Datenverarbeitungsvereinbarung

(für Kunden, die den europäischen Datenschutzgesetzen, einschließlich der Schweiz und des Vereinigten Königreichs und/oder den Datenschutzgesetzen in Südafrika unterliegen)

Diese Datenverarbeitungsvereinbarung (nachstehend „DPA“) ist Bestandteil des Rahmenvertrags (wie in den Produktbedingungen definiert) zwischen dem Kunden, der Agentur oder dem Wiederverkäufer (nachstehend „Kunde“, „Sie“ oder „Ihnen) und der darin benannten Yext-Gesellschaft („Yext“) und spiegelt die vertragliche Vereinbarung der Parteien mit Bezug auf die Verarbeitung von personenbezogenen Daten (wie nachstehend definiert) wider. Für Begriffe, die in der englischen Originalfassung dieser DPA groß geschrieben und nicht anderweitig definiert werden, gelten die Begriffsdefinitionen des Rahmenvertrags oder der Produktbedingungen, die unter diesem Link zu finden sind. Bei Widersprüchlichkeiten zwischen dieser DPA, dem Rahmenvertrag, den Produktbedingungen oder den Standardvertragsklauseln, gelten (in folgender Reihenfolge) vorrangig die Bestimmungen der folgenden Dokumente, soweit nicht ausdrücklich eine andere Vereinbarung getroffen wird: (a) die Standardvertragsklauseln, (b) diese DPA, (c) der Rahmenvertrag und (d) die Produktbedingungen.

Für die Zwecke dieser DPA gelten die folgenden Begriffsbestimmungen:

Verbundenes Unternehmen“ bezeichnet ein Unternehmen, das (i) Yext kontrolliert, (ii) von Yext kontrolliert wird oder (iii) mit Yext unter gemeinsamer Kontrolle steht. Kontrolle über ein anderes Unternehmen bedeutet in diesem Zusammenhang die Macht, die Leitung oder die Geschäftspolitik dieses Unternehmens direkt oder indirekt zu bestimmen, sei es aufgrund der Eigentumsverhältnisse, durch stimmberechtigte Anteile, durch Vertrag oder anderweitig.

Datenschutzgesetze“ bezeichnet die Richtlinie 2002/58/EG, die Datenschutz-Grundverordnung 2016/679 sowie alle Gesetze und/oder Vorschriften, die diese umsetzen oder auf deren Grundlage erlassen werden oder die diese ändern, ersetzen, ergänzen, wieder in Kraft setzen oder konsolidieren, das Gesetz zum Schutz personenbezogener Daten 4 von 2013 (“POPIA”) und alle anderen einschlägigen Rechtsvorschriften in Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz, die in einer relevanten Jurisdiktion gelten.

Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie der Europäischen Kommission 95/46/EG vom 5. Februar 2010 (in ihrer jeweils geltenden Fassung).

Betreffendes Land“ bezeichnet alle Länder mit Ausnahme derjenigen (i) innerhalb des Europäischen Wirtschaftsraums (EWR), sowie der Schweiz und (ii) Ländern, Gebieten sowie angegebenen Sektoren, für die eine Angemessenheitsfeststellung nach den einschlägigen Datenschutzgesetzen erfolgt ist.

Die Begriffe „Verantwortlicher“, „betroffene Personen“, „personenbezogene Daten“, „Verarbeitung“ (wobei der Begriff „Verarbeitungsverfahren“ entsprechend auszulegen ist), „Verletzung des Schutzes personenbezogener Daten“, „Auftragsverarbeiter“ und „Aufsichtsbehörde“ haben die Bedeutungen, die in den einschlägigen Datenschutzgesetzen definiert ist.

  1. Sie stimmen zu, dass Sie ein Verantwortlicher für die personenbezogenen Daten Ihrer Endkunden, Mitarbeiter und Webseiten-Besucher sind (wobei im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers Ihre Kunden als Verantwortliche der personenbezogenen Daten ihrer jeweiligen Endkunden, Mitarbeiter und Webseiten-Besucher zu betrachten sind), die Yext im Zuge der Bereitstellung der Produkte gegebenenfalls bereitgestellt werden oder die von Yext erzeugt werden (nachstehend „personenbezogene Kundendaten“). Sie erklären sich damit einverstanden, dass alle personenbezogenen Kundendaten, die Sie Yext im Zusammenhang mit den Produkten zur Verfügung stellen, von Ihnen in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden. Sie tragen die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Yext zur Verfügung gestellten personenbezogenen Kundendaten und der Mittel, mit denen Sie diese personenbezogenen Kundendaten erworben haben
  2. Sie erkennen an, dass Yext (oder im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers die Agentur bzw. der Wiederverkäufer) bestimmte personenbezogene Daten zur Einrichtung und Verwaltung des Kundenkontos und der Kundenbeziehung benötigt. Yext (bzw. die Agentur oder Wiederverkäufer) wird diese personenbezogenen Daten als Verantwortlicher verarbeiten.
  3. Yext handelt bei der Verarbeitung personenbezogener Kundendaten im Zusammenhang mit der Bereitstellung von Listings, Reviews und anderer Produkte wie Events, Answers, Knowledge Tags and Pages (auch im Hinblick auf Cookies oder Tracking-Technologien, die Teil der Produkt-Funktionalität für Analytikzwecke sind wie Conversion Tracking) als Auftragsverarbeiter (im Falle eines Vermittlungsverhältnisses oder eines Wiederverkäufers ist der Wiederverkäufer der Auftragsverarbeiter und Yext der Unterauftragsverarbeiter).
  4. Soweit Yext ein Auftragsverarbeiter (oder ein Unterauftragsverarbeiter) ist, gelten die folgenden Ziffern 5 bis 15 für die Verarbeitung der personenbezogenen Kundendaten.
  5. Yext verarbeitet die personenbezogenen Kundendaten ausschließlich nach Maßgabe der dokumentierten Anweisungen, die in dieser DPA und dem Rahmenvertrag (einschließlich der Produktbedingungen) festgelegt sind, und verarbeitet personenbezogene Kundendaten ausschließlich dann für andere Zwecke, wenn hierzu eine Rechtspflicht besteht; in diesem Fall unterrichtet Yext Sie vor einer Verarbeitung über diese Rechtspflicht, soweit dies rechtlich zulässig ist. Wenn Sie Agentur oder Wiederverkäufer sind, tragen Sie dafür Sorge, dass Ihre Vertragsvereinbarung mit Ihren Kunden geeignete Bestimmungen enthält, die es Ihnen ermöglichen, ihre personenbezogene Kundendaten zu verarbeiten und mit denen sichergestellt wird, dass diese die erforderliche Einwilligung zur Untervergabe der Verarbeitung der personenbezogenen Kundendaten an Yext und andere Unterauftragsverarbeiter zu Bedingungen erteilt haben, die denen in dieser DPA im Wesentlichen entsprechen.
  6. Gegenstand der Datenverarbeitung ist die Bereitstellung der Produkte, und die Verarbeitung erfolgt bis an dem Tag, zu dem Yext die Bereitstellung der Produkte für Sie einstellt. Ihre Rechte und Pflichten regelt der Rahmenvertrag. In Anlage 1 dieser DPA werden Art und Zweck der Verarbeitung, die Arten von personenbezogenen Daten, die Yext verarbeitet, und die Kategorien von betroffenen Personen festgelegt, deren personenbezogene Daten verarbeitet werden.
  7. Yext setzt geeignete technische und organisatorische Sicherheitsmaßnahmen um (und stellt dabei auch sicher, dass Mitarbeiter von Yext, die zur Verarbeitung der personenbezogenen Kundendaten berechtigt sind, sich entsprechenden Verschwiegenheitspflichten unterworfen haben), um ein Maß an Sicherheit zu gewährleisten, das den Risiken, die mit der Verarbeitung von personenbezogenen Kundendaten verbunden sind, angemessen ist; dies schließt unter anderem auch die Maßnahmen ein, die in den einschlägigen Datenschutzgesetzen vorgesehen sind.
  8. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die möglicherweise personenbezogene Kundendaten betrifft, setzt Yext den fraglichen Verantwortlichen (über die uns bekannten E-Mail-Adresse) (oder im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers den Wiederverkäufer oder die Agentur) hierüber unverzüglich in Kenntnis, sobald uns die Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
  9. Yext stellt die Informationen und Unterstützung bereit, die unter Anlegung vernünftiger Maßstäbe benötigt werden (und innerhalb des geforderten angemessenen Zeitrahmens), um es dem Verantwortlichen zu ermöglichen, seinen Pflichten nach den geltenden Datenschutzgesetzen nachzukommen, einschließlich der Unterstützung für: (i) die Erfüllung der Sicherheitspflichten des Verantwortlichen, (ii) die Erfüllung seiner Pflichten zur Beantwortung von Anfragen zur Ausübung der Rechte von betroffenen Personen, (iii) die Durchführung einer Datenschutzfolgenabschätzung und die Überprüfung der Verarbeitungsprozesse um sicherzustellen, dass sie nach Maßgabe der Datenschutzfolgenabschätzung erfolgt, und um Rücksprache mit der zuständigen Aufsichtsbehörde (soweit gegeben) zu halten. Die Kosten für die Unterstützung seitens Yext nach Maßgabe dieser Regelung gehen zu Lasten des Verantwortlichen.
  10. Yext unterzieht die Sicherheit der Rechner und Rechenumgebungen, die er für die Verarbeitung von personenbezogenen Kundendaten einsetzt, einer förmlichen Prüfung. Die förmliche Prüfung (a) wird mindestens jährlich durchgeführt, (b) kann nach Wahl und auf Kosten von Yext von unabhängigen externen Sicherheitsexperten durchgeführt werden, (c) wird entsprechend dem Standard SOC2, Typ II durchgeführt und (d) resultiert in der Erstellung eines Prüfberichts (nachstehend „Bericht“), der vertrauliche Informationen von Yext darstellt. Nach entsprechender schriftlicher Aufforderung durch Sie übermittelt Yext Ihnen eine vertrauliche Abschrift des Berichts, sodass Sie die Einhaltung der vertragsgegenständlichen Sicherheitspflichten von Yext in angemessener Weise überprüfen können.
  11. Wenn Sie diese Anweisung mit Bezug auf die Wahrnehmung des Rechts auf förmliche Prüfung oder die Bereitstellung von Informationen ändern möchten, um die Einhaltung von Artikel 28 der DSGVO nachzuweisen, sind Sie (auf eigene Kosten) berechtigt, diese Anweisung zu ändern (wobei diese Änderung schriftlich erfolgen muss), stets vorausgesetzt jedoch, dass Yext nicht zur Bereitstellung von vertraulichen Informationen verpflichtet ist.
  12. Yext unterrichtet den Verantwortlichen (oder im Fall eines Wiederverkäufers oder Vermittlungsverhältnisses, den Wiederverkäufer oder die Agentur) umgehend, wenn Yext der Auffassung ist, dass eine Ihrer nach Maßgabe von Ziffer 11 erteilten Anweisungen einen Verstoß einschlägiger Datenschutzgesetze darstellt, und Yext ist berechtigt, jedoch nicht verpflichtet, die Ausführung der betreffenden Anweisungen auszusetzen, bis diese schriftlich bestätigt worden sind.
  13. Nach Beendigung des Rahmenvertrags löscht Yext auf Ihre Anforderung alle personenbezogenen Kundendaten bzw. gibt diese an Sie zurück, soweit dies rechtlich zulässig ist.
  14. Sie erkennen ausdrücklich an, dass Yext geeignete verbundene Unternehmen und andere geeignete Dritte als Unterauftragsverarbeiter (nachstehend zusammenfassend als „Unterauftragsverarbeiter“ bezeichnet) in Verbindung mit der Verarbeitung von personenbezogenen Kundendaten einsetzen kann, wobei jeder dieser Unterauftragsverarbeiter durch schriftliche Vereinbarung Datenschutzpflichten unterworfen sein muss, die nicht weniger schützend sind als diejenigen, die Yext im Rahmen dieses DPA auferlegt werden. Yext haftet Ihnen gegenüber für die Erfüllung dieser Pflichten durch die Unterauftragsverarbeiter. Eine Liste der Unterauftragsverarbeiter steht unter https://www.yext.com/terms/subprocessors/ zur Verfügung, ebenso ein Mechanismus, mit dem Sie über neue Unterauftragsverarbeiter unterrichtet werden; Sie verpflichten sich, diesen Mechanismus zu abonnieren. Sie können dem Einsatz eines neuen Unterauftragsverarbeiters durch Yext durch schriftliche Mitteilung innerhalb einer Frist von zehn (10) Tagen nach Eingang einer Mitteilung nach Maßgabe des im vorstehenden Satze festgelegten Mechanismus widersprechen. Berechtigte Widersprüche gegen einen Unterauftragsverarbeiter müssen mit Bezug auf eine Nichteinhaltung anwendbarer Datenschutzgesetze angemessen begründet und belegt werden. Wenn der jeweilige Widerspruch nach vernünftigem Ermessen von Yext berechtigt ist, sieht Yext vom Einsatz des betreffenden Unterauftragsverarbeiters im Zusammenhang mit der Verarbeitung von personenbezogenen Kundendaten ab. In diesem Fall unternimmt Yext angemessene Anstrengungen (i) Ihnen eine Änderung in den Produkten von Yext bereitzustellen oder (ii) Ihnen eine Änderung Ihrer Konfigurierung oder Nutzung der Produkte mit dem Ziel zu empfehlen, dass eine Verarbeitung von personenbezogenen Kundendaten durch den abgelehnten Unterauftragsverarbeiter vermieden wird. Kann Yext eine solche Änderung nicht innerhalb einer angemessenen Frist bereitstellen, so sind Sie berechtigt, die Produkte, die von Yext nicht ohne den Einsatz des abgelehnten Unterauftragsverarbeiters bereitgestellt werden können, durch schriftliche Mitteilung an Yext zu beenden. Yext erstattet Ihnen alle bereits entrichteten Gebühren für die restliche Laufzeit der betreffenden Produkte, gemessen ab dem Wirksamwerden der Beendigung des jeweils betreffenden Produkts.
  15. Sie erkennen an, dass die personenbezogenen Kundendaten als Bestandteil der Produkte in den USA oder in einem anderen betreffenden Land, in dem die Unterauftragsverarbeiter von Yext Einrichtungen unterhalten, gespeichert werden oder dass von dort aus ein Zugriff auf die Daten erfolgen kann. Um einen angemessenen Schutz für die Datenübertragung nach Maßgabe der geltenden Datenschutzgesetze zu gewährleisten, ist Yext, Inc. im Rahmen des EU/Swiss-US-Privacy Shield beim US-Handelsministerium selbstzertifiziert; die Zertifizierung gilt auch für personenbezogene Kundendaten (und für die Übertragung aus dem Vereinigten Königreich nach einem Brexit). Soweit Yext Unterauftragsverarbeiter (andere als Yext, Inc.) in einem betreffenden Land einsetzt, ergreift Yext geeignete Maßnahmen, um einen angemessenen Schutz mit Bezug auf Datenübertragungen im Sinne der DSGVO zu gewährleisten (wozu auch die Nutzung von Standardvertragsklauseln gehören kann).

 

 

 

 

ANHANG 1

Informationen zur Datenverarbeitung

Betroffene Personen

Die übertragenen personenbezogenen Kundendaten betreffen die folgenden Kategorien betroffener Personen:

Mitarbeiter des Kunden, falls der Kunde das Produkt Listings (Teil des Listings-Produktes oder der Starter-, Professional- und Ultimate-Pakete) und/oder Events nutzt und beschließt, solche Informationen in Listings und/oder Events bereitzustellen.

Webseiten-Besucher der Listing-Inhalte und/oder Event-Inhalte auf den betreffenden Publisher-Webseiten, falls sich der Kunde entscheidet, Conversion Tracking zu nutzen (dies ist eine freiwillige Entscheidung des Kunden).

Personen, die Bewertungen online auf relevanten Publisher-Webseiten einreichen, falls der Kunde das Produkt Review Monitoring nutzt (Teil des Reviews-Produktes oder der Professional- und Ultimate-Pakete).

Personen, die Bewertungen beim Kunden einreichen, falls ein Kunde das Produkt Review Generation nutzt (Teil des Reviews-Produktes oder des Ultimate-Paketes).

Die Besucher der Page-basierten Webseiten des Kunden, falls der Kunde das Produkt Pages abonniert.

Die Besucher der Webseiten des Kunden, die Knowledge Tags benutzen, falls der Kunde das Produkt Knowledge Tags abonniert.

Die Besucher der Webseiten des Kunden, die Answers benutzen, falls der Kunde das Produkt Answers abonniert.

Webseiten-Besucher von Pages, Knowledge Tags und/oder Answers, falls der Kunde sich entscheidet, Conversion Tracking zu nutzen (dies ist eine freiwillige Entscheidung des Kunden).

Arten personenbezogener Daten

Die übertragenen personenbezogenen Kundendaten betreffen die folgenden Arten personenbezogener Daten:

Falls der Kunde solche Informationen als Teil von Listings oder Events bereitstellt, wird Yext Namen, Kontaktangaben, E-Mail-Adresse, Lebenslauf und/oder Titel von Mitarbeitern des Kunden verarbeiten.

Falls der Kunde sich (auf freiwilliger Basis) im Rahmen der Listings- oder Events-Inhalte auf den Publisher-Webseiten zum Einsatz der Tracking-Technologien entscheidet, die Teil des Conversion Trackings sind, kann Yext außerdem (i) technische Informationen über das Gerät des Besuchers , einschließlich der IP-Adresse, der eingestellten Zeitzone, des Betriebssystems, der Plattform, des Browsertyps und der Browserversion des Geräts („Technische Informationen“), und (ii) Informationen über den Besuch erfassen, einschließlich des URL-Clickstreams von den, zu den und durch Yext-Produkte, Produkte, die angezeigt oder gesucht worden sind, die Inhalte (und Werbeanzeigen) die angesehen oder mit denen interagiert wurde, Seitenantwortzeiten, Downloadfehler, die Verweilzeit auf bestimmten Seiten, Informationen über die Interaktion mit Seiten (z.B. Scrolling, Klicks und Mouse-over) und die Methoden, die zum Verlassen der Seite benutzt wurden („Nutzungsdaten“).

Die Namen oder Aliasnamen von Personen, die Bewertungen online auf relevanten Publisher-Webseiten einreichen und den Inhalt einer solchen Bewertung, falls der Kunde das Produkt Review Monitoring nutzt (Teil des Reviews-Produktes oder der Professional- und Ultimate-Pakete).

Soweit der Kunde das Produkt Review Generation nutzt (Teil des Reviews-Produktes oder des Ultimate-Paketes), den Namen und die E-Mail-Adresse oder Mobilnummer der Person, die eine Bewertung beim Kunden einreicht, sowie den Inhalt der Bewertung.

Falls der Kunde das Produkt Pages abonniert, werden die Technischen Informationen und Nutzungsdaten von Webseiten-Besuchern mit Hilfe von Tracking-Technologien erfasst.

Falls der Kunde das Produkt Knowledge Tags abonniert, werden Technische Informationen und Nutzungsdaten mit Hilfe von Tracking-Technologien erfasst.

Falls der Kunde das Produkt Answers abonniert, werden je nach den vom Kunden gewählten Produktoptionen Technische Informationen und Nutzungsdaten mit Hilfe von Tracking-Technologien erfasst, und außerdem der Name und die E-Mail-Adresse von Besuchern der Webseite, falls sie dies angeben. Der Kunde hat die Wahl, ob diese Technologien zur Erfassung von Technischen Informationen und Nutzungsdaten genutzt werden und ob der Name und die E-Mail-Adresse der Besucher der Kundenwebseite erfasst werden.

Entscheidet sich der Kunde freiwillig dazu, die Tracking-Technologien, die Teil des Conversion Trackings sind, im Rahmen von Pages, Knowledge Tags oder Answers zu nutzen, werden Technische Informationen und Nutzungsdaten mit Hilfe dieser Tracking-Technologien gesammelt.

Besondere Kategorien von personenbezogenen Daten

Die übertragenen personenbezogenen Kundendaten betreffen die folgenden besonderen Kategorien:

Nicht zutreffend;

Yext erfasst oder verarbeitet im Zuge der Bereitstellung seiner Produkte und Dienste keine besonderen Kategorien von personenbezogenen Daten vorsätzlich. Der Kunde verpflichtet sich, Yext zu keiner Zeit besondere Kategorien von personenbezogenen Daten zur Verfügung zu stellen.

Verarbeitungsvorgänge 

Die übertragenen personenbezogenen Kundendaten unterliegen den folgenden grundlegenden Verarbeitungsmaßnahmen:

Sammlung, Offenlegung durch Übertragung und Verbreitung, Hosting, Pflege, Organisation, Speicherung und Support.