logo

Vereinbarung zum Austausch von Daten

Gültig ab: 27. September 2021

BITTE BEACHTEN SIE: WIR HABEN DIE NACHSTEHENDEN BEDINGUNGEN IM ZUSAMMENHANG MIT DEN NEUEN, VON DER EUROPÄISCHEN KOMMISSION GENEHMIGTEN STANDARDVERTRAGSKLAUSELN MIT WIRKUNG AB 27. SEPTEMBER 2021 AKTUALISIERT

HINWEISE ZU SCHIEDSVERFAHREN: SIE SIND AN DIE SCHIEDSKLAUSEL IN DEN BUSINESS-SERVICES-BEDINGUNGEN GEBUNDEN. WENN DU MIT SNAP INC. EINEN VERTRAG EINGEHST, VERZICHTST DZ UND SNAP INC. AUF JEGLICHES RECHT AUF BETEILIGUNG AN SAMMELKLAGEN ODER SAMMELSCHIEDSVERFAHREN.

Einführung

Die vorliegende Vereinbarung über den Austausch von Daten („Vereinbarung“ oder „Datenaustauschsvereinbarung“) stellt einen rechtsverbindlichen Vertrag zwischen dir und Snap dar und sie gilt in dem Umfang, wie du und Snap personenbezogene Kundendaten gemäß untenstehender Beschreibung aneinander weitergeben, und vorliegende Vereinbarung ist darüber hinaus Bestandteil der Business-Services-Bedingungen. Einige in dieser Vereinbarung verwendeten Bedingungen sind in den Business-Services-Bedingungen definiert.

1. Begriffsbestimmungen

„Personenbezogene Kundendaten“ sind die personenbezogenen Daten von betroffenen Personen im EWR, der Schweiz, im Vereinigten Königreich und in Brasilien, die dir oder Snap (die „empfangende Partei“) von der jeweils anderen Partei (die „offenlegende Partei“) zur Verfügung gestellt werden, wobei in diesem Fall sowohl die empfangende Partei als auch die offenlegende Partei jeweils ein Datenverantwortlicher ist.

„Datenschutzgesetze“ steht für diejenigen Datenschutzgesetze des EWR, der Schweiz, des Vereinigten Königreichs und Brasiliens, die für die Verarbeitung personenbezogener Kundendaten im Rahmen der vorliegenden Vereinbarung gelten, einschließlich der DSGVO, der Datenschutzgesetze des Vereinigten Königreichs und des LGPD.

„EWR“ steht für den Europäischen Wirtschaftsraum.

„DSGVO“ steht für die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

„LGPD“ steht für das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais).

„Verletzung des Schutzes personenbezogener Daten“ steht für die versehentliche oder unrechtmäßige Vernichtung, den Verlust, die Veränderung, eine unbefugte Offenlegung oder den unbefugten Zugriff auf personenbezogene Kundendaten in Systemen, die von einer der Parteien verwaltet oder kontrolliert werden.

„VK“ steht für das Vereinigte Königreich.

„Datenschutzgesetze des Vereinigten Königreichs“ steht für die DSGVO, die gemäß Abschnitt 3 des EU-Austrittsgesetz 2018 („EU Withdrawal Act 2018” – EUAG) und Datenschutzgesetz Data Protection Act 2018 Teil der Gesetze von England und Wales, Schottland und Nordirland ist.

Die in dieser Vereinbarung verwendeten Begriffe „personenbezogene Daten“, „betroffene Person“, „Verarbeitung“, „Datenverantwortlicher“, „Auftragsverarbeiter“, „Vertreter“ und „Aufsichtsbehörde“ haben jeweils die in der DSGVO, den entsprechenden Datenschutzgesetzen des Vereinigten Königreichs und im LGPD angegebene Bedeutung, unabhängig davon, ob diese Datenschutzgesetze anwendbar sind oder nicht.

2. Rollen und Einschränkungen

a. Rollen der Parteien Du und Snap sind jeweils ein unabhängiger Datenverantwortlicher für die personenbezogenen Kundendaten, und als solcher übernimmt jeder der Datenverantwortlichen unabhängig vom anderen gemäß vorliegender Vereinbarung und den Business-Services-Bedingungen (einschließlich aller Zusatzbedingungen und -richtlinien) die Festlegung der Zwecke und Mittel der Verarbeitung der personenbezogenen Kundendaten gemäß der anwendbaren Datenschutzgesetze.

b. Transparenz und Datenschutzrechte. Du und Snap werden die betroffenen Personen individuell informieren und ihnen die Ausübung ihrer Rechte gemäß den Datenschutzgesetzen ermöglichen.

c. Die Datenverarbeitung im Einzelnen. Der Gegenstand und die Details der Verarbeitung sind in Anhang 1 dieser Vereinbarung beschrieben.

d. Beachtung der Gesetze. Jede Partei erklärt sich damit einverstanden, dass sie ihre Verpflichtungen gemäß den Datenschutzgesetzen in Bezug auf alle personenbezogenen Kundendaten erfüllt, die sie im Rahmen dieser oder in Bezug auf diese Vereinbarung verarbeitet.

e. Datensicherheit. Gemäß den Datenschutzgesetzen ergreift und unterhält jede Partei alle geeigneten, technischen, administrativen und organisatorischen Maßnahmen, die zu Folgendem erforderlich sind: (i) Gewährleistung eines Vertraulichkeits- und Sicherheitsniveaus, das den Risiken der Verarbeitung und der Art der personenbezogenen Kundendaten angemessen ist; und (ii) Verhinderung einer unbefugten oder unrechtmäßigen Verarbeitung personenbezogener Kundendaten, eines unbeabsichtigten Verlusts, einer Offenlegung oder Zerstörung oder einer Schädigung personenbezogener Kundendaten.

f. Vertraulichkeit. Jede der Parteien stellt sicher, dass nur Mitarbeiter, die gegebenenfalls bei der Erfüllung der Verpflichtungen der Parteien gemäß den Business-Services-Bedingungen oder dieser Vereinbarung behilflich sein müssen, Zugriff auf personenbezogene Kundendaten haben und dass diese Mitarbeiter an angemessene Vertraulichkeitsverpflichtungen gebunden sind, und darüber hinaus müssen die Parteien alle angemessenen Schritte in Übereinstimmung mit den besten Branchenpraktiken ergreifen, um die Vertraulichkeit der personenbezogenen Kundendaten zu gewährleisten.

3. Verletzung des Schutzes personenbezogener Daten

a. Benachrichtigung Du musst Snap so unverzüglich wie möglich und unter keinen Umständen später als 72 Stunden nach Bekanntwerden von einer erfolgten Verletzung des Schutzes personenbezogener Daten benachrichtigen. Du stellst Snap außerdem eine Beschreibung der Verletzung des Schutzes personenbezogener Daten, der Art der Daten, die Gegenstand der Verletzung des Schutzes personenbezogener Daten waren, soweit bekannt die Kategorien der betroffenen Personen sowie alle sonstigen Informationen zur Verfügung, die nach den geltenden Datenschutzgesetzen erforderlich sind, sobald diese Informationen erfasst werden können oder anderweitig verfügbar sind, und du wirst jeder angemessenen Anfrage von Snap in Bezug auf die Verletzung des Schutzes personenbezogener Daten nachkommen.

b. Untersuchung Du erklärst sich damit einverstanden, unverzüglich Maßnahmen zu ergreifen, um die vorgefallene Verletzung des Schutzes personenbezogener Daten zu untersuchen, die Auswirkungen einer solchen Verletzung des Schutzes personenbezogener Daten zu erkennen, zu verhindern und abzumildern, und mit vorheriger Zustimmung seitens Snap alle Wiederherstellungs- oder sonstigen Maßnahmen zu ergreifen, die zur Behebung der Verletzung des Schutzes personenbezogener Daten erforderlich sind.

4. Datenübertragungen

a. Wenn es zu Übertragungen personenbezogener Kundendaten von einer Partei an die andere außerhalb des EWR oder des Vereinigten Königreichs kommt, gilt die Datenübertragungsvereinbarung Folgendes – sie:

(i) gilt für solche Übertragungen; 

(ii) hat Vorrang vor allen anderen Bedingungen, einschließlich der Bedingungen dieser Vereinbarung, in Bezug auf solche Übertragungen;

(iii) bildet einen rechtsverbindlichen Vertrag zwischen dir als dem Datenexporteur und Snap als oder im Namen des Datenimporteurs; und 

(iv) wird hiermit in die Business-Services-Bedingungen aufgenommen. 

b. In Bezug auf personenbezogene Daten von betroffenen Personen im EWR, der Schweiz und im Vereinigten Königreich stimmen du und Snap zu, dass die jeweils andere Partei personenbezogene Kundendaten überall dort außerhalb des EWR, der Schweiz und des Vereinigten Königreichs verarbeiten darf, wo die Anforderungen der geltenden Datenschutzgesetze (einschließlich gegebenenfalls Artikel 44 bis 47 DSGVO) erfüllt sind oder eine Ausnahmeregelung (einschließlich gegebenenfalls der in Artikel 49 DSGVO aufgeführten Daten) gilt.

c. In Bezug auf personenbezogene Daten brasilianischer betroffener Personen vereinbaren du und Snap, dass jede der Parteien personenbezogene Kundendaten außerhalb Brasiliens verarbeiten darf, und jede der Parteien sichert zu und gewährleistet, dass eine solche Übertragung personenbezogener Kundendaten in Übereinstimmung mit dem LGPD erfolgt.

6. Konflikte

Wenn diese Vereinbarung oder die Datenübertragungsvereinbarung im Widerspruch zu den Business-Services-Bedingungen, zusätzlichen Bedingungen und Richtlinien oder den Snap-Nutzungsbedingungen steht, dann gelten je nach dem Ausmaß des Konflikts in absteigender Reihenfolge die folgenden Dokumente und Regelungen: Datenübertragungsvereinbarung (doch nur in dem Umfang gemäß obigem Abschnitt 4.a), die vorliegende Vereinbarung, die zusätzlichen Bedingungen und Richtlinien, die Business-Services-Bedingungen und die Snap-Nutzungsbedingungen.

Übersicht 1: Angaben zum Austausch von Daten
A. Liste der Parteien
Datenexporteur(e)

Du bist die Daten übermittelnde Stelle („Datenexporteur“) mit dem Namen, der Adresse und den Kontaktangaben, die du Snap über die Business Services zur Verfügung gestellt hast. Zu den Aktivitäten, die für die gemäß vorliegenden Klauseln übermittelten Daten relevant sind, gehört die Verwendung der maßgeblichen Business Services gemäß den Business-Services-Bedingungen sowie den anwendbaren Zusatzbedingungen und -richtlinien. Der Datenexporteur übernimmt jeweils die Rolle des Datenverantwortlichen. 

Datenimporteur(e)

Datenimporteur ist dann Snap Inc. mit der Adresse 3000 31st Street, Santa Monica, Kalifornien 90405, wenn der Datenexporteur im Rahmen vorliegender Vereinbarung personenbezogene Daten an Snap Inc. übermittelt. Zu den Aktivitäten, die für die gemäß vorliegenden Klauseln übermittelten Daten relevant sind, gehört die Verwendung der entsprechenden Business Services gemäß den Business-Services-Bedingungen sowie den anwendbaren Zusatzbedingungen und -richtlinien. Der Datenimporteur übernimmt die Rolle des Datenverantwortlichen.

B. Beschreibung der Übertragung

Die von Snap im Rahmen vorliegender Vereinbarung durchgeführten Datenaustauschsaktivitäten sind die folgenden:

Gegenstand der Vereinbarung

Die Bereitstellung der Business Services für dich durch Snap.

Art und Zweck

Der Austausch von Daten dient dem Zweck, dass Snap dir die Business Services gemäß den Business-Services-Bedingungen und der vorliegenden Vereinbarung zur Verfügung stellt.

Datenkategorien

Personenbezogene Kundendaten in Bezug auf Personen, die der empfangenden Partei von der offenlegenden Partei über die Business Services zur Verfügung gestellt werden, einschließlich Folgender:

  • Email-Adresse

  • Telefonnummer

  • Mobilanzeigen-ID (IDFA/AAID)

  • IP-Adresse

  • Cookie-ID

  • Nutzer-Agent des Browsers

  • Demografische Daten

  • Verbindungen zwischen Nutzern

  • Sitzung, Transaktion und Benutzer-IDs

  • Geschlecht, Größe, Gewicht, Alter und andere persönliche Merkmale

  • Produktdaten wie Produkt-ID, Produktkategorienpfad, Produktbeschreibung, Größenangaben, EAN, Produktfarbe und Passformbeschreibung

  • Transaktionsdaten etwa zu Käufen und Produktrückgaben

  • Aktionen und Ereignisse auf Websites und Apps, einschließlich aufgerufener Seiten, Käufe, Suchvorgänge, Check-out-Ereignisse, Wunschlisten, Installationen und Benutzerregistrierungsmethoden

  • Fotos

Übertragene sensible Daten

Nicht anwendbar

Häufigkeit der Übertragung 

Kontinuierlich

Betroffene Personen

Zu den betroffenen Personen gehören Personen aus dem EWR, der Schweiz, dem Vereinigten Königreich und Brasilien, über welche die offenlegende Partei der empfangenden Partei über die Business Services personenbezogene Daten zur Verfügung stellt.

C. Zuständige Aufsichtsbehörde

Die zuständige Aufsichtsbehörde ist die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens, AP).

Übersicht 2: Sicherheitsmaßnahmen von Snap

1. Implementierung und Einhaltung eines schriftlichen Informationssicherheitsprogramms im Einklang mit etablierten Industriestandards und einschließlich administrativer, technischer und physischer Sicherheitsvorkehrungen, die der Art der personenbezogenen Kundendaten angemessen sind und zum Schutz dieser Informationen ausgelegt sind vor: unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung, unbefugtem Zugriff oder Verwendung, die zu erheblichem Schaden oder Unannehmlichkeiten für den Datenverantwortlichen, die Kunden des Datenverantwortlichen oder die Mitarbeiter des Datenverantwortlichen führen könnten, und allen erwarteten Bedrohungen oder Gefahren für die Sicherheit oder Integrität dieser Informationen zu schützen.

2. Annahme und Implementierung angemessener Richtlinien und Standards im Hinblick auf die Sicherheit

3. Zuweisung der Verantwortung für das Informationssicherheitsmanagement

4. Bereitstellung angemessener Personalressourcen für die Informationssicherheit

5. Durchführung von Verifizierungsprüfungen bei festangestellten Mitarbeitern, die Zugriff auf die personenbezogenen Kundendaten haben

6. Durchführung angemessener Hintergrundprüfungen und Verpflichtung von Mitarbeitern, Lieferanten und anderen mit Zugriff auf die personenbezogenen Kundendaten, schriftliche Vertraulichkeitsvereinbarungen abzuschließen

7. Durchführung von Schulungen, um Mitarbeiter und andere Personen mit Zugang zu personenbezogenen Kundendaten für die Risiken der Informationssicherheit zu sensibilisieren und die Einhaltung der Richtlinien und Standards von Snap in Bezug auf Daten zu verbessern

8. Verhinderung des unbefugten Zugriffs auf die personenbezogenen Kundendaten durch den Einsatz gegebenenfalls physischer und logischer Zugriffskontrollen (Passwörter), von Sicherheitsbereichen für die Datenverarbeitung, von Verfahren zur Überwachung der Nutzung von Datenverarbeitungseinrichtungen und von integrierten Systemprüfpfaden, der Verwendung sicherer Passwörter, von Technologien zur Erkennung von Netzwerkeindringlingen, von Verschlüsselungs- und Authentifizierungstechnologien, von sicheren Anmeldeverfahren und von Virenschutz, fortlaufender Überwachung der Einhaltung der Richtlinien und Standards von Snap in Bezug auf den Datenschutz. Insbesondere hat Snap Folgendes implementiert und befolgt, soweit angemessen und ohne Einschränkung:

  • Physische Zugriffskontrollmaßnahmen zur Verhinderung des unbefugten Zugriffs auf Datenverarbeitungssysteme (z. B. Zugangspasskarten, Kartenleser, Schreibtischbeamte, Alarmsysteme, Bewegungsmelder, Einbruchsalarm, Videoüberwachung und Außensicherheit);

  • Kontrollmaßnahmen zur Denial-of-Use-Kontrolle zur Verhinderung der unbefugten Nutzung von Datenschutzsystemen (z. B. automatisch erzwungene Komplexität der Passwörter und Änderungsanforderungen und Firewalls) ;

  • Anforderungsgesteuertes Autorisierungsschema und Zugriffsrechte sowie Überwachung und Protokollierung des Systemzugriffs, um sicherzustellen, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, nur Zugriff auf die Daten haben, auf die sie ein Zugriffsrecht haben, und dass die personenbezogenen Kundendaten nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können;

  • Maßnahmen zur Kontrolle der Datenübertragung, um sicherzustellen, dass die personenbezogenen Kundendaten während der elektronischen Übertragung, des Transports oder der Speicherung auf Datenträgern und der Übertragung und dem Empfang von Aufzeichnungen nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können. Im Besonderen wird das Informationssicherheitsprogramm von Snap konzipiert:

    • Zur Verschlüsselung aller Datensätze bei der Speicherung, die sich im Besitz von Snap befinden, einschließlich sensibler personenbezogener Daten, bei der Speicherung geeignete Verschlüsselungsstufen auf der Grundlage branchenführender Verschlüsselungsstandards, einschließlich AES -256, zu verwenden und die Speicherung von Benutzeridentitäten auf dem System unter Verwendung von Schlüssel-Wert-Paaren wie ghost_id, um die Speicherung der tatsächlichen Benutzer-ID zu verhindern; und

    • Um sicherzustellen, dass alle sensiblen persönlichen Daten, die elektronisch (außer per Fax) an eine (natürliche) Person außerhalb des IT-Systems von Snap oder über ein öffentliches Netz übertragen werden, mit den neuesten unterstützten Versionen des TLS 1.2-Protokolls verschlüsselt werden, um die Sicherheit der Übertragung zu gewährleisten;

  • Maßnahmen zur Kontrolle der Dateneingabe, um sicherzustellen, dass Snap überprüfen und feststellen kann, ob und von wem die personenbezogenen Kundendaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden;

  • Kontinuierliche Sicherheitstestmaßnahmen zur Sicherstellung, dass die Praktiken der Informationssicherheit relevant, wirksam und auf dem neuesten Stand bleiben, einschließlich jährlicher Penetrationstests, Bug-Bounty-Programme, Verwendung von System-Scanning-Tools, Tabletop-Übungen, Backup-Wiederherstellungstests, Vorproduktions-Failover und Durchführung von Nachberichten bei allen tatsächlichen Vorfällen, um die relevanten Notfallwiederherstellungspläne zu aktualisieren;

  • Überwachungsmaßnahmen für Unterauftragsverarbeiter, um sicherzustellen, falls Snap die Erlaubnis hat, Unterauftragsverarbeiter einzusetzen, dass die personenbezogenen Kundendaten streng in Übereinstimmung mit den Anweisungen des Datenverantwortlichen verarbeitet werden, einschließlich, soweit angemessen:

    • Maßnahmen, die sicherstellen, dass die personenbezogenen Kundendaten vor versehentlicher Zerstörung oder Verlust geschützt sind, einschließlich, soweit angemessen und ohne Einschränkung, Datensicherungs-, Aufbewahrungs- und sichere Vernichtungsrichtlinien; sichere externe Speicherung von Daten, die für die Wiederherstellung im Katastrophenfall ausreicht; unterbrechungsfreie Stromversorgung und Notfallwiederherstellungsprogramme; und

    • Maßnahmen, die sicherstellen, dass die für verschiedene Zwecke erhobenen Daten getrennt verarbeitet werden können, einschließlich gegebenenfalls physischer oder angemessener logischer Trennung der personenbezogenen Kundendaten. 

9. Ergreifung sonstiger Maßnahmen, die unter den gegebenen Umständen angemessen sein können