Datenverarbeitungsvereinbarung (DPA)(für Kunden, die den europäischen Datenschutzgesetzen einschließlich der Schweiz und des Vereinigten Königreichs, und/oder den Datenschutzgesetzen Australiens, Kanadas und Südafrikas) unterliegen

Diese Datenverarbeitungsvereinbarung (nachstehend „DPA“) ist Bestandteil des Rahmenvertrags (wie in den Produktbedingungen definiert) zwischen dem Kunden, der Agentur oder dem Wiederverkäufer (nachstehend „Kunde“, „Sie“ oder „Ihnen“) und Yext Limited (gegründet im Vereinigten Königreich) („Yext“) und spiegelt die vertragliche Vereinbarung der Parteien mit Bezug auf die Verarbeitung von personenbezogenen Daten (wie nachstehend definiert) wider. Soweit Yext, Inc. (mit Sitz in Delaware, USA) der Yext-Vertragspartner ist, gelten die folgenden Änderungen dieser DPA, die hier verfügbar sind. Für Begriffe, die in der englischen Originalfassung dieser DPA großgeschrieben und nicht anderweitig definiert werden, gelten die Begriffsdefinitionen des Rahmenvertrags oder der Produktbedingungen, die unter diesem Link zu finden sind. Bei Widersprüchlichkeiten zwischen dieser DPA, dem Rahmenvertrag oder den Produktbedingungen gelten (in folgender Reihenfolge) vorrangig die Bestimmungen der folgenden Dokumente, soweit nicht ausdrücklich eine andere Vereinbarung getroffen wird: (a) diese DPA, (b) der Rahmenvertrag und (c) die Produktbedingungen.

Für die Zwecke dieser DPA gelten die folgenden Begriffsbestimmungen:

„Verbundenes Unternehmen“ bezeichnet ein Unternehmen, das (i) Yext kontrolliert, (ii) von Yext kontrolliert wird oder (iii) mit Yext unter gemeinsamer Kontrolle steht. Kontrolle über ein anderes Unternehmen bedeutet in diesem Zusammenhang die Macht, die Leitung oder die Geschäftspolitik dieses Unternehmens direkt oder indirekt zu bestimmen, sei es aufgrund der Eigentumsverhältnisse, durch stimmberechtigte Anteile, durch Vertrag oder anderweitig.

„Personenbezogene Kundendaten“ sind personenbezogene Daten von Mitarbeitern, Vertretern, Händlern, Beratern, Endkunden, Franchisenehmern oder Website-Besuchern des Kunden, die Yext vom Kunden (oder der Agentur oder dem Wiederverkäufer) zur Verfügung gestellt oder die von Yext im Zuge der Bereitstellung der Produkte für den Kunden (oder die Agentur oder den Wiederverkäufer) erzeugt werden.

„Datenschutzgesetze“ bezeichnet die Richtlinie 2002/58/EG, DSGVO (wie unten definiert) und alle Gesetze und/oder Vorschriften, die diese umsetzen oder die gemäß ihnen erlassen wurden oder die sie ändern, ersetzen, ergänzen, wieder in Kraft setzen oder konsolidieren, den Data Protection Act 2018 des Vereinigten Königreichs („UK“), das Schweizer DSG, den Australian Privacy Act 1988, den Australian Spam Act 2003, den Protection of Personal Information Act 4 of 2013 („POPIA“) von Südafrika, den Canadian Personal Information Protection and Electronic Documents Act („PIPEDA“) zusammen mit allen im Wesentlichen ähnlichen Gesetzen der Provinzen, wie in PIPEDA definiert, und alle anderen anwendbaren Gesetze über die Verarbeitung personenbezogener Daten und den Datenschutz, die in Australien, Kanada, dem Europäischen Wirtschaftsraum, Südafrika, der Schweiz oder dem Vereinigten Königreich bestehen.

„DSGVO“ bezeichnet in jedem Fall, soweit dies auf die Verarbeitungstätigkeiten anwendbar ist: (i) Verordnung (EU) 2016/679 („EU-DSGVO“); und (ii) Verordnung (EU) 2016/679 in der geänderten Fassung, die sich durch den Austritt des Vereinigten Königreichs aus der Europäischen Union ergibt, und in der geänderten Fassung im Rahmen der Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (in der geänderten Fassung) („UK DSGVO“);

„Personenbezogene Daten“ hat die Bedeutung, die den Begriffen „personenbezogene Daten“ oder „personenbezogene Informationen“ nach den geltenden Datenschutzgesetzen zugewiesen wird.

„Besondere Kategorien personenbezogener Daten“ hat die Bedeutung, die den Begriffen „besondere Kategorien personenbezogener Daten“, „sensible Daten“ oder „sensible Informationen“ nach dem geltenden Datenschutzgesetz zugewiesen wird.

„Schweizer DSG“ bezeichnet das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 und die Schweizer Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 sowie alle neuen oder überarbeiteten Fassungen dieser Gesetze, die jeweils in Kraft treten mögen.

„Aufsichtsbehörde“ bezeichnet die zuständige Datenschutzbehörde in dem Gebiet, in dem der Kunde ansässig ist.

„Drittland“ bezeichnet alle Länder mit Ausnahme derjenigen (i) innerhalb des Europäischen Wirtschaftsraums (EWR), sowie der Schweiz und (ii) Ländern, Gebieten sowie angegebenen Sektoren, für die ein Angemessenheitsbeschluss nach den einschlägigen Datenschutzgesetzen erfolgt ist.

Die Begriffe „Verantwortlicher“, „betroffene Personen“, „Verarbeitung“ (wobei der Begriff „Verarbeitungsverfahren“ entsprechend auszulegen ist), „Verletzung des Schutzes personenbezogener Daten“, und „Auftragsverarbeiter“ haben die Bedeutungen, die in den einschlägigen Datenschutzgesetzen definiert sind.

1. 1. Sie stimmen zu, dass Sie in Bezug auf die Yext im Zusammenhang mit den Produkten bereitgestellten personenbezogenen Kundendaten der für die Verarbeitung Verantwortliche sind (wobei im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers Ihre Kunden als Verantwortliche für die personenbezogenen Kundendaten gelten). Sie erklären sich damit einverstanden, dass alle personenbezogenen Kundendaten, die Sie Yext im Zusammenhang mit den Produkten zur Verfügung stellen, von Ihnen in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet werden. Yext trägt keine Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Yext zur Verfügung gestellten personenbezogenen Kundendaten und der Mittel, mit denen diese personenbezogenen Kundendaten erworben wurden, bevor sie Yext bereitgestellt wurden.
   2. Sie erkennen an, dass Yext (oder im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers die Agentur bzw. der Wiederverkäufer) bestimmte personenbezogene Daten benötigt, insbesondere zur Einrichtung und Verwaltung des Kundenkontos und der Kundenbeziehung, um Rechnungen an den Kunden zu stellen, die Yext-Plattform und die Produkte zu sichern, die Kundenbenutzer zu authentifizieren sowie aufgrund regulatorischer Verpflichtungen. Yext (bzw. die Agentur oder Wiederverkäufer) wird diese personenbezogenen Daten als Verantwortlicher verarbeiten.
   3. Yext handelt bei der Verarbeitung personenbezogener Kundendaten im Zusammenhang mit der Bereitstellung seiner Produkte (wie Listings, Reviews und anderer Produkte wie Events, Search, Knowledge Tags and Pages (auch im Hinblick auf Cookies oder ähnliche Technologien, die Teil der Produkt-Funktionalität für Analytikzwecke sind, zum Beispiel bei Conversion Tracking) als Auftragsverarbeiter (im Falle eines Vermittlungsverhältnisses oder eines Wiederverkäufers ist der Wiederverkäufer der Auftragsverarbeiter und Yext der Unterauftragsverarbeiter).
   4. Soweit Yext ein Auftragsverarbeiter (oder ein Unterauftragsverarbeiter) ist, gelten die folgenden Ziffern 5 bis 16 für die Verarbeitung der personenbezogenen Kundendaten.Sie und Yext sind sich einig, dass Sie und Yext zusätzlich zu den Ziffern 5-15 alle zusätzlichen länderspezifischen Bestimmungen einhalten werden, soweit die Datenschutzgesetze eines in Anlage 3 genannten Landes auf die Verarbeitung personenbezogener Kundendaten anwendbar sind.
   5. Yext verarbeitet die personenbezogenen Kundendaten ausschließlich nach Maßgabe der dokumentierten Anweisungen, die in dieser DPA und dem Rahmenvertrag (einschließlich der Produktbedingungen, und auch in Bezug auf die Übermittlung personenbezogener Kundendaten in Drittländer) festgelegt sind bzw. danach erteilt werden,und verarbeitet personenbezogene Kundendaten ausschließlich dann für andere Zwecke, wenn hierzu eine Rechtspflicht besteht; in diesem Fall unterrichtet Yext Sie vor einer Verarbeitung über diese Rechtspflicht, soweit dies rechtlich zulässig ist. Sie erkennen an, dass Yext im Rahmen der Verarbeitungsanweisungen Informationen, die sich aus den personenbezogenen Kundendaten oder Ihrer Nutzung der Produkte ergeben, aggregieren, anonymisieren, extrahieren und kombinieren oder anderweitig de-identifizieren kann, um das Produkt zu verbessern und weiterzuentwickeln sowie zu anderen Zwecken, die mit der Datenschutzerklärung von Yext übereinstimmen. Dieses Recht zur Verwendung aggregierter oder anonymisierter Daten bleibt auch nach Beendigung dieser DPA und des Rahmenvertrags bestehen.
   6. Wenn Sie eine Agentur oder ein Wiederverkäufer sind, tragen Sie dafür Sorge, dass Ihre Vertragsvereinbarung mit Ihren Kunden geeignete Bestimmungen enthält, die es Ihnen ermöglichen, ihre personenbezogenen Kundendaten zu verarbeiten und mit denen sichergestellt wird, dass diese die erforderliche Ermächtigung zur Untervergabe der Verarbeitung der personenbezogenen Kundendaten an Yext und andere Unterauftragsverarbeiter zu Bedingungen erteilt haben, die denen in dieser DPA im Wesentlichen entsprechen. Sollte der Kunde Listings/Events oder Review Response nutzen, ermächtigt er Yext, personenbezogene Kundendaten, die vom Kunden (oder der Agentur oder dem Wiederverkäufer) im Zusammenhang mit diesen Produkten bereitgestellt werden können, als Teil der Produktfunktionalität mit externen Publishern zu teilen. Außerdem gilt, dass wenn der Kunde die Produkte Search, Knowledge Tags, Pages oder Review Generation nutzt, der Kunde Yext ermächtigt, personenbezogene Kundendaten, die vom Kunden (oder der Agentur oder dem Wiederverkäufer) im Zusammenhang mit diesen Produkten bereitgestellt werden, auf der/den eigenen App(s), Angeboten oder Webseite(n) des Kunden als Teil der Produktfunktionalität anzuzeigen.
   7. Gegenstand der Datenverarbeitung ist die Bereitstellung der Produkte, und die Verarbeitung erfolgt bis zu dem Tag, zu dem Yext die Bereitstellung der Produkte für Sie einstellt. Ihre Rechte und Pflichten regelt der Rahmenvertrag. In Anlage 1 dieser DPA werden Art und Zweck der Verarbeitung, die Arten von personenbezogenen Daten, die Yext verarbeitet, und die Kategorien von betroffenen Personen festgelegt, deren personenbezogene Daten verarbeitet werden.
   8. Yext setzt geeignete technische und organisatorische Sicherheitsmaßnahmen um (und stellt dabei auch sicher, dass Mitarbeiter von Yext, die zur Verarbeitung der personenbezogenen Kundendaten berechtigt sind, sich entsprechenden Verschwiegenheitspflichten unterworfen haben), um ein Maß an Sicherheit zu gewährleisten, das den Risiken, die mit der Verarbeitung von personenbezogenen Kundendaten verbunden sind, angemessen ist; dies schließt unter anderem auch die Maßnahmen ein, die in den einschlägigen Datenschutzgesetzen vorgesehen sind. Einzelheiten zu diesen Maßnahmen sind in Anlage 2 geregelt.
   9. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die möglicherweise personenbezogene Kundendaten betrifft, setzt Yext den fraglichen Verantwortlichen (über die uns bekannten E-Mail-Adresse) (oder im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers den Wiederverkäufer oder die Agentur) hierüber unverzüglich in Kenntnis, sobald uns die Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
   10. Yext stellt die Informationen und Unterstützung bereit, die unter Anlegung vernünftiger Maßstäbe benötigt werden (und innerhalb des geforderten angemessenen Zeitrahmens), um es dem Verantwortlichen zu ermöglichen, seinen Pflichten nach den geltenden Datenschutzgesetzen nachzukommen, einschließlich der Unterstützung für: (i) die Erfüllung der Sicherheitspflichten des Verantwortlichen, (ii) die Erfüllung seiner Pflichten zur Beantwortung von Anfragen zur Ausübung der Rechte von betroffenen Personen, (iii) die Durchführung einer Datenschutzfolgenabschätzung und die Überprüfung der Verarbeitungsprozesse um sicherzustellen, dass sie nach Maßgabe der Datenschutzfolgenabschätzung erfolgt, und um Rücksprache mit der zuständigen Aufsichtsbehörde (soweit gegeben) zu halten. Die Kosten für die Unterstützung seitens Yext nach Maßgabe von (iii) dieser Regelung gehen zu Lasten des Verantwortlichen. Verantwortliche können diese Unterstützung per E-Mail anfordern unter privacy@yext.com. Yext hat den Verantwortlichen über alle Anfragen in Kenntnis zu setzen, die direkt von betroffenen Personen eingehen.
   11. Yext unterzieht die Sicherheit der Rechner und Rechenumgebungen, die es für die Verarbeitung von personenbezogenen Kundendaten einsetzt, einer förmlichen Prüfung. Die förmliche Prüfung (a) wird mindestens jährlich durchgeführt, (b) kann nach Wahl und auf Kosten von Yext von unabhängigen externen Sicherheitsexperten durchgeführt werden, (c) wird entsprechend dem Standard SOC2 durchgeführt und (d) resultiert in der Erstellung eines Prüfberichts (nachstehend „Bericht“), der vertrauliche Informationen von Yext darstellt. Nach entsprechender schriftlicher Aufforderung durch Sie übermittelt Yext Ihnen eine vertrauliche Abschrift des Berichts, sodass Sie die Einhaltung der vertragsgegenständlichen Sicherheitspflichten von Yext in angemessener Weise überprüfen können.
   12. Wenn Sie diese Anweisung mit Bezug auf die Wahrnehmung des Rechts auf förmliche Prüfung oder die Bereitstellung von Informationen ändern möchten, um die Einhaltung von Artikel 28 der DSGVO nachzuweisen, sind Sie (auf eigene Kosten) berechtigt, diese Anweisung zu ändern (wobei diese Änderung schriftlich und nach Vorankündigung mit einer angemessenen Frist erfolgen muss), jedoch stets mit der Maßgabe, dass Yext nicht zur Bereitstellung von vertraulichen Informationen verpflichtet ist. Yext kooperiert auch mit allen Audits durch Aufsichtsbehörden, die für den Kunden zuständig sind, soweit dies im Rahmen geltender Gesetze erforderlich ist.
   13. Yext unterrichtet den Verantwortlichen (oder im Fall eines Wiederverkäufers oder Vermittlungsverhältnisses, den Wiederverkäufer oder die Agentur) umgehend, wenn Yext der Auffassung ist, dass eine Ihrer nach Maßgabe von Ziffer 12 erteilten Anweisungen einen Verstoß gegen einschlägige Datenschutzgesetze darstellt, und Yext ist berechtigt, jedoch nicht verpflichtet, die Ausführung der betreffenden Anweisungen auszusetzen, bis diese schriftlich bestätigt worden sind.
   14. Nach Beendigung des Rahmenvertrags löscht Yext auf Ihre schriftliche Anforderung alle personenbezogenen Kundendaten bzw. gibt diese an Sie zurück, soweit dies rechtlich zulässig ist.
   15. Sie erkennen ausdrücklich an, dass Yext geeignete verbundene Unternehmen und andere geeignete Dritte als Unterauftragsverarbeiter (nachstehend zusammenfassend als „Unterauftragsverarbeiter“ bezeichnet) in Verbindung mit der Verarbeitung von personenbezogenen Kundendaten einsetzen kann, wobei jeder dieser Unterauftragsverarbeiter durch schriftliche Vereinbarung Datenschutzpflichten unterworfen sein muss, deren Schutzwirkung mindestens den Pflichten von Yext im Rahmen dieser DPA entspricht. Yext haftet Ihnen gegenüber für die Erfüllung dieser Pflichten durch die Unterauftragsverarbeiter. Eine Liste der Unterauftragsverarbeiter steht unterhttps://www.yext.com/terms/subprocessors zur Verfügung, ebenso ein Mechanismus, mit dem Sie über neue Unterauftragsverarbeiter unterrichtet werden; Sie verpflichten sich, diesen Mechanismus zu abonnieren. Sie können dem Einsatz eines neuen Unterauftragsverarbeiters durch Yext durch schriftliche Mitteilung innerhalb einer Frist von zehn (10) Tagen nach Eingang einer Mitteilung nach Maßgabe des im vorstehenden Satz festgelegten Mechanismus widersprechen. Berechtigte Widersprüche gegen einen Unterauftragsverarbeiter müssen mit Bezug auf eine Nichteinhaltung anwendbarer Datenschutzgesetze angemessen begründet und belegt werden. Wenn der jeweilige Widerspruch nach vernünftigem Ermessen von Yext berechtigt ist, sieht Yext vom Einsatz des betreffenden Unterauftragsverarbeiters im Zusammenhang mit der Verarbeitung von personenbezogenen Kundendaten ab. In diesem Fall unternimmt Yext angemessene Anstrengungen, (i) Ihnen eine Änderung in den Produkten von Yext bereitzustellen oder (ii) Ihnen eine Änderung Ihrer Konfigurierung oder Nutzung der Produkte mit dem Ziel zu empfehlen, dass eine Verarbeitung von personenbezogenen Kundendaten durch den abgelehnten Unterauftragsverarbeiter vermieden wird. Kann Yext eine solche Änderung nicht innerhalb einer angemessenen Frist bereitstellen, sind Sie berechtigt, die Produkte, die von Yext nicht ohne den Einsatz des abgelehnten Unterauftragsverarbeiters bereitgestellt werden können, durch schriftliche Mitteilung an Yext zu beenden. Yext erstattet Ihnen alle bereits entrichteten Gebühren für die restliche Laufzeit der betreffenden Produkte, gemessen ab dem Wirksamwerden der Beendigung des jeweils betreffenden Produkts.
   16. Sie erkennen ausdrücklich an, dass die personenbezogenen Kundendaten als Bestandteil der Produkte im Vereinigten Königreich oder in einem Drittland, in dem die Unterauftragsverarbeiter von Yext Einrichtungen unterhalten, gespeichert werden oder dass von dort aus ein Zugriff auf die Daten erfolgen kann. Während Übermittlungen in das Vereinigte Königreich durch den Angemessenheitsbeschluss der EU-Kommission vom 28. Juni 2021 zugunsten des Landes abgedeckt sind, wird Yext bei Weiterübermittlungen an Unterauftragsverarbeiter in einem Drittland (z. B. Yext, Inc. in den USA) einen angemessenen Schutz oder geeignete Sicherheitsvorkehrungen in Übereinstimmung mit den geltenden Datenschutzgesetzen gewährleisten.

ANLAGE 1

Informationen zur Datenverarbeitung

Die Produkte von Yext unterstützen Unternehmen beim Management ihrer öffentlich zugänglichen digitalen Informationen.

Es ist zu beachten, dass Search auch als Teil einer unternehmensinternen Suchfunktion verwendet werden kann. Wenn der Kunde Search auf diese Weise nutzt, wird dies in dieser DPA als „Workplace Solutions“ bezeichnet.

Betroffene Personen

Die übertragenen personenbezogenen Kundendaten betreffen die folgenden Kategorien betroffener Personen:

Falls der Kunde das Produkt Listings (Teil des Listings-Produktes oder der Starter-, Professional- und Ultimate-Pakete) und/oder Events nutzt und beschließt, solche Informationen in Listings und/oder Events bereitzustellen (und abhängig von der jeweiligen Nutzung durch den Kunden), Mitarbeiter des Kunden, Vertreter, Händler, Berater bzw. Franchisenehmer des Kunden.

Personen, die Bewertungen online auf relevanten Publisher-Webseiten einreichen, falls der Kunde das Produkt Review Monitoring nutzt (Teil des Reviews-Produktes oder der Professional- und Ultimate-Pakete).

Personen, die auf Bewertungen online auf relevanten Publisher-Webseiten antworten (es sei denn, es wird ein allgemeiner, nicht-personenbezogener Gruppen-Alias verwendet), falls der Kunde Review Response (Teil des Reviews-Produkts oder des Ultimate-Pakets) benutzt.

Personen, die Bewertungen beim Kunden einreichen, falls ein Kunde das Produkt Review Generation nutzt (Teil des Reviews-Produktes oder des Ultimate-Paketes).

Die Besucher der Page-basierten Webseiten des Kunden, falls der Kunde das Produkt Pages abonniert.

Mitarbeiter, Vertreter, Händler, Berater bzw. Franchisenehmer des Kunden, falls der Kunde Pages abonniert und beschließt, solche Informationen in Pages bereitzustellen, und abhängig von der jeweiligen Nutzung durch den Kunden.

Die Besucher der Webseiten des Kunden, die Knowledge Tags benutzen, falls der Kunde das Produkt Knowledge Tags abonniert.

Die Besucher der Webseiten des Kunden, die Search benutzen, falls der Kunde das Produkt Search abonniert.

Mitarbeiter, Vertreter, Händler, Berater bzw. Franchisenehmer des Kunden, falls der Kunde Search abonniert und beschließt, solche Informationen in Search bereitzustellen, und abhängig von der jeweiligen Nutzung durch den Kunden.

Mitarbeiter, Vertreter, Händler, Berater oder Franchisenehmer des Kunden, falls der Kunde Workplace Solutions abonniert und beschließt, solche Informationen in Workplace Solutions bereitzustellen, und abhängig von der jeweiligen Nutzung durch den Kunden.

Webseiten-Besucher der Listing-Inhalte und/oder Events-Inhalte auf den betreffenden Publisher-Webseiten, falls der Kunde sich entscheidet, Conversion Tracking zu nutzen (dies ist eine freiwillige Entscheidung des Kunden).

Webseiten-Besucher von Pages, Knowledge Tags und/oder Search, falls der Kunde sich entscheidet, Conversion Tracking zu nutzen (dies ist eine freiwillige Entscheidung des Kunden).

Falls der Kunde sich (freiwillig) entscheidet, die Funktionalität Content Generation zu nutzen, und was die Verwendung von generativen maschinellen Lernmodellen umfasst, um die Generierung von Kundeninhalten zu unterstützen, kann dies personenbezogene Kundendaten in Bezug auf eine betroffene Person beinhalten.

Arten personenbezogener Daten

Die übertragenen personenbezogenen Kundendaten betreffen die folgenden Arten personenbezogener Daten:

Produkt/ Funktionalität	Art der von Yext im Auftrag des Kunden verarbeiten personenbezogenen Daten
	Name, Kontaktdaten, Biografie und/oder Stellenbezeichnung von Mitarbeitern, Vertretern, Händlern, Beratern bzw. Franchisenehmern des Kunden	Name oder Pseudonym der Person, die eine Bewertung online auf der entsprechenden Publisher-Website abgegeben bzw. beantwortet* hat, und Inhalt dieser Bewertung	Name und E-Mail-Adresse oder Mobilnummer der Person, die dem Kunden eine Bewertung übermittelt, und Inhalt dieser Bewertung	Technische Informationen über den Besucher der Website wie die IP-Adresse**	Nutzungsinformationen über den Besuch der Website (die Verweis-URL, die angesehenen Inhalte und die Inhalte, mit denen interagiert wurde)	Verwendung von generativen maschinellen Lernmodellen, die personenbezogene Kundendaten enthalten können
Listings/Events	Ja, soweit vom Kunden bereitgestellt
Review Monitoring		Ja
Review Response		Ja*
Review Generation			Ja
Pages***	Ja, soweit vom Kunden bereitgestellt			Ja	Ja***
Knowledge Tags***				Ja	Ja***
Search****	Ja, soweit vom Kunden bereitgestellt			Ja	Ja****
Workplace Solutions****	Ja, soweit vom Kunden bereitgestellt*****			Ja	Ja****
Conversion Tracking******					Ja
Content Generation *******						Ja

* Als Teil von Review Response kann der Kunde wählen, ob er über einen generischen, nicht-personenbezogenen Gruppenalias antworten möchte.

**IP-Adressen werden den Nutzern des Kunden nicht zugänglich gemacht.

***Pages und Knowledge Tags können mit einem Pixel versehen werden, dessen Zweck es ist, dem Kunden aggregierte Analysen zur Verfügung zu stellen. Pages enthält außerdem ein Cloudflare-Cookie (__cf_bm), das als notwendig zur Erkennung und zum Schutz vor bösartigen Bots betrachtet werden sollte.

****Search oder Workplace Solutions können mit einem Sitzungs-Cookie und einem Click-Tracking-Pixel versehen werden, deren Zweck es ist, dem Kunden Session-Analysen zu bieten. Search kann auch mit einer optionalen Q&A-Funktion bereitgestellt werden, so dass ein Besucher seinen Namen und seine E-Mail-Adresse angeben kann, um vom Kunden kontaktiert zu werden.

*****Fotos von Personen (jedoch ohne Gesichtsscans) können als Teil von Workplace Solutions bereitgestellt werden.

******Conversion Tracking ist eine optionale Funktion innerhalb von Listings oder Event-Inhalten auf Publisher-Websites oder innerhalb von Pages, Knowledge Tags oder Search, die aggregierte Einblicke dazu liefert, ob Besucher von Yext-Umgebungen andere vom Kunden angegebene Websites besuchen. Sie enthält ein dauerhaftes Cookie, dessen Zweck es ist, dem Kunden zusammengefasste Analysen zu liefern.

*******Bezüglich Content Generation, die die Verwendung von OpenAIs generativen maschinellen Lernmodellen oder großen Sprachmodellen umfasst, erkennen Sie an und stimmen Folgendem zu: (i) Ihre Nutzung dieser Funktionalität ist freiwillig, (ii) diese Funktionalität kann Kundeninhalte nutzen, einschließlich personenbezogener Kundendaten, die Sie bereits auf der Yext-Plattform zur Verfügung gestellt haben, (iii) die über diese Funktionalität erzeugten Inhalte/Outputs werden als Kundeninhalte (oder als entsprechend definierter Begriff) betrachtet gemäß der Regelung in Ihrem Rahmenvertrag, (iv) Sie stellen keine besonderen Kategorien personenbezogener Daten oder sensible personenbezogene Daten bereit, (v) es gibt keine Gewähr dafür, dass die mit dieser Funktionalität erzeugten Kundeninhalte einzigartig nur für Sie erzeugt werden, (vi) Sie sind allein für die Nutzung dieser Funktionalität und für die Überprüfung und Genehmigung aller mit dieser Funktionalität erzeugten Kundeninhalte verantwortlich und dürfen nicht die OpenAI-Richtlinien (z.B. die Teilungs- und Veröffentlichungsrichtlinie und die Nutzungsrichtlinien), die Produktbedingungen, Ihren Rahmenvertrag oder einschlägige Gesetze oder Vorschriften verletzen, und (vii) Sie werden niemanden dahingehend täuschen, dass die über diese Funktionalität generierten Inhalte/Ausgaben ausschließlich von Menschen erzeugt wurden. Insbesondere müssen Sie geeignete Erklärungen abgeben, alle erforderlichen Zustimmungen für die Verarbeitung von personenbezogenen Kundendaten im Rahmen dieses Vertrags einholen und Yext zusichern, dass Sie diese personenbezogenen Daten im Einklang mit den Datenschutzgesetzen verarbeiten. Beispiele für Kundeninhalte, die durch Content Generation erzeugt werden können, sind Geschäftsbeschreibungen oder Lebensläufe.

Es ist zu beachten, dass alle vorgenannten Cookies und Pixel vom Kunden in seine Plattform für das Zustimmungsmanagement integriert werden können.

Besondere Kategorien personenbezogener Daten und/oder sensible personenbezogener Daten

Die übertragenen personenbezogenen Kundendaten betreffen die folgenden besonderen Kategorien personenbezogener Daten:

Keine.

Yext erhebt und verarbeitet bei der Bereitstellung seiner Produkte und Dienstleistungen nicht absichtlich besondere Kategorien personenbezogener Daten (z. B. keine biometrischen Daten, keine Daten über die Gesundheit und keine Daten über die Mitgliedschaft in einer Gewerkschaft). Der Kunde verpflichtet sich, Yext zu keiner Zeit besondere Kategorien personenbezogener Daten bereitzustellen.

Darüber hinaus verpflichtet sich der Kunde, keine sensiblen personenbezogenen Daten wie Kreditkartennummern, Disziplinarakten von Mitarbeitern, individuelle Bankkontodaten, Gehaltsdaten und Sozialversicherungsnummern zu übermitteln. Der Kunde verpflichtet sich, Yext zu keiner Zeit sensible personenbezogene Daten bereitzustellen.

Verarbeitungsvorgänge

Die übertragenen personenbezogenen Kundendaten unterliegen den folgenden grundlegenden Verarbeitungsmaßnahmen:

Sammlung, Offenlegung durch Übertragung und Verbreitung, Hosting, Pflege, Organisation, Speicherung und Support.

ANLAGE 2

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

1. Zugangskontrolle bei Verarbeitungsbereichen

Yext ergreift geeignete technische und organisatorische Sicherheitsmaßnahmen, um zu verhindern, dass Unbefugte Zugang zu den Datenverarbeitungssystemen erhalten, die zur Verarbeitung der personenbezogenen Kundendaten verwendet werden. Dies geschieht insbesondere durch:

• Zutrittskontrollsystem
• Kartengesteuerter Zutritt/Zugriff
• Schlüsselausgabe
• Türverriegelung
• Überwachungsanlagen – Videoüberwachung
• Alarmsystem
• Präsenz von Sicherheitspersonal während der Geschäftszeiten und für bestimmte Einrichtungen während zusätzlicher Zeiten

2. Zugriffskontrolle auf Datenverarbeitungssysteme

Yext ergreift geeignete technische und organisatorische Sicherheitsmaßnahmen, um zu verhindern, dass Unbefugte seine Datenverarbeitungssysteme nutzen können. Dies geschieht insbesondere durch:

• Passwortverfahren (einschließlich Mindestlänge, Passwortänderung)
• Erforderliche Genehmigungserteilung durch das Personalmanagement und die IT-Systemadministratoren für den Zugriff auf IT-Systeme
• Überprüfung der Zugriffskontrollen, um zu gewährleisten, dass die Berechtigungen für Abgänge und Umzüge angepasst werden

3. Zugriffskontrolle für spezifische Bereiche der Datenverarbeitungssysteme

Yext stellt sicher, dass die zur Nutzung seiner Datenverarbeitungssysteme berechtigten Personen nur im Rahmen und im Umfang ihrer jeweiligen Zugriffsberechtigung (Autorisierung) auf die personenbezogenen Kundendaten zugreifen können und dass die personenbezogenen Kundendaten nicht ohne Befugnis gelesen, kopiert, verändert oder entfernt werden können. Dies geschieht insbesondere durch:

• Differenzierte Zugriffsrechte
• Definition der Zugriffsrechte im Einklang mit den Aufgaben
• Automatische Protokollierung des Benutzerzugriffs bei bestimmten IT-Systemen

4. Übertragungskontrolle

Yext ergreift geeignete technische und organisatorische Sicherheitsmaßnahmen, um zu verhindern, dass die personenbezogenen Kundendaten während ihrer Übertragung oder während des Transports der Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können und um zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen die Übermittlung der personenbezogenen Kundendaten mittels Datenübertragungseinrichtungen erfolgen soll.Dies geschieht insbesondere durch:

• Benutzung eines vollständig unternehmenseigenen privaten Netzwerks für sämtliche Datenübertragungen innerhalb von Yext
• Verschlüsselung mittels VPN für Fernzugriff, Transport und Kommunikation von Daten
• Verbot nicht verschlüsselter USBs und CD-ROMs

5. Anweisungskontrolle

Yext stellt sicher, dass personenbezogene Kundendaten nur im Einklang mit den dokumentierten Anweisungen verarbeitet werden dürfen, die in dieser DPA und dem Rahmenvertrag (einschließlich der Produktbedingungen) geregelt sind. Dies geschieht durch:

• Eindeutige Formulierung vertraglicher Anweisungen

6. Verfügbarkeitskontrolle

Yext ergreift geeignete Maßnahmen, um sicherzustellen, dass die personenbezogenen Kundendaten vor versehentlicher Vernichtung oder Verlust geschützt sind. Dies geschieht insbesondere durch:

• Backup-Verfahren
• Unterbrechungsfreie Stromversorgung (USV)
• Remote-Speicherung
• Antiviren-/Firewall-Systeme

7. Trennung der Verarbeitung für verschiedene Zwecke

Yext ergreift geeignete technische und organisatorische Sicherheitsmaßnahmen, um sicherzustellen, dass personenbezogene Kundendaten, die für verschiedene Zwecke bestimmt sind, gesondert verarbeitet werden können. Dies geschieht insbesondere durch:

• Trennung von Geschäfts-IT-Systemen
• Trennung von IT-Test- und Produktionsumgebungen

Anlage 3

Länderspezifische Bedingungen

Australien

Yext wird in Bezug auf alle von Yext verarbeiteten personenbezogenen Kundendaten die australischen Datenschutzgrundsätze (APPs) einhalten, die in Schedule 1 des Privacy Act 1988 (Cth) („Privacy Act“) geregelt sind. Nichts in dieser DPA schließt Verpflichtungen, die einer Partei gemäß dem Privacy Act obliegen, aus, schränkt sie ein oder ändert sie ab.

Wenn Yext den betreffenden Verantwortlichen (bzw. den Wiederverkäufer oder die Agentur) gemäß Ziffer 9 benachrichtigt, wird Yext anschließend den betreffenden Verantwortlichen, dem Wiederverkäufer oder der Agentur die Unterstützung und die Informationen gewähren, die von diesem Verantwortlichen, dem Wiederverkäufer oder der Agentur vernünftigerweise benötigt werden, um ihre Verpflichtungen gemäß Part IIIC des Privacy Act zu erfüllen. Jede Partei muss der anderen Partei rechtzeitig jede angemessene Unterstützung gewähren, die diese benötigt, um ihren regulatorischen Verpflichtungen (soweit bestehend) gemäß dem Privacy Act nachzukommen (einschließlich der Verpflichtungen in Bezug auf meldepflichtige Datenschutzverletzung (eligible data breach) gemäß Part IIIC) und nach Treu und Glauben mit der anderen Partei in Bezug auf den Inhalt von Meldungen, die gemäß dem Privacy Act in Bezug auf eine meldepflichtige Datenschutzverletzung gemacht werden müssen, und in Bezug darauf, wer diese Meldung macht, zusammenarbeiten.

Soweit dies erforderlich ist, haben Sie sicherzustellen, dass Sie:

• • erforderlichenfalls die entsprechenden Mitteilungen über die Erhebung personenbezogener Kundendaten übermittelt haben; und
  • Ihren Verpflichtungen gemäß dem Spam Act 2003 (Cth) nachgekommen sind, einschließlich der Einholung der benötigten Zustimmungen, die es Ihnen gestatten, Yext zur entsprechenden Verarbeitung der personenbezogenen Kundendaten aufzufordern.

KANADA

In Bezug auf Kanada ist, wenn in dieser DPA von „geeigneten technischen und organisatorischen Sicherheitsmaßnahmen“ die Rede ist, dies so zu verstehen, dass „geeignete und angemessene technische und organisatorische Sicherheitsmaßnahmen“ gemeint sind.

Yext wird Aufzeichnungen führen über jede Verletzung des Schutzes personenbezogener Daten, die personenbezogene Kundendaten unter der Kontrolle von Yext betreffen, und diese mindestens 2 Jahre lang aufbewahren und dem Verantwortlichen auf Anfrage zur Verfügung stellen.