Allgemeine Geschäftsbedingungen von Keeper Security

Nachtrag zur Datenverarbeitung

Dieser Nachtrag zur Datenverarbeitung („Nachtrag“) ergänzt die Nutzungsbedingungen („Bedingungen“) und/oder andere schriftliche oder elektronische Vereinbarungen („Vereinbarung“) zwischen: (i) Keeper, d. h. der Keeper-Entität, die Vertragspartei dieser Vereinbarung ist („Keeper“ oder „Anbieter“), die in eigenem Namen und als Vertreter eines jeden Keeper-Partners handelt; und (ii) dem Keeper-Kunden („Sie“ oder „Kunde“), der in eigenem Namen und als Vertreter eines jeden Kunden-Partners handelt.

Die in diesem Nachtrag verwendeten Begriffe haben die in diesem Nachtrag dargelegten Bedeutungen. Großgeschriebene Begriffe, die hier nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung zugewiesen wird, oder, wenn sie weder im Nachtrag noch in der Vereinbarung definiert sind, haben diese Begriffe die Bedeutung gemäß der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016) (in der von Zeit zu Zeit geänderten Fassung) („DSGVO“). Mit Ausnahme der nachfolgend genannten Änderungen bleiben die Bedingungen der Vereinbarung in vollem Umfang in Kraft und wirksam.

Definitionen

In diesem Nachtrag haben die folgenden Begriffe die unten dargelegten Bedeutungen:

1. Partner ist jede juristische Person, die das betroffene Rechtsobjekt direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit ihr steht. „Kontrolle“ im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder die Kontrolle von mehr als 50 % der stimmberechtigten Anteile des betroffenen Rechtsobjekts.
2. Anwendbare Gesetze sind alle Gesetze, die für die Verarbeitung von Kundendaten gelten, und können EU-Datenschutzgesetze, andere Gesetze der Europäischen Union oder eines Mitgliedstaats der Europäischen Union, Gesetze des Vereinigten Königreichs sowie die Gesetze jedes anderen Landes umfassen, dem der Kunde oder die Kundendaten unterliegen.
3. Kundendaten sind personenbezogene Daten, die Keeper im Auftrag und gemäß den Anweisungen des Verantwortlichen gemäß der Vereinbarung erhebt, empfängt und/oder verarbeitet, mit Ausnahme personenbezogener Daten, die Keeper als Verantwortlicher verarbeitet. Beispiele für Kundendaten sind Listen mit Namen autorisierter Benutzer, E-Mail-Adressen, zugewiesenen Rollen oder anderen Kontaktinformationen.
4. Für die Verarbeitung Verantwortlicher ist die juristische Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt. Zur Klarstellung: Nichts in diesem Nachtrag ist dazu bestimmt, ein gemeinsames Kontrollverhältnis zwischen den Parteien zu begründen. Jede Partei bleibt individuell für die Einhaltung ihrer jeweiligen Verpflichtungen gemäß den geltenden Gesetzen verantwortlich.
5. Betroffene Person bezieht sich auf eine natürliche Person, deren personenbezogene Daten im Kontext dieses Nachtrags verarbeitet werden.
6. EU-Datenschutzgesetze stehen für die DSGVO und die ePrivacy-Richtlinie 2002/58/EC (geändert durch die Richtlinie 2009/136/EC und von Zeit zu Zeit geändert und ersetzt) und gegebenenfalls deren nationale Umsetzungsvorschriften.
7. DSGVO steht für EU-Datenschutz-Grundverordnung 2016/679;
8. UK GDPR bezeichnet die Datenschutz-Grundverordnung des Vereinigten Königreichs und den Data Protection Act 2018
9. Für die Verarbeitung unabhängiger Verantwortlicher bezeichnet eine Einrichtung, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten für ihre eigenen unabhängigen Zwecke bestimmt.
10. Personenbezogene Daten sind Kundendaten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
11. Auftragsverarbeiter bezeichnet die juristische Person, die personenbezogene Daten im Namen eines für die Verarbeitung Verantwortlichen verarbeitet.
12. Verarbeitung ist jede Operation oder jede Reihe von Operationen, die an personenbezogenen Daten vorgenommen werden, einzeln oder in Gruppen, unabhängig davon, ob sie mit oder ohne automatisierte Verfahren durchgeführt werden, wie Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Art der Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Zerstörung.
13. Dienste sind jene Dienste und anderen Aktivitäten, die von Keeper für den Kunden gemäß der Vereinbarung bereitgestellt oder durchgeführt werden;
14. Standardvertragsklauseln sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten, wie in der Entscheidung 2021/914 der Europäischen Kommission vom 4. Juni 2021 festgelegt.
15. Unterauftragsverarbeiter bezeichnet jeden von Keeper mit der Verarbeitung personenbezogener Daten im Zusammenhang mit den Diensten beauftragten Auftragsverarbeiter.

VERARBEITUNG PERSONENBEZOGENER DATEN

1. Der Zweck der Verarbeitung gemäß dem Nachtrag ist die Bereitstellung der Dienste durch Keeper wie in der Vereinbarung angegeben. Die Parteien vereinbaren, dass hinsichtlich der Verarbeitung durch Keeper im Auftrag des Kunden, der Kunde der Verantwortliche und Keeper der Auftragsverarbeiter ist, mit Ausnahme einiger in Ziffer 2.4 genannter begrenzter Daten, bei denen Keeper als für die Verarbeitung Verantwortlicher fungiert. Die Kategorien und Arten der von Keeper verarbeiteten personenbezogenen Daten sind in Unteranhang A aufgeführt. Die Dauer der Verarbeitung personenbezogener Daten im Rahmen dieses Nachtrags gilt für die Dauer der Vereinbarung, es sei denn, die anwendbaren Gesetze schreiben etwas anderes vor.
2. Keeper darf die personenbezogenen Daten nur in Übereinstimmung mit den dokumentierten Anweisungen des Kunden (die „Anweisung“) handhaben und verarbeiten, es sei denn, es ist gesetzlich vorgeschrieben, ohne solche Anweisungen zu handeln. Die Anweisung zum Zeitpunkt des Abschlusses dieses Nachtrags lautet, dass Keeper die personenbezogenen Daten nur zum Zweck der Erbringung der in der Vereinbarung beschriebenen Dienste verarbeiten darf. Vorbehaltlich der Bedingungen dieses Nachtrags und mit gegenseitigem Einvernehmen der Parteien kann der Kunde zusätzliche schriftliche Anweisungen erteilen, die mit den Bedingungen dieses Nachtrags im Einklang stehen. Der Kunde ist dafür verantwortlich, dass alle Personen, die schriftliche Anweisungen erteilen, dazu befugt sind.
3. Keeper wird den Kunden über jede Anweisung informieren, die seiner Ansicht nach gegen geltende Gesetze, einschließlich EU-Datenschutzgesetzen, verstößt, und führt die Anweisungen erst aus, nachdem sie bestätigt oder geändert wurden.
4. Datenverarbeitung als für die Verarbeitung Verantwortlicher: Keeper verarbeitet bestimmte personenbezogene Daten für seine eigenen rechtmäßigen Zwecke als unabhängiger Verantwortlicher, jedoch nur dann, wenn die Verarbeitung für einen der folgenden legitimen Geschäftszwecke erforderlich und verhältnismäßig ist: (i) Sicherheit oder Betrugserkennung, (ii) Erhebung und Nutzung von Analysen für die angemessenen Geschäftszwecke von Keeper und zum Vorteil des Kunden, (iii) Bereitstellung und Verbesserung des technischen Supports und der Wartung für die Dienste (einschließlich Kontoregistrierung und Abrechnung) und (iv) Kundenbeziehungsmanagement, wie z. B. die Verarbeitung von Kundenkontaktdaten zum Erhalt von Mitteilungen.

VERTRAULICHKEIT UND SICHERHEIT

1. Keeper hat alle personenbezogenen Daten als streng vertrauliche Daten zu behandeln. Die personenbezogenen Daten dürfen weder kopiert noch übermittelt oder anderweitig im Widerspruch zu den Anweisungen verarbeitet werden, es sei denn, der Kunde hat dem schriftlich zugestimmt. Mitarbeiter von Keeper unterliegen einer Vertraulichkeitspflicht, die sicherstellt, dass die Mitarbeiter alle personenbezogenen Daten, für die dieser Nachtrag gilt, strikt vertraulich behandeln. Personenbezogene Daten werden nur dem Personal zur Verfügung gestellt, das für die Bereitstellung der Dienste und Umsetzung dieses Nachtrags Zugriff auf solche personenbezogenen Daten benötigt.
2. Keeper setzt die in Unteranhang C zu dieser Vereinbarung aufgeführten geeigneten technischen und organisatorischen Maßnahmen in Übereinstimmung mit den geltenden Gesetzen, insbesondere Artikel 32 der DSGVO, um. Die Sicherheitsmaßnahmen unterliegen technischem Fortschritt und Entwicklung. Keeper kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit führen.

RECHTE DER BETROFFENEN PERSON

1. Wenn der Kunde eine Anfrage von einer betroffenen Person auf Ausübung der Rechte der betroffenen Person gemäß den anwendbaren Gesetzen erhält und die korrekte und legitime Antwort auf eine solche Anfrage die Unterstützung von Keeper erfordert, unterstützt Keeper den Kunden, indem es die erforderlichen Informationen und Dokumentationen bereitstellt. Keeper muss eine angemessene Zeit eingeräumt werden, um den Kunden bei solchen Anfragen gemäß den anwendbaren Gesetzen zu unterstützen.
2. Wenn Keeper gemäß den anwendbaren Gesetzen eine Anfrage von einer betroffenen Person auf Ausübung der Rechte der betroffenen Person erhält und sich eine solche Anfrage auf die personenbezogenen Daten des Kunden bezieht, es sei denn, dies ist gesetzlich verboten, wird Keeper die Anfrage sofort an den Kunden weiterleiten und davon absehen, der Person direkt zu antworten, es sei denn, der Kunde weist dies anders an.

VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN

1. Keeper benachrichtigt den Kunden umgehend, jedoch nicht später als 72 Stunden, nachdem bestätigt wurde, dass ein Verstoß vorliegt, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führen kann, die im Namen des Kunden übertragen, gespeichert oder anderweitig verarbeitet werden (ein „Verstoß gegen den Schutz personenbezogener Daten“).
2. Keeper unternimmt angemessene Anstrengungen, um die Ursache einer solchen Verletzung zu ermitteln und die von Keeper für notwendig erachteten Schritte zu ergreifen, um die Ursache festzustellen und ein erneutes Auftreten einer solchen Verletzung zu verhindern.

DOKUMENTATION VON COMPLIANCE UND PRÜFUNGSRECHTEN

1. Auf Antrag eines Kunden aus einem berechtigten Grund oder in dem Umfang, der durch Artikel 28 der DSGVO vorgeschrieben ist, stellt Keeper dem Kunden alle relevanten Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses Nachtrags erforderlich sind, und gestattet Prüfungen und kooperiert angemessen mit ihnen, einschließlich Inspektionen durch den Kunden oder einen vom Kunden beauftragten Prüfer. Der Kunde muss jede durchzuführende Prüfung oder Inspektion von Dokumenten ankündigen und angemessene Anstrengungen unternehmen, um Schäden oder Störungen an den Räumlichkeiten, der Ausrüstung und dem Geschäft von Keeper im Laufe einer solchen Prüfung oder Inspektion zu vermeiden. Jede Prüfung oder Inspektion von Dokumenten muss mit einer angemessenen schriftlichen Vorankündigung von mindestens sechzig (60) Kalendertagen durchgeführt werden und darf nicht öfter als einmal pro Jahr vorgenommen werden.
2. Ungeachtet der oben genannten Einschränkungen sind zusätzliche Prüfungen jederzeit zulässig, wenn Hinweise auf Nichteinhaltung, einen Sicherheitsvorfall oder auf Anfrage oder Anweisung einer zuständigen Aufsichtsbehörde vorliegen.
3. Der Kunde kann aufgefordert werden, eine für Keeper zumutbar akzeptable Geheimhaltungsvereinbarung zu unterzeichnen, bevor er die oben genannten Informationen erhält.

DATENÜBERMITTLUNGEN

1. Europäischer Wirtschaftsraum und Schweiz
   Hinsichtlich der vom Kunden an den Keeper übermittelten personenbezogenen Daten des Kunden, die aus dem Europäischen Wirtschaftsraum („EWR“) oder der Schweiz stammen, vereinbaren die Parteien die Einhaltung der gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission genehmigten Standardvertragsklauseln („EU-SCCs“), die hiermit durch Bezugnahme Bestandteil dieser Vereinbarung werden.
2. Die Parteien vereinbaren, dass die Bedingungen für die Übergabe der Daten an den Auftragsverarbeiter (Modul Zwei) gelten. Bei Daten, die aus der Schweiz stammen, beziehen sich Verweise auf „Mitgliedstaat“ auch auf die Schweiz, und Verweise auf „DSGVO“ sind als Verweise auf das Schweizer Bundesgesetz über den Datenschutz („revDSG“) zu verstehen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zuständige Aufsichtsbehörde.
3. EU SCC Fertigstellung
   Für die Zwecke der EU SCCs:
   (a) Der Kunde handelt als Datenexporteur und Keeper als Datenimporteur;
   (b) Klausel 7 (Andockklausel) findet nur nach gegenseitiger schriftlicher Vereinbarung der Parteien Anwendung;
   (c) Klausel 9 (Einsatz von Unterauftragsverarbeitern) Option 2 findet Anwendung, wobei die Unterauftragsverarbeiter in Unteranhang B aufgeführt sind.
   (d) Klausel 11 (Unabhängige Streitbeilegung) Optionale Formulierungen finden keine Anwendung;
   (e) Klausel 17 (Anwendbares Recht), die Gesetze Irlands; Klausel 18 (Gerichtsbarkeit) – die Gerichte Irlands; und
   (f) Anhang I und II werden durch Verweis auf dieses DPA ergänzt und die technischen und organisatorischen Maßnahmen von Keeper sind im Unteranhang C beschrieben
4. Vereinigtes Königreich
   Für personenbezogene Kundendaten, die aus dem Vereinigten Königreich an Keeper übermittelt werden, vereinbaren die Parteien, dass das vom Information Commissioner's Office herausgegebene UK International Data Transfer Agreement (IDTA), UK Addendum to the EU SCCs, Anwendung findet und durch Verweis einbezogen wird. Für die Zwecke des UK-Zusatzes:
   (a) Der Kunde fungiert als Datenexporteur und Keeper als Datenimporteur;
   (b) Geltendes Recht und Zuständigkeit – England und Wales; und
   (c) Die Sicherheitsmaßnahmen sind wie im Unteranhang C und in der Sicherheitsdokumentation des Keepers festgelegt.
   Die Docking-Klausel gilt nur bei gegenseitigem schriftlichen Einvernehmen der Parteien.
5. Brasilien (LGPD)
   Für personenbezogene Kundendaten, die dem Lei Geral de Proteção de Dados Pessoais (Bundesgesetz Nr. 13,709/2018 – „LGPD“) unterliegen, vereinbaren die Parteien, dass internationale Übermittlungen den Artikeln 33-36 des LGPD und der von der Autoridade Nacional de Proteção de Dados (ANPD) herausgegebenen Verordnung über internationale Übermittlungen personenbezogener Daten entsprechen, einschließlich der Standardvertragsklauseln (Cláusulu As-Padrão Contratuais) in Anhang II dieser Verordnung genehmigt, die sind hier durch Bezugnahme aufgenommen.

   5.1 Diese Klauseln gelten ohne Änderungen und werden wie folgt ergänzt:
   (a) Exporteur: Kunde (Kontrolleur); (b) Importeur: Keeper (Verarbeiter) (c) Zweck: Bereitstellung der Dienstleistungen von Keeper und damit verbundener Unterstützung gemäß der Vereinbarung; (d) Kategorien der betroffenen Personen: Kundendaten im Rahmen der Vereinbarung; (e) Personenbezogene Daten: Wie in Unteranhang A beschrieben (f) Weiterführende Übertragungen: Erlaubt an die vom Keeper autorisierten Unterauftragsverarbeiter, die im Unteranhang B unter gleichen Schutzmaßnahmen verfügbar sind; (g) Benannte Partei (Klausel 4): Keeper, verantwortlich für Transparenz, Umgang mit den Rechten der Datensubjekte und die Meldung von Vorfällen gemäß den Klauseln 14-16 der brasilianischen SCCs; (h) Geltendes Recht und Gerichtsstand: Ungeachtet des geltenden Rechts der Vereinbarung unterliegen die brasilianischen Standardvertragsklauseln den Gesetzen Brasiliens, werden gemäß diesen ausgelegt und unterliegen der Gerichtsbarkeit der zuständigen Gerichte in Brasilien; und (i) Sicherheitsmaßnahmen: Die in Unteranhang C beschriebenen Maßnahmen.

   5.2 Die Docking-Klausel (Klausel 9 der brasilianischen Obersten Gerichtshofs) gilt nur bei gegenseitiger schriftlicher Vereinbarung der Parteien.

6. Für alle anderen Rechtsordnungen, für die kein Angemessenheitsbeschluss vorliegt, wird Keeper geeignete Übermittlungsmechanismen gemäß Artikel 46 DSGVO, der britischen DSGVO und den Artikeln 33–36 des LGPD oder anderen anwendbaren Gesetzen implementieren, um einen angemessenen Schutz zu gewährleisten.
7. Wo DPF-Rahmen nicht anwendbar sind, sollen die Parteien sich auf die entsprechenden Standardvertragsklauseln oder gleichwertige Schutzmaßnahmen stützen, die nach den anwendbaren Datenschutzgesetzen anerkannt sind.
8. Für alle anderen Rechtsordnungen, für die kein Angemessenheitsbeschluss vorliegt, wird Keeper geeignete Übermittlungsmechanismen gemäß Artikel 46 DSGVO, der britischen DSGVO und den Artikeln 33–36 des LGPD oder anderen anwendbaren Gesetzen implementieren, um einen angemessenen Schutz zu gewährleisten.
9. Aktualisierungen der Übertragungsmechanismen
   Wenn die Europäische Kommission, das britische ICO, die Schweizer EDÖP oder das brasilianische ANPD überarbeitete oder ersetzte Übertragungsmechanismen einführt, ersetzen diese automatisch die hier genannten Klauseln, um die kontinuierliche Einhaltung der geltenden Datenschutzgesetze zu gewährleisten.
10. EU-US-Datenschutzrahmen
    Keeper ist aktiver Teilnehmer am EU-US-Datenschutzrahmen, an der britischen Erweiterung des EU-USA-Datenschutzrahmens und am Datenschutzrahmen USA-Schweiz. Den Zertifizierungsstatus von Keeper können Sie hier einsehen: https://www.dataprivacyframework.gov/list. Sollte der Datenschutzrahmen nicht mehr gelten, werden die Datenübertragungen gemäß den Standardvertragsklauseln fortgesetzt.
11. Wenn der Kunde der Ansicht ist, dass diese Maßnahmen unter bestimmten Umständen nicht ausreichen, um die rechtlichen Anforderungen zu erfüllen, muss der Kunde Keeper schriftlich über seine Gründe für diese Ansicht informieren, und die Parteien werden in gutem Glauben zusammenarbeiten, um eine für beide Seiten annehmbare Alternative zu finden.
12. Datenschutzgesetze der US-Bundesstaaten (einschließlich des CCPA in seiner geänderten Fassung)
    

    Soweit Keeper persönliche Daten von Kunden verarbeitet, die dem California Consumer Privacy Act von 2018 unterliegen, wie geändert und von Zeit zu Zeit in Kraft (einschließlich des California Privacy Rights Act und etwaiger nachfolgender Änderungen, zusammenfassend das „CCPA“) oder einem anderen US-Bundesstaats-Datenschutzgesetz, das wesentlich ähnliche Verpflichtungen für Verarbeiter oder Dienstleister auferlegt (zusammenfassend die „Staatsdatenschutzgesetze“), wird Keeper als Dienstleister oder Verarbeiter des Kunden handeln, je nach Anwendbarkeit:

    (a) Keeper wird solche personenbezogene Daten nur für die in der Vereinbarung und diesem Addendum beschriebenen Geschäftszwecke verarbeiten und nicht für andere Zwecke als die Erbringung der Dienste.
    (b) Keeper wird personenbezogene Daten weder verkaufen, weitergeben noch auf andere Weise offenlegen oder diese Daten für Zwecke außerhalb der direkten Geschäftsbeziehung mit dem Kunden offenlegen, es sei denn, dies ist nach den Datenschutzgesetzen des jeweiligen Bundesstaates zulässig.
    (c) Keeper wird sicherstellen, dass jede Subprozessor-Vereinbarung gleichwertige Einschränkungen und Verpflichtungen für Dienstleister oder Verarbeiter beinhaltet.
    (d) Keeper wird den Kunden unverzüglich benachrichtigen, wenn es feststellt, dass es seinen Verpflichtungen gemäß den staatlichen Datenschutzgesetzen nicht mehr nachkommen kann, und der Kunde kann angemessene und geeignete Maßnahmen ergreifen, um die unbefugte Nutzung personenbezogener Daten zu unterbinden und zu beheben.
    (e) Keeper bestätigt, dass es seine Verpflichtungen gemäß den staatlichen Datenschutzgesetzen kennt und einhalten wird.

UNTERAUFTRAGSVERARBEITER

1. Keeper erhält die allgemeine Berechtigung, Dritte mit der Verarbeitung der personenbezogenen Daten zu beauftragen („Unterauftragsverarbeiter“), ohne eine weitere schriftliche Genehmigung des Kunden einzuholen. Keeper hat mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung für Unterauftragsverarbeiter abzuschließen. Eine solche Vereinbarung muss mindestens die gleichen Datenschutzverpflichtungen vorsehen wie die, die für Keeper gelten, einschließlich der Verpflichtungen aus diesem Nachtrag. Keeper überwacht und kontrolliert die Einhaltung des anwendbaren Datenschutzgesetzes durch seine Unterauftragsverarbeiter fortlaufend. Außerdem wird dem Kunden auf schriftliche Anfrage eine Dokumentation dieser Überwachung und Kontrolle zur Verfügung gestellt.
2. Erbringt der Unterauftragnehmer die vereinbarten Dienstleistungen außerhalb der EU/des EWR, so stellt Keeper durch geeignete Maßnahmen deren Zulässigkeit nach dem Datenschutzrecht sicher.
3. Zum Zeitpunkt des Inkrafttretens dieses Nachtrags verwendet Keeper die in Unteranhang B aufgeführten Unterauftragsverarbeiter. Keeper bietet dem Kunden einen Mechanismus, um sich für Aktualisierungen neuer Unterauftragsverarbeiter im Trust Center zu registrieren. Die Benachrichtigung über neue oder Ersatz-Unterauftragsverarbeiter erfolgt über das Trust Center von Keeper oder andere angemessene elektronische Mittel, und die Einspruchsfrist beginnt mit einer solchen Mitteilung.
4. Der Kunde kann in gutem Glauben und vernünftigerweise der Änderung durch Keeper oder der Nutzung eines neuen Unterauftragsverarbeiters widersprechen, indem er innerhalb von zehn (10) Geschäftstagen nach Erhalt der Benachrichtigung von Keeper über einen neuen Unterauftragsverarbeiter eine schriftliche Mitteilung per E-Mail an privacy@keepersecurity.com sendet. Eine solche schriftliche Mitteilung muss mindestens den guten Glauben des Kunden und angemessene Gründe für den Einspruch enthalten. Keeper wird sich in wirtschaftlich vertretbarem Umfang bemühen, dem Kunden eine Änderung der Nutzung der Dienste zu empfehlen. Das Fehlen von Einwänden des Kunden innerhalb von zehn (10) Geschäftstagen gilt als Zustimmung des Kunden gegenüber dem betreffenden Unterauftragsverarbeiter.
5. Für den Fall, dass der Kunde einem neuen Unterauftragsverarbeiter widerspricht und die Parteien den Einspruch des Kunden nicht einvernehmlich klären können, kann der Kunde die Dienste nur in Bezug auf die Dienste kündigen, die von Keeper ohne den Einsatz der angefochtenen neuen Unterauftragsverarbeiter nicht erbracht werden können, indem er Keeper schriftlich benachrichtigt.
6. Keeper ist dem Kunden für jeden Unterauftragsverarbeiter in derselben Weise rechenschaftspflichtig wie für seine eigenen Handlungen und Unterlassungen.

KÜNDIGUNG; RÜCKGABE ODER LÖSCHUNG PERSONENBEZOGENER DATEN

1. Nach Ablauf oder Kündigung der Vereinbarung löscht Keeper alle personenbezogenen Daten in seinem Besitz oder gibt sie an den Kunden zurück, wie in der Vereinbarung angegeben, es sei denn, Keeper ist nach den anwendbaren Gesetzen verpflichtet, einige oder alle personenbezogenen Daten aufzubewahren (in diesem Fall archiviert Keeper die Daten und ergreift angemessene Maßnahmen, um eine weitere Verarbeitung der personenbezogenen Daten zu verhindern). Die Bedingungen dieses Nachtrags gelten für solche personenbezogenen Daten weiter.

DATENSCHUTZFOLGENABSCHÄTZUNG UND VORHERIGE KONSULTATION

1. Sofern die Unterstützung von Keeper erforderlich und relevant ist, werden die Parteien im erforderlichen Umfang bei der Erstellung von Datenschutz-Folgenabschätzungen gemäß Artikel 35 DSGVO sowie bei etwaigen vorherigen Konsultationen gemäß Artikel 36 DSGVO zusammenarbeiten. Die Parteien tragen jeweils ihre eigenen Kosten bei der Erfüllung dieser Verpflichtungen.

SONSTIGES

1. Änderung des Nachtrags: Dieser Nachtrag kann nur durch eine schriftliche Änderung geändert werden, die von jeder der Parteien unterzeichnet wird.
2. Geltendes Recht, Gerichtsstand und Gerichtszuständigkeit: Alle Streitigkeiten und Klagen bezüglich dieses Abkommens werden ausschließlich vor die Gerichte gebracht und (ohne Rücksicht auf Konfliktbestimmungen) gemäß den im Vertrag festgelegten Gesetzen ausgelegt.
3. Ungültigkeit und Trennbarkeit; Konflikt: Wenn eine Bestimmung dieses Nachtrags von einem Gericht oder einer Verwaltungsbehörde der zuständigen Gerichtsbarkeit für ungültig oder nicht durchsetzbar befunden wird, hat die Ungültigkeit oder Nichtdurchsetzbarkeit dieser Bestimmung keinen Einfluss auf andere Bestimmungen dieses Nachtrags; alle Bestimmungen, die nicht von einer solchen Ungültigkeit oder Nichtdurchsetzbarkeit betroffen sind, bleiben in vollem Umfang in Kraft und wirksam. Im Falle einer Unvereinbarkeit zwischen diesem Nachtrag und den von den Parteien geschlossenen Standardvertragsklauseln haben gegebenenfalls die Standardvertragsklauseln Vorrang.

UNTERANHANG A

Personenbezogene Daten

1. Keeper verarbeitet in Verbindung mit der Bereitstellung der Dienste die folgenden Arten von personenbezogenen Daten:
   1. Die übertragenen personenbezogenen Daten betreffen Kontaktdaten (Name, Adresse, E-Mail, Telefon), Unternehmensdaten, IP-Adresse, Geräteerkennung und Anwendungsversionen.

Kategorien von betroffenen Personen

1. Keeper verarbeitet im Namen des Kunden personenbezogene Daten über die folgenden Kategorien betroffener Personen:
   1. Kunde
   2. Autorisierte Endbenutzer des Kunden, einschließlich Mitarbeitern des Kunden.

UNTERANHANG B – Genehmigte Unterauftragsverarbeiter

Eine aktuelle Liste der Unterauftragsverarbeiter von Keeper ist unter 1B Unterauftragsverarbeiter verfügbar. Dazu gehören auch Angaben zu den Namen und Standorten der juristischen Personen der Unterauftragsverarbeiter. Die Unterauftragsverarbeiter werden von Zeit zu Zeit aktualisiert und der Kunde kann sich registrieren, um Updates im Trust Center von Keeper zu erhalten.

UNTERANHANG C – Zeitplan für die Datensicherheit

Dieser Datensicherheitsplan ergänzt die Vereinbarung zwischen dem Kunden und Keeper, die Ihre Nutzung der Dienstleistungen regelt. Sofern in diesem Zeitplan nicht anders definiert ist, haben alle großgeschriebenen Begriffe, die in diesem Zeitplan verwendet werden, die in der Vereinbarung festgelegten Bedeutungen.

1. Umfang der Datenverarbeitung. Dieser Zeitplan gilt für alle Keeper-Dienstleistungen und die Verarbeitung aller vom Kunden an Keeper übermittelten Daten („Kundendaten“).
2. Vertraulichkeit der Kundendaten. Der Keeper wird keine Kundendaten an Dritte abgreifen, nutzen oder weitergeben, außer in jedem Fall, wenn es notwendig ist, um die Dienstleistungen aufrechtzuerhalten oder bereitzustellen oder um das Gesetz oder eine gültige und verbindliche Anordnung einer Regierungsstelle (wie etwa eine Vorladung oder einen Gerichtsbeschluss) einzuhalten. Wenn eine Regierungsbehörde Keeper eine Anfrage nach Kundendaten sendet, wird Keeper versuchen, die Regierungsbehörde so umzuleiten, dass sie diese Daten direkt vom Kunden anfordert. Im Rahmen dieser Bemühungen kann Keeper die grundlegenden Kontaktdaten des Kunden an die zuständige Behörde weitergeben. Wenn Keeper gezwungen ist, Kundendaten an eine Regierungsbehörde weiterzugeben, wird Keeper den Kunden in angemessener Zeit über diese Aufforderung informieren, damit dieser eine Schutzanordnung oder ein anderes geeignetes Rechtsmittel beantragen kann, es sei denn, Keeper ist dies gesetzlich untersagt. Keeper untersagt seinen Mitarbeitern die Verarbeitung von Kundendaten ohne Genehmigung durch Keeper, wie in Anhang 1 – Sicherheitsstandards – beschrieben. Keeper verhängt angemessene vertragliche Verpflichtungen gegenüber seinem Personal, einschließlich relevanter Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz und Datensicherheit.
3. Sicherheit der Datenverarbeitung. Keeper hat die technischen und organisatorischen Maßnahmen für die Keeper-Systeme implementiert und wird diese gemäß den Sicherheitsstandards und diesem Abschnitt aufrechterhalten. Keeper hat insbesondere die folgenden technischen und organisatorischen Maßnahmen umgesetzt und wird diese auch weiterhin durchführen:
   
   1. Sicherheit der Keeper-Systeme gemäß den Sicherheitsstandards;
   2. physische Sicherheit der Einrichtungen, wie in den Sicherheitsstandards festgelegt;
   3. Maßnahmen zur Kontrolle der Zugriffsrechte von autorisiertem Personal auf die Keeper-Systeme gemäß den Sicherheitsstandards; und
   4. Prozesse zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit der von Keeper implementierten technischen und organisatorischen Maßnahmen, wie in Abschnitt 2 der Sicherheitsstandards beschrieben.
4. Keeper-Zertifizierungen und Prüfungen.
   
   1. Zertifizierung und Berichte von Keeper. Zusätzlich zu den in diesem Anhang enthaltenen Informationen stellt Keeper auf Anfrage des Kunden seine ISO 27001- und SOC2-Zertifikate zur Verfügung. Die Informationssicherheitskontrollen von Keeper werden durch unabhängige Bewertungen und Zertifizierungen validiert und können im Trust Center von Keeper abgerufen werden; zu den Zertifizierungen gehören:
      • SOC 2 Type II (AICPA Trust Services Criteria)
      • ISO 27001, ISO 27017 und ISO 27018
      • FedRAMP Moderate Authorisation (für Keeper Security Government Cloud)
      • FIPS 140-3 validierte kryptografische Module
      • HIPAA-konforme Architektur (Keeper ist kein Business Associate, da er keinen Zugriff auf ePHI hat)
      • Konformität mit DSGVO, UK GDPR und Digital Operational Resilience Act (DORA)
   2. Audits. Keeper nutzt externe Prüfer, um die Angemessenheit seiner Sicherheitsmaßnahmen zu überprüfen, einschließlich der Sicherheit der physischen Rechenzentren, von denen Keeper die Dienste erbringt. Dieses Audit: (a) wird mindestens jährlich durchgeführt; (b) wird gemäß den Normen der ISO 27001 oder anderen, im Wesentlichen gleichwertigen Normen durchgeführt; (c) wird von unabhängigen externen Sicherheitsexperten nach Auswahl und auf Kosten von Keeper durchgeführt; und (d) führt zur Erstellung eines Auditberichts („Bericht“), der als vertrauliche Information von Keeper gilt.

Anhang 1 – Sicherheitsstandards

Programm für Informationssicherheit. Keeper wird ein Informationssicherheitsprogramm unterhalten, das darauf abzielt, (a) dem Kunden die Möglichkeit zu geben, Kundendaten vor versehentlichem oder unrechtmäßigem Verlust, Zugriff oder Offenlegung zu schützen, (b) vernünftigerweise vorhersehbare Risiken für die Sicherheit und Verfügbarkeit der Keeper-Systeme zu identifizieren und (c) physische und logische Sicherheitsrisiken für die Keeper-Systeme zu minimieren, unter anderem durch regelmäßige Risikobewertung und Tests. KEEPER wird einen oder mehrere Mitarbeiter benennen, die das Informationssicherheitsprogramm koordinieren und dafür verantwortlich sind.

Das Informationssicherheitsprogramm von Keeper umfasst die folgenden Maßnahmen:

1. Logische Sicherheit.
   
   1. Zugriffskontrollen. Keeper wird die Keeper-Systeme nur für autorisiertes Personal zugänglich machen und nur, soweit dies für die Wartung und Bereitstellung der Dienste erforderlich ist. Keeper wird Zugriffskontrollen und Richtlinien aufrechterhalten, um die Berechtigungen für den Zugriff auf die Keeper-Systeme von jeder Netzwerkverbindung und jedem Benutzer zu verwalten, einschließlich der Nutzung von Firewalls oder funktional gleichwertigen Technologien und Authentifizierungskontrollen. Keeper wird Zugriffskontrollen einrichten, die darauf abzielen, (i) den unbefugten Zugriff auf Daten einzuschränken und (ii) die Daten jedes Kunden von den Daten anderer Kunden zu trennen.
   2. Beschränkter Benutzerzugriff. Keeper wird (i) den Benutzerzugriff auf die Keeper-Systeme gemäß dem Prinzip der minimalen Berechtigungen auf Grundlage der jeweiligen Aufgabenbereiche des Personals bereitstellen und einschränken, (ii) vor der Bereitstellung von Zugriffen auf die Keeper-Systeme, die über das Prinzip der minimalen Berechtigungen hinausgehen, einschließlich Administratorkonten, eine Überprüfung und Genehmigung verlangen, (iii) mindestens vierteljährlich eine Überprüfung der Zugriffsrechte auf die Keeper-Systeme vorschreiben und diese gegebenenfalls zeitnah widerrufen und (iv) für den Zugriff auf die Keeper-Systeme von entfernten Standorten aus eine Zwei-Faktor-Authentifizierung vorschreiben.
   3. Schwachstellenbewertungen. Keeper wird regelmäßige externe Schwachstellenbewertungen und Penetrationstests der Keeper-Systeme durchführen, identifizierte Probleme untersuchen und diese zeitnah bis zur Lösung verfolgen.
   4. Anwendungssicherheit. Bevor Keeper neue Dienste oder wichtige neue Funktionen von Diensten veröffentlicht, führt Keeper Sicherheitsüberprüfungen der Anwendungen durch, um Sicherheitsrisiken zu identifizieren, zu mindern und zu beheben.
   5. Änderungsmanagement. Keeper wird Kontrollen aufrechterhalten, die dazu dienen, Änderungen an bestehenden Keeper-Systemressourcen zu protokollieren, zu autorisieren, zu testen, zu genehmigen und zu dokumentieren. Außerdem werden Änderungsdetails innerhalb seiner Änderungsmanagement- oder Bereitstellungstools dokumentiert. Keeper wird Änderungen vor der Migration in die Produktion gemäß seinen Change-Management-Standards testen. Keeper wird Prozesse aufrechterhalten, die dazu dienen, unautorisierte Änderungen an den Keeper-Systemen zu erkennen und identifizierte Probleme bis zu einer Lösung zu verfolgen. Keeper verfügt über sichere Codierungsstandards, statische und dynamische Analysen, Peer-Reviews und eine formelle Änderungsgenehmigung vor der Produktionsbereitstellung. Entwickler erhalten jährliche Sicherheits- und Datenschutzschulungen.
   6. Datenintegrität. Keeper wird Kontrollmechanismen aufrechterhalten, die die Datenintegrität während der Übertragung, Speicherung und Verarbeitung innerhalb der Keeper-Systeme gewährleisten sollen. Keeper bietet dem Kunden die Möglichkeit, Kundendaten aus den Keeper-Systemen zu löschen.
   7. Die Ver- und Entschlüsselung erfolgt ausschließlich auf dem Gerät des Endbenutzers. Keeper kann nicht auf Klartext-Tresorinhalte oder Master-Passwörter zugreifen. Zero-Trust-Prinzipien erzwingen Benutzer- und Geräteauthentifizierung vor dem Zugriff. Die Verschlüsselungsschlüssel werden auf dem Gerät des Benutzers abgeleitet (z. B. PBKDF2-Ableitung). Unverschlüsselte Schlüssel oder Master-Passwörter werden niemals gespeichert oder an Keeper übermittelt.
   8. Keeper unterstützt TOTP, DUO Security, FIDO/U2F-Schlüssel und Biometrie. SSO Connect® und SSO Connect® Cloud bieten Zero-Knowledge-Authentifizierung über SAML 2.0. Administratoren stehen detaillierte, rollenbasierte Zugriffskontrollen zur Verfügung.
   9. TLS-Verschlüsselung für alle Verbindungen, starke API-Authentifizierung, Netzwerksegmentierung, Intrusion Detection und 24x7-Überwachung auf Verfügbarkeit und Bedrohungsereignisse.
   10. Geschäftskontinuität und Notfallwiederherstellung. Keeper wird ein formelles Risikomanagementprogramm aufrechterhalten, das darauf ausgelegt ist, die Kontinuität seiner kritischen Geschäftsfunktionen („Business Continuity Program“, dt: Geschäftskontinuitätsprogramm) zu unterstützen. Das Programm zur Geschäftskontinuität (Business Continuity Program, BCP) umfasst Prozesse und Verfahren zur Identifizierung, Reaktion auf und Wiederherstellung von Ereignissen, die die Bereitstellung der Dienste durch Keeper verhindern oder erheblich beeinträchtigen könnten (ein „BCP-Ereignis“). Das Programm zur Geschäftskontinuität umfasst einen dreistufigen Ansatz, den Keeper bei der Verwaltung von BCP-Ereignissen verfolgt:
2. Aktivierungs- und Benachrichtigungsphase. Sobald Keeper Probleme identifiziert, die wahrscheinlich zu einem BCP-Ereignis führen, wird Keeper diese eskalieren, validieren und untersuchen. Während dieser Phase analysiert Keeper die Ursache des BCP-Ereignisses.
   1. Erholungsphase. Keeper weist den zuständigen Teams die Verantwortung zu, Maßnahmen zur Wiederherstellung der normalen Systemfunktionalität oder zur Stabilisierung der betroffenen Dienste zu ergreifen.
   2. Wiederherstellungsphase. Die Führungsebene von Keeper überprüft die ergriffenen Maßnahmen und bestätigt, dass die Wiederherstellungsmaßnahmen abgeschlossen sind und die betroffenen Teile der Dienste und Keeper-Systeme wiederhergestellt wurden. Nach einer solchen Bestätigung führt Keeper eine Post-Mortem-Analyse des BCP-Ereignisses durch.
3. Vorfallmanagement. Keeper wird Pläne für Abhilfemaßnahmen und Notfallpläne erstellen, um auf potenzielle Sicherheitsbedrohungen der Keeper-Systeme zu reagieren. Die Incident-Response-Pläne von Keeper enthalten definierte Prozesse, um Sicherheitsvorfälle zu erkennen, abzuschwächen, zu untersuchen und zu melden. Die Incident-Response-Pläne von Keeper umfassen die Überprüfung des Vorfalls, die Analyse des Angriffs, die Eindämmung, die Datensammlung und die Problembehebung.
4. Speichermedien-Deaktivierung. Keeper wird einen Medien-Deaktivierungsprozess aufrechterhalten, der vor der endgültigen Entsorgung von Speichermedien, die zur Speicherung von Kundendaten verwendet werden, durchgeführt wird. Vor der endgültigen Entsorgung werden Speichermedien, die zur Speicherung von Kundendaten verwendet wurden, entmagnetisiert, gelöscht, gesäubert, physisch zerstört oder anderweitig desinfiziert, gemäß den Industriestandards, die sicherstellen sollen, dass Kundendaten nicht vom jeweiligen Speichertyp abgerufen werden können.
5. Physische Sicherheit.
   
   1. Zugriffskontrollen. Keeper wird (i) physische Sicherheitsvorkehrungen implementieren und aufrechterhalten, die unbefugten physischen Zugriff, Beschädigung oder Beeinträchtigung der Keeper-Systeme verhindern sollen, (ii) geeignete Kontrollvorrichtungen verwenden, um den physischen Zugriff auf die Keeper-Systeme auf autorisiertes Personal zu beschränken, das einen legitimen geschäftlichen Bedarf für einen solchen Zugriff hat, (iii) den physischen Zugriff auf die Keeper-Systeme mithilfe von Intrusion-Detection-Systemen überwachen, die so konzipiert sind, dass sie Sicherheitsvorfälle überwachen, erkennen und das zuständige Personal alarmieren, (iv) den physischen Zugriff auf die Keeper-Systeme protokollieren und regelmäßig prüfen und (v) periodische Überprüfungen durchführen, um die Einhaltung dieser Standards zu bestätigen.
   2. Verfügbarkeit. Keeper wird (i) redundante Systeme für die Keeper-Systeme implementieren, um die Auswirkungen einer Fehlfunktion auf die Keeper-Systeme zu minimieren, (ii) die Keeper-Systeme so konzipieren, dass sie Hardwareausfälle vorhersehen und tolerieren können, und (iii) automatisierte Prozesse implementieren, die den Kundendatenverkehr im Falle eines Hardwareausfalls aus dem betroffenen Bereich herausführen.
6. Mitarbeiter von Keeper
   1. Sicherheitsschulung für Mitarbeiter. Keeper wird Schulungsprogramme zur Mitarbeitersicherheit im Hinblick auf die Informationssicherheitsanforderungen von Keeper implementieren und aufrechterhalten. Die Schulungsprogramme zum Sicherheitsbewusstsein werden mindestens jährlich überprüft und aktualisiert.
   2. Hintergrundüberprüfungen. Soweit gesetzlich zulässig und soweit von den zuständigen Behörden verfügbar, verlangt Keeper, dass jeder Mitarbeiter eine Hintergrunduntersuchung durchläuft, die für die Position des Mitarbeiters und den Grad des Zugriffs auf die Systeme von Keeper angemessen und geeignet ist.
7. Fortlaufende Bewertung. Keeper wird regelmäßige Überprüfungen des Informationssicherheitsprogramms für die Keeper-Systeme durchführen. Keeper wird sein Informationssicherheitsprogramm bei Bedarf aktualisieren oder anpassen, um auf neue Sicherheitsrisiken zu reagieren und neue Technologien zu nutzen.
8. Konformität mit dem Digital Operational Resilience Act (DORA)
   Zur Unterstützung der Einhaltung des Digital Operational Resilience Act (DORA) unterhält Keeper umfassende Betriebs- und Sicherheitsmaßnahmen zum Schutz der Software und Systeme von Keeper. Dies umfasst unter anderem die Implementierung effektiver Risikomanagementprozesse, die Verfolgung und Verwaltung der Verfügbarkeit, die Einhaltung strenger interner Sicherheitsrichtlinien, die Notwendigkeit interner Sicherheitsschulungen sowie die Einrichtung von Protokollen zur Reaktion auf Vorfälle. Keeper überwacht, aktualisiert und optimiert Verfahren kontinuierlich, um Risiken zu minimieren und die Betriebsfähigkeit sowie Sicherheit der Keeper-Software und -Dienste zu gewährleisten.