aryaka aryaka
Dieses Datenschutz-Addendum („DPA„) ist Teil des Master Subscription Agreements zwischen Aryaka und dem Kunden (wie zutreffend, das „Abkommen„), unter dem Aryaka die Dienste für den Kunden bereitstellt.
Begriffe in Großbuchstaben, die in diesem DPA verwendet, aber nicht definiert werden, haben die Bedeutung, die in der Vereinbarung festgelegt ist.

  • 1. DEFINITIONEN
  • 1.1„Verantwortlicher“ ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
  • 1.2 „Datenschutzgesetze “ sind alle Gesetze, die für die Verarbeitung personenbezogener Daten durch die jeweilige Partei gelten.
  • 1.3 „Betroffene Person“ bezeichnet jede Person, über die personenbezogene Daten gemäß dieser DSGVO verarbeitet werden können.
  • 1.4 „Personenbezogene Daten “ sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und vom Kunden an die Dienste übermittelt werden.
  • 1.5 „Verarbeitung “ oder „Verarbeitung“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Gruppen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z.B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten von personenbezogenen Daten.
  • 1.6 „Auftragsverarbeiter“ bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
  • 2. Beziehung zwischen den Parteien. Der Kunde und Aryaka haben einen Vertrag über Dienstleistungen abgeschlossen.
    Die Parteien erkennen an, dass der Kunde für die Zwecke der Vereinbarung ein Verantwortlicher und Aryaka ein Verarbeiter ist.
    Die Parteien werden personenbezogene Daten in Übereinstimmung mit dem Vertrag und den geltenden Datenschutzgesetzen verarbeiten.
  • 3. Kundenverpflichtungen. Der Kunde wird nur persönliche Daten zur Verfügung stellen, die angemessen, relevant und vernünftigerweise notwendig sind, damit Aryaka die Dienstleistungen erbringen kann.
    Der Kunde sichert zu und gewährleistet, dass seine Sammlung von Persönlichen Daten und deren Weitergabe an Aryaka mit allen anwendbaren Datenschutzgesetzen übereinstimmt.
  • 4. Anweisungen.
    .     Aryaka wird die persönlichen Daten nur verarbeiten
    (i) in Übereinstimmung mit den Anweisungen des Kunden, wie in der Vereinbarung dokumentiert und in Anhang IB weiter beschrieben; und
    (ii) soweit dies erforderlich ist, um geltendes Recht einzuhalten, vorausgesetzt, dass Aryaka nicht verpflichtet ist, auf eine Anweisung des Kunden hin zu handeln, die (nach angemessener Meinung von Aryaka) dazu führen könnte, dass Aryaka geltendes Recht verletzt.
    Aryaka wird den Kunden informieren, wenn sie der Meinung ist, dass eine Anweisung des Kunden bezüglich der Verarbeitung personenbezogener Daten gegen geltendes Datenschutzrecht verstoßen würde.
  • 5. Sicherheit. Aryaka wird angemessene Schritte unternehmen, um angemessene technische und organisatorische Maßnahmen zu ergreifen, die dazu bestimmt sind, Persönliche Daten gegen voraussichtliche Bedrohungen oder Gefahren für ihre Sicherheit, Vertraulichkeit oder Integrität zu schützen.
    Aryaka stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
  • 6. Verletzung der Datensicherheit. Aryaka wird den Kunden unverzüglich benachrichtigen, wenn Aryaka erfährt, dass eine Sicherheitsverletzung stattgefunden hat, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum Zugriff auf verarbeitete personenbezogene Daten geführt hat (jeweils eine „Datenverletzung„), es sei denn, dies ist nach geltendem Recht verboten oder wird anderweitig von einer Strafverfolgungs- oder Aufsichtsbehörde angeordnet.
    Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Aryaka zur Verfügung stehen, wird Aryaka angemessene Schritte unternehmen, um den Kunden auf dessen angemessenen Wunsch hin bei der Einhaltung der Meldepflichten des Kunden in Bezug auf Datenschutzverletzungen zu unterstützen, wie es das geltende Recht verlangt.
    Aryaka behält sich das Recht vor, dem Kunden für jede angeforderte Unterstützung eine angemessene Gebühr zu berechnen.
  • 7. Rückgabe oder Vernichtung. Innerhalb von 30 Tagen nach Beendigung der Vereinbarung kann der Kunde verlangen, dass Aryaka alle Persönlichen Daten vernichtet oder an den Kunden zurückgibt, es sei denn, das anwendbare Recht verlangt die Aufbewahrung der Persönlichen Daten durch Aryaka.
  • 8. Audits; Anfragen. Auf eine angemessene Anfrage des Kunden (die nicht öfter als einmal im Jahr erfolgen darf, es sei denn, eine Aufsichtsbehörde verlangt eine häufigere Überprüfung) wird Aryaka dem Kunden unverzüglich alle in ihrem Besitz befindlichen Informationen zur Verfügung stellen, die notwendig sind, um die Einhaltung der Verpflichtungen von Aryaka unter dieser DPA nachzuweisen, und sie wird angemessene Prüfungen ermöglichen und dazu beitragen.
    Alle zur Verfügung gestellten Informationen sind vertrauliche Informationen von Aryaka und dürfen nicht ohne die vorherige schriftliche Zustimmung von Aryaka weitergegeben werden, es sei denn, dies ist durch geltendes Recht vorgeschrieben.
  • 9. Unterauftragsvergabe. Der Kunde ermächtigt Aryaka, persönliche Daten an Unterauftragsverarbeiter zu übertragen, um die Dienste für den Kunden zu erbringen.
    Aryaka wird eine Liste der Unterauftragsverarbeiter führen.
    Eine aktuelle Liste der Unterauftragsverarbeiter ist in Anhang III enthalten.
    Aryaka wird den Kunden 14 Tage im Voraus informieren, wenn ein Unterauftragsverarbeiter zu dieser Liste hinzugefügt wird, und ihm die Möglichkeit geben, gegen eine solche Hinzufügung Einspruch zu erheben.
    Wenn Aryaka innerhalb von 14 Tagen nach der Benachrichtigung keinen Widerspruch erhält, gilt der Unterauftragsverarbeiter als vom Kunden akzeptiert.
    Aryaka wird mit diesem Unterauftragsverarbeiter eine Vereinbarung abschließen, die ähnliche Datenschutzbedingungen wie diese DPA enthält.
  • 10. Aryaka Unterstützung. Auf angemessenen Wunsch des Kunden und unter Berücksichtigung der Art der Verarbeitung wird Aryaka angemessene Schritte unternehmen, um den Kunden bei der Erfüllung seiner Verpflichtung zu unterstützen, auf die Anfragen der betroffenen Personen zur Ausübung ihrer Rechte nach geltendem Recht zu reagieren, indem sie geeignete technische und organisatorische Maßnahmen ergreift.
    Unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Aryaka zur Verfügung stehen, wird Aryaka den Kunden auf dessen angemessenen Wunsch auch bei der Erfüllung seiner Verpflichtungen zur Durchführung von Datenschutz-Folgenabschätzungen und damit verbundenen Konsultationen von Aufsichtsbehörden unterstützen.
    Aryaka behält sich das Recht vor, dem Kunden eine angemessene Gebühr für eine solche angeforderte Unterstützung zu berechnen.
  • 11. Bestimmungen des kalifornischen Verbraucherschutzgesetzes (CCPA).
  • 11.1 Einhaltung von Gesetzen. Aryaka wird das gleiche Maß an Datenschutz für persönliche Daten von in Kalifornien ansässigen Personen bieten, wie es vom Kunden unter dem CCPA verlangt wird.
    Aryaka wird den Kunden schriftlich benachrichtigen, wenn Aryaka feststellt, dass es seinen Verpflichtungen unter dem CCPA nicht mehr nachkommen kann.
    Der Kunde hat das Recht, nach Benachrichtigung von Aryaka angemessene und geeignete Schritte zu unternehmen, um die unbefugte Nutzung personenbezogener Daten zu stoppen und zu beheben, auch wenn Aryaka den Kunden darüber informiert hat, dass es seine CCPA-Verpflichtungen nicht mehr erfüllen kann.
  • 11.2 Einschränkung der Verarbeitung. In keinem Fall darf Aryaka:
    (a) Persönliche Daten von in Kalifornien ansässigen Personen gegen Geld oder andere wertvolle Gegenleistungen an Dritte weitergeben oder persönliche Daten an Dritte für kontextübergreifende verhaltensorientierte Werbung weitergeben;
    (b) Persönliche Daten von in Kalifornien ansässigen Personen an Dritte zum kommerziellen Nutzen von Aryaka oder Dritten weitergeben;
    (c) Persönliche Daten von in Kalifornien ansässigen Personen außerhalb der direkten Geschäftsbeziehung zwischen Aryaka und dem Kunden oder für einen anderen kommerziellen Zweck als die in der Vereinbarung genannten Geschäftszwecke oder wie anderweitig durch anwendbare Gesetze erlaubt, zu speichern, zu nutzen oder offenzulegen; oder
    (d) Persönliche Daten von in Kalifornien ansässigen Personen mit persönlichen Informationen zu kombinieren, die Aryaka von oder im Namen von anderen Personen erhält oder die es im Rahmen seiner eigenen Interaktion mit der betroffenen Person sammelt, es sei denn, dies ist nach geltendem Recht zulässig.
    Aryaka bestätigt, dass es die vorgenannten Beschränkungen versteht und einhalten wird.
  • 12. Datenübertragungen
  • 12.1 Eingeschränkte Übertragungen von personenbezogenen Daten, die der DSGVO unterliegen. Die EU-Standardvertragsklauseln (Modul 2 Controller to Processor) ((EU) 2021/914), abrufbar unter [www .aryaka.com/SCC2021-Controller-to-Processor /] („EU SCCs“) und hierin durch Verweis aufgenommen, gelten zusammen mit den beigefügten Anhängen I und II für jede Übermittlung personenbezogener Daten, die der EU-Datenschutzgrundverordnung ((EU) 2016/679) („GDPR“) unterliegen.
    Ungeachtet des Vorstehenden finden die EU-DSGVO keine Anwendung, soweit die Übermittlung durch (i) eine Entscheidung einer für den Kunden zuständigen Behörde abgedeckt ist, in der erklärt wird, dass eine Gerichtsbarkeit ein angemessenes Schutzniveau für personenbezogene Daten bietet (eine „Angemessenheitsentscheidung“).
  • 12.1.1 In Klausel 9 vereinbaren die Parteien, dass die Option 2 gemäß Abschnitt [9] (Unteraufträge) gilt.
  • 12.1.2 Die optionale Sprache in Klausel 11 ist ausgeschlossen.
  • 12.1.3 Gemäß Klausel 17 unterliegen die EU-SCCs dem niederländischen Recht.
  • 12.1.4 Gemäß Klausel 18 werden alle Streitigkeiten, die sich aus den EU-SCCs ergeben, von den Gerichten der Niederlande entschieden.
  • 12.1.5 In Anhang IC ist die Datenschutzbehörde, in der der Kunde seinen Sitz hat, die zuständige Aufsichtsbehörde.
  • 12.2.Eingeschränkte Überweisungen aus der Schweiz. Die in diesem Abschnitt geänderten EU-SCCs gelten für alle Übermittlungen personenbezogener Daten, die dem Schweizer Bundesgesetz über den Datenschutz (DSG) unterliegen und nicht anderweitig Gegenstand eines Angemessenheitsbeschlusses sind:
  • 12.2.1 Der Begriff „EU-Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Klausel 18(c) einzuklagen.
  • 12.2.2 Verweise in den EU SCCs auf die DSGVO sind als Verweise auf das DSG zu verstehen.
  • 12.2.3 Gemäß Klausel 17 unterliegen die EU-SCCs dem Recht der Schweiz.
  • 12.2.4 In Anhang IC ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte die zuständige Aufsichtsbehörde.
  • 12.3 Eingeschränkte Überweisungen aus dem Vereinigten Königreich. Wenn die Übermittlung personenbezogener Daten den Gesetzen des Vereinigten Königreichs (einschließlich der Allgemeinen Datenschutzverordnung des Vereinigten Königreichs) unterliegt und nicht anderweitig Gegenstand eines Angemessenheitsbeschlusses ist, stimmen die Parteien zu:
  • 12.3.1 Die Bestimmungen des Zusatzes des Vereinigten Königreichs für den internationalen Datentransfer zu den Standardvertragsklauseln der EU-Kommission, Version B1.0, in Kraft seit dem 21. März 2022, abrufbar unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf („Zusatz des Vereinigten Königreichs“), einschließlich Teil 2 „Obligatorische Klauseln“, werden hierin durch Bezugnahme aufgenommen und gelten in vollem Umfang;
  • 12.3.2 In Tabelle 1 des britischen Addendums werden die Namen der Parteien, ihre Rollen und ihre Angaben in der beigefügten Anlage 1 aufgeführt;
  • 12.3.3 Für die Tabellen 2 und 3 des britischen Nachtrags gilt Modul 2 der EU SCCs, die durch Verweis in diese DPA aufgenommen wurden, einschließlich der in den beigefügten Anhängen enthaltenen Informationen; und
  • 12.3.4.In Tabelle 4 des UK Addendum kann jede Partei das UK Addendum beenden.
  • 13. KONFLIKTE; DURCHSETZBARKEIT. Sollte eine Bestimmung dieser DPA von einem zuständigen Gericht für ungültig oder nicht durchsetzbar befunden werden, so wird dadurch keine andere Bestimmung dieser DPA oder eines anderen Vertrags zwischen dem Kunden und Aryaka ungültig oder nicht durchsetzbar.
    Diese DPA ergänzt die Vereinbarung.
    Diese DPA hat Vorrang im Falle von Widersprüchen zwischen der Vereinbarung und dieser DPA.
    Alle anderen Bestimmungen oder Verpflichtungen aus dem Vertrag, die von dieser DPA nicht berührt werden, bleiben in vollem Umfang in Kraft und wirksam.
    Wenn dieses DPA oder Maßnahmen, die in Erfüllung dieses DPA ergriffen werden oder ergriffen werden sollen, die Verpflichtungen der Parteien nach den für sie geltenden Gesetzen nicht erfüllen oder nicht erfüllen würden, werden die Parteien in gutem Glauben über eine angemessene Änderung dieses DPA verhandeln.

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(e):

Name: Siehe Bestellformular zwischen Kunde und Aryaka.

Adresse: Siehe Bestellformular zwischen Kunde und Aryaka.

Name, Position und Kontaktdaten der Kontaktperson: Siehe Bestellformular zwischen Kunde und Aryaka.

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Siehe Vereinbarung zwischen Kunde und Aryaka.

Unterschrift und Datum: ————-

Rolle (Controller/Prozessor): Controller

Datenimporteur(en):

Name: Aryaka Networks, Inc.

Adresse: 3945 Freedom Circle, Tower 1, Suite 1100, Santa Clara, CA 94 USA

Name, Position und Kontaktdaten der Kontaktperson: Edward Frye, Chief Information Security Officer, [email protected].

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Siehe Vereinbarung zwischen den Parteien.

Rolle (Controller/Prozessor): Prozessor

B. BESCHREIBUNG DER ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden

  • Personen, die das Personal des Kunden, Zeitarbeiter, Berater und alle Personen umfassen, die mit der Belegschaft des Kunden verbunden sind oder das System und die angebotenen Dienste nutzen.

Kunden des Kunden, Lieferanten, Partner, Verkäufer und alle Dritten, von denen der Kunde persönliche Daten besitzen kann:

  • Informationen, die sich auf die Nutzer des Kunden beziehen, einschließlich ihrer Kontaktdaten, oder alle Informationen, die Aryaka freiwillig über die Dienste oder alternative Kanäle mitgeteilt werden.

Metadaten, die für die Bereitstellung von Diensten, die auf die spezifische Umgebung des Kunden zugeschnitten sind, unerlässlich sind.
Diese Metadaten umfassen Attribute wie Dateidetails, Dateityp, Hash-Werte, Befehlszeilenargumente, Netzwerkzugriffsdaten (einschließlich IP-Adressen und Protokolle) und netzwerkbezogene Informationen (einschließlich interner Netzwerk-IP-Adressen, öffentlicher IP-Adressen und Website-URL-Daten). Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z.B. strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich des Zugriffs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für die Weiterübertragung oder zusätzliche Sicherheitsmaßnahmen: Im Allgemeinen keine.
Lediglich in Bezug auf die Dienste „Secure Web Gateway“ und Firewall sind alle sensiblen Daten, die im Datenverkehr des Kunden, der durch die Dienste fließt, sichtbar oder offengelegt werden können, zufällig und abhängig von der Nutzung dieser Dienste durch den Kunden. Die Häufigkeit der Übertragung: KontinuierlichNaturder Verarbeitung: Die Dienste von Aryaka Security at the Service Edge (SASE) stellen eine modernisierte Netzwerkgrenze für Unternehmen dar, die durch eine eng integrierte Kombination aus Netzwerk- und Sicherheitssoftware realisiert wird.
Dieses System verbindet Zweigstellen, mobile Benutzer sowie physische und Cloud-basierte Datenzentren und gewährleistet eine sichere und zuverlässige Verbindung sowohl für das Wide Area Network (WAN) als auch für den Internetzugang . Zweck(e) der Datenübertragung und -weiterverarbeitung: Erbringung der Dienstleistungen für den Kunden in Übereinstimmung mit dem Vertrag und dem zwischen den Parteien geschlossenen Auftrag.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Bestimmung dieses Zeitraums verwendet werden: Die personenbezogenen Daten werden für den Zeitraum aufbewahrt, der für die Erbringung der Dienstleistungen im Rahmen des Vertrags erforderlich ist, es sei denn, das geltende Recht schreibt einen längeren Zeitraum vor.
Bei Übermittlungen an (Unter-)Auftragsverarbeiter geben Sie bitte auch den Gegenstand, die Art und die Dauer der Verarbeitung an: Siehe Beschreibung oben.

ANHANG II – SICHERHEITSMASSNAHMEN

Aryaka unterhält verschiedene Richtlinien, Standards und Prozesse, um persönliche Daten zu schützen.
Im Folgenden finden Sie eine Beschreibung einiger der wichtigsten technischen und organisatorischen Sicherheitsmaßnahmen, die von Aryaka umgesetzt werden. Physische Zugangskontrollen Aryaka implementiert und unterhält Maßnahmen, die verhindern sollen, dass unbefugte Personen physischen Zugang zu den Aryaka-Standorten erhalten. Technische Zugangskontrollen Aryaka implementiert und unterhält Maßnahmen, die verhindern sollen, dass Unbefugte Zugang zu den Datenverarbeitungssystemen von Aryaka erhalten, einschließlich:

  • Hybrider Distributed Denial-of-Service (DDoS)-Schutz, der Erkennung und Eindämmung (vor Ort oder in der Cloud) mit Cloud-basierter volumetrischer DDoS-Angriffsvermeidung und 24×7 Emergency Response Team (ERT)-Support integriert; und
  • Netzwerk-Edge-Sicherheit mit fortschrittlichen Perimeter-Sicherheitslösungen, die in die Software Defined – Wide Area Network (SD-WAN)-Appliance des Kunden integriert sind.

Datenzugangskontrollen Aryaka implementiert und unterhält Maßnahmen, die den Zugang zu ihrem Datenverarbeitungssystem auf Personen beschränken, die diesen Zugang im Rahmen und im Umfang ihrer jeweiligen Zugangsberechtigung (Autorisierung) benötigen.
Auftragskontrollen Aryaka implementiert und unterhält Maßnahmen, die sicherstellen sollen, dass personenbezogene Daten, die bei der Erbringung der Dienstleistungen für den Kunden verarbeitet werden, ausschließlich in Übereinstimmung mit der Vereinbarung verarbeitet werden.
Verfügbarkeitskontrollen Aryaka implementiert und unterhält Maßnahmen, die dazu dienen, Persönliche Daten vor Offenlegung, versehentlicher oder unbefugter Zerstörung oder Verlust zu schützen.

ANHANG III – LISTE DER UNTERAUFTRAGSVERARBEITER

Salesforce: Verwendung: Customer Relationship Management Ort, an dem die Instanz ansässig ist: Vereinigte Staaten Zugriff durch Aryaka-Mitarbeiter aus: Vereinigte Staaten, Indien, Deutschland, Großbritannien, Kanada, Australien, Japan, den Niederlanden, Südkorea und der Schweiz
NetSuite: Verwendung: Buchhaltung Ort, an dem die Instanz ansässig ist: Vereinigte Staaten Zugriff durch Aryaka-Mitarbeiter aus: Vereinigte Staaten und Indien
Zuora: Verwendung: Billing Ort, an dem die Instanz ansässig ist: Vereinigte Staaten Zugriff durch Aryaka-Mitarbeiter aus: Vereinigte Staaten und Indien
Marketo: Verwendung: Marketing und Messaging Standort, an dem die Instanz ansässig ist: Vereinigte Staaten Zugriff durch Aryaka-Mitarbeiter aus: Vereinigte Staaten, Vereinigtes Königreich und Indien