Datenverarbeitungsvereinbarung (für Kunden, die den europäischen Datenschutzgesetzen, einschließlich denen der Schweiz und des Vereinigten Königreichs und/oder den Datenschutzgesetzen in Australien und in Südafrika unterliegen)

Diese Datenverarbeitungsvereinbarung (nachstehend „DPA“) ist Bestandteil des Rahmenvertrags (wie in den Produktbedingungen definiert) zwischen dem Kunden, der Agentur oder dem Wiederverkäufer (nachstehend „Kunde“, „Sie“ oder „Ihnen“) und der darin benannten Yext-Gesellschaft („Yext“) und spiegelt die vertragliche Vereinbarung der Parteien mit Bezug auf die Verarbeitung von personenbezogenen Daten (wie nachstehend definiert) wider. Für Begriffe, die in der englischen Originalfassung dieser DPA groß geschrieben und nicht anderweitig definiert werden, gelten die Begriffsdefinitionen des Rahmenvertrags oder der Produktbedingungen, die unter diesem Link zu finden sind. Bei Widersprüchlichkeiten zwischen dieser DPA, dem Rahmenvertrag, den Produktbedingungen oder den Standardvertragsklauseln gelten (in folgender Reihenfolge) vorrangig die Bestimmungen der folgenden Dokumente, soweit nicht ausdrücklich eine andere Vereinbarung getroffen wird: (a) die Standardvertragsklauseln, (b) diese DPA, (c) der Rahmenvertrag und (d) die Produktbedingungen.

Für die Zwecke dieser DPA gelten die folgenden Begriffsbestimmungen:

„Verbundenes Unternehmen“ bezeichnet ein Unternehmen, das (i) Yext kontrolliert, (ii) von Yext kontrolliert wird oder (iii) mit Yext unter gemeinsamer Kontrolle steht. Kontrolle über ein anderes Unternehmen bedeutet in diesem Zusammenhang die Macht, die Leitung oder die Geschäftspolitik dieses Unternehmens direkt oder indirekt zu bestimmen, sei es aufgrund der Eigentumsverhältnisse, durch stimmberechtigte Anteile, durch Vertrag oder anderweitig.

„Datenschutzgesetze“ bezeichnet die Richtlinie 2002/58/EG, die DSGVO sowie alle Gesetze und/oder Vorschriften, die diese umsetzen oder auf deren Grundlage erlassen werden oder die diese ändern, ersetzen, ergänzen, wieder in Kraft setzen oder konsolidieren, den Data Protection Act 2018 des Vereinigten Königreichs, Südafrikas Gesetz zum Schutz personenbezogener Daten 4 von 2013 (“POPIA”) und alle anderen einschlägigen Rechtsvorschriften in Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz, die in einer relevanten Jurisdiktion gelten.

„DSGVO“ bedeutet jeweils, soweit dies auf die Verarbeitungsaktivitäten anwendbar ist: (i) die Verordnung (EU) 2016/679; und (ii) die Verordnung (EU) 2016/679 in der durch etwaige Rechtsvorschriften infolge des Austritts des Vereinigten Königreichs aus der Europäischen Union geänderten Fassung;

„Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie der Europäischen Kommission 2010/87/EG vom 5. Februar 2010 (oder Klauseln, die diese im Einklang mit dem anwendbaren Datenschutzrecht ändern, ersetzen, ergänzen, neu fassen oder konsolidieren).

„Personenbezogene Daten“ hat die Bedeutung, die den Begriffen „personenbezogene Daten“ oder „personenbezogene Informationen“ nach geltenden Datenschutzgesetzen zukommt.

„Besondere Kategorien personenbezogener Daten“ hat die Bedeutung, die den Begriffen „besondere Kategorien personenbezogener Daten“, „sensible Daten“ oder „sensible Informationen“ nach den geltenden Datenschutzgesetzen zukommt.

„Aufsichtsbehörde“ bezeichnet die zuständige Datenschutzbehörde in dem Gebiet, in dem der Kunde ansässig ist.

„Drittland“ bezeichnet alle Länder mit Ausnahme derjenigen (i) innerhalb des Europäischen Wirtschaftsraums (EWR), sowie der Schweiz und (ii) Ländern, Gebieten sowie angegebenen Sektoren, für die ein Angemessenheitsbeschluss nach den einschlägigen Datenschutzgesetzen erfolgt ist.

Die Begriffe „Verantwortlicher“, „betroffene Personen“, „Verarbeitung“ (wobei der Begriff „Verarbeitungsverfahren“ entsprechend auszulegen ist), „Verletzung des Schutzes personenbezogener Daten“ und „Auftragsverarbeiter“ haben die Bedeutungen, die in den einschlägigen Datenschutzgesetzen definiert sind.

1. Sie stimmen zu, dass Sie ein Verantwortlicher für die personenbezogenen Daten Ihrer Endkunden, Mitarbeiter und Webseiten-Besucher sind (wobei im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers Ihre Kunden als Verantwortliche der personenbezogenen Daten ihrer jeweiligen Endkunden, Mitarbeiter und Webseiten-Besucher zu betrachten sind), die Yext im Zuge der Bereitstellung der Produkte gegebenenfalls bereitgestellt werden oder die von Yext erzeugt werden (nachstehend „personenbezogene Kundendaten“). Sie erklären sich damit einverstanden, dass alle personenbezogenen Kundendaten, die Sie Yext im Zusammenhang mit den Produkten zur Verfügung stellen, von Ihnen in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden. Yext trägt keine Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Yext zur Verfügung gestellten personenbezogenen Kundendaten und der Mittel, mit denen diese personenbezogenen Kundendaten erworben wurden, bevor sie Yext bereitgestellt wurden.
2. Sie erkennen an, dass Yext (oder im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers die Agentur bzw. der Wiederverkäufer) bestimmte personenbezogene Daten zur Einrichtung und Verwaltung des Kundenkontos und der Kundenbeziehung benötigt. Yext (bzw. die Agentur oder Wiederverkäufer) wird diese personenbezogenen Daten als Verantwortlicher verarbeiten.
3. Yext handelt bei der Verarbeitung personenbezogener Kundendaten im Zusammenhang mit der Bereitstellung von Listings, Reviews und anderer Produkte wie Events, Answers, Knowledge Tags and Pages (auch im Hinblick auf Cookies oder Tracking-Technologien, die Teil der Produkt-Funktionalität für Analytikzwecke sind wie Conversion Tracking) als Auftragsverarbeiter (im Falle eines Vermittlungsverhältnisses oder eines Wiederverkäufers ist der Wiederverkäufer der Auftragsverarbeiter und Yext der Unterauftragsverarbeiter).
4. Soweit Yext ein Auftragsverarbeiter (oder ein Unterauftragsverarbeiter) ist, gelten die folgenden Ziffern 5 bis 15 für die Verarbeitung der personenbezogenen Kundendaten. Sie und Yext sind sich einig, dass Sie und Yext zusätzlich zu den Ziffern 5-15 alle zusätzlichen länderspezifischen Bestimmungen einhalten werden, soweit die Datenschutzgesetze eines in Anlage 3 genannten Landes auf die Verarbeitung personenbezogener Kundendaten anwendbar sind.
5. Yext verarbeitet die personenbezogenen Kundendaten ausschließlich nach Maßgabe der dokumentierten Anweisungen, die in dieser DPA und dem Rahmenvertrag (einschließlich der Produktbedingungen) festgelegt sind, und verarbeitet personenbezogene Kundendaten ausschließlich dann für andere Zwecke, wenn hierzu eine Rechtspflicht besteht; in diesem Fall unterrichtet Yext Sie vor einer Verarbeitung über diese Rechtspflicht, soweit dies rechtlich zulässig ist. Wenn Sie Agentur oder Wiederverkäufer sind, tragen Sie dafür Sorge, dass Ihre Vertragsvereinbarung mit Ihren Kunden geeignete Bestimmungen enthält, die es Ihnen ermöglichen, ihre personenbezogene Kundendaten zu verarbeiten und mit denen sichergestellt wird, dass diese die erforderliche Einwilligung zur Untervergabe der Verarbeitung der personenbezogenen Kundendaten an Yext und andere Unterauftragsverarbeiter zu Bedingungen erteilt haben, die denen in dieser DPA im Wesentlichen entsprechen.
6. Gegenstand der Datenverarbeitung ist die Bereitstellung der Produkte, und die Verarbeitung erfolgt bis an dem Tag, zu dem Yext die Bereitstellung der Produkte für Sie einstellt. Ihre Rechte und Pflichten regelt der Rahmenvertrag. In Anlage 1 dieser DPA werden Art und Zweck der Verarbeitung, die Arten von personenbezogenen Daten, die Yext verarbeitet, und die Kategorien von betroffenen Personen festgelegt, deren personenbezogene Daten verarbeitet werden.
7. Yext setzt geeignete technische und organisatorische Sicherheitsmaßnahmen um (und stellt dabei auch sicher, dass Mitarbeiter von Yext, die zur Verarbeitung der personenbezogenen Kundendaten berechtigt sind, sich entsprechenden Verschwiegenheitspflichten unterworfen haben), um ein Maß an Sicherheit zu gewährleisten, das den Risiken, die mit der Verarbeitung von personenbezogenen Kundendaten verbunden sind, angemessen ist; dies schließt unter anderem auch die Maßnahmen ein, die in den einschlägigen Datenschutzgesetzen vorgesehen sind. Einzelheiten zu diesen Maßnahmen sind in Anlage 2 geregelt.
8. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die möglicherweise personenbezogene Kundendaten betrifft, setzt Yext den fraglichen Verantwortlichen (über die uns bekannten E-Mail-Adresse) (oder im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers den Wiederverkäufer oder die Agentur) hierüber unverzüglich in Kenntnis, sobald uns die Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
9. Yext stellt die Informationen und Unterstützung bereit, die unter Anlegung vernünftiger Maßstäbe benötigt werden (und innerhalb des geforderten angemessenen Zeitrahmens), um es dem Verantwortlichen zu ermöglichen, seinen Pflichten nach den geltenden Datenschutzgesetzen nachzukommen, einschließlich der Unterstützung für: (i) die Erfüllung der Sicherheitspflichten des Verantwortlichen, (ii) die Erfüllung seiner Pflichten zur Beantwortung von Anfragen zur Ausübung der Rechte von betroffenen Personen, (iii) die Durchführung einer Datenschutzfolgenabschätzung und die Überprüfung der Verarbeitungsprozesse um sicherzustellen, dass sie nach Maßgabe der Datenschutzfolgenabschätzung erfolgt, und um Rücksprache mit der zuständigen Aufsichtsbehörde (soweit gegeben) zu halten. Die Kosten für die Unterstützung seitens Yext nach Maßgabe dieser Regelung gehen zu Lasten des Verantwortlichen. Der Verantwortliche kann eine solche Unterstützung per E-Mail an privacy@yext.com Yext hat den Verantwortlichen über alle Anfragen in Kenntnis zu setzen, die direkt von betroffenen Personen eingehen.
10. Yext unterzieht die Sicherheit der Rechner und Rechenumgebungen, die er für die Verarbeitung von personenbezogenen Kundendaten einsetzt, einer förmlichen Prüfung. Die förmliche Prüfung (a) wird mindestens jährlich durchgeführt, (b) kann nach Wahl und auf Kosten von Yext von unabhängigen externen Sicherheitsexperten durchgeführt werden, (c) wird entsprechend dem Standard SOC2 durchgeführt und (d) resultiert in der Erstellung eines Prüfberichts (nachstehend „Bericht“), der vertrauliche Informationen von Yext darstellt. Nach entsprechender schriftlicher Aufforderung durch Sie übermittelt Yext Ihnen eine vertrauliche Abschrift des Berichts, sodass Sie die Einhaltung der vertragsgegenständlichen Sicherheitspflichten von Yext in angemessener Weise überprüfen können.
11. Wenn Sie diese Anweisung mit Bezug auf die Wahrnehmung des Rechts auf förmliche Prüfung oder die Bereitstellung von Informationen ändern möchten, um die Einhaltung von Artikel 28 der DSGVO nachzuweisen, sind Sie (auf eigene Kosten) berechtigt, diese Anweisung zu ändern (wobei diese Änderung schriftlich erfolgen muss), stets vorausgesetzt jedoch, dass Yext nicht zur Bereitstellung von vertraulichen Informationen verpflichtet ist.
12. Yext unterrichtet den Verantwortlichen (oder im Fall eines Wiederverkäufers oder Vermittlungsverhältnisses, den Wiederverkäufer oder die Agentur) umgehend, wenn Yext der Auffassung ist, dass eine Ihrer nach Maßgabe von Ziffer 11 erteilten Anweisungen einen Verstoß einschlägiger Datenschutzgesetze darstellt, und Yext ist berechtigt, jedoch nicht verpflichtet, die Ausführung der betreffenden Anweisungen auszusetzen, bis diese schriftlich bestätigt worden sind.
13. Nach Beendigung des Rahmenvertrags löscht Yext auf Ihre schriftliche Anforderung alle personenbezogenen Kundendaten bzw. gibt diese an Sie zurück, soweit dies rechtlich zulässig ist.
14. Sie erkennen ausdrücklich an, dass Yext geeignete verbundene Unternehmen und andere geeignete Dritte als Unterauftragsverarbeiter (nachstehend zusammenfassend als „Unterauftragsverarbeiter“ bezeichnet) in Verbindung mit der Verarbeitung von personenbezogenen Kundendaten einsetzen kann, wobei jeder dieser Unterauftragsverarbeiter durch schriftliche Vereinbarung Datenschutzpflichten unterworfen sein muss, die nicht weniger schützend sind als diejenigen, die Yext im Rahmen dieses DPA auferlegt werden. Yext haftet Ihnen gegenüber für die Erfüllung dieser Pflichten durch die Unterauftragsverarbeiter. Eine Liste der Unterauftragsverarbeiter steht unter https://www.yext.com/terms/subprocessors/ zur Verfügung, ebenso ein Mechanismus, mit dem Sie über neue Unterauftragsverarbeiter unterrichtet werden; Sie verpflichten sich, diesen Mechanismus zu abonnieren. Sie können dem Einsatz eines neuen Unterauftragsverarbeiters durch Yext durch schriftliche Mitteilung innerhalb einer Frist von zehn (10) Tagen nach Eingang einer Mitteilung nach Maßgabe des im vorstehenden Satze festgelegten Mechanismus widersprechen. Berechtigte Widersprüche gegen einen Unterauftragsverarbeiter müssen mit Bezug auf eine Nichteinhaltung anwendbarer Datenschutzgesetze angemessen begründet und belegt werden. Wenn der jeweilige Widerspruch nach vernünftigem Ermessen von Yext berechtigt ist, sieht Yext vom Einsatz des betreffenden Unterauftragsverarbeiters im Zusammenhang mit der Verarbeitung von personenbezogenen Kundendaten ab. In diesem Fall unternimmt Yext angemessene Anstrengungen (i) Ihnen eine Änderung in den Produkten von Yext bereitzustellen oder (ii) Ihnen eine Änderung Ihrer Konfigurierung oder Nutzung der Produkte mit dem Ziel zu empfehlen, dass eine Verarbeitung von personenbezogenen Kundendaten durch den abgelehnten Unterauftragsverarbeiter vermieden wird. Kann Yext eine solche Änderung nicht innerhalb einer angemessenen Frist bereitstellen, so sind Sie berechtigt, die Produkte, die von Yext nicht ohne den Einsatz des abgelehnten Unterauftragsverarbeiters bereitgestellt werden können, durch schriftliche Mitteilung an Yext zu beenden. Yext erstattet Ihnen alle bereits entrichteten Gebühren für die restliche Laufzeit der betreffenden Produkte, gemessen ab dem Wirksamwerden der Beendigung des jeweils betreffenden Produkts.
15. Sie erkennen an, dass die personenbezogenen Kundendaten als Bestandteil der Produkte im Vereinigten Königreich, den USA oder in einem anderen Drittland, in dem die Unterauftragsverarbeiter von Yext Einrichtungen unterhalten, gespeichert werden oder dass von dort aus ein Zugriff auf die Daten erfolgen kann.
16. Soweit nach den geltenden Datenschutzgesetzen erforderlich, verpflichtet sich Yext, die Verpflichtungen für Datenimporteure gemäß den Standardvertragsklauseln einzuhalten, die hiermit durch Verweis in diese DPA aufgenommen werden. Yext erkennt an, dass Sie (oder Ihr Endkunde im Falle eines Wiederverkäufers oder einer Agentur) der Datenexporteur sind. Insbesondere gilt ohne Einschränkung der vorstehenden Verpflichtungen:
    • Yext erklärt sich bereit, betroffenen Personen Drittbegünstigtenrechte einzuräumen, wie in Klausel 3 der Standardvertragsklauseln geregelt, mit der Maßgabe, dass die Haftung von Yext auf seine eigenen Verarbeitungsvorgänge beschränkt ist;
    • Yext erklärt sich damit einverstanden, dass seine Verpflichtungen nach den Standardvertragsklauseln dem/den Gesetz(en) des Mitgliedstaates bzw. der Mitgliedstaaten unterliegen, in dem/in denen der Datenexporteur gemäß Klausel 5(h) und 11 der Standardvertragsklauseln niedergelassen ist; Yext kann Unterauftragsverarbeiter im Zusammenhang mit der Verarbeitung personenbezogener Kundendaten gemäß Ziffer 14 dieser DPA beauftragen und austauschen;
    • bei Kopien von Unterauftragsverarbeiter-Verträgen, die dem Datenexporteur gemäß Klausel 5(j) der Standardvertragsklauseln übergeben werden müssen, können alle Geschäftsinformationen oder Klauseln, die keinen Bezug zu den Standardvertragsklauseln oder deren Äquivalent haben, vorher von Yext entfernt werden; und solche Kopien werden von Yext in einer nach dem Ermessen von Yext zu bestimmenden Weise innerhalb von 30 Tagen nach einer Anfrage an privacy@yext.com bereitgestellt;
    • etwaige Prüfungsrechte gemäß Klausel 5(f) und 12(2) der Standardvertragsklauseln werden gemäß Ziffer 10 und 11 dieser DPA ausgeübt;
    • die Einzelheiten der für die Standardvertragsklauseln geltenden Anhänge sind in Anlage 1 und die erforderlichen Sicherheitsmaßnahmen in Anlage 2 geregelt.
17. Soweit Yext Unterauftragsverarbeiter (wie z.B. Yext, Inc.) in einem Drittland einsetzt, ergreift Yext geeignete Maßnahmen, um einen angemessenen Schutz in Bezug auf Datenübertragungen im Sinne der geltenden Datenschutzgesetze zu gewährleisten, wie etwa durch die Nutzung von Standardvertragsklauseln oder durch die durchgreifende Implementierung von Bestimmungen, die mindestens den gleichen Schutz gewähren wie Standardvertragsklauseln.

 

ANLAGE 1

Informationen zur Datenverarbeitung

Betroffene Personen

 Die übertragenen personenbezogenen Kundendaten betreffen die folgenden Kategorien betroffener Personen:

Mitarbeiter des Kunden, falls der Kunde das Produkt Listings (Teil des Listings-Produktes oder der Starter-, Professional- und Ultimate-Pakete) und/oder Events nutzt und beschließt, solche Informationen in Listings und/oder Events bereitzustellen.

Webseiten-Besucher der Listing-Inhalte und/oder Event-Inhalte auf den betreffenden Publisher-Webseiten, falls sich der Kunde entscheidet, Conversion Tracking zu nutzen (dies ist eine freiwillige Entscheidung des Kunden).

Personen, die Bewertungen online auf relevanten Publisher-Webseiten einreichen, falls der Kunde das Produkt Review Monitoring nutzt (Teil des Reviews-Produktes oder der Professional- und Ultimate-Pakete).

Personen, die Bewertungen beim Kunden einreichen, falls ein Kunde das Produkt Review Generation nutzt (Teil des Reviews-Produktes oder des Ultimate-Paketes).

Die Besucher der Page-basierten Webseiten des Kunden, falls der Kunde das Produkt Pages abonniert.

Die Besucher der Webseiten des Kunden, die Knowledge Tags benutzen, falls der Kunde das Produkt Knowledge Tags abonniert.

Die Besucher der Webseiten des Kunden, die Answers benutzen, falls der Kunde das Produkt Answers abonniert.

Webseiten-Besucher von Pages, Knowledge Tags und/oder Answers, falls der Kunde sich entscheidet, Conversion Tracking zu nutzen (dies ist eine freiwillige Entscheidung des Kunden).

Arten personenbezogener Daten

Die übertragenen personenbezogenen Kundendaten betreffen die folgenden Arten personenbezogener Daten:

Falls der Kunde solche Informationen als Teil von Listings oder Events bereitstellt, wird Yext Namen, Kontaktangaben, E-Mail-Adresse, Lebenslauf und/oder Titel von Mitarbeitern des Kunden verarbeiten.

Falls der Kunde sich (auf freiwilliger Basis) im Rahmen der Listings- oder Events-Inhalte auf den Publisher-Webseiten zum Einsatz der Tracking-Technologien entscheidet, die Teil des Conversion Trackings sind, kann Yext außerdem (i) technische Informationen über das Gerät des Besuchers , einschließlich der IP-Adresse, der eingestellten Zeitzone, des Betriebssystems, der Plattform, des Browsertyps und der Browserversion des Geräts („Technische Informationen“), und (ii) Informationen über den Besuch erfassen, einschließlich des URL-Clickstreams von den, zu den und durch Yext-Produkte, Produkte, die angezeigt oder gesucht worden sind, die Inhalte (und Werbeanzeigen) die angesehen oder mit denen interagiert wurde, Seitenantwortzeiten, Downloadfehler, die Verweilzeit auf bestimmten Seiten, Informationen über die Interaktion mit Seiten (z.B. Scrolling, Klicks und Mouse-over) und die Methoden, die zum Verlassen der Seite benutzt wurden („Nutzungsdaten“).

Die Namen oder Aliasnamen von Personen, die Bewertungen online auf relevanten Publisher-Webseiten einreichen und den Inhalt einer solchen Bewertung, falls der Kunde das Produkt Review Monitoring nutzt (Teil des Reviews-Produktes oder der Professional- und Ultimate-Pakete).

Soweit der Kunde das Produkt Review Generation nutzt (Teil des Reviews-Produktes oder des Ultimate-Paketes), den Namen und die E-Mail-Adresse oder Mobilnummer der Person, die eine Bewertung beim Kunden einreicht, sowie den Inhalt der Bewertung.

Falls der Kunde das Produkt Pages abonniert, werden die Technischen Informationen und Nutzungsdaten von Webseiten-Besuchern mit Hilfe von Tracking-Technologien erfasst.

Falls der Kunde das Produkt Knowledge Tags abonniert, werden Technische Informationen und Nutzungsdaten mit Hilfe von Tracking-Technologien erfasst.

Falls der Kunde das Produkt Answers abonniert, so werden in Abhängigkeit von den vom Kunden gewählten Produkt-Optionen technische Informationen über das Gerät des Besuchers (einschließlich der IP-Adresse des Geräts, der Art und Version des Browsers, der eingestellten Zeitzone, des Betriebssystems und der Plattform) und der Nutzungsinformationen über den Besuch (einschließlich des URL-Clickstreams von den, zu den und durch die von Yext betriebenen Produkte, die angesehenen oder gesuchten Produkte, die Inhalte, die angesehen werden oder mit denen interagiert wird, Seitenantwortzeiten, Downloadfehler, die Verweilzeit auf bestimmten Seiten, Informationen über die Interaktion mit Seiten (z.B. Scrolling, Klicks und Mouse-over) und die Methoden, die zum Verlassen der Seite benutzt wurden)) mit Hilfe von Tracking-Technologien erfasst. Falls ein Kunde sich dafür entscheidet, die Q&A-Funktion von Answers zu aktivieren, können Besucher auch ihren Namen und ihre E-Mail-Adresse eingeben. Diese Daten werden in Yext gesammelt und gespeichert.

Entscheidet sich der Kunde freiwillig dazu, die Tracking-Technologien, die Teil des Conversion Trackings sind, im Rahmen von Pages, Knowledge Tags oder Answers zu nutzen, werden Technische Informationen und Nutzungsdaten mit Hilfe dieser Tracking-Technologien gesammelt.

Besondere Kategorien von personenbezogenen Daten  

Die übertragenen personenbezogenen Kundendaten betreffen die folgenden besonderen Kategorien personenbezogener Daten:

Nicht zutreffend;

Yext erfasst oder verarbeitet im Zuge der Bereitstellung seiner Produkte und Dienste keine besonderen Kategorien von personenbezogenen Daten vorsätzlich. Der Kunde verpflichtet sich, Yext zu keiner Zeit besondere Kategorien von personenbezogenen Daten zur Verfügung zu stellen.

Verarbeitungsvorgänge

Die übertragenen personenbezogenen Kundendaten unterliegen den folgenden grundlegenden Verarbeitungsmaßnahmen:

Sammlung, Offenlegung durch Übertragung und Verbreitung, Hosting, Pflege, Organisation, Speicherung und Support.

 

ANLAGE 2
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

1. Zugangskontrolle bei Verarbeitungsbereichen

Yext ergreift geeignete Maßnahmen, um zu verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen erhalten, die zur Verarbeitung der personenbezogenen Kundendaten verwendet werden. Dies geschieht insbesondere durch:

• Zutrittskontrollsystem
• Kartengesteuerten Zutritt/Zugriff
• Schlüsselausgabe
• Türverriegelung
• Überwachungsanlagen – Videoüberwachung
• Alarmsystem
• Präsenz von Sicherheitspersonal während der Geschäftszeiten, und für bestimmte Einrichtungen während zusätzlicher Zeiten

2. Zugriffskontrolle auf Datenverarbeitungssysteme

Yext ergreift geeignete Maßnahmen, um zu verhindern, dass Unbefugte seine Datenverarbeitungssysteme nutzen können. Dies geschieht insbesondere durch:

• Passwortverfahren (einschließlich Mindestlänge, Passwortänderung)
• Erforderliche Genehmigungserteilung durch das Personalmanagement und die IT-Systemadministratoren für den Zugriff auf IT-Systeme
• Überprüfung der Zugriffskontrollen, um zu gewährleisten, dass die Berechtigungen für Abgänge und Umzüge angepasst werden

3. Zugriffskontrolle für spezifische Bereiche der Datenverarbeitungssysteme

Yext stellt sicher, dass die zur Nutzung seiner Datenverarbeitungssysteme berechtigten Personen nur im Rahmen und im Umfang ihrer jeweiligen Zugriffsberechtigung (Autorisierung) auf die personenbezogenen Kundendaten zugreifen können und dass die personenbezogenen Kundendaten nicht ohne Befugnis gelesen, kopiert, verändert oder entfernt werden können. Dies geschieht insbesondere durch:

• Differenzierte Zugriffsrechte
• Definition der Zugriffsrechte im Einklang mit den Aufgaben
• Automatische Protokollierung des Benutzerzugriffs bei bestimmten IT-Systemen

4. Übertragungskontrolle

Yext ergreift geeignete Maßnahmen, um zu verhindern, dass die personenbezogenen Kundendaten während ihrer Übertragung oder während des Transports der Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können und um zu gewährleisten, dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung der personenbezogenen Kundendaten mittels Datenübertragungseinrichtungen erfolgen soll. Dies geschieht insbesondere durch:

• Benutzung eines vollständig unternehmenseigenen privaten Netzwerks für sämtliche Datenübertragungen innerhalb von Yext
• Verschlüsselung mittels VPN für Fernzugriff, Transport und Kommunikation von Daten
• Verbot nicht verschlüsselter USBs und CD-ROMs

5. Anweisungskontrolle

Yext stellt sicher, dass personenbezogene Kundendaten nur im Einklang mit den dokumentierten Anweisungen verarbeitet werden dürfen, die in dieser DPA und dem Rahmenvertrag (einschließlich der Produktbedingungen) geregelt sind. Dies geschieht durch:

• Eindeutige Formulierung vertraglicher Anweisungen

6. Verfügbarkeitskontrolle

Yext ergreift geeignete Maßnahmen, um sicherzustellen, dass die personenbezogenen Kundendaten vor versehentlicher Vernichtung oder Verlust geschützt sind. Dies geschieht insbesondere durch:

• Backup-Verfahren
• Unterbrechungsfreie Stromversorgung (USV)
• Remote-Speicherung
• Antiviren-/Firewall-Systeme

7. Trennung der Verarbeitung für verschiedene Zwecke

Yext ergreift geeignete Maßnahmen, um sicherzustellen, dass personenbezogene Kundendaten, die für verschiedene Zwecke bestimmt sind, gesondert verarbeitet werden können. Dies geschieht insbesondere durch:

• Trennung von Geschäfts-IT-Systemen
• Trennung von IT-Test- und Produktionsumgebungen

 

ANLAGE 3

LÄNDERSPEZIFISCHE BEDINGUNGEN

AUSTRALIEN

Yext wird in Bezug auf alle von Yext verarbeiteten personenbezogenen Kundendaten die australischen Datenschutzgrundsätze (APPs) (mit Ausnahme von APP 1) einhalten, die in Schedule 1 des Privacy Act 1988 (Cth) („Privacy Act“) geregelt sind.

Wenn Yext den betreffenden Verantwortlichen (bzw. den Wiederverkäufer oder die Agentur) gemäß Ziffer 8 benachrichtigt, wird Yext anschließend den betreffenden Verantwortlichen, dem Wiederverkäufer oder der Agentur die Unterstützung und die Informationen gewähren, die von diesem Verantwortlichen, dem Wiederverkäufer oder der Agentur vernünftigerweise benötigt werden, um ihre Verpflichtungen gemäß Part IIIC des Privacy Act zu erfüllen.

Soweit dies erforderlich ist, haben Sie sicherzustellen, dass Sie über die entsprechenden Einwilligungen verfügen, die es Ihnen gestatten, Yext zur Verarbeitung personenbezogener Kundendaten gemäß dem Spam Act 2003 zu verarbeiten.