Couchbase Capella Cloud Kundendatenverarbeitung Addendum

Dieses Addendum zur Datenverarbeitung (dieses "DPA”) forms part of the Capella Cloud Service Subscription Agreement, or other agreement between Customer and Couchbase governing Customer’s use of the Cloud Service ("Vereinbarung"), zwischen Couchbase, Inc. ("Couchbase”) and the party identified as the “Customer” in the Agreement (“Customer”) (each a “Party" und zusammen die "Parteien”). The effective date of this DPA is the effective date of the Agreement, or if executed separately, the date of the last signature below (“Datum des Inkrafttretens").

Diese DPA beschreibt die Verpflichtungen der Parteien hinsichtlich der Verarbeitung personenbezogener Daten in Verbindung mit der Nutzung des Cloud-Dienstes durch den Kunden. Im Falle eines Widerspruchs zwischen den Bedingungen des Vertrags und den Bedingungen dieser DPA haben die Bedingungen dieser DPA im Umfang des Widerspruchs Vorrang. Jeder großgeschriebene Begriff, der in dieser DPA nicht definiert ist, hat die Bedeutung, die ihm in der Vereinbarung gegeben wird.

Dieses Abkommen wurde zuletzt aktualisiert am September 21, 2022.

Die Vertragsparteien kommen wie folgt überein:

1. Definitionen. Die folgenden in Großbuchstaben geschriebenen Begriffe haben, wenn sie in dieser DPA verwendet werden, die unten angegebene Bedeutung:
a. "Geltende Datenschutzgesetze” means all worldwide privacy and data protection laws, regulations, rules, ordinances and other decrees applicable to the Personal Data, including (but not limited to): (i) European Data Protection Laws; and (ii) all laws and regulations of the United States, including the California Consumer Privacy Act of 2018 (California Civil Code §§ 1798.100 et seq ("CCPA"), die gegebenenfalls geändert, ersetzt oder überholt werden.

b. "KundendatenDer Begriff "personenbezogene Daten" bezeichnet alle personenbezogenen Daten, die von Couchbase im Auftrag des Kunden als Dienstleister oder Auftragsverarbeiter (je nach Fall) in Verbindung mit dem Cloud-Service verarbeitet werden, wie in Anhang A dieser DSGVO näher beschrieben.

c. "EEA"sind die Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.

d. "Europäische Datenschutzgesetze” means: (i) Regulation 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (“GDPR"); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation ("Datenschutzrichtlinie für elektronische Kommunikation (e-Privacy)"); (iii) alle anwendbaren nationalen Umsetzungen von (i) und (ii); (iv) das Schweizerische Bundesgesetz über den Datenschutz vom 19. Juni 1992 und seine Verordnung ("Schweizer EDA"); und (v) in Bezug auf das Vereinigte Königreich das Datenschutzgesetz 2018 und alle anwendbaren nationalen Rechtsvorschriften, die die DSGVO, die Datenschutzrichtlinie für elektronische Kommunikation oder andere Gesetze in Bezug auf Daten und den Schutz der Privatsphäre infolge des Austritts des Vereinigten Königreichs aus der Europäischen Union ersetzen oder in innerstaatliches Recht umwandeln (zusammenfassend als "UK-Datenschutzgesetze"), die jeweils geändert, ersetzt oder ausgetauscht werden können.

e. "Muster-Klauseln” means, depending on the circumstances unique to any particular Customer, any of the following: (i) the standard contractual clauses for processors as approved by the European Commission pursuant to its decision 2021/914 (the “2021 Standardvertragsklauseln”), and (ii) the UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, Version B1.0, in force from March 21, 2022, (“UK IDTA"), jeweils alternativ als Standardvertragsklauseln bezeichnet, durch Verweis einbezogen und Teil dieser DPA.

f. "Persönliche Daten"ist jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht und die nach den geltenden Datenschutzgesetzen als "personenbezogene Daten", "persönliche Informationen" oder "persönlich identifizierbare Informationen" geschützt ist.

g. "Sicherheitsvorfall” means any breach of security that leads to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of or access to Customer Data transmitted, stored or otherwise processed by Couchbase and/or its Sub-processors in connection with the provision of the Cloud Service. The Parties acknowledge and agree that “Security Incident” shall not include unsuccessful attempts or activities that do not compromise the security of Customer Data, including unsuccessful log-in attempts, pings, port scans, denial of service attacks, and other network attacks on firewalls or networked systems.

h. "Sub-Prozessor” means any processor engaged by Couchbase or its Affiliates to assist in fulfilling its obligations with respect to providing the Cloud Service pursuant to the Agreement or this DPA. Sub-processors may include third parties or Couchbase Affiliates but shall exclude any Couchbase employee, contractor or consultant.

i. The terms “Controller", "Prozessor" und "Verarbeitung"haben die Bedeutung, die ihnen in der Datenschutz-Grundverordnung zugewiesen wird, und "Prozess", "Prozesse" und "verarbeitet" sind entsprechend auszulegen; und die Begriffe "Unternehmen", "Dienstanbieter" und "verkaufen" haben die Bedeutung, die ihnen im CCPA zugewiesen wird.

2. Rolle und Umfang der Verarbeitung
a. Umfang. Vorbehaltlich Abschnitt 2(b) gilt diese DPA in dem Umfang, in dem Couchbase als Auftragsverarbeiter oder Dienstleister (je nach Fall) Kundendaten verarbeitet, die durch geltende Datenschutzgesetze geschützt sind.

b. Die Rolle der Parteien. The parties acknowledge and agree that (i) with respect to the processing of Customer Data, Customer is the relevant business, controller or processor (as applicable) of such Customer Data, and Couchbase is a service provider, processor or subprocessor (as applicable) on behalf of Customer, as further described in Annex A of this DPA; and (ii) with respect to Personal Data included in any technical usage data Couchbase collects in connection with Customer’s use of the Cloud Service (“Verwendungsdaten"), ist Couchbase das relevante Unternehmen oder der Verantwortliche für die Nutzungsdaten und wird die Nutzungsdaten in Übereinstimmung mit der Couchbase-Datenschutzrichtlinie verarbeiten, die unter https://www.couchbase.com/privacy-policy. Jede Partei wird bei der Erfüllung dieser DPA alle für sie geltenden und verbindlichen Gesetze, Regeln und Vorschriften einhalten, einschließlich aller geltenden Datenschutzgesetze. In Bezug auf Nutzungsdaten wird Couchbase diese Daten nur in Übereinstimmung mit den Abschnitten 8(a)(iii) und (iv) verarbeiten, soweit diese anwendbar sind.

c. Couchbase verarbeitet personenbezogene Daten. Couchbase verpflichtet sich, Kundendaten nur für die in der DPA beschriebenen Zwecke und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden zu verarbeiten. Die Parteien sind sich einig, dass die Vereinbarung (einschließlich dieser DPA) die vollständigen und endgültigen Anweisungen des Kunden an Couchbase in Bezug auf die Verarbeitung von Kundendaten enthält und dass eine Verarbeitung außerhalb des Anwendungsbereichs dieser Anweisungen (falls zutreffend) eine vorherige schriftliche Vereinbarung zwischen dem Kunden und Couchbase erfordert. Unbeschadet des Abschnitts 2(d) (Verantwortlichkeiten des Kunden) wird Couchbase den Kunden schriftlich benachrichtigen, es sei denn, dies ist nach den geltenden Datenschutzgesetzen verboten, und kann die Verarbeitung von Kundendaten aussetzen, wenn Couchbase feststellt oder glaubt, dass eine Datenverarbeitungsanweisung des Kunden gegen geltende Datenschutzgesetze verstößt.

d. Verantwortlichkeiten des Kunden. Der Kunde ist für die Rechtmäßigkeit der Verarbeitung von Kundendaten im Rahmen oder in Verbindung mit dem Vertrag verantwortlich. Der Kunde sichert zu und gewährleistet, dass (i) er alle Mitteilungen gemacht und alle Zustimmungen, Erlaubnisse und Rechte eingeholt hat und weiterhin einholen wird, die nach den anwendbaren Datenschutzgesetzen erforderlich sind, damit Couchbase die Kundendaten für die in der Vereinbarung (einschließlich dieser DPA) vorgesehenen Zwecke rechtmäßig verarbeiten kann; (ii) er alle anwendbaren Datenschutzgesetze als Verantwortlicher und/oder Unternehmen für Kundendaten für die Sammlung und Bereitstellung solcher Kundendaten an Couchbase und seine Unterverarbeiter eingehalten hat; und (iii) er sicherstellt, dass seine Verarbeitungsanweisungen mit den anwendbaren Gesetzen (einschließlich der anwendbaren Datenschutzgesetze) übereinstimmen und dass die Verarbeitung von Kundendaten durch Couchbase in Übereinstimmung mit den Anweisungen des Kunden nicht dazu führt, dass Couchbase gegen die anwendbaren Datenschutzgesetze verstößt.

e. Aggregierte Daten. Ungeachtet des Vorstehenden oder gegenteiliger Bestimmungen in der Vereinbarung (einschließlich dieser DPA) erkennt der Kunde an, dass Couchbase und seine verbundenen Unternehmen das Recht haben, anonymisierte, zusammengefasste und/oder de-identifizierte Informationen (gemäß der Definition in den anwendbaren Datenschutzgesetzen) für ihre eigenen legitimen Geschäfte zu sammeln und zu erstellen.

3. Weiterverarbeitung
a. Zugelassene Unterauftragsverarbeiter. Der Kunde erkennt an und stimmt zu, dass Couchbase Unterverarbeiter beauftragen kann, um Kundendaten im Namen des Kunden zu verarbeiten. Die derzeit von Couchbase beauftragten und vom Kunden autorisierten Unterauftragsverarbeiter sind auf der Couchbase-Website aufgeführt (derzeit unter https://info.couchbase.com/cloud-subprocessors.html). Mindestens fünfzehn (15) Tage vor dem Hinzufügen eines neuen Unterauftragsverarbeiters wird Couchbase die entsprechende Website aktualisieren und den Kunden über den auf der Couchbase-Website bereitgestellten Mechanismus über diese Aktualisierung informieren, es sei denn, Couchbase ist der Ansicht, dass eine beschleunigte Beauftragung eines neuen Unterauftragsverarbeiters notwendig ist, um die Vertraulichkeit, Integrität oder Verfügbarkeit der Kundendaten zu schützen oder eine wesentliche Unterbrechung des Cloud-Dienstes zu vermeiden, dann wird Couchbase eine solche Benachrichtigung so schnell wie möglich übermitteln.

4. Sicherheit und Audits
a. Sicherheitsmaßnahmen. Couchbase implementiert und unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen, die dazu bestimmt sind, die Kundendaten unter seiner Kontrolle vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit der Kundendaten zu wahren, wobei der Stand der Technik, die Kosten der Implementierung und die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung berücksichtigt werden ("Sicherheitsmaßnahmen"). Diese Sicherheitsmaßnahmen umfassen mindestens die in Anhang B dieser DPA beschriebenen Maßnahmen. Couchbase stellt sicher, dass jede Person, die von Couchbase ermächtigt ist, Kundendaten im Rahmen dieser DPA zu verarbeiten, einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es eine vertragliche oder gesetzliche Verpflichtung).

b. Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass Couchbase die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit des vom Kunden erworbenen Cloud Service führen.

c. Verantwortlichkeiten für die Sicherheit des Kunden. Ungeachtet des Vorstehenden erklärt sich der Kunde damit einverstanden, dass er, sofern nicht in dieser DPA vorgesehen, angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz vor Sicherheitsvorfällen und zur Wahrung der Sicherheit und Vertraulichkeit von Kundendaten, die sich in seiner Herrschaft und unter seiner Kontrolle befinden, einführt und aufrechterhält. Der Kunde ist verantwortlich für (i) den Schutz der Sicherheit aller Kundenanmeldeinformationen, die für den Zugriff auf den Cloud-Service verwendet werden; (ii) die Sicherung der Cloud-Umgebung des Kunden und aller Kundensysteme (wobei diese Maßnahmen unter anderem die regelmäßige Rotation der Zugangsschlüssel und andere branchenübliche Maßnahmen zum Ausschluss unbefugten Zugriffs umfassen); (iii) Sicherung und Schutz der Kundendaten unter der Kontrolle des Kunden innerhalb der Cloud-Umgebung des Kunden oder eines anderen vom Kunden kontrollierten Systems; und (iv) Überprüfung der von Couchbase zur Verfügung gestellten Informationen in Bezug auf Datensicherheit und Datenschutz und unabhängige Feststellung, ob der Cloud-Service die Anforderungen des Kunden und seine rechtlichen Verpflichtungen gemäß dem geltenden Datenschutzrecht erfüllt.

d. Reaktion auf Sicherheitsvorfälle. Soweit es die anwendbaren Datenschutzgesetze vorschreiben, wird Couchbase den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls über die Cloud-Dienste benachrichtigen und wird: (i) zur Unterstützung des Kunden in Bezug auf Mitteilungen über Verletzungen des Schutzes personenbezogener Daten, die der Kunde gemäß den geltenden Datenschutzgesetzen machen muss, wird Couchbase in diese Mitteilung an den Kunden rechtzeitig Informationen über den Sicherheitsvorfall aufnehmen, sobald dieser bekannt wird, und zwar in dem Maße, wie es der Kunde vernünftigerweise verlangt, wobei die Art des Cloud-Dienstes, die Couchbase zur Verfügung stehenden Informationen und etwaige Beschränkungen für die Offenlegung der Informationen, wie etwa die Vertraulichkeit, berücksichtigt werden; und (ii) unverzüglich die von Couchbase als notwendig und angemessen erachteten Schritte zu unternehmen, um einen Sicherheitsvorfall einzudämmen, zu untersuchen und zu beheben, soweit die Behebung in der angemessenen Kontrolle von Couchbase liegt. Die Benachrichtigung von Couchbase über einen Sicherheitsvorfall oder die Reaktion auf einen Sicherheitsvorfall gemäß diesem Abschnitt 4(d) ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von Couchbase in Bezug auf den Sicherheitsvorfall auszulegen. Die hier dargelegten Verpflichtungen gelten nicht für Sicherheitsvorfälle, soweit sie durch den Kunden oder seine autorisierten Benutzer verursacht werden.

e. Sicherheitsprüfungen. Couchbase shall provide written responses (on a confidential basis) to all reasonable written requests for information made by Customer related to Couchbase’s processing of Customer Data, including responses to information security and audit questionnaires that are necessary to confirm Couchbase’s compliance with this DPA, provided that Customer shall not exercise this right more than once in any twelve (12) month rolling period. Notwithstanding the foregoing, Customer may also exercise such audit right in the event Customer is expressly requested or required to provide this information to a data protection authority, or Couchbase has experienced a Security Incident, or on another reasonably similar basis.

5. Internationale Überweisungen
a. Bearbeitungsorte. Customer acknowledges and agrees that Couchbase may transfer and process Customer Data to and in the United States and anywhere else in the world where Couchbase, its Affiliates or its Sub-processors maintain data processing operations. Couchbase shall at all times ensure such transfers are made in compliance with the requirements of Applicable Data Protection Laws and this DPA.

b. Transfer Mechanisms. Wenn zu irgendeinem Zeitpunkt geltende Datenschutzgesetze weitere Schritte erfordern, um die Übermittlung von Kundendaten gemäß dieser DPA zu ermöglichen (einschließlich, aber nicht beschränkt auf die Ausführung oder erneute Ausführung der Standardvertragsklauseln von 2021 oder des UK IDTA als separates Dokument und/oder den Abschluss zusätzlicher grenzüberschreitender Übermittlungsklauseln), und/oder die Übermittlungsmechanismen in dieser DPA (einschließlich, ohne Einschränkung, wie in Abschnitt 8 unten dargelegt) geändert, ersetzt, aufgehoben oder anderweitig unter dem anwendbaren Datenschutzrecht beendet werden, dann vereinbaren der Kunde und Couchbase, in gutem Glauben zusammenzuarbeiten, um alle Schritte zu unternehmen, die vernünftigerweise erforderlich sind, um eine Übermittlung in Übereinstimmung mit dem anwendbaren Datenschutzrecht zu ermöglichen.

6. Deletion of Customer Data
a. Der Cloud-Dienst bietet dem Kunden Kontrollmechanismen, mit denen der Kunde während der Laufzeit die Kundendaten in einer Weise löschen oder abrufen kann, die mit der Funktionalität des Cloud-Dienstes vereinbar ist.

b. Der Kunde ermächtigt Couchbase hiermit, bei Beendigung oder Ablauf der Vereinbarung oder im Falle einer Kündigung oder Aussetzung des Cloud-Dienstes gemäß der Vereinbarung alle Kundendaten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, in Übereinstimmung mit der Vereinbarung zu löschen, mit der Ausnahme, dass diese Anforderung nicht gilt, soweit Couchbase nach geltendem Recht verpflichtet ist, einige oder alle Kundendaten zu behalten.

7. Rechte von Einzelpersonen und Zusammenarbeit
a. Ersuchen der betroffenen Person. The Cloud Service provide Customer with a number of controls, including security features and functionalities, that Customer may use to retrieve, correct, delete or restrict Customer Data, as described in any documentation applicable to the Cloud Service. Without prejudice to Section 4(a), Customer may use these controls as technical and organizational measures to assist it in connection with its obligations under Applicable Data Protection Laws, including its obligations relating to responding to requests from data subjects. To the extent that Customer is unable to independently access the relevant Customer Data within the Cloud Service, Couchbase shall, taking into account the nature of the processing, provide reasonable cooperation to assist Customer to respond to any requests from individuals or applicable data protection authorities relating to the processing of Customer Data under the Agreement. In the event that any such request is made to Couchbase directly, Couchbase shall not respond to such communication directly without Customer’s prior authorization, unless legally compelled to do so. If Couchbase is required to respond to such a request, Couchbase shall promptly notify Customer and provide it with a copy of the request unless legally prohibited from doing so.

b. Vorladungen und Gerichtsbeschlüsse. Wenn eine Strafverfolgungsbehörde Couchbase eine Forderung nach Kundendaten sendet (z.B. durch eine Vorladung oder einen Gerichtsbeschluss), wird Couchbase den Kunden in angemessener Weise von der Forderung in Kenntnis setzen, um dem Kunden die Möglichkeit zu geben, eine Schutzverfügung oder ein anderes geeignetes Rechtsmittel zu beantragen, es sei denn, Couchbase ist dies gesetzlich untersagt.

8. Rechtsprechungsspezifische Bedingungen
a. Europa. Soweit die Kundendaten den europäischen Datenschutzgesetzen unterliegen, gelten die folgenden Bestimmungen zusätzlich zu den Bestimmungen in den übrigen Teilen dieser DPA:

i. Verpflichtungen des Unterauftragsverarbeiters. Couchbase muss: (A) einen schriftlichen Vertrag mit jedem Unterauftragsverarbeiter abschließen, der Datenschutzbedingungen enthält, die den Unterauftragsverarbeiter dazu verpflichten, personenbezogene Daten so zu schützen, wie es das geltende europäische Datenschutzrecht und diese DSGVO vorschreiben; und (B) für die Einhaltung der Verpflichtungen aus dieser DSGVO und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich bleiben, die dazu führen, dass Couchbase seine Verpflichtungen aus dieser DSGVO verletzt.

ii. Einwände gegen Unterauftragsverarbeiter. Customer may object in writing to Couchbase’s appointment of a new Sub-processor on reasonable grounds relating to data protection (e.g. if making Customer Data available to the Sub-processor may violate European Data Protection Law or weaken the protections for such Customer Data) by notifying Couchbase promptly in writing within five (5) calendar days of receipt of notice from Couchbase in accordance with Section 3(a) above. Such notice shall explain the reasonable grounds for the objection and the parties shall discuss such concerns in good faith with a view to achieving commercially reasonable resolution. If no such resolution can be reached, Couchbase will, at its sole discretion, either not appoint Sub-processor, or permit Customer to suspend or terminate the affected Cloud Service in accordance with the termination provisions in the Agreement without liability to either party (but without prejudice to any fees incurred by Customer prior to suspension or termination). Unless an objection is made as set forth in this Section 8(a)(ii), Customer consents to Couchbase’s use of sub-processors as described in this DPA.

iii. Übermittlung von Daten. Soweit Couchbase personenbezogene Daten, die durch europäische Datenschutzgesetze geschützt sind, in einem Drittland verarbeitet (oder verarbeiten lässt), das nicht als Land anerkannt ist, das einen angemessenen Schutz für personenbezogene Daten bietet (wie in den europäischen Datenschutzgesetzen beschrieben), gelten die Bestimmungen und Bedingungen von Anhang C (Übermittlung von Daten) gelten, und es wird davon ausgegangen, dass der Kunde (als Datenexporteur) die Modellklauseln mit Couchbase (als Datenimporteur) abgeschlossen hat, und Couchbase erklärt sich damit einverstanden, diese Kundendaten in Übereinstimmung mit den Modellklauseln zu verarbeiten, die durch Verweis in vollem Umfang einbezogen werden und einen integralen Bestandteil dieser DPA bilden. Für die Zwecke der Beschreibungen in den Musterklauseln gilt: (A) Couchbase stimmt zu, dass es ein "Datenimporteur" und der Kunde der "Datenexporteur" ist (ungeachtet dessen, dass der Kunde selbst eine außerhalb des EWR oder des Vereinigten Königreichs ansässige Einrichtung sein kann); (B) Anhang A und Anhang B dieser DPA ersetzen Anhang 1 und Anhang 2 der Musterklauseln. Es ist weder die Absicht einer der Parteien noch die Wirkung dieser DPA, den Bestimmungen der Musterklauseln zu widersprechen oder sie einzuschränken. Wenn und soweit die Musterklauseln im Widerspruch zu einer Bestimmung dieser DPA stehen, haben die Musterklauseln daher im Umfang des Widerspruchs Vorrang. Die Musterklauseln gelten nicht für Kundendaten, die weder direkt noch im Wege der Weiterübermittlung außerhalb des EWR oder des Vereinigten Königreichs übermittelt werden.

iv. Alternativer Transfer-Mechanismus. Wenn und soweit Couchbase eine alternative Datenexportlösung für die Übertragung von Kundendaten gemäß den geltenden europäischen Datenschutzgesetzen ("Alternativer Transfer-Mechanismus"), gilt stattdessen der alternative Übertragungsmechanismus (jedoch nur in dem Umfang, in dem dieser alternative Übertragungsmechanismus auf die Übertragung Anwendung findet).

v. Datenschutz-Folgenabschätzung. Soweit Couchbase nach geltendem europäischem Datenschutzrecht verpflichtet ist, stellt Couchbase angemessen angeforderte Informationen über die Verarbeitung personenbezogener Daten durch Couchbase im Rahmen der Vereinbarung zur Verfügung, um den Kunden in die Lage zu versetzen, Datenschutz-Folgenabschätzungen oder vorherige Konsultationen mit Aufsichtsbehörden, wie gesetzlich vorgeschrieben, durchzuführen.

vi. Übermittlung von Daten aus dem Vereinigten Königreich. Soweit die Übermittlung personenbezogener Daten den Rechtsvorschriften des Vereinigten Königreichs (einschließlich der Allgemeinen Datenschutzverordnung des Vereinigten Königreichs) unterliegt, stimmen die Parteien zu:

1. Die Bestimmungen des IDTA, einschließlich Teil 2 "Verbindliche Klauseln", gelten in vollem Umfang;

2. Für die Zwecke von Tabelle 1 des britischen IDTA werden die Namen der Parteien, ihre Aufgaben und ihre Angaben in dem beigefügten Anhang C aufgeführt;

3. Für die Zwecke der Tabellen 2 und 3 der britischen IDTA gelten die Standardvertragsklauseln von 2021, die durch Verweis in diese DPA aufgenommen wurden, einschließlich der in den beigefügten Anhängen enthaltenen Informationen; und

4. Für die Zwecke von Tabelle 4 des britischen IDTA kann jede Partei das britische IDTA beenden, wenn die Parteien nach Treu und Glauben nicht in der Lage sind, sich auf eine Änderung dieser DPA zu einigen.

b. Kalifornien. Soweit die Kundendaten dem CCPA unterliegen, erklären sich die Parteien damit einverstanden, dass der Kunde ein Unternehmen ist und Couchbase als seinen Dienstleister beauftragt, die Kundendaten im Rahmen der Vereinbarung (einschließlich dieser DPA) und des CCPA oder für anderweitig schriftlich vereinbarte Zwecke zu verarbeiten (die "Zulässige Zwecke"). Kunde und Couchbase vereinbaren, dass: (i) Couchbase personenbezogene Daten nicht für andere als die zulässigen Zwecke aufbewahrt, nutzt oder offenlegt; (ii) Kundendaten nicht an Couchbase verkauft wurden und Couchbase personenbezogene Daten (im Sinne des CCPA) nicht "verkauft"; (iii) Couchbase personenbezogene Daten nicht außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Couchbase aufbewahrt, nutzt oder offenlegt; und (iv) Couchbase personenbezogene Daten im Zuge der Bereitstellung des Cloud-Dienstes de-identifizieren oder aggregieren kann. Couchbase bestätigt, dass es die in diesem Abschnitt 8(b) dargelegten Einschränkungen versteht und sie einhalten wird.

9. Begrenzung der Haftung
a. Each Party’s and all of its Affiliates’ liability, taken together in the aggregate, arising out of or related to this DPA (including the Model Clauses) whether in contract, tort (including negligence) or under any other theory of liability, shall be subject to the limitations and exclusions of liability in the Agreement, and any reference in provisions to the liability of a party means the aggregate liability of that party and all of its Affiliates under and in connection with the Agreement and this DPA together.

b. Except where Applicable Data Protection Laws require a Customer Affiliate to exercise a right or seek any remedy under this DPA against Couchbase directly by itself, the parties agree that (i) solely the Customer entity that is the contracting party to the Agreement shall exercise any right or seek any remedy any Customer Affiliate may have under this DPA on behalf of its Affiliates, and (ii) the Customer that is the contracting party to the Agreement shall exercise any such rights under this DPA not separately for each Affiliate individually but in a combined manner for all of its Affiliates together.

10. Sonstiges
a. Abgesehen von den Änderungen, die durch diese DPA vorgenommen werden, bleibt die Vereinbarung unverändert und in vollem Umfang gültig und wirksam.

b. Diese DPA kann in mehreren Exemplaren ausgefertigt werden, wobei jedes Exemplar als Original gilt, alle Exemplare zusammen jedoch ein und dieselbe Urkunde darstellen.

c. Sollte eine Bestimmung oder ein Teil einer Bestimmung dieser DPA ungültig, rechtswidrig oder nicht durchsetzbar sein oder werden, so gilt sie als gestrichen; dies berührt jedoch nicht die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen der DPA.

d. Diese DPA unterliegt dem geltenden Recht und den Gerichtsstandsbestimmungen des Abkommens und ist gemäß diesen auszulegen, sofern die europäischen Datenschutzgesetze nichts anderes vorschreiben.

Dieser Anhang A ist Teil der DSGVO und beschreibt (i) die Verarbeitung von Kundendaten durch Couchbase als Auftragsverarbeiter oder Unterauftragsverarbeiter im Namen des Kunden als Verantwortlicher bzw. Auftragsverarbeiter und (ii) die Übertragung von Nutzungsdaten durch Couchbase als Verantwortlicher.

1) Kundendaten
Dauer
Die Dauer der Datenverarbeitung unter dieser DPA ist bis zur Beendigung der Vereinbarung in Übereinstimmung mit ihren Bedingungen plus dem Zeitraum vom Auslaufen der Vereinbarung bis zur Löschung der personenbezogenen Daten durch Couchbase in Übereinstimmung mit den Bedingungen der Vereinbarung (einschließlich dieser DPA).

Kategorien von Daten
Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):
● Persönliche Daten in Kundeninhalten oder Supportinhalten: Personenbezogene Daten, die in Inhalten oder Daten enthalten sind, die vom oder im Namen des Kunden oder autorisierten Nutzern durch oder über den Cloud-Service bereitgestellt werden.

Besondere Kategorien von Daten (falls zutreffend)
Die Parteien beabsichtigen nicht, im Rahmen des Abkommens Daten besonderer Kategorien zu verarbeiten.

Betroffene Personen
Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):
● Data subjects include individuals about whom data is provided to Couchbase via the Cloud Service by or at the direction of Customer, including Authorized Users. Data subjects may include Customer’s customers, employees, suppliers and end-users.

Verarbeitung der Vorgänge
Die personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte angeben):
● processing to provide the Cloud Service in accordance with the Agreement;
● Verarbeitung zur Durchführung aller für die Erfüllung des Vertrags erforderlichen Schritte;
● die vom Kunden bei seiner Nutzung des Cloud-Dienstes veranlasste Verarbeitung; und
● processing to comply with other reasonable instructions provided by Customer (e.g. via email or support tickets) that are consistent with the terms of the Agreement.

Frequenz
Die personenbezogenen Daten können fortlaufend übermittelt werden.

ii) Usage Data

Dauer
Nutzungsdaten werden während der Laufzeit der jeweiligen Vereinbarung übertragen und aufbewahrt, zuzüglich des Zeitraums, in dem die Nutzungsdaten für die legitimen Geschäftsbemühungen von Couchbase erforderlich sind. Bestimmte aggregierte und anonymisierte Aufzeichnungen von Nutzeraktionen können dauerhaft gespeichert werden.

Kategorien von Daten
Die zu übermittelnden personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):

● Personenbezogene Daten in Nutzungsdaten: Zu den Nutzungsdaten können Informationen über das Benutzerkonto, einschließlich der Konto-ID und der E-Mail-Adresse, persönliche Identifikationsdaten, einschließlich der IP-Adresse, Beschäftigungsinformationen, Kontaktinformationen, Browserinformationen und Metadaten gehören.

Besondere Kategorien von Daten (falls zutreffend)
Die Parteien beabsichtigen nicht, im Rahmen des Abkommens Daten besonderer Kategorien zu übermitteln.

Betroffene Personen
Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):
● Data subjects may include Customer, Customer’s employees and other Authorized Users and any other permitted collaborators.

Verarbeitung der Vorgänge
Die personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte angeben):
● Processing to provide and administer the products, services and support;
● Processing to derive insights in order to improve the products, services and support and support business development;
● Processing to engage and respond to customer questions, perform marketing and sales activities, and analyze business metadata.

Frequenz
Die personenbezogenen Daten können fortlaufend übermittelt werden.

Dieser Anhang beschreibt die Sicherheitsmaßnahmen von Couchbase. Der Kunde erkennt an, dass der Cloud-Dienst gemäß einem Modell der geteilten Verantwortung betrieben wird, das unter anderem verlangt, dass der Kunde bestimmte Schritte unternimmt, wie z. B. den Schutz der Sicherheit der Kundeninhalte (die in der Umgebung des Kunden unter der Kontrolle des Kunden gespeichert bleiben). Wenn und soweit Couchbase Kundendaten im Namen des Kunden in Verbindung mit dem Cloud-Dienst verarbeitet oder Nutzungsdaten gemäß den Standardvertragsklauseln überträgt, muss Couchbase die folgenden Sicherheitsmaßnahmen implementieren und aufrechterhalten:

Maßnahmen zur Datenverschlüsselung
● All customer data is encrypted in-transit using TLS 1.2 (or higher) and encrypted at-rest using AES-256 encryption.
● Employee laptops are encrypted using full disk AES-256 encryption.
● All credentials are encrypted in transit using TLS 1.2 (or higher) and encrypted at-rest.
● Encryption keys are rotated on an annual basis and are stored and managed by the cloud service provider selected by Customer.

Maßnahmen zur Verfügbarkeit und Wiederherstellbarkeit
Couchbase unterhält Disaster-Recovery- und Business-Continuity-Pläne und -Verfahren, die darauf ausgelegt sind, die Verfügbarkeit des Cloud-Dienstes in angemessener Weise sicherzustellen.
Das Couchbase Capella-Angebot wird in geografisch verteilten Rechenzentren betrieben, die von branchenweit anerkannten Public-Cloud-Anbietern wie Amazon (AWS), Microsoft (Azure) und Google (GCP) betrieben werden (falls zutreffend).
● Redundanz ist in die Systeminfrastruktur eingebaut, die das Couchbase Capella Angebot unterstützt. Für den Fall, dass ein primäres System ausfällt, ist die redundante Infrastruktur in einer anderen Verfügbarkeitszone so konfiguriert, dass sie dessen Platz einnimmt.
● Backups werden in kontrollierten Umgebungen innerhalb der Cloud-Infrastruktur gespeichert. Der logische Zugriff auf die Sicherungsdaten ist auf das zuständige Personal beschränkt und wird in einem Speicher mit hoher Verfügbarkeit gespeichert.
● On an annual basis, a backup restoration test is performed where operations personnel restore a backup from a snapshot to ensure that data could be recovered in the event of an incident.

Organisatorische Sicherheitsmaßnahmen
Couchbase hat ein formelles Informationssicherheitsmanagementsystem (ISMS) eingerichtet, um die Vertraulichkeit, Integrität und Verfügbarkeit des Couchbase Capella Angebots und der Informationssysteme zu schützen und die Wirksamkeit der Sicherheitskontrollen für Daten und Informationssysteme zu gewährleisten.
● Employees are required to undergo Anti-Bribery & Corruption, Ethics and Code of Conduct, Insider Trading, Global Data Privacy and annual Security Awareness Training.
● Employees are required to sign non-disclosure and Confidentiality agreements upon hire.
● Formal policies and procedures are in place for employee onboarding and offboarding activities. Account provisioning and de-provisioning processes are defined and implemented.
● Employee access is removed upon termination or adjusted as required as a result of  role change.
● Multi-factor Authentication (MFA) is enforced for access to critical and production resources.
● Password complexity requirements are enforced.
● Segregation of responsibilities and duties is implemented to reduce opportunities for unauthorized or unintentional modification or misuse.
● Couchbase maintains signed non-disclosure agreements with third parties.
● Couchbase networks are segregated based on trust levels and protected by firewalls.

Protokollierungs- und Überwachungsmaßnahmen
● Logging of user activities, exceptions, faults, and information security events are enabled. Logs are retained, as necessary.
● All logs can be accessed only by authorized Couchbase employees and access controls are in place to prevent unauthorized access.
● Write access to logging data is strictly prohibited. Logging facilities and log information are protected against tampering and unauthorized access through use of access controls and security measures.
● Couchbase has various monitoring measures in place to generate security alerts and identify irregular activity.
● The Couchbase Capella operations team regularly reviews security alerts and their underlying configuration to ensure they are operating as intended and that controls are modified as conditions change.

Maßnahmen zur Zugangskontrolle
● Couchbase implements security best practices and uses a role-based security architecture across the database, network, and application layers and strictly follows principles of least privilege when granting access to key systems.
● Couchbase has defined job functions and roles to support proper segregation of duties.
● Access to operational, production and disaster recovery environments is protected by use of unique user accounts, strong passwords, use of Multi-Factor Authentication (MFA), role-based access, and principle of least privileges.
● Access keys used by production Couchbase applications (e.g. AWS Access Keys) are accessible only to authorized personnel. They are rotated (changed) as required (e.g., pursuant to a security advisory or personnel departure) and at least yearly.
● User activity in operational environments including access, modification or deletion of data is logged.
● Authorization requests and provisioning is logged, tracked and audited.
● Web Application Firewalls (WAF), in addition to the network-based firewalls, are deployed.

Physische Sicherheitsmaßnahmen
Das Couchbase Capella-Angebot wird in geografisch verteilten Rechenzentren betrieben, die von branchenweit anerkannten Public-Cloud-Anbietern wie Amazon (AWS), Microsoft (Azure) und Google (GCP) betrieben werden (falls zutreffend).
● Physical access to all facilities containing sensitive data is restricted and managed.
● All information resource facilities (e.g. network closets and storerooms) are physically protected in proportion to the criticality or importance of their function.
● Access to information resource facilities is granted only to company personnel and contractors whose job responsibilities require access to those facilities.
● All information resource facilities that allow access to visitors are configured to track visitor access with a sign-in log.
● Card access records and visitor logs for information resource facilities are kept for routine review based upon the criticality of the information resources being protected.
● Equipment is protected to reduce the risks from environmental threats, hazards, and opportunities for unauthorized access.

Sichere Systemkonfigurationen
● Couchbase has a Change Management policy and procedure in place.
● Couchbase monitors changes to in-scope systems to ensure that the applicable standard process is followed and to mitigate any risk of un-detected changes to production. Changes are tracked in the change management system.
● Access Control policy and procedures are in place to prevent unauthorized changes.
● Mobile device management controls are in place.

Governance
Couchbase hat ein formelles Informationssicherheitsmanagementsystem (ISMS) eingerichtet, um die Vertraulichkeit, Integrität und Verfügbarkeit des Couchbase Capella Angebots und der Informationssysteme zu schützen und die Wirksamkeit der Sicherheitskontrollen für Daten und Informationssysteme zu gewährleisten.
● Couchbase has in place a documented and approved information security policy, including supporting documentation.
● The authority and responsibility for managing Couchbase’s information security program has been delegated to Information Security and Compliance Group, who is authorized by senior management to take actions necessary to establish, implement, and manage Couchbase’s information security program.

Einhaltung der Vorschriften
● Couchbase is audited by an independent third-party auditor and has achieved SOC 2 Type 1 compliance, attesting to our commitment to controls that safeguard the confidentiality and availability of information stored and processed in the Couchbase Capella service.

Minimaler Zugang zu Daten
● Privacy assessments are performed related to implementation of new products/services and processing of personal data by third parties.
● Data collection is limited to the purposes of the processing (or the data that the customer chooses to provide).
● Security measures are in place to provide only the minimum amount of access necessary to perform required functions.
● Data retention requirements are identified
● Access to personal data is restricted to the personnel involved in the processing, adhering to the “need to know” principle, and according to defined roles and responsibilities of the individuals.

Maßnahmen zur Rechenschaftspflicht
● Customer Privacy Assessments are required when introducing any new product/service that involves processing of personal data.
● Data protection impact assessments are part of any new processing initiative.

Anträge auf Zugang zu personenbezogenen Daten
● Data subjects are eligible to request the export of their personal data in an industry standard format.
● Processes are in place that allow individuals to exercise their privacy rights (e.g. right of erasure or right to data portability), as described in Couchbase’s publicly available Privacy Policy.

Couchbase wird auch weiterhin die jüngsten Leitlinien des Europäischen Datenschutzausschusses über zusätzliche Maßnahmen zur Erfüllung der Angemessenheitsanforderungen der Datenschutz-Grundverordnung (DSGVO) und alle anderen von den europäischen Datenschutzbehörden herausgegebenen Leitlinien analysieren, sobald diese vorliegen.

Dieser Anhang legt die Bedingungen fest, die gelten, wenn die Nutzung des Cloud-Dienstes durch den Kunden einen Weiterleitungsmechanismus erfordert, um personenbezogene Daten aus einer Rechtsordnung rechtmäßig an Couchbase zu übertragen, die sich außerhalb dieser Rechtsordnung befindet.

1. Die Standardvertragsklauseln von 2021. Für Datenübermittlungen, die der DSGVO und/oder dem schweizerischen DSG unterliegen, gelten die Standardvertragsklauseln von 2021 in der folgenden Weise:

a. Modul Eins (Controller to Controller) findet Anwendung, wenn der Kunde ein Controller der Nutzungsdaten ist und Couchbase ein Controller der Nutzungsdaten ist.
b. Modul Zwei (Controller to Processor) findet Anwendung, wenn der Kunde ein Controller der Kundendaten und Couchbase ein Prozessor der Kundendaten ist;
c. Modul drei (Verarbeiter zu Verarbeiter) findet Anwendung, wenn der Kunde ein Verarbeiter von Kundendaten und Couchbase ein Unterverarbeiter von Kundendaten ist;
d. Für jedes Modul, sofern zutreffend:

(i) in Clause 7, the optional docking clause will apply and the parties shall cooperate in good faith to take the necessary steps to apply the 2021 Standard Contractual Clauses to another party;
(ii) in Klausel 9 gilt Option 2, und die Frist für die vorherige Mitteilung von Änderungen des Unterauftragsverarbeiters richtet sich nach Abschnitt 3 (Unterauftragsverarbeitung) dieser DPA;
(iii) In Klausel 11 wird die fakultative Formulierung nicht angewendet;
(iv) In Klausel 17 (Option 1) unterliegen die Standardvertragsklauseln 2021 dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, und, falls dies nicht der Fall ist, dem irischen Recht; vorausgesetzt, dass in Bezug auf Datenübermittlungen, die den Datenschutzgesetzen eines Landes außerhalb des EWR unterliegen, in dem die zuständige Behörde die Verwendung der Standardvertragsklauseln 2021 genehmigt hat (einschließlich, aber nicht beschränkt auf die Schweiz) (ein "Annehmendes Land") unterliegen die Standardvertragsklauseln 2021 dem Datenschutzrecht des Annahmelandes.
(v) in Klausel 18(b) werden Streitigkeiten vor den Gerichten des EU-Mitgliedsstaates entschieden, in dem der Datenexporteur niedergelassen ist, und wenn es kein solches Recht gibt, vor den Gerichten der Republik Irland; vorausgesetzt, dass in Bezug auf Datenübermittlungen, die den Datenschutzgesetzen eines Übernahmelandes unterliegen, alle Streitigkeiten, die sich aus den Standardvertragsklauseln von 2021 ergeben, von den Gerichten des Übernahmelandes entschieden werden.
(vi) In Anhang I, Teil A: 

Data Exporter: Customer and authorized affiliates of Customer.

Contact Details: Customer’s email address(es) specified as the relevant account to receive communications under the Cloud Service

Data Exporter Role: Customer is the controller or processor of Customer Data, as applicable, and controller of Usage Data
Aktivitäten, die für die übermittelten Daten relevant sind: Erhalt von Software und Dienstleistungen von Couchbase und angeschlossenen Unternehmen

Signature & Date: By entering into the Agreement and DPA, Data Exporter is deemed to have signed these Standard Contractual Clauses incorporated herein, including their Annexes, as of the Effective Date of the DPA.

Data Importer: Couchbase, Inc.

Contact Details: Couchbase Legal Team – legal@couchbase.com

Data Importer Role: Couchbase is the processor or sub-processor of Customer Data, as applicable, and controller of Usage Data
Für die übermittelten Daten relevante Tätigkeiten: Bereitstellung von Software und Dienstleistungen

Signature & Date: By entering into the Agreement and DPA, Data Importer is deemed to have signed these Standard Contractual Clauses, incorporated herein, including their Annexes, as of the Effective Date of the DPA.

(vii) In Anhang I Teil B:
Die Kategorien der betroffenen Personen sind in Anhang A dieser Datenschutzrichtlinie beschrieben.

Die übermittelten sensiblen Daten sind in Anhang A dieser Datenschutzrichtlinie beschrieben.

Die Häufigkeit der Übermittlung erfolgt kontinuierlich während der Laufzeit des Abkommens.

Die Art der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.

Der Zweck der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.

Der Zeitraum der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.

Für die Übermittlung an Unterauftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung unter https://info.couchbase.com/cloud-subprocessors.html

(viii) In Annex I, Part C: The supervisory authority of the EU member state specified in Section 1(d)(iv) above shall act as competent supervisory authority; provided that with respect to any transfers of data subject to the data protection laws of an Adopting Country, the supervisory authority is the data protection authority of the Adopting Country.

(ix) Annex B of this DPA serves as Annex II of the Standard Contractual Clauses.

4. Widersprüchliche Begriffe. Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und anderen Bestimmungen dieser DPA haben die Bestimmungen der Standardvertragsklauseln Vorrang.