vereinbarung. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten personenbezogener Daten und Kategorien betroffener Personen, die im Rahmen dieses DPA verarbeitet werden, werden in Anhang 3 (Einzelheiten der Verarbeitung) näher erläutert.
• Datenschutz-Folgenabschätzung. Auf Wunsch des Kunden unterstützt OwnBackup den Kunden in angemessener Weise bei der Erfüllung seiner Verpflichtung gemäß den Datenschutzgesetzen und -vorschriften, eine Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der SaaS-Dienste durch den Kunden durchzuführen, sofern der Kunde anderweitig keinen Zugriff auf die relevanten Informationen hat und Solche Informationen stehen OwnBackup zur Verfügung. OwnBackup wird den Kunden angemessen bei der Zusammenarbeit oder vorherigen Konsultation mit einer Aufsichtsbehörde bezüglich einer solchen Datenschutz-Folgenabschätzung unterstützen, soweit dies nach den geltenden Datenschutzgesetzen und -vorschriften erforderlich ist.
• Pflichten des Kunden in Bezug auf personenbezogene Daten. Bei der Nutzung der SaaS-Dienste wird der Kunde die Datenschutzgesetze und -vorschriften einhalten, einschließlich aller geltenden Anforderungen zur Benachrichtigung und/oder Einholung der Einwilligung der betroffenen Personen zur Verarbeitung durch OwnBackup. Der Kunde stellt sicher, dass seine Anweisungen zur Verarbeitung personenbezogener Daten den Datenschutzgesetzen und -vorschriften entsprechen.
• Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten sowie für die Art und Weise, wie der Kunde personenbezogene Daten erlangt hat. Der Kunde stellt sicher, dass seine Nutzung der SaaS-Dienste nicht die Rechte einer betroffenen Person verletzt, die sich im jeweiligen Umfang vom Verkauf, der Weitergabe oder sonstigen Offenlegung personenbezogener Daten abgemeldet hat. Der Kunde stellt sicher, dass die Kundendaten keine Daten enthalten, die als personenbezogene Gesundheitsdaten gelten, die gemäß Artikel L.1111-8 des französischen Gesetzbuchs über das öffentliche Gesundheitswesen geschützt sind

ANFRAGEN NACH KUNDENDATEN

• Anfragen von betroffenen Personen. OwnBackup wird den Kunden im gesetzlich zulässigen Umfang unverzüglich benachrichtigen, wenn OwnBackup eine Anfrage einer betroffenen Person erhält, das Recht der betroffenen Person auf Zugang, Berichtigung, Einschränkung der Verarbeitung oder Löschung („Recht auf Vergessenwerden“) auszuüben. , Recht auf Datenübertragbarkeit, Recht auf Widerspruch gegen die Verarbeitung oder Recht, nicht einer automatisierten individuellen Entscheidungsfindung zu unterliegen, wobei jede dieser Anfragen eine „Anfrage einer betroffenen Person“ ist. Unter Berücksichtigung der Art der Verarbeitung unterstützt OwnBackup den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, um der Verpflichtung des Kunden nachzukommen, auf eine Anfrage einer betroffenen Person gemäß den Datenschutzgesetzen und -vorschriften zu antworten. Darüber hinaus wird OwnBackup, soweit der Kunde bei der Nutzung der SaaS-Dienste nicht in der Lage ist, eine Anfrage einer betroffenen Person zu bearbeiten, auf Wunsch des Kunden wirtschaftlich angemessene Anstrengungen unternehmen, um den Kunden bei der Beantwortung einer solchen Anfrage einer betroffenen Person zu unterstützen soweit OwnBackup gesetzlich dazu berechtigt ist und die Beantwortung einer solchen Anfrage einer betroffenen Person gemäß den Datenschutzgesetzen und -vorschriften erforderlich ist. Übersteigt diese Unterstützung den Umfang der vertraglich vereinbarten SaaS-Dienste und ist der Kunde im gesetzlich zulässigen Umfang für alle zusätzlichen Kosten verantwortlich, die durch die Unterstützung entstehen.
• Anfragen von anderen Dritten. Wenn OwnBackup von einem Dritten, der keine betroffene Person ist (einschließlich, aber nicht beschränkt auf eine Regierungsbehörde), eine Anfrage nach Kundendaten erhält, wird OwnBackup, soweit gesetzlich zulässig, die anfragende Partei an den Kunden verweisen und den Kunden unverzüglich über die Anfrage informieren. Wenn es OwnBackup gesetzlich nicht gestattet ist, den Kunden über die Anfrage zu informieren, antwortet OwnBackup der anfragenden Partei nur, wenn dies gesetzlich vorgeschrieben ist, und unternimmt angemessene Anstrengungen, um mit der anfragenden Partei zusammenzuarbeiten, um den Umfang der Kundendatenanfrage einzugrenzen .

EIGENES BACKUP-PERSONAL

• Vertraulichkeit. OwnBackup stellt sicher, dass sein Personal, das mit der Verarbeitung personenbezogener Daten befasst ist, über die Vertraulichkeit der personenbezogenen Daten informiert ist, eine angemessene Schulung zu seinen Verantwortlichkeiten erhalten hat und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet hat. OwnBackup stellt sicher, dass diese Geheimhaltungsverpflichtungen über die Beendigung des Personaleinsatzes hinaus bestehen bleiben.
• Zuverlässigkeit. OwnBackup ergreift wirtschaftlich angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter von OwnBackup zu gewährleisten, die an der Verarbeitung personenbezogener Daten beteiligt sind.
• Zugriffsbeschränkung. OwnBackup stellt sicher, dass der Zugriff von OwnBackup auf personenbezogene Daten auf diejenigen Mitarbeiter beschränkt ist, die diesen Zugriff zur Erbringung der SaaS-Dienste gemäß der Vereinbarung benötigen.
• Datenschutzbeauftragter. Mitglieder der OwnBackup-Gruppe ernennen einen Datenschutzbeauftragten, sofern eine solche Ernennung durch Datenschutzgesetze und -vorschriften erforderlich ist. Die benannte Person ist unter erreichbar privatsphäre@ownbackup.com.

UNTERVERARBEITENDE

• Ernennung von Unterauftragsverarbeitern. Der Kunde erteilt OwnBackup eine allgemeine Genehmigung zur Ernennung von Unterauftragsverarbeitern Dritter im Zusammenhang mit den SaaS-Diensten gemäß den beschriebenen Verfahren
  in dieser DPA. OwnBackup oder ein mit OwnBackup verbundenes Unternehmen hat mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung getroffen, die Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in diesem DPA enthaltenen
  den Schutz der Kundendaten, soweit dies für die von diesem Unterauftragsverarbeiter bereitgestellten Dienste gilt.
• Aktuelle Unterauftragsverarbeiter und Benachrichtigung über neue Unterauftragsverarbeiter. Eine Liste der Unterauftragsverarbeiter für die SaaS-Dienste zum Zeitpunkt der Ausführung dieses DPA ist in Anlage 1 beigefügt. OwnBackup benachrichtigt den Kunden schriftlich über jeden neuen Unterauftragsverarbeiter, bevor es diesem neuen Unterauftragsverarbeiter die Verarbeitung personenbezogener Daten gestattet.
• Widerspruchsrecht für neue Unterauftragsverarbeiter. Der Kunde kann der Nutzung eines neuen Unterauftragsverarbeiters durch OwnBackup widersprechen, indem er OwnBackup innerhalb von 30 Tagen nach Erhalt einer im vorstehenden Absatz beschriebenen Mitteilung schriftlich benachrichtigt. Wenn der Kunde Einspruch gegen einen neuen Unterauftragsverarbeiter einlegt, wie im vorstehenden Satz zulässig, wird OwnBackup wirtschaftlich angemessene Anstrengungen unternehmen, um dem Kunden eine Änderung der SaaS-Dienste zur Verfügung zu stellen oder eine Änderung der Konfiguration oder Nutzung der SaaS-Dienste durch den Kunden zu empfehlen, um eine Verarbeitung zu vermeiden personenbezogener Daten durch den beanstandeten neuen Unterauftragsverarbeiter, ohne den Kunden unangemessen zu belasten. Wenn OwnBackup nicht in der Lage ist, eine solche Änderung des SaaS-Dienstes bereitzustellen oder eine solche Änderung der Konfiguration des Kunden oder der Nutzung der SaaS-Dienste zu empfehlen, die für den Kunden zufriedenstellend ist, innerhalb einer angemessenen Frist (die in keinem Fall 30 Tage überschreiten darf). ) kann der Kunde das/die jeweilige(n) Bestellformular(e) durch eine schriftliche Mitteilung an OwnBackup kündigen. In einem solchen Fall erstattet OwnBackup dem Kunden alle im Voraus bezahlten Gebühren für die verbleibende Laufzeit dieser Bestellformulare nach dem Datum des Inkrafttretens der Kündigung, ohne dem Kunden eine Strafe für eine solche Kündigung aufzuerlegen.
• Haftung für Unterauftragsverarbeiter. OwnBackup haftet für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter im gleichen Umfang, in dem OwnBackup haften würde, wenn es die Dienste jedes Unterauftragsverarbeiters direkt gemäß den Bedingungen dieser DPA erbringen würde.

SICHERHEIT

• Kontrollen zum Schutz von Kundendaten. OwnBackup muss angemessene physische, technische und organisatorische Maßnahmen zum Schutz der Sicherheit (einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung oder Beschädigung, unbefugter Offenlegung von oder Zugriff auf Kundendaten), Vertraulichkeit und Vertraulichkeit treffen Integrität der Kundendaten, einschließlich personenbezogener Daten, gemäß Anhang 4 (OwnBackup-Sicherheitskontrollen). OwnBackup wird die Gesamtsicherheit der SaaS-Dienste während der Abonnementlaufzeit nicht wesentlich beeinträchtigen.
• Auditberichte und Zertifizierungen Dritter. Auf schriftliche Anfrage des Kunden in angemessenen Abständen und vorbehaltlich der Vertraulichkeitsverpflichtungen in der Vereinbarung stellt OwnBackup dem Kunden eine Kopie des jeweils aktuellsten SOC 2-Auditberichts von OwnBackup sowie aller anderen Auditberichte und Zertifizierungen zur Verfügung OwnBackup stellt Kunden zur Verfügung, sofern der Kunde kein Konkurrent von OwnBackup ist.

KUNDENDATEN-VORFALLVERWALTUNG UND -BENACHRICHTIGUNG

OwnBackup hält Richtlinien und Verfahren für das Management von Sicherheitsvorfällen ein und benachrichtigt den Kunden unverzüglich, wenn es Kenntnis von einer unbeabsichtigten oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf Kundendaten, einschließlich personenbezogener Daten, erlangt, die von übermittelt, gespeichert oder anderweitig verarbeitet werden OwnBackup oder seine Unterauftragsverarbeiter, von denen OwnBackup Kenntnis erlangt (ein „Kundendatenvorfall“). OwnBackup wird angemessene Anstrengungen unternehmen, um die Ursache eines solchen Kundendatenvorfalls zu ermitteln, und Maßnahmen ergreifen, die OwnBackup für notwendig und angemessen hält, um die Ursache eines solchen Kundendatenvorfalls zu beheben, sofern die Behebung innerhalb der angemessenen Kontrolle von OwnBackup liegt. Die hierin enthaltenen Verpflichtungen gelten nicht für Vorfälle, die durch den Kunden oder sein Personal verursacht werden.

RÜCKGABE UND LÖSCHUNG VON KUNDENDATEN
OwnBackup wird Kundendaten an den Kunden zurückgeben und, soweit gesetzlich zulässig, Kundendaten gemäß den in der Vereinbarung festgelegten Verfahren und Zeitrahmen löschen.

PRÜFUNG

Auf Anfrage des Kunden und vorbehaltlich der Vertraulichkeitsverpflichtungen in der Vereinbarung stellt OwnBackup dem Kunden (oder einem externen Prüfer des Kunden, der eine für OwnBackup vernünftigerweise akzeptable Geheimhaltungsvereinbarung unterzeichnet hat) Informationen zur Verfügung, die zum Nachweis der Einhaltung der Verpflichtungen durch die OwnBackup-Gruppe erforderlich sind dargelegt in dieser DPA und seinen Verpflichtungen als Auftragsverarbeiter gemäß Datenschutzgesetzen und -vorschriften in Form der ausgefüllten standardisierten Sicherheitsfragebögen, Zertifizierungen Dritter und Prüfberichte von OwnBackup (z. B. der ausgefüllten Standardized Information Gathering (SIG) und des Cloud Security Alliance Consensus). Fragebögen der Assessments Initiative (CSA CAIQ), SOC 2-Bericht und zusammenfassende Penetrationstestberichte) und für seine Unterauftragsverarbeiter die von ihnen zur Verfügung gestellten Zertifizierungen und Prüfberichte Dritter. Nach einer Mitteilung von OwnBackup an den Kunden über eine tatsächliche oder begründete Vermutung einer unbefugten Offenlegung personenbezogener Daten, wenn der Kunde begründete Annahme hat, dass OwnBackup gegen seine Pflichten zum Schutz personenbezogener Daten im Rahmen dieser DPA verstößt, oder wenn eine solche Prüfung von der Aufsichtsbehörde des Kunden verlangt wird, kann der Kunde kann sich an OwnBackup wenden, um eine Prüfung der für den Schutz personenbezogener Daten relevanten Verfahren anzufordern. Eine solche Prüfung wird aus der Ferne durchgeführt, es sei denn, der Kunde und/oder seine Aufsichtsbehörde kann eine Vor-Ort-Prüfung in den Räumlichkeiten von OwnBackup durchführen, wenn dies durch die Datenschutzgesetze und -vorschriften vorgeschrieben ist. Eine solche Anfrage darf höchstens einmal jährlich erfolgen, es sei denn, es liegt ein tatsächlicher oder begründeter Verdacht auf unbefugten Zugriff auf personenbezogene Daten vor. Vor Beginn eines Audits vereinbaren der Kunde und OwnBackup einvernehmlich den Umfang, den Zeitpunkt und die Dauer des Audits. In keinem Fall erfolgt eine Prüfung eines Unterauftragsverarbeiters, die über eine review der vom Unterauftragsverarbeiter zur Verfügung gestellten Berichte, Bescheinigungen und Dokumentationen sind ohne Zustimmung des Unterauftragsverarbeiters zulässig.

VERBUNDENE UNTERNEHMEN

• Vertragsverhältnis. Das Kundenunternehmen, das diese DPA unterzeichnet, tut dies für sich selbst und gegebenenfalls im Namen und Auftrag seiner verbundenen Unternehmen und begründet damit eine separate DPA zwischen OwnBackup und jedem dieser verbundenen Unternehmen vorbehaltlich der Bestimmungen der Vereinbarung, dieser Klausel 10 und dieser Klausel 11 unten. Jedes dieser verbundenen Unternehmen erklärt sich damit einverstanden, an die Verpflichtungen aus dieser DPA und, soweit anwendbar, der Vereinbarung gebunden zu sein. Zur Klarstellung: Solche verbundenen Unternehmen sind keine Vertragsparteien der Vereinbarung und werden dies auch nicht, sondern nur Vertragsparteien dieser DPA. Jeglicher Zugriff auf die SaaS-Dienste und deren Nutzung durch solche verbundenen Unternehmen muss im Einklang mit der Vereinbarung erfolgen, und jeder Verstoß gegen die Vereinbarung durch ein verbundenes Unternehmen gilt als Verstoß des Kunden.
• Kommunikation. Das diesen DPA unterzeichnende Kundenunternehmen bleibt für die Koordinierung der gesamten Kommunikation mit OwnBackup im Rahmen dieses DPA verantwortlich und ist berechtigt, im Namen seiner verbundenen Unternehmen jegliche Kommunikation im Zusammenhang mit diesem DPA vorzunehmen und zu empfangen.
• Rechte der verbundenen Unternehmen des Kunden. Wenn ein verbundenes Unternehmen des Kunden mit OwnBackup Vertragspartei dieser DPA wird, ist es in dem gemäß den geltenden Datenschutzgesetzen und -vorschriften erforderlichen Umfang berechtigt, die Rechte aus dieser DPA auszuüben und Rechtsbehelfe einzulegen, vorbehaltlich der folgenden Bedingungen:
• Sofern die geltenden Datenschutzgesetze und -vorschriften nicht vorschreiben, dass das verbundene Unternehmen des Kunden ein Recht gemäß dieser DPA direkt gegenüber OwnBackup geltend machen oder einen Rechtsbehelf einlegen muss, vereinbaren die Parteien dies
  • Nur das Unternehmen des Kunden, das dieses DPA unterzeichnet hat, übt im Namen des verbundenen Unternehmens des Kunden ein solches Recht aus oder sucht nach einem solchen Rechtsbehelf, und (ii) das Unternehmen des Kunden, das dieses DPA unterzeichnet, übt alle derartigen Rechte im Rahmen dieses DPA nicht separat für jedes verbundene Unternehmen einzeln, sondern aus in kombinierter Weise für sich selbst und alle seine verbundenen Unternehmen zusammen (wie dargelegt, z. Bample, in Abschnitt 10.3.2 unten).
  • Das Kundenunternehmen, das diese DPA unterzeichnet, muss bei der Durchführung einer zulässigen Prüfung der für den Schutz personenbezogener Daten relevanten Verfahren alle angemessenen Maßnahmen ergreifen, um etwaige Auswirkungen auf OwnBackup und seine Unterauftragsverarbeiter zu begrenzen, indem es, soweit vernünftigerweise möglich, mehrere kombiniert Prüfungsanfragen, die im eigenen Namen und im Namen aller seiner verbundenen Unternehmen in einer einzigen Prüfung durchgeführt werden.

HAFTUNGSBESCHRÄNKUNG

• Soweit die Datenschutzgesetze und -vorschriften dies zulassen, gilt die Haftung jeder Partei und aller ihrer verbundenen Unternehmen insgesamt, die sich aus diesem DPA ergibt oder damit in Zusammenhang steht, sei es vertraglich, aus unerlaubter Handlung oder aufgrund einer anderen Haftungstheorie vorbehaltlich der „Haftungsbeschränkung“-Klauseln und anderer Klauseln, die die Haftung ausschließen oder einschränken, der Vereinbarung, und jeder Verweis in solchen Klauseln auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen.

ÄNDERUNGEN AN ÜBERTRAGUNGSMECHANISMEN

• Für den Fall, dass ein aktueller Übermittlungsmechanismus, auf den sich die Parteien zur Erleichterung der Übermittlung personenbezogener Daten in ein oder mehrere Länder berufen, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze und -vorschriften gewährleisten, ungültig wird, wird er geändert oder ersetzt werden, werden die Parteien nach Treu und Glauben daran arbeiten, einen solchen alternativen Übertragungsmechanismus einzuführen, um die weitere Verarbeitung personenbezogener Daten gemäß der Vereinbarung zu ermöglichen. Die Nutzung eines solchen alternativen Übertragungsmechanismus setzt voraus, dass jede Partei alle rechtlichen Anforderungen für die Nutzung eines solchen Übertragungsmechanismus erfüllt.

Die Zeichnungsberechtigten der Parteien haben diese Vereinbarung einschließlich aller darin enthaltenen anwendbaren Anhänge, Anhänge und Anhänge ordnungsgemäß unterzeichnet

KUNDE 

• Unterzeichnet:
• Name:
• Titel:
• Datum:

Liste der Zeitpläne

• Zeitplan 1: Aktuelle Unterprozessorliste
• Anhang 2: SaaS-Dienste für die Verarbeitung personenbezogener Daten
• Anlage 3: Einzelheiten der Verarbeitung
• Zeitplan 4: OwnBackup-Sicherheitskontrollen
• Anhang 5: Europäische Bestimmungen

Aktuelle Unterprozessorliste

Der Kunde kann entweder Amazon wählen Web Services oder Microsoft (Azure) und deren gewünschter Verarbeitungsort während der Ersteinrichtung der SaaS-Dienste durch den Kunden.
Gilt nur für OAwnBackup Archive-Kunden, die sich für die Bereitstellung in der Microsoft (Azure) Cloud entscheiden.

Saas-Dienste für die Verarbeitung personenbezogener Daten

• OwnBackup Enterprise für Salesforce
• OwnBackup Unlimited für Salesforce
• OwnBackup Governance Plus für Salesforce
• OwnBackup-Archiv
• Bringen Sie Ihre eigene Schlüsselverwaltung mit
• Sandkastensaat

Einzelheiten der Verarbeitung

Datenexporteur

• Vollständiger gesetzlicher Name: Kundenname wie oben angegeben
• Hauptadresse: Kundenadresse wie oben angegeben
• Kontakt: Sofern nicht anders angegeben, ist dies der Hauptkontakt im Kundenkonto.
• Kontakt-E-Mail: Sofern nicht anders angegeben, ist dies die primäre Kontakt-E-Mail-Adresse im Kundenkonto.

Datenimporteur

• Vollständiger gesetzlicher Name: OwnBackup Inc.
• Hauptadresse: 940 Sylvan Ave, Englewood Cliffs, NJ 07632, USA
• Kontakt: Datenschutzbeauftragter
• Kontakt-E-Mail: privatsphäre@ownbackup.com

Art und Zweck der Verarbeitung

• OwnBackup verarbeitet personenbezogene Daten, soweit dies zur Erbringung der Saa-Dienste gemäß erforderlich ist
• Vereinbarung und Bestellungen sowie gemäß den weiteren Anweisungen des Kunden bei der Nutzung der SaaS-Dienste.

Verarbeitungsdauer

Sofern nicht schriftlich etwas anderes vereinbart wurde, verarbeitet OwnBackup personenbezogene Daten für die Dauer der Vereinbarung.

Zurückbehaltung
OwnBackup speichert personenbezogene Daten in den SaaS-Diensten für die Dauer der Vereinbarung, sofern nicht schriftlich etwas anderes vereinbart wurde, vorbehaltlich der in der Dokumentation angegebenen maximalen Aufbewahrungsfrist.

Häufigkeit der Übertragung
Wie vom Kunden durch die Nutzung der SaaS-Dienste festgelegt.

Übertragungen an Unterauftragsverarbeiter
Soweit erforderlich, um die SaaS-Dienste gemäß der Vereinbarung und den Bestellungen zu erbringen, und wie in Anhang 1 näher beschrieben.

Kategorien betroffener Personen
Der Kunde kann personenbezogene Daten an die SaaS-Dienste übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem personenbezogene Daten der folgenden Kategorien betroffener Personen umfassen können:

• Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind)
• Mitarbeiter oder Ansprechpartner von Interessenten, Kunden, Geschäftspartnern und Lieferanten des Kunden
• Mitarbeiter, Vertreter, Berater, Freiberufler des Kunden (die natürliche Personen sind)
• Benutzer des Kunden, die vom Kunden zur Nutzung der SaaS-Dienste autorisiert wurden

Art der personenbezogenen Daten
Der Kunde kann personenbezogene Daten an die SaaS-Dienste übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem die folgenden Kategorien umfassen können

Personenbezogene Daten:

• Vor- und Nachname
• Titel
• Position
• Arbeitgeber
• ID-Daten
• Daten zum Berufsleben
• Kontaktinformationen (Firma, E-Mail, Telefon, physische Geschäftsadresse)
• Persönliche Lebensdaten
• Lokalisierungsdaten

Spezielle Datenkategorien (falls zutreffend)
Der Kunde kann besondere Kategorien personenbezogener Daten an die SaaS-Dienste übermitteln, deren Umfang vom Kunden nach eigenem Ermessen bestimmt und kontrolliert wird und die der Klarheit halber die Verarbeitung genetischer Daten und biometrischer Daten zum Zweck der Eindeutigkeit umfassen könnten Identifizierung einer natürlichen Person oder gesundheitsbezogene Daten. Sehen Sie sich die Maßnahmen in Anhang 4 an, um zu erfahren, wie OwnBackup besondere Datenkategorien und andere personenbezogene Daten schützt.

Einführung

1. Die Software-as-a-Service-Anwendungen (SaaS-Dienste) von OwnBackup wurden von Anfang an unter Berücksichtigung der Sicherheit entwickelt. Die SaaS-Dienste sind mit einer Vielzahl von Sicherheitskontrollen auf mehreren Ebenen ausgestattet, um einer Reihe von Sicherheitsrisiken zu begegnen. Diese Sicherheitskontrollen können sich ändern; Allerdings wird durch alle Änderungen die allgemeine Sicherheitslage aufrechterhalten oder verbessert.
2. Die folgenden Beschreibungen der Kontrollen gelten für die SaaS-Service-Implementierungen auf Amazon Web Services (AWS) und Microsoft Azure (Azure)-Plattformen (gemeinsam als unsere Cloud Service Provider oder CSPs bezeichnet), sofern im Abschnitt „Verschlüsselung“ unten nichts anderes angegeben ist. Diese Beschreibungen der Kontrollen gelten nicht für RevCult-Software, außer wie unter „Sichere Softwareentwicklung“ unten angegeben.

Web Anwendungssicherheitskontrollen

• Der Kundenzugriff auf die SaaS-Dienste erfolgt ausschließlich über HTTPS (TLS1.2+), wodurch die Verschlüsselung der Daten bei der Übertragung zwischen dem Endbenutzer und der Anwendung sowie zwischen OwnBackup und der Datenquelle eines Drittanbieters (z. B. Salesforce) sichergestellt wird.
• Die SaaS-Dienstadministratoren des Kunden können SaaS-Dienstbenutzer und den damit verbundenen Zugriff nach Bedarf bereitstellen und die Bereitstellung aufheben.
• Die SaaS-Dienste bieten rollenbasierte Zugriffskontrollen, um Kunden die Verwaltung von Berechtigungen für mehrere Organisationen zu ermöglichen.
• Die SaaS-Service-Administratoren des Kunden können auf Prüfprotokolle zugreifen, einschließlich Benutzername, Aktion und Uhrzeitampund Quell-IP-Adressfelder. Audit-Protokolle können sein viewVom SaaS-Service-Administrator des Kunden, der bei den SaaS-Services angemeldet ist, sowie über die SaaS-Services-API bearbeitet und exportiert.
• Der Zugriff auf die SaaS-Dienste kann durch die Quell-IP-Adresse eingeschränkt werden.
• Mit den SaaS-Diensten können Kunden die Multi-Faktor-Authentifizierung für den Zugriff auf SaaS-Dienstkonten mithilfe zeitbasierter Einmalkennwörter aktivieren.
• Mit den SaaS-Diensten können Kunden Single Sign-On über SAML 2.0-Identitätsanbieter aktivieren.
• Mit den SaaS-Diensten können Kunden anpassbare Passwortrichtlinien aktivieren, um die Passwörter der SaaS-Dienste an die Unternehmensrichtlinien anzupassen.

Verschlüsselung

• OwnBackup bietet die folgenden SaaS-Serviceoptionen für die Verschlüsselung ruhender Daten:
  • Standardangebot.
    • Die Daten werden mithilfe der serverseitigen AES-256-Verschlüsselung über ein nach FIPS 140-2 validiertes Schlüsselverwaltungssystem verschlüsselt.
    • Die Umschlagverschlüsselung wird verwendet, sodass der Hauptschlüssel niemals das Hardware-Sicherheitsmodul (HSM) verlässt.
    • Verschlüsselungsschlüssel werden mindestens alle zwei Jahre gewechselt.
  • Option „Advanced Key Management“ (AKM).
    • Die Daten werden in einem dedizierten Objektspeichercontainer mit einem vom Kunden bereitgestellten Master Encryption Key (CMK) verschlüsselt.
    • AKM ermöglicht die zukünftige Archivierung des Schlüssels und seine Rotation mit einem anderen Hauptverschlüsselungsschlüssel.
    • Der Kunde kann Masterverschlüsselungsschlüssel widerrufen, was zur sofortigen Unzugänglichkeit der Daten führt.
  • Option „Bring Your Own Key Management System“ (KMS) (nur auf AWS verfügbar).
    • Verschlüsselungsschlüssel werden mithilfe von AWS KMS im eigenen, separat erworbenen Konto des Kunden erstellt.
    • Der Kunde definiert die Verschlüsselungsschlüsselrichtlinie, die es dem SaaS-Servicekonto des Kunden auf AWS ermöglicht, über das kundeneigene AWS KMS auf den Schlüssel zuzugreifen.
    • Die Daten werden in einem dedizierten Objektspeichercontainer verschlüsselt, der von OwnBackup verwaltet wird und für die Verwendung des Verschlüsselungsschlüssels des Kunden konfiguriert ist.
    • Der Kunde kann den Zugriff auf die verschlüsselten Daten sofort widerrufen, indem er OwnBackup den Zugriff auf den Verschlüsselungsschlüssel entzieht, ohne mit OwnBackup zu interagieren.
    • Mitarbeiter von OwnBackup haben zu keinem Zeitpunkt Zugriff auf die Verschlüsselungsschlüssel und greifen nicht direkt auf das KMS zu.
    • Alle wichtigen Nutzungsaktivitäten werden im KMS des Kunden protokolliert, einschließlich des Schlüsselabrufs durch den dedizierten Objektspeicher.
• Die Verschlüsselung bei der Übertragung zwischen den SaaS-Diensten und der Datenquelle eines Drittanbieters (z. B. Salesforce) nutzt HTTPS mit TLS 1.2+ und OAuth 2.0.

Netzwerk

• Die SaaS-Dienste nutzen CSP-Netzwerkkontrollen, um den Netzwerkein- und -ausgang einzuschränken.
• Zustandsbehaftete Sicherheitsgruppen werden eingesetzt, um den Netzwerkein- und -ausgang auf autorisierte Endpunkte zu beschränken.
• Die SaaS-Dienste nutzen eine mehrstufige Netzwerkarchitektur, einschließlich mehrerer, logisch getrennter Amazon Virtual Private Clouds (VPCs) oder Azure Virtual Networks (VNets), und nutzen dabei private Zonen, DMZs und nicht vertrauenswürdige Zonen innerhalb der CSP-Infrastruktur.
• In AWS werden in jeder Region VPC-S3-Endpunktbeschränkungen verwendet, um den Zugriff nur von autorisierten VPCs zu ermöglichen.

Überwachung und Auditierung

• Die Systeme und Netzwerke des SaaS-Dienstes werden auf Sicherheitsvorfälle, Systemzustand, Netzwerkanomalien und Verfügbarkeit überwacht.
• Die SaaS-Dienste nutzen ein Intrusion Detection System (IDS), um die Netzwerkaktivität zu überwachen und OwnBackup auf verdächtiges Verhalten aufmerksam zu machen.
• Die Nutzung der SaaS-Dienste web Anwendungs-Firewalls (WAFs) für alle öffentlichen web Dienstleistungen.
• OwnBackup protokolliert Anwendungs-, Netzwerk-, Benutzer- und Betriebssystemereignisse auf einem lokalen Syslog-Server und einem regionsspezifischen SIEM. Diese Protokolle werden automatisch analysiert und erneutviewwegen verdächtiger Aktivitäten und Drohungen. Eventuelle Anomalien werden entsprechend eskaliert.
• OwnBackup nutzt SIEM-Systeme (Security Information and Event Management), die eine kontinuierliche Sicherheitsanalyse der Netzwerke und der Sicherheitsumgebung der SaaS-Dienste, Alarmierung von Benutzeranomalien, Aufklärung von Command-and-Control-Angriffen (C&C), automatisierte Bedrohungserkennung und Meldung von Kompromittierungsindikatoren (IOC) ermöglichen ). Alle diese Funktionen werden von den Sicherheits- und Betriebsmitarbeitern von OwnBackup verwaltet.
• Das Incident-Response-Team von OwnBackup überwacht den Alias ​​security@ownbackup.com und reagiert gegebenenfalls gemäß dem Incident Response Plan (IRP) des Unternehmens.

Isolierung zwischen Konten

• Die SaaS-Dienste nutzen Linux-Sandboxing, um die Daten der Kundenkonten während der Verarbeitung zu isolieren. Dadurch wird sichergestellt, dass jede Anomalie (z. Bample, aufgrund eines Sicherheitsproblems oder eines Softwarefehlers) bleibt auf ein einziges OwnBackup-Konto beschränkt.
• Der Zugriff auf Mandantendaten wird durch eindeutige IAM-Benutzer mit Daten gesteuert tagGing, das unbefugten Benutzern den Zugriff auf die Mandantendaten verwehrt.

Notfallwiederherstellung

• OwnBackup nutzt CSP-Objektspeicher, um verschlüsselte Kundendaten über mehrere Verfügbarkeitszonen hinweg zu speichern.
• Für Kundendaten, die im Objektspeicher gespeichert sind, verwendet OwnBackup Objektversionierung mit automatischer Alterung, um die Einhaltung der Disaster Recovery- und Backup-Richtlinien von OwnBackup zu unterstützen. Für diese Objekte sind die Systeme von OwnBackup so konzipiert, dass sie ein Wiederherstellungspunktziel (RPO) von 0 Stunden unterstützen (d. h. die Möglichkeit, eine beliebige Version eines beliebigen Objekts wiederherzustellen, wie es im Zeitraum der letzten 14 Tage vorhanden war).
• Jede erforderliche Wiederherstellung einer Recheninstanz wird durch den Neuaufbau der Instanz basierend auf der Konfigurationsmanagementautomatisierung von OwnBackup erreicht.
• Der Disaster Recovery-Plan von OwnBackup ist darauf ausgelegt, ein Wiederherstellungszeitziel (RTO) von 4 Stunden zu unterstützen.

Schwachstellenmanagement

• OwnBackup führt regelmäßig Aktionen durch web Bewertung von Anwendungsschwachstellen, statische Codeanalyse und externe dynamische Bewertungen als Teil seines kontinuierlichen Überwachungsprogramms, um sicherzustellen, dass Anwendungssicherheitskontrollen ordnungsgemäß angewendet werden und effektiv funktionieren.
• OwnBackup stellt halbjährlich unabhängige Penetrationstester Dritter ein, die sowohl Netzwerk- als auch Netzwerktests durchführen web Schwachstellenbewertungen. Der Umfang dieser externen Audits umfasst die Einhaltung der Open Web Anwendungssicherheitsprojekt (OWASP) Top 10 Web Sicherheitslücken (www.owasp.org).
• Die Ergebnisse der Schwachstellenbewertung werden in den OwnBackup Software Development Lifecycle (SDLC) integriert, um identifizierte Schwachstellen zu beheben. Spezifische Schwachstellen werden priorisiert und zur Nachverfolgung und Behebung in das interne Ticketsystem von OwnBackup eingegeben.

Reaktion auf Vorfälle

Im Falle einer potenziellen Sicherheitsverletzung führt das OwnBackup Incident Response Team eine Bewertung der Situation durch und entwickelt geeignete Strategien zur Schadensbegrenzung. Wenn ein potenzieller Verstoß bestätigt wird, wird OwnBackup sofort Maßnahmen ergreifen, um den Verstoß zu entschärfen und forensische Beweise zu sichern, und die Hauptansprechpartner der betroffenen Kunden unverzüglich benachrichtigen, um sie über die Situation zu informieren und Updates zum Lösungsstatus bereitzustellen

Sichere Softwareentwicklung

OwnBackup setzt während des gesamten Softwareentwicklungslebenszyklus sichere Entwicklungspraktiken für OwnBackup- und RevCult-Softwareanwendungen ein. Zu diesen Praktiken gehören die statische Codeanalyse und die Salesforce-Sicherheitview Für RevCult-Anwendungen und für OwnBackup-Anwendungen, die in den Salesforce-Instanzen der Kunden installiert sind, Peer-Review von Codeänderungen, Beschränkung des Zugriffs auf das Quellcode-Repository nach dem Prinzip der geringsten Rechte und Protokollierung des Zugriffs und der Änderungen auf das Quellcode-Repository.

Engagiertes Sicherheitsteam

OwnBackup verfügt über ein engagiertes Sicherheitsteam mit insgesamt über 100 Jahren Erfahrung in der vielseitigen Informationssicherheit. Darüber hinaus verfügen die Teammitglieder über eine Reihe branchenweit anerkannter Zertifizierungen, darunter unter anderem CISM, CISSP und ISO 27001 Lead Auditors.

Privatsphäre und Datenschutz
OwnBackup bietet native Unterstützung für Zugriffsanfragen betroffener Personen, wie das Recht auf Löschung (Recht auf Vergessenwerden) und Anonymisierung, um die Einhaltung von Datenschutzbestimmungen zu unterstützen, einschließlich der Allgemeinen Datenschutzverordnung (DSGVO) und des Health Insurance Portability and Accountability Act (HIPAA) und California Consumer Privacy Act (CCPA). OwnBackup stellt außerdem einen Datenverarbeitungszusatz zur Verfügung, der sich mit Datenschutzgesetzen befasst, einschließlich der gesetzlichen Anforderungen für internationale Datenübertragungen.

Hintergrundüberprüfungen

OwnBackup führt eine Reihe von Hintergrundüberprüfungen, einschließlich strafrechtlicher Hintergrundüberprüfungen, seiner Mitarbeiter durch, die möglicherweise Zugriff auf Kundendaten haben, basierend auf dem Wohnsitzstaat des Mitarbeiters in den letzten sieben Jahren und vorbehaltlich geltender Gesetze.

Versicherung

OwnBackup unterhält mindestens den folgenden Versicherungsschutz: (a) Arbeiterunfallversicherung gemäß allen geltenden Gesetzen; (b) Kfz-Haftpflichtversicherung für fremde und gemietete Fahrzeuge mit einem Gesamtlimit von 1,000,000 US-Dollar; (c) gewerbliche Haftpflichtversicherung (öffentliche Haftpflichtversicherung) mit einer einmaligen Deckungssumme von 1,000,000 US-Dollar pro Schadensfall und einer allgemeinen Gesamthaftpflichtversicherung von 2,000,000 US-Dollar; (d) Fehler- und Unterlassungsversicherung (Berufshaftpflichtversicherung) mit einem Höchstbetrag von 20,000,000 US-Dollar pro Ereignis und insgesamt 20,000,000 US-Dollar, einschließlich primärer und zusätzlicher Schichten und einschließlich Cyber-Haftpflicht, Technologie und professionelle Dienstleistungen, Technologieprodukte, Daten- und Netzwerksicherheit, Reaktion auf Sicherheitsverletzungen, Regulierung Verteidigung und Strafen, Cyber-Erpressung und Haftung für Datenwiederherstellung; und (e) eine Versicherung gegen Mitarbeiterunehrlichkeit/Kriminalität mit einer Deckungssumme von 5,000,000 US-Dollar. OwnBackup wird dem Kunden auf Anfrage einen Nachweis über eine solche Versicherung vorlegen.

Europäische Bestimmungen

Dieser Zeitplan gilt nur für Übermittlungen personenbezogener Daten (einschließlich Weiterübermittlungen) aus Europa, die ohne die Anwendung dieser Bestimmungen dazu führen würden, dass entweder der Kunde oder OwnBackup gegen geltende Datenschutzgesetze und -vorschriften verstoßen.

Übertragungsmechanismus für Datenübertragungen.
Die Standardvertragsklauseln gelten für alle Übermittlungen personenbezogener Daten im Rahmen dieses DPA aus Europa in Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze und -vorschriften dieser Gebiete gewährleisten, sofern diese Übermittlungen unterliegen solche Datenschutzgesetze und -vorschriften. OwnBackup schließt die Standardvertragsklauseln als Datenimporteur ab. Die zusätzlichen Bedingungen in diesem Anhang gelten auch für solche Datenübertragungen.

Übertragungen unterliegen den Standardvertragsklauseln.

• Kunden, für die die Standardvertragsklauseln gelten. Die Standardvertragsklauseln und die in diesem Anhang aufgeführten zusätzlichen Bedingungen gelten für (i) den Kunden, soweit der Kunde den Datenschutzgesetzen und -vorschriften Europas unterliegt, und (ii) seine autorisierten verbundenen Unternehmen. Für die Zwecke der Standardvertragsklauseln und dieses Anhangs sind solche Unternehmen „Datenexporteure“.
• Module. Die Parteien vereinbaren, dass dort, wo optionale Module innerhalb der Standardvertragsklauseln angewendet werden können, nur diejenigen mit der Bezeichnung „MODUL ZWEI: Übertragung des Verantwortlichen an den Auftragsverarbeiter“ angewendet werden.
• Anweisungen. Die in Klausel 2 oben beschriebenen Anweisungen gelten als Anweisungen des Kunden zur Verarbeitung personenbezogener Daten im Sinne von Klausel 8.1 der Standardvertragsklauseln.
• Ernennung neuer Unterauftragsverarbeiter und Liste der aktuellen Unterauftragsverarbeiter. Gemäß OPTION 2 zu Klausel 9(a) der Standardvertragsklauseln stimmt der Kunde zu, dass OwnBackup neue Unterauftragsverarbeiter wie in den Klauseln 5.1, 5.b und 5.c oben beschrieben beauftragen kann und dass die verbundenen Unternehmen von OwnBackup als Unterauftragsverarbeiter behalten werden können -Verarbeiter sowie OwnBackup und die verbundenen Unternehmen von OwnBackup können im Zusammenhang mit der Bereitstellung der Datenverarbeitungsdienste Unterauftragsverarbeiter Dritter beauftragen. Die aktuelle Liste der Unterauftragsverarbeiter gemäß Anhang 1.
• Unterauftragsverarbeitervereinbarungen. Die Parteien vereinbaren, dass Datenübertragungen an Unterauftragsverarbeiter auf einem anderen Übertragungsmechanismus als den Standardvertragsklauseln beruhen können (z. Bample, verbindliche Unternehmensregeln) und dass die Vereinbarungen von OwnBackup mit solchen Unterauftragsverarbeitern daher die Standardvertragsklauseln nicht einbeziehen oder widerspiegeln dürfen, ungeachtet gegenteiliger Bestimmungen in Klausel 9(b) der Standardvertragsklauseln. Eine solche Vereinbarung mit einem Unterauftragsverarbeiter muss jedoch Datenschutzverpflichtungen enthalten, die in Bezug auf den Schutz von Kundendaten nicht weniger schützen als die in diesem DPA enthaltenen, soweit sie für die von diesem Unterauftragsverarbeiter bereitgestellten Dienste gelten. Kopien der Unterauftragsverarbeitervereinbarungen, die OwnBackup dem Kunden gemäß Klausel 9(c) der Standardvertragsklauseln zur Verfügung stellen muss, werden von OwnBackup nur auf schriftliche Anfrage des Kunden bereitgestellt und können alle kommerziellen Informationen oder Klauseln enthalten, die nichts damit zu tun haben die Standardvertragsklauseln oder deren Äquivalente, die zuvor von OwnBackup entfernt wurden.
• Audits und Zertifizierungen. Die Parteien vereinbaren, dass die in Ziffer 8.9 und Ziffer 13(b) der Standardvertragsklauseln beschriebenen Prüfungen gemäß vorstehender Ziffer 9 durchgeführt werden.
• Löschung von Daten. Die Parteien vereinbaren, dass die in Klausel 8.5 oder Klausel 16(d) der Standardvertragsklauseln vorgesehene Löschung oder Rückgabe von Daten gemäß Klausel 8 oben erfolgt und eine Bestätigung der Löschung von OwnBackup nur auf Anfrage des Kunden bereitgestellt wird.
• Drittbegünstigte. Die Parteien vereinbaren, dass der Kunde aufgrund der Art der SaaS-Dienste jede erforderliche Unterstützung leisten muss, damit OwnBackup seinen Verpflichtungen gegenüber betroffenen Personen gemäß Klausel 3 der Standardvertragsklauseln nachkommen kann.
• Folgenabschätzung. Gemäß Ziffer 14 der Standardvertragsklauseln haben die Parteien im Kontext der spezifischen Umstände der Übermittlung eine Analyse der Gesetze und Praktiken des Ziellandes sowie der spezifischen ergänzenden vertraglichen, organisatorischen und technischen Aspekte durchgeführt geltenden Sicherheitsvorkehrungen und haben auf der Grundlage der ihnen zu diesem Zeitpunkt vernünftigerweise bekannten Informationen festgestellt, dass die Gesetze und Praktiken des Ziellandes die Parteien nicht daran hindern, die Verpflichtungen jeder Partei gemäß den Standardvertragsklauseln zu erfüllen
• Geltendes Recht und Forum. Die Parteien vereinbaren in Bezug auf OPTION 2 zu Klausel 17, dass für den Fall, dass der EU-Mitgliedstaat, in dem der Datenexporteur ansässig ist, keine Drittbegünstigtenrechte zulässt, die Standardvertragsklauseln dem Recht von unterliegen Irland. Gemäß Klausel 18 werden Streitigkeiten im Zusammenhang mit den Standardvertragsklauseln von den in der Vereinbarung genannten Gerichten entschieden, es sei denn, dieses Gericht befindet sich nicht in einem EU-Mitgliedstaat; in diesem Fall sind die Gerichte Irlands der Gerichtsstand für solche Streitigkeiten .
• Anhänge. Für die Zwecke der Ausführung der Standardvertragsklauseln wird Anhang 3: Einzelheiten der Verarbeitung als ANHANG IA und IB, Anhang 4: OwnBackup-Sicherheitskontrollen (der von Zeit zu Zeit unter aktualisiert werden kann) aufgenommen https://www.ownbackup.com/trust/) wird als ANHANG II aufgenommen, und Anhang 1: Aktuelle Liste der Unterauftragsverarbeiter (in der jeweils gültigen Fassung unter https://www.ownbackup.com/legal/sub-p/) wird als ANHANG III aufgenommen.
• Deutung. Die Bestimmungen dieser Anlage dienen der Klarstellung und nicht der Änderung der Standardvertragsklauseln. Im Falle eines Konflikts oder einer Inkonsistenz zwischen dem Inhalt dieser Anlage und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang.

Bestimmungen für Überweisungen aus der Schweiz

Die Parteien vereinbaren, dass für die Zwecke der Anwendbarkeit der Standardvertragsklauseln zur Erleichterung der Übermittlung personenbezogener Daten aus der Schweiz die folgenden zusätzlichen Bestimmungen gelten: (i) Alle Verweise auf die Verordnung (EU) 2016/679 sind als Verweis auf die entsprechenden Bestimmungen auszulegen des Bundesgesetzes über den Datenschutz und anderer Datenschutzgesetze der Schweiz („Schweizer Datenschutzgesetze“), (ii) Alle Verweise auf „Mitgliedstaat“, „EU-Mitgliedstaat“ oder „EU“ beziehen sich auf die Schweiz und (iii) Alle Verweise auf die Aufsichtsbehörde beziehen sich auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.

Für Überweisungen aus dem Vereinigten Königreich geltende Bestimmungen

Die Parteien vereinbaren, dass der UK-Nachtrag für Übermittlungen personenbezogener Daten gilt, die dem britischen Datenschutzrecht unterliegen, und wie folgt als abgeschlossen gilt (wobei großgeschriebene Begriffe, die nicht anderswo definiert sind, die im UK-Nachtrag festgelegte Definition haben):

• Tabelle 1: Die Parteien, ihre Einzelheiten und ihre Kontakte sind in Anhang 3 aufgeführt.
• Tabelle 2: Die „Genehmigten EU-Standardvertragsklauseln“ sind die in diesem Anhang 5 dargelegten Standardvertragsklauseln.
• Tabelle 3: Die Anhänge I(A), I(B) und II werden gemäß Abschnitt 2(k) dieses Anhangs 5 ​​vervollständigt.
• Tabelle 4: OwnBackup kann das in Abschnitt 19 des UK Addendum beschriebene optionale Recht zur vorzeitigen Kündigung ausüben.

Dokumente / Ressourcen

Nachtrag zur Datenverarbeitung von Ownbackup [pdf] Anweisungen Nachtrag zur Datenverarbeitung, Nachtrag zur Verarbeitung, Nachtrag

Verweise

• Bedienungsanleitung