Datenverarbeitungsvereinbarung
Gültig ab: 21. September 2022
Datenverarbeitungsvereinbarung
Gültig ab: 21. September 2022
HINWEIS ZU SCHIEDSVERFAHREN: DU BIST AN DIE BESTIMMUNGEN ZU SCHIEDSVERFAHREN IN DEN BUSINESS-SERVICES-BEDINGUNGEN GEBUNDEN. WENN SIE MIT SNAP INC. EINEN VERTRAG EINGEHEN, VERZICHTEN SIE UND SNAP INC. AUF JEGLICHES RECHT AUF BETEILIGUNG AN SAMMELKLAGEN ODER SAMMELSCHIEDSVERFAHREN.
Diese Datenverarbeitungsvereinbarung („Vereinbarung“) stellt einen rechtsverbindlichen Vertrag zwischen dir und Snap dar. Sie gilt für den Umfang, in dem Snap personenbezogene Kundendaten in deinem Namen verarbeitet, wenn du der Datenverantwortliche bist, und ist Bestandteil der Business–Services–Bedingungen. Einige in dieser Vereinbarung verwendeten Bedingungen sind in den Business-Services-Bedingungen definiert.
„Personenbezogene Kundendaten“ sind die personenbezogenen Daten, die dir von betroffenen Personen im EWR, der Schweiz, im Vereinigten Königreich und in Brasilien zur Verfügung gestellt werden, wenn du der Datenverantwortliche bist.
„Datenverantwortlicher“ steht für den Verantwortlichen im Sinne der DSGVO, der DSGVO des Vereinigten Königreichs oder des LGPD in ihrem jeweiligen Geltungsbereich und somit für die Person, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung der personenbezogenen Kundendaten bestimmt.
„Datenschutzgesetze“ steht für die Datenschutzgesetze des EWR, der Schweiz, des Vereinigten Königreichs und Brasiliens, die für die Verarbeitung personenbezogener Kundendaten im Rahmen der vorliegenden Vereinbarung gelten, einschließlich der DSGVO, der Datenschutzgesetze des Vereinigten Königreichs und des LGPD.
„EWR“ steht für den Europäischen Wirtschaftsraum.
„DSGVO“ steht für die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
„LGPD“ steht für das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais).
„Verletzung des Schutzes personenbezogener Daten" steht für die versehentliche oder unrechtmäßige Vernichtung, den Verlust, die Veränderung, eine unbefugte Offenlegung oder den unbefugten Zugriff auf personenbezogene Kundendaten in Systemen, die von Snap verwaltet oder kontrolliert werden.
„Unterauftragsverarbeiter“ steht für Dritte, die im Rahmen dieser Vereinbarung auf personenbezogene Kundendaten zugreifen und diese verarbeiten, um Leistungen der Business Services zu erbringen.
„VK“ steht für das Vereinigte Königreich.
„Datenschutzgesetze des Vereinigten Königreichs“ steht für die DSGVO, die gemäß Abschnitt 3 des EU-Austrittsgesetz 2018 („EU Withdrawal Act 2018” – EUAG) und Datenschutzgesetz Data Protection Act 2018 Teil der Gesetze von England und Wales, Schottland und Nordirland ist.
Die in dieser Vereinbarung verwendeten Begriffe „personenbezogene Daten“, „betroffene Person“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Vertreter“ und „Aufsichtsbehörde“ haben die in der DSGVO, der DSGVO des Vereinigten Königreichs oder des LGPD angegebenen Bedeutungen, unabhängig davon, ob dieses Datenschutzgesetz anwendbar ist oder nicht.
a. Rollen der Parteien Snap verarbeitet personenbezogene Kundendaten im Namen und wie vom Datenverantwortlichen angewiesen gemäß Artikel 28 (1) DSGVO, UK DSGVO und LGPD, soweit anwendbar.
b. Bestimmung Der Datenverantwortliche beauftragt Snap mit der Verarbeitung der personenbezogenen Kundendaten im Namen des Datenverantwortlichen nur in dem Maße, wie es für die Erbringung der Business Services erforderlich ist und wie nachfolgend von den Parteien schriftlich vereinbart werden kann.
c. Legitimität der Verarbeitung Der Datenverantwortliche ist dafür verantwortlich, eine gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Kundendaten sicherzustellen.
d. Details der Verarbeitung Der Gegenstand und die Details der Verarbeitung sind in Anhang 1 dieser Vereinbarung beschrieben.
e. Einhaltung der Gesetze Jede Partei erklärt sich damit einverstanden, dass sie ihre Verpflichtungen gemäß dem Datenschutzgesetz in Bezug auf alle personenbezogenen Kundendaten einhält, die sie im Rahmen oder in Bezug auf diese Vereinbarung verarbeitet. Unbeschadet des Vorstehenden wird Snap die personenbezogenen Kundendaten nicht auf eine Weise verarbeiten, die dazu führen wird oder wahrscheinlich dazu führen wird, dass der Datenverantwortliche seine Verpflichtungen gemäß dem Datenschutzgesetz verletzt. Snap wird den Datenverantwortlichen unverzüglich informieren, wenn Snap der Ansicht ist, dass die Anweisungen des Datenverantwortlichen gegen das Datenschutzgesetz verstoßen.
a. Verarbeitung personenbezogener Kundendaten Snap verarbeitet personenbezogene Kundendaten nur in Übereinstimmung mit den Business-Services-Bedingungen und dieser Vereinbarung und verwendet oder verarbeitet personenbezogene Kundendaten nur in seiner Eigenschaft als vom Datenverantwortlichen ernannter Datenverarbeiter.
b. Datensicherheit In Übereinstimmung mit Artikel 32 DSGVO, UK DSGVO und LGPD, soweit anwendbar, und wie in Anhang 2 dieser Vereinbarung beschrieben, wird Snap alle erforderlichen geeigneten technischen, administrativen und organisatorischen Maßnahmen umsetzen und aufrechterhalten, um: (i) ein Maß an Vertraulichkeit und Sicherheit zu gewährleisten, das den Risiken entspricht, die durch die Verarbeitung und die Art der personenbezogenen Kundendaten entstehen; und (ii) die unbefugte oder unrechtmäßige Verarbeitung personenbezogener Kundendaten sowie den versehentlichen Verlust, die Offenlegung, die Zerstörung oder die Beschädigung personenbezogener Kundendaten zu verhindern.
c. Geheimhaltung Snap wird personenbezogene Kundendaten nicht an Dritte veröffentlichen, offenlegen oder weitergeben (und wird sicherstellen, dass seine Mitarbeiter keine personenbezogenen Kundendaten an Dritte veröffentlichen, offenlegen oder weitergeben), es sei denn, der Datenverantwortliche hat seine vorherige schriftliche Einwilligung erteilt.
d. Vertraulichkeit Snap stellt sicher, dass nur Mitarbeiter, die möglicherweise bei der Erfüllung ihrer Verpflichtungen gemäß den Business-Services-Bedingungen oder dieser Vereinbarung behilflich sein müssen, Zugriff auf personenbezogene Kundendaten haben und dass diese Mitarbeiter an angemessene Vertraulichkeitsverpflichtungen gebunden sind, und alle angemessenen Schritte in Übereinstimmung mit den besten Branchenpraktiken ergreifen, um die Vertraulichkeit der personenbezogenen Kundendaten zu gewährleisten.
e. Zusammenarbeit Snap wird dem Datenverantwortlichen angemessene Zusammenarbeit und Unterstützung anbieten, soweit der Datenverantwortliche dies vernünftigerweise verlangen kann, damit der Datenverantwortliche seinen Verpflichtungen gemäß Artikel 32 bis 36 DSGVO, UK DSGVO und LGPD, soweit anwendbar, nachkommen kann, einschließlich in Bezug auf Datensicherheit, Benachrichtigung über Verletzungen des Datenschutzes, Datenschutz-Folgenabschätzungen, vorherige Konsultation mit Aufsichtsbehörden, Erfüllung der Rechte der betroffenen Personen und jede Anfrage, Mitteilung oder Untersuchung durch eine Aufsichtsbehörde, wie in dieser Vereinbarung näher ausgeführt.
f. Datensubjekt und Aufsichtsanfragen Snap informiert den Datenverantwortlichen unverzüglich, in jedem Fall innerhalb von zwei Werktagen, über jede Anfrage oder Beschwerde, die Snap von einem Datensubjekt oder einer Aufsichtsbehörde in Bezug auf personenbezogene Kundendaten erhält. Snap unterstützt den Datenverantwortlichen, soweit dies wirtschaftlich vertretbar ist, bei der Erfüllung der Verpflichtung des Datenverantwortlichen, auf Anfragen von Datensubjekten und Aufsichtsbehörden zu reagieren, wie dies durch das Datenschutzgesetz vorgeschrieben ist.
g. Datenschutz-Folgenabschätzung Auf Anfrage stellt Snap dem Datenverantwortlichen wirtschaftlich angemessene Informationen und Unterstützung zur Verfügung, unter Berücksichtigung der Art der Verarbeitungstätigkeit und der Snap zur Verfügung stehenden Informationen, um den Datenverantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung zu unterstützen, wie es das Datenschutzgesetz verlangt.
h. Bereitstellung von Beweisen Während der Laufzeit dieser Vereinbarung und für einen Zeitraum von einem Jahr danach stellt Snap dem Datenverantwortlichen oder einer international anerkannten Wirtschaftsprüfungsgesellschaft, die im Auftrag des Datenverantwortlichen handelt, alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um nachzuweisen, dass Snap diese Vereinbarung einhält, und Snap wird Prüfungen durch den Datenverantwortlichen oder seine Vertreter, die durch entsprechende Vertraulichkeitsverpflichtungen gebunden sind, zulassen und dazu beitragen; wenn (i) der Datenverantwortliche dies mindestens zehn Werktage im Voraus schriftlich ankündigt; (ii) eine solche Prüfung während der normalen Geschäftszeiten von Snap und in einer Weise durchgeführt wird, die den normalen Geschäftsbetrieb von Snap nicht unangemessen beeinträchtigt; (iii) eine solche Prüfung nicht länger als insgesamt drei Geschäftstage dauert; (iv) der Datenverantwortliche (oder, um Zweifel auszuschließen, jeder autorisierte Drittprüfer) in keinem Fall berechtigt ist, auf geschützte oder vertrauliche Informationen von Snap zuzugreifen oder diese zu erhalten, es sei denn, dies ist unbedingt erforderlich, um die Einhaltung dieser Vereinbarung nachzuweisen; und (v) der Datenverantwortliche ist verpflichtet, Snap die nachgewiesenen angemessenen Kosten zu erstatten, wenn diese Prüfung ergibt, dass Snap diese Vereinbarung einhält. Sollte bei der Prüfung festgestellt werden, dass Snap die Bestimmungen dieser Vereinbarung nicht einhält, ist Snap verpflichtet, alle angemessenen Kosten einer solchen Prüfung zu tragen.
i. Rückgabe oder Zerstörung personenbezogener Kundendaten Nach Erfüllung der Verpflichtungen von Snap in Bezug auf die Verarbeitung personenbezogener Kundendaten im Rahmen dieser Vereinbarung oder auf Anfrage des Datenverantwortlichen jederzeit während der Laufzeit dieser Vereinbarung (und auf Anfrage des Datenverantwortlichen in regelmäßigen Abständen, die vom Datenverantwortlichen festgelegt werden), wird Snap entweder: (i) alle oder Teile der personenbezogenen Kundendaten im Besitz von Snap an den Datenverantwortlichen zurückgeben; (ii) alle oder einen Teil der personenbezogenen Kundendaten so anonymisieren, dass die Daten keine personenbezogenen Daten mehr darstellen; oder (iii) die personenbezogenen Kundendaten vollständig oder teilweise dauerhaft löschen oder unlesbar machen. Auf Anfrage des Datenverantwortlichen muss Snap dem Datenverantwortlichen eine schriftliche Bestätigung der Anonymisierung, Rückgabe und Löschung personenbezogener Kundendaten vorlegen.
j. Gehashte personenbezogene Kundendaten Wenn Snap personenbezogene Kundendaten in gehashtem oder anderweitig verschleiertem Format erhält, wird Snap: (i) nicht versuchen, die gehashten oder verschleierten personenbezogenen Daten des Datenverantwortlichen zurückzuentwickeln oder anderweitig zu versuchen, sie neu zu identifizieren, es sei denn, der Datenverantwortliche weist Snap an, dies zu tun; und (ii) die personenbezogenen Kundendaten nur in dem Format weitergeben, in dem Snap sie vom Datenverantwortlichen erhalten hat.
a. Benachrichtigung In Übereinstimmung mit Artikel 33 DSGVO, UK DSGVO und LGPD, soweit anwendbar, wird Snap den Datenverantwortlichen unverzüglich und – soweit möglich – nicht länger als 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen. Snap stellt dem Datenverantwortlichen auch eine Beschreibung der Verletzung des Schutzes personenbezogener Daten, der Art der Daten, die Gegenstand der Verletzung des Schutzes personenbezogener Daten waren, (soweit Snap bekannt) die Kategorien von betroffenen Datensubjekten und anderer Informationen, die durch das anwendbare Datenschutzgesetz gefordert werden, zur Verfügung, sobald diese Informationen erfasst werden können oder anderweitig verfügbar werden, und Snap wird mit jeder angemessenen Anfrage des Datenverantwortlichen in Bezug auf die Verletzung des Schutzes personenbezogener Daten zusammenarbeiten.
b. Untersuchung Snap erklärt sich damit einverstanden, unverzüglich Maßnahmen zu ergreifen, um die Verletzung des Schutzes personenbezogener Daten zu untersuchen, die Auswirkungen einer solchen Verletzung des Schutzes personenbezogener Daten zu erkennen, zu verhindern und abzumildern, und mit vorheriger Zustimmung des Datenverantwortlichen, alle Wiederherstellungs- oder andere Maßnahmen durchzuführen, die zur Behebung der Verletzung des Schutzes personenbezogener Daten erforderlich sind.
a. Autorisierte Unterauftragsverarbeiter Der Datenverantwortliche autorisiert ausdrücklich das Engagement der verbundenen Unternehmen von Snap mit der Verarbeitung personenbezogener Kundendaten, und der Datenverantwortliche autorisiert generell das Engagement anderer Dritter als Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Kundendaten.
b. Verpflichtungen des Unterauftragsverarbeiters In Übereinstimmung mit Artikel 28 (4) DSGVO, UK DSGVO und LGPD, soweit anwendbar, legt Snap jedem Unterauftragsverarbeiter rechtsverbindliche Vertragsbedingungen auf, die ebenso restriktiv sind wie die in dieser Vereinbarung enthaltenen.
c. Eingeschränkter Zugriff Snap stellt sicher, dass jeder Unterauftragsverarbeiter nur in dem Umfang auf die personenbezogenen Kundendaten zugreift und diese verwendet, wie dies zur Erfüllung der mit ihm untervertraglich eingegangenen Verpflichtungen und in Übereinstimmung mit dieser Vereinbarung erforderlich ist.
d. Updates von Unterauftragsverarbeitern In Übereinstimmung mit Artikel 28 (2) DSGVO und UK DSGVO (soweit anwendbar) folgt hier eine aktuelle Liste von: (i) allen Unterauftragsverarbeitern, die an der Verarbeitung personenbezogener Kundendaten beteiligt sind; (ii) den Zwecken, für die die Unterauftragsverarbeiter personenbezogene Kundendaten verarbeiten; und (iii) dem Standort jedes Unterauftragsverarbeiters. Snap wird den Datenverantwortlichen mindestens 30 Tage vor dem Hinzufügen eines neuen Unterauftragsverarbeiters benachrichtigen.
e. Widerspruchsrecht Der Datenverantwortliche hat das Recht, der Hinzufügung eines neuen Unterauftragsverarbeiters, wie in diesem Abschnitt beschrieben, zu widersprechen. Für den Fall, dass der Datenverantwortliche der Verarbeitung von personenbezogenen Kundendaten durch einen neu ernannten Unterauftragsverarbeiter widerspricht, wird er Snap unverzüglich darüber informieren, wonach Snap entweder: (i) den Unterauftragsverarbeiter anweist, die weitere Verarbeitung von personenbezogenen Kundendaten einzustellen, in welchem Fall diese Vereinbarung unberührt bleibt; oder (ii) dem Datenverantwortlichen gestattet, diese Vereinbarung sofort zu kündigen.
a. Wenn der Datenverantwortliche im EWR, in der Schweiz oder im Vereinigten Königreich niedergelassen ist und personenbezogene Daten an Snap Inc. übermittelt, findet die Datenübertragungsvereinbarung Anwendung:
(i) gilt für solche Übertragungen;
(ii) hat Vorrang vor allen anderen Bedingungen, einschließlich der Bedingungen dieser Vereinbarung, in Bezug auf solche Übertragungen;
(iii) bildet einen rechtsverbindlichen Vertrag zwischen dir als dem Datenexporteur und Snap als oder im Namen des Datenimporteurs; und
(iv) wird hiermit in die Business-Services-Bedingungen aufgenommen.
b. In Bezug auf personenbezogene Daten von Datensubjekten im EWR, der Schweiz und im Vereinigten Königreich stimmen der Datenverantwortliche und Snap zu, dass Snap personenbezogene Kundendaten außerhalb des EWR, der Schweiz und im Vereinigten Königreich verarbeiten darf, wo die Anforderungen des Datenschutzgesetzes (einschließlich gegebenenfalls Artikel 44 bis 47 DSGVO) erfüllt sind oder eine Ausnahme (einschließlich gegebenenfalls der in Artikel 49 DSGVO aufgeführten Daten) gilt.
c. In Bezug auf personenbezogene Daten brasilianischer Datensubjekte stimmt der Datenverantwortliche zu, dass Snap personenbezogene Kundendaten außerhalb Brasiliens verarbeiten darf, und sichert zu und garantiert, dass eine solche Übertragung personenbezogener Kundendaten in Übereinstimmung mit LGPD erfolgt.
a. Haftungsfreistellung Snap erklärt sich damit einverstanden, den Datenverantwortlichen von allen Beschwerden, Anklagen, Ansprüchen, Schäden, Verlusten, Kosten, Verbindlichkeiten und Ausgaben Dritter freizustellen, die sich aus der Verletzung dieser Vereinbarung durch Snap ergeben oder in irgendeiner Weise damit zusammenhängen.
b. Haftungsfreistellungsverfahren Der Datenverantwortliche informiert Snap unverzüglich schriftlich über jeden Entschädigungsanspruch, jedoch entbindet ein Versäumnis, Snap zu benachrichtigen, Snap nicht von seiner Entschädigungspflicht oder -verpflichtung, es sei denn, Snap wird durch dieses Versäumnis wesentlich beeinträchtigt. Der Datenverantwortliche wird auf Kosten von Snap in angemessenem Umfang mit Snap zusammenarbeiten, um Entschädigungsansprüche abzuweisen, zu vergleichen oder zu erfüllen. Snap wird ohne die vorherige schriftliche Zustimmung des Datenverantwortlichen, die der Datenverantwortliche nach eigenem Ermessen vorlegen kann, keinen Vergleich schließen oder Ansprüche auf irgendeine Weise begleichen oder eine Haftung anerkennen. Der Datenverantwortliche kann (auf eigene Kosten) mit einem Anwalt seiner Wahl an der Abwehr, dem Vergleich und der Beilegung des Anspruchs mitwirken.
c. Haftung des Unterauftragsverarbeiters Snap erkennt an und erklärt sich damit einverstanden, dass es gegenüber dem Datenverantwortlichen für einen Verstoß gegen die Bedingungen dieser Vereinbarung durch einen Unterauftragsverarbeiter und alle weiteren von ihm beauftragten Drittverarbeiter haftbar bleibt.
a. Kündigung Diese Vereinbarung endet automatisch mit der Kündigung der Business-Services-Bedingungen.
b. Fortbestand Die Verpflichtungen von Snap in Bezug auf die Rückgabe oder Löschung personenbezogener Kundendaten bestehen über die Beendigung der Business Services-Bedingungen und dieser Vereinbarung hinaus, bis Snap die personenbezogenen Kundendaten in Übereinstimmung mit dieser Vereinbarung zurückgegeben oder gelöscht hat.
Der Datenexporteur ist der Datenverantwortliche, wie in dieser Vereinbarung definiert, mit dem Namen, der Adresse und den Kontaktdaten, die Snap über die Business Services zur Verfügung gestellt werden. Zu den Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind, gehört die Verwendung der entsprechenden Business Services gemäß den Business-Services-Bedingungen und den anwendbaren Zusatzbedingungen und -richtlinien . Der Datenexporteur übernimmt die Rolle des Datenverantwortlichen.
Der Datenimporteur ist :
Snap Inc., mit Sitz in 3000 31st Street, Santa Monica, California 90405, USA.
Zu den Aktivitäten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind, gehört die Bereitstellung der entsprechenden Business Services gemäß den Business-Services-Bedingungen und den anwendbaren Zusatzbedingungen und -richtlinien . Der Datenimporteur übernimmt die Rolle des Datenverarbeiters.
Die von Snap im Rahmen dieser Vereinbarung durchgeführten Datenverarbeitungstätigkeiten sind wie folgt:
Die Bereitstellung der Business Services durch Snap für den Datenverantwortlichen
Für die Laufzeit dieser Vereinbarung sowie für den Zeitraum nach Ablauf der Laufzeit dieser Vereinbarung bis zur Anonymisierung, Rückgabe oder Löschung der Daten gemäß dieser Vereinbarung
Snap verarbeitet personenbezogene Kundendaten zum Zweck der Bereitstellung der Business Services für den Datenverantwortlichen in Übereinstimmung mit und wie in den Business-Services-Bedingungen und dieser Vereinbarung beschrieben.
Personenbezogene Kundendaten in Bezug auf Einzelpersonen, die Snap über die Business Services vom Datenverantwortlichen (oder auf dessen Anweisung) zur Verfügung gestellt werden, was Folgendes beinhalten kann:
Email-Adresse
Telefonnummer
Mobilanzeigen-ID (IDFA/AAID)
IP-Adresse
Cookie-ID
Nutzer-Agent des Browsers
Aktionen und Ereignisse auf Websites und Apps, einschließlich aufgerufener Seiten, Käufe, Suchvorgänge, Check-out-Ereignisse, Wunschlisten, Installationen und Benutzerregistrierungsmethoden
Nicht anwendbar
Kontinuierlich
Zu den betroffenen Personen gehören Personen aus dem EWR, der Schweiz, dem Vereinigten Königreich und Brasilien, deren personenbezogene Daten Snap über die Business Services von dem Datenverantwortlichen (oder auf dessen Anweisung) zur Verfügung gestellt werden.
Die zuständige Aufsichtsbehörde ist die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens, AP).
1. Implementierung und Einhaltung eines schriftlichen Informationssicherheitsprogramms im Einklang mit etablierten Industriestandards und einschließlich administrativer, technischer und physischer Sicherheitsvorkehrungen, die der Art der personenbezogenen Kundendaten angemessen sind und zum Schutz dieser Informationen ausgelegt sind vor: unbefugtem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung, unbefugtem Zugriff oder Verwendung, die zu erheblichem Schaden oder Unannehmlichkeiten für den Datenverantwortlichen, die Kunden des Datenverantwortlichen oder die Mitarbeiter des Datenverantwortlichen führen könnten, und allen erwarteten Bedrohungen oder Gefahren für die Sicherheit oder Integrität dieser Informationen zu schützen.
2. Annahme und Implementierung angemessener Richtlinien und Standards im Hinblick auf die Sicherheit
3. Zuweisung der Verantwortung für das Informationssicherheitsmanagement
4. Bereitstellung angemessener Personalressourcen für die Informationssicherheit
5. Durchführung von Verifizierungsprüfungen bei festangestellten Mitarbeitern, die Zugriff auf die personenbezogenen Kundendaten haben
6. Durchführung angemessener Hintergrundprüfungen und Verpflichtung von Mitarbeitern, Lieferanten und anderen mit Zugriff auf die personenbezogenen Kundendaten, schriftliche Vertraulichkeitsvereinbarungen abzuschließen
7. Durchführung von Schulungen, um Mitarbeiter und andere Personen mit Zugang zu personenbezogenen Kundendaten für die Risiken der Informationssicherheit zu sensibilisieren und die Einhaltung der Richtlinien und Standards von Snap in Bezug auf Daten zu verbessern
8. Verhinderung des unbefugten Zugriffs auf die personenbezogenen Kundendaten durch den Einsatz gegebenenfalls physischer und logischer Zugriffskontrollen (Passwörter), von Sicherheitsbereichen für die Datenverarbeitung, von Verfahren zur Überwachung der Nutzung von Datenverarbeitungseinrichtungen und von integrierten Systemprüfpfaden, der Verwendung sicherer Passwörter, von Technologien zur Erkennung von Netzwerkeindringlingen, von Verschlüsselungs- und Authentifizierungstechnologien, von sicheren Anmeldeverfahren und von Virenschutz, fortlaufender Überwachung der Einhaltung der Richtlinien und Standards von Snap in Bezug auf den Datenschutz. Insbesondere hat Snap Folgendes implementiert und befolgt, soweit angemessen und ohne Einschränkung:
Physische Zugriffskontrollmaßnahmen zur Verhinderung des unbefugten Zugriffs auf Datenverarbeitungssysteme (z. B. Zugangspasskarten, Kartenleser, Schreibtischbeamte, Alarmsysteme, Bewegungsmelder, Einbruchsalarm, Videoüberwachung und Außensicherheit);
Kontrollmaßnahmen zur Denial-of-Use-Kontrolle zur Verhinderung der unbefugten Nutzung von Datenschutzsystemen (z. B. automatisch erzwungene Komplexität der Passwörter und Änderungsanforderungen und Firewalls) ;
Anforderungsgesteuertes Autorisierungsschema und Zugriffsrechte sowie Überwachung und Protokollierung des Systemzugriffs, um sicherzustellen, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, nur Zugriff auf die Daten haben, auf die sie ein Zugriffsrecht haben, und dass die personenbezogenen Kundendaten nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können;
Maßnahmen zur Kontrolle der Datenübertragung, um sicherzustellen, dass die personenbezogenen Kundendaten während der elektronischen Übertragung, des Transports oder der Speicherung auf Datenträgern und der Übertragung und dem Empfang von Aufzeichnungen nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können. Im Besonderen wird das Informationssicherheitsprogramm von Snap konzipiert:
Zur Verschlüsselung aller Datensätze bei der Speicherung, die sich im Besitz von Snap befinden, einschließlich sensibler personenbezogener Daten, bei der Speicherung geeignete Verschlüsselungsstufen auf der Grundlage branchenführender Verschlüsselungsstandards, einschließlich AES -256, zu verwenden und die Speicherung von Benutzeridentitäten auf dem System unter Verwendung von Schlüssel-Wert-Paaren wie ghost_id, um die Speicherung der tatsächlichen Benutzer-ID zu verhindern; und
Um sicherzustellen, dass alle sensiblen persönlichen Daten, die elektronisch (außer per Fax) an eine (natürliche) Person außerhalb des IT-Systems von Snap oder über ein öffentliches Netz übertragen werden, mit den neuesten unterstützten Versionen des TLS 1.2-Protokolls verschlüsselt werden, um die Sicherheit der Übertragung zu gewährleisten;
Maßnahmen zur Kontrolle der Dateneingabe, um sicherzustellen, dass Snap überprüfen und feststellen kann, ob und von wem die personenbezogenen Kundendaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden;
Kontinuierliche Sicherheitstestmaßnahmen zur Sicherstellung, dass die Praktiken der Informationssicherheit relevant, wirksam und auf dem neuesten Stand bleiben, einschließlich jährlicher Penetrationstests, Bug-Bounty-Programme, Verwendung von System-Scanning-Tools, Tabletop-Übungen, Backup-Wiederherstellungstests, Vorproduktions-Failover und Durchführung von Nachberichten bei allen tatsächlichen Vorfällen, um die relevanten Notfallwiederherstellungspläne zu aktualisieren;
Überwachungsmaßnahmen für Unterauftragsverarbeiter, um sicherzustellen, falls Snap die Erlaubnis hat, Unterauftragsverarbeiter einzusetzen, dass die personenbezogenen Kundendaten streng in Übereinstimmung mit den Anweisungen des Datenverantwortlichen verarbeitet werden, einschließlich, soweit angemessen:
Maßnahmen, die sicherstellen, dass die personenbezogenen Kundendaten vor versehentlicher Zerstörung oder Verlust geschützt sind, einschließlich, soweit angemessen und ohne Einschränkung, Datensicherungs-, Aufbewahrungs- und sichere Vernichtungsrichtlinien; sichere externe Speicherung von Daten, die für die Wiederherstellung im Katastrophenfall ausreicht; unterbrechungsfreie Stromversorgung und Notfallwiederherstellungsprogramme; und
Maßnahmen, die sicherstellen, dass die für verschiedene Zwecke erhobenen Daten getrennt verarbeitet werden können, einschließlich gegebenenfalls physischer oder angemessener logischer Trennung der personenbezogenen Kundendaten.
9. Ergreifung sonstiger Maßnahmen, die unter den gegebenen Umständen angemessen sein können