Couchbase Capella Cloud Kundendatenverarbeitung Addendum

Dieses Addendum zur Datenverarbeitung (dieses "DPA”) forms part of the Capella Cloud Service Subscription Agreement, or other agreement between Customer and Couchbase governing Customer’s use of the Cloud Service ("Vereinbarung"), zwischen Couchbase, Inc. ("Couchbase") und die Partei, die als die "Kunde" in der Vereinbarung ("Kunde") (jeweils ein "Party" und zusammen die "Parteien").

Diese DPA beschreibt die Verpflichtungen der Parteien hinsichtlich der Verarbeitung personenbezogener Daten in Verbindung mit der Nutzung des Cloud-Dienstes durch den Kunden. Im Falle eines Widerspruchs zwischen den Bedingungen des Vertrags und den Bedingungen dieser DPA haben die Bedingungen dieser DPA im Umfang des Widerspruchs Vorrang. Jeder großgeschriebene Begriff, der in dieser DPA nicht definiert ist, hat die Bedeutung, die ihm in der Vereinbarung gegeben wird.

Die Vertragsparteien kommen wie folgt überein:

1. Definitionen. Die folgenden in Großbuchstaben geschriebenen Begriffe haben, wenn sie in dieser DPA verwendet werden, die unten angegebene Bedeutung:

a. "Geltende Datenschutzgesetze” means all worldwide privacy and data protection laws, regulations, rules, ordinances and other decrees applicable to the Personal Data, including (but not limited to): (i) European Data Protection Laws; and (ii) all laws and regulations of the United States, including the California Consumer Privacy Act of 2018 (California Civil Code §§ 1798.100 et seq (“CCPA”); as may be amended, superseded or replaced.

b. "KundendatenDer Begriff "personenbezogene Daten" bezeichnet alle personenbezogenen Daten, die von Couchbase im Auftrag des Kunden als Dienstleister oder Auftragsverarbeiter (je nach Fall) in Verbindung mit dem Cloud-Service verarbeitet werden, wie in Anhang A dieser DSGVO näher beschrieben.

c. "EEA"sind die Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.

d. "Europäische Datenschutzgesetze"i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) ("GDPR"); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation ("Datenschutzrichtlinie für elektronische Kommunikation (e-Privacy)"); (iii) alle anwendbaren nationalen Umsetzungen von (i) und (ii); (iv) das Schweizerische Bundesgesetz über den Datenschutz vom 19. Juni 1992 und seine Verordnung ("Schweizer EDA”); and (v) in respect of the United Kingdom, the Data Protection Act 2018 and any applicable national legislation that replaces or converts in domestic law the GDPR, e-Privacy Directive or any other law relating to data and privacy as a consequence of the UK leaving the European Union; in each case as may be amended, superseded or replaced.

e. "Muster-Klauseln” means, depending on the circumstances unique to any particular Customer, any of the following: (i) the standard contractual clauses for processors as approved by the European Commission pursuant to its decision 2021/914 (the “2021 Standard Contractual Clauses”) and (ii) the UK Standard Contractual Clauses, each alternatively referred to as Standard Contractual Clauses, incorporated by reference and forming part of this DPA.

f. "Persönliche Daten” means any information that relates to an identified or identifiable natural person and which is protected as “personal data“, “personal information” or “personally identifiable information” under Applicable Data Protection Laws.

g. "SicherheitsvorfallSicherheitsvorfall" bezeichnet jede Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten führt, die von Couchbase und/oder seinen Unterauftragsverarbeitern in Verbindung mit der Bereitstellung des Cloud-Dienstes übertragen, gespeichert oder anderweitig verarbeitet werden. Die Parteien erkennen an und vereinbaren, dass "Sicherheitsvorfall" keine erfolglosen Versuche oder Aktivitäten umfasst, die die Sicherheit der Kundendaten nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

h. "Sub-ProzessorUnterauftragsverarbeiter" ist jeder Auftragsverarbeiter, der von Couchbase oder seinen verbundenen Unternehmen beauftragt wird, um bei der Erfüllung seiner Verpflichtungen in Bezug auf die Bereitstellung des Cloud-Dienstes gemäß der Vereinbarung oder dieser DPA zu helfen. Zu den Unterauftragsverarbeitern können Dritte oder verbundene Unternehmen von Couchbase gehören, nicht jedoch Mitarbeiter, Auftragnehmer oder Berater von Couchbase.

i. “UK Standard Contractual Clauses” means (i) standard contractual clauses for data controller to data processor transfers approved by the European Commission in  decision 2010/87/EU (“UK Controller to Processor SCCs”); and (ii) standard contractual clauses for data controller to data controller transfers approved by the European Commission in decision 2004/915/EC (“UK Controller to Controller SCCs").

j. The terms “Controller", "Prozessor" und "processing"haben die Bedeutung, die ihnen in der Datenschutz-Grundverordnung zugewiesen wird, und "Prozess", "Prozesse" und "verarbeitet" sind entsprechend auszulegen; und die Begriffe "Unternehmen", "Dienstanbieter" und "verkaufen" haben die Bedeutung, die ihnen im CCPA zugewiesen wird.

2. Rolle und Umfang der Verarbeitung

a. Umfang. Vorbehaltlich Abschnitt 2(b) gilt diese DPA in dem Umfang, in dem Couchbase als Auftragsverarbeiter oder Dienstleister (je nach Fall) Kundendaten verarbeitet, die durch geltende Datenschutzgesetze geschützt sind.

b. Die Rolle der Parteien. Die Parteien erkennen an und sind sich einig, dass (i) in Bezug auf die Verarbeitung von Kundendaten der Kunde das relevante Unternehmen, der Verantwortliche oder der Auftragsverarbeiter (je nach Anwendbarkeit) dieser Kundendaten ist und Couchbase ein Dienstleister, Auftragsverarbeiter oder Unterauftragsverarbeiter (je nach Anwendbarkeit) im Namen des Kunden ist, wie in Anhang A dieser DSGVO näher beschrieben; und (ii) in Bezug auf personenbezogene Daten, die in technischen Nutzungsdaten enthalten sind, die Couchbase in Verbindung mit der Nutzung des Cloud-Dienstes durch den Kunden erhebt ("Verwendungsdaten"), ist Couchbase das relevante Unternehmen oder der Verantwortliche für die Nutzungsdaten und wird die Nutzungsdaten in Übereinstimmung mit der Couchbase-Datenschutzrichtlinie verarbeiten, die unter https://www.couchbase.com/privacy-policy. Jede Partei wird bei der Erfüllung dieser DPA alle für sie geltenden und verbindlichen Gesetze, Regeln und Vorschriften einhalten, einschließlich aller geltenden Datenschutzgesetze. In Bezug auf Nutzungsdaten wird Couchbase diese Daten nur in Übereinstimmung mit den Abschnitten 8(a)(iii) und (iv) verarbeiten, soweit diese anwendbar sind.

c. Couchbase verarbeitet personenbezogene Daten. Couchbase verpflichtet sich, Kundendaten nur für die in der DPA beschriebenen Zwecke und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden zu verarbeiten. Die Parteien sind sich einig, dass die Vereinbarung (einschließlich dieser DPA) die vollständigen und endgültigen Anweisungen des Kunden an Couchbase in Bezug auf die Verarbeitung von Kundendaten enthält und dass eine Verarbeitung außerhalb des Anwendungsbereichs dieser Anweisungen (falls zutreffend) eine vorherige schriftliche Vereinbarung zwischen dem Kunden und Couchbase erfordert. Unbeschadet des Abschnitts 2(d) (Verantwortlichkeiten des Kunden) wird Couchbase den Kunden schriftlich benachrichtigen, es sei denn, dies ist nach den geltenden Datenschutzgesetzen verboten, und kann die Verarbeitung von Kundendaten aussetzen, wenn Couchbase feststellt oder glaubt, dass eine Datenverarbeitungsanweisung des Kunden gegen geltende Datenschutzgesetze verstößt.

d. Verantwortlichkeiten des Kunden. Der Kunde ist für die Rechtmäßigkeit der Verarbeitung von Kundendaten im Rahmen oder in Verbindung mit dem Vertrag verantwortlich. Der Kunde sichert zu und gewährleistet, dass (i) er alle Mitteilungen gemacht und alle Zustimmungen, Erlaubnisse und Rechte eingeholt hat und weiterhin einholen wird, die nach den anwendbaren Datenschutzgesetzen erforderlich sind, damit Couchbase die Kundendaten für die in der Vereinbarung (einschließlich dieser DPA) vorgesehenen Zwecke rechtmäßig verarbeiten kann; (ii) er alle anwendbaren Datenschutzgesetze als Verantwortlicher und/oder Unternehmen für Kundendaten für die Sammlung und Bereitstellung solcher Kundendaten an Couchbase und seine Unterverarbeiter eingehalten hat; und (iii) er sicherstellt, dass seine Verarbeitungsanweisungen mit den anwendbaren Gesetzen (einschließlich der anwendbaren Datenschutzgesetze) übereinstimmen und dass die Verarbeitung von Kundendaten durch Couchbase in Übereinstimmung mit den Anweisungen des Kunden nicht dazu führt, dass Couchbase gegen die anwendbaren Datenschutzgesetze verstößt.

e. Aggregierte Daten. Ungeachtet des Vorstehenden oder gegenteiliger Bestimmungen in der Vereinbarung (einschließlich dieser DPA) erkennt der Kunde an, dass Couchbase und seine verbundenen Unternehmen das Recht haben, anonymisierte, zusammengefasste und/oder de-identifizierte Informationen (gemäß der Definition in den anwendbaren Datenschutzgesetzen) für ihre eigenen legitimen Geschäfte zu sammeln und zu erstellen.

3. Weiterverarbeitung

a. Zugelassene Unterauftragsverarbeiter. Der Kunde erkennt an und stimmt zu, dass Couchbase Unterverarbeiter beauftragen kann, um Kundendaten im Namen des Kunden zu verarbeiten. Die derzeit von Couchbase beauftragten und vom Kunden autorisierten Unterauftragsverarbeiter sind auf der Couchbase-Website aufgeführt (derzeit unter https://info.couchbase.com/cloud-subprocessors.html). Mindestens fünfzehn (15) Tage vor dem Hinzufügen eines neuen Unterauftragsverarbeiters wird Couchbase die entsprechende Website aktualisieren und den Kunden über den auf der Couchbase-Website bereitgestellten Mechanismus über diese Aktualisierung informieren, es sei denn, Couchbase ist der Ansicht, dass eine beschleunigte Beauftragung eines neuen Unterauftragsverarbeiters notwendig ist, um die Vertraulichkeit, Integrität oder Verfügbarkeit der Kundendaten zu schützen oder eine wesentliche Unterbrechung des Cloud-Dienstes zu vermeiden, dann wird Couchbase eine solche Benachrichtigung so schnell wie möglich übermitteln.

4. Sicherheit und Audits

a. Sicherheitsmaßnahmen.  Couchbase implementiert und unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen, die dazu bestimmt sind, die Kundendaten unter seiner Kontrolle vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit der Kundendaten zu wahren, wobei der Stand der Technik, die Kosten der Implementierung und die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung berücksichtigt werden ("Sicherheitsmaßnahmen"). Diese Sicherheitsmaßnahmen umfassen mindestens die in Anhang B dieser DPA beschriebenen Maßnahmen. Couchbase stellt sicher, dass jede Person, die von Couchbase ermächtigt ist, Kundendaten im Rahmen dieser DPA zu verarbeiten, einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es eine vertragliche oder gesetzliche Verpflichtung).

b. Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass Couchbase die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit des vom Kunden erworbenen Cloud Service führen.

c. Verantwortlichkeiten für die Sicherheit des Kunden. Ungeachtet des Vorstehenden erklärt sich der Kunde damit einverstanden, dass er, sofern nicht in dieser DPA vorgesehen, angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz vor Sicherheitsvorfällen und zur Wahrung der Sicherheit und Vertraulichkeit von Kundendaten, die sich in seiner Herrschaft und unter seiner Kontrolle befinden, einführt und aufrechterhält. Der Kunde ist verantwortlich für (i) den Schutz der Sicherheit aller Kundenanmeldeinformationen, die für den Zugriff auf den Cloud-Service verwendet werden; (ii) die Sicherung der Cloud-Umgebung des Kunden und aller Kundensysteme (wobei diese Maßnahmen unter anderem die regelmäßige Rotation der Zugangsschlüssel und andere branchenübliche Maßnahmen zum Ausschluss unbefugten Zugriffs umfassen); (iii) Sicherung und Schutz der Kundendaten unter der Kontrolle des Kunden innerhalb der Cloud-Umgebung des Kunden oder eines anderen vom Kunden kontrollierten Systems; und (iv) Überprüfung der von Couchbase zur Verfügung gestellten Informationen in Bezug auf Datensicherheit und Datenschutz und unabhängige Feststellung, ob der Cloud-Service die Anforderungen des Kunden und seine rechtlichen Verpflichtungen gemäß dem geltenden Datenschutzrecht erfüllt.

d. Reaktion auf Sicherheitsvorfälle. To the extent required by Applicable Data Protection Laws, upon becoming aware of a Security Incident, Couchbase shall notify Customer without undue delay and shall: (i) to assist Customer in relation to any personal data breach notifications Customer is required to make under Applicable Data Protection Laws, Couchbase will include in such notice to Customer timely information relating to the Security Incident as it becomes known, as is reasonably requested by Customer, taking into account the nature of the Cloud Service, the information available to Couchbase, and any restrictions on disclosing the information, such as confidentiality; and (ii) promptly take steps, deemed necessary and reasonable by Couchbase, to contain, investigate, and remediate any Security Incident, to the extent that the remediation is within Couchbase’s reasonable control.  Couchbase’s notification of or response to a Security Incident under this Section 4(d) shall not be construed as an acknowledgment by Couchbase of any fault or liability with respect to the Security Incident. The obligations set forth herein shall not apply to Security Incidents to the extent they are caused by Customer or its Authorized Users.

e. Sicherheitsprüfungen. Couchbase antwortet (auf vertraulicher Basis) auf alle angemessenen schriftlichen Informationsanfragen des Kunden in Bezug auf die Verarbeitung von Kundendaten durch Couchbase, einschließlich Antworten auf Fragebögen zur Informationssicherheit und Prüfung, die erforderlich sind, um die Einhaltung dieser DSGVO durch Couchbase zu bestätigen, vorausgesetzt, der Kunde macht von diesem Recht nicht mehr als einmal in einem rollierenden Zeitraum von zwölf (12) Monaten Gebrauch. Ungeachtet des Vorstehenden kann der Kunde dieses Prüfungsrecht auch ausüben, wenn der Kunde ausdrücklich aufgefordert wird oder verpflichtet ist, diese Informationen einer Datenschutzbehörde zur Verfügung zu stellen, oder wenn Couchbase einen Sicherheitsvorfall erlebt hat, oder auf einer anderen angemessenen ähnlichen Grundlage.

5. Internationale Überweisungen

a. Bearbeitungsorte. Der Kunde erkennt an und stimmt zu, dass Couchbase Kundendaten in die Vereinigten Staaten und an jeden anderen Ort der Welt, an dem Couchbase, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen, übertragen und verarbeiten kann. Couchbase stellt zu jeder Zeit sicher, dass solche Übertragungen in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze und dieser DPA erfolgen.

6. Deletion of Customer Data

a. Der Cloud-Dienst bietet dem Kunden Kontrollmechanismen, mit denen der Kunde während der Laufzeit die Kundendaten in einer Weise löschen oder abrufen kann, die mit der Funktionalität des Cloud-Dienstes vereinbar ist.

b. Customer hereby authorizes Couchbase, upon termination or expiry of the Agreement, or in case of termination or suspension of the Cloud Service pursuant to the Agreement, to delete all Customer Data (including copies) in its possession or control in accordance with the Agreement, save that this requirement shall not apply to the extent Couchbase is required by applicable law to retain some or all of the Customer Data.

7. Rechte von Einzelpersonen und Zusammenarbeit

a. Ersuchen der betroffenen Person. Der Cloud-Dienst bietet dem Kunden eine Reihe von Kontrollen, einschließlich Sicherheitsmerkmalen und Funktionen, die der Kunde nutzen kann, um Kundendaten abzurufen, zu korrigieren, zu löschen oder einzuschränken, wie in der für den Cloud-Dienst geltenden Dokumentation beschrieben. Unbeschadet des Abschnitts 4(a) kann der Kunde diese Kontrollen als technische und organisatorische Maßnahmen nutzen, um ihn bei der Erfüllung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen zu unterstützen, einschließlich seiner Verpflichtungen in Bezug auf die Beantwortung von Anfragen der betroffenen Personen. In dem Maße, in dem der Kunde nicht in der Lage ist, unabhängig auf die relevanten Kundendaten innerhalb des Cloud-Dienstes zuzugreifen, wird Couchbase unter Berücksichtigung der Art der Verarbeitung eine angemessene Zusammenarbeit anbieten, um den Kunden bei der Beantwortung von Anfragen von Einzelpersonen oder anwendbaren Datenschutzbehörden in Bezug auf die Verarbeitung von Kundendaten im Rahmen des Vertrags zu unterstützen. Falls eine solche Anfrage direkt an Couchbase gerichtet wird, wird Couchbase ohne vorherige Genehmigung des Kunden nicht direkt auf eine solche Mitteilung reagieren, es sei denn, es besteht eine gesetzliche Verpflichtung dazu. Wenn Couchbase verpflichtet ist, auf eine solche Anfrage zu antworten, benachrichtigt Couchbase den Kunden unverzüglich und stellt ihm eine Kopie der Anfrage zur Verfügung, sofern dies nicht gesetzlich verboten ist.

b. Vorladungen und Gerichtsbeschlüsse. Wenn eine Strafverfolgungsbehörde Couchbase eine Forderung nach Kundendaten sendet (z.B. durch eine Vorladung oder einen Gerichtsbeschluss), wird Couchbase den Kunden in angemessener Weise von der Forderung in Kenntnis setzen, um dem Kunden die Möglichkeit zu geben, eine Schutzverfügung oder ein anderes geeignetes Rechtsmittel zu beantragen, es sei denn, Couchbase ist dies gesetzlich untersagt.

8. Rechtsprechungsspezifische Bedingungen

a. Europa. Soweit die Kundendaten den europäischen Datenschutzgesetzen unterliegen, gelten die folgenden Bestimmungen zusätzlich zu den Bestimmungen in den übrigen Teilen dieser DPA:

i. Verpflichtungen des Unterauftragsverarbeiters. Couchbase muss: (A) einen schriftlichen Vertrag mit jedem Unterauftragsverarbeiter abschließen, der Datenschutzbedingungen enthält, die den Unterauftragsverarbeiter dazu verpflichten, personenbezogene Daten so zu schützen, wie es das geltende europäische Datenschutzrecht und diese DSGVO vorschreiben; und (B) für die Einhaltung der Verpflichtungen aus dieser DSGVO und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich bleiben, die dazu führen, dass Couchbase seine Verpflichtungen aus dieser DSGVO verletzt.

ii. Einwände gegen Unterauftragsverarbeiter. Der Kunde kann der Ernennung eines neuen Unterauftragsverarbeiters durch Couchbase aus angemessenen Gründen des Datenschutzes schriftlich widersprechen (z.B. wenn die Bereitstellung von Kundendaten an den Unterauftragsverarbeiter gegen europäisches Datenschutzrecht verstoßen oder den Schutz solcher Kundendaten schwächen könnte), indem er Couchbase unverzüglich innerhalb von fünf (5) Kalendertagen nach Erhalt der Mitteilung von Couchbase gemäß Abschnitt 3(a) oben schriftlich benachrichtigt. In einer solchen Mitteilung sind die angemessenen Gründe für den Einwand darzulegen, und die Parteien werden diese Bedenken in gutem Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu erzielen. Wenn eine solche Lösung nicht erreicht werden kann, wird Couchbase nach eigenem Ermessen entweder keinen Unterauftragsverarbeiter ernennen oder dem Kunden gestatten, den betroffenen Cloud-Dienst gemäß den Kündigungsbestimmungen in der Vereinbarung auszusetzen oder zu kündigen, ohne dass eine der Parteien dafür haftet (jedoch unbeschadet der Gebühren, die dem Kunden vor der Aussetzung oder Kündigung entstanden sind). Sofern kein Einspruch gemäß diesem Abschnitt 8(a)(ii) erhoben wird, stimmt der Kunde dem Einsatz von Unterauftragsverarbeitern durch Couchbase wie in dieser DPA beschrieben zu.

iii. Übermittlung von Daten. To the extent that Couchbase processes (or causes to be processed) any personal data protected by European Data Protection Laws in a third country not recognised as providing adequate protection for personal data (as described in European Data Protection Laws), then the terms and conditions of Annex C (Übermittlung von Daten) will apply and Customer (as data exporter) will be deemed to have entered into the Model Clauses with Couchbase (as data importer) and Couchbase agrees to abide by and process such Customer Data in in compliance with the Model Clauses, which are incorporated in full by reference and form an integral part of this DPA. For the purposes of the descriptions in the Model Clauses: (A) Couchbase agrees that it is a “data importer” and Customer is the “data exporter” (notwithstanding that Customer may itself be an entity located outside the EEA or the United Kingdom); (B) Annex A and Annex B of this DPA shall replace Appendix 1 and Appendix 2 of the Model Clauses. It is not the intention of either party, nor the effect of this DPA, to contradict or restrict any of the provisions set forth in the Model Clauses. Accordingly, if and to the extent the Model Clauses conflict with any provision of this DPA, the Model Clauses shall prevail to the extent of such conflict. The Model Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the EEA or the United Kingdom.

iv. Alternativer Transfer-Mechanismus. Wenn und soweit Couchbase eine alternative Datenexportlösung für die Übertragung von Kundendaten gemäß den geltenden europäischen Datenschutzgesetzen ("Alternativer Transfer-Mechanismus"), gilt stattdessen der alternative Übertragungsmechanismus (jedoch nur in dem Umfang, in dem dieser alternative Übertragungsmechanismus auf die Übertragung Anwendung findet).

v. Datenschutz-Folgenabschätzung. Soweit Couchbase nach geltendem europäischem Datenschutzrecht verpflichtet ist, stellt Couchbase angemessen angeforderte Informationen über die Verarbeitung personenbezogener Daten durch Couchbase im Rahmen der Vereinbarung zur Verfügung, um den Kunden in die Lage zu versetzen, Datenschutz-Folgenabschätzungen oder vorherige Konsultationen mit Aufsichtsbehörden, wie gesetzlich vorgeschrieben, durchzuführen.

b. Kalifornien. Soweit die Kundendaten dem CCPA unterliegen, erklären sich die Parteien damit einverstanden, dass der Kunde ein Unternehmen ist und Couchbase als seinen Dienstleister beauftragt, die Kundendaten im Rahmen der Vereinbarung (einschließlich dieser DPA) und des CCPA oder für anderweitig schriftlich vereinbarte Zwecke zu verarbeiten (die "Zulässige Zwecke"). Kunde und Couchbase vereinbaren, dass: (i) Couchbase personenbezogene Daten nicht für andere als die zulässigen Zwecke aufbewahrt, nutzt oder offenlegt; (ii) Kundendaten nicht an Couchbase verkauft wurden und Couchbase personenbezogene Daten (im Sinne des CCPA) nicht "verkauft"; (iii) Couchbase personenbezogene Daten nicht außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Couchbase aufbewahrt, nutzt oder offenlegt; und (iv) Couchbase personenbezogene Daten im Zuge der Bereitstellung des Cloud-Dienstes de-identifizieren oder aggregieren kann. Couchbase bestätigt, dass es die in diesem Abschnitt 8(b) dargelegten Einschränkungen versteht und sie einhalten wird.

9. Begrenzung der Haftung

a. Each Party’s and all of its Affiliates’ liability, taken together in the aggregate, arising out of or related to this DPA (including the Model Clauses) whether in contract, tort (including negligence) or under any other theory of liability, shall be subject to the limitations and exclusions of liability in the Agreement, and any reference in provisions to the liability of a party means the aggregate liability of that party and all of its Affiliates under and in connection with the Agreement and this DPA together.

b. Außer in den Fällen, in denen die anwendbaren Datenschutzgesetze vorschreiben, dass ein verbundenes Unternehmen des Kunden ein Recht ausübt oder einen Rechtsbehelf gegen Couchbase direkt geltend macht, vereinbaren die Parteien, dass (i) ausschließlich das Unternehmen des Kunden, das Vertragspartei der Vereinbarung ist, ein Recht ausübt oder einen Rechtsbehelf geltend macht, den ein verbundenes Unternehmen des Kunden unter dieser DPA im Namen seiner verbundenen Unternehmen haben kann, und (ii) der Kunde, der Vertragspartei der Vereinbarung ist, solche Rechte unter dieser DPA nicht für jedes verbundene Unternehmen einzeln, sondern für alle seine verbundenen Unternehmen zusammen ausübt.

10. Sonstiges

a. Except for the changes made by this DPA, the Agreement remains unchanged and in full force and effect.

b. This DPA may be executed in counterparts, each of which will be deemed an original, but all of which together will constitute one and the same instrument.

c. If any provision or part-provision of this DPA is or becomes invalid, illegal or unenforceable, it shall be deemed deleted, but that shall not affect the validity and enforceability of the rest of the DPA.

d. Diese DPA unterliegt dem geltenden Recht und den Gerichtsstandsbestimmungen des Abkommens und ist gemäß diesen auszulegen, sofern die europäischen Datenschutzgesetze nichts anderes vorschreiben.

 

Dieser Anhang A ist Teil der DSGVO und beschreibt (i) die Verarbeitung von Kundendaten durch Couchbase als Auftragsverarbeiter oder Unterauftragsverarbeiter im Namen des Kunden als Verantwortlicher bzw. Auftragsverarbeiter und (ii) die Übertragung von Nutzungsdaten durch Couchbase als Verantwortlicher.

1) Kundendaten

Dauer

Die Dauer der Datenverarbeitung unter dieser DPA ist bis zur Beendigung der Vereinbarung in Übereinstimmung mit ihren Bedingungen plus dem Zeitraum vom Auslaufen der Vereinbarung bis zur Löschung der personenbezogenen Daten durch Couchbase in Übereinstimmung mit den Bedingungen der Vereinbarung (einschließlich dieser DPA).

Kategorien von Daten

Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):

● Personal Data in Customer Content: Personenbezogene Daten, die in Inhalten oder Daten enthalten sind, die vom oder im Namen des Kunden oder autorisierten Nutzern durch oder über den Cloud-Service bereitgestellt werden.

Besondere Kategorien von Daten (falls zutreffend)

Die Parteien beabsichtigen nicht, im Rahmen des Abkommens Daten besonderer Kategorien zu verarbeiten.

Betroffene Personen

Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):

Zu den betroffenen Personen gehören Personen, über die Couchbase über den Cloud-Service von oder auf Anweisung des Kunden Daten zur Verfügung gestellt werden, einschließlich autorisierter Benutzer. Zu den betroffenen Personen können Kunden, Mitarbeiter, Lieferanten und Endbenutzer des Kunden gehören.

Verarbeitung der Vorgänge

Die personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte angeben):
Verarbeitung zur Bereitstellung des Cloud-Dienstes in Übereinstimmung mit dem Vertrag;
● Verarbeitung zur Durchführung aller für die Erfüllung des Vertrags erforderlichen Schritte;
● die vom Kunden bei seiner Nutzung des Cloud-Dienstes veranlasste Verarbeitung; und
● processing to comply with other reasonable instructions provided by Customer (e.g. via email or support tickets) that are consistent with the terms of the Agreement.

Frequenz
Die personenbezogenen Daten können fortlaufend übermittelt werden.

ii) Usage Data

Dauer

Nutzungsdaten werden während der Laufzeit der jeweiligen Vereinbarung übertragen und aufbewahrt, zuzüglich des Zeitraums, in dem die Nutzungsdaten für die legitimen Geschäftsbemühungen von Couchbase erforderlich sind. Bestimmte aggregierte und anonymisierte Aufzeichnungen von Nutzeraktionen können dauerhaft gespeichert werden.

Kategorien von Daten

Die zu übermittelnden personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):

●  Personenbezogene Daten in Nutzungsdaten: Zu den Nutzungsdaten können Informationen über das Benutzerkonto, einschließlich der Konto-ID und der E-Mail-Adresse, persönliche Identifikationsdaten, einschließlich der IP-Adresse, Beschäftigungsinformationen, Kontaktinformationen, Browserinformationen und Metadaten gehören.

Besondere Kategorien von Daten (falls zutreffend)

Die Parteien beabsichtigen nicht, im Rahmen des Abkommens Daten besonderer Kategorien zu übermitteln.

Betroffene Personen

Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):

Zu den betroffenen Personen können der Kunde, die Mitarbeiter des Kunden und andere autorisierte Benutzer sowie alle anderen zulässigen Mitarbeiter gehören.

Verarbeitung der Vorgänge

Die personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte angeben):

●  processing to provide and administer the products, services and support;
Verarbeitung zur Gewinnung von Erkenntnissen, um die Produkte, Dienstleistungen und den Support zu verbessern und die Geschäftsentwicklung zu unterstützen;
Verarbeitung zur Beantwortung von Kundenfragen, Durchführung von Marketing- und Vertriebsaktivitäten und Analyse von Geschäftsmetadaten.

Frequenz

Die personenbezogenen Daten können fortlaufend übermittelt werden.

 

Dieser Anhang beschreibt die Sicherheitsmaßnahmen von Couchbase. Der Kunde erkennt an, dass der Cloud-Dienst gemäß einem Modell der geteilten Verantwortung betrieben wird, das unter anderem verlangt, dass der Kunde bestimmte Schritte unternimmt, wie z. B. den Schutz der Sicherheit der Kundeninhalte (die in der Umgebung des Kunden unter der Kontrolle des Kunden gespeichert bleiben). Wenn und soweit Couchbase Kundendaten im Namen des Kunden in Verbindung mit dem Cloud-Dienst verarbeitet oder Nutzungsdaten gemäß den Standardvertragsklauseln überträgt, muss Couchbase die folgenden Sicherheitsmaßnahmen implementieren und aufrechterhalten:

Maßnahmen zur Datenverschlüsselung

Alle Kundendaten werden bei der Übertragung mit TLS 1.2 (oder höher) verschlüsselt und im Ruhezustand mit AES-256 verschlüsselt.
● Die Laptops der Mitarbeiter werden mit einer AES-256-Vollfestplattenverschlüsselung verschlüsselt.
Alle Anmeldeinformationen werden bei der Übertragung mit TLS 1.2 (oder höher) verschlüsselt und im Ruhezustand verschlüsselt.
● Encryption keys are rotated on an annual basis and are stored and managed in AWS Key Management Service.

Maßnahmen zur Verfügbarkeit und Wiederherstellbarkeit

Couchbase unterhält Disaster-Recovery- und Business-Continuity-Pläne und -Verfahren, die darauf ausgelegt sind, die Verfügbarkeit des Cloud-Dienstes in angemessener Weise sicherzustellen.
Das Couchbase Capella-Angebot wird in geografisch verteilten Rechenzentren betrieben, die von branchenweit anerkannten Public-Cloud-Anbietern wie Amazon (AWS), Microsoft (Azure) und Google (GCP) betrieben werden (falls zutreffend).
● Redundanz ist in die Systeminfrastruktur eingebaut, die das Couchbase Capella Angebot unterstützt. Für den Fall, dass ein primäres System ausfällt, ist die redundante Infrastruktur in einer anderen Verfügbarkeitszone so konfiguriert, dass sie dessen Platz einnimmt.
● Backups werden in kontrollierten Umgebungen innerhalb der Cloud-Infrastruktur gespeichert. Der logische Zugriff auf die Sicherungsdaten ist auf das zuständige Personal beschränkt und wird in einem Speicher mit hoher Verfügbarkeit gespeichert.
Jährlich wird ein Test zur Wiederherstellung der Sicherungskopie durchgeführt, bei dem das Betriebspersonal eine Sicherungskopie aus einem Snapshot wiederherstellt, um sicherzustellen, dass die Daten im Falle eines Zwischenfalls wiederhergestellt werden können.

Organisatorische Sicherheitsmaßnahmen

Couchbase hat ein formelles Informationssicherheitsmanagementsystem (ISMS) eingerichtet, um die Vertraulichkeit, Integrität und Verfügbarkeit des Couchbase Capella Angebots und der Informationssysteme zu schützen und die Wirksamkeit der Sicherheitskontrollen für Daten und Informationssysteme zu gewährleisten.
● Die Mitarbeiter sind verpflichtet, an Schulungen zur Bekämpfung von Bestechung und Korruption, Ethik und Verhaltenskodex, Insiderhandel, globalem Datenschutz und jährlichem Sicherheitsbewusstsein teilzunehmen.
● Die Mitarbeiter müssen bei ihrer Einstellung Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen.
Es gibt formale Richtlinien und Verfahren für das Onboarding und Offboarding von Mitarbeitern. Prozesse zur Bereitstellung und Aufhebung von Konten sind definiert und implementiert.
● Der Zugang des Mitarbeiters wird bei Beendigung des Arbeitsverhältnisses entfernt oder bei Rollenwechsel entsprechend angepasst.
● Für den Zugang zu kritischen und produktiven Ressourcen wird eine Multi-Faktor-Authentifizierung (MFA) durchgesetzt.
● Die Anforderungen an die Komplexität der Passwörter werden durchgesetzt.
● Die Trennung von Verantwortlichkeiten und Aufgaben wird umgesetzt, um die Möglichkeiten einer unbefugten oder unbeabsichtigten Änderung oder eines Missbrauchs zu verringern.
● Couchbase unterhält unterzeichnete Geheimhaltungsvereinbarungen mit Drittparteien.
● Couchbase-Netzwerke sind auf Basis von Vertrauensstufen getrennt und durch Firewalls geschützt.

Protokollierungs- und Überwachungsmaßnahmen

● Die Protokollierung von Benutzeraktivitäten, Ausnahmen, Fehlern und Informationssicherheitsereignissen ist aktiviert. Die Protokolle werden bei Bedarf aufbewahrt.
Alle Protokolle können nur von autorisierten Couchbase-Mitarbeitern eingesehen werden, und es gibt Zugangskontrollen, um unbefugten Zugriff zu verhindern.
Der Schreibzugriff auf Protokolldaten ist strengstens untersagt. Logging-Einrichtungen und Log-Informationen sind durch Zugangskontrollen und Sicherheitsmaßnahmen vor Manipulationen und unberechtigtem Zugriff geschützt.
● Couchbase verfügt über verschiedene Überwachungsmaßnahmen, um Sicherheitswarnungen zu generieren und unregelmäßige Aktivitäten zu identifizieren.
Das Couchbase Capella Operations Team überprüft regelmäßig die Sicherheitswarnungen und die zugrundeliegende Konfiguration, um sicherzustellen, dass sie wie beabsichtigt funktionieren und dass die Kontrollen an veränderte Bedingungen angepasst werden.

Maßnahmen zur Zugangskontrolle

Couchbase implementiert Best Practices für die Sicherheit und verwendet eine rollenbasierte Sicherheitsarchitektur über die Datenbank-, Netzwerk- und Anwendungsschicht hinweg und folgt strikt den Prinzipien der geringsten Privilegien, wenn es um die Gewährung von Zugriff auf wichtige Systeme geht.
● Couchbase hat Funktionen und Rollen definiert, um eine angemessene Aufgabentrennung zu unterstützen.
Der Zugang zu Betriebs-, Produktions- und Notfallwiederherstellungsumgebungen wird durch eindeutige Benutzerkonten, sichere Passwörter, Multi-Faktor-Authentifizierung (MFA), rollenbasierten Zugang und das Prinzip der geringsten Privilegien geschützt.
Zugriffsschlüssel, die von produktiven Couchbase-Anwendungen verwendet werden (z. B. AWS Access Keys), sind nur für autorisiertes Personal zugänglich. Sie werden bei Bedarf (z. B. aufgrund eines Sicherheitshinweises oder des Ausscheidens von Mitarbeitern), mindestens jedoch einmal im Jahr, geändert.
● Benutzeraktivitäten in Betriebsumgebungen, einschließlich Zugriff, Änderung oder Löschung von Daten, werden protokolliert.
Autorisierungsanfragen und die Bereitstellung werden protokolliert, nachverfolgt und geprüft.
● Web Application Firewalls (WAF) werden zusätzlich zu den netzwerkbasierten Firewalls eingesetzt.

Physische Sicherheitsmaßnahmen

Das Couchbase Capella-Angebot wird in geografisch verteilten Rechenzentren betrieben, die von branchenweit anerkannten Public-Cloud-Anbietern wie Amazon (AWS), Microsoft (Azure) und Google (GCP) betrieben werden (falls zutreffend).
● Der physische Zugang zu allen Einrichtungen, die sensible Daten enthalten, wird eingeschränkt und verwaltet.
Alle Einrichtungen für Informationsressourcen (z. B. Netzwerkschränke und Lagerräume) sind entsprechend der Kritikalität oder Bedeutung ihrer Funktion physisch geschützt.
Der Zugang zu den Einrichtungen der Informationsressourcen wird nur den Mitarbeitern des Unternehmens und den Vertragspartnern gewährt, deren berufliche Aufgaben den Zugang zu diesen Einrichtungen erfordern.
● Alle Informationsressourcen, die Besuchern Zugang gewähren, sind so konfiguriert, dass sie den Besucherzugang mit einem Anmeldeprotokoll verfolgen.
Kartenzugangsaufzeichnungen und Besucherprotokolle für Informationsressourcen werden zur routinemäßigen Überprüfung auf der Grundlage der Kritikalität der zu schützenden Informationsressourcen aufbewahrt.
● Die Ausrüstung ist geschützt, um die Risiken durch Umweltbedrohungen, Gefahren und Möglichkeiten des unbefugten Zugriffs zu verringern.

Sichere Systemkonfigurationen

● Couchbase verfügt über eine Change Management Policy und Prozedur.
Couchbase überwacht Änderungen an Systemen, die in den Geltungsbereich fallen, um sicherzustellen, dass der geltende Standardprozess eingehalten wird, und um das Risiko unentdeckter Änderungen in der Produktion zu minimieren. Änderungen werden im Change Management System nachverfolgt.
● Richtlinien und Verfahren zur Zugriffskontrolle sind vorhanden, um unbefugte Änderungen zu verhindern.
Die Verwaltung mobiler Geräte wird kontrolliert.

Governance

Couchbase hat ein formelles Informationssicherheitsmanagementsystem (ISMS) eingerichtet, um die Vertraulichkeit, Integrität und Verfügbarkeit des Couchbase Capella Angebots und der Informationssysteme zu schützen und die Wirksamkeit der Sicherheitskontrollen für Daten und Informationssysteme zu gewährleisten.
● Couchbase verfügt über eine dokumentierte und genehmigte Informationssicherheitspolitik, einschließlich unterstützender Dokumentation.
Die Autorität und Verantwortung für die Verwaltung des Informationssicherheitsprogramms von Couchbase wurde an die Information Security and Compliance Group delegiert, die von der Geschäftsleitung ermächtigt ist, die notwendigen Maßnahmen zu ergreifen, um das Informationssicherheitsprogramm von Couchbase einzurichten, umzusetzen und zu verwalten.

Einhaltung der Vorschriften

● Couchbase wird von einem unabhängigen Wirtschaftsprüfer geprüft und hat die SOC 2 Typ 1 Konformität erreicht, was unser Engagement für Kontrollen bestätigt, die die Vertraulichkeit und Verfügbarkeit der im Couchbase Capella Service gespeicherten und verarbeiteten Informationen schützen.

Minimaler Zugang zu Daten

● Datenschutzbewertungen werden im Zusammenhang mit der Einführung neuer Produkte/Dienstleistungen und der Verarbeitung personenbezogener Daten durch Dritte durchgeführt.
Die Datenerhebung beschränkt sich auf den Zweck der Verarbeitung (oder auf die Daten, die der Kunde zur Verfügung stellen will).
● Es sind Sicherheitsmaßnahmen vorhanden, die nur ein Mindestmaß an Zugang ermöglichen, das für die Ausführung der erforderlichen Funktionen notwendig ist.
● Anforderungen an die Datenaufbewahrung werden ermittelt
Der Zugang zu personenbezogenen Daten ist auf das an der Verarbeitung beteiligte Personal beschränkt, wobei der Grundsatz "Kenntnisnahme erforderlich" gilt und die Aufgaben und Zuständigkeiten der einzelnen Personen festgelegt werden.

Maßnahmen zur Rechenschaftspflicht

● Bei der Einführung neuer Produkte/Dienstleistungen, die mit der Verarbeitung personenbezogener Daten verbunden sind, ist eine Bewertung der Privatsphäre der Kunden erforderlich.
● Datenschutz-Folgenabschätzungen sind Teil jeder neuen Verarbeitungsinitiative.

Anträge auf Zugang zu personenbezogenen Daten

Betroffene Personen haben das Recht, den Export ihrer personenbezogenen Daten in einem branchenüblichen Format zu verlangen.
● Es gibt Verfahren, die es Einzelpersonen ermöglichen, ihre Datenschutzrechte auszuüben (z.B. das Recht auf Löschung oder das Recht auf Datenübertragbarkeit), wie in der öffentlich zugänglichen Datenschutzrichtlinie von Couchbase beschrieben.

Couchbase wird auch weiterhin die jüngsten Leitlinien des Europäischen Datenschutzausschusses über zusätzliche Maßnahmen zur Erfüllung der Angemessenheitsanforderungen der Datenschutz-Grundverordnung (DSGVO) und alle anderen von den europäischen Datenschutzbehörden herausgegebenen Leitlinien analysieren, sobald diese vorliegen.

 

Dieser Anhang legt die Bedingungen fest, die gelten, wenn die Nutzung des Cloud-Dienstes durch den Kunden einen Weiterleitungsmechanismus erfordert, um personenbezogene Daten aus einer Rechtsordnung rechtmäßig an Couchbase zu übertragen, die sich außerhalb dieser Rechtsordnung befindet.

1. UK Standard Contractual Clauses.  For data transfers from the United Kingdom that are subject to the UK Standard Contractual Clauses, the UK Standard Contractual Clauses will be deemed entered into (and incorporated into this DPA by reference) and completed as follows:

a. The UK Controller to Processor SCCs will apply where Couchbase is processing Customer Data.  The illustrative indemnification clause will not apply.  Annex A serves as Appendix 1 of the UK Controller to Processor SCCs.  Annex B serves as Appendix 2 of the UK Controller to Processor SCCs. Annex D sets out Couchbase’s and Customer’s interpretation of their respective obligations under specific clauses of the UK Controller to Processor SCCs, as applicable.

b. The UK Controller to Controller SCCs will apply where Couchbase is transferring Usage Data.  In Clause II(h), Couchbase will transfer personal data in accordance with the data processing principles set forth in Annex A of the UK Controller to Controller SCCs.  The illustrative commercial clause will not apply. Schedule A of this DPA serves as Annex B of the UK Controller to Controller SCCs.

2. The 2021 Standard Contractual Clauses.  Für Datenübermittlungen, die der DSGVO und/oder dem schweizerischen DSG unterliegen, gelten die Standardvertragsklauseln von 2021 in der folgenden Weise:

a. Modul Eins (Controller to Controller) findet Anwendung, wenn der Kunde ein Controller der Nutzungsdaten ist und Couchbase ein Controller der Nutzungsdaten ist.

b. Modul Zwei (Controller to Processor) findet Anwendung, wenn der Kunde ein Controller der Kundendaten und Couchbase ein Prozessor der Kundendaten ist;

c. Modul drei (Verarbeiter zu Verarbeiter) findet Anwendung, wenn der Kunde ein Verarbeiter von Kundendaten und Couchbase ein Unterverarbeiter von Kundendaten ist;

d. Für jedes Modul, sofern zutreffend:
(i) in Clause 7, the optional docking clause will apply;
(ii) in Klausel 9 gilt Option 2, und die Frist für die vorherige Mitteilung von Änderungen des Unterauftragsverarbeiters richtet sich nach Abschnitt 3 (Unterauftragsverarbeitung) dieser DPA;
(iii) In Klausel 11 wird die fakultative Formulierung nicht angewendet;
(iv) in Clause 17 (Option 1), the 2021 Standard Contractual Clauses will be governed by the law of the EU member state in which the Data Exporter is established, and if no such law, Irish law.
(v) in Clause 18(b), disputes will be resolved before the courts of the EU member state in which the Data Exporter is established, and if no such law, the courts of the Republic of Ireland.
(vi) In Anhang I, Teil A:

Data Exporter:  Customer and authorized affiliates of Customer.

Contact Details:  Customer’s email address(es) specified as the relevant account to receive communications under the Cloud Service

Data Exporter Role:  Customer is the controller or processor of Customer Data, as applicable, and controller of Usage Data

Signature & Date:  By entering into the Agreement, Data Exporter is deemed to have signed these Standard Contractual Clauses incorporated herein, including their Annexes, as of the Effective Date of the Agreement.

Data Importer:  Couchbase, Inc.

Contact Details: Couchbase Legal Team – legal@couchbase.com

Data Importer Role: Couchbase is the processor or sub-processor of Customer Data, as applicable, and controller of Usage Data

Signature & Date: By entering into the Agreement, Data Importer is deemed to have signed these Standard Contractual Clauses, incorporated herein, including their Annexes, as of the Effective Date of the Agreement.

(vii) In Anhang I Teil B:
Die Kategorien der betroffenen Personen sind in Anhang A dieser Datenschutzrichtlinie beschrieben.

Die übermittelten sensiblen Daten sind in Anhang A dieser Datenschutzrichtlinie beschrieben.

Die Häufigkeit der Übermittlung erfolgt kontinuierlich während der Laufzeit des Abkommens.

Die Art der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.

Der Zweck der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.

Der Zeitraum der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.

Für die Übermittlung an Unterauftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung unter https://info.couchbase.com/cloud-subprocessors.html

(viii) In Annex I, Part C: The supervisory authority of the EU member state specified in Section 3(d)(iv) above shall act as competent supervisory authority.

(ix) Schedule 2 serves as Annex II of the Standard Contractual Clauses.

4. Widersprüchliche Begriffe. Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und anderen Bestimmungen dieser DPA haben die Bestimmungen der Standardvertragsklauseln Vorrang.

 

This Annex sets out the parties’ interpretation of their respective obligations under specific clauses of the UK Controller to Processor SCCs (also referred to as the Clauses), identified below. Where a party complies with the interpretations set out in this Annex, that party shall be deemed by the other party to have complied with its commitments under the Clauses.
For the purposes of this Annex, “DPA” means the Data Processing Addendum in place between data importer and data exporter and to which these Clauses are incorporated and “Agreement” shall have the meaning given to it in the DPA.

Clause 4(h) and 8: Disclosure of these Clauses

1. Data exporter agrees that these Clauses constitute data importer’s Confidential Information as that term is defined in the Agreement and may not be disclosed by data exporter to any third party without data importer’s prior written consent unless permitted pursuant to the Agreement. This shall not prevent disclosure of these Clauses to a data subject pursuant to Clause 4(h) or a supervisory authority pursuant to Clause 8.

Clause 5(a): Suspension of data transfers and termination:

1. The parties acknowledge that data importer may process the personal data only on behalf of the data exporter and in compliance with its instructions as provided by the data exporter and the Clauses.

2. The parties acknowledge that if data importer cannot provide such compliance for whatever reason, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract.

3. If the data exporter intends to suspend the transfer of personal data and/or terminate these Clauses, it shall endeavour to provide notice to the data importer and provide data importer with a reasonable period of time to cure the non-compliance (“Aushärtungszeit").

4. If after the Cure Period the data importer has not or cannot cure the non-compliance then the data exporter may suspend or terminate the transfer of personal data immediately. The data exporter shall not be required to provide such notice in instances where it considers there is a material risk of harm to data subjects or their personal data.

Clause 5(f): Audit:

1. Data exporter acknowledges and agrees that it exercises its audit right under Clause 5(f) by instructing data importer to comply with the audit measures described in Section 4 (Security and Audits) of the DPA.

Clause 5(j): Disclosure of sub-processor agreements

1. The parties acknowledge the obligation of the data importer to send promptly a copy of any onward sub-processor agreement it concludes under the Clauses to the data exporter.

2. The parties further acknowledge that, pursuant to sub-processor confidentiality restrictions, data importer may be restricted from disclosing onward sub-processor agreements to data exporter. Notwithstanding this, data importer shall use reasonable efforts to require any sub-processor it appoints to permit it to disclose the sub-processor agreement to data exporter.

3. Even where data importer cannot disclose a sub-processor agreement to data exporter, the parties agree that, upon the request of data exporter, data importer shall (on a confidential basis) provide all information it reasonably in connection with such subprocessing agreement to data exporter.

Clause 6: Liability

1. Any claims brought under the Clauses shall be subject to the terms and conditions, including but not limited to, the exclusions and limitations set forth in the Agreement. In no event shall any party limit its liability with respect to any data subject rights under these Clauses.

Clause 11: Onward subprocessing

1. The parties acknowledge that, pursuant to FAQ II.1 in Article 29 Working Party Paper WP 176 entitled “FAQs in order to address some issues raised by the entry into force of the EU Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC” the data exporter may provide a general consent to onward subprocessing by the data importer.

2. Accordingly, data exporter provides a general consent to data importer, pursuant to Clause 11 of these Clauses, to engage onward sub-processors. Such consent is conditional on data importer’s compliance with the requirements set out in Section 8(a) of the DPA.