Dieses Addendum zur Datenverarbeitung (dieses "DPA”) ist Teil des Capella Cloud Service-Abonnementvertrags oder einer anderen Vereinbarung zwischen dem Kunden und Couchbase, die die Nutzung des Cloud Service durch den Kunden regelt ("Vereinbarung"), zwischen Couchbase, Inc. ("Couchbase”) und die in der Vereinbarung als “Kunde” bezeichnete Partei (“Kunde”) (jeweils ein “Party" und zusammen die "Parteien”). Das Datum des Inkrafttretens dieser DPA ist das Datum des Inkrafttretens der Vereinbarung oder, falls sie separat abgeschlossen wurde, das Datum der letzten Unterschrift unten (“Datum des Inkrafttretens").
Diese DPA beschreibt die Verpflichtungen der Parteien hinsichtlich der Verarbeitung personenbezogener Daten in Verbindung mit der Nutzung des Cloud-Dienstes durch den Kunden. Im Falle eines Widerspruchs zwischen den Bedingungen des Vertrags und den Bedingungen dieser DPA haben die Bedingungen dieser DPA im Umfang des Widerspruchs Vorrang. Jeder großgeschriebene Begriff, der in dieser DPA nicht definiert ist, hat die Bedeutung, die ihm in der Vereinbarung gegeben wird.
Dieses Abkommen wurde zuletzt aktualisiert am September 21, 2022.
Die Vertragsparteien kommen wie folgt überein:
1. Definitionen. Die folgenden in Großbuchstaben geschriebenen Begriffe haben, wenn sie in dieser DPA verwendet werden, die unten angegebene Bedeutung:
a. "Geltende Datenschutzgesetze” bezeichnet alle weltweiten Datenschutzgesetze, Vorschriften, Regeln, Verordnungen und sonstigen Erlasse, die auf die personenbezogenen Daten anwendbar sind, einschließlich (aber nicht beschränkt auf): (i) europäische Datenschutzgesetze; und (ii) alle Gesetze und Vorschriften der Vereinigten Staaten, einschließlich des California Consumer Privacy Act von 2018 (California Civil Code §§ 1798.100 et seq ("CCPA"), die gegebenenfalls geändert, ersetzt oder überholt werden.
b. "KundendatenDer Begriff "personenbezogene Daten" bezeichnet alle personenbezogenen Daten, die von Couchbase im Auftrag des Kunden als Dienstleister oder Auftragsverarbeiter (je nach Fall) in Verbindung mit dem Cloud-Service verarbeitet werden, wie in Anhang A dieser DSGVO näher beschrieben.
c. "EEA"sind die Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.
d. "Europäische Datenschutzgesetze”i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (“GDPR"); (ii) Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation ("Datenschutzrichtlinie für elektronische Kommunikation (e-Privacy)"); (iii) alle anwendbaren nationalen Umsetzungen von (i) und (ii); (iv) das Schweizerische Bundesgesetz über den Datenschutz vom 19. Juni 1992 und seine Verordnung ("Schweizer EDA"); und (v) in Bezug auf das Vereinigte Königreich das Datenschutzgesetz 2018 und alle anwendbaren nationalen Rechtsvorschriften, die die DSGVO, die Datenschutzrichtlinie für elektronische Kommunikation oder andere Gesetze in Bezug auf Daten und den Schutz der Privatsphäre infolge des Austritts des Vereinigten Königreichs aus der Europäischen Union ersetzen oder in innerstaatliches Recht umwandeln (zusammenfassend als "UK-Datenschutzgesetze"), die jeweils geändert, ersetzt oder ausgetauscht werden können.
e. "Muster-Klauseln”(i) die Standardvertragsklauseln für Auftragsverarbeiter, wie sie von der Europäischen Kommission gemäß dem Beschluss 2021/914 (die “Standardvertragsklauseln") genehmigt wurden: (i) die Standardvertragsklauseln für Auftragsverarbeiter, wie sie von der Europäischen Kommission gemäß ihrem Beschluss 2021/914 genehmigt wurden (die "2021 Standardvertragsklauseln”), und (ii) das UK International Data Transfer Addendum zu den Standardvertragsklauseln der EU-Kommission, Version B1.0, in Kraft ab 21. März 2022, (“UK IDTA"), jeweils alternativ als Standardvertragsklauseln bezeichnet, durch Verweis einbezogen und Teil dieser DPA.
f. "Persönliche Daten"ist jede Information, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht und die nach den geltenden Datenschutzgesetzen als "personenbezogene Daten", "persönliche Informationen" oder "persönlich identifizierbare Informationen" geschützt ist.
g. "Sicherheitsvorfall”Sicherheitsvorfall“ bezeichnet jede Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf Kundendaten führt, die von Couchbase und/oder seinen Unterauftragsverarbeitern in Verbindung mit der Bereitstellung des Cloud-Dienstes übertragen, gespeichert oder anderweitig verarbeitet werden. Die Parteien erkennen an und vereinbaren, dass ”Sicherheitsvorfall" keine erfolglosen Versuche oder Aktivitäten umfasst, die die Sicherheit der Kundendaten nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
h. "Sub-Prozessor”Unterverarbeiter" bezeichnet jeden von Couchbase oder seinen verbundenen Unternehmen beauftragten Auftragsverarbeiter, der Couchbase bei der Erfüllung seiner Verpflichtungen in Bezug auf die Bereitstellung des Cloud-Dienstes gemäß der Vereinbarung oder dieser DPA unterstützt. Zu den Unterauftragsverarbeitern können Dritte oder verbundene Unternehmen von Couchbase gehören, nicht jedoch Mitarbeiter, Auftragnehmer oder Berater von Couchbase.
i. Die Begriffe “Controller", "Prozessor" und "Verarbeitung"haben die Bedeutung, die ihnen in der Datenschutz-Grundverordnung zugewiesen wird, und "Prozess", "Prozesse" und "verarbeitet" sind entsprechend auszulegen; und die Begriffe "Unternehmen", "Dienstanbieter" und "verkaufen" haben die Bedeutung, die ihnen im CCPA zugewiesen wird.
2. Rolle und Umfang der Verarbeitung
a. Umfang. Vorbehaltlich Abschnitt 2(b) gilt diese DPA in dem Umfang, in dem Couchbase als Auftragsverarbeiter oder Dienstleister (je nach Fall) Kundendaten verarbeitet, die durch geltende Datenschutzgesetze geschützt sind.
b. Die Rolle der Parteien. Die Parteien erkennen an und sind sich einig, dass (i) in Bezug auf die Verarbeitung von Kundendaten der Kunde das relevante Unternehmen, der Verantwortliche oder der Auftragsverarbeiter (je nach Anwendbarkeit) dieser Kundendaten ist und Couchbase ein Dienstleister, Auftragsverarbeiter oder Unterauftragsverarbeiter (je nach Anwendbarkeit) im Namen des Kunden ist, wie in Anhang A dieser DSGVO näher beschrieben; und (ii) in Bezug auf personenbezogene Daten, die in technischen Nutzungsdaten enthalten sind, die Couchbase in Verbindung mit der Nutzung des Cloud-Dienstes durch den Kunden erhebt (“Verwendungsdaten"), ist Couchbase das relevante Unternehmen oder der Verantwortliche für die Nutzungsdaten und wird die Nutzungsdaten in Übereinstimmung mit der Couchbase-Datenschutzrichtlinie verarbeiten, die unter https://www.couchbase.com/privacy-policy. Jede Partei wird bei der Erfüllung dieser DPA alle für sie geltenden und verbindlichen Gesetze, Regeln und Vorschriften einhalten, einschließlich aller geltenden Datenschutzgesetze. In Bezug auf Nutzungsdaten wird Couchbase diese Daten nur in Übereinstimmung mit den Abschnitten 8(a)(iii) und (iv) verarbeiten, soweit diese anwendbar sind.
c. Couchbase verarbeitet personenbezogene Daten. Couchbase verpflichtet sich, Kundendaten nur für die in der DPA beschriebenen Zwecke und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Kunden zu verarbeiten. Die Parteien sind sich einig, dass die Vereinbarung (einschließlich dieser DPA) die vollständigen und endgültigen Anweisungen des Kunden an Couchbase in Bezug auf die Verarbeitung von Kundendaten enthält und dass eine Verarbeitung außerhalb des Anwendungsbereichs dieser Anweisungen (falls zutreffend) eine vorherige schriftliche Vereinbarung zwischen dem Kunden und Couchbase erfordert. Unbeschadet des Abschnitts 2(d) (Verantwortlichkeiten des Kunden) wird Couchbase den Kunden schriftlich benachrichtigen, es sei denn, dies ist nach den geltenden Datenschutzgesetzen verboten, und kann die Verarbeitung von Kundendaten aussetzen, wenn Couchbase feststellt oder glaubt, dass eine Datenverarbeitungsanweisung des Kunden gegen geltende Datenschutzgesetze verstößt.
d. Verantwortlichkeiten des Kunden. Der Kunde ist für die Rechtmäßigkeit der Verarbeitung von Kundendaten im Rahmen oder in Verbindung mit dem Vertrag verantwortlich. Der Kunde sichert zu und gewährleistet, dass (i) er alle Mitteilungen gemacht und alle Zustimmungen, Erlaubnisse und Rechte eingeholt hat und weiterhin einholen wird, die nach den anwendbaren Datenschutzgesetzen erforderlich sind, damit Couchbase die Kundendaten für die in der Vereinbarung (einschließlich dieser DPA) vorgesehenen Zwecke rechtmäßig verarbeiten kann; (ii) er alle anwendbaren Datenschutzgesetze als Verantwortlicher und/oder Unternehmen für Kundendaten für die Sammlung und Bereitstellung solcher Kundendaten an Couchbase und seine Unterverarbeiter eingehalten hat; und (iii) er sicherstellt, dass seine Verarbeitungsanweisungen mit den anwendbaren Gesetzen (einschließlich der anwendbaren Datenschutzgesetze) übereinstimmen und dass die Verarbeitung von Kundendaten durch Couchbase in Übereinstimmung mit den Anweisungen des Kunden nicht dazu führt, dass Couchbase gegen die anwendbaren Datenschutzgesetze verstößt.
e. Aggregierte Daten. Ungeachtet des Vorstehenden oder gegenteiliger Bestimmungen in der Vereinbarung (einschließlich dieser DPA) erkennt der Kunde an, dass Couchbase und seine verbundenen Unternehmen das Recht haben, anonymisierte, zusammengefasste und/oder de-identifizierte Informationen (gemäß der Definition in den anwendbaren Datenschutzgesetzen) für ihre eigenen legitimen Geschäfte zu sammeln und zu erstellen.
3. Weiterverarbeitung
a. Zugelassene Unterauftragsverarbeiter. Der Kunde erkennt an und stimmt zu, dass Couchbase Unterverarbeiter beauftragen kann, um Kundendaten im Namen des Kunden zu verarbeiten. Die derzeit von Couchbase beauftragten und vom Kunden autorisierten Unterauftragsverarbeiter sind auf der Couchbase-Website aufgeführt (derzeit unter https://info.couchbase.com/cloud-subprocessors.html). Mindestens fünfzehn (15) Tage vor dem Hinzufügen eines neuen Unterauftragsverarbeiters wird Couchbase die entsprechende Website aktualisieren und den Kunden über den auf der Couchbase-Website bereitgestellten Mechanismus über diese Aktualisierung informieren, es sei denn, Couchbase ist der Ansicht, dass eine beschleunigte Beauftragung eines neuen Unterauftragsverarbeiters notwendig ist, um die Vertraulichkeit, Integrität oder Verfügbarkeit der Kundendaten zu schützen oder eine wesentliche Unterbrechung des Cloud-Dienstes zu vermeiden, dann wird Couchbase eine solche Benachrichtigung so schnell wie möglich übermitteln.
4. Sicherheit und Audits
a. Sicherheitsmaßnahmen. Couchbase implementiert und unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen, die dazu bestimmt sind, die Kundendaten unter seiner Kontrolle vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit der Kundendaten zu wahren, wobei der Stand der Technik, die Kosten der Implementierung und die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung berücksichtigt werden ("Sicherheitsmaßnahmen"). Diese Sicherheitsmaßnahmen umfassen mindestens die in Anhang B dieser DPA beschriebenen Maßnahmen. Couchbase stellt sicher, dass jede Person, die von Couchbase ermächtigt ist, Kundendaten im Rahmen dieser DPA zu verarbeiten, einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es eine vertragliche oder gesetzliche Verpflichtung).
b. Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass Couchbase die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit des vom Kunden erworbenen Cloud Service führen.
c. Verantwortlichkeiten für die Sicherheit des Kunden. Ungeachtet des Vorstehenden erklärt sich der Kunde damit einverstanden, dass er, sofern nicht in dieser DPA vorgesehen, angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz vor Sicherheitsvorfällen und zur Wahrung der Sicherheit und Vertraulichkeit von Kundendaten, die sich in seiner Herrschaft und unter seiner Kontrolle befinden, einführt und aufrechterhält. Der Kunde ist verantwortlich für (i) den Schutz der Sicherheit aller Kundenanmeldeinformationen, die für den Zugriff auf den Cloud-Service verwendet werden; (ii) die Sicherung der Cloud-Umgebung des Kunden und aller Kundensysteme (wobei diese Maßnahmen unter anderem die regelmäßige Rotation der Zugangsschlüssel und andere branchenübliche Maßnahmen zum Ausschluss unbefugten Zugriffs umfassen); (iii) Sicherung und Schutz der Kundendaten unter der Kontrolle des Kunden innerhalb der Cloud-Umgebung des Kunden oder eines anderen vom Kunden kontrollierten Systems; und (iv) Überprüfung der von Couchbase zur Verfügung gestellten Informationen in Bezug auf Datensicherheit und Datenschutz und unabhängige Feststellung, ob der Cloud-Service die Anforderungen des Kunden und seine rechtlichen Verpflichtungen gemäß dem geltenden Datenschutzrecht erfüllt.
d. Reaktion auf Sicherheitsvorfälle. Soweit es die anwendbaren Datenschutzgesetze vorschreiben, wird Couchbase den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls über die Cloud-Dienste benachrichtigen und wird: (i) zur Unterstützung des Kunden in Bezug auf Mitteilungen über Verletzungen des Schutzes personenbezogener Daten, die der Kunde gemäß den geltenden Datenschutzgesetzen machen muss, wird Couchbase in diese Mitteilung an den Kunden rechtzeitig Informationen über den Sicherheitsvorfall aufnehmen, sobald dieser bekannt wird, und zwar in dem Maße, wie es der Kunde vernünftigerweise verlangt, wobei die Art des Cloud-Dienstes, die Couchbase zur Verfügung stehenden Informationen und etwaige Beschränkungen für die Offenlegung der Informationen, wie etwa die Vertraulichkeit, berücksichtigt werden; und (ii) unverzüglich die von Couchbase als notwendig und angemessen erachteten Schritte zu unternehmen, um einen Sicherheitsvorfall einzudämmen, zu untersuchen und zu beheben, soweit die Behebung in der angemessenen Kontrolle von Couchbase liegt. Die Benachrichtigung von Couchbase über einen Sicherheitsvorfall oder die Reaktion auf einen Sicherheitsvorfall gemäß diesem Abschnitt 4(d) ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von Couchbase in Bezug auf den Sicherheitsvorfall auszulegen. Die hier dargelegten Verpflichtungen gelten nicht für Sicherheitsvorfälle, soweit sie durch den Kunden oder seine autorisierten Benutzer verursacht werden.
e. Sicherheitsprüfungen. Couchbase antwortet (auf vertraulicher Basis) auf alle angemessenen schriftlichen Informationsanfragen des Kunden in Bezug auf die Verarbeitung von Kundendaten durch Couchbase, einschließlich Antworten auf Fragebögen zur Informationssicherheit und Prüfung, die erforderlich sind, um die Einhaltung dieser DSGVO durch Couchbase zu bestätigen, vorausgesetzt, der Kunde macht von diesem Recht nicht mehr als einmal in einem rollierenden Zeitraum von zwölf (12) Monaten Gebrauch. Ungeachtet des Vorstehenden kann der Kunde dieses Prüfrecht auch ausüben, wenn er ausdrücklich aufgefordert wird oder verpflichtet ist, diese Informationen einer Datenschutzbehörde zur Verfügung zu stellen, oder wenn Couchbase einen Sicherheitsvorfall erlebt hat, oder auf einer anderen angemessenen ähnlichen Grundlage.
5. Internationale Überweisungen
a. Bearbeitungsorte. Der Kunde erkennt an und erklärt sich damit einverstanden, dass Couchbase Kundendaten in die Vereinigten Staaten und an jeden anderen Ort der Welt, an dem Couchbase, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge unterhalten, übertragen und verarbeiten kann. Couchbase stellt zu jeder Zeit sicher, dass solche Übertragungen in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze und dieser DPA erfolgen.
b. Übertragungsmechanismen. Wenn zu irgendeinem Zeitpunkt geltende Datenschutzgesetze weitere Schritte erfordern, um die Übermittlung von Kundendaten gemäß dieser DPA zu ermöglichen (einschließlich, aber nicht beschränkt auf die Ausführung oder erneute Ausführung der Standardvertragsklauseln von 2021 oder des UK IDTA als separates Dokument und/oder den Abschluss zusätzlicher grenzüberschreitender Übermittlungsklauseln), und/oder die Übermittlungsmechanismen in dieser DPA (einschließlich, ohne Einschränkung, wie in Abschnitt 8 unten dargelegt) geändert, ersetzt, aufgehoben oder anderweitig unter dem anwendbaren Datenschutzrecht beendet werden, dann vereinbaren der Kunde und Couchbase, in gutem Glauben zusammenzuarbeiten, um alle Schritte zu unternehmen, die vernünftigerweise erforderlich sind, um eine Übermittlung in Übereinstimmung mit dem anwendbaren Datenschutzrecht zu ermöglichen.
6. Löschung von Kundendaten
a. Der Cloud-Dienst bietet dem Kunden Kontrollmechanismen, mit denen der Kunde während der Laufzeit die Kundendaten in einer Weise löschen oder abrufen kann, die mit der Funktionalität des Cloud-Dienstes vereinbar ist.
b. Der Kunde ermächtigt Couchbase hiermit, bei Beendigung oder Ablauf der Vereinbarung oder im Falle einer Kündigung oder Aussetzung des Cloud-Dienstes gemäß der Vereinbarung alle Kundendaten (einschließlich Kopien), die sich in seinem Besitz oder unter seiner Kontrolle befinden, in Übereinstimmung mit der Vereinbarung zu löschen, mit der Ausnahme, dass diese Anforderung nicht gilt, soweit Couchbase nach geltendem Recht verpflichtet ist, einige oder alle Kundendaten zu behalten.
7. Rechte von Einzelpersonen und Zusammenarbeit
a. Ersuchen der betroffenen Person. Der Cloud-Dienst bietet dem Kunden eine Reihe von Kontrollen, einschließlich Sicherheitsmerkmalen und Funktionen, die der Kunde nutzen kann, um Kundendaten abzurufen, zu korrigieren, zu löschen oder einzuschränken, wie in der für den Cloud-Dienst geltenden Dokumentation beschrieben. Unbeschadet des Abschnitts 4(a) kann der Kunde diese Kontrollen als technische und organisatorische Maßnahmen nutzen, um ihn bei der Erfüllung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen zu unterstützen, einschließlich seiner Verpflichtungen in Bezug auf die Beantwortung von Anfragen der betroffenen Personen. In dem Maße, in dem der Kunde nicht in der Lage ist, unabhängig auf die relevanten Kundendaten innerhalb des Cloud-Dienstes zuzugreifen, wird Couchbase unter Berücksichtigung der Art der Verarbeitung in angemessener Weise kooperieren, um den Kunden bei der Beantwortung von Anfragen von Einzelpersonen oder anwendbaren Datenschutzbehörden in Bezug auf die Verarbeitung von Kundendaten im Rahmen des Vertrags zu unterstützen. Falls eine solche Anfrage direkt an Couchbase gerichtet wird, wird Couchbase ohne vorherige Genehmigung des Kunden nicht direkt auf eine solche Mitteilung reagieren, es sei denn, es besteht eine gesetzliche Verpflichtung dazu. Wenn Couchbase verpflichtet ist, auf eine solche Anfrage zu antworten, benachrichtigt Couchbase den Kunden unverzüglich und stellt ihm eine Kopie der Anfrage zur Verfügung, sofern dies nicht gesetzlich verboten ist.
b. Vorladungen und Gerichtsbeschlüsse. Wenn eine Strafverfolgungsbehörde Couchbase eine Forderung nach Kundendaten sendet (z.B. durch eine Vorladung oder einen Gerichtsbeschluss), wird Couchbase den Kunden in angemessener Weise von der Forderung in Kenntnis setzen, um dem Kunden die Möglichkeit zu geben, eine Schutzverfügung oder ein anderes geeignetes Rechtsmittel zu beantragen, es sei denn, Couchbase ist dies gesetzlich untersagt.
8. Rechtsprechungsspezifische Bedingungen
a. Europa. Soweit die Kundendaten den europäischen Datenschutzgesetzen unterliegen, gelten die folgenden Bestimmungen zusätzlich zu den Bestimmungen in den übrigen Teilen dieser DPA:
i. Verpflichtungen des Unterauftragsverarbeiters. Couchbase muss: (A) einen schriftlichen Vertrag mit jedem Unterauftragsverarbeiter abschließen, der Datenschutzbedingungen enthält, die den Unterauftragsverarbeiter dazu verpflichten, personenbezogene Daten so zu schützen, wie es das geltende europäische Datenschutzrecht und diese DSGVO vorschreiben; und (B) für die Einhaltung der Verpflichtungen aus dieser DSGVO und für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich bleiben, die dazu führen, dass Couchbase seine Verpflichtungen aus dieser DSGVO verletzt.
ii. Einwände gegen Unterauftragsverarbeiter. Der Kunde kann der Ernennung eines neuen Unterauftragsverarbeiters durch Couchbase aus angemessenen Gründen des Datenschutzes schriftlich widersprechen (z.B. wenn die Bereitstellung von Kundendaten an den Unterauftragsverarbeiter gegen europäisches Datenschutzrecht verstoßen oder den Schutz solcher Kundendaten schwächen könnte), indem er Couchbase unverzüglich innerhalb von fünf (5) Kalendertagen nach Erhalt der Mitteilung von Couchbase gemäß Abschnitt 3(a) oben schriftlich benachrichtigt. In einer solchen Mitteilung sind die angemessenen Gründe für den Einwand darzulegen, und die Parteien werden diese Bedenken in gutem Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu erzielen. Wenn eine solche Lösung nicht erreicht werden kann, wird Couchbase nach eigenem Ermessen entweder keinen Unterauftragsverarbeiter ernennen oder dem Kunden gestatten, den betroffenen Cloud-Dienst gemäß den Kündigungsbestimmungen in der Vereinbarung auszusetzen oder zu kündigen, ohne dass eine der Parteien dafür haftet (jedoch unbeschadet der Gebühren, die dem Kunden vor der Aussetzung oder Kündigung entstanden sind). Sofern kein Einspruch gemäß diesem Abschnitt 8(a)(ii) erhoben wird, stimmt der Kunde dem Einsatz von Unterauftragsverarbeitern durch Couchbase wie in dieser DPA beschrieben zu.
iii. Übermittlung von Daten. Soweit Couchbase personenbezogene Daten, die durch europäische Datenschutzgesetze geschützt sind, in einem Drittland verarbeitet (oder verarbeiten lässt), das nicht als Land anerkannt ist, das einen angemessenen Schutz für personenbezogene Daten bietet (wie in den europäischen Datenschutzgesetzen beschrieben), gelten die Bestimmungen und Bedingungen von Anhang C (Übermittlung von Daten) gelten, und es wird davon ausgegangen, dass der Kunde (als Datenexporteur) die Modellklauseln mit Couchbase (als Datenimporteur) abgeschlossen hat, und Couchbase erklärt sich damit einverstanden, diese Kundendaten in Übereinstimmung mit den Modellklauseln zu verarbeiten, die durch Verweis in vollem Umfang einbezogen werden und einen integralen Bestandteil dieser DPA bilden. Für die Zwecke der Beschreibungen in den Musterklauseln gilt: (A) Couchbase stimmt zu, dass es ein "Datenimporteur" und der Kunde der "Datenexporteur" ist (ungeachtet dessen, dass der Kunde selbst eine außerhalb des EWR oder des Vereinigten Königreichs ansässige Einrichtung sein kann); (B) Anhang A und Anhang B dieser DPA ersetzen Anhang 1 und Anhang 2 der Musterklauseln. Es ist weder die Absicht einer der Parteien noch die Wirkung dieser DPA, den Bestimmungen der Musterklauseln zu widersprechen oder sie einzuschränken. Wenn und soweit die Musterklauseln im Widerspruch zu einer Bestimmung dieser DPA stehen, haben die Musterklauseln daher im Umfang des Widerspruchs Vorrang. Die Musterklauseln gelten nicht für Kundendaten, die weder direkt noch im Wege der Weiterübermittlung außerhalb des EWR oder des Vereinigten Königreichs übermittelt werden.
iv. Alternativer Transfer-Mechanismus. Wenn und soweit Couchbase eine alternative Datenexportlösung für die Übertragung von Kundendaten gemäß den geltenden europäischen Datenschutzgesetzen ("Alternativer Transfer-Mechanismus"), gilt stattdessen der alternative Übertragungsmechanismus (jedoch nur in dem Umfang, in dem dieser alternative Übertragungsmechanismus auf die Übertragung Anwendung findet).
v. Datenschutz-Folgenabschätzung. Soweit Couchbase nach geltendem europäischem Datenschutzrecht verpflichtet ist, stellt Couchbase angemessen angeforderte Informationen über die Verarbeitung personenbezogener Daten durch Couchbase im Rahmen der Vereinbarung zur Verfügung, um den Kunden in die Lage zu versetzen, Datenschutz-Folgenabschätzungen oder vorherige Konsultationen mit Aufsichtsbehörden, wie gesetzlich vorgeschrieben, durchzuführen.
vi. Übermittlung von Daten aus dem Vereinigten Königreich. Soweit die Übermittlung personenbezogener Daten den Rechtsvorschriften des Vereinigten Königreichs (einschließlich der Allgemeinen Datenschutzverordnung des Vereinigten Königreichs) unterliegt, stimmen die Parteien zu:
1. Die Bestimmungen des IDTA, einschließlich Teil 2 "Verbindliche Klauseln", gelten in vollem Umfang;
2. Für die Zwecke von Tabelle 1 des britischen IDTA werden die Namen der Parteien, ihre Aufgaben und ihre Angaben in dem beigefügten Anhang C aufgeführt;
3. Für die Zwecke der Tabellen 2 und 3 der britischen IDTA gelten die Standardvertragsklauseln von 2021, die durch Verweis in diese DPA aufgenommen wurden, einschließlich der in den beigefügten Anhängen enthaltenen Informationen; und
4. Für die Zwecke von Tabelle 4 des britischen IDTA kann jede Partei das britische IDTA beenden, wenn die Parteien nach Treu und Glauben nicht in der Lage sind, sich auf eine Änderung dieser DPA zu einigen.
b. Kalifornien. Soweit die Kundendaten dem CCPA unterliegen, erklären sich die Parteien damit einverstanden, dass der Kunde ein Unternehmen ist und Couchbase als seinen Dienstleister beauftragt, die Kundendaten im Rahmen der Vereinbarung (einschließlich dieser DPA) und des CCPA oder für anderweitig schriftlich vereinbarte Zwecke zu verarbeiten (die "Zulässige Zwecke"). Kunde und Couchbase vereinbaren, dass: (i) Couchbase personenbezogene Daten nicht für andere als die zulässigen Zwecke aufbewahrt, nutzt oder offenlegt; (ii) Kundendaten nicht an Couchbase verkauft wurden und Couchbase personenbezogene Daten (im Sinne des CCPA) nicht "verkauft"; (iii) Couchbase personenbezogene Daten nicht außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Couchbase aufbewahrt, nutzt oder offenlegt; und (iv) Couchbase personenbezogene Daten im Zuge der Bereitstellung des Cloud-Dienstes de-identifizieren oder aggregieren kann. Couchbase bestätigt, dass es die in diesem Abschnitt 8(b) dargelegten Einschränkungen versteht und sie einhalten wird.
9. Begrenzung der Haftung
a. Die Haftung jeder Partei und aller ihrer verbundenen Unternehmen insgesamt, die sich aus oder im Zusammenhang mit dieser DPA (einschließlich der Modellklauseln) ergibt, ob aus Vertrag, unerlaubter Handlung (einschließlich Fahrlässigkeit) oder unter einer anderen Haftungstheorie, unterliegt den Haftungsbeschränkungen und -ausschlüssen der Vereinbarung, und jede Bezugnahme in den Bestimmungen auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen unter und im Zusammenhang mit der Vereinbarung und dieser DPA.
b. Außer in den Fällen, in denen die anwendbaren Datenschutzgesetze vorschreiben, dass ein verbundenes Unternehmen des Kunden ein Recht ausübt oder einen Rechtsbehelf gegen Couchbase direkt geltend macht, vereinbaren die Parteien, dass (i) ausschließlich das Unternehmen des Kunden, das Vertragspartei der Vereinbarung ist, ein Recht ausübt oder einen Rechtsbehelf geltend macht, den ein verbundenes Unternehmen des Kunden unter dieser DPA im Namen seiner verbundenen Unternehmen haben kann, und (ii) der Kunde, der Vertragspartei der Vereinbarung ist, solche Rechte unter dieser DPA nicht für jedes verbundene Unternehmen einzeln, sondern für alle seine verbundenen Unternehmen zusammen ausübt.
10. Sonstiges
a. Abgesehen von den Änderungen, die durch diese DPA vorgenommen werden, bleibt die Vereinbarung unverändert und in vollem Umfang gültig und wirksam.
b. Diese DPA kann in mehreren Exemplaren ausgefertigt werden, wobei jedes Exemplar als Original gilt, alle Exemplare zusammen jedoch ein und dieselbe Urkunde darstellen.
c. Sollte eine Bestimmung oder ein Teil einer Bestimmung dieser DPA ungültig, rechtswidrig oder nicht durchsetzbar sein oder werden, so gilt sie als gestrichen; dies berührt jedoch nicht die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen der DPA.
d. Diese DPA unterliegt dem geltenden Recht und den Gerichtsstandsbestimmungen des Abkommens und ist gemäß diesen auszulegen, sofern die europäischen Datenschutzgesetze nichts anderes vorschreiben.
Anhang A
Datenverarbeitung Beschreibung
Dieser Anhang A ist Teil der DSGVO und beschreibt (i) die Verarbeitung von Kundendaten durch Couchbase als Auftragsverarbeiter oder Unterauftragsverarbeiter im Namen des Kunden als Verantwortlicher bzw. Auftragsverarbeiter und (ii) die Übertragung von Nutzungsdaten durch Couchbase als Verantwortlicher.
1) Kundendaten
Dauer
Die Dauer der Datenverarbeitung unter dieser DPA ist bis zur Beendigung der Vereinbarung in Übereinstimmung mit ihren Bedingungen plus dem Zeitraum vom Auslaufen der Vereinbarung bis zur Löschung der personenbezogenen Daten durch Couchbase in Übereinstimmung mit den Bedingungen der Vereinbarung (einschließlich dieser DPA).
Kategorien von Daten
Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):
● Persönliche Daten in Kundeninhalten oder Supportinhalten: Personenbezogene Daten, die in Inhalten oder Daten enthalten sind, die vom oder im Namen des Kunden oder autorisierten Nutzern durch oder über den Cloud-Service bereitgestellt werden.
Besondere Kategorien von Daten (falls zutreffend)
Die Parteien beabsichtigen nicht, im Rahmen des Abkommens Daten besonderer Kategorien zu verarbeiten.
Betroffene Personen
Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):
Zu den betroffenen Personen gehören Personen, über die Couchbase über den Cloud-Service von oder auf Anweisung des Kunden Daten zur Verfügung gestellt werden, einschließlich autorisierter Benutzer. Zu den betroffenen Personen können Kunden, Mitarbeiter, Lieferanten und Endbenutzer des Kunden gehören.
Verarbeitung der Vorgänge
Die personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte angeben):
Verarbeitung zur Bereitstellung des Cloud-Dienstes in Übereinstimmung mit dem Vertrag;
● Verarbeitung zur Durchführung aller für die Erfüllung des Vertrags erforderlichen Schritte;
● die vom Kunden bei seiner Nutzung des Cloud-Dienstes veranlasste Verarbeitung; und
● Verarbeitung zur Befolgung anderer angemessener Anweisungen des Kunden (z. B. per E-Mail oder Support-Tickets), die mit den Bedingungen des Vertrags übereinstimmen.
Frequenz
Die personenbezogenen Daten können fortlaufend übermittelt werden.
ii) Nutzungsdaten
Dauer
Nutzungsdaten werden während der Laufzeit der jeweiligen Vereinbarung übertragen und aufbewahrt, zuzüglich des Zeitraums, in dem die Nutzungsdaten für die legitimen Geschäftsbemühungen von Couchbase erforderlich sind. Bestimmte aggregierte und anonymisierte Aufzeichnungen von Nutzeraktionen können dauerhaft gespeichert werden.
Kategorien von Daten
Die zu übermittelnden personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):
● Personenbezogene Daten in Nutzungsdaten: Zu den Nutzungsdaten können Informationen über das Benutzerkonto, einschließlich der Konto-ID und der E-Mail-Adresse, persönliche Identifikationsdaten, einschließlich der IP-Adresse, Beschäftigungsinformationen, Kontaktinformationen, Browserinformationen und Metadaten gehören.
Besondere Kategorien von Daten (falls zutreffend)
Die Parteien beabsichtigen nicht, im Rahmen des Abkommens Daten besonderer Kategorien zu übermitteln.
Betroffene Personen
Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):
Zu den betroffenen Personen können der Kunde, die Mitarbeiter des Kunden und andere autorisierte Benutzer sowie alle anderen zulässigen Mitarbeiter gehören.
Verarbeitung der Vorgänge
Die personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte angeben):
Verarbeitung zur Bereitstellung und Verwaltung der Produkte, Dienstleistungen und des Supports;
Verarbeitung zur Gewinnung von Erkenntnissen, um die Produkte, Dienstleistungen und den Support zu verbessern und die Geschäftsentwicklung zu unterstützen;
Verarbeitung zur Beantwortung von Kundenfragen, Durchführung von Marketing- und Vertriebsaktivitäten und Analyse von Geschäftsmetadaten.
Frequenz
Die personenbezogenen Daten können fortlaufend übermittelt werden.
Anhang B
Sicherheitsmaßnahmen
Dieser Anhang beschreibt die Sicherheitsmaßnahmen von Couchbase. Der Kunde erkennt an, dass der Cloud-Dienst gemäß einem Modell der geteilten Verantwortung betrieben wird, das unter anderem verlangt, dass der Kunde bestimmte Schritte unternimmt, wie z. B. den Schutz der Sicherheit der Kundeninhalte (die in der Umgebung des Kunden unter der Kontrolle des Kunden gespeichert bleiben). Wenn und soweit Couchbase Kundendaten im Namen des Kunden in Verbindung mit dem Cloud-Dienst verarbeitet oder Nutzungsdaten gemäß den Standardvertragsklauseln überträgt, muss Couchbase die folgenden Sicherheitsmaßnahmen implementieren und aufrechterhalten:
Maßnahmen zur Datenverschlüsselung
Alle Kundendaten werden bei der Übertragung mit TLS 1.2 (oder höher) verschlüsselt und im Ruhezustand mit AES-256 verschlüsselt.
● Die Laptops der Mitarbeiter werden mit einer AES-256-Vollfestplattenverschlüsselung verschlüsselt.
Alle Anmeldeinformationen werden während der Übertragung mit TLS 1.2 (oder höher) und im Ruhezustand verschlüsselt.
Die Verschlüsselungsschlüssel werden jährlich gewechselt und von dem vom Kunden ausgewählten Cloud-Service-Anbieter gespeichert und verwaltet.
Maßnahmen zur Verfügbarkeit und Wiederherstellbarkeit
Couchbase unterhält Disaster-Recovery- und Business-Continuity-Pläne und -Verfahren, die darauf ausgelegt sind, die Verfügbarkeit des Cloud-Dienstes in angemessener Weise sicherzustellen.
Das Couchbase Capella-Angebot wird in geografisch verteilten Rechenzentren betrieben, die von branchenweit anerkannten Public-Cloud-Anbietern wie Amazon (AWS), Microsoft (Azure) und Google (GCP) betrieben werden (falls zutreffend).
● Redundanz ist in die Systeminfrastruktur eingebaut, die das Couchbase Capella Angebot unterstützt. Für den Fall, dass ein primäres System ausfällt, ist die redundante Infrastruktur in einer anderen Verfügbarkeitszone so konfiguriert, dass sie dessen Platz einnimmt.
● Backups werden in kontrollierten Umgebungen innerhalb der Cloud-Infrastruktur gespeichert. Der logische Zugriff auf die Sicherungsdaten ist auf das zuständige Personal beschränkt und wird in einem Speicher mit hoher Verfügbarkeit gespeichert.
Jährlich wird ein Test zur Wiederherstellung der Sicherungskopie durchgeführt, bei dem das Betriebspersonal eine Sicherungskopie aus einem Snapshot wiederherstellt, um sicherzustellen, dass die Daten im Falle eines Zwischenfalls wiederhergestellt werden können.
Organisatorische Sicherheitsmaßnahmen
Couchbase hat ein formelles Informationssicherheitsmanagementsystem (ISMS) eingerichtet, um die Vertraulichkeit, Integrität und Verfügbarkeit des Couchbase Capella Angebots und der Informationssysteme zu schützen und die Wirksamkeit der Sicherheitskontrollen für Daten und Informationssysteme zu gewährleisten.
● Die Mitarbeiter sind verpflichtet, an Schulungen zur Bekämpfung von Bestechung und Korruption, Ethik und Verhaltenskodex, Insiderhandel, globalem Datenschutz und jährlichem Sicherheitsbewusstsein teilzunehmen.
● Die Mitarbeiter müssen bei ihrer Einstellung Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen.
Es gibt formale Richtlinien und Verfahren für das Onboarding und Offboarding von Mitarbeitern. Prozesse zur Bereitstellung und Aufhebung von Konten sind definiert und implementiert.
● Der Zugang des Mitarbeiters wird bei Beendigung des Arbeitsverhältnisses entfernt oder bei Rollenwechsel entsprechend angepasst.
● Für den Zugang zu kritischen und produktiven Ressourcen wird eine Multi-Faktor-Authentifizierung (MFA) durchgesetzt.
● Die Anforderungen an die Komplexität der Passwörter werden durchgesetzt.
● Die Trennung von Verantwortlichkeiten und Aufgaben wird umgesetzt, um die Möglichkeiten einer unbefugten oder unbeabsichtigten Änderung oder eines Missbrauchs zu verringern.
● Couchbase unterhält unterzeichnete Geheimhaltungsvereinbarungen mit Drittparteien.
● Couchbase-Netzwerke sind auf Basis von Vertrauensstufen getrennt und durch Firewalls geschützt.
Protokollierungs- und Überwachungsmaßnahmen
● Die Protokollierung von Benutzeraktivitäten, Ausnahmen, Fehlern und Informationssicherheitsereignissen ist aktiviert. Die Protokolle werden bei Bedarf aufbewahrt.
Alle Protokolle können nur von autorisierten Couchbase-Mitarbeitern eingesehen werden, und es gibt Zugangskontrollen, um unbefugten Zugriff zu verhindern.
Der Schreibzugriff auf Protokolldaten ist strengstens untersagt. Logging-Einrichtungen und Log-Informationen sind durch Zugangskontrollen und Sicherheitsmaßnahmen vor Manipulationen und unberechtigtem Zugriff geschützt.
● Couchbase verfügt über verschiedene Überwachungsmaßnahmen, um Sicherheitswarnungen zu generieren und unregelmäßige Aktivitäten zu identifizieren.
Das Couchbase Capella Operations Team überprüft regelmäßig die Sicherheitswarnungen und die zugrundeliegende Konfiguration, um sicherzustellen, dass sie wie beabsichtigt funktionieren und dass die Kontrollen an veränderte Bedingungen angepasst werden.
Maßnahmen zur Zugangskontrolle
Couchbase implementiert Best Practices für die Sicherheit und verwendet eine rollenbasierte Sicherheitsarchitektur über die Datenbank-, Netzwerk- und Anwendungsschicht hinweg und folgt strikt den Prinzipien der geringsten Privilegien, wenn es um die Gewährung von Zugriff auf wichtige Systeme geht.
● Couchbase hat Funktionen und Rollen definiert, um eine angemessene Aufgabentrennung zu unterstützen.
Der Zugang zu Betriebs-, Produktions- und Notfallwiederherstellungsumgebungen wird durch eindeutige Benutzerkonten, sichere Passwörter, Multi-Faktor-Authentifizierung (MFA), rollenbasierten Zugang und das Prinzip der geringsten Privilegien geschützt.
Zugriffsschlüssel, die von produktiven Couchbase-Anwendungen verwendet werden (z. B. AWS Access Keys), sind nur für autorisiertes Personal zugänglich. Sie werden bei Bedarf (z. B. aufgrund eines Sicherheitshinweises oder des Ausscheidens von Mitarbeitern), mindestens jedoch einmal im Jahr, geändert.
● Benutzeraktivitäten in Betriebsumgebungen, einschließlich Zugriff, Änderung oder Löschung von Daten, werden protokolliert.
Autorisierungsanfragen und die Bereitstellung werden protokolliert, nachverfolgt und geprüft.
● Web Application Firewalls (WAF) werden zusätzlich zu den netzwerkbasierten Firewalls eingesetzt.
Physische Sicherheitsmaßnahmen
Das Couchbase Capella-Angebot wird in geografisch verteilten Rechenzentren betrieben, die von branchenweit anerkannten Public-Cloud-Anbietern wie Amazon (AWS), Microsoft (Azure) und Google (GCP) betrieben werden (falls zutreffend).
● Der physische Zugang zu allen Einrichtungen, die sensible Daten enthalten, wird eingeschränkt und verwaltet.
Alle Einrichtungen für Informationsressourcen (z. B. Netzwerkschränke und Lagerräume) werden entsprechend der Kritikalität oder Bedeutung ihrer Funktion physisch geschützt.
Der Zugang zu den Einrichtungen der Informationsressourcen wird nur den Mitarbeitern des Unternehmens und den Vertragspartnern gewährt, deren berufliche Aufgaben den Zugang zu diesen Einrichtungen erfordern.
● Alle Informationsressourcen, die Besuchern Zugang gewähren, sind so konfiguriert, dass sie den Besucherzugang mit einem Anmeldeprotokoll verfolgen.
Kartenzugangsaufzeichnungen und Besucherprotokolle für Informationsressourcen werden zur routinemäßigen Überprüfung auf der Grundlage der Kritikalität der zu schützenden Informationsressourcen aufbewahrt.
● Die Ausrüstung ist geschützt, um die Risiken durch Umweltbedrohungen, Gefahren und Möglichkeiten des unbefugten Zugriffs zu verringern.
Sichere Systemkonfigurationen
● Couchbase verfügt über eine Change Management Policy und Prozedur.
Couchbase überwacht Änderungen an Systemen, die in den Geltungsbereich fallen, um sicherzustellen, dass der geltende Standardprozess eingehalten wird, und um das Risiko unentdeckter Änderungen in der Produktion zu minimieren. Änderungen werden im Change Management System nachverfolgt.
● Richtlinien und Verfahren zur Zugriffskontrolle sind vorhanden, um unbefugte Änderungen zu verhindern.
Die Verwaltung mobiler Geräte wird kontrolliert.
Governance
Couchbase hat ein formelles Informationssicherheitsmanagementsystem (ISMS) eingerichtet, um die Vertraulichkeit, Integrität und Verfügbarkeit des Couchbase Capella Angebots und der Informationssysteme zu schützen und die Wirksamkeit der Sicherheitskontrollen für Daten und Informationssysteme zu gewährleisten.
● Couchbase verfügt über eine dokumentierte und genehmigte Informationssicherheitspolitik, einschließlich unterstützender Dokumentation.
Die Autorität und Verantwortung für die Verwaltung des Informationssicherheitsprogramms von Couchbase wurde an die Information Security and Compliance Group delegiert, die von der Geschäftsleitung ermächtigt ist, die notwendigen Maßnahmen zu ergreifen, um das Informationssicherheitsprogramm von Couchbase einzurichten, umzusetzen und zu verwalten.
Einhaltung der Vorschriften
● Couchbase wird von einem unabhängigen Wirtschaftsprüfer geprüft und hat die SOC 2 Typ 1 Konformität erreicht, was unsere Verpflichtung zu Kontrollen bestätigt, die die Vertraulichkeit und Verfügbarkeit der im Couchbase Capella Service gespeicherten und verarbeiteten Informationen schützen.
Minimaler Zugang zu Daten
● Datenschutzbewertungen werden im Zusammenhang mit der Einführung neuer Produkte/Dienstleistungen und der Verarbeitung personenbezogener Daten durch Dritte durchgeführt.
Die Datenerhebung beschränkt sich auf den Zweck der Verarbeitung (oder auf die Daten, die der Kunde zur Verfügung stellen will).
● Es sind Sicherheitsmaßnahmen vorhanden, die nur ein Mindestmaß an Zugang ermöglichen, das für die Ausführung der erforderlichen Funktionen notwendig ist.
● Anforderungen an die Datenaufbewahrung werden ermittelt
Der Zugang zu personenbezogenen Daten ist auf das an der Verarbeitung beteiligte Personal beschränkt, wobei der Grundsatz “Kenntnisnahme erforderlich” gilt und die Aufgaben und Zuständigkeiten der einzelnen Personen festgelegt werden.
Maßnahmen zur Rechenschaftspflicht
● Bei der Einführung neuer Produkte/Dienstleistungen, die mit der Verarbeitung personenbezogener Daten verbunden sind, ist eine Bewertung der Privatsphäre der Kunden erforderlich.
● Datenschutz-Folgenabschätzungen sind Teil jeder neuen Verarbeitungsinitiative.
Anträge auf Zugang zu personenbezogenen Daten
Betroffene Personen haben das Recht, den Export ihrer personenbezogenen Daten in einem branchenüblichen Format zu verlangen.
● Es gibt Verfahren, die es Einzelpersonen ermöglichen, ihre Datenschutzrechte auszuüben (z.B. das Recht auf Löschung oder das Recht auf Datenübertragbarkeit), wie in der öffentlich zugänglichen Datenschutzrichtlinie von Couchbase beschrieben.
Couchbase wird auch weiterhin die jüngsten Leitlinien des Europäischen Datenschutzausschusses über zusätzliche Maßnahmen zur Erfüllung der Angemessenheitsanforderungen der Datenschutz-Grundverordnung (DSGVO) und alle anderen von den europäischen Datenschutzbehörden herausgegebenen Leitlinien analysieren, sobald diese vorliegen.
Anhang C
Übermittlung von Daten
Dieser Anhang legt die Bedingungen fest, die gelten, wenn die Nutzung des Cloud-Dienstes durch den Kunden einen Weiterleitungsmechanismus erfordert, um personenbezogene Daten aus einer Rechtsordnung rechtmäßig an Couchbase zu übertragen, die sich außerhalb dieser Rechtsordnung befindet.
1. Die Standardvertragsklauseln von 2021. Für Datenübermittlungen, die der DSGVO und/oder dem schweizerischen DSG unterliegen, gelten die Standardvertragsklauseln von 2021 in der folgenden Weise:
a. Modul Eins (Controller to Controller) findet Anwendung, wenn der Kunde ein Controller der Nutzungsdaten ist und Couchbase ein Controller der Nutzungsdaten ist.
b. Modul Zwei (Controller to Processor) findet Anwendung, wenn der Kunde ein Controller der Kundendaten und Couchbase ein Prozessor der Kundendaten ist;
c. Modul drei (Verarbeiter zu Verarbeiter) findet Anwendung, wenn der Kunde ein Verarbeiter von Kundendaten und Couchbase ein Unterverarbeiter von Kundendaten ist;
d. Für jedes Modul, sofern zutreffend:
(i) In Klausel 7 gilt die fakultative Andockklausel, und die Parteien arbeiten nach Treu und Glauben zusammen, um die erforderlichen Schritte zu unternehmen, damit die Standardvertragsklauseln von 2021 auf eine andere Partei angewendet werden;
(ii) in Klausel 9 gilt Option 2, und die Frist für die vorherige Mitteilung von Änderungen des Unterauftragsverarbeiters richtet sich nach Abschnitt 3 (Unterauftragsverarbeitung) dieser DPA;
(iii) In Klausel 11 wird die fakultative Formulierung nicht angewendet;
(iv) In Klausel 17 (Option 1) unterliegen die Standardvertragsklauseln 2021 dem Recht des EU-Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, und, falls dies nicht der Fall ist, dem irischen Recht; vorausgesetzt, dass in Bezug auf Datenübermittlungen, die den Datenschutzgesetzen eines Landes außerhalb des EWR unterliegen, in dem die zuständige Behörde die Verwendung der Standardvertragsklauseln 2021 genehmigt hat (einschließlich, aber nicht beschränkt auf die Schweiz) (ein "Annehmendes Land") unterliegen die Standardvertragsklauseln 2021 dem Datenschutzrecht des Annahmelandes.
(v) in Klausel 18(b) werden Streitigkeiten vor den Gerichten des EU-Mitgliedsstaates entschieden, in dem der Datenexporteur niedergelassen ist, und wenn es kein solches Recht gibt, vor den Gerichten der Republik Irland; vorausgesetzt, dass in Bezug auf Datenübermittlungen, die den Datenschutzgesetzen eines Übernahmelandes unterliegen, alle Streitigkeiten, die sich aus den Standardvertragsklauseln von 2021 ergeben, von den Gerichten des Übernahmelandes entschieden werden.
(vi) In Anhang I, Teil A:
Datenexporter: Kunde und autorisierte Tochtergesellschaften des Kunden.
Kontaktinformationen: Die E-Mail-Adresse(n) des Kunden, die als das relevante Konto für den Empfang von Mitteilungen im Rahmen des Cloud-Dienstes angegeben wurde(n)
Rolle des Datenexporteurs: Der Kunde ist der für die Verarbeitung Verantwortliche bzw. der Verarbeiter der Kundendaten und der für die Nutzungsdaten Verantwortliche.
Aktivitäten, die für die übermittelten Daten relevant sind: Erhalt von Software und Dienstleistungen von Couchbase und angeschlossenen Unternehmen
Unterschrift & Datum: Durch den Abschluss des Abkommens und der DPA wird davon ausgegangen, dass der Datenexporteur diese hierin enthaltenen Standardvertragsklauseln einschließlich ihrer Anhänge zum Zeitpunkt des Inkrafttretens der DPA unterzeichnet hat.
Datenimporteur: Couchbase, Inc.
Kontaktinformationen: Couchbase Legal Team - legal@couchbase.com
Rolle des Datenimporteurs: Couchbase ist der Verarbeiter oder Unterverarbeiter von Kundendaten und der Verantwortliche für die Nutzungsdaten.
Für die übermittelten Daten relevante Tätigkeiten: Bereitstellung von Software und Dienstleistungen
Unterschrift & Datum: Durch den Abschluss des Abkommens und der DPA wird davon ausgegangen, dass der Datenimporteur diese hierin aufgenommenen Standardvertragsklauseln einschließlich ihrer Anhänge zum Zeitpunkt des Inkrafttretens der DPA unterzeichnet hat.
(vii) In Anhang I Teil B:
Die Kategorien der betroffenen Personen sind in Anhang A dieser Datenschutzrichtlinie beschrieben.
Die übermittelten sensiblen Daten sind in Anhang A dieser Datenschutzrichtlinie beschrieben.
Die Häufigkeit der Übermittlung erfolgt kontinuierlich während der Laufzeit des Abkommens.
Die Art der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.
Der Zweck der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.
Der Zeitraum der Verarbeitung ist in Anhang A dieser Datenschutzrichtlinie beschrieben.
Für die Übermittlung an Unterauftragsverarbeiter sind Gegenstand, Art und Dauer der Verarbeitung unter https://info.couchbase.com/cloud-subprocessors.html
(viii) Anhang I Teil C: Die Aufsichtsbehörde des in Abschnitt 1 Buchstabe d Ziffer iv genannten EU-Mitgliedstaats fungiert als zuständige Aufsichtsbehörde, sofern es sich bei der Aufsichtsbehörde in Bezug auf Datenübermittlungen, die den Datenschutzgesetzen eines Annahmelandes unterliegen, um die Datenschutzbehörde des Annahmelandes handelt.
(ix) Anhang B dieser DPA dient als Anhang II der Standardvertragsklauseln.
4. Widersprüchliche Begriffe. Im Falle eines Widerspruchs zwischen den Standardvertragsklauseln und anderen Bestimmungen dieser DPA haben die Bestimmungen der Standardvertragsklauseln Vorrang.
