Wir freuen uns sehr über Ihr Interesse an unserem Nachrichtendienst. Datenschutz hat einen besonders hohen Stellenwert für die Betreiber von Nienbox.de. Eine Nutzung unserer Webseite ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Unternehmens über unsere Webseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.
Die Verarbeitung personenbezogener Daten, beispielsweise des Namens, der Anschrift, E-Mail-Adresse oder Telefonnummer einer betroffenen Person, erfolgt stets im Einklang mit der Datenschutz-Grundverordnung und in Übereinstimmung mit dem Bundesdatenschutzgesetz. Mit unserer Datenschutzerklärung möchten wir die Öffentlichkeit über Art, Umfang und Zweck der von uns erhobenen, genutzten und verarbeiteten personenbezogenen Daten informieren. Ferner werden betroffene Personen mittels dieser Datenschutzerklärung über die ihnen zustehenden Rechte aufgeklärt.
Wir haben als für die Verarbeitung Verantwortlicher zahlreiche technische und organisatorische Maßnahmen umgesetzt, um einen möglichst lückenlosen Schutz der über diese Webseite verarbeiteten personenbezogenen Daten sicherzustellen. Dennoch können Internetbasierte Datenübertragungen grundsätzlich Sicherheitslücken aufweisen, sodass ein absoluter Schutz nicht gewährleistet werden kann. Aus diesem Grund steht es jeder betroffenen Person frei, personenbezogene Daten auch auf alternativen Wegen, beispielsweise telefonisch oder per Telefax, an uns zu übermitteln.
Begriffsbestimmungen
Unsere Datenschutzerklärung beruht auf den Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DSGVO) verwendet wurden. Unsere Datenschutzerklärung soll sowohl für die Öffentlichkeit als auch für unsere Kunden und Geschäftspartner einfach lesbar und verständlich sein. Um dies zu gewährleisten, möchten wir vorab die verwendeten Begrifflichkeiten erläutern.
Wir verwenden in dieser Datenschutzerklärung unter anderem die folgenden Begriffe:
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Einschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Einwilligung ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Name und Anschrift des für die Verarbeitung Verantwortlichen
Verantwortlicher im Sinne der Datenschutzgrundverordnung, sonstiger in den Mitgliedstaaten der Europäischen Union geltenden Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist:
Nienbox GmbH
Lars Lutter
Bremer Straße 7
31613 Wietzen – Deutschland
Tel.: 05021 – 8941805
E-Mail: info@nienbox.de
Webseite: www.nienbox.de
Cookies
Unsere Webseite verwenden Cookies. Cookies sind Textdateien, welche über einen Internetbrowser auf einem Computersystem abgelegt und gespeichert werden.
Viele Cookies enthalten eine sogenannte Cookie-ID. Eine Cookie-ID ist eine eindeutige Kennung des Cookies. Sie besteht aus einer Zeichenfolge, durch welche Webseiten und Server dem konkreten Internetbrowser zugeordnet werden können, in dem das Cookie gespeichert wurde. Dies ermöglicht es den besuchten Webseiten und Servern, den individuellen Browser der betroffenen Person von anderen Internetbrowsern, die andere Cookies enthalten, zu unterscheiden. Ein bestimmter Internetbrowser kann über die eindeutige Cookie-ID wiedererkannt und identifiziert werden.
Durch den Einsatz von Cookies können wir den Nutzern dieser Webseite nutzerfreundlichere Services bereitstellen, die ohne die Cookie-Setzung nicht möglich wären.
Mittels eines Cookies können die Informationen und Angebote auf unserer Webseite im Sinne des Benutzers optimiert werden. Cookies ermöglichen uns, die Benutzer unserer Seiten wiederzuerkennen. Zweck dieser Wiedererkennung ist es, den Nutzern die Verwendung unserer Seiten zu erleichtern.
Die betroffene Person kann die Setzung von Cookies durch unsere Webseite jederzeit mittels einer entsprechenden Einstellung des genutzten Internetbrowsers verhindern und damit der Setzung von Cookies dauerhaft widersprechen. Ferner können bereits gesetzte Cookies jederzeit über einen Internetbrowser oder andere Softwareprogramme gelöscht werden. Dies ist in allen gängigen Internetbrowsern möglich. Deaktiviert die betroffene Person die Setzung von Cookies in dem genutzten Internetbrowser, sind unter Umständen nicht alle Funktionen unserer Webseite vollumfänglich nutzbar.
Erfassung von allgemeinen Daten und Informationen
Unsere Webseite erfasst mit jedem Aufruf der Webseite durch eine betroffene Person oder ein automatisiertes System eine Reihe von allgemeinen Daten und Informationen. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert. Erfasst werden können (1) die verwendeten Browsertypen und Versionen, (2) das vom zugreifenden System verwendete Betriebssystem, (3) die Webseite, von welcher ein zugreifendes System auf unsere Webseite gelangt (sogenannte Referrer), (4) die Unterwebseiten, welche über ein zugreifendes System auf unserer Webseite angesteuert werden, (5) das Datum und die Uhrzeit eines Zugriffs auf die Webseite, (6) eine Internet-Protokoll-Adresse (IP-Adresse), (7) der Internet-Service-Provider des zugreifenden Systems und (8) sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf unsere informationstechnologischen Systeme dienen.
Bei der Nutzung dieser allgemeinen Daten und Informationen ziehen wir keine Rückschlüsse auf die betroffene Person. Diese Informationen werden vielmehr benötigt, um (1) die Inhalte unserer Webseite korrekt auszuliefern, (2) die Inhalte unserer Webseite sowie die Werbung für diese zu optimieren, (3) die dauerhafte Funktionsfähigkeit unserer informationstechnologischen Systeme und der Technik unserer Webseite zu gewährleisten sowie (4) um Strafverfolgungsbehörden im Falle eines Cyberangriffes die zur Strafverfolgung notwendigen Informationen bereitzustellen. Diese anonym erhobenen Daten und Informationen werden durch uns daher einerseits statistisch und ferner mit dem Ziel ausgewertet, den Datenschutz und die Datensicherheit in unserem Unternehmen zu erhöhen, um letztlich ein optimales Schutzniveau für die von uns verarbeiteten personenbezogenen Daten sicherzustellen. Die anonymen Daten der Server-Logfiles werden getrennt von allen durch eine betroffene Person angegebenen personenbezogenen Daten gespeichert.
Bei Nutzung unseres Kontaktformulars
Wenn Sie uns kontaktieren, erheben wir folgende Informationen:
Anrede, Vorname, Nachname,
eine gültige E-Mail-Adresse,
Anschrift,
Telefonnummer (Festnetz und/oder Mobilfunk)
Informationen, die für die Bearbeitung insbesondere im Rahmen der Bearbeitung des jeweiligen Auftrags/der jeweiligen Kündigung/ der jeweiligen Anfrage notwendig sind, insbesondere den Inhalt der uns zugesendeten E-Mail oder Schreiben etc.
Die Erhebung dieser Daten erfolgt,
um Sie als Beteiligten, Kunden oder Bewerber identifizieren zu können;
um Ihr Anliegen angemessen bearbeiten zu können;
zur Dokumentation der ordnungsgemäßen Bearbeitung;
zur Korrespondenz mit Ihnen;
zur Rechnungsstellung;
zur Abwehr von evtl. vorliegenden Haftungsansprüchen sowie der Geltendmachung etwaiger Ansprüche.
Die Datenverarbeitung erfolgt auf Ihre Anfrage, Kontaktaufnahme oder Aufforderung zur Kontaktaufnahme hin und ist u.a. nach Art. 6 Abs. 1 S. 1 lit. b DSGVO zu den genannten Zwecken für die angemessene Bearbeitung und für die beidseitige Erfüllung von Verpflichtungen im Rahmen der Bearbeitung erforderlich. Die von uns erhobenen personenbezogenen Daten werden bis zu 3 ½ Jahren nach rechtskräftiger Beendigung des Vertrages gespeichert und danach gelöscht, es sei denn, dass wir nach Artikel 6 Abs. 1 S. 1 lit. c DSGVO aufgrund von steuer- und handelsrechtlichen Aufbewahrungs-und Dokumentationspflichten (aus HGB, StGB oder AO) zu einer längeren Speicherung verpflichtet sind oder Sie in eine darüber hinausgehende Speicherung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO eingewilligt haben.
Sofern Sie uns als Bewerber kontaktieren werden die Daten aufgrund des § 15 Abs. 4 AGG i.V.m. § 61 b Abs. 1 ArbGG 6 Monate nach dem Ende des Bewerbungsverfahrens gelöscht.
Routinemäßige Löschung und Sperrung von personenbezogenen Daten
Der für die Verarbeitung Verantwortliche verarbeitet und speichert personenbezogene Daten der betroffenen Person nur für den Zeitraum, der zur Erreichung des Speicherungszwecks erforderlich ist oder sofern dies durch den Europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber in Gesetzen oder Vorschriften, welchen der für die Verarbeitung Verantwortliche unterliegt, vorgesehen wurde.
Entfällt der Speicherungszweck oder läuft eine vom Europäischen Richtlinien- und Verordnungsgeber oder einem anderen zuständigen Gesetzgeber vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.
Rechte der betroffenen Person
Jede betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber eingeräumte Recht, von dem für die Verarbeitung Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Möchte eine betroffene Person dieses Bestätigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Ferner hat der Europäische Richtlinien- und Verordnungsgeber der betroffenen Person Auskunft über folgende Informationen zugestanden:
Ferner steht der betroffenen Person ein Auskunftsrecht darüber zu, ob personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden. Sofern dies der Fall ist, so steht der betroffenen Person im Übrigen das Recht zu, Auskunft über die geeigneten Garantien im Zusammenhang mit der Übermittlung zu erhalten.
Möchte eine betroffene Person dieses Auskunftsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner steht der betroffenen Person das Recht zu, unter Berücksichtigung der Zwecke der Verarbeitung, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen.
Möchte eine betroffene Person dieses Berichtigungsrecht in Anspruch nehmen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist:
Sofern einer der oben genannten Gründe zutrifft und eine betroffene Person die Löschung von personenbezogenen Daten, die bei uns gespeichert sind, veranlassen möchte, kann sie sich hierzu jederzeit an den Betreiber des für die Verarbeitung Verantwortlichen wenden. Er wird veranlassen, dass dem Löschverlangen unverzüglich nachgekommen wird.
Wurden die personenbezogenen Daten von uns öffentlich gemacht und sind wir als Verantwortliche gemäß Art. 17 Abs. 1 DSGVO zur Löschung der personenbezogenen Daten verpflichtet, so treffen wir unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um andere für die Datenverarbeitung Verantwortliche, welche die veröffentlichten personenbezogenen Daten verarbeiten, darüber in Kenntnis zu setzen, dass die betroffene Person von diesen anderen für die Datenverarbeitung Verantwortlichen die Löschung sämtlicher Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat, soweit die Verarbeitung nicht erforderlich ist.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
Sofern eine der oben genannten Voraussetzungen gegeben ist und eine betroffene Person die Einschränkung von personenbezogenen Daten, die bei uns gespeichert sind, verlangen möchte, kann sie sich hierzu jederzeit an uns als für die Verarbeitung Verantwortlichen wenden. Wir werden die Einschränkung der Verarbeitung veranlassen.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie hat außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DSGVO oder Art. 9 Abs. 2 Buchstabe a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Ferner hat die betroffene Person bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Art. 20 Abs. 1 DSGVO das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit an uns wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Buchstaben e oder f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Wir verarbeiten die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Verarbeiten wir personenbezogene Daten, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person uns gegenüber der Verarbeitung für Zwecke der Direktwerbung, so werden wir die personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.
Zudem hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung personenbezogener Daten, die bei uns zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DSGVO erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.
Zur Ausübung des Rechts auf Widerspruch kann sich die betroffene Person direkt jeden Mitarbeiter von uns oder einen anderen Mitarbeiter wenden. Der betroffenen Person steht es ferner frei, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft, ungeachtet der Richtlinie 2002/58/EG, ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, sofern die Entscheidung (1) nicht für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, oder (2) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder (3) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.
Ist die Entscheidung (1) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich oder (2) erfolgt sie mit ausdrücklicher Einwilligung der betroffenen Person, treffen wir angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.
Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend machen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das vom Europäischen Richtlinien- und Verordnungsgeber gewährte Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen.
Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann sie sich hierzu jederzeit an einen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Datenschutzbestimmungen zu Einsatz und Verwendung von Facebook
Der für die Verarbeitung Verantwortliche hat auf dieser Webseite Komponenten des Unternehmens Facebook integriert. Facebook ist ein soziales Netzwerk.
Ein soziales Netzwerk ist ein im Internet betriebener sozialer Treffpunkt, eine Online-Gemeinschaft, die es den Nutzern in der Regel ermöglicht, untereinander zu kommunizieren und im virtuellen Raum zu interagieren. Ein soziales Netzwerk kann als Plattform zum Austausch von Meinungen und Erfahrungen dienen oder ermöglicht es der Internetgemeinschaft, persönliche oder unternehmensbezogene Informationen bereitzustellen. Facebook ermöglicht den Nutzern des sozialen Netzwerkes unter anderem die Erstellung von privaten Profilen, den Upload von Fotos und eine Vernetzung über Freundschaftsanfragen.
Betreibergesellschaft von Facebook ist die Facebook, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA. Für die Verarbeitung personenbezogener Daten Verantwortlicher ist, wenn eine betroffene Person außerhalb der USA oder Kanada lebt, die Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland.
Durch jeden Aufruf einer der Einzelseiten dieser Webseite, die durch den für die Verarbeitung Verantwortlichen betrieben wird und auf welcher eine Facebook-Komponente (Facebook-Plug-In) integriert wurde, wird der Internetbrowser auf dem informationstechnologischen System der betroffenen Person automatisch durch die jeweilige Facebook-Komponente veranlasst, eine Darstellung der entsprechenden Facebook-Komponente von Facebook herunterzuladen. Eine Gesamtübersicht über alle Facebook-Plug-Ins kann unter https://developers.facebook.com/docs/plugins/?locale=de_DE
abgerufen werden. Im Rahmen dieses technischen Verfahrens erhält Facebook Kenntnis darüber, welche konkrete Unterseite unserer Webseite durch die betroffene Person besucht wird.
Sofern die betroffene Person gleichzeitig bei Facebook eingeloggt ist, erkennt Facebook mit jedem Aufruf unserer Webseite durch die betroffene Person und während der gesamten Dauer des jeweiligen Aufenthaltes auf unserer Webseite, welche konkrete Unterseite unserer Webseite die betroffene Person besucht. Diese Informationen werden durch die Facebook-Komponente gesammelt und durch Facebook dem jeweiligen Facebook-Account der betroffenen Person zugeordnet. Betätigt die betroffene Person einen der auf unserer Webseite integrierten Facebook-Buttons, beispielsweise den „Gefällt mir“-Button, oder gibt die betroffene Person einen Kommentar ab, ordnet Facebook diese Information dem persönlichen Facebook-Benutzerkonto der betroffenen Person zu und speichert diese personenbezogenen Daten.
Facebook erhält über die Facebook-Komponente immer dann eine Information darüber, dass die betroffene Person unsere Webseite besucht hat, wenn die betroffene Person zum Zeitpunkt des Aufrufs unserer Webseite gleichzeitig bei Facebook eingeloggt ist; dies findet unabhängig davon statt, ob die betroffene Person die Facebook-Komponente anklickt oder nicht. Ist eine derartige Übermittlung dieser Informationen an Facebook von der betroffenen Person nicht gewollt, kann diese die Übermittlung dadurch verhindern, dass sie sich vor einem Aufruf unserer Webseite aus ihrem Facebook-Account ausloggt.
Die von Facebook veröffentlichte Datenrichtlinie, die unter
https://de-de.facebook.com/about/privacy
abrufbar ist, gibt Aufschluss über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Facebook. Ferner wird dort erläutert, welche Einstellungsmöglichkeiten Facebook zum Schutz der Privatsphäre der betroffenen Person bietet. Zudem sind unterschiedliche Applikationen erhältlich, die es ermöglichen, eine Datenübermittlung an Facebook zu unterdrücken. Solche Applikationen können durch die betroffene Person genutzt werden, um eine Datenübermittlung an Facebook zu unterdrücken.
Unsere Website nutzt Plugins der Website YouTube. Betreiber der Seiten ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA.
Wir nutzen YouTube im erweiterten Datenschutzmodus. Dieser Modus bewirkt laut YouTube, dass YouTube keine Informationen über die Besucher auf dieser Website speichert, bevor diese sich das Video ansehen. Die Weitergabe von Daten an YouTube-Partner wird durch den erweiterten Datenschutzmodus hingegen nicht zwingend ausgeschlossen. So stellt YouTube – unabhängig davon, ob Sie sich ein Video ansehen – eine Verbindung zum Google DoubleClick-Netzwerk her.
Sobald Sie ein YouTube-Video auf unserer Website starten, wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird dem YouTube-Server mitgeteilt, welche unserer Seiten Sie besucht haben. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, ermöglichen Sie YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem YouTube-Account ausloggen.
Des Weiteren kann YouTube nach Starten eines Videos verschiedene Cookies auf Ihrem Endgerät speichern. Mit Hilfe dieser Cookies kann YouTube Informationen über Besucher unserer Website erhalten. Diese Informationen werden u. a. verwendet, um Videostatistiken zu erfassen, die Anwenderfreundlichkeit zu verbessern und Betrugsversuchen vorzubeugen. Die Cookies verbleiben auf Ihrem Endgerät, bis Sie sie löschen.
Gegebenenfalls können nach dem Start eines YouTube-Videos weitere Datenverarbeitungsvorgänge ausgelöst werden, auf die wir keinen Einfluss haben.
Die Nutzung von YouTube erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Weitere Informationen über Datenschutz bei YouTube finden Sie in deren Datenschutzerklärung unter: https://policies.google.com/privacy?hl=de.
Kontaktformular/ Rückrufformular/Kündigungsformular/Registrierung
Wenn Sie uns per Kontaktformular, Rückrufformular, Kündigungsformular oder über das Registrierungs-Formular Daten zukommen lassen, werden Ihre Angaben aus den Formularen inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung u.a. der Anfrage und für den Fall von Anschlussfragen bei uns und auf dem Webserver gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung der in den Formularen eingegebenen Daten erfolgt somit ausschließlich auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Die von Ihnen im Kontaktformular oder Rückrufformular eingegebenen Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z.B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
Auftragsdatenverarbeitung
Die Server unserers Providers Profihost AG stehen in Deutschland. Wir setzen damit die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von externen Servern vollständig um.
Analyse Tools und Werbung
Google Analytics
Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Google Analytics verwendet so genannte „Cookies“. Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.
Die Speicherung von Google-Analytics-Cookies erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.
IP-Anonymisierung
Wir haben auf dieser Website die Funktion IP-Anonymisierung aktiviert. Dadurch wird Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IPAdresse wird nicht mit anderen Daten von Google zusammengeführt.
Browser Plugin
Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch den Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.
Widerspruch gegen Datenerfassung
Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, der die Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren.
Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de.
Auftragsdatenverarbeitung
Wir haben mit Google einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen und setzen die strengen Vorgaben der deutschen Datenschutzbehörden bei der Nutzung von Google Analytics vollständig um.
Demografische Merkmale bei Google Analytics
Diese Website nutzt die Funktion “demografische Merkmale” von Google Analytics. Dadurch können Berichte erstellt werden, die Aussagen zu Alter, Geschlecht und Interessen der Seitenbesucher enthalten.
Diese Daten stammen aus interessenbezogener Werbung von Google sowie aus Besucherdaten von Drittanbietern. Diese Daten können keiner bestimmten Person zugeordnet werden. Sie können diese Funktion jederzeit über die Anzeigeneinstellungen in Ihrem Google-Konto deaktivieren oder die Erfassung Ihrer Daten durch Google Analytics wie im Punkt “Widerspruch gegen Datenerfassung” dargestellt generell untersagen.
Google Web Fonts
Diese Seite nutzt zur einheitlichen Darstellung von Schriftarten so genannte Web Fonts, die von Google bereitgestellt werden. Beim Aufruf einer Seite lädt Ihr Browser die benötigten Web Fonts in ihren Browsercache, um Texte und Schriftarten korrekt anzuzeigen.
Zu diesem Zweck muss der von Ihnen verwendete Browser Verbindung zu den Servern von Google aufnehmen. Hierdurch erlangt Google Kenntnis darüber, dass über Ihre IP-Adresse unsere Website aufgerufen wurde. Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Wenn Ihr Browser Web Fonts nicht unterstützt, wird eine Standardschrift von Ihrem Computer genutzt. Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerklärung von Google: https://www.google.com/policies/privacy/.
Google Maps
Diese Seite nutzt über eine API den Kartendienst Google Maps. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Zur Nutzung der Funktionen von Google Maps ist es notwendig, Ihre IP Adresse zu speichern. Diese Informationen werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Der Anbieter dieser Seite hat keinen Einfluss auf diese Datenübertragung. Die Nutzung von Google Maps erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote und an einer leichten Auffindbarkeit der von uns auf der Website angegebenen Orte. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.
Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Google: https://www.google.de/intl/de/policies/privacy/.
Amazon Cloudfront
Wir nutzen das Content Delivery Network (CDN) Amazon CloudFront von Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg (AWS), um die Sicherheit und die Auslieferungsgeschwindigkeit unserer Website zu erhöhen. Dies entspricht unserem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO). Ein CDN ist ein Netzwerk aus [weltweit] verteilten Servern, das in der Lage ist, optimiert Inhalte an den Websitenutzer auszuliefern. Für diesen Zweck können personenbezogene Daten in Server-Logfiles von AWS verarbeitet werden. Bitte vergleichen Sie die Ausführungen unter „Hosting“. [Zusätzlich bewahren wir [anonymisierte] Logfiles auf, um die Stabilität und Sicherheit unserer Website zu gewährleisten [optimieren].]
AWS ist Empfänger Ihrer personenbezogenen Daten und als Auftragsverarbeiter für uns tätig. Die entspricht unserem berechtigten Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f DSGVO, selbst kein Content Delivery Network zu betreiben.
Sie haben das Recht der Verarbeitung zu widersprechen. Ob der Widerspruch erfolgreich ist, ist im Rahmen einer Interessenabwägung zu ermitteln.
Die Verarbeitung der unter diesem Abschnitt angegebenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Die Funktionsfähigkeit der Website ist ohne die Verarbeitung nicht gewährleistet.
Ihre personenbezogenen Daten werden von AWS so lange gespeichert, wie es für die beschriebenen Zwecke erforderlich ist. [Wir löschen die gespeicherten Logfiles nach [ ] ].
Weitere Informationen zu Widerspruchs- und Beseitigungsmöglichkeiten gegenüber AWS finden Sie unter: https://d1.awsstatic.com/legal/privacypolicy/AWS_Privacy_Notice__German_Translation.pdf
AWS hat Compliance-Maßnahmen für internationale Datenübermittlungen umgesetzt. Diese gelten für alle weltweiten Aktivitäten, bei denen AWS personenbezogene Daten von natürlichen Personen in der EU verarbeitet. Diese Maßnahmen basieren auf den EU-Standardvertragsklauseln (SCCs). Weitere Informationen finden Sie unter: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf
Google – Google Reviews Widget
Auf unseren Seiten sind Funktionen des Dienstes Google Reviews eingebunden. Diese Funktionen werden angeboten durch die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Das Plugin Elfsight Google Review lädt die Bilder direkt von Google (*.googleusercontent.com). Alle weiteren Daten werden serverseitig gesammelt und zwischengespeichert. Wenn Sie als Besucher unserer Website die Inhalte laden, werden diese für das Google Review Widget aus dem Cache von Elfsight geladen. Während dieser Anfrage werden keine persönlichen Daten gesammelt. Sollten Sie mit Ihrem Google Account eingeloggt sein, können eventuell Informationen an den Anbieter Elfsight übermittelt werden.
Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Google: https://www.google.de/policies/privacy/.
Trustindex.io
Wir nutzen Trustindex.io auf dieser Website. Anbieter ist die Trustindex Ltd (“Trustindex”), Lechner Ödön fasor 3. A/2/3, 1095 Budapest, Hungary.
Mit Trustindex werden Bewertungen von Drittwebseiten, bei denen wir registriert sind, gesammelt und auf dieser Website gesammelt eingebettet. Trustindex.io verarbeitet dabei Informationen über das Suchverhalten und das sonstige Nutzerverhalten auf der Website, einschließlich der Gesamtzahl der Besuche auf der Website. Die Informationen werden jedoch nicht so verarbeitet, dass das Verhalten zu bestimmten Nutzern zurückverfolgt werden kann. Diese statistischen und nicht-personenbezogenen Informationen können an Dritte weitergegeben werden.
Weitere Informationen zu Trustindex.io entnehmen Sie den Nutzungsbedingungen und Datenschutzbestimmungen unter folgenden Link: https://www.trustindex.io/terms-and-conditions-and-privacy-policy/
Rechtsgrundlage der Verarbeitung
Art. 6 I lit. a DSGVO dient unserem Unternehmen als Rechtsgrundlage für Verarbeitungsvorgänge, bei denen wir eine Einwilligung für einen bestimmten Verarbeitungszweck einholen. Ist die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, wie dies beispielsweise bei Verarbeitungsvorgängen der Fall ist, die für eine Lieferung von Waren oder die Erbringung einer sonstigen Leistung oder Gegenleistung notwendig sind, so beruht die Verarbeitung auf Art. 6 I lit. b DSGVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zur unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 I lit. c DSGVO. In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies wäre beispielsweise der Fall, wenn ein Besucher in unserem Betrieb verletzt werden würde und daraufhin sein Name, sein Alter, seine Krankenkassendaten oder sonstige lebenswichtige Informationen an einen Arzt, ein Krankenhaus oder sonstige Dritte weitergegeben werden müssten. Dann würde die Verarbeitung auf Art. 6 I lit. d DSGVO beruhen.
Letztlich könnten Verarbeitungsvorgänge auf Art. 6 I lit. f DSGVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen. Solche Verarbeitungsvorgänge sind uns insbesondere deshalb gestattet, weil sie durch den Europäischen Gesetzgeber besonders erwähnt wurden. Er vertrat insoweit die Auffassung, dass ein berechtigtes Interesse anzunehmen sein könnte, wenn die betroffene Person ein Kunde des Verantwortlichen ist (Erwägungsgrund 47 Satz 2 DS-GVO).
Berechtigte Interessen an der Verarbeitung, die von dem Verantwortlichen oder einem Dritten verfolgt werden
Basiert die Verarbeitung personenbezogener Daten auf Artikel 6 I lit. f DSGVO ist unser berechtigtes Interesse die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und unserer Anteilseigner.
Dauer, für die die personenbezogenen Daten gespeichert werden
Das Kriterium für die Dauer der Speicherung von personenbezogenen Daten ist die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.
Gesetzliche oder vertragliche Vorschriften zur Bereitstellung der personenbezogenen Daten; Erforderlichkeit für den Vertragsabschluss; Verpflichtung der betroffenen Person, die personenbezogenen Daten bereitzustellen; mögliche Folgen der Nichtbereitstellung
Wir klären Sie darüber auf, dass die Bereitstellung personenbezogener Daten zum Teil gesetzlich vorgeschrieben ist (z.B. Steuervorschriften) oder sich auch aus vertraglichen Regelungen (z.B. Angaben zum Vertragspartner) ergeben kann.
Mitunter kann es zu einem Vertragsschluss erforderlich sein, dass eine betroffene Person uns personenbezogene Daten zur Verfügung stellt, die in der Folge durch uns verarbeitet werden müssen. Die betroffene Person ist beispielsweise verpflichtet uns personenbezogene Daten bereitzustellen, wenn unser Unternehmen mit ihr einen Vertrag abschließt. Eine Nichtbereitstellung der personenbezogenen Daten hätte zur Folge, dass der Vertrag mit dem Betroffenen nicht geschlossen werden könnte.
Vor einer Bereitstellung personenbezogener Daten durch den Betroffenen muss sich der Betroffene an einen unserer Mitarbeiter wenden. Unser Mitarbeiter klärt den Betroffenen einzelfallbezogen darüber auf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für den Vertragsabschluss erforderlich ist, ob eine Verpflichtung besteht, die personenbezogenen Daten bereitzustellen, und welche Folgen die Nichtbereitstellung der personenbezogenen Daten hätte.
BACKGROUND
(A) The Customer and Storeganise have entered into a services agreement, as set out inStoreganise’s Terms of Service available at https://storeganise.com/terms (Master Agreement)that involves Storeganise processing Personal Data on behalf of the Customer.
(B) This Data Processing Addendum (DPA) sets out the additional terms, requirements andconditions on which Storeganise will process Personal Data when providing services underthe Master Agreement.
AGREED TERMS
1. DEFINITIONS AND INTERPRETATION
The following definitions and rules of interpretation apply in this DPA.
1.1. DEFINITIONS
Business Purposes: the services described in the Master Agreement and any other purposespecifically identified in Annex A.
Controller: has the meaning given to it in section 6, DPA 2018 or Article 4(7) EU GDPR.
Customer: The user of Storeganise’s services and party to the Master Agreement.
Data Losses: any reasonably foreseeable damages or costs incurred by the Customer or anypenalties or fines imposed on the Customer by a Supervisory Authority, such damages, costs,penalties or fines being incurred or imposed as a direct result of Storeganise failing to complywith the Data Protection Legislation and/or its obligations under this DPA.
Data Protection Legislation: all applicable laws and regulations relating to the processing,protection, or privacy of the Personal Data, including where applicable, the guidance andcodes of practice issued by regulatory bodies in any relevant jurisdiction. This includes, but isnot limited to, the UK GDPR and the EU GDPR.
Data Subject: the identified or identifiable living individual to whom the Personal Datarelates.
EU GDPR: the General Data Protection Regulation ((EU) 2016/679).
EEA: the European Economic Area.
EU SCCs: the European Commission’s Standard Contractual Clauses for the transfer ofpersonal data to third countries pursuant to Regulation (EU) 2016/679 as set out in the Annex to Commission Implementing Decision (EU) 2021/914.
Parties: The Customer and Storeganise.
Personal Data: means any information relating to an identified or identifiable living individualthat is processed by Storeganise on behalf of the Customer as a result of, or in connectionwith, the provision of the services under the Master Agreement; an identifiable livingindividual is one who can be identified, directly or indirectly, in particular by reference to anidentifier such as a name, identification number, location data, an online identifier or to oneor more factors specific to the physical, physiological, genetic, mental, economic, cultural orsocial identity of the individual.
Processing, processes, processed, process: any activity that involves the use of the PersonalData. It includes, but is not limited to, any operation or set of operations which is performedon the Personal Data or on sets of the Personal Data, whether or not by automated means,such as collection, recording, organisation, structuring, storage, adaptation or alteration,retrieval, consultation, disclosure by transmission, dissemination or otherwise makingavailable, alignment or combination, restriction, erasure or destruction. Processing alsoincludes transferring the Personal Data to third-parties.
Personal Data Breach: a breach of security leading to the accidental, unauthorised orunlawful destruction, loss, alteration, disclosure of, or access to, the Personal Data.
Processor: a natural or legal person, public authority, agency or other body which processespersonal data on behalf of the Controller.
Records: has the meaning given to it in clause 12.
Standard Contractual Clauses: the EU SCCs and/or the UK SCCs as required.
Storeganise: Storeganise Limited incorporated and registered in Hong Kong SAR withcompany number 2252112 whose registered office is at Unit 1503 – 06, 15/F, Tower 1, EverGain Plaza, 88 Container Port Road, Kwai Chung, NT.
Supervisory Authority: the relevant supervisory authority in the territories where theCustomer is established, for example the United Kingdom’s Information Commissioner.
Term: this DPA’s term as defined in clause 10.
UK GDPR: Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April2016 on the protection of natural persons with regard to the processing of personal data andon the free movement of such data as it forms part of the law of England and Wales, Scotlandand Northern Ireland by virtue of section 3 of the European Union (Withdrawal) Act of 2018.
UK SCCs: the ICO’s International Data Transfer Agreement for the transfer of personal datafrom the United Kingdom.
1.2. This DPA is subject to the terms of the Master Agreement and is incorporated into the MasterAgreement. Interpretations and defined terms set forth in the Master Agreement apply to theinterpretation of this Agreement.
1.3. The applicable Annexes form part of this DPA and will have effect as if set out in full in thebody of this DPA. Any reference to this DPA includes the applicable Annexes.
1.4. A reference to writing or written includes email.
1.5. In the case of conflict or ambiguity between:(a) any provision contained in the body of this DPA and any provision contained in the
Annexes, the provision in the body of this DPA will prevail; and
(b) any of the provisions of this DPA and the provisions of the Master Agreement, theprovisions of this DPA will prevail.
(c) any provisions of this DPA and any executed EU SCCs or UK SCCs, where required, theprovisions of the EU SCCs or UK SCCs will prevail.
2. PERSONAL DATA TYPES AND PROCESSING PURPOSES
2.1. The Customer and Storeganise agree and acknowledge that for the purpose of the DataProtection Legislation:
(a) the Customer is the Controller and Storeganise is the Processor;
(b) the Customer retains control of the Personal Data and remains responsible for itscompliance obligations under the Data Protection Legislation, including but not limitedto, providing any required notices and obtaining any required consents, and for thewritten processing instructions it gives to Storeganise; and
(c) Annex A describes the subject matter, duration, nature and purpose of the processingand the Personal Data categories and Data Subject types in respect of whichStoreganise may process the Personal Data to fulfil the Business Purposes.
3. STOREGANISE’S OBLIGATIONS
3.1. Storeganise will only process the Personal Data to the extent, and in such a manner, as isnecessary for the Business Purposes in accordance with the Customer’s written instructions.Storeganise will not process the Personal Data for any other purpose or in a way that doesnot comply with this DPA or the Data Protection Legislation. Storeganise must notify promptlythe Customer if, in its opinion, the Customer’s instructions do not comply with the DataProtection Legislation.
3.2. Storeganise must comply promptly with any Customer written instructions requiringStoreganise to amend, transfer, delete or otherwise process the Personal Data, or to stop,mitigate or remedy any unauthorised processing.
3.3. Storeganise will maintain the confidentiality of the Personal Data and will not disclose thePersonal Data to third-parties unless the Customer or this DPA specifically authorises thedisclosure, or as required by domestic law, court or regulator (including a SupervisoryAuthority). If a domestic law, court or regulator (including a Supervisory Authority) requiresStoreganise to process or disclose the Personal Data to a third-party, Storeganise must firstinform the Customer of such legal or regulatory requirement and give the Customer anopportunity to object or challenge the requirement, unless the domestic law prohibits thegiving of such notice.
3.4. Storeganise will reasonably assist the Customer with meeting the Customer’s complianceobligations under the Data Protection Legislation, taking into account the nature ofStoreganise’s processing and the information available to Storeganise, including in relation toData Subject rights, data protection impact assessments and reporting to and consulting witha Supervisory Authority under the Data Protection Legislation.
4. STOREGANISE’S EMPLOYEES
4.1. Storeganise will ensure that all of its employees:
(a) are informed of the confidential nature of the Personal Data and are bound by writtenconfidentiality obligations and use restrictions in respect of the Personal Data;
(b) are aware both of Storeganise’s duties and their personal duties and obligations underthe Data Protection Legislation and this DPA.
4.2. Storeganise will take reasonable steps to ensure the reliability, integrity and trustworthinessof all of Storeganise’s staff with access to the Personal Data.
5. SECURITY
5.1. Storeganise must at all times implement appropriate technical and organisational measuresagainst accidental, unauthorised or unlawful processing, access, copying, modification,reproduction, display or distribution of the Personal Data, and against accidental or unlawfulloss, destruction, alteration, disclosure or damage of Personal Data including, but not limitedto, the security measures set out in Annex B.
5.2. Storeganise must implement such measures to ensure a level of security appropriate to therisk involved, including as appropriate:
(a) the pseudonymisation and encryption of personal data;
(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience ofprocessing systems and services;
(c) the ability to restore the availability and access to personal data in a timely manner inthe event of a physical or technical incident; and
(d) a process for regularly testing, assessing and evaluating the effectiveness of thesecurity measures.
6. PERSONAL DATA BREACH
6.1. Storeganise will immediately notify the Customer in writing if it becomes aware of:
(a) the loss, unintended destruction or damage, corruption, or un-useability of part or allof the Personal Data. Storeganise will restore as soon as possible such Personal Data;
(b) any accidental, unauthorised or unlawful processing of the Personal Data; or
(c) any Personal Data Breach.
6.2. Where Storeganise becomes aware of (a), (b) and/or (c) above, it will, without undue delay,also provide the Customer with the following written information:
(a) description of the nature of (a), (b) and/or (c), including the categories of in-scopePersonal Data and approximate number of both Data Subjects and the Personal Datarecords concerned;
(b) the likely consequences; and
(c) a description of the measures taken or proposed to be taken to address (a), (b) and/or(c), including measures to mitigate its possible adverse effects.
6.3. Immediately following any accidental, unauthorised or unlawful Personal Data processing orPersonal Data Breach, the Parties will co-ordinate with each other to investigate the matter.Further, Storeganise will reasonably co-operate with the Customer in the Customer’s handlingof the matter, including but not limited to:
(a) assisting with any investigation;
(b) providing the Customer with physical access to any facilities and operations affected;
(c) facilitating interviews with Storeganise’s employees, former employees and othersinvolved in the matter including, but not limited to, its officers and directors;
(d) making available all relevant records, logs, files, data reporting and other materialsrequired to comply with all Data Protection Legislation or as otherwise reasonably
required by the Customer; and
(e) taking reasonable and prompt steps to mitigate the effects and to minimise anydamage resulting from the Personal Data Breach or accidental, unauthorised orunlawful Personal Data processing.
6.4. Storeganise will not inform any third-party of any accidental, unauthorised or unlawfulprocessing of all or part of the Personal Data and/or a Personal Data Breach without firstobtaining the Customer’s written consent, except when required to do so by domestic law.
6.5. Storeganise agrees that the Customer has the sole right to determine whether to providenotice of the accidental, unauthorised or unlawful processing and/or the Personal DataBreach to any Data Subjects, a Supervisory Authority, other in-scope regulators, lawenforcement agencies or others, as required by law or regulation or in the Customer’sdiscretion, including the contents and delivery method of the notice. The Customer shall notoffer any remedy to affected Data Subjects without the prior written approval of Storeganise,such approval not to be unreasonably withheld or delayed.
6.6. The Customer will cover all reasonable expenses and time costs associated with theperformance of Storeganise’s obligations under Clause 6.1 to 6.3 inclusive unless the matterarose from Storeganise’s negligence, wilful default or breach of this DPA, in which caseStoreganise will cover all of its expenses and time costs.
6.7. Storeganise will also reimburse the Customer for actual reasonable expenses that theCustomer incurs when responding to an incident of accidental, unauthorised or unlawfulprocessing and/or a Personal Data Breach to the extent that Storeganise caused such anincident and/or Personal Data Breach, including all costs of notice and any remedy as set outin Clause 6.5.
7. CROSS-BORDER TRANSFERS OF PERSONAL DATA
7.1. If the Data Protection Legislation restricts cross-border transfers of Personal Data, theCustomer will only transfer that Personal Data to Storeganise under the following conditions:
(a) Storeganise, either through its location or participation in a valid cross-border transfermechanism under the requirements of the Data Protection Legislation, may legallyreceive that Personal Data;
(b) the Customer has obtained valid Data Subject consent to the transfer under DataProtection Legislation; or
(c) the Personal Data transfer is otherwise lawful pursuant to the Data ProtectionLegislation as applicable in the Customer’s jurisdiction.
7.2. If any Personal Data transfer between the Customer and Storeganise requires execution ofStandard Contractual Clauses, the Parties agree to be bound as follows:
(a) where the EU GDPR applies, the EU SCCs as modified by the information contained inAnnex C; or
(b) where the UK GDPR applies, the UK SCCs as modified by the information contained inAnnex D.
7.3. The Parties agree that this DPA incorporates by reference the EU SCCs or UK SCCs to theextent required to enable Personal Data to be transferred lawfully between the Parties inaccordance with the Data Protection Legislation.
7.4. If the Customer consents to appointment by Storeganise of a subcontractor located outsidethe United Kingdom or EEA in compliance with the provisions of clause 8, then the Customerauthorises Storeganise to enter into EU SCCs or UK SCCs as modified in Annex C and Annex D,where relevant, with the subcontractor on the Customer’s behalf. Storeganise will make theexecuted EU SCCs or UK SCCs available to the Customer on request.
7.5. Storeganise shall notify the Customer immediately in case of any conflict between the lawsand regulations in the jurisdictions in which it and any of its subcontractors operate and theData Protection Legislation.
8. SUBCONTRACTORS
8.1. In respect of any third party or subcontractor permitted to process the Personal Data inaccordance with this DPA, Storeganise may only authorise such third party or subcontractorto process the Personal Data if:
(a) the third party or subcontractor is listed in Annex A or the Customer is provided withan opportunity to object to the appointment of each new third party or subcontractorwithin 5 working days after Storeganise supplies the Customer with full details inwriting regarding such third party or subcontractor;
(b) Storeganise enters into a written contract with the third party or subcontractor thatcontains terms substantially the same as those set out in this DPA, in particular, inrelation to requiring appropriate technical and organisational data security measures,and, upon the Customer’s written request, provides the Customer with copies of suchcontracts;
(c) Storeganise maintains control over all Personal Data it entrusts to the relevant thirdparty or subcontractor; and
(d) the third party’s or subcontractor’s processing of the Personal Data will ceaseautomatically on termination of this DPA for any reason.
8.2. Where the Customer objects to the appointment of any new third party or subcontractorpursuant to clause 8.1(a), the Customer or Storeganise may terminate the Master Agreementwith immediate effect by giving written notice to the other party.
8.3. Where a third party or subcontractor fails to fulfil its obligations under its agreement withStoreganise, Storeganise remains fully liable to the Customer for the third party’s or thesubcontractor’s performance of its agreement obligations.
8.4. The Parties agree that Storeganise will be deemed by them to control legally any PersonalData controlled practically by or in the possession of its subcontractors or other third partiesthat it engages.
8.5. On the Customer’s written request, Storeganise will audit a relevant third party’s and/orsubcontractor’s compliance with its obligations regarding the Personal Data and provide theCustomer with the audit results.
9. COMPLAINTS, DATA SUBJECT REQUESTS AND THIRD-PARTY RIGHTS
9.1. Storeganise must, at no additional cost to the Customer, take such technical andorganisational measures as may be appropriate, and promptly provide such information tothe Customer as the Customer may reasonably require, to enable the Customer to complywith:
(a) the rights of Data Subjects under the Data Protection Legislation, including, but notlimited to, subject access rights, the rights to rectify, port and erase personal data,object to the processing and automated processing of personal data, and restrict theprocessing of personal data; and
(b) information or assessment notices served on the Customer by a Supervisory Authorityunder the Data Protection Legislation.
9.2. Storeganise must notify the Customer immediately in writing if it receives any complaint,notice or communication that relates directly or indirectly to the processing of the PersonalData or to either party’s compliance with the Data Protection Legislation.
9.3. Storeganise must notify the Customer immediately if it receives a request from a Data Subjectfor access to their Personal Data or to exercise any of their other rights under the DataProtection Legislation.
9.4. Storeganise will give the Customer, at the Customer’s cost, its full co-operation and assistancein responding to any complaint, notice, communication or Data Subject request.
9.5. Storeganise must not disclose the Personal Data to any Data Subject or to a third-party otherthan in accordance with the Customer’s written instructions, or as required by domestic law.
10. TERM AND TERMINATION
10.1. This DPA will remain in full force and effect so long as:
(a) the Master Agreement remains in effect; or
(b) Storeganise retains any of the Personal Data related to the Master Agreement in itspossession or control (Term).
10.2. Any provision of this DPA that expressly or by implication should come into or continue inforce on or after termination of the Master Agreement in order to protect the Personal Datawill remain in full force and effect.
10.3. If Storeganise fails to comply with the terms of this DPA the Customer may, without prejudiceto any other right or remedy available to it, terminate the Master Agreement immediately onwritten notice to Storeganise without further liability or obligation.
11. DATA RETURN AND DESTRUCTION
11.1. At the Customer’s request, Storeganise will give the Customer, or a third-party nominated inwriting by the Customer, a copy of or access to all or part of the Personal Data in itspossession or control in the format and on the media reasonably specified by Storeganise.
11.2. On termination of the Master Agreement for any reason or expiry of its term, Storeganise willsecurely delete or destroy or, if directed in writing by the Customer within 10 working days ofsuch date, return and not retain, all or any of the Personal Data related to this DPA in itspossession or control.
11.3. If any law, regulation, or government or regulatory body requires Storeganise to retain anydocuments, materials or Personal Data that Storeanise would otherwise be required to returnor destroy, it will notify the Customer in writing of that retention requirement, giving details ofthe documents, materials or Personal Data that it must retain, the legal basis for suchretention, and establishing a specific timeline for deletion or destruction once the retentionrequirement ends.
11.4. At the Customer’s request, Storeganise will certify in writing to the Customer that it hasdeleted or destroyed the Personal Data within five days after it completes the deletion ordestruction.
12. RECORDS
12.1. Storeganise will keep detailed, accurate and up-to-date written records regarding anyprocessing of Personal Data it carries out for the Customer, including but not limited to, theaccess, control and security of the Personal Data, approved subcontractors and affiliates, theprocessing purposes, categories of processing, any transfers of personal data to a thirdcountry and related safeguards, and a general description of the technical and organisational security measures referred to in Clause 5.1 (Records).
12.2. Storeganise will ensure that the Records are sufficient to enable the Customer to verifyStoreganise’s compliance with its obligations under this DPA and the Data ProtectionLegislation and Storeganise will provide the Customer with copies of the Records uponrequest.
12.3. The Customer and Storeganise must review the information listed in the Annexes to this DPAwhenever requested by the Customer to confirm its current accuracy and update it whenrequired to reflect current practices.
13. AUDIT
13.1. Storeganise will permit the Customer and its third-party representatives to audit Storeganise’scompliance with its obligations under this DPA, on at least 10 working days‘ notice, during theTerm. Storeganise will give the Customer and its third-party representatives all necessaryassistance to conduct such audits at the Customer’s cost. The assistance may include, but isnot limited to:
(a) physical access to, remote electronic access to, and copies of the Records and anyother information held at Storeganise’s premises or on systems storing the PersonalData;
(b) access to and meetings with any of Storeganise’s personnel reasonably necessary toprovide all explanations and perform the audit effectively; and
(c) inspection of all Records and the infrastructure, electronic data or systems, facilities,equipment or application software used to process the Personal Data.
13.2. The notice requirements in Clause 13.1 will not apply if the Customer reasonably believes thata Personal Data Breach has occurred or is occurring, or Storeganise is in material breach ofany of its obligations under this DPA or any of the Data Protection Legislation.
13.3. If a Personal Data Breach occurs or is occurring, or Storeganise becomes aware of a breach ofany of its obligations under this DPA or any of the Data Protection Legislation, Storeganisewill:
(a) immediately conduct its own audit to determine the cause;
(b) produce a written report that includes detailed plans to remedy any deficienciesidentified by the audit;
(c) provide the Customer with a copy of the written audit report; and
(d) remedy any deficiencies identified by the audit as soon as possible and in any eventwithin five working days.
13.4. At the Customer’s written request and cost, Storeganise will:
(a) conduct an information security audit;
(b) produce a written report that includes detailed plans to remedy any securitydeficiencies identified by the audit;
(c) provide the Customer with a copy of the written audit report; and
(d) remedy any deficiencies identified by the audit as soon as possible and in any eventwithin five working days.
14. WARRANTIES
14.1. Storeganise warrants and represents that:
(a) its employees, subcontractors, agents and any other person or persons accessing thePersonal Data on its behalf are reliable and trustworthy;
(b) it and anyone operating on its behalf will process the Personal Data in compliance withthe Data Protection Legislation and other laws, enactments, regulations, orders,standards and other similar instruments;
(c) it has no reason to believe that the Data Protection Legislation prevents it fromproviding any of the Master Agreement’s contracted services; and
(d) considering the current technology environment and implementation costs, it will takeappropriate technical and organisational measures to prevent the accidental,unauthorised or unlawful processing of Personal Data and the loss or damage to, thePersonal Data, and ensure a level of security appropriate to:
(i) the harm that might result from such accidental, unauthorised or unlawfulprocessing and loss or damage;
(ii) the nature of the Personal Data protected; and
(iii) comply with all applicable Data Protection Legislation and its information andsecurity policies, including the security measures required in Clause 5.1.
14.2. The Customer warrants and represents that Storeganise’s expected use of the Personal Datafor the Business Purposes and as specifically instructed by the Customer will comply with theData Protection Legislation.
15. LIMITATION OF LIABILITY
15.1. Nothing in this DPA will exclude, limit or restrict Storeganise’s liability for:
(a) death or personal injury caused by its negligence;
(b) fraud or fraudulent misrepresentation; or
(c) any other liability which may not be limited or excluded by law.
15.2. Subject to clause 15.1, Storeganise shall not be liable to the Customer for any of the followingloss or damage, in each case arising out of or in connection with this DPA (including withoutlimitation as a result of breach of contract, negligence or any other tort, under statute orotherwise), and regardless of whether Storeganise knew or had reason to know of thepossibility of the loss, injury or damage in question:
(a) any loss (whether direct or indirect) of revenue or profits;
(b) any loss (whether direct or indirect) of anticipated savings;
(c) any loss (whether direct or indirect) of goodwill or injury to reputation;
(d) any loss (whether direct or indirect) of business opportunity;
(e) any Data Losses (whether direct or indirect);
(f) any loss (whether direct or indirect) of or corruption to data, software or information;or
(g) indirect or consequential loss or damage.
15.3. Subject to Clauses 15.1 and 15.2 the aggregate liability of Storeganise (including its respectivepartners, officers, employees, contractors, directors, sub-contractors and agents) under or inconnection with this DPA whether in contract, tort (including negligence) or otherwise shall belimited to £100,000 (one hundred thousand pounds sterling).
16. NOTICE
16.1. Any notice or other communication given to a party under or in connection with this DPAmust be in writing and delivered to:
For Storeganise: Miles Davison, hello@storeganise.com.
For the Customer: The Customer’s point of contact at the details provided by the Customer.
16.2. Clause 16.1 does not apply to the service of any proceedings or other documents in any legalaction or, where applicable, any arbitration or other method of dispute resolution. This DPA has been entered into on the date the Master Agreement is executed.
ANNEX A: PERSONAL DATA PROCESSING PURPOSES AND DETAILS
Data controller: the Customer, at its principal place of business.Data controller’s contact information: the Customer’s contact information as provided by theCustomer to Storeganise.Data processor: Storeganise, at Unit 1503 – 06, 15/F, Tower 1, Ever Gain Plaza, 88 ContainerPort Road, Kwai Chung NT, Hong Kong SAR.Data processor’s contact information: Miles Davison, Director.Subject matter of processing: the performance of Storeganise’s duties under the MasterAgreement.Duration of Processing: for the term of the Master Agreement and for such time afterwards asrequired for the Parties to exercise their rights and obligations under clause 11.Nature of Processing: the processing of personal data to enable Storeganise to comply with itsduties under the Master Agreement.Business Purposes: to enable Storeganise to perform its duties under the Master Agreement.Personal Data Categories: identity data, contact details, login data and such other personaldata categories as relevant.Data Subject Types: clients or customers of the Customer and/or such clients’ or customers’staff and such other data subjects whose personal data is processed by Storeganise inconnection with the performance of its duties under the Master Agreement.
APPROVED SUBCONTRACTORS:
ANNEX B: SECURITY MEASURES
1. Storeganise shall have in place and comply with a security policy which:
(a) defines security needs based on a risk assessment;
(b) allocates responsibility for implementing the policy to a specific individual or membersof a team;
(c) is disseminated to all relevant staff; and
(d) provides a mechanism for feedback and review.
2. Storeganise shall ensure that appropriate security safeguards and virus protection are inplace to protect the hardware and software which is used in processing the Personal Data inaccordance with best industry practice.
3. Storeganise shall ensure that appropriate security safeguards are in place to preventunauthorised access to the Personal Data. Specifically:
(a) Network Security: all software utilised by Storeganise in the performance of itsobligations pursuant to the Master Agreement will have access controls and policies inplace to manage what access is allowed to such software.
(b) Electronic Access Control: Storeganise will put in place controls to limit access to thePersonal Data, including the encryption of data and authentication controls includingsecure passwords and two-factor authentication where available.
(c) Internal Access Control: Storeganise will restrict user permission rights in relation tothe access and amendment of data including no unauthorised alterations to PersonalData and will limit rights of access on a need only basis.
4. Storeganise shall ensure that its storage of Personal Data conforms with best industrypractice such that the media on which Personal Data is recorded (including paper records andrecords stored electronically) are stored in secure locations and access by personnel toPersonal Data is strictly monitored and controlled.
5. Storeganise shall have secure methods in place for the transfer of Personal Data whether inphysical form (for instance, by using couriers rather than post) or electronic form (for instance, by using encryption).
6. Storeganise shall take reasonable steps to ensure the reliability of employees or otherindividuals who have access to the Personal Data.
7. Storeganise shall ensure that any employees or other individuals required to access thePersonal Data are informed of the confidential nature of the Personal Data and comply withthe obligations set out in this Agreement.
8. Storeganise shall have in place methods for detecting and dealing with breaches of security(including loss, damage or destruction of Personal Data) including:
(a) the ability to identify which individuals have worked with specific Personal Data;
(b) having a proper procedure in place for investigating and remedying any Personal DataBreach;
(c) notifying the Customer as soon as any Personal Data Breach occurs;
(d) have a secure procedure for backing up data and storing back-ups separately fromoriginals;
(e) have a secure method of disposal of unwanted Personal Data including for back-ups,disks, print outs and redundant equipment; and
(f) adopt such organisational, operational and technological processes and procedures asare required to comply with the requirements of the Data Protection Legislation.
ANNEX C: EU SCCs
The EU SCCs (available here) for Module Two shall apply as follows:
1. The Customer is the data exporter and Storeganise is the data importer.
2. The optional clause 7 will not apply.
3. The optional subclause clause 11(a) will not apply.
4. Pursuant to clauses 17 and 18, the EU SCCs will be governed by the laws of the Republic ofIreland. The Courts of the Republic of Ireland will resolve any dispute arising out of the EUSCCs.
5. The information required in Annex I.A is contained in Annex A of this DPA.
6. The information required in Annex I.B is contained in Annex A of this DPA.
7. Pursuant to Annex I.C, the Competent Supervisory Authority is The Data ProtectionCommission of the Republic of Ireland.
8. The information required in Annex II is contained in Annex B of this DPA.
9. Annex III is not applicable.
ANNEX D: UK SCCs
The Approved International Data Transfer Agreement (IDTA), being the template IDTA A.1.0issued by the ICO and laid before Parliament in accordance with s. 119A of the DataProtection Act 2018 on 2 February 2022, as it is revised under section 5.4 of its MandatoryClauses (available here), shall apply as follows:Part 1:
1. Table 1: Parties and signatures
1.1. The start date is the date of the Master Agreement of this DPA by the Parties.
1.2. The Parties are set out in Annex A of this DPA.
2. Table 2: Transfer Details
2.1. England and Wales is the country’s law that governs the IDTA.
2.2. England and Wales is the primary place for legal claims to be made by the Parties.
2.3. The exporter is a controller.
2.4. The importer is the exporter’s processor.
2.5. The UK GDPR does not apply to the promoter’s processing of the Personal DATA.
2.6. The linked agreement is this DPA. The other agreement is the Master Agreement.
2.7. The Term of this DPA is the relevant time period.
2.8. The Parties cannot end the IDTA before the end of the Term unless there is a breach of theIDTA or the Parties agree in writing.
2.9. Neither party can end the IDTA pursuant to section 29.2.
2.10. The importer may transfer on Personal Data.
2.11. There are no specific restrictions on the transfer of Personal Data.
2.12. The Parties will review the IDTA each time there is a change to the Personal Data, thepurposes, the importer’s information, TRA or risk assessment.
3. Table 3: Transferred Data
3.1. The Personal Data processed is set out in Annex A of this DPA. These categories of PersonalData will update automatically if the information in the linked agreement is updated.
3.2. The special categories of Personal Data processed is set out in Annex A of this DPA. Thesecategories of Personal Data will update automatically if the information in the linkedagreement is updated.
3.3. The categories Data Subjects are set out in Annex A of this DPA. These categories of DataSubjects will update automatically if the information in the linked agreement is updated.
3.4. The purpose of the processing is set out in Annex A of this DPA. The purpose will updateautomatically if the information in the linked agreement is updated.
4. Table 4: Security Requirements
4.1. Refer to Annex B of this DPA.
Part 2: No extra protection clauses are adopted.Part 3: The commercial clauses are set out in this DPA.Part 4: The mandatory clauses are expressly incorporated by reference pursuant to clause 7.3of the DPA.
Bestehen einer automatisierten Entscheidungsfindung
Als verantwortungsbewusstes Unternehmen verzichten wir auf eine automatische Entscheidungsfindung oder ein Profiling.
Diese Datenschutzerklärung wurde zuletzt aktualisiert am 14.02.2023
Fon: +49 (0) 50218941805
E-Mail: info@nienbox.de
Nienburger Damm 3
31582 Nienburg/Weser
Schade, dass Sie uns verlassen möchten.