Ergänzung zum Datenschutz

Gültig ab dem 14. Dezember 2022

Um die vorherige Version der Datenschutzrichtlinie einzusehen, klicken Sie bitte hier.

Diese Ergänzung zum Datenschutz bezieht sich auf die Nutzungsbedingungen von NextRoll und alle anwendbaren Ergänzungen zwischen NextRoll, Inc. für und im eigenen Namen und NextRoll Limited, („NextRoll“) und dem Kunden und ist ein integraler Bestandteil davon. Sie wird nach Akzeptieren der Nutzungsbedingungen wirksam.

Wenn das geltende Datenschutzrecht die im Rahmen der Vereinbarung verarbeiteten personenbezogenen Daten schützt, können die Kunden diese Ergänzung zum Datenschutz (welche die Standardvertragsklauseln enthält) annehmen, um: (i) personenbezogene Daten gemäß den Anforderungen des geltenden Datenschutzrechts zu schützen und (ii) angemessene Schutzmaßnahmen in Bezug auf die eingeschränkte Weitergabe personenbezogener Daten außerhalb des europäischen Raums zu gewährleisten.

Diese Ergänzung zum Datenschutz spiegelt die Vereinbarung der Parteien hinsichtlich der Bedingungen für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung wider.

1. DEFINITIONEN

In dieser Ergänzung zum Datenschutz haben die folgenden Begriffe folgende Bedeutung:

  • Der Verantwortliche“, „der Auftragsverarbeiter“, „das Datensubjekt“, „Personenbezogene Daten“und „Verarbeitung“ (und „Prozess“) haben die im anwendbaren Datenschutzgesetz festgelegte Bedeutung;

  • „CRM-Daten von Kunden“ bezeichnet alle eindeutigen (d. h. unformatierten, nicht gehashten) E-Mail-Adressen, Namen, Titel, Kontaktverlauf, Bestellverlauf oder andere CRM-Daten über Endbenutzer, die vom Kunden bereitgestellt, über Drittanbieter-Integrationen in die Dienste empfangen oder von NextRoll im Auftrag des Kunden in Verbindung mit den Diensten empfangen werden. CRM-Daten von Kunden beinhalten weder Daten zu Diensten noch Leistungsberichte. (Dies entspricht der Definition in den Nutzungsbedingungen von NextRoll („Nutzungsbedingungen“).)

  • „Personenbezogene Kundendaten“ beziehen sich auf personenbezogene Daten, die in den CRM-Daten von Kunden und den Daten zu den Diensten enthalten sind;

  • Anwendbares Datenschutzrecht“ bezeichnet alle zu diesem Zeitpunkt geltenden Gesetze, Regeln und Vorschriften in Bezug auf die Privatsphäre, die Datenverarbeitung und -nutzung, den Datenschutz, die Datensicherheit oder die Vertraulichkeit, einschließlich, aber nicht beschränkt auf die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („EU-DSGVO“); die EU-DSGVO, die gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs („UK GDPR“) in das Recht des Vereinigten Königreichs übernommen wurde; die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), der California Consumer Privacy Act von 2018 in der jeweils gültigen Fassung und alle darin erlassenen Vorschriften („CCPA“), der Virginia Consumer Data Protection Act („VCDPA“), der Colorado Privacy Act und verwandte Vorschriften („CPA“), der Utah Consumer Privacy Act („UCPA“); und Connecticuts Act Concerning Personal Data Privacy and Online Monitoring („C TDPA“).

  • Personenbezogene Daten“ sind Daten, die „personenbezogene Daten“, „personenbezogene Informationen“ oder ähnliche Begriffe im Sinne des geltenden Datenschutzrechts darstellen;

  • Eingeschränkte Übermittlung“ bezeichnet: in Fällen, in denen die EU-DSGVO Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in ein Land außerhalb des Europäischen Wirtschaftsraums, das nicht Gegenstand einer Angemessenheitsfeststellung durch die Europäische Kommission ist; und (ii) in Fällen, in denen die UK-GDPR Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den Angemessenheitsvorschriften gemäß Abschnitt 17A des United Kingdom Data Protection Act 2018 unterliegt;

  • „Daten zu den Diensten“ bezeichnet Daten, die NextRoll von Endbenutzern mithilfe der Technologie auf Websites von Kunden erfasst, einschließlich Daten, die bei der Bereitstellung der Dienste von Dritten erfasst werden. CRM-Daten von Kunden fallen nicht unter diesen Begriff. Wenn der Kunde der Nutzung des geräteübergreifenden Diagrammservice zustimmt oder die ABM-Dienste von RollWorks nutzt und NextRoll bevollmächtigt, die auf Websites von Kunden erfassten E-Mail-Adressen von Endbenutzern zu hashen, zählen diese gehashten E-Mail-Adressen von Endbenutzern zu den Daten der Dienste. (Dies entspricht der Definition in den Nutzungsbedingungen).

  • Standardvertragsklauseln" bezeichnet: (i) in Fällen, in denen die EU-DSGVO Anwendung findet, die Vertragsklauseln im Anhang des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates („EU-Standardvertragsklauseln“ und (ii) in Fällen, in denen die UK-GDPR Anwendung findet, die Ergänzung zur internationalen Datenübertragung des Information Commissioner des Vereinigten Königreichs zu den Standardvertragsklauseln der EU-Kommission, Version B1.0, in Kraft seit 21. März 2022 („UK-Standardvertragsklauseln“).

Alle anderen Begriffe, die in dieser Ergänzung zum Datenschutz nicht definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung gegeben wird.

2. BEZIEHUNG ZWISCHEN DEN PARTEIEN

Der Kunde (der „Verantwortliche“) beauftragt NextRoll als Auftragsverarbeiter mit der Verarbeitung der CRM-Daten von Kunden, wie im Anhang 1 näher beschrieben.

Jede Partei gilt für die Daten zu den Diensten als Datenverantwortlicher, sofern diese Daten zu den Diensten in ihren jeweiligen Verantwortungs- oder Kontrollbereich fallen und vorausgesetzt, das Vorstehende dient nicht zur Änderung, Modifizierung oder Einschränkung (a) der Pflichten einer der Parteien in Bezug auf Mitteilungen, Berechtigungen und Einwilligungen in Bezug auf solche Dienstleistungsdaten, wie in den Nutzungsbedingungen näher dargelegt werden kann, (b) der Rechte einer der Parteien auf Zugriff, Nutzung, Eigentum oder Änderung dieser Dienstleistungsdaten, wie ebenfalls in den Nutzungsbedingungen dargelegt werden kann, oder (c) der Verpflichtungen einer der Parteien zur gemeinsamen Verantwortung, die gesetzlich vorgeschrieben werden können, z. B. in Bezug auf die Einholung von Einwilligungen für die Zwecke des geltenden Datenschutzrechts.

3. UNTERSAGTE DATEN

Der Kunde verpflichtet sich, NextRoll keine besonderen Kategorien von personenbezogenen Daten (wie im geltenden Datenschutzrecht definiert) zur Verarbeitung zu überlassen.

4. ZWECKBEGRENZUNG

NextRoll verarbeitet die CRM-Daten von Kunden als Auftragsverarbeiter für die in Anhang I beschriebenen Zwecke, um seine Verpflichtungen gemäß der Vereinbarung, in Übereinstimmung mit dem geltenden Datenschutzrecht zu erfüllen, und unter strikter Einhaltung der dokumentierten Anweisungen des Kunden (der „zulässige Zweck“), sofern nicht anderweitig gesetzlich vorgeschrieben und mit dem geltenden Datenschutzrecht vereinbar. In keinem Fall darf NextRoll die CRM-Daten von Kunden für eigene Zwecke oder die eines Dritten verarbeiten. NextRoll informiert den Kunden unverzüglich, wenn festgestellt wird, dass die Verarbeitungsanweisungen des Kunden gegen geltendes Datenschutzrecht verstoßen.

5. EINGESCHRÄNKTE ÜBERTRAGUNGEN

5.1. Die Parteien vereinbaren, dass die Übertragung von personenbezogenen Kundendaten an NextRoll, wenn es sich um eine eingeschränkte Übertragung handelt, den entsprechenden Standardvertragsklauseln, die in Klausel 5 dieser Vereinbarung dargelegt sind, unterliegt:

5.2. In Bezug auf die Daten zu den Diensten, die durch die EU-DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln wie folgt:

  • Es gilt das Modul Eins;
  • gem. Klausel 7 gilt die fakultative „Koppelungsklausel“;
  • gem. Klausel 17 gilt Option 1 und die EU-Standardvertragsklauseln unterliegen irischem Recht;
  • gem. Klausel 18(b) werden Streitigkeiten vor einem irischen Gericht beigelegt;
  • Anhang I der EU-Standardvertragsklauseln gilt als mit den in Anhang I dieser Ergänzung zum Datenschutz aufgeführten Informationen erfüllt; und
  • Anhang II der EU-Standardvertragsklauseln gilt mit den in Anhang II dieser Ergänzung zum Datenschutz aufgeführten Informationen als erfüllt.

5.3. In Bezug auf die CRM-Daten von Kunden, die durch die EU-DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln wie folgt:

  • Es gilt das Modul zwei;
  • gem. Klausel 7 gilt die fakultative „Koppelungsklausel“;
  • gem. Klausel 9 gilt Option 2 und die Frist für die Vorankündigung eines Wechsels des Unterauftragsverarbeiters ist in Klausel 8.3 dieser Ergänzung zum Datenschutz festgelegt;
  • gem. Klausel 11 findet die fakultative Formulierung keine Anwendung;
  • gem. Klausel 17 gilt Option 1 und die EU-Standardvertragsklauseln unterliegen irischem Recht;
  • gem. Klausel 18(b) werden Streitigkeiten vor einem irischen Gericht beigelegt;
  • Anhang I der EU-Standardvertragsklauseln gilt als mit den in Anhang I dieser Ergänzung zum Datenschutz aufgeführten Informationen erfüllt; und
  • Anhang II der EU-Standardvertragsklauseln gilt mit den in Anhang II dieser Ergänzung zum Datenschutz aufgeführten Informationen als erfüllt.

5.4. In Bezug auf CRM-Daten von Kunden und Daten zu den Diensten, die durch die UK-GDPR geschützt sind, gelten die UK-Standardsvertragsklauseln wie folgt zwischen dem Kunden und NextRoll:

  • Tabelle 1: Bei den Parteien handelt es sich um die in Anhang I.A dieser Ergänzung zum Datenschutz aufgeführten Parteien und ihre verbundenen Unternehmen, soweit eines von ihnen an einer solchen Übertragung beteiligt ist. Die Hauptansprechpartner für die Parteien sind die in Anhang I.A dieser Ergänzung zum Datenschutz aufgeführten Ansprechpartner.
  • Tabelle 2: Bei den genehmigten EU-Standardvertragsklauseln, auf die in Tabelle 2 verwiesen wird, handelt es sich um die EU-Standardvertragsklauseln, die je nach Art der übertragenen Daten wie oben in Abschnitt 5.2 (für Übertragungen mit Dienstleistungsdaten) oder 5.3 (für Übertragungen mit CRM-Daten von Kunden) dieser Ergänzung zum Datenschutz dargelegt sind.
  • Tabelle 3: Die Anhänge IA, IB und II sind in den Anhängen I und II dieser Ergänzung zum Datenschutz dargelegt. Anhang III ist nicht anwendbar.
  • Tabelle 4: NextRoll kann die UK-Standardvertragsklauseln gemäß Abschnitt 19 der UK-Standardvertragsklauseln beenden.

5.5. Sollte eine Bestimmung dieser Ergänzung zum Datenschutz oder der Vereinbarung direkt oder indirekt im Widerspruch zu den Standardvertragsklauseln stehen, so haben die Standardvertragsklauseln Vorrang.

6. VERTRAULICHE BEARBEITUNG

NextRoll stellt sicher, dass alle Personen, die das Unternehmen zur Verarbeitung der personenbezogenen Kundendaten ermächtigt (einschließlich der Mitarbeiter, Vertreter und Unterauftragsverarbeiter von NextRoll) (eine „befugte Person“) einer strengen Geheimhaltungspflicht unterliegen (unabhängig davon, ob es sich um eine vertragliche oder gesetzliche Verpflichtung handelt). Weiterhin wird keiner Person die Verarbeitung personenbezogener Kundendaten erlaubt, die nicht einer solchen Geheimhaltungspflicht unterliegt. NextRoll stellt sicher, dass alle befugten Personen die personenbezogenen Kundendaten nur so verarbeiten, wie es für den erlaubten Zweck erforderlich ist.

7. SICHERHEIT

NextRoll ergreift geeignete technische und organisatorische Maßnahmen, um die personenbezogenen Kundendaten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung oder unbefugter Offenlegung oder unbefugtem Zugriff (einem „Sicherheitsvorfall“) zu schützen. Diese Maßnahmen müssen dem Stand der Technik, den Kosten der Umsetzung und der Art, dem Umfang, dem Kontext und den Zwecken der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen Rechnung tragen.

Diese Maßnahmen umfassen mindestens die in Anhang II aufgeführten Maßnahmen.

8. UNTERAUFTRAGSVERARBEITUNG

8.1. Klausel 8 gilt nur für die Verarbeitung von CRM-Daten von Kunden durch NextRoll und nicht für die Verarbeitung von Daten zu den Diensten durch NextRoll.

8.2. Der Kunde erklärt sich damit einverstanden, dass NextRoll die unter der URL https://www.nextroll.com/terms/data-protection/subprocessors („Seite der Unterauftragsverarbeiter“) genannten Unterauftragsverarbeiter zur Verarbeitung der CRM-Daten von Kunden einsetzt.

8.3. Der Kunde ist damit einverstanden, dass NextRoll zusätzliche oder andere Unterauftragsverarbeiter mit der Verarbeitung der CRM-Daten von Kunden beauftragt, vorausgesetzt, dass: (i) NextRoll seine Seite der Unterauftragsverarbeiter mindestens 14 Tage vor der Ernennung oder dem Austausch eines Unterauftragsverarbeiters aktualisiert (der Kunde kann den RSS-Feed der Seite der Unterauftragsverarbeiter abonnieren, um automatisch über solche Änderungen informiert zu werden); (ii) NextRoll jedem von ihm beauftragten Unterauftragsverarbeiter entsprechende Datenschutzbedingungen auferlegt, welche die CRM-Daten von Kunden im Wesentlichen nach demselben Standard schützen, der in dieser Ergänzung zum Datenschutz vorgesehen ist; und (iii) NextRoll für jede Verletzung dieser Klausel, die durch eine Handlung, einen Fehler oder eine Unterlassung seines Unterauftragsverarbeiters verursacht wird, voll haftbar bleibt.

8.4. Widerspricht der Kunde der Ernennung eines zusätzlichen oder eines alternativen Unterauftragsverarbeiters durch NextRoll aus berechtigten Gründen, die sich auf den Schutz der CRM-Daten von Kunden beziehen, so wird NextRoll den Unterauftragsverarbeiter nicht ernennen. Sollte dies nicht möglich sein, kann der Kunde den betroffenen Dienst aussetzen oder beenden (unbeschadet jeglicher Gebühren, die dem Kunden vor der Aussetzung oder Beendigung entstehen).

9. UNTERSTÜTZUNG DES KUNDEN

9.1. NextRoll unterstützt Kunden bei der Erfüllung ihrer Verpflichtungen nach geltendem Datenschutzrecht, soweit dies nach geltendem Datenschutzrecht erforderlich ist.

9.2. Wenn NextRoll der Ansicht ist oder davon Kenntnis erlangt, dass die Verarbeitung der CRM-Daten von Kunden wahrscheinlich zu einem hohen Risiko für die Datenschutzrechte und -freiheiten der Datensubjekte führen wird, wird NextRoll den Kunden unverzüglich informieren. NextRoll wird dem Kunden angemessene und rechtzeitige Unterstützung gewähren, um eine Datenschutz-Folgenabschätzung in Übereinstimmung mit dem anwendbaren Datenschutzrecht durchzuführen. Dies schließt, falls erforderlich, die Unterstützung des Kunden bei der Konsultation seiner zuständigen Datenschutzbehörde ein.

9.3. Anfragen von Datensubjekten.

  • Im Hinblick auf CRM-Daten von Kunden leistet NextRoll dem Kunden jegliche angemessene und rechtzeitige Unterstützung, damit der Kunde auf folgende Punkte reagieren kann: (i) jede Anfrage eines Datensubjekts zur Ausübung seiner Rechte nach dem geltenden Datenschutzrecht (einschließlich seiner Rechte auf Auskunft, Berichtigung, Widerspruch, Löschung und Datenübertragbarkeit) in Verbindung mit den CRM-Daten von Kunden; (ii) jede andere Korrespondenz, Anfrage oder Beschwerde, die von einem Datensubjekt, einer Aufsichtsbehörde oder einer anderen dritten Partei in Verbindung mit der Verarbeitung der CRM-Daten von Kunden eingeht. Falls ein solcher Antrag, eine solche Korrespondenz, eine solche Anfrage oder eine solche Beschwerde direkt an NextRoll gerichtet wird, informiert NextRoll den Kunden unverzüglich und in allen Einzelheiten darüber.
  • Hinsichtlich Daten zu den Diensten antwortet NextRoll auf Anfragen von Datensubjekten gemäß den Bestimmungen des geltenden Datenschutzgesetzes. Gegebenenfalls hat der Kunde NextRoll bei Antworten auf solche Anfragen zu unterstützen.

10. SICHERHEITSVORFÄLLE

Sobald NextRoll von einem bestätigten Sicherheitsvorfall Kenntnis erlangt, informiert das Unternehmen den Kunden unverzüglich und bietet ihm rechtzeitig alle Informationen und die Zusammenarbeit an, die der Kunde benötigt, um seine Meldepflichten bei Datenschutzverletzungen gemäß den geltenden Datenschutzgesetzen (und in Übereinstimmung mit den dort vorgeschriebenen Fristen) zu erfüllen. Ferner ergreift NextRoll alle erforderlichen Maßnahmen, um die Auswirkungen eines bestätigten Sicherheitsvorfalls zu beheben oder mindern. Zudem wird der Kunde über alle Entwicklungen im Zusammenhang mit dem bestätigten Sicherheitsvorfall auf dem Laufenden gehalten.

11. LÖSCHUNG ODER RÜCKGABE VON DATEN

Nach Beendigung oder Ablauf des Vertrags vernichtet NextRoll alle CRM-Daten von Kunden (einschließlich aller Kopien der CMR-Daten von Kunden), die sich in seinem Besitz oder unter seiner Kontrolle befinden (einschließlich aller CRM-Daten von Kunden, die zur Verarbeitung an Dritte weitergegeben wurden), sei es auf Verlangen des Kunden oder in Übereinstimmung mit den unter https://www.nextroll.com/privacy dargelegten Richtlinien von NextRoll zur Datenspeicherung. Dies gilt nicht, wenn NextRoll nach geltendem Recht verpflichtet ist, die CRM-Daten von Kunden ganz oder teilweise aufzubewahren. In diesem Fall wird NextRoll die CRM-Daten von Kunden vor jeglicher weiteren Verarbeitung isolieren und schützen, außer in dem Umfang, in dem dies gesetzlich vorgeschrieben ist, bis eine Löschung möglich ist.

NextRoll kann die Daten zu den Diensten im Einklang mit seinen Aufbewahrungs- und Löschungsrichtlinien aufbewahren.

12. AUDIT

12.1. Hinsichtlich der Verarbeitung von Daten zu den Diensten durch NextRoll stellt NextRoll dem Kunden auf Anfrage Unterlagen zur Verfügung, durch die die Einhaltung dieser Ergänzung zum Datenschutz durch Nextdoor und/oder geltendes Datenschutzrecht sichergestellt werden kann.

12.2. Hinsichtlich der Verarbeitung von CRM-Daten von Kunden durch NextRoll gestattet NextRoll dem Kunden (oder einem von ihm beauftragten Dritten), die Einhaltung dieser Ergänzung des Datenschutzes durch NextRoll im Rahmen eines Audits zu prüfen, und stellt dem Kunden alle Informationen, Systeme und Mitarbeiter zur Verfügung, die der Kunde (oder ein von ihm beauftragter Dritter) für die Durchführung eines solchen Audits benötigt. NextRoll erkennt an, dass der Kunde (oder seine externen Prüfer) die Räumlichkeiten, die NextRoll gehören oder von NextRoll verwaltet werden, nur zum Zwecke der Durchführung dieses Audits betreten darf. Dies gilt unter der Voraussetzung, dass der Kunde NextRoll seine Prüfungsabsicht rechtzeitig im Voraus mitteilt, die Prüfung während der normalen Geschäftszeiten durchführt und alle angemessenen Maßnahmen ergreift, um eine unnötige Störung des Betriebs von NextRoll zu vermeiden. Der Kunde wird von seinen Audit-Rechten (einschließlich der Übermittlung schriftlicher Audit-Fragen an NextRoll) nicht mehr als einmal innerhalb eines Zeitraums von zwölf (12) Kalendermonaten Gebrauch machen, es sei denn, (i) eine zuständige Datenschutzbehörde verlangt dies; oder (ii) der Kunde hält ein weiteres Audit aufgrund eines bestätigten Sicherheitsvorfalls bei NextRoll für notwendig. Der Kunde trägt die alleinige Verantwortung für die Kosten eines solchen Audits. NextRoll ist berechtigt, dem Kunden die Unterstützung, die es im Zusammenhang mit einem solchen Audit leistet, zu den jeweils gültigen Tagessätzen für professionelle Dienstleistungen in Rechnung zu stellen.

12.3. Der Kunde bestätigt, dass NextRoll regelmäßig von unabhängigen dritten Prüfern nach den Normen des SOC 2 geprüft wird. NextRoll stellt dem Kunden auf Anfrage (eine) zusammenfassende Kopie(n) seiner Audit-Berichte zur Verfügung, wobei die Berichte den Vertraulichkeitsbestimmungen dieser Vereinbarung unterliegen.

12.4. Der Kunde erklärt sich damit einverstanden, dass, wenn und soweit er sich für die Durchführung eines Audits hinsichtlich der Verarbeitung von CRM-Daten von Kunden gemäß Klausel 8.9 des Moduls 2 der Standardvertragsklauseln entscheidet, ein solches Audit in Übereinstimmung mit den Anforderungen dieser Klausel 12.2–12.4 durchgeführt wird.

ANHANG II

BESCHREIBUNG DER DATENVERARBEITUNG

Dieser Anhang I ist Teil der Ergänzung zum Datenschutz und beschreibt die Verarbeitung, die NextRoll im Kundenauftrag vornimmt.

A. Liste der beteiligten

Kunde(n)/Datenexporteur(e):

Name:
Der Kunde, der den Vertrag mit NextRoll abgeschlossen hat.
Anschrift:
Die Adresse, die der Kunde bei der Registrierung für die Nutzung der digitalen Marketingplattform von NextRoll angegeben hat..
Name, Position und Kontaktdaten der Kontaktperson:
Die Kontaktdaten, die der Kunde bei der Registrierung für die Nutzung der digitalen Marketingplattform von NextRoll angegeben hat.
Maßnahmen, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:
Die Inanspruchnahme der von NextRoll gemäß der Vereinbarung erbrachten digitalen Marketingdienstleistungen.
Unterschrift und Datum:
Diese Ergänzung zum Datenschutz (einschließlich der Standardvertragsklauseln) gilt mit der Annahme der Vereinbarung durch den Kunden als ausgeführt.
Rolle (Verantwortlicher/Auftragsverarbeiter):
Verantwortlicher (für die CRM-Daten von Kunden)
Verantwortlicher (für die Daten zu den Diensten)

Datenimporteur(e) von NextRoll:

Name:
NextRoll, Inc.
Anschrift:
201 California St Floor 5, Suite 500, San Francisco, CA 94111, USA
Name, Position und Kontaktdaten der Kontaktperson:
Das Datenschutzteam von NextRoll: privacy@nextroll.com
Maßnahmen, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:
Die Erbringung von digitalen Marketingdienstleistungen für den Kunden gemäß der Vereinbarung.
Unterschrift und Datum:
Diese Ergänzung zum Datenschutz (einschließlich der Standardvertragsklauseln) gilt mit der Annahme der Vereinbarung durch den Kunden als ausgeführt.
Rolle (Verantwortlicher/Auftragsverarbeiter):
Auftragsverarbeiter (für die CRM-Daten von Kunden)
Verantwortlicher (für die Daten zu den Diensten)

В. Beschreibung der übertragung

Kategorien von Datensubjekten, deren personenbezogene Daten übermittelt werden:
  • Datensubjekte, die potenzielle und bestehende Kunden des Kunden sind („Kunden-Datensubjekte“)
  • Datensubjekte, die Mitarbeiter des Kunden sind („Mitarbeiter-Datensubjekte“)
  • Datensubjekte, die Websites von Kunden aufrufen, auf denen das NextRoll-Pixel platziert wurde („Endbenutzer des Kunden“)
Kategorien übertragener personenbezogener Daten:
  • Kunden-Datensubjekte: Kontaktinformationen und alle anderen zugehörigen Kontaktinformationen (z. B. E-Mail-Adresse, Name, Adresse, Telefonnummer, Firmenname, Berufsbezeichnung) über Endbenutzer, die der Kunde (als Datenexporteur) NextRoll (als Datenimporteur) zur Verfügung stellt, durch Integrationen Dritter in die vom Kunden bereitgestellten Dienste erhalten oder die NextRoll im Namen des Kunden im Zusammenhang mit den Dienstleistungen erhalten hat.
  • Mitarbeiter-Datensubjekte: E-Mail-Adresse und IP-Adresse
  • Kunden-Endbenutzer: Informationen zum Gerät und zum Surfverhalten auf den Websites der Kunden, die vom NextRoll-Pixel erfasst wurden (z. B. Cookies, Geräteinformationen, IP-Adresse, ungenaue Standortdaten, Browserdaten, Anzeigepixeldaten) sowie nach Einwilligung des Kunden Hash-E-Mail-Adressen, wie sie von den Kunden-Endbenutzern auf der Kundenseite eingegeben wurden.
Übermittlung sensibler Daten (falls zutreffend) und Anwendung von Beschränkungen oder Schutzmechanismen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, so z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich der Bereitstellung des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugriffs auf die Daten, Beschränkungen für die Weiterübermittlung oder ergänzende Sicherheitsmaßnahmen:
  • Keine
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden):
  • Kontinuierlich für die Dauer der Vereinbarung.
Art der Verarbeitung:
  • Die Erbringung von digitalen Marketingdienstleistungen gemäß der Vereinbarung.
Zweck(e) der Datenübermittlung und Weiterverarbeitung:

Die von NextRoll erbrachten digitalen Marketingdienstleistungen umfassen die Verarbeitung von CRM-Daten von Kunden im Kundenauftrag für die folgenden Zwecke:

  • Versenden von zielgruppenorientierten E-Mails an Kunden-Datensubjekte auf Wunsch des Kunden.
  • Abgleich der personenbezogenen Daten der Kunden-Datensubjekte mit den Dienstleistungsdaten von NextRoll und den Online-Daten von Werbepartnern, um die Kunden-Datensubjekte zu erkennen, wenn sie Websites von Drittanbietern besuchen, um Gebote abzugeben und ihnen gezielte Werbung im Namen des Kunden zu präsentieren und die CRM-Daten des Kunden durch identifiziertes Surfverhalten auf den Websites des Kunden und Interaktion mit dem Direktmarketing des Kunden zu ergänzen.
  • Berichterstattung an den Kunden über die Auswirkungen von E-Mail- und Online-Werbekampagnen auf die Kunden-Datensubjekte;
  • Verwendung von E-Mail-Adressen der Mitarbeiter-Datensubjekte als Anmeldedaten für den Zugriff auf die digitale Marketingplattform von NextRoll.

Daten zu den Diensten können von NextRoll auch als Datenverantwortlicher zur Bereitstellung und Verbesserung seiner Kundendienstleistungen verarbeitet werden, einschließlich Anzeigen-Targeting, Berichterstattung, Einblicke und Analysen (zum Zweck der Erstellung von Performance-Berichten) und Anzeigenauswahl.

Die Dauer der Aufbewahrung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien für die Bestimmung dieser Dauer:
  • Wenn der Kunde oder NextRoll selbst die NextRoll-Dienste in Übereinstimmung mit der Vereinbarung explizit kündigt, wird NextRoll die CRM-Daten von Kunden innerhalb von 90 Tagen ab dem Kündigungsdatum löschen.
  • Wenn das Konto eines Kunden für 90 oder mehr Tage ausgesetzt wurde, werden die CRM-Daten von Kunden gelöscht.
  • Wenn ein Kunde sich in den vergangenen 365 Tagen nicht in seinem NextRoll-Konto angemeldet hat, in den letzten 30 Tagen keine Produktverwendung stattgefunden hat und in den letzten 30 Tagen keine Medienausgaben getätigt wurden, werden die CRM-Daten des Kunden am 366. Tag nach der letzten Anmeldung gelöscht.
  • Als Datenverantwortlicher für die Daten zu den Diensten speichert NextRoll die Daten zu den Diensten gemäß seinen Datenaufbewahrungsrichtlinien.
Bei Übermittlungen an Auftrags- bzw. Unterauftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben:
Der Gegenstand, die Art und die Dauer der Verarbeitung sind oben und in der Vereinbarung angegeben.

C. Zuständige aufsichtsbehörde

Nennen Sie die zuständige(n) Aufsichtsbehörde(n) (z. B. gemäß Klausel 13 der Standardvertragsklauseln)
Die zuständige Aufsichtsbehörde wird in Übereinstimmung mit Klausel 13 der Standardvertragsklauseln benannt.

ANHANG II

TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN

Beschreibung der von dem/den Auftragsverarbeiter(n)/Datenimporteur(en) getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger einschlägiger Zertifizierungen) zur Gewährleistung eines angemessenen Sicherheitsniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

 
Messen
Beschreibung
1
Maßnahmen zur Pseudonymisierung und Verschlüsselung von personenbezogenen Daten

NextRoll ist bestrebt, die Erhebung und Verwendung personenbezogener Kundendaten im Designprozess so weit wie möglich zu minimieren.

Wenn personenbezogene Kundendaten verwendet werden, werden sie durch Aggregation, De-Identifizierung oder Hashing pseudonymisiert, es sei denn, die Rohdaten werden für einen legitimen Geschäftszweck benötigt. Wenn die tatsächlichen Daten benötigt werden, werden sie unter Verwendung aktueller Verschlüsselungsstandards verschlüsselt.

2
Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten
Siehe Punkt 4 unten.
3
Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen

Die Systeme von NextRoll sind auf hohe Verfügbarkeit ausgelegt und nutzen die Vorteile skalierbarer und verteilter Architekturen, die mehrere geografische Standorte in AWS einschließen.

NextRoll betreibt eine Systemüberwachung und eine Betriebszentrale, die bei betrieblichen Problemen rund um die Uhr zur Verfügung steht.

NextRoll hat Notfallwiederherstellungspläne erstellt und testet diese regelmäßig. In diesen Plänen ist genau festgelegt, wie die Dienste wiederhergestellt werden sollen. Zudem wurden darin Wiederherstellungszeitpunkte und -ziele sowie spezielle Reaktions- und Meldeverfahren für Vorfälle, die personenbezogene Daten betreffen, festgelegt.

4
Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten

NextRoll führt jährlich eine Prüfung gemäß SOC 2 Typ 2 durch.

NextRoll unterhält ein fortlaufendes Compliance-Programm, anhand dessen die Sicherheitskontrollen und -prozesse automatisch überwacht und Anomalien zur Behebung gemeldet werden.

Darüber hinaus führt NextRoll Schwachstellen-Scans durch, unterhält ein laufendes Bug-Bounty-Programm und lässt alle sechs Monate einen Penetrationstest durch einen Drittanbieter durchführen. Technologien wie Cloud Security Posture Management (CSPM) und Asset Management (CMDB) führen eine kontinuierliche Erkennung von Assets durch, bewerten deren Zustand und priorisieren die Ergebnisse auf der Grundlage des durch sie dargestellten Risikos.

5
Maßnahmen zur Identifizierung und Autorisierung der Nutzer

NextRoll unterhält für seine Anwendungen AdRoll und RollWorks einen zentralen Authentifizierungs- und Autorisierungsdienst, der das einmalige Anmelden (Single Sign-on, SSO) und die Multifaktor-Authentifizierung (MFA) unterstützt. Die Zugriffskontrollen werden auf der Grundlage der Rolle, die dem Benutzer im Anwendungsbereich zugewiesen wurde, durchgesetzt.

Für die Geschäftsanwendungen von NextRoll, einschließlich des Fernzugriffs, verwendet NextRoll eine auf SaaS basierende SSO-Lösung eines Drittanbieters, welche die MFA für alle NextRoll-Nutzer vorschreibt. Auch rollenbasierte Zugriffskontrollen sind vorhanden.

6
Schutzmaßnahmen für die Daten während der Übertragung
Alle Verbindungen über öffentliche Netze zu den kundenseitigen Diensten von NextRoll werden über TLS 1.2 oder höher mit genehmigten kryptografischen Algorithmen verschlüsselt. Die CSPM-Technologie ermöglicht eine kontinuierliche Überwachung der Durchsetzung und meldet Abweichungen.
7
Schutzmaßnahmen für die Daten während der Speicherung
Personenbezogene Kundendaten werden mit modernen Verschlüsselungsstandards verschlüsselt, wie sie in den kryptografischen Standards von NextRoll definiert sind. Die CSPM-Technologie ermöglicht eine kontinuierliche Überwachung der Durchsetzung und meldet Abweichungen. Der Zugang zu Datenspeichern ist rollenbasiert, auf genehmigte Anwendungsfälle beschränkt und wird regelmäßig überprüft.
8
Maßnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden
Die Datenverarbeitung von NextRoll wird von AWS gehostet. Folglich wird die physische Sicherheit als Teil dieses Dienstes von diesem Anbieter bereitgestellt.
9
Maßnahmen zur Sicherstellung der Ereignisprotokollierung

Die Anwendungen, Systeme und Netzwerkdienste von NextRoll erstellen detaillierte Protokolle, einschließlich, aber nicht beschränkt auf: erfolgreiche und fehlgeschlagene Anmeldung, Benutzererstellung, Änderung von Berechtigungen, Datenzugriff, betrügerische Transaktionen und Angriffsversuche.

Die Ereignisse werden an ein zentrales, schreibgeschütztes Repository weitergeleitet und entsprechend analysiert, um potenzielle Sicherheitsprobleme zu identifizieren. Die Lösung für die Verwaltung von Sicherheitsinformationen und Ereignissen (SIEM) normalisiert die Protokolle und wendet Bedrohungsdaten an, um Indikatoren für eine Gefährdung zu ermitteln.

NextRoll unterhält eine Reihe von Sicherheitsprodukten, die spezifische Sicherheitswarnungen auf der Grundlage von Überwachungsregeln für bedingte Ereignisse und Anomalien liefern. Diese werden von Anbietern zur Verfügung gestellt und kontinuierlich zusammen mit intern entwickelten Regeln aktualisiert.

10
Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration

NextRoll speichert standardmäßige Systemkonfigurationen und stellt sie bereit. Diese Images werden mit Tools gescannt, die sicherstellen, dass die Systeme nach den empfohlenen Best Practices konfiguriert sind und keine schwerwiegenden Schwachstellen enthalten.

Die Funktion zur Überwachung der Dateiintegrität (File Integrity Monitoring, FIM) ist vorhanden und meldet Änderungen an das CSPM. In Verbindung mit der CMDB-Lösung ist NextRoll in der Lage, Abweichungen von Standardkonfigurationen zu erkennen.

11
Maßnahmen für die interne IT und IT-Sicherheitsverwaltung

NextRoll verfügt über ein ganzheitliches Sicherheitskonzept, das die von Benutzern, Daten, Systemen und Anbietern ausgehenden Risiken über den gesamten Lebenszyklus hinweg berücksichtigt. Dazu gehören die folgenden Punkte:

  • Die Benutzer werden mit den ihrer Rolle entsprechenden Berechtigungen ausgestattet, unterzeichnen Vertraulichkeitsvereinbarungen und werden in Sicherheits- und Datenschutzrichtlinien und Best Practices geschult. Der Benutzerzugang ist an den Beschäftigungsstatus gebunden, sodass Konten und Rechte bei Beendigung des Beschäftigungsverhältnisses automatisch entzogen werden.
  • Die Benutzer müssen die MFA und sichere Technologien für den Fernzugriff verwenden, um mit einem Zero-Trust-Ansatz auf entsprechende Ressourcen zuzugreifen.
  • Die Geräte haben standardisierte Bedienelemente und sind einheitlich aufgebaut.
  • Die Geräte werden durch eine Unternehmenslösung vor Malware geschützt, die zentral verwaltet wird und in die kontinuierliche Sicherheitsüberwachung integriert ist.
  • Für unternehmensfremde Geräte (BYOD) gilt ein bedingter Zugriff auf Ressourcen auf der Grundlage der Zero-Trust-Architektur. Dies hängt von ihrer Risikobewertung und der für den Zugang zu den Ressourcen erforderlichen Mindestrisikobewertung ab.
  • Die Anbieter werden daraufhin überprüft, dass sie keine inakzeptablen Risiken darstellen.
  • Es wird ein unternehmensweiter Sicherheitsstandard für Endgeräte unterhalten, der die Mindestversion kritischer Software festlegt. Die Systeme werden regelmäßig aktualisiert.
  • Berechtigungen werden regelmäßig überprüft und entzogen.
  • Die Systeme werden am Ende ihrer Lebensdauer gelöscht.
12
Maßnahmen zur Zertifizierung/Absicherung von Prozessen und Produkten

NextRoll stützt sein Sicherheitsprogramm auf das NIST Cybersecurity Framework und nutzt dieses, um dem Sicherheits- und Compliance-Gremium über den Status zu berichten.

NextRoll prüft seine eigenen Prozesse und Produkte und führt mit einem externen Prüfer ein jährliches Audit nach SOC 2 Typ 2 durch.

Zudem bieten CSPM- und CMDB-Technologien Benchmarks, die auf Best Practices und anerkannten Sicherheitsstrukturen basieren.

13
Maßnahmen zur Gewährleistung der Datenminimierung
NextRoll wendet das Prinzip der Datenminimierung als Standard während des Designprozesses an. Alle neuen Verwendungen von personenbezogenen Kundendaten werden auf der Grundlage dieser Anforderung überprüft und genehmigt.
14
Maßnahmen zur Sicherung der Datenqualität
NextRoll verarbeitet personenbezogene Kundendaten, die ihm vom Kunden zur Verfügung gestellt werden. Der Kunde ist für die Richtigkeit seiner personenbezogenen Kundendaten verantwortlich.
15
Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung
NextRoll hat Richtlinien zur Datenspeicherung eingeführt, die auf der Art der gesammelten Daten basieren und automatisch durch TTL-Einstellungen (Time to Live) auf den Datenspeichern durchgesetzt werden.
16
Maßnahmen zur Gewährleistung der Verantwortlichkeit
NextRoll verfügt über eine Governance-Struktur, die eine Reihe von Verantwortlichkeitsmaßnahmen umfasst, darunter die Ernennung eines Datenschutzbeauftragten (Einzelheiten sind in unseren Datenschutzhinweisen aufgeführt: https://nextroll.com/de-DE/privacy), die Umsetzung von „Privacy by Design“, was die Durchführung von Datenschutz-Folgenabschätzungen nach Bedarf beinhaltet, sowie ein Sicherheits- und Compliance-Gremium.
17
Maßnahmen zur Ermöglichung der Datenübertragung und zur Gewährleistung der Datenlöschung
NextRoll verfügt über ein automatisiertes Verfahren zur Löschung personenbezogener Kundendaten auf Anfrage innerhalb des vom anwendbaren Datenschutzrecht vorgeschriebenen Zeitrahmens und ermöglicht das Herunterladen personenbezogener Kundendaten, um sie alternativen Dienstleistern zur Verfügung zu stellen.

Bei Übermittlungen an Auftragsverarbeiter bzw. Unterauftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der Auftragsverarbeiter bzw. Unterauftragsverarbeiter ergreifen muss, um den Kunden (und bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter den Datenexporteur) unterstützen zu können.

Messen
Beschreibung
Datenschutzmaßnahmen im Rahmen der Selbstverwaltung
Die digitale Marketing-Plattform und die Webseite für Datenschutzanfragen von Nextroll (/privacy/requests) ermöglichen es Kunden, sofern nötig auf die personenbezogenen Kundendaten zuzugreifen, sie zu korrigieren oder zu löschen, um Datenschutzanfragen von Datensubjekten nachzukommen.