Mit Colin Brennan und Richard Hanks kommen bei Strada zwei neue Führungskräfte an Bord

Strada DPA-Bedingungen

Datum des Inkrafttretens: 15. Juli 2024

Dieser Datenschutzzusatz (dieser “DPA“) unterliegt dem zugrunde liegenden Dienstleistungsvertrag zwischen Strada und dem Kunden (der “Dienstleistungsvertrag“), gemäß dem Strada möglicherweise verpflichtet sein kann, personenbezogene Daten (wie unten definiert) zu verarbeiten.

Abschnitt 1 – Definitionen.

Großgeschriebene Begriffe, die hier verwendet, aber nicht anderweitig definiert werden, haben die Bedeutung, die ihnen in der Dienstleistungsvereinbarung zugeschrieben wird.
Sofern der ausdrückliche Kontext nichts anderes erfordert, umfasst jeder Verweis auf den Dienstleistungsvertrag jedes Auftragsformular, jede Leistungsbeschreibung oder jedes andere Bestelldokument, das im Rahmen dieses Vertrags abgeschlossen wird.

1.1.Datenschutzgesetze” bezeichnet alle anwendbaren Gesetze und Vorschriften in Bezug auf Privatsphäre, Sicherheit oder Datenschutz, einschließlich, soweit anwendbar, der EU-Datenschutz-Grundverordnung 2016/679 (“DSGVO”), des California Consumer Privacy Act von 2018 (“CCPA”), des California Privacy Rights Act von 2020 (“CPRA”), des Gramm-Leach-Bliley Act (“GLBA”), des britischen Datenschutzgesetzes von 2018 oder der britischen DSGVO, in der jeweils gültigen Fassung, Änderung, Aufhebung oder Ersetzung.

1.2. “Betroffene Person” bezeichnet in Bezug auf personenbezogene Daten eine identifizierte oder identifizierbare natürliche Person.

1.3.Personenbezogene Daten” sind alle Informationen, die von oder im Auftrag von Strada für den Kunden im Zusammenhang mit dem Dienstleistungsvertrag verarbeitet werden und
(a) sich auf eine betroffene Person bezieht, die direkt oder indirekt allein oder in Kombination mit diesen Informationen identifiziert werden kann, die von oder im Auftrag von Strada verarbeitet werden, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person oder
(b) anderweitig durch die Datenschutzgesetze geschützt ist.
Personenbezogene Daten umfassen alle anderen Informationen, die nach den geltenden Datenschutzgesetzen “personenbezogene Daten”, “personenbezogene Daten”, “personenbezogene Daten” oder ähnliche Begriffe darstellen.

1.4.Verarbeitung” oder “Prozess(e)” bezeichnet
(a) alle Vorgänge oder Vorgänge, die mit personenbezogenen Daten oder mit personenbezogenen Datensätzen durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, einschließlich der Erhebung, Speicherung, Anpassung oder Änderung, des Abrufs, der Verwendung, der Offenlegung, des Löschens oder der Vernichtung, und
(b) jede andere Tätigkeit im Zusammenhang mit personenbezogenen Daten, die unter die Definition von “Verarbeitung” gemäß den Datenschutzgesetzen fällt.

1.5.Standardvertragsklauseln” oder “Standardvertragsklauseln” sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Europäischen Union (“EU”) oder dem Europäischen Wirtschaftsraum (“EWR“) in Drittländer, die dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 beigefügt sind, oder Nachfolgedokumente oder Übermittlungsmechanismen.

1.6.Unterauftragsverarbeiter” bezeichnet jede Person (mit Ausnahme eines Mitarbeiters), einschließlich der verbundenen Unternehmen von Strada, die von oder im Namen von Strada mit der Verarbeitung personenbezogener Daten im Auftrag des Kunden beauftragt wurde.

1.7.UK IDTA” bezeichnet den Nachtrag für die internationale Datenübermittlung zu den SCCs, Version B1.0, der am 21. März 2022 vom Parlament des Vereinigten Königreichs (“UK”) genehmigt wurde und gemäß Abschnitt 119A des Data Protection Act 2018 erlassen wurde, um Artikel 46 der britischen DSGVO bei eingeschränkten Übertragungen zu entsprechen, oder Nachfolgedokumente oder Übertragungsmechanismen.

Abschnitt 2.
Verarbeitung personenbezogener Daten.

2.1.
Instructions; Limits on Use. Der Kunde (als Verantwortlicher) beauftragt Strada (als Auftragsverarbeiter) hiermit mit der Verarbeitung personenbezogener Daten zum Zwecke der Erbringung der Dienstleistungen und der anderweitigen Erfüllung seiner Verpflichtungen oder der Geltendmachung seiner Rechte aus dem Dienstleistungsvertrag und dieser DPA, in Übereinstimmung mit geltendem Recht und Befolgung aller anderen Anweisungen, die vom Kunden oder im Namen des Kunden erteilt werden (der “Zweck”).
Strada speichert personenbezogene Daten nur zu diesem Zweck, verwendet, legt sie offen oder verarbeitet sie auf andere Weise.
Der Kunde ist dafür verantwortlich, Strada alle relevanten Informationen zur Verfügung zu stellen, die zur Erfüllung des Zwecks erforderlich sind, und stellt sicher, dass seine Anweisungen an Strada den Datenschutzgesetzen entsprechen.
Strada wird den Kunden unverzüglich benachrichtigen, wenn ihrer Meinung nach eine Anweisung, die vom Kunden oder im Namen des Kunden erteilt wird, im Widerspruch zu einem Datenschutzgesetz steht; vorausgesetzt, dass Strada nicht dafür verantwortlich ist, solche Konflikte zu suchen oder zu entdecken oder anderweitig sicherzustellen, dass solche Konflikte nicht existieren.
Für den Fall, dass Strada den Kunden über einen solchen Konflikt informiert, kann Strada die Ausführung der anwendbaren Anweisung in dem Umfang aussetzen, der zur Vermeidung eines solchen Konflikts erforderlich ist, während die Parteien in gutem Glauben zusammenarbeiten, um diese Angelegenheit rechtzeitig zu lösen.

2.2.
Limits on Disclosure. Strada gibt keine personenbezogenen Daten an Dritte weiter, es sei denn, dies ist zur Erfüllung des Zwecks erforderlich und anderweitig in Übereinstimmung mit dieser DPA.
Der Kunde darf personenbezogene Daten nur in dem von Strada angeforderten Umfang an Strada weitergeben oder soweit dies für den Zweck erforderlich ist.
Der Kunde darf personenbezogene Daten nur in dem üblichen und vereinbarten Format und auf die vereinbarte Weise an Strada weitergeben.

2.3.
Compliance with Data Protection Laws. Jede Vertragspartei kommt ihren Verpflichtungen aus den Datenschutzgesetzen nach.
Strada unterstützt den Kunden in angemessener Weise bei der Erfüllung seiner Verpflichtungen aus den Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten unter Berücksichtigung der Art der Verarbeitung durch Strada und der Strada zur Verfügung stehenden Informationen.
Strada benachrichtigt den Kunden, wenn es Grund zu der Annahme hat, dass es seinen Verpflichtungen aus diesem DPA oder anderen geltenden Datenschutzgesetzen nicht nachkommen kann, in welchem Fall die Parteien in gutem Glauben zusammenarbeiten werden, um geeignete Maßnahmen zur Bewältigung der Situation zu ermitteln.

2.4.
Supervisory Authority Requests .
If Client receives a request for information from a competent supervisory authority in relation to Processing of Personal Data by Strada (including details regarding the Purpose), Strada shall provide reasonable assistance to Client in responding to such request to the extent Client does not otherwise have access to such information, and taking into account the nature of the Processing and information available to Strada.

2.5.
Data Protection Impact Assessment and Prior Consultation .
Strada shall provide reasonable assistance to Client with any data protection impact assessments, and prior consultations with supervising authorities or other competent data privacy authorities, which Client reasonably considers to be required by the Data Protection Laws, in each case solely in relation to Processing of Personal Data by, and taking into account the nature of the Processing and information available to, Strada.

2.6.
Data Subject Rights. Strada benachrichtigt den Kunden unverzüglich, wenn es eine Anfrage einer betroffenen Person erhält, die Rechte aus den Datenschutzgesetzen in Bezug auf ihre personenbezogenen Daten geltend macht.
Strada wird auf eine solche Anfrage nur auf schriftliche Anweisungen (einschließlich E-Mail) des Kunden antworten oder wie es die Datenschutzgesetze vorschreiben. In diesem Fall wird Strada, soweit dies nach diesen Datenschutzgesetzen zulässig ist, den Kunden vor einer solchen Antwort über diese Anforderung informieren.
Strada wird den Kunden in angemessener Weise bei seinen Bemühungen unterstützen, seinen Verpflichtungen zur Beantwortung solcher Anfragen nachzukommen, einschließlich des Zugangs zu oder der Information über die relevanten personenbezogenen Daten, der Löschung oder Änderung der relevanten personenbezogenen Daten, und zwar in jedem Fall, soweit dies nach den Datenschutzgesetzen und in Übereinstimmung mit den Datenschutzgesetzen erforderlich ist.
Wenn Strada aus Gründen, die nach den Datenschutzgesetzen zulässig sind, nicht in der Lage ist, eine solche Unterstützung zu leisten, wird Strada den Kunden unverzüglich über diese Tatsache informieren und diese Unterstützung unverzüglich leisten, nachdem die Gründe für die Nichterfüllung abgelaufen sind.

2.7.
Return and Destruction. Auf schriftliches Verlangen des Kunden oder nach Beendigung oder Ablauf des Dienstleistungsvertrags ist Strada verpflichtet, und verlangt von seinen Unterauftragsverarbeitern,
(a) eine Kopie der personenbezogenen Daten durch sichere Dateiübertragung im üblichen Format von Strada an den Kunden zurückzugeben und
(b) alle anderen Kopien personenbezogener Daten zu löschen oder dauerhaft zu anonymisieren.
Strada wird einer solchen schriftlichen Aufforderung innerhalb von 20 Werktagen nachkommen.
Strada und seine Unterauftragsverarbeiter können personenbezogene Daten aufbewahren, soweit dies zur Erfüllung des Zwecks und zur Einhaltung des geltenden Rechts erforderlich ist, wobei in diesem Fall die Bedingungen dieser DPA so lange für diese personenbezogenen Daten gelten, wie sie aufbewahrt werden.

2.8.
Recordkeeping. Strada führt genaue und aktuelle Aufzeichnungen über die Verarbeitung personenbezogener Daten, einschließlich
(a) Aufzeichnungen über den Zugang zu und die Sicherheit der personenbezogenen Daten, die Zwecke und Kategorien der Verarbeitung der personenbezogenen Daten und deren Unterauftragsverarbeiter und
(b) alle anderen Aufzeichnungen, die nach den Datenschutzgesetzen erforderlich sind.
Diese AVV dient als Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO.

2.9.
Employees. Der Zugriff auf personenbezogene Daten erfolgt nur durch Mitarbeiter von Strada, die einen solchen Zugriff benötigen, um Strada im Zusammenhang mit dem Zweck zu unterstützen.
Sofern nicht anders durch geltende lokale Gesetze eingeschränkt, verlangt Strada, dass alle neuen Mitarbeiter vor der Einstellung einer umfassenden Hintergrundüberprüfung in Übereinstimmung mit den lokalen Gesetzen und Gepflogenheiten unterzogen werden.
Strada verlangt, dass Vereinbarungen, die Geheimhaltungs- / Vertraulichkeitsbestimmungen enthalten, von allen neuen Mitarbeitern unterzeichnet werden.
Strada bietet seinen Mitarbeitern regelmäßige Schulungen zu Datensicherheit und Datenschutz an.

2.10.
Subprocessors. Der Kunde ermächtigt Strada in der Regel, Unterauftragsverarbeiter zu ernennen, um die Leistung der Dienste zu unterstützen.
Strada wird seine Unterauftragsverarbeiter im entsprechenden Auftragsformular, in der Leistungsbeschreibung, im Änderungsauftrag oder in einem anderen Dokument aufführen, in dem die jeweiligen Dienstleistungen ausführlicher beschrieben werden.
Nur in dem Umfang, der zur Einhaltung der Datenschutzgesetze erforderlich ist, hat der Kunde das Recht, innerhalb von 10 Werktagen nach einer solchen Mitteilung gegen jede Änderung Einspruch einzulegen; vorausgesetzt, dass der Kunde nur auf der Grundlage berechtigter Bedenken widersprechen kann, dass der neue oder ersetzende Unterauftragsverarbeiter nicht in der Lage ist, das von dieser DPA geforderte Schutzniveau für personenbezogene Daten zu gewährleisten.
Wenn der Kunde innerhalb dieser Frist keinen Einspruch gegen die Ernennung erhebt, kann Strada den neuen oder ersetzenden Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen.
Widerspricht der Kunde dem Termin innerhalb dieser Frist, kann Strada wählen,
(a) einen solchen Unterauftragsverarbeiter nicht einzusetzen oder
(b) die vom Kunden in seinem Einspruch geforderten Korrekturmaßnahmen zu ergreifen und den Unterauftragsverarbeiter einzusetzen.
Strada arbeitet nach Treu und Glauben mit dem Kunden zusammen, um Materialien zur Verfügung zu stellen, die belegen, dass ein Unterauftragsverarbeiter in der Lage ist, das von dieser DPA geforderte Schutzniveau für personenbezogene Daten zu gewährleisten.
Strada bleibt für die Nutzung, Offenlegung oder sonstige Verarbeitung personenbezogener Daten durch einen seiner Unterauftragsverarbeiter im gleichen Umfang verantwortlich, wie wenn eine solche Nutzung, Offenlegung oder sonstige Verarbeitung durch Strada erfolgen würde.
Bevor ein Unterauftragsverarbeiter personenbezogene Daten verarbeitet, führt Strada eine angemessene Sorgfaltsprüfung durch, um festzustellen, ob dieser Unterauftragsverarbeiter in der Lage ist, das von dieser DPA geforderte Schutzniveau für personenbezogene Daten zu gewährleisten.
Die Vereinbarung zwischen Strada und jedem Unterauftragsverarbeiter wird durch einen schriftlichen Vertrag geregelt, der Anforderungen enthält, die konsistent und nicht weniger streng sind als die, die für Strada im Rahmen dieses DPA gelten.
Strada erklärt, dass es ein Lieferantensicherheitsprogramm unterhält, das die Einhaltung solcher Verträge durch Unterauftragsverarbeiter bewertet.
Auf schriftliche Anfrage des Kunden stellt Strada dem Kunden eine Zusammenfassung der Datenschutzbedingungen des Unterauftragsverarbeiters zur Verfügung (gegebenenfalls geschwärzt, um vertrauliche Informationen zu schützen).

2.11 Zugriff durch Behörden. Wenn Strada oder einer seiner Vertreter aufgefordert oder verpflichtet wird, personenbezogene Daten aufgrund eines Gesetzes oder eines Gerichtsverfahrens außerhalb des definierten Zwecks an eine Regierungsbehörde (einschließlich Strafverfolgungsbehörden) weiterzugeben oder anderweitig zu verarbeiten, wird Strada (sofern gesetzlich zulässig) eine solche Anfrage unverzüglich in angemessener Weise anfechten, den Kunden benachrichtigen und (auf Kosten des Kunden) bei den Bemühungen des Kunden um eine angemessene Schutzanordnung oder einen anderen Rechtsbehelf in angemessener Weise zusammenarbeiten.
Strada wird der zuständigen Regierungsbehörde mitteilen, dass Strada ein
(i) Verarbeiter der personenbezogenen Daten, der
(ii) der Kunde eine solche Offenlegung nicht genehmigt hat und dass
(iii) alle Anfragen oder Forderungen nach Zugang zu den personenbezogenen Daten sollten dem Kunden mitgeteilt oder ihm zugestellt werden.
Ungeachtet des Vorstehenden erkennt der Kunde an, dass eine solche Anfechtung angesichts der Art, des Umfangs, des Kontexts und der Zwecke der beabsichtigten behördlichen Anfrage nicht immer angemessen oder möglich ist.
In keinem Fall wird Strada mehr personenbezogene Daten offenlegen, als erforderlich sind, um der Aufforderung zur Offenlegung nachzukommen.

Abschnitt 3.
Technische und organisatorische Maßnahmen.

Strada implementiert und pflegt geeignete physische, technische, organisatorische und administrative Maßnahmen, die angemessen darauf ausgelegt sind, personenbezogene Daten vor unbefugter Zerstörung, Verlust, Zugriff auf oder Änderung zu schützen, einschließlich der Maßnahmen, die in Anlage A aufgeführt und in diese aufgenommen wurden.
Die von Strada ergriffenen Maßnahmen zum Schutz personenbezogener Daten müssen kohärent und nicht weniger streng sein als das, was nach den Datenschutzgesetzen erforderlich ist.
Strada implementiert und pflegt schriftliche Datenschutz- und Informationssicherheitsrichtlinien, die den Branchenstandards entsprechen.

Abschnitt 4.
Benachrichtigung und Reaktion auf Datensicherheitsvorfälle.

4.1. Strada benachrichtigt den Kunden unverzüglich und in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze über jede bestätigte oder vernünftigerweise vermutete Sicherheitsverletzung durch Strada oder einen seiner Unterauftragsverarbeiter, die zum unrechtmäßigen oder unbefugten Zugriff, zur Änderung, zur Zerstörung, zur Offenlegung oder zum Verlust personenbezogener Daten führt (ein “Datensicherheitsvorfall”).

4.2. Im Falle eines Datensicherheitsvorfalls ergreift Strada angemessene und geeignete Maßnahmen, um
(a) die Auswirkungen eines solchen Datensicherheitsvorfalls zu untersuchen,
(b) die Ursache eines solchen Datensicherheitsvorfalls zu identifizieren,
(c) den Datensicherheitsvorfall zu beheben und
(d) ein erneutes Auftreten eines solchen Datensicherheitsvorfalls zu verhindern.

4.3. Strada wird dem Kunden unverzüglich Informationen über die Art und die Folgen des Datensicherheitsvorfalls zur Verfügung stellen, soweit Strada bekannt ist, einschließlich solcher Informationen, die erforderlich sind, damit der Kunde die relevanten Parteien in Übereinstimmung mit den Datenschutzgesetzen benachrichtigen kann.
Strada wird ohne vorherige Anweisung des Kunden keine Dritten benachrichtigen, dies schriftlich zu tun oder wenn dies gesetzlich vorgeschrieben ist.

Abschnitt 5.
Audits.

5.1 Der Kunde kann auf eigene Kosten und nach angemessener Vorankündigung an Strada die Bücher, Aufzeichnungen und sonstigen Unterlagen von Strada prüfen, soweit dies erforderlich ist, um die Einhaltung der Bedingungen dieser DPA durch Strada zu überprüfen; vorausgesetzt, dass der Kunde seine Prüfungsrechte aus diesem Vertrag nicht mehr als einmal in einem Zeitraum von 12 Monaten ausüben darf (es sei denn, dies ist gesetzlich vorgeschrieben oder im Zusammenhang mit einer Prüfung, die von einer staatlichen Stelle eingeleitet wurde, die für den Kunden zuständig ist).
Jede solche Prüfung findet während der normalen Geschäftszeiten statt und darf den normalen Geschäftsbetrieb von Strada nicht unangemessen beeinträchtigen, und Strada ist nicht verpflichtet, Informationen offenzulegen oder anderweitig Zugang zu Informationen zu gewähren, deren Offenlegung dazu führen würde, dass Strada gegen eine Vertraulichkeitsverpflichtung oder geltendes Recht verstößt.
Der Kunde kann einen Dritten mit der Durchführung einer solchen Prüfung beauftragen, solange dieser Dritte kein Wettbewerber von Strada ist und eine Vertraulichkeitsvereinbarung abschließt, die für Strada akzeptabel ist.
Audits im Rahmen dieser DPA unterliegen allen zusätzlichen Bedingungen in Bezug auf Audits im Dienstleistungsvertrag.

5.2 Wenn Strada die Einhaltung von branchenweit anerkannten Zertifizierungen oder genehmigten Verhaltenskodizes (wie z. B. ISO 27001, EU Cloud Code of Conduct oder SOC 2 Typ 2 Auditbericht) nachweist, darf der Kunde nur Bereiche prüfen, die nicht von diesen Zertifizierungen oder genehmigten Verhaltensregeln abgedeckt sind.

Abschnitt 6.
CCPA/CPRA.

Dieser Abschnitt gilt für alle personenbezogenen Daten, die dem CCPA/CPRA unterliegen.

6.1. Der Kunde erklärt und garantiert Strada, dass alle personenbezogenen Daten, die vom oder im Namen des Kunden im Rahmen dieser Vereinbarung offengelegt werden, ausschließlich für den Zweck bereitgestellt werden, der ein “Geschäftszweck” (wie in CCPA/CPRA definiert) ist.

6.2. Strada speichert, verwendet und gibt personenbezogene Daten nur für diesen Zweck und nicht für andere kommerzielle Zwecke oder anderweitig außerhalb der Beziehung zwischen Strada und dem Kunden weiter.
Strada darf personenbezogene Daten nicht verkaufen, weitergeben oder vermischen, es sei denn, dies ist ausdrücklich durch den CCPA/CPRA gestattet.
Strada kommt seinen Verpflichtungen aus dem CCPA/CPRA nach.
Strada wird den Kunden unverzüglich benachrichtigen, wenn es seinen Verpflichtungen aus dem CCPA/CPRA nicht mehr nachkommen kann.

6.3. Strada erkennt an und stimmt zu, dass der Kunde das Recht hat, angemessene und geeignete Schritte zu unternehmen, um
(a) sicherzustellen, dass Strada die personenbezogenen Daten in einer Weise verwendet, die mit den Verpflichtungen des Kunden gemäß CCPA/CPRA vereinbar ist, und
(b) die unbefugte Nutzung personenbezogener Daten zu stoppen und zu beheben.

6.4. Der Kunde ist verpflichtet, Strada unverzüglich über jede Anfrage eines Verbrauchers gemäß CCPA/CPRA zu informieren, der Strada nachkommen muss, und die Informationen bereitzustellen, die Strada benötigt, um einer solchen Anfrage nachzukommen.

Abschnitt 7.
Einzelheiten zur Verarbeitung.

Bestimmte Informationen über die Verarbeitung personenbezogener Daten durch Strada, die gemäß Artikel 28 Absatz 3 der DSGVO erforderlich sind, sind in Anlage B aufgeführt, die hierin enthalten ist.
Der Kunde kann von Zeit zu Zeit angemessene Änderungen an Anlage B vornehmen, indem er Strada darüber informiert, wenn er dies zur Erfüllung dieser Anforderungen für erforderlich hält.
Nichts in Anlage B verleiht einer Partei ein Recht oder erlegt ihr eine Verpflichtung auf.

Abschnitt 8.
Grenzüberschreitende Überweisungen.

8.1.
General. Keine der Parteien wird personenbezogene Daten grenzüberschreitend übermitteln, es sei denn, eine solche Übermittlung entspricht den Datenschutzgesetzen.
Die Parteien werden bei Bedarf angemessen zusammenarbeiten, um festzustellen, ob eine grenzüberschreitende Übermittlung personenbezogener Daten zwischen dem Kunden und Strada im Zusammenhang mit dem Zweck den Datenschutzgesetzen entspricht.

8.2.
SCCs. Wenn eine Übertragung personenbezogener Daten zwischen dem Kunden und Strada die Ausführung der SCCs erfordert, um die Datenschutzgesetze einzuhalten, schließen der Kunde als Verantwortlicher und Datenexporteur und Strada als Auftragsverarbeiter und Datenimporteur hiermit die SCCs ab, die ab dem Beginn einer solchen Übertragung wirksam sind (und hierin durch Verweis aufgenommen werden).
Die Vertragsparteien verwenden das Modul II (Verantwortlicher zum Auftragsverarbeiter) der Standardvertragsklauseln, das wie folgt ausgefüllt wird:

8.2.1. Klausel 7: Es gilt die optionale Docking-Klausel.

8.2.2. Klausel 9: Option 2 gilt, und die Frist für die Benachrichtigung über Änderungen des Unterauftragsverarbeiters ist die in dieser DPA vereinbarte.

8.2.3. Klausel 11(a): Die fakultative Formulierung findet keine Anwendung.

8.2.4. Klausel 13 und Anhang I.C.: Die Aufsichtsbehörde der Republik Irland ist die zuständige Aufsichtsbehörde.

8.2.5. Klausel 17: Option 1 findet Anwendung, und das anwendbare Recht ist das Recht der Republik Irland.

8.2.6. Klausel 18(b): Streitigkeiten werden von den Gerichten der Republik Irland beigelegt.

8.2.7. Anhang I:
(a) Die Liste der Parteien ist in der Dienstleistungsvereinbarung und in jedem anwendbaren Auftragsformular, jeder Leistungsbeschreibung, jedem Änderungsauftrag oder einem anderen Dokument, in dem die anwendbaren Dienstleistungen ausführlicher beschrieben sind, festgelegt;
(b) die Beschreibungen der Übertragung sind in Anlage B (Einzelheiten der Verarbeitung) dargelegt; und (c) die zuständige Aufsichtsbehörde ist wie oben dargelegt.

8.2.8. Anhang II: Die technischen und organisatorischen Maßnahmen sind in Anlage A (Technische und organisatorische Maßnahmen) dargelegt, die für Strada und seine Unterauftragsverarbeiter im Wesentlichen gleich sind.

8.2.9. Anhang III: Die Liste der Unterauftragsverarbeiter wird gemäß Abschnitt 2.10 (Unterauftragsverarbeiter) geführt.

8.2.10. Die Parteien können die Anhänge zu den Standardvertragsklauseln in jedem Auftragsformular, jeder Leistungsbeschreibung, jedem Änderungsauftrag oder in einem anderen Dokument ergänzen, in dem die anwendbaren Dienstleistungen ausführlicher beschrieben werden, die durch Bezugnahme in Bezug auf diese Dienstleistungen als Bestandteil dieser Vereinbarung gelten.
Im Falle eines Widerspruchs oder einer Widersprüchlichkeit zwischen dieser DPA oder einem solchen ergänzenden Dokument einerseits und den SCCs andererseits haben die SCCs Vorrang, soweit dies nach den Datenschutzgesetzen erforderlich ist.
Ungeachtet gegenteiliger Bestimmungen in diesem Vertrag dürfen diese DPA oder ein solches ergänzendes Dokument in keinem Fall direkt oder indirekt die Rechte der betroffenen Personen gemäß den Datenschutzgesetzen beeinträchtigen.

8.3.
UK IDTA .
If any transfer of Personal Data between Client and Strada requires execution of the UK IDTA in order to comply with Data Protection Laws, Client, as controller and data exporter, and Strada, as processor and data importer, hereby enter into (and incorporate herein by reference) the UK IDTA effective as of the commencement of such transfer.
The UK IDTA shall be populated as follows:

8.3.1. Teil 1, Tabelle 1 (Parteien): Die Parteien sind wie in der Dienstleistungsvereinbarung und allen anwendbaren Bestellformularen, Leistungsbeschreibungen, Änderungsaufträgen oder anderen Dokumenten festgelegt, die die anwendbaren Dienstleistungen ausführlicher beschreiben.

8.3.2. Teil 1, Tabelle 2 (Ausgewählte SCCs, Module und ausgewählte Klauseln): Das UK IDTA ist den SCCs gemäß Abschnitt 8.2 (SCCs) hinzuzufügen.

8.3.3. Teil 1, Tabelle 3 (Anhangsinformationen): Die Anhangsinformationen müssen in Abschnitt 8.2 (SCCs) dargelegt sein.

8.3.4. Teil 1, Tabelle 4 (Beendigung dieses Nachtrags, wenn sich der genehmigte Nachtrag ändert): Keine der Parteien kann das britische IDTA gemäß Abschnitt 19 beenden.

8.4.
Swiss Data Protection Act .
The SCCs, as set forth in Section 8.2 (SCCs), shall apply to any cross-border transfers of Personal Data governed by the Swiss Data Protection Act, with the following modifications:

8.4.1. Alle Verweise in den SCCs auf die «Verordnung (EU) 2016/679» sind als Verweise auf das schweizerische Datenschutzgesetz auszulegen, und alle Verweise in den SCCs auf bestimmte Artikel der «Verordnung (EU) 2016/679» werden durch den entsprechenden Artikel oder Abschnitt des schweizerischen Datenschutzgesetzes ersetzt.

8.4.2. Alle Verweise in den SCCs auf “EU”, “Union”, “Mitgliedstaat” oder “Recht der Mitgliedstaaten” sind als Verweise auf die Schweiz und das Recht der Schweiz auszulegen und dürfen nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Ausübung ihrer Rechte an ihrem gewöhnlichen Aufenthaltsort gemäß Klausel 18(c) der SCCs ausgeschlossen sind.
In Anbetracht des Vorstehenden wird Klausel 17 der SCCs dahingehend geändert, dass das anwendbare Recht das Recht der Schweiz ist.

8.4.3. Alle Verweise in den SCCs auf “zuständige Aufsichtsbehörde” oder “zuständige Gerichte” sind als Verweise auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten der Schweiz (der “Schweizerischer EDÖB“) und gegebenenfalls die Gerichte der Schweiz. Um das Vorstehende zu fördern, werden (a) Klausel 13 und Anhang I.C. der SCCs dahingehend geändert, dass der Schweizer EDÖB die Befugnis für Datenübermittlungen hat, die dem Schweizerischen Datenschutzgesetz unterliegen (wobei vereinbart wird, dass die Zuständigkeit für Datenübermittlungen, die nicht dem Schweizerischen Datenschutzgesetz unterliegen, wie in diesem DPA anderweitig festgelegt) und (b) Klausel 18(b) der SCCs dahingehend geändert wird, dass Streitigkeiten werden von den Gerichten der Schweiz beigelegt.

Abschnitt 9.
Verbundene Kunden.

Die Bedingungen dieser DPA gelten gleichermaßen für alle personenbezogenen Daten, die von oder im Auftrag von Strada für ein verbundenes Unternehmen des Kunden verarbeitet werden.
Der Kunde erklärt und garantiert, dass er jederzeit ordnungsgemäß und effektiv autorisiert ist und bleiben wird, diese DPA abzuschließen und alle seine Verpflichtungen aus dieser DPA im Namen jedes dieser verbundenen Unternehmen des Kunden zu erfüllen.
Der Kunde haftet jederzeit für die Einhaltung dieser DPA durch die verbundenen Unternehmen des Kunden, und alle Handlungen und Unterlassungen der verbundenen Unternehmen des Kunden, die Dienstleistungen im Rahmen des Dienstleistungsvertrags erhalten, gelten als Handlungen und Unterlassungen des Kunden.

Abschnitt 10.
Pflichten des Kunden.

Wenn der Kunde Strada anweist, personenbezogene Daten an einen Kunden, einen Anbieter oder einen anderen Vertreter (mit Ausnahme von Strada) weiterzugeben, ist der Kunde für die Handlungen und Unterlassungen dieses Anbieters oder eines anderen Vertreters in Bezug darauf verantwortlich.
Der Kunde ist dafür verantwortlich, alle Rechte (einschließlich der rechtmäßigen Rechtsgrundlagen) aufrechtzuerhalten, alle Lizenzen, Genehmigungen, Genehmigungen und Zustimmungen einzuholen und alle Mitteilungen zu machen, die in jedem Fall erforderlich sind, damit Strada personenbezogene Daten zu diesem Zweck verarbeiten kann.
Der Kunde bleibt dafür verantwortlich, sicherzustellen, dass seine Aufbewahrung, Nutzung, Offenlegung oder sonstige Verarbeitung personenbezogener Daten seinen Richtlinien und Praktiken sowie den dafür geltenden Gesetzen entspricht.

Abschnitt 11.
Ausdruck; Wirkung der Kündigung.

Die Laufzeit dieser DPA beginnt mit dem Datum des Inkrafttretens des Dienstleistungsvertrags und dauert so lange an, wie der Dienstleistungsvertrag in Kraft bleibt oder Strada oder einer seiner Unterauftragsverarbeiter personenbezogene Daten aufbewahrt.
Die Rechte und Pflichten der Parteien, die ihrer Natur nach die Kündigung oder den Ablauf dieser DPA überdauern sollten, bleiben auch nach einer solchen Kündigung oder einem solchen Ablauf bestehen.

Abschnitt 12.
Verschiedenes.

12.1.
Entire Agreement. Diese DPA gilt als Bestandteil des Dienstleistungsvertrags und als Teil davon.
Diese DPA stellt zusammen mit der Dienstleistungsvereinbarung die einzige und vollständige Vereinbarung der Parteien in Bezug auf den Vertragsgegenstand dar und ersetzt alle vorherigen und gleichzeitigen Absprachen, Vereinbarungen, Zusicherungen und Garantien, sowohl schriftlich als auch mündlich, in Bezug auf diesen Gegenstand.
Zur Vermeidung von Missverständnissen wird darauf hingewiesen, dass alle Ansprüche und Verbindlichkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben, unter den Bedingungen des Dienstleistungsvertrags geltend gemacht werden, einschließlich aller darin enthaltenen Bestimmungen in Bezug auf Entschädigung, Haftungsbeschränkung, Streitbeilegung, Rechtswahl oder Gerichtsstand.

12.2.
Severability. Sollte eine Bestimmung dieser DPA oder deren Anwendung auf eine Person, einen Ort oder einen Umstand von einem zuständigen Gericht für ungültig, nichtig oder nicht durchsetzbar erklärt werden, so bleiben der Rest dieser DPA und die Bestimmung, die auf andere Personen, Orte oder Umstände angewendet wird, in vollem Umfang in Kraft und wirksam und ungültig. Nichtige oder nicht durchsetzbare Bestimmungen werden im größtmöglichen gesetzlich zulässigen Umfang durchgesetzt.

12.3.
Amendment; Waiver. Die Parteien vereinbaren, angemessene Maßnahmen zu ergreifen, die erforderlich sind, um diese DPA von Zeit zu Zeit zu ändern, soweit dies für die Parteien erforderlich ist, um die Datenschutzgesetze einzuhalten.
Diese DPA darf nicht geändert oder anderweitig modifiziert werden, es sei denn, eine solche Ergänzung oder Modifikation wird schriftlich festgelegt, als Ergänzung oder Modifikation dieser DPA gekennzeichnet und von einem bevollmächtigten Vertreter jeder der Parteien unterzeichnet.
Auf keine Bestimmung dieses DPA kann verzichtet werden, es sei denn, ein solcher Verzicht wird schriftlich niedergelegt, als Verzicht auf diesen DPA gekennzeichnet und von einem bevollmächtigten Vertreter der verzichtenden Partei unterzeichnet.
Sofern in diesem DPA nichts anderes bestimmt ist, gilt kein Versäumnis oder keine Verzögerung einer Partei bei der Ausübung eines Rechts aus diesem DPA als Verzicht darauf, noch schließt eine einzelne oder teilweise Ausübung davon eine andere oder weitere Ausübung desselben oder die Ausübung eines anderen Rechts aus.

12.4.
No Third Party Beneficiaries. Diese DPA ist für die Parteien und ihre jeweiligen Rechtsnachfolger und zulässigen Abtretungsempfänger bindend und kommt ihnen zugute, und nichts hierin ist, weder ausdrücklich noch stillschweigend, dazu bestimmt oder soll einer anderen Person ein gesetzliches oder billigkeitsrechtliches Recht, einen Vorteil oder ein Rechtsmittel jeglicher Art im Rahmen oder aufgrund dieser DPA übertragen.

12.5.
Relationship of the Parties. Die Beziehung zwischen den Parteien ist die von unabhängigen Auftragnehmern, und diese DPA begründet keine Agentur, Partnerschaft, Joint Venture, Treuhand, Franchise oder Arbeitsverhältnis zwischen den Parteien (oder zwischen einer Partei und einem Vertreter der anderen Partei).
Keine der Parteien hat aufgrund dieses DPA das Recht, die Befugnis oder die Autorität, weder ausdrücklich noch stillschweigend, die andere Partei zu binden.

12.6.
Force Majeure; Excused Performance. Ungeachtet gegenteiliger Bestimmungen in diesem DPA haftet Strada nicht für die Nichteinhaltung seiner Verpflichtungen aus diesem DPA oder für eine andere Handlung oder Unterlassung, die auf Folgendes zurückzuführen ist, noch als Verstoß gegen diesen DPA.
(a) jede Nichteinhaltung der Verpflichtungen des Kunden aus diesen oder aus den Datenschutzgesetzen,
(b) jede Handlung oder Unterlassung eines Verkäufers oder eines anderen Vertreters des Kunden (mit Ausnahme von Strada und seinen Unterauftragsverarbeitern) oder
(c) jede höhere Gewalt oder andere Handlungen oder Umstände, die außerhalb der angemessenen Kontrolle von Strada liegen; vorausgesetzt, dass nichts in diesem Abschnitt die Verpflichtung von Strada zur Durchführung seines Business Continuity- und Disaster Recovery-Programms einschränkt oder anderweitig beeinträchtigt.
Jede der Vertragsparteien unternimmt wirtschaftlich vertretbare Anstrengungen, um die Auswirkungen der vorstehenden Umstände abzumildern.

12.7.
Interpretation. Alle Unklarheiten in dieser DPA werden zugunsten einer Bedeutung gelöst, die es beiden Parteien ermöglicht, die Datenschutzgesetze einzuhalten.
Sofern der ausdrückliche Kontext nichts anderes erfordert, beziehen sich die Wörter “hiervon”, “hierin”, “hierunter” und Wörter von ähnlicher Bedeutung auf diese DPA als Ganzes und nicht auf eine bestimmte Bestimmung dieser DPA, Verweise auf einen bestimmten Abschnitt beziehen sich auf die Abschnitte in dieser DPA, sofern nicht ausdrücklich etwas anderes bestimmt ist, und die Wörter “einschließen”, “einschließlich” und Wörter von ähnlicher Bedeutung gelten als gefolgt von den Worten “ohne Einschränkung”.
Die Bildunterschriften oder Überschriften in dieser DPA dienen nur der Übersichtlichkeit und sind nicht als Teil einer Bestimmung dieser DPA zu betrachten oder beeinflussen deren Auslegung oder Interpretation.

12.9 Geschäftliche Kontaktinformationen.
Strada und der Kunde können die geschäftlichen Kontaktinformationen der anderen Partei, zu denen auch personenbezogene Daten wie der Name und die geschäftliche E-Mail-Adresse einer Person gehören, verarbeiten, um eine Person in beruflicher oder geschäftlicher Funktion zu kontaktieren, zu identifizieren oder zu authentifizieren.
Diese Verarbeitung erfolgt als unabhängige Verantwortliche unabhängig davon, ob sie geschäftlich tätig sind, um die Dienste zu erbringen und zu erhalten.
Jede der Parteien hat geeignete technische und organisatorische Maßnahmen ergriffen und befolgt diese, um die geschäftlichen Kontaktinformationen der anderen Partei zu schützen.

12.8.
Notices. Alle Mitteilungen im Rahmen dieses DPA an Strada sind an stradaclientcontracting@migration.stradaglobal.com Alle Mitteilungen im Rahmen dieses DPA an den Kunden sind in Übereinstimmung mit dem Dienstleistungsvertrag zu senden.

Anlage A – Technische und organisatorische Maßnahmen

  1. Physische Sicherheit.

Strada unterhält Sicherheitskontrollen für Zugangspunkte, Wartebereiche, Telekommunikationsbereiche und Verkabelungsbereiche, die Informationsverarbeitungssysteme oder Medien mit personenbezogenen Daten enthalten.
Zu den Sicherheitskontrollen gehören:

  • Zugangskontrolle und -beschränkung durch Verwendung eines definierten Sicherheitsperimeters, geeigneter Sicherheitsbarrieren, Sicherheitskameras, Zugangskontrollen und Authentifizierungskontrollen sowie Führung von Zugriffsprotokollen für einen gesetzlich oder politisch festgelegten Zeitraum;
  • Wenn Strada-ID-Karten eingesetzt werden, eine Anforderung an alle Mitarbeiter, Lieferanten, Auftragnehmer und Besucher, eine Form der sichtbaren Identifizierung zu tragen, um sich als Mitarbeiter, Auftragnehmer, Verkäufer oder Besucher zu identifizieren;
  • Eine Richtlinie für klaren Schreibtisch und klaren Bildschirm;
  • Eine automatische Leerlaufsperre für unbeaufsichtigte Geräte;
  • Die Besucher des Strada-Geländes müssen jederzeit begleitet werden. und
  • Soweit technisch machbar und wirtschaftlich vertretbar, Kameras und Überwachungskameras.
  1. Business Continuity und Disaster Recovery.

Strada unterhält die folgenden Kontrollen und Sicherheitsvorkehrungen für die Geschäftskontinuität:

  • Das Business Continuity- und Disaster Recovery-Programm basiert auf allgemein anerkannten Branchenpraktiken, die darauf abzielen, die Auswirkungen einer erheblichen Unterbrechung des Betriebs von Strada zu reduzieren.
  • Business Continuity- und Disaster Recovery-Programme werden mindestens einmal jährlich getestet.
  • Backups von Strada-Systemen und -Software, die bei der Bereitstellung von Diensten verwendet werden, werden in die Disaster-Recovery-Einrichtung repliziert, damit die Wiederherstellung im Katastrophenfall erfolgen kann. und
  • Die Daten werden in die Disaster-Recovery-Einrichtung repliziert, wobei eine geplante Point-in-Time-Sicherung der Daten bereitgestellt wird, um die Integrität zu gewährleisten.
  1. Kontrollen der Netzwerksicherheit.

Strada unterhält die folgenden Kontrollen und Schutzmaßnahmen für die Netzwerksicherheit:

  • Tiefenverteidigungsdesign mit Perimeter-Routern, Netzwerk-Switches und Firewall-Geräten sowie standardmäßiger Deny-All-Richtlinie zum Schutz der Internetpräsenz;
  • Least-Privilege- und authentifizierter Zugriff für Netzwerkbenutzer und -geräte;
  • Kontrolle des Internetzugangs durch Proxys;
  • Zwei-Faktor-Authentifizierung für den Fernzugriff mit einem nicht wiederverwendbaren Passwort;
  • Intrusion Detection System zur Überwachung und Reaktion auf potenzielle Eindringlinge;
  • Protokollierung und Untersuchung von Netzwerkereignissen in Echtzeit mit einem Tool zur Verwaltung von Sicherheitsinformationen;
  • Inhaltsfilterung und Blockieren von Websites anhand von genehmigten Listen;
  • Einschränkungen des drahtlosen Zugriffs auf das Netzwerk;
  • Richtlinien und Standards für drahtlose Netzwerkgeräte;
  • Verbote der Überbrückung von drahtlosen und anderen Netzwerken, einschließlich des Unternehmensnetzwerks; und
  • Erkennung und Deaktivierung von nicht autorisierten Wireless Access Points.
  1. Kontrollen der Plattformsicherheit.

Strada unterhält die folgenden Sicherheitskontrollen und -vorkehrungen für Plattformen:

  • Pflege von Konfigurations-/Härtungsstandards;
  • Kontrolle von Änderungen durch einen internen Änderungskontrollprozess;
  • Verbot der Installation von nicht autorisierter Hardware und Software;
  • Soweit technisch machbar, automatische Zeitüberschreitungen für Sitzungen nach Zeiten der Inaktivität;
  • Entfernung von vom Anbieter bereitgestellten Standardeinstellungen (Konten, Kennwörter und Rollen) während der Installation;
  • Entfernung von Diensten und Geräten, die für gültige Geschäftsanforderungen nicht erforderlich sind;
  • Verwendung eines Antivirenprogramms mit zeitnahen Updates;
  • Zugriff auf nicht privilegierte Konten auf Workstations und Laptops;
  • Vollständige Festplattenverschlüsselung auf Laptops;
  • Entwicklungs- und Testplattformen werden von den operativen Plattformen, die für die Bereitstellung der Dienste verwendet werden, getrennt;
  • Entwicklungswerkzeuge wie Compiler, Assembler, Editoren und andere allgemeine Dienstprogramme innerhalb der Produktionsumgebung sind nicht zulässig, es sei denn, dies ist ausdrücklich für die Bereitstellung der Dienste erforderlich, in welchem Fall der Zugriff eingeschränkt ist; und
  • Software und Hardware, die bei der Bereitstellung der Dienste verwendet wird, wird in Übereinstimmung mit den Industriestandards, dem Anbietersupport und den Sicherheitsrichtlinien aktualisiert.
  1. Kontrollen der Anwendungssicherheit.

Strada unterhält die folgenden Kontrollen und Schutzmaßnahmen für die Anwendungssicherheit:

  • Tiefenverteidigung durch den Einsatz einer n-Tier-Architektur zur Trennung und zum Schutz von Daten;
  • Ein sicherer Softwareentwicklungslebenszyklus (SSDLC) für die Anwendungsentwicklung, der Schulungen, Entwicklungen, Tests und laufende Bewertungen umfasst;
  • Dokumentation, Prüfung, Prüfung und Freigabe, bevor Änderungen in die Produktion umgesetzt werden;
  • Rechtzeitige Identifizierung, Prüfung und Behebung von Anwendungsschwachstellen und Patches; und
  • Ein Verbot der Verwendung von Produktionsdaten in Entwicklungs- und Testumgebungen.
  1. Daten- und Asset-Management.

Strada unterhält die folgenden Sicherheitskontrollen und -schutzvorkehrungen für das Daten- und Asset-Management:

  • technische, administrative und physische Sicherheitsvorkehrungen;
  • Regelmäßige Backups und Speicherung personenbezogener Daten;
  • Verschlüsselung personenbezogener Daten, die über öffentliche Netze und auf Wechseldatenträgern übertragen werden;
  • Verwendung eines Instruments zur Verhinderung von Datenverlust für die Datenübertragung am Endpunkt unter Einbeziehung von Sozialversicherungsnummern oder anderen nationalen Identifikationsnummern;
  • Verwendung eines Inventarisierungsprogramms zur Kontrolle der Installation, des Eigentums und der Bewegung von Hardware, Software und Kommunikationsgeräten;
  • Verschlüsselung, Bereinigung, Zerstörung oder Bereinigung aller physischen Medien, die personenbezogene Daten enthalten, die den Gewahrsam von Strada verlassen, um sicherzustellen, dass magnetische, optische, elektrische oder sonstige Darstellungen von Daten gelöscht wurden und nicht wiederhergestellt werden können; und
  • Logische Trennung der personenbezogenen Daten eines Strada-Kunden von anderen Strada-Kunden.
  1. Zugriffskontrolle und -verwaltung.

Strada unterhält die folgenden Sicherheitskontrollen und -vorkehrungen für die Zugriffskontrolle und -verwaltung:

  • Überwachung und Protokollierung des Zugriffs und der Nutzung der Strada-Systeme, die personenbezogene Daten enthalten, einschließlich der Protokollierung von Zugriffsversuchen auf die Strada-Systeme, die personenbezogene Daten enthalten;
  • Regelmäßige Überprüfung und Validierung des rollenbasierten Zugriffs auf personenbezogene Daten und unverzügliche Entfernung unnötiger Zugriffe;
  • Eindeutige Anmelde-ID und Kennwörter;
  • Sichere Passwörter mit minimaler Länge, Komplexität und Ablaufanforderungen;
  • Deaktivieren des Zugriffs nach einer begrenzten Anzahl fehlgeschlagener Anmeldeversuche; und
  • Ablehnung von zuvor verwendeten Passwörtern.
  1. Risikomanagement.

Strada unterhält die folgenden Kontrollen und Schutzmaßnahmen für das Risikomanagement:

  • Ein Risikomanagementsystem für die Informationssicherheit, das sich am Standard of Good Practice for Information Security (Information Security Forum) orientiert;
  • Ein Zyklus von Risikobewertungen kritischer Anlagen, deren Häufigkeit von der Anzahl der an jedem Standort ermittelten Restrisiken abhängt;
  • Die Risikoanalyse wird anhand standardisierter Risikobewertungsvorlagen dokumentiert; und
  • Risikomanagementaktivitäten werden etabliert, wenn Risiken definiert und mit den Eigentümern der Vermögenswerte vereinbart werden.
  1. Schwachstellen- und Patch-Management.

Strada ergreift die folgenden Maßnahmen, um Schwachstellen zu identifizieren und zu mindern, die die Fähigkeit von Strada bedrohen, die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten durchzusetzen:

  • Ein Prozess zur Überwachung von Schwachstellen, der Warnungen oder Benachrichtigungen über neue verfügbare Fixes und den daraus resultierenden Zeitrahmen für die Behebung bereitstellt.
  • Regelmäßiges Scannen, um Schwachstellen umgehend zu identifizieren und zu beheben;
  • Klassifizierung von Schwachstellen basierend auf dem Schweregrad, um eine Behebung auf der Grundlage vorgegebener Service-Level-Erwartungen zu ermöglichen; und
  • Penetrationstests in anwendbaren Strada-Umgebungen, einschließlich Perimeter-Schwachstellentests, internen Infrastruktur-Schwachstellentests und Anwendungstests.

Anlage B – Einzelheiten der Verarbeitung

Verarbeitungsvorgänge

Die im Rahmen dieser DPA durchzuführenden Verarbeitungsvorgänge lauten wie folgt: Die im Auftrag des Kunden erhaltenen personenbezogenen Daten werden für die Erbringung von Dienstleistungen im Rahmen des Dienstleistungsvertrags verwendet (z. B. Lohn- und Gehaltsabrechnung und andere Outsourcing-Dienstleistungen für Geschäftsprozesse, Softwareberatung und damit verbundene Aktivitäten) und können Folgendes umfassen:

  • Bereitstellung von Datenverarbeitungssoftware, -geräten und -diensten über verschiedene Tools, Anwendungen und Anbieter;
  • Wartung und Konfiguration von Anwendungen;
  • Daten-Uploads und -Übertragungen;
  • Speicherung oder Aufzeichnung personenbezogener Daten;
  • Verhinderung des unbefugten Zugriffs auf oder der Änderung von personenbezogenen Daten (und anderen nicht personenbezogenen Daten);
  • Programmieren, Drucken und Zusammenstellen, Überprüfen und Ändern von Kontoauszügen gemäß den Anweisungen des Kunden;
  • Kommunikation mit betroffenen Personen im Zusammenhang mit den für den Kunden erbrachten Dienstleistungen; und
  • Bereitstellung von Referenzmaterialien, wie vom Kunden gewünscht.

Der Zweck der oben genannten Verarbeitungsvorgänge besteht darin, die Dienstleistungen in Übereinstimmung mit dem Dienstleistungsvertrag zu erbringen.

Betroffene Personen

Die personenbezogenen Daten, die von Strada im Auftrag des Kunden verarbeitet werden sollen, betreffen die folgenden Kategorien von betroffenen Personen: aktuelle, ehemalige und/oder zukünftige Mitarbeiter, deren Verwandte und Familienmitglieder sowie andere Vertreter des Kunden und der verbundenen Unternehmen des Kunden.

Kategorien personenbezogener Daten, die verarbeitet werden sollen

Die von Strada verarbeiteten personenbezogenen Daten umfassen die folgenden Kategorien: Personal-/Mitarbeiterdaten: Dazu gehören unter anderem: vollständiger Name; Mädchenname; Identifikationsnummer des Mitarbeiters; Benutzername; Bild; Kontaktinformationen (einschließlich Privat- und Arbeitsadresse, private und geschäftliche Telefonnummern, Mobiltelefonnummern, Webadressdaten, private und geschäftliche E-Mail-Adresse); Familienstand; Informationen zur Staatsangehörigkeit; Geburtsdatum; Geschlecht; Informationen zum Führerschein; nationale und behördliche Identifikationsinformationen; Finanzinformationen (einschließlich Bankkonto, Pfändungen, Kredite, Gehalt und Kontostände); Informationen zum Leistungsprogramm (einschließlich Leistungswahlen, Informationen über Begünstigte, Informationen zu Ansprüchen, Kontonummern und Salden von Leistungsplänen sowie Datum der Pensionierung); Informationen zur Gehaltsabrechnung; Berufs- oder Beschäftigungsinformationen (einschließlich Datum der Einstellung, Beschäftigungsstatus, Berufsbezeichnung, Arbeits- und Bildungsverlauf, Gehaltsverlauf, Informationen zum Steuerabzug, Leistungsnachweise, Urlaubsinformationen, Reiseinformationen und Datum der Kündigung); und solche anderen personenbezogenen Daten, die vom Kunden (oder im Namen von) an Strada übertragen werden können, um Dienstleistungen für den Kunden zu erbringen.

Daten von nahestehenden Personen: können unter anderem Folgendes umfassen: Name, Geburtsdatum, Geschlecht und Kontaktinformationen von Angehörigen oder Begünstigten (einschließlich Privatadresse, Telefonnummern zu Hause und am Arbeitsplatz, Mobiltelefonnummern); und solche anderen personenbezogenen Daten, die vom Kunden (oder im Namen von) an Strada übertragen werden können, um Dienstleistungen für den Kunden zu erbringen.

Besondere Kategorien personenbezogener Daten

Zu den von Strada verarbeiteten personenbezogenen Daten kann sensible personenbezogene Daten gehören, einschließlich Informationen über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Sexualleben, Gesundheit, genetische, biometrische oder medizinische Aufzeichnungen oder/und Strafregister.