Datenverarbeitungszusatzvereinbarung

Last updated

Diese Datenverarbeitungszusatzvereinbarung („DPA“) regelt die Verarbeitung der vom Kunden über den Service bereitgestellten personenbezogenen Daten durch Anysphere, Inc. („Anysphere“ oder „Anbieter“) in Übereinstimmung mit der Rahmen-Servicevereinbarung zwischen Anysphere und dem Kunden („Vereinbarung“). Diese DPA legt die Weisungen des Kunden für die Verarbeitung personenbezogener Daten sowie die Rechte und Pflichten beider Parteien fest. Soweit in dieser DPA nicht anders geregelt, bleibt die Vereinbarung unverändert und in vollem Umfang in Kraft. Im Falle eines Widerspruchs zwischen dieser DPA und der Vereinbarung geht im Umfang des Widerspruchs diese DPA vor.

  1. Definitionen. Für die Zwecke dieser DPA haben die folgenden Begriffe die nachstehend aufgeführten Bedeutungen. In dieser DPA verwendete, aber nicht definierte großgeschriebene Begriffe haben die Bedeutungen, die ihnen in der Vereinbarung zugewiesen sind. Alle anderen Begriffe in dieser DPA, die in der Vereinbarung nicht anderweitig definiert sind, haben die entsprechenden Bedeutungen, die ihnen in den Datenschutzgesetzen gegeben werden.

    1. Controller to Processor Clauses“ bezeichnet: (a) in Bezug auf Übermittlungen personenbezogener Daten, die der DSGVO unterliegen, die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß dem Beschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, insbesondere Modul 2 (Controller to Processor) („EU-SCCs“); und (b) in Bezug auf Übermittlungen personenbezogener Daten, die dem UK GDPR unterliegen, das International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Version B.1.0), herausgegeben vom UK Information Commissioner („UK Addendum“), in jedem Fall in der jeweils geänderten, aktualisierten oder ersetzten Fassung.

    2. EU/UK Privacy Laws“ bedeutet: (a) die Verordnung (EU) 2016/679 (die „DSGVO“); (b) die Richtlinie 2002/58/EG über den Datenschutz in der elektronischen Kommunikation; (c) der UK Data Protection Act 2018, das UK General Data Protection Regulation, wie definiert im UK Data Protection Act 2018 in der Fassung der Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (zusammen mit dem UK Data Protection Act 2018 das „UK GDPR“) sowie die Privacy and Electronic Communications Regulations 2003; und (d) alle einschlägigen Gesetze, Richtlinien, Anordnungen, Vorschriften, Verordnungen oder sonstigen verbindlichen Instrumente, die eine der vorstehenden Regelungen umsetzen, jeweils in der geltenden und in Kraft befindlichen Fassung sowie in der jeweils geänderten, konsolidierten, neu erlassenen oder ersetzenden Fassung.

    3. Personal Data“ bezeichnet alle Informationen, die der Vendor im Auftrag des Customer zur Bereitstellung des Service verarbeitet und die nach einschlägigen Privacy Laws als „personal data“ oder „personal information“ definiert sind.

    4. Privacy Laws“ bedeutet, soweit anwendbar, EU/UK Privacy Laws, US Privacy Laws und alle ähnlichen Gesetze einer beliebigen Rechtsordnung, die sich auf Datenschutz, Privatsphäre oder die Nutzung von Personal Data beziehen, jeweils in der geltenden und in Kraft befindlichen Fassung sowie in der jeweils geänderten, konsolidierten, neu erlassenen oder ersetzenden Fassung.

    5. Processor to Processor Clauses“ bezeichnet: (a) in Bezug auf Übermittlungen personenbezogener Daten, die der DSGVO unterliegen, die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß dem Beschluss (EU) 2021/914 der Kommission vom 4. Juni 2021, insbesondere Modul 3 (Processor to Processor); und (b) in Bezug auf Übermittlungen personenbezogener Daten, die dem UK GDPR unterliegen, das International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (Version B.1.0), herausgegeben vom UK Information Commissioner, in jedem Fall in der jeweils geänderten, aktualisierten oder ersetzten Fassung.

    6. Third Country“ bezeichnet jedes Land oder Gebiet außerhalb des Geltungsbereichs der Datenschutzgesetze des Europäischen Wirtschaftsraums oder des Vereinigten Königreichs, je nach Relevanz, mit Ausnahme von Ländern oder Gebieten, die von der zuständigen Aufsichtsbehörde von Zeit zu Zeit als ein für Personal Data angemessenes Schutzniveau bietend anerkannt werden.

    7. US Privacy Laws“ bedeutet, soweit anwendbar, den California Consumer Privacy Act in der Fassung des California Privacy Rights Act, den Virginia Consumer Data Protection Act, den Colorado Privacy Act, den Connecticut Data Privacy Act, den Utah Consumer Privacy Act sowie alle ähnlichen Gesetze eines US-Bundesstaates, die sich auf Datenschutz, Privatsphäre oder die Nutzung von Personal Data beziehen.

  2. Änderungen. Die Parteien verpflichten sich, nach Treu und Glauben über Anpassungen an dieser DPA zu verhandeln, falls Änderungen erforderlich sind, damit der Vendor die personenbezogenen Daten weiterhin wie in der Vereinbarung oder dieser DPA vorgesehen in Übereinstimmung mit den Datenschutzgesetzen verarbeiten kann oder um der rechtlichen Auslegung der Datenschutzgesetze Rechnung zu tragen. Der Vendor behält sich das Recht vor, diese DPA nach Bedarf zu aktualisieren, um die Einhaltung der Datenschutzgesetze oder sich weiterentwickelnder rechtlicher Anforderungen sicherzustellen, vorausgesetzt, dass solche Aktualisierungen die Rechte des Customer im Rahmen dieser DPA nicht wesentlich beschneiden oder die Pflichten des Customer nicht wesentlich erhöhen. Der Vendor wird den Customer mindestens dreißig (30) Tage vor dem Inkrafttreten derartiger Aktualisierungen schriftlich informieren, sofern nicht gesetzlich eine kürzere Frist vorgeschrieben ist.

  3. Rollen der Parteien. Die Parteien erkennen an, dass der Kunde im Sinne der Datenschutzgesetze der „Dienstempfänger“, „Verantwortliche“, „Unternehmen“ oder ein ähnlicher Begriff nach den Datenschutzgesetzen ist und der Anbieter der „Dienstleister“, „Auftragsverarbeiter“, „Auftragnehmer“ oder ein ähnlicher Begriff nach den Datenschutzgesetzen ist.

  4. Einzelheiten der Verarbeitung. Die Parteien sind sich einig, dass die Einzelheiten der Verarbeitung in Anhang 1 zu diesem Vertrag beschrieben sind.

  5. Pflichten des Kunden. Der Kunde hat bei der Bereitstellung personenbezogener Daten an den Anbieter im Zusammenhang mit dem Service alle Datenschutzgesetze einzuhalten. Der Kunde sichert zu und gewährleistet, dass: (a) die auf den Kunden anwendbaren Datenschutzgesetze den Anbieter nicht daran hindern, die vom Kunden erteilten Anweisungen auszuführen und die Verpflichtungen des Anbieters aus dieser DPA zu erfüllen; (b) alle personenbezogenen Daten vom Kunden oder in dessen Auftrag erhoben sowie jederzeit im Einklang mit allen Datenschutzgesetzen verarbeitet und aufbewahrt wurden, einschließlich in Bezug auf etwaige Pflichten zur Information der betroffenen Personen und/oder zur Einholung ihrer Einwilligung; und (c) der Kunde über eine rechtmäßige Grundlage verfügt, um die personenbezogenen Daten an den Anbieter offenzulegen und den Anbieter in die Lage zu versetzen, die personenbezogenen Daten wie in dieser DPA beschrieben zu verarbeiten. Der Kunde hat den Anbieter ohne unangemessene Verzögerung zu benachrichtigen, wenn der Kunde zu der Feststellung gelangt, dass die Verarbeitung personenbezogener Daten nach dem Vertrag nicht mit den Datenschutzgesetzen übereinstimmt oder nicht übereinstimmen wird; in diesem Fall ist der Anbieter nicht verpflichtet, diese personenbezogenen Daten weiterhin zu verarbeiten.

  6. Verarbeitung personenbezogener Daten. Der Kunde behält das Eigentum an allen personenbezogenen Daten, die im Rahmen dieser DPA verarbeitet werden. Der Anbieter darf personenbezogene Daten nur wie folgt verarbeiten: (i) zur Erbringung des Service, wie in Anlage 1 näher beschrieben, sowie in Übereinstimmung mit und zu den in den jeweils dokumentierten Weisungen des Kunden festgelegten Zwecken, einschließlich Einwilligungen und Genehmigungen, die über den Service erteilt werden; (ii) zur Erfüllung der für den Anbieter geltenden gesetzlichen Verpflichtungen; und (iii) wie vom Kunden anderweitig schriftlich angewiesen. Der Anbieter hat den Kunden unverzüglich und ohne unangemessene Verzögerung zu benachrichtigen, wenn er feststellt, dass er seine Verpflichtungen nach den geltenden Datenschutzgesetzen nicht mehr erfüllen kann oder einer Weisung des Kunden in Bezug auf die Verwendung personenbezogener Daten nicht nachkommen kann. Soweit nach Datenschutzgesetzen erforderlich und nach angemessener schriftlicher Mitteilung, dass der Kunde in vertretbarer Weise davon ausgeht, dass der Anbieter personenbezogene Daten unter Verstoß gegen Datenschutzgesetze oder diese DPA verwendet, gewährt der Anbieter dem Kunden das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass der Anbieter die personenbezogenen Daten in einer Weise verwendet, die mit den Verpflichtungen des Kunden nach Datenschutzgesetzen im Einklang steht, sowie jede unbefugte Verwendung der personenbezogenen Daten zu beenden und zu beheben. Der Anbieter stellt sicher, dass jeder Mitarbeiter oder jede andere Person, die personenbezogene Daten verarbeitet, in Bezug auf diese personenbezogenen Daten gemäß den Bestimmungen dieser Vereinbarung einer angemessenen Vertraulichkeitspflicht unterliegt.

  7. Untersagungen. Soweit dies nach den anwendbaren Datenschutzgesetzen erforderlich ist, ist es dem Anbieter untersagt: (a) die personenbezogenen Daten zu verkaufen, außer in de-identifizierter, aggregierter oder anonymisierter Form; (b) die personenbezogenen Daten für Zwecke kontextübergreifender verhaltensbezogener Werbung weiterzugeben; (c) die personenbezogenen Daten zu speichern, zu verwenden oder offenzulegen für andere Zwecke als (i) den spezifischen Zweck der Erbringung des Service, (ii) die Entwicklung, Verbesserung oder Erweiterung des Service durch die Nutzung de-identifizierter, aggregierter oder anonymisierter Daten oder (iii) soweit dies nach den Datenschutzgesetzen anderweitig zulässig ist; (d) die personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung zwischen dem Anbieter und dem Kunden zu speichern, zu verwenden oder offenzulegen, außer wie vorstehend beschrieben; und (e) die vom Kunden oder im Namen des Kunden erhaltenen personenbezogenen Daten mit personenbezogenen Daten zu kombinieren, die aus separaten Interaktionen des Anbieters mit der bzw. den Person(en), auf die sich die personenbezogenen Daten beziehen, oder aus sonstigen Quellen erhoben werden könnten, außer zur Erfüllung eines geschäftlichen Zwecks oder soweit dies nach den Datenschutzgesetzen anderweitig zulässig ist.

  8. Einsatz von Unterauftragsverarbeitern. Soweit der Anbieter Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten in seinem Auftrag betraut:

    1. Der Kunde erteilt dem Vendor hiermit eine allgemeine schriftliche Genehmigung, die in Anlage 2 aufgeführten Unterauftragsverarbeiter einzusetzen, vorbehaltlich der Anforderungen dieses Abschnitts 8.

    2. Wenn der Vendor einen neuen Unterauftragsverarbeiter einsetzt oder beabsichtigt, Änderungen in Bezug auf die Hinzufügung oder den Austausch eines Unterauftragsverarbeiters vorzunehmen, wird er den Kunden mindestens dreißig (30) Geschäftstage im Voraus schriftlich benachrichtigen, indem er Aktualisierungen unter trust.cursor.com/subprocessors veröffentlicht. Während dieses Zeitraums kann der Kunde der Beauftragung oder dem Austausch aus angemessenen und dokumentierten Gründen widersprechen, die mit der Vertraulichkeit oder Sicherheit personenbezogener Daten oder der Einhaltung von Datenschutzgesetzen durch den Unterauftragsverarbeiter zusammenhängen (und wenn der Kunde nicht in dieser Weise widerspricht, kann der Vendor mit der Beauftragung oder dem Austausch fortfahren). In dringenden Fällen, die eine sofortige Änderung von Unterauftragsverarbeitern erfordern (z. B. Sicherheitsvorfälle, Dienstunterbrechungen), kann der Vendor Änderungen vornehmen und innerhalb von zehn (10) Geschäftstagen danach eine Mitteilung erteilen. Wenn der Kunde der Beauftragung oder dem Austausch eines Unterauftragsverarbeiters wie hierin beschrieben widerspricht, wird der Vendor wirtschaftlich angemessene Bemühungen unternehmen, um die Bedenken des Kunden auszuräumen; dies kann den Vorschlag eines anderen Unterauftragsverarbeiters oder die Umsetzung zusätzlicher Schutzmaßnahmen zur Minderung der identifizierten Risiken umfassen. Wenn es den Parteien nicht gelingt, den Widerspruch innerhalb von dreißig (30) Tagen nach dem schriftlichen Widerspruch des Kunden beizulegen, kann der Kunde den betroffenen Teil des Service durch schriftliche Mitteilung an den Vendor kündigen. Im Falle einer solchen Kündigung gewährt der Vendor dem Kunden eine anteilige Rückerstattung etwaiger im Voraus gezahlter Gebühren für den verbleibenden ungenutzten Teil des gekündigten Service.

    3. Der Vendor wird Unterauftragsverarbeiter nur auf der Grundlage einer schriftlichen Vereinbarung einsetzen, die Verpflichtungen für den Unterauftragsverarbeiter enthält, die mindestens das gleiche Datenschutzniveau gewährleisten, wie es in dieser DPA vorgesehen ist. Der Vendor haftet gegenüber dem Kunden für die Nichterfüllung der jeweiligen Verpflichtungen durch solche Unterauftragsverarbeiter.

  9. Unterstützung. In dem Umfang, der nach Datenschutzgesetzen erforderlich ist, und unter Berücksichtigung der Art der Verarbeitung wird der Anbieter im Zusammenhang mit der Verarbeitung personenbezogener Daten und um dem Kunden die Einhaltung seiner sich daraus ergebenden Pflichten zu ermöglichen dem Kunden angemessene Unterstützung durch geeignete technische und organisatorische Maßnahmen leisten, insbesondere: (a) bei der Beantwortung von Anfragen von Personen gemäß deren Rechten nach Datenschutzgesetzen, unter anderem durch Bereitstellung, Löschung oder Berichtigung der relevanten personenbezogenen Daten oder durch Ermöglichung für den Kunden, dasselbe zu tun, soweit dies möglich ist; (b) bei der Umsetzung angemessener Sicherheitsverfahren und -praktiken, die der Art der personenbezogenen Daten entsprechen, um die personenbezogenen Daten vor unbefugtem oder rechtswidrigem Zugriff, Zerstörung, Nutzung, Änderung oder Offenlegung zu schützen; (c) bei der Benachrichtigung zuständiger Aufsichtsbehörden und/oder betroffener Personen über Verletzungen des Schutzes personenbezogener Daten; (d) bei der Durchführung von Datenschutz-Folgenabschätzungen und, falls erforderlich, bei der vorherigen Konsultation zuständiger Aufsichtsbehörden; sowie (e) beim Abschluss dieser DPA.

  10. Sicherheitsmaßnahmen. Der Anbieter hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung geeignete technische und organisatorische Maßnahmen zu implementieren und sicherzustellen, dass sein autorisiertes Personal diese einhält. Diese Maßnahmen sind darauf ausgelegt, ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie in Anlage 3 dargelegt oder von Zeit zu Zeit anderweitig zwischen Kunde und Anbieter vereinbart und dokumentiert. Der Anbieter wird die allgemeine Sicherheit der Services während der Dauer der Verarbeitung nicht wesentlich verringern. Soweit durch Datenschutzgesetze erforderlich, hat der Anbieter den Kunden unverzüglich, in jedem Fall aber innerhalb von achtundvierzig (48) Stunden, schriftlich über jede Sicherheitsverletzung zu benachrichtigen, die zu einer versehentlichen oder unrechtmäßigen Vernichtung, einem Verlust, einer Veränderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf personenbezogene Daten führt, wobei weitere Informationen über die Sicherheitsverletzung schrittweise bereitgestellt werden, sobald mehr Details verfügbar werden. Der Kunde stimmt zu, dass der Kunde unbeschadet des Vorstehenden allein für seine eigene Nutzung des Service verantwortlich ist, einschließlich: (a) der Sicherung der Authentifizierungsdaten für Konten, Systeme und Geräte, die der Kunde für den Zugriff auf den Service verwendet; (b) der Sicherung der Systeme und Geräte des Kunden, die er mit dem Service verwendet; und (c) der Pflege eigener Backups der Kundendaten.

  11. Zugriff und Prüfungen. Auf angemessene Anfrage des Kunden stellt der Anbieter dem Kunden die in seinem Besitz befindlichen Informationen zur Verfügung, die in angemessenem Umfang erforderlich sind, um die Einhaltung der Verpflichtungen des Anbieters aus dieser DPA nachzuweisen, und ermöglicht und unterstützt Prüfungen, einschließlich Inspektionen, die vom Kunden oder einem vom Kunden beauftragten und vom Anbieter angemessenerweise akzeptierten Prüfer auf Kosten des Kunden durchgeführt werden, es sei denn, es wird ein wesentlicher Verstoß festgestellt. Der Kunde ist berechtigt, eine solche Prüfung nicht häufiger als einmal alle zwölf (12) Monate durchzuführen, mit einer vorherigen schriftlichen Ankündigungsfrist von dreißig (30) Tagen gegenüber dem Anbieter und nur, nachdem sich die Parteien auf den Umfang der Prüfung geeinigt haben und der Prüfer einer Vertraulichkeitspflicht unterliegt. Darüber hinaus kann der Kunde eine zusätzliche Prüfung durchführen, wenn nach einer Verletzung des Schutzes personenbezogener Daten oder einer Anfrage einer Aufsichtsbehörde oder Datenschutzbehörde berechtigte Bedenken hinsichtlich der Einhaltung der Datenschutzbestimmungen durch den Anbieter bestehen. Als Alternative zu einer vom Kunden oder in dessen Auftrag durchgeführten Prüfung kann der Anbieter, soweit nach Datenschutzgesetzen zulässig, auf eigene Kosten einen qualifizierten und unabhängigen Prüfer damit beauftragen, eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen des Anbieters zur Erfüllung seiner Verpflichtungen nach den Datenschutzgesetzen anhand eines geeigneten und anerkannten Kontrollstandards oder -rahmens und eines entsprechenden Prüfverfahrens durchzuführen und dem Kunden auf angemessene Anfrage einen Bericht über eine solche Bewertung zur Verfügung zu stellen. Ungeachtet des Vorstehenden ist der Anbieter in keinem Fall verpflichtet, dem Kunden Zugang zu Informationen, Einrichtungen oder Systemen zu gewähren, soweit dies dazu führen würde, dass der Anbieter gegen Vertraulichkeitsverpflichtungen gegenüber anderen Kunden oder gegen seine gesetzlichen Verpflichtungen verstößt.

  12. Löschung personenbezogener Daten. Auf schriftliche Weisung des Kunden hat der Anbieter am Ende der Erbringung der Dienstleistung alle personenbezogenen Daten nach Wahl des Kunden zu löschen oder an den Kunden zurückzugeben, und zwar innerhalb von dreißig (30) Tagen nach einer solchen Aufforderung, es sei denn, die Aufbewahrung der personenbezogenen Daten ist gesetzlich vorgeschrieben. Auf Anfrage stellt der Anbieter hierüber eine schriftliche Bestätigung aus.

  13. Datenübermittlungen. Soweit der Vendor personenbezogene Daten, auf die die EU-/UK-Datenschutzgesetze Anwendung finden, in einem Drittland verarbeitet und dabei als Datenimporteur handelt, erfüllt der Vendor die Pflichten des Datenimporteurs und der Customer die Pflichten des Datenexporteurs, wie sie in den Controller-to-Processor Clauses festgelegt sind, die hiermit in diese DPA aufgenommen werden und einen Bestandteil dieser bilden, und:

    1. Für die Zwecke von Anhang I oder Teil 1 (je nach Relevanz) solcher „Controller to Processor Clauses“ ist der Kunde Verantwortlicher und der Anbieter Auftragsverarbeiter, und die in der Vereinbarung, dieser DPA und Anhang 1 festgelegten Parteien, Kontaktdaten und Verarbeitungsdetails gelten, und das Startdatum ist das Wirksamkeitsdatum der Vereinbarung, und die von einer Partei im Zusammenhang mit der Ausführung dieser Vereinbarung geleisteten Unterschrift(en) (in jeglicher Form) sowie die Daten dieser Unterschrift(en) gelten als die datierte Unterschrift, die von dieser Partei verlangt wird;

    2. Falls zutreffend, sind für die Zwecke von Teil 1 des UK Addendums die maßgeblichen „Addendum EU SCCs“ (wie dieser Begriff im UK Addendum definiert ist) die EU-SCCs, wie sie durch diese Ziffer 13 in diese DPA einbezogen werden. Im Falle eines Widerspruchs oder einer Unklarheit zwischen dieser DPA und den SCCs haben die SCCs Vorrang;

    3. Für die Zwecke von Anhang II oder Teil 1 (je nach Relevanz) solcher „Controller to Processor Clauses“ gelten die technischen und organisatorischen Sicherheitsmaßnahmen sowie die technischen und organisatorischen Maßnahmen, die der Anbieter zur Unterstützung des Kunden ergreift, wie jeweils in Anhang 3 dargelegt; und

    4. Falls zutreffend, gilt für die Zwecke von Anhang III oder Teil 1 (je nach Relevanz) solcher „Controller to Processor Clauses“, dass die in Anlage 4 (Autorisierte Subunternehmer) aufgeführte Liste der autorisierten Unterauftragsverarbeiter Anwendung findet;

    5. Falls zutreffend, gilt für die Zwecke von: (i) Klausel 9, Option 2 („Allgemeine schriftliche Genehmigung“) als ausgewählt und die in Ziffer 8 angegebene Frist gilt; (ii) Klausel 11(a) gilt der optionale Wortlaut in Bezug auf eine unabhängige Streitbeilegung als gestrichen; (iii) Klausel 13 und Anhang I.C ist die zuständige Aufsichtsbehörde die Data Protection Commission (Irland); (iv) Klauseln 17 und 18 gilt Option 1 als ausgewählt und das geltende Recht sowie die zuständigen Gerichte sind die der Republik Irland; (vi) Teil 1 kann der Anbieter als Importeur das UK Addendum gemäß Ziffer 19 eines solchen UK Addendums kündigen;

    6. Der Anbieter kann ein verbundenes Unternehmen oder einen Unterauftragsverarbeiter eines Dritten mit der Verarbeitung der personenbezogenen Daten in einem Drittland beauftragen; in diesem Fall schließt der Anbieter die „Processor to Processor Clauses“ mit jedem relevanten Unterauftragsverarbeiter (einschließlich verbundener Unternehmen) ab, den er im Namen des Kunden bestellt; und

    7. Der Anbieter kann sich auf einen Angemessenheitsbeschluss, das EU-US Data Privacy Framework, Ausnahmeregelungen für bestimmte Situationen nach Datenschutzgesetzen oder jeden anderen rechtmäßigen Mechanismus für Datenübermittlungen stützen, um die Einhaltung der Datenschutzgesetze sicherzustellen.

Alle Streitigkeiten bezüglich grenzüberschreitender Übermittlungen oder der Einhaltung der geltenden Datenschutzgesetze im Zusammenhang mit solchen Übermittlungen werden gemäß dem im Vertrag festgelegten anwendbaren Recht und Gerichtsstand beigelegt.


ANLAGE 1

Einzelheiten der Verarbeitung

1. Art der Verarbeitung

  • Zugriff, Nutzung, Offenlegung, Speicherung, Löschung und/oder sonstige Verarbeitung personenbezogener Daten durch den Anbieter im Zusammenhang mit der Bereitstellung des Dienstes des Anbieters für den Kunden, wie im Vertrag vorgesehen.

2. Zweck(e) der Verarbeitung

  • Bereitstellung des Dienstes durch den Anbieter für den Kunden, wie im Vertrag vorgesehen.

3. Kategorien von Personen, deren personenbezogene Daten verarbeitet werden

  • Autorisierte Nutzer des Kunden.

4. Kategorien der verarbeiteten personenbezogenen Daten

  • Sich auf Personen beziehende Daten, die vom Anbieter im Namen des Kunden erhoben oder dem Anbieter vom Kunden anderweitig zur Verfügung gestellt werden.

5. Arten von personenbezogenen Daten, die Gegenstand der Verarbeitung sind und nach Datenschutzgesetzen als „sensible“ oder „besondere Kategorien“ gelten

  • Der Kunde und/oder sein Personal dürfen im Rahmen dieses Vertrags keine sensiblen oder besonderen Kategorien von Daten bereitstellen, und der Anbieter haftet nicht für die Verarbeitung sensibler Daten, die vom Kunden bereitgestellt werden. Der Anbieter erhebt oder verarbeitet nicht absichtlich besondere Kategorien personenbezogener Daten.

6. Häufigkeit (z. B. einmalig oder fortlaufend) und Dauer der Verarbeitung

  • Relevante personenbezogene Daten werden fortlaufend für die Dauer der Laufzeit des Vertrags und jeden etwaigen Aufbewahrungszeitraum nach Beendigung verarbeitet, wie im Vertrag festgelegt.

7. Gegenstand, Art und Dauer der Verarbeitung, die von Unterauftragsverarbeitern durchgeführt wird, die gemäß Abschnitt 8 autorisiert sind

  • Wie in dieser Anlage 1 und in Anlage 2 dargelegt.

ANLAGE 2

Autorisierte Unterauftragsverarbeiter

Die Liste der autorisierten Unterauftragsverarbeiter des Anbieters wird unter https://trust.cursor.com/subprocessors gepflegt und aktualisiert.

ANLAGE 3

Technische und organisatorische Maßnahmen

Diese Anlage 3 legt die von Anysphere, Inc. („Anysphere“) im Rahmen der Datenverarbeitungsvereinbarung („DPA“) umgesetzten technischen und organisatorischen Sicherheitsmaßnahmen fest. Anysphere ist nach SOC 2 Type II zertifiziert, und Sie können über unser Trust Center unter https://trust.cursor.com („Trust Center“) eine Kopie unserer Zertifizierung erhalten. Darüber hinaus sind die Sicherheitspraktiken von Anysphere auf unserer Sicherheitsseite beschrieben, die unter https://www.cursor.com/security verfügbar ist. Die technischen und organisatorischen Sicherheitsmaßnahmen von Anysphere umfassen:

  1. Zugriffskontrollen: Der Zugriff auf personenbezogene Daten ist auf befugtes Personal beschränkt, mit rollenbasierten Zugriffskontrollen und starken Authentifizierungsmechanismen wie Multi-Faktor-Authentifizierung, um den Zugriff zu schützen.

  2. Schulung und Sensibilisierung von Mitarbeitenden: Mitarbeitende absolvieren regelmäßig Schulungen zu Datenschutz, Privatsphäre und bewährten Sicherheitspraktiken.

  3. Datenverschlüsselung: Anysphere verwendet branchenübliche Verschlüsselungsprotokolle, um sicherzustellen, dass personenbezogene Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt sind. Verschlüsselungsschlüssel werden sicher verwaltet und regelmäßig ausgetauscht.

  4. Infrastruktursicherheit: Anyspheres Infrastrukturrichtlinien und Sicherheitsprotokolle sind in unserem Trust Center beschrieben.

  5. Netzwerksicherheit: Die Netzwerksicherheit wird durch den Einsatz von Firewalls, Systemen zur Erkennung und Verhinderung von Eindringversuchen sowie durch regelmäßige Schwachstellenanalysen und Penetrationstests gewährleistet. Sie können über unser Trust Center eine Kopie unseres Penetrationstestberichts anfordern.

  6. Anwendungssicherheit: Sichere Softwareentwicklungspraktiken, einschließlich Code-Reviews und Sicherheitstests, werden befolgt, und Web Application Firewalls werden eingesetzt, um vor gängigen Webangriffen zu schützen.

  7. Datensicherung und -wiederherstellung: Regelmäßige Sicherungen personenbezogener Daten werden durchgeführt und sicher gespeichert; Notfallwiederherstellungs- und Business-Continuity-Pläne sind vorhanden und werden regelmäßig getestet.

  8. Rechenzentrumsicherheit: Rechenzentren werden durch physische Sicherheitskontrollen geschützt, einschließlich Zugangskontrollen, Überwachungssystemen und Sicherheitspersonal. Der Zugang zu Rechenzentren ist ausschließlich befugtem Personal vorbehalten.

  9. Bürosicherheit: Büroräume sind mit Zugangskontrollen, Alarmsystemen und Überwachungskameras gesichert, und Besuchende müssen sich eintragen und werden von befugtem Personal begleitet.

  10. Sicherheitsüberwachung: Anysphere führt eine kontinuierliche Überwachung von Systemen und Netzwerken durch, um Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Security-Information-and-Event-Management-Systeme (SIEM-Systeme) werden eingesetzt, um Sicherheitsereignisse zu korrelieren und zu analysieren.

  11. Reaktion auf Sicherheitsvorfälle: Ein Reaktionsplan für Sicherheitsvorfälle ist vorhanden, um Sicherheitsvorfälle zeitnah und effektiv zu bearbeiten, und Verfahren zur Meldung von Datenschutzverletzungen entsprechen den geltenden Gesetzen und Vorschriften.

  12. Privacy by Design: Datenschutzgrundsätze werden im Rahmen der Implementierung von Privacy by Design in die Konzeption und Entwicklung von Systemen und Prozessen integriert. Regelmäßige Datenschutz-Folgenabschätzungen werden durchgeführt, um Risiken zu identifizieren und zu mindern.

  13. Datenminimierung: Die Erhebung und Verarbeitung personenbezogener Daten ist auf das für die jeweils angegebenen Zwecke notwendige Maß beschränkt, und Techniken zur Datenanonymisierung und -pseudonymisierung werden, wo angemessen, eingesetzt.

  14. Kontinuierliche Überwachung und Verbesserung: Anysphere überwacht seine Datenschutz- und Sicherheitsrichtlinien kontinuierlich und nimmt Verbesserungen und Aktualisierungen vor, soweit erforderlich, um ein höchstmögliches Schutzniveau für die Daten unserer Nutzerinnen und Nutzer zu gewährleisten. Wir streben danach, bei branchenüblichen Best Practices und sich weiterentwickelnden gesetzlichen Anforderungen stets auf dem neuesten Stand zu bleiben, um das Vertrauen und die Zuversicht unserer Kundschaft zu erhalten.

Durch die Umsetzung dieser Maßnahmen verpflichtet sich Anysphere, hohe Standards beim Datenschutz und bei der Datensicherheit einzuhalten und es unseren Nutzerinnen und Nutzern zu ermöglichen, vom Service zu profitieren.