Zusatzvereinbarung zur Auftragsverarbeitung für Evernote Teams

Diese Zusatzvereinbarung zur Auftragsverarbeitung für Evernote Teams („Zusatzvereinbarung“) besteht zwischen Bending Spoons S.p.A. („Auftragsverarbeiter“) und dem Kunden bzw. der Kundin und ist Bestandteil der Evernote Teams-Vereinbarung („Vereinbarung“). Diese Zusatzvereinbarung gilt in dem Umfang, in dem der Auftragsverarbeiter im Zusammenhang mit der Vereinbarung personenbezogene Kundendaten (wie nachfolgend definiert) verarbeitet. Alle in dieser Zusatzvereinbarung verwendeten, aber nicht definierten Begriffe haben die in der Vereinbarung festgelegte Bedeutung.

1. Definitionen.

  1. Geltendes Datenschutzrecht“ bezeichnet jegliche geltenden Gesetze bzw. Vorschriften zum Schutz der Privatsphäre und Datenschutz, die die Verarbeitung personenbezogener Daten regelt, einschließlich folgender Gesetze in ihrer geänderten, überarbeiteten, ergänzten oder neu formulierten Fassung: (i) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) („DSGVO“); (ii) das brasilianische allgemeine Datenschutzgesetz (Gesetz Nr. 13.709/18 oder „LGPD“); und (iii) das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern nach Cal. Civ. Code § 1798.100 ff. sowie dessen Durchführungsbestimmungen („CCPA“).
  2. Personenbezogene Kundendaten“ bezeichnet personenbezogene Daten, die der Kunde bzw. die Kundin dem Auftragsverarbeiter zur Verfügung stellt, damit der Auftragsverarbeiter sie im Auftrag des Kunden bzw. der Kundin im Zusammenhang mit dem Evernote Teams-Service verarbeiten kann.
  3. EWR“ bezeichnet den Europäischen Wirtschaftsraum.
  4. „Personenbezogene Daten“ bezeichnet sämtliche Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen und die der Kunde bzw. die Kundin dem Auftragsverarbeiter gemäß der Vereinbarung im Zusammenhang mit dem Evernote Teams-Service zur Verfügung stellt.
  5. „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheitsmaßnahmen beim Auftragsverarbeiter, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Offenlegung von personenbezogenen Kundendaten bzw. einem versehentlichen oder unrechtmäßigen Zugriff auf diese Daten führt.
  6. „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Unternehmen“, „Verbraucher/Verbraucherin“ und „Dienstleister“ haben die gleiche Bedeutung wie im geltenden Datenschutzrecht.
  7. „Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter oder Dienstanbieter, der vom Auftragsverarbeiter beauftragt wurde, um bei der Erfüllung seiner Verpflichtungen in Bezug auf die Bereitstellung des Evernote Teams-Service gemäß der Vereinbarung behilflich zu sein, sofern dieser Auftragsverarbeiter oder Dienstanbieter personenbezogene Kundendaten verarbeitet.

2. Rolle und Verpflichtungen des Auftragsverarbeiters.

  1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Kundendaten im Auftrag des Kunden bzw. der Kundin und in Einklang mit den rechtsgültigen schriftlichen Anweisungen des Kunden bzw. der Kundin, soweit dies nicht durch geltendes Recht, dem der Auftragsverarbeiter unterliegt, vorgeschrieben ist. Der Auftragsverarbeiter agiert als Auftragsverarbeiter oder Dienstleister im Sinne des geltenden Datenschutzrechts; eine Beschreibung der Verarbeitung personenbezogener Kundendaten im Zusammenhang mit dem Evernote Teams-Service finden Sie in Anhang A.
  2. Soweit das CCPA auf personenbezogene Kundendaten anwendbar ist, gilt Folgendes: Der Auftragsverarbeiter darf keine personenbezogenen Kundendaten im Sinne des CCPA verkaufen oder weitergeben. Der Auftragsverarbeiter muss die Kundin bzw. den Kunden benachrichtigen, wenn er feststellt, dass er seinen Verpflichtungen gemäß dem CCPA nicht länger nachkommen kann. Der Auftragsverarbeiter darf personenbezogene Kundendaten ausschließlich zu folgenden Zwecken erfassen, aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten: (i) zur Erbringung des Evernote Teams-Service; (ii) zur Beauftragung und Beschäftigung eines anderen Auftragsverarbeiters oder Dienstleisters als Unterauftragsverarbeiter gemäß dem geltenden Datenschutzrecht; (iii) zur internen Verwendung durch den Auftragsverarbeiter für die Entwicklung seiner Services oder die Verbesserung ihrer Qualität; (iv) zur Aufdeckung von Verletzungen der Datensicherheit oder zum Schutz vor betrügerischen oder illegalen Aktivitäten; (v) für folgende Zwecke: (1) zur Einhaltung von Bundes-, Landes- oder Kommunalgesetzen; (2) zur Befolgung von zivil-, strafrechtlichen oder behördlichen Untersuchungen, Ermittlungen, Vorladungen oder Aufforderungen durch Bundes-, Landes- oder Kommunalbehörden; oder (3) zur Geltendmachung oder Verteidigung von Rechtsansprüchen; oder (vi) wie anderweitig nach geltendem Datenschutzrecht zulässig.
  3. In Einklang mit dem geltenden Datenschutzrecht ergreift und unterhält der Auftragsverarbeiter technische und organisatorische Maßnahmen, um die personenbezogenen Kundendaten vor Verletzungen des Schutzes personenbezogener Daten zu schützen. Der Auftragsverarbeiter stellt sicher, dass jede Person, die zur Verarbeitung personenbezogener Kundendaten befugt ist, in eine angemessene Vertraulichkeitsverpflichtung eingewilligt hat.
  4. Soweit nach geltendem Datenschutzrecht erforderlich, verarbeitet und speichert der Auftragsverarbeiter personenbezogene Kundendaten innerhalb des EWR und übernimmt der Auftragsverarbeiter im Falle von Übermittlungen personenbezogener Kundendaten in Länder außerhalb des EWR die von der DSGVO, einschließlich der Standardvertragsklauseln des Durchführungsbeschlusses (EU) 2021/914 der Europäischen Kommission, geforderten Garantien.

3. Rolle und Verpflichtungen des Kunden bzw. der Kundin.

Der Kunde bzw. die Kundin haftet bei der Nutzung des Evernote Teams-Service und bei der Erteilung von Verarbeitungsanweisungen an den Auftragsverarbeiter allein für die Einhaltung seiner bzw. ihrer Verpflichtungen nach geltendem Datenschutzrecht. Der Kunde bzw. die Kundin agiert als der bzw. die Datenverantwortliche oder das Unternehmen im Sinne des geltenden Datenschutzrechts. Der Kunde bzw. die Kundin ist verpflichtet, geltendes Datenschutzrecht einzuhalten, insbesondere und im erforderlichen Umfang in Bezug auf: (a) Benachrichtigungen; (b) Einholung der Einwilligung; (c) Wahrung der Rechte auf Zugang, Löschung, Berichtigung, Einschränkung, Opt-out und Opt-in sowie entsprechende Auskunftsersuchen; und (d) anderweitige Gewährleistung, dass er bzw. sie und der Auftragsverarbeiter (sowie Tochterunternehmen, verbundene Unternehmen und Unterauftragsverarbeiter des Auftragsverarbeiters) über sämtliche Rechte verfügen, die erforderlich sind, damit der Auftragsverarbeiter die personenbezogenen Kundendaten im Rahmen der Vereinbarung erfassen, aufbewahren, nutzen, offenlegen und anderweitig verarbeiten kann. Der Kunde bzw. die Kundin sichert zu, dass er bzw. sie gemäß dem geltenden Datenschutzrecht über eine hinreichende Rechtsgrundlage für die Verarbeitung personenbezogener Kundendaten und deren Offenlegung gegenüber dem Auftragsverarbeiter verfügt.

4. Unterauftragsverarbeitung.

Die Kundin bzw. der Kunde willigt ein, dass der Auftragsverarbeiter Unterauftragsverarbeiter, zu denen auch Tochterunternehmen und verbundene Unternehmen des Auftragsverarbeiters sowie andere Dritte zählen können, mit der Verarbeitung personenbezogener Kundendaten im Namen der Kundin bzw. des Kunden beauftragen kann. Eine Liste der vom Auftragsverarbeiter beauftragten und von der Kundin bzw. dem Kunden autorisierten Unterauftragsverarbeiter finden Sie unter https://evernote.com/de-de/privacy/vendors. Der Auftragsverarbeiter schließt mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung ab, die den Unterauftragsverarbeiter verpflichtet, ein vergleichbares Datenschutzniveau zu gewährleisten, wie es in der hier vorliegenden Vereinbarung vorgesehen ist. Der Auftragsverarbeiter wird die Kundin bzw. den Kunden in angemessener Weise informieren, bevor es einen neuen Unterauftragsverarbeiter für die personenbezogenen Kundendaten einsetzt. Um Mitteilungen über solche Aktualisierungen der Liste der Unterauftragsverarbeiter zu erhalten, muss der Kunde sich über den vorgenannten Link in diesem Abschnitt 4 anmelden. Die Kundin bzw. der Kunde kann der Beauftragung eines neuen Unterauftragsverarbeiters durch den Auftragsverarbeiter innerhalb von zehn (10) Kalendertagen nach einer solchen Mitteilung schriftlich widersprechen, sofern dieser Widerspruch in Bezug auf den Datenschutz nachvollziehbar begründet ist. In einem solchen Fall werden der Auftragsverarbeiter und die Kundin bzw. der Kunde diese Bedenken nach Treu und Glauben erörtern.

5. Kooperation.

  1. Pflichten des Auftragsverarbeiters. Soweit dies nach geltendem Datenschutzrecht erforderlich ist, unterstützt der Auftragsverarbeiter den Kunden bzw. die Kundin bei der Erfüllung eines Auskunftsersuchens bezüglich der Rechte natürlicher Personen. Wenn der Auftragsverarbeiter ein Auskunftsersuchen bezüglich der Rechte natürlicher Personen erhält und er feststellt, dass es sich bei der betroffenen Person um einen Endnutzer bzw. eine Endnutzerin unter dem Konto des Kunden bzw. der Kundin handelt, wird der Auftragsverarbeiter im Rahmen des gesetzlich Zulässigen wirtschaftlich angemessene Anstrengungen unternehmen, um: (i) den Kunden bzw. die Kundin unverzüglich über den Eingang eines Auskunftsersuchens beim Auftragsverarbeiter zu benachrichtigen; und (ii) dem Kunden bzw. der Kundin die Angaben zur Verfügung zu stellen, die er bzw. sie benötigt, um das Auskunftsersuchen zu beantworten, wenn er bzw. sie andernfalls nicht in der Lage ist, das Auskunftsersuchen zu beantworten. Falls es dem Auftragsverarbeiter untersagt ist, den Kunden bzw. die Kundin über ein Auskunftsersuchen zu informieren, oder falls der Kunde bzw. die Kundin nicht unverzüglich auf ein Auskunftsersuchen antwortet, kann der Auftragsverarbeiter der betreffenden Person antworten, ist jedoch nicht dazu verpflichtet, sofern geltendes Datenschutzrecht nicht etwas anderes vorschreibt. Auf Anfrage und Kosten des Kunden bzw. der Kundin stellt der Auftragsverarbeiter im nach geltendem Datenschutzrecht erforderlichen Umfang die nachvollziehbar angeforderten Informationen zur Verfügung, um dem Kunden bzw. der Kundin bei der Durchführung von Datenschutzfolgenabschätzungen bzw. den vorausgehenden Konsultationen zu unterstützen. 
  2. Pflichten der Kundin bzw. des Kunden. Die Kundin bzw. der Kunde nimmt zur Kenntnis und willigt ein, dass sie bzw. er allein für die Beantwortung von Auskunftsersuchen bezüglich der Rechte natürlicher Personen verantwortlich ist und dass der Auftragsverarbeiter nicht verpflichtet ist, einer Person im Auftrag der Kundin bzw. des Kunden direkt zu antworten. Die Kundin bzw. der Kunde wird sich bemühen, die zur Beantwortung von Auskunftsersuchen erforderlichen Informationen zu beschaffen, und den Auftragsverarbeiter nur dann kontaktieren, wenn sie bzw. er dem Ersuchen trotz gründlicher Bemühungen nicht nachkommen kann. Soweit das geltende Datenschutzrecht Anwendung findet, wird die Kundin bzw. der Kunde nur dann Anfragen und Anträge an den Auftragsverarbeiter richten, wenn diese im Zusammenhang mit einem Auskunftsersuchen bezüglich der Rechte natürlicher Personen gemäß geltendem Datenschutzrecht stehen. Findet beispielsweise das kalifornische CCPA Anwendung, wird die Kundin bzw. der Kunde nur CCPA-bezogene Anfragen und Anträge an den Auftragsverarbeiter richten, wenn sie sich auf ein Auskunftsersuchen eines kalifornischen Verbrauchers bzw. einer kalifornischen Verbraucherin beziehen, und wird sie bzw. er keine CCPA-bezogenen Anfragen und Anträge in Bezug auf Personen, die nicht als Verbraucher oder Verbraucherinnen im Sinne des CCPA gelten, an den Auftragsverarbeiter richten. Gemäß dem geltenden Datenschutzrecht stellt die Kundin bzw. der Kunde dem Auftragsverarbeiter diejenigen Informationen zur Verfügung, die der Auftragsverarbeiter benötigt, um die Kundin bzw. den Kunden bei der Erfüllung eines Auskunftsersuchens bezüglich solcher Rechte zu unterstützen.

6. Prüfungen/Audits.

  1. Soweit es nach geltendem Datenschutzrecht erforderlich ist, wird der Auftragsverarbeiter auf Ersuchen des Kunden bzw. der Kundin (höchstens ein Ersuchen pro Kalenderjahr) und unter der Voraussetzung, dass der Kunde bzw. die Kundin eine entsprechende Geheimhaltungsvereinbarung mit dem Auftragsverarbeiter eingegangen ist, alle begründeten Auskunftsersuchen im Zusammenhang mit der Verarbeitung personenbezogener Kundendaten durch den Auftragsverarbeiter, die erforderlich sind, um die Einhaltung dieser Zusatzvereinbarung durch den Auftragsverarbeiter zu bestätigen, schriftlich (auf vertraulicher Basis) beantworten. 
  2. Nur soweit der Kunde bzw. die Kundin die Einhaltung dieser Zusatzvereinbarung durch den Auftragsverarbeiter nicht in angemessener Weise durch Ausübung seines Rechts gemäß Abschnitt 6.1 bestätigen kann, und soweit dies nach geltendem Datenschutzrecht erforderlich ist, kann der Kunde bzw. die Kundin oder eine akkreditierte externe Prüfgesellschaft, auf die sich der Kunde bzw. die Kundin und der Auftragsverarbeiter geeinigt haben, die Einhaltung dieser Zusatzvereinbarung durch den Auftragsverarbeiter während der Laufzeit der Vereinbarung prüfen, sofern folgende Voraussetzungen erfüllt sind: (i) Der Kunde bzw. die Kundin und gegebenenfalls die akkreditierte externe Prüfgesellschaft haben eine entsprechende Geheimhaltungsvereinbarung mit dem Auftragsverarbeiter geschlossen; (ii) die Prüfung wird  während der regulären Geschäftszeiten des Auftragsverarbeiters in einer Weise, die den Geschäftsbetrieb des Auftragsverarbeiters nicht beeinträchtigt, mit einer angemessenen Vorankündigung an den Auftragsverarbeiter von mindestens sechzig (60) Tagen und unter Einhaltung angemessener Verfahren zur Wahrung der Vertraulichkeit durchgeführt; und (iii) vor Beginn der Prüfung vereinbaren der Kunde bzw. die Kundin und der Auftragsverarbeiter einvernehmlich den Zeitpunkt, die Dauer und den Umfang der Prüfung. Der Kunde bzw. die Kundin darf den Auftragsverarbeiter innerhalb eines Zwölfmonatszeitraums höchstens einer Prüfung unterziehen. Der Kunde bzw. die Kundin ist für sämtliche im Zusammenhang mit einer solchen Prüfung anfallenden Kosten und Gebühren verantwortlich, einschließlich aller angemessenen Kosten und Gebühren für die Zeit, die der Auftragsverarbeiter für die Prüfung aufwendet. Der Kunde bzw. die Kundin wird den Auftragsverarbeiter unverzüglich über sämtliche im Laufe der Prüfung festgestellten Verstöße informieren.

7. Verletzung des Schutzes personenbezogener Daten.

  1. Soweit es nach geltendem Datenschutzrecht erforderlich ist, informiert der Auftragsverarbeiter die Kundin bzw. den Kunden unverzüglich nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten. Die Benachrichtigung durch den Auftragsverarbeiter über eine Verletzung des Schutzes personenbezogener Daten oder seine Reaktion darauf stellt kein Anerkenntnis eines Verschuldens oder einer Haftung in Bezug auf die Verletzung des Schutzes personenbezogener Daten dar und kann auch nicht anderweitig als solches ausgelegt werden.
  2. Der Auftragsverarbeiter stellt der Kundin bzw. dem Kunden die nach geltendem Datenschutzrecht erforderlichen Informationen unter Berücksichtigt der ihm vorliegenden Informationen zur Verfügung. Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Auswirkungen der Verletzung des Schutzes personenbezogener Daten abzumildern.

8. Löschung oder Rückgabe von Daten.

Bei Beendigung der Inanspruchnahme des Evernote Teams-Service löscht der Auftragsverarbeiter auf schriftliches Ersuchen des Kunden bzw. der Kundin sämtliche personenbezogenen Kundendaten des Kunden bzw. der Kundin oder gibt sie zurück. Jegliche personenbezogenen Kundendaten, die nicht umgehend gelöscht werden, werden weiterhin gemäß den Bestimmungen dieser Zusatzvereinbarung geschützt und entsprechend der Richtlinie des Auftragsverarbeiters zur Datenaufbewahrung gelöscht. Ungeachtet des Vorstehenden ist der Auftragsverarbeiter, soweit er nach geltendem Recht verpflichtet ist, die personenbezogenen Kundendaten vollständig oder teilweise aufzubewahren, nicht verpflichtet, die aufbewahrten personenbezogenen Kundendaten, die weiterhin gemäß dieser Zusatzvereinbarung geschützt bleiben, zu löschen.

9. Sonstiges.

  1. Der Auftragsverarbeiter und der Kunde bzw. die Kundin kommen überein, dass diese Zusatzvereinbarung jegliche bestehenden Zusatzvereinbarungen zur Auftragsverarbeitung, ergänzenden Vereinbarungen zur Datenverarbeitung oder sonstigen Vereinbarungen, Nachträge, Anhänge oder Anlagen, die der Kunde bzw. die Kundin zuvor im Zusammenhang mit der Verarbeitung personenbezogener Kundendaten für den Evernote-Service abgeschlossen hat, ersetzt. 
  2. Soweit der Kunde bzw. die Kundin Änderungen an dieser Zusatzvereinbarung vornimmt, ist die Zusatzvereinbarung ungültig und hat sie keine rechtsverbindliche Wirkung.
  3. Abgesehen von den Änderungen durch diese Zusatzvereinbarung bleibt die ursprüngliche Vereinbarung unverändert und in vollem Umfang gültig. Bei etwaigen Widersprüchen zwischen einer Bestimmung dieser Zusatzvereinbarung und einer Bestimmung der Vereinbarung ist diese Zusatzvereinbarung im Umfang des Widerspruchs maßgebend.
  4. Die Beziehung zwischen dem Auftragsverarbeiter und dem Kunden bzw. der Kundin unterliegt weiterhin den Bestimmungen der Vereinbarung, einschließlich der Haftungsausschlüsse und -beschränkungen. Die Haftung jeder Partei ist gemäß der Vereinbarung beschränkt.
  5. Diese Zusatzvereinbarung bleibt (i) bis zum Ablauf oder der Kündigung der Vereinbarung oder (ii) bis zur Rückgabe oder Löschung der personenbezogenen Kundendaten gemäß dieser Zusatzvereinbarung in Kraft, wobei der spätere dieser Zeitpunkte maßgeblich ist.

ANHANG A

Beschreibung der Verarbeitung

1. Kategorien von betroffenen Personen (Datensubjekten). Die gegebenenfalls verarbeiteten personenbezogenen Daten beziehen sich auf die nachfolgenden Kategorien von betroffenen Personen (Datensubjekten): 

  • Kunde bzw. Kundin sowie Endnutzerinnen und Endnutzer des Kunden bzw. der Kundin (einschließlich Administratoren).

2. Kategorien von personenbezogenen Daten. Zu den personenbezogenen Daten, die gegebenenfalls verarbeitet werden, gehören unter anderem die nachfolgend beschriebenen Daten. In der Datenschutzrichtlinie, die Sie unter https://evernote.com/privacy finden, führt der Auftragsverarbeiter eine aktuelle Liste der verarbeiteten personenbezogenen Daten:

  • Identifikationsmerkmale von Endnutzerinnen und Endnutzern wie Name, E-Mail-Adresse, Kontaktpräferenzen, Telefonnummern, Bilder und sonstige persönliche Angaben, Standort- und Kalenderdaten, von ihnen gespeicherte oder für sie freigegebene Inhalte, Protokolle von Aktionen, die von ihnen im Zusammenhang mit ihrer Nutzung des Evernote Teams-Service durchgeführt wurden, sowie Angaben darüber, auf welche Weise sie auf den Service zugreifen.
  • Kundendaten, einschließlich Namen und E-Mail-Adresse des Kunden bzw. der Kundin, E-Mail-Adresse von Kontoadministratoren sowie berufs- oder beschäftigungsbezogene Angaben über Kontoinhaber und Kontoadministratoren.
  • Elektronische Identifikationsmerkmale und entsprechende Daten wie IP-Adresse, Mobilfunknummer und Pixel- oder Cookie-Daten in Bezug auf die Endnutzer bzw. Endnutzerinnen.
  • Daten zur Geolokalisierung und zu Nutzerpräferenzen zur Angabe des geografischen Gebiets, in dem Endnutzer bzw. Endnutzerinnen mit dem Evernote Teams-Service interagieren, und der vom Endnutzer bzw. der Endnutzerin ausgewählten Sprache.

3. Besondere Kategorien von personenbezogenen Daten.  Der Auftragsverarbeiter erfasst und verarbeitet im Zusammenhang mit der Bereitstellung des Evernote Teams-Service keine besonderen Kategorien von personenbezogen Daten (gemäß der Definition der DSGVO) vorsätzlich.

4. Verarbeitungsvorgänge. Personenbezogene Daten werden nur im Rahmen der Aktivitäten verarbeitet, die für die Bereitstellung, Wartung und Verbesserung des Evernote Teams-Service gemäß der Vereinbarung erforderlich sind.