Datenverarbeitungsvereinbarung (für Kunden entsprechend DSGVO)
Diese Datenverarbeitungsvereinbarung (nachstehend „DPA“) ist Bestandteil des Rahmenvertrags (wie in den Produktbedingungen definiert) zwischen dem Kunden (nachstehend „Kunde“, „Sie“ oder „Ihnen) und der nachstehend benannten Yext-Gesellschaft („Yext“) und spiegelt die vertragliche Vereinbarung der Parteien mit Bezug auf die Verarbeitung von personenbezogenen Daten (wie nachstehend definiert) wider. Für Begriffe, die in der englischen Originalfassung dieser DPA groß geschrieben und nicht anderweitig definiert werden, gelten die Begriffsdefinitionen des Rahmenvertrags oder der Produktbedingungen, die unter diesem Link zu finden sind. Bei Widersprüchlichkeiten zwischen dieser DPA, dem Rahmenvertrag, den Produktbedingungen oder den Modellklauseln, gelten (in folgender Reihenfolge) vorrangig die Bestimmungen der folgenden Dokumente, soweit nicht ausdrücklich eine andere Vereinbarung getroffen wird: (a) die Modellklauseln, (b) diese DPA, (c) der Rahmenvertrag und (d) die Produktbedingungen.
Für die Zwecke dieser DPA gelten die folgenden Begriffsbestimmungen:
„Verbundenes Unternehmen“ bedeutet eine juristische Person, die (i) Yext kontrolliert, (ii) von Yext kontrolliert wird oder (iii) mit Yext unter gemeinsamer Kontrolle steht. Kontrolle über ein anderes Unternehmen bedeutet zu diesem Zweck die direkte Verfügungsgewalt über die Leitungsbefugnis oder die Weisungsbefugnis betreffend die Geschäftspolitik, sei es aufgrund der Eigentumsverhältnisse, durch stimmberechtigte Anteile, durch Vertrag oder anderweitig.
„Datenschutzrecht“ bedeutet das geltende Datenschutzrecht einschließlich des Datenschutzrechts der EU und der Schweiz.
„Datenschutzrecht der EU und der Schweiz“ bedeutet die Richtlinien 95/46/EG und 2002/58/EG sowie die Gesetze und/oder Vorschriften, die zur Umsetzung dieser Richtlinien dienen oder ihnen angeglichen wurden oder die diese verändern, ersetzen, ergänzen, wieder in Kraft setzen oder zusammenfassen (einschließlich, mit ihrem Inkrafttreten, der EU-Datenschutz-Grundverordnung 2016/679 (nachstehend „DSGVO“) und aller anderen einschlägigen Rechtsvorschriften mit Bezug auf die Verarbeitung personenbezogener Daten und den Datenschutz, die im jeweiligen Mitgliedstaat und der Schweiz gelten.
„Modelklauseln“ bedeutet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie der Europäischen Kommission 95/46/EG vom 5. Februar 2010 (in ihrer jeweils geltenden Fassung).
„Betreffendes Land“ bedeutet alle Länder mit Ausnahme der Mitgliedsländer des Europäischen Wirtschaftsraums (EWR), der Schweiz und anderer Länder, Gebiete sowie angegebener Sektoren, für die eine Angemessenheitsfeststellung nach dem Datenschutzrecht der EU und der Schweiz erfolgt ist.
Die Begriffe „verantwortliche Stelle“, „betroffene Personen“, „personenbezogene Daten“, „Verarbeitung“ (wobei der Begriff „Verarbeitungsverfahren“ entsprechend auszulegen ist), „Verletzung des Schutzes personenbezogener Daten“, „Auftragsverarbeiter“ bzw. „Auftragsdatenverarbeiter“ haben die Bedeutung, die im Datenschutzrecht der EU und der Schweiz definiert ist.
1. Sie stimmen zu, dass Sie verantwortliche Stelle für die personenbezogenen Daten Ihrer Kunden sind (wobei im Falle eines Vermittlungsverhältnisses oder Wiederverkäufers Ihre Kunden als Datenverantwortliche der personenbezogenen Daten ihrer jeweiligen Kunden zu betrachten sind), die Yext im Zuge der Bereitstellung der Produkt gegebenenfalls bereitgestellt werden (nachstehend „personenbezogene Daten von “). Bei der Bereitstellung der Produkte handelt Yext als Auftragsverarbeiter.
2. Yext verarbeitet die personenbezogenen Daten von Kunden ausschließlich nach Maßgabe Ihrer dokumentierten Anweisungen, wie dies in dieser DPA und dem Rahmenvertrag (einschließlich der Produktbedingungen) festgelegt ist und verarbeitet personenbezogene Daten von Kunden ausschließlich dann für andere Zwecke, wenn hierzu eine Rechtspflicht besteht; in diesem Fall unterrichtet Yext Sie vor einer Verarbeitung über diese Rechtspflicht, soweit dies rechtlich zulässig ist. Wenn Sie Vermittler oder Wiederverkäufer sind, tragen Sie dafür Sorge, dass Ihre Vertragsvereinbarung mit Ihren Kunden geeignete Bestimmungen enthält, die es Ihnen ermöglicht, ihre personenbezogene Daten von Kunden zu verarbeiten, und mit denen sichergestellt wird, dass diese die erforderliche Einwilligung zur Untervergabe der Verarbeitung der personenbezogenen Daten von Kunden an Yext und andere Unterauftragsverarbeiter erteilt haben.
3. Gegenstand der Datenverarbeitung ist die Bereitstellung der Produkte, und die Verarbeitung erfolgt bis zu dem Tag, zu dem Yext die Bereitstellung der Produkte für Sie einstellt. Ihre Rechte und Pflichten regelt der Rahmenvertrag. In Anlage 1 dieser DPA werden Art und Zweck der Verarbeitung, die Arten von personenbezogenen Daten, die Yext verarbeitet, und die Kategorien von betroffenen Personen festgelegt, deren personenbezogene Daten verarbeitet werden.
4. Yext setzt geeignete technische und betriebliche Sicherheitsmaßnahmen um (und stellt dabei auch sicher, dass Mitarbeiter von Yext, die zur Verarbeitung der personenbezogenen Daten von Kunden berechtigt sind, sich entsprechenden Verschwiegenheitspflichten unterworfen haben), um ein Maß an Sicherheit zu gewährleisten, das den Risiken, die mit der Verarbeitung von personenbezogenen Daten von Kunden verbunden sind, angemessen ist; dies schließt unter Anderem auch die Maßnahmen ein, die in den einschlägigen Rechtsvorschriften zum Datenschutz vorgesehen sind.
5. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die möglicherweise personenbezogene Daten von Kunden betrifft, setzt Yext Sie (entsprechend der uns bekannten E-Mail-Adresse) diesbezüglich unverzüglich in Kenntnis, sobald uns die Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.
6. Yext stellt Ihnen die Informationen und Unterstützung bereit, die Sie unter Anlegung vernünftiger Maßstäbe verlangen (und innerhalb des verlangten angemessenen Zeitrahmens), so dass es Ihnen ermöglicht wird, Ihren Pflichten nach dem geltenden Datenschutzrecht nachzukommen, einschließlich der Unterstützung für: (i) die Erfüllung Ihrer eigenen Sicherheitspflichten, (ii) die Erfüllung Ihrer Pflichten zur Beantwortung von Anfragen zur Ausübung der Rechte von betroffenen Personen, (iii) die Durchführung einer Datenschutzfolgenabschätzung und die Überprüfung der Verarbeitungsprozesse um sicherzustellen, dass sie nach Maßgabe der Datenschutzfolgenabschätzung erfolgt, und um Rücksprache mit der zuständigen Kontrollstelle (soweit gegeben) zu halten. Die Kosten für die Unterstützung seitens Yext nach Maßgabe dieser Regelung gehen zu Ihren Lasten.
7. Yext unterzieht die Sicherheit der Rechner und Rechenumgebungen, die er für die Verarbeitung von personenbezogenen Daten von Kunden einsetzt, einer förmlichen Prüfung. Die förmliche Prüfung (a) wird mindestens jährlich durchgeführt, (b) kann nach Wahl und auf Kosten von Yext von unabhängigen externen Sicherheitsexperten durchgeführt werden, (c) wird entsprechend dem Standard SOC2, Typ II durchgeführt, und (d) resultiert in der Erstellung eines Prüfberichts (nachstehend „Bericht“), der vertrauliche Informationen von Yext darstellt. Nach entsprechender schriftlicher Aufforderung durch Sie übermittelt Yext Ihnen eine vertrauliche Abschrift des Berichts, sodass Sie die Einhaltung der vertragsgegenständlichen Sicherheitspflichten von Yext in angemessener Weise überprüfen können.
8. Wenn Sie diese Anweisung mit Bezug auf die Wahrnehmung des Rechts auf förmliche Prüfung oder die Bereitstellung von Informationen ändern möchten, um die Einhaltung von Artikel 28 der DSGVO nachzuweisen, sind Sie (auf eigene Kosten) berechtigt, diese Anweisung zu ändern (wobei diese Änderung schriftlich erfolgen muss), stets vorausgesetzt jedoch, dass Yext nicht zur Bereitstellung von vertraulichen Informationen verpflichtet ist.
9. Yext unterrichtet Sie unverzüglich, wenn er der Auffassung ist, dass eine Ihrer nach Maßgabe von Ziffer 8 erteilten Anweisungen einen Verstoß gegen Datenschutzrecht der EU und der Schweiz darstellt, und Yext ist berechtigt, jedoch nicht verpflichtet, die Ausführung der betreffenden Anweisungen auszusetzen, bis Sie diese schriftlich bestätigen.
10. Nach Beendigung des Rahmenvertrags löscht Yext auf Ihre Anforderung alle personenbezogenen Daten von Kunden bzw. gibt diese an Sie zurück, soweit dies rechtlich zulässig ist.
11. Sie anerkennen ausdrücklich, dass Yext geeignete verbundene Unternehmen und andere geeignete Dritte als Unterauftragsverarbeiter (nachstehend zusammenfassend als „Unterauftragsverarbeiter“ bezeichnet) in Verbindung mit der Verarbeitung von personenbezogenen Daten von Kunden einsetzen kann, wobei jeder dieser Unterauftragsverarbeiter durch schriftliche Vereinbarung Datenschutzpflichten unterworfen sein muss, deren Schutzwirkung mindestens den vertragsgegenständlichen Pflichten von Yext entspricht. Yext haftet Ihnen gegenüber für die Erfüllung dieser Pflichten durch die Unterauftragsverarbeiter. Eine Liste der Unterauftragsverarbeiter steht unter https://www.yext.com/terms/subprocessors zur Verfügung, ebenso ein Mechanismus, mit dem Sie über neue Unterauftragsverarbeiter unterrichtet werden; Sie verpflichten sich, diesen Mechanismus zu abonnieren. Sie können dem Einsatz eines neuen Unterauftragsverarbeiters durch Yext durch schriftliche Mitteilung innerhalb einer Frist von zehn (10) Tagen nach Eingang einer Mitteilung nach Maßgabe des im vorstehenden Satzes festgelegten Mechanismus widersprechen. Berechtigte Widersprüche gegen einen Unterauftragsverarbeiter müssen mit Bezug auf eine Nichteinhaltung von einschlägigen datenschutzrechtlichen Vorschriften der EU und der Schweiz angemessen begründet und belegt werden. Wenn der jeweilige Widerspruch nach vernünftigem Ermessen von Yext berechtigt ist, sieht Yext vom Einsatz des betreffenden Unterauftragsverarbeiters im Zusammenhang mit der Verarbeitung von personenbezogenen Daten von Kunden ab. In diesem Fall unternimmt Yext angemessene Anstrengungen (i) Ihnen eine Änderung in den Produkten von Yext bereitzustellen oder (ii) Ihnen eine Änderung Ihrer Konfigurierung oder Nutzung der Produkte mit dem Ziel zu empfehlen, dass eine Verarbeitung von personenbezogenen Daten von Kunden durch den abgelehnten Unterauftragsverarbeiter vermieden wird. Kann Yext eine solche Änderung nicht innerhalb einer angemessenen Frist bereitstellen, so sind Sie berechtigt, die Produkte, die von Yext nicht ohne den Einsatz des abgelehnten Unterauftragsverarbeiters bereitgestellt werden können, durch schriftliche Mitteilung an Yext zu beenden. Yext erstattet Ihnen alle bereits entrichteten Gebühren für die restliche Laufzeit der betreffenden Produkte, gemessen ab dem Wirksamwerden der Beendigung des jeweils betreffenden Produkts.
12. Sie anerkennen, dass die personenbezogenen Daten von Kunden als Bestandteil der Produkte in den USA oder in einem anderen betreffenden Land, in dem die Unterauftragsverarbeiter von Yext Einrichtungen unterhalten, gespeichert werden oder dass von dort aus ein Zugriff auf die Daten erfolgen kann. Um einen angemessenen Schutz für die Datenübertragung nach Maßgabe des geltenden Datenschutzrechts der EU und der Schweiz zu gewährleisten, ist Yext, Inc. im Rahmen des EU/Schweiz-US-Datenschutzschilds beim US-Handelsministerium selbstzertifiziert; die Zertifizierung gilt auch für personenbezogene Daten von Kunden. Soweit Yext Unterauftragsverarbeiter (mit Ausnahme von Yext, Inc.) in einem betreffenden Land einsetzt, ergreift er geeignete Maßnahmen, um einen angemessenen Schutz mit Bezug auf Datenübertragungen im Sinne der DSGVO zu gewährleisten (wozu auch die Nutzung von Modellklauseln gehören kann).
Anlage 1
Informationen zur Datenverarbeitung
Betroffene Personen
Die übertragenen personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:
Mitarbeiter des Kunden;
Soweit ein Kunde das Produkt Reviews abonniert, natürliche Personen, die Bewertungen beim Kunden einreichen.
Datenkategorien
Die übertragenen personenbezogenen Daten betreffen die folgenden Datenkategorien:
Kontaktangaben, Name, E-Mail-Adresse, Lebenslauf und Titel von Mitarbeitern des Kunden;
Soweit der Kunde das Produkt Reviews abonniert, den Namen und die E-Mail-Adresse oder Mobilnummer der natürlichen Person, die eine Bewertung beim Kunden einreicht, sowie der Inhalt der Bewertung.
Besondere Datenkategorien (falls zutreffend)
Die übertragenen personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien:
Nicht zutreffend;
Yext erfasst oder verarbeitet im Zuge der Bereitstellung seiner Produkte und Dienste keine besonderen Datenkategorien vorsätzlich. Der Kunde verpflichtet sich, Yext zu keiner Zeit besondere Datenkategorien zur Verfügung zu stellen.
Verarbeitungsvorgänge
Die übertragenen personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsmaßnahmen:
Erbringung von Hosting-, Wartungs- und Supportleistungen.
