Dieser Zusatz zur Allgemeinen Datenschutzverordnung („DPA“) wird von und zwischen dem Kunden und Cvent, Inc. im Namen des Kunden und seinen hundertprozentigen Tochtergesellschaften (zusammen „Cvent“) abgeschlossen und ist Teil des/der zuvor zwischen dem Kunden und Cvent abgeschlossenen Dienstleistungsvertrags bzw. Verträge (der „Vertrag“), um die Vereinbarung der Parteien über die Verarbeitung personenbezogener Daten gemäß den Anforderungen der EU-Datenschutzgesetze widerzuspiegeln. Dieser DPA wird mit dem späteren der Daten unter den untenstehenden Unterschriften der Parteien abgeschlossen.
UMSETZUNG DIESES DPAS
Dieser DPA wurde im Namen der zuständigen Cvent-Einheiten vorab unterzeichnet. Wenn Cvent den ausgefüllten und unterschriebenen DPA wie unten angegeben erhält, wird dieser DPA zu einem rechtsverbindlichen Nachtrag zum Vertrag oder zur Bestellung des Kunden (wenn die unterzeichnende Kundeneinheit dieses DPA nur Aufträge ausgeführt hat, aber nicht Vertragspartei ist). Um diesen DPA zu einem Bestandteil des Vertrages bzw. einer Bestellung zu machen, muss der Kunde Folgendes tun:
(A) Vervollständigen Sie die Angaben im Unterschriftenblock dieses DPA und lassen Sie sich auf Seite 7 mit einem Unterschriftsberechtigten versehen.
(B) Wenn E-Signaturen in Ihrer Gerichtsbarkeit akzeptiert werden und Sie sich dafür entscheiden, den DPA über DocuSign auszuführen, folgen Sie den Anweisungen zur Bereitstellung der erforderlichen Informationen und E-Signatur wie oben beschrieben, und nach Auswahl von „Click to Sign“ am Ende wird das DPA ausgeführt und übermittelt. Alternativ kann der DPA wie oben beschrieben gedruckt, ausgefüllt und unterzeichnet und per E-Mail an Cvent zurückgesandt werden: privacy@cvent.com.
GELTUNGSBEREICH DIESES DPAS
(A) Wenn der unterzeichnende Kunde Vertragspartei ist, ist auch die entsprechende Cvent-Einheit Vertragspartei dieses DPAs.
(B) Wenn der unterzeichnende Kunde Aufträge im Rahmen des Vertrags ausgeführt hat, aber nicht Vertragspartei ist, wird dieser DPA in diese Bestellung(en) aufgenommen, und die Cvent-Einheit, die Vertragspartei dieses DPAs ist, wird Vertragspartei dieses DPAs sein.
(C) Dieser DPA ist nicht gültig und rechtsverbindlich, wenn die unterzeichnende Kundeneinheit nicht Partei des Vertrages oder der Bestellung(en) ist oder indirekter Kunde über einen autorisierten Wiederverkäufer ist. Ein indirekter Kunde sollte den autorisierten Wiederverkäufer über seinen Vertrag mit diesem Wiederverkäufer informieren.
DATENVERARBEITUNGSBEDINGUNGEN
Bei der Erbringung der Dienstleistungen für den Kunden gemäß der Vereinbarung kann Cvent personenbezogene Kundendaten im Namen des Kunden verarbeiten. Cvent wird die Bestimmungen dieser DPA in Bezug auf die Verarbeitung von personenbezogenen Kundendaten einhalten.
Großgeschriebene Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die gleiche Bedeutung wie im Vertrag.
1. DEFINITIONEN
1.1 Für die Zwecke dieses DPAs:
(a) „Affiliate(s)“ hat die gleiche Bedeutung, die ihm in der Vereinbarung zugeschrieben wird, und wenn sie nicht im Vertrag definiert ist, bedeutet der Begriff jede juristische Person, die direkt oder indirekt eine Kontrolle über eine Partei ausübt, die von einer Partei kontrolliert wird oder unter gemeinsamer Kontrolle mit einer Partei steht, wobei die Kontrolle das Eigentum an einer Mehrheitsbeteiligung an den Aktien, dem Kapital oder den Stimmrechten dieser Person bedeutet.
(b) „Verantwortlicher“ ist die Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
(c) „Kunde“ bezeichnet die Nicht-Cvent Partei, die sowohl den Vertrag als auch dieser DPA, die Zugang zu den Diensten hat.
(d) „Betroffener“ bezeichnet die Person, auf die sich personenbezogene Daten beziehen.
(e) „EU-Datenschutzgesetze“ bezeichnet (i) vor dem 25. Mai 2018 die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, einschließlich aller anwendbaren nationalen Umsetzungen davon; und (ii) am und nach dem 25. Mai 2018 die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („Allgemeine Datenschutzverordnung“ oder „GDPR“) in ihrer geänderten, ersetzten oder ersetzten Fassung sowie alle in den EU-Mitgliedstaaten geltenden Datenschutzgesetze und/oder -vorschriften.
(f) „Cvent“ bezeichnet das Cvent Unternehmen, das sowohl Vertragspartei als auch dieser DPA ist, das Cvent, Inc., eine im Staat Delaware eingetragene Gesellschaft oder ein Cvent Partnerunternehmen sein kann, einschließlich, aber nicht beschränkt auf das Folgende: Cvent Europe Limited, Lanyon Solutions UK Limited, and Starcite Limited.
(g) „Personenbezogene Daten“ sind alle personenbezogenen Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Identifikator oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind.
(h) „Persönliche Kundendaten“ sind alle personenbezogenen Daten, die der Kunde als Verantwortlicher oder gegebenenfalls (und in Übereinstimmung mit Abschnitt 3.1. unten), als Prozessor verarbeitet, wie in Anlage 1 beschrieben.
(i) „Privacy Shield“ bezeichnet einzeln und gemeinsam die Rahmenwerke für den Datenschutz der Europäischen Union und der Schweiz-Vereinigten Staaten, die vom US-Handelsministerium verwaltet und durchgesetzt werden.
(j) „Bearbeiter“ bezeichnet ein Unternehmen, das personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.
(k) „Unterauftragsverarbeiter“ bezeichnet jede Person, die von oder im Namen des Auftragsverarbeiters oder von oder im Namen eines bestehenden Unterauftragsverarbeiters mit der Verarbeitung personenbezogener Daten im Namen des für die Verarbeitung Verantwortlichen beauftragt wird.
(l) „Dienstleistungen“ bezeichnet die Software als Dienstleistung und die damit verbundenen professionellen Dienstleistungen, die Cvent dem Kunden im Rahmen des Vertrages anbietet.
(m) „Sicherheitsvorfall“ bedeutet versehentliche oder unrechtmäßige Zerstörung, Verlust, Änderung, unbefugte Offenlegung, Zugriff oder Nutzung.
2. ANWENDBARKEIT DES DPAS
2.1 Anwendbarkeit. Dieser DPA gilt nur, soweit der Kunde oder die Kundin im EWR oder in der Schweiz niedergelassen ist und/oder soweit Cvent personenbezogene Kundendaten von im EWR oder in der Schweiz niedergelassenen Personen im Namen des Kunden oder eines Kundenunternehmens verarbeitet oder anderweitig Kunden oder die Kundin den EU-Datenschutzgesetzen unterliegen.
3. ROLLEN UND VERANTWORTLICHKEITEN
3.1 Rollen der Parteien. Der Kunde als Verantwortlicher beauftragt Cvent als Bearbeiter, die personenbezogenen Daten des Kunden im Namen des Kunden zu verarbeiten. Unter bestimmten Umständen kann der Kunde ein Prozessor sein, in diesem Fall ernennt der Kunde Cvent zum Subprozessor des Kunden, was die Verpflichtungen des Kunden oder der Cvent aus diesem DPA nicht ändert, da Cvent in diesem Fall gegenüber dem Kunden ein Prozessor bleibt. Der Kunde ist jedoch verpflichtet, Cvent darüber zu informieren und auf dem Laufenden zu halten, ob Cvent im Zusammenhang mit bestimmten Verarbeitungstätigkeiten als Prozessor oder Unterprozessor tätig ist, und wenn dies der Fall ist, auch über die Identität des tatsächlichen Controllers
3.2 Zweckbegrenzung. Cvent verarbeitet personenbezogene Kundendaten zu den im Vertrag festgelegten Zwecken und nur in Übereinstimmung mit den gesetzlichen, dokumentierten Anweisungen des Kunden (einschließlich der Übermittlung personenbezogener Kundendaten in ein Drittland), es sei denn, Cvent ist aufgrund der EU-Datenschutzgesetze, denen Cvent unterliegt, zur Verarbeitung personenbezogener Kundendaten verpflichtet (in diesem Fall wird Cvent den Kunden vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, das geltende Recht verbietet diese Informationen). Die Anweisungen des Kunden können spezifisch oder allgemeiner Natur sein, wie in diesem DPA dargelegt oder vom Kunden Cvent von Zeit zu Zeit und nicht für eigene Zwecke mitgeteilt. Cvent kann von der Ausführung der Anweisung des Kunden absehen, wenn es den Kunden unverzüglich darüber informiert, dass eine vom Kunden erteilte Anweisung zur Verarbeitung personenbezogener Kundendaten nach Ansicht von Cvent gegen die EU-Datenschutzgesetze verstößt. Anhang 1 dieser Vereinbarung umfasst spezifischere Datenverarbeitungsinformationen, einschließlich der Kategorien der verarbeiteten personenbezogenen Kundendaten, der Verarbeitungsvorgänge und der Dauer der Verarbeitung durch Cvent. Der Zweck dieses Abschnitts 3.2. ist nur, den Umfang und die Zwecke der Verarbeitung personenbezogener Kundendaten durch Cvent festzulegen, und nichts in diesem DPA wird als Verpflichtung von Cvent angesehen, andere Anweisungen des Kunden als die im Vertrag vorgesehenen anzunehmen.
3.3 Schulung. Cvent stellt sicher, dass seine relevanten Mitarbeiter, Vertreter und Auftragnehmer eine angemessene Schulung in Bezug auf ihre Verantwortlichkeiten und Verpflichtungen in Bezug auf die Verarbeitung, den Schutz und die Vertraulichkeit von personenbezogenen Kundendaten erhalten.
3.4 Compliance. Der Kunde ist, unabhängig von der Rolle des Kunden als Controller oder Prozessor, dafür verantwortlich, dass er im Zusammenhang mit den personenbezogenen Daten des Kunden und den Dienstleistungen für Folgendes sorgt:
(a) Alle anwendbaren Gesetze zum Schutz der Privatsphäre und des Datenschutzes, einschließlich der EU-Datenschutzgesetze, werden eingehalten; und
(b) Er hat und wird weiterhin das Recht haben, die personenbezogenen Daten des Kunden an Cvent zur Verarbeitung in Übereinstimmung mit den Bedingungen des Vertrages und dieser DPA zu übertragen oder zugänglich zu machen.
3.5 Nutzt der Kunde die Dienste zur Verarbeitung von Kategorien personenbezogener Daten, die nicht ausdrücklich unter diesen DPA fallen, handelt der Kunde auf eigene Gefahr und Cvent ist nicht verantwortlich für mögliche Compliance-Mängel im Zusammenhang mit dieser Nutzung.
3.6 Persönliche Daten von Mitarbeitern/„Auftragnehmern“ der Veranstaltung. Wenn Cvent personenbezogene Daten von Cvent Mitarbeitern/Auftragnehmern an den Kunden weitergibt oder ein Cvent Mitarbeiter/Auftragnehmer dem Kunden direkt personenbezogene Daten zur Verfügung stellt, die der Kunde zur Verwaltung seiner Nutzung der Dienste verarbeitet, verarbeitet der Kunde diese personenbezogenen Daten in Übereinstimmung mit seinen Datenschutzrichtlinien und den geltenden Datenschutzgesetzen, insbesondere den EU-Datenschutzgesetzen. Solche Offenlegungen werden von Cvent nur dann vorgenommen, wenn sie für Zwecke der Vertragsverwaltung, des Dienstleistungsmanagements oder zu Sicherheitszwecken rechtmäßig sind.
4. SICHERHEIT
4.1 Sicherheit. Cvent wird geeignete technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten des Kunden vor einem Sicherheitsvorfall zu schützen, und zwar in Übereinstimmung mit den Sicherheitsstandards von Cvent, wie sie im Vertrag sowie mit den EU-Datenschutzgesetzen (einschließlich Artikel 32 des GDPR) festgelegt sind. Cvent wird den Kunden auch unter Berücksichtigung der Art der Verarbeitung und der Cvent zur Verfügung stehenden Informationen dabei unterstützen, die Einhaltung der Verpflichtungen gemäß Artikel 32 des GDPR sicherzustellen.
4.2 Vertraulichkeit der Verarbeitung. Cvent stellt sicher, dass jede Person, die sie zur Verarbeitung der personenbezogenen Daten des Kunden ermächtigt (einschließlich ihrer Mitarbeiter, Vertreter und Subunternehmer) einer Geheimhaltungspflicht (sei es eine vertragliche oder eine gesetzliche Verpflichtung) unterliegt, die über die Beendigung ihres Arbeits- und/oder Vertragsverhältnisses hinaus besteht.
4.3 Sicherheitsvorfälle. Nach Bekanntwerden eines bestätigten Sicherheitsvorfalls wird Cvent den Kunden unverzüglich und gemäß den Vertragsbedingungen benachrichtigen und ihm die Informationen zur Verfügung stellen, die er vernünftigerweise benötigt, um es ihm zu ermöglichen, die Meldepflichten für Datenschutzverletzungen nach den EU-Datenschutzgesetzen zu erfüllen. Cvent wird Maßnahmen ergreifen, um die Ursache eines solchen Sicherheitsvorfalls zu identifizieren und zu beheben und seinen möglichen Schaden zu minimieren. Um Zweifel auszuschließen, beinhalten Sicherheitsvorfälle keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit der personenbezogenen Daten des Kunden nicht gefährden, einschließlich, aber nicht beschränkt auf erfolglose Anmeldeversuche, Denial-of-Service-Angriffe und andere Angriffe auf Firewalls oder vernetzte Systeme.
5. WEITERLEITUNG; UNTERAUFBEREITUNG
5.1 Für den Fall, dass der Kunde personenbezogene Daten an Cvent überträgt und/oder Cvent routinemäßig personenbezogene Daten des Kunden im Rahmen des normalen Geschäftsbetriebs an sich selbst oder seine verbundenen Unternehmen überträgt und diese Überweisungen alle personenbezogenen Daten des Kunden umfassen, auf die die EU-Datenschutzgesetze Anwendung finden, erfolgen diese Überweisungen, wenn sie in die Vereinigten Staaten erfolgen, gemäß dem EU-US- und Swiss-US-Datenschutzprogramm. Transfers, die in Drittländer ohne eine Angemessenheitsentscheidung der Kommission mit Ausnahme der Vereinigten Staaten erfolgen, unterliegen angemessenen Garantien, die in den von der Kommission angenommenen Standarddatenschutzklauseln (EU-Standardvertragsklauseln (Prozessoren)) vorgesehen sind. Cvent behält seine Zertifizierung für den Privacy Shield so lange bei, wie es alle personenbezogenen Kundendaten unterhält, auf die die EU-Datenschutzgesetze Anwendung finden. Für den Fall, dass EU-Behörden oder Gerichte feststellen, dass der Privacy Shield keine geeignete Grundlage für Übertragungen ist, vereinbaren Cvent und Kunde, unverzüglich eine genehmigte EU-Standardvertragsklausel (Prozessoren) zur Regelung solcher Übertragungen auszuführen.
5.2 Für den Fall, dass EU-Behörden oder Gerichte feststellen, dass einer der oben genannten Übertragungsmechanismen keine angemessene Grundlage für Übertragungen mehr ist, werden Cvent und Kunde unverzüglich alle vernünftigerweise notwendigen Maßnahmen ergreifen, um einen angemessenen Schutz der personenbezogenen Daten des Kunden unter Verwendung eines anderen zugelassenen Verfahrens nachzuweisen. Cvent versteht und stimmt zu, dass der Kunde die Übertragungen bei Bedarf kündigen kann, um die EU-Datenschutzgesetze einzuhalten. Für den Fall, dass die Standardvertragsklauseln (oder ein anderer zugelassener Mechanismus, der die Übermittlung personenbezogener Daten zwischen der EU und den USA ermöglicht) anwendbar sind, ändert oder beeinträchtigt nichts in diesem DPA die Rechte einer Aufsichtsbehörde oder einer betroffenen Person aus den Standardvertragsklauseln (oder eines anderen zugelassenen Mechanismus).
5.3 Der Kunde stimmt zu, dass Cvent verbundene Unternehmen und Dritte als Unterauftragsverarbeiter beauftragen kann, die personenbezogenen Daten des Kunden im Namen von Cvent zu verarbeiten. Cvent stellt auf seinem Kundenportal und auf der folgenden Website eine Liste der Subprozessoren zur Verfügung, die derzeit von Cvent mit der Durchführung spezifischer Verarbeitungsaktivitäten im Auftrag des Kunden beauftragt werden. Cvent wird die Liste auf der folgenden Website aktualisieren: https://www.cvent.com/uk/gdpr/cvents-affiliates-and-subprocessors.shtmldie es dem Kunden ermöglicht, sich für den Erhalt von Benachrichtigungen über Änderungen anzumelden und dem Kunden die Möglichkeit gibt, diesen Subprozessoren oder Änderungen bezüglich der Ergänzung oder Ersetzung zu widersprechen. Ungeachtet der anderen Bestimmungen in diesem Abschnitt kann Cvent einen Unterauftragsverarbeiter sofort hinzufügen oder ersetzen, wenn es notwendig ist, um die Geschäftskontinuität und Wiederherstellung im Notfall zu gewährleisten, es sei denn, dies ist durch die EU-Datenschutzgesetze verboten.. Cvent wird diesen Unterauftragsverarbeitern Datenschutzbestimmungen auferlegen, die die personenbezogenen Daten des Kunden nach dem gleichen Standard schützen, der in dieser DPA vorgesehen ist, und haftet weiterhin für jede Verletzung der DPA durch einen Unterauftragsverarbeiter. Soweit die Standardvertragsklauseln anwendbar sind, wird Cvent die Standardvertragsklauseln mit diesem Unterauftragsverarbeiter abschließen oder andere genehmigte Mechanismen, einschließlich verbindlicher Unternehmensregeln oder eines alternativen anerkannten Compliance-Standards (z. B. Privacy Shield) für die rechtmäßige Übermittlung personenbezogener Daten (wie in der GDPR definiert) außerhalb des EWR nutzen.
6. ZUSAMMENARBEIT
6.1 Rechte der Datensubjekte. Cvent leistet wirtschaftlich angemessene Unterstützung, auch durch geeignete technische und organisatorische Maßnahmen, soweit dies vernünftigerweise durchführbar ist, damit der Kunde auf Anfragen, Mitteilungen oder Anfragen von Betroffenen reagieren kann, die ihre Rechte gemäß den EU-Datenschutzgesetzen ausüben wollen, einschließlich des Rechts auf Zugang, Berichtigung, Einschränkung, Widerspruch, Löschung oder Datenübertragbarkeit, soweit anwendbar. Für den Fall, dass eine solche Anfrage, Kommunikation oder Anfrage direkt an Cvent gerichtet wird, wird Cvent den Kunden unverzüglich unter Angabe der vollständigen Details der Anfrage informieren. Um Zweifel auszuschließen, ist der Kunde dafür verantwortlich, auf Anfragen der betroffenen Person nach Zugang, Korrektur, Einschränkung, Widerspruch, Löschung oder Übertragbarkeit der personenbezogenen Daten dieser Person zu reagieren. Cvent ist verantwortlich für die Beantwortung der Anfrage der betroffenen Person nach Zugang, Korrektur, Einschränkung, Widerspruch, Löschung oder Datenübertragbarkeit oder jeder anderen Anfrage einer betroffenen Person, die ihre Rechte nach den EU-Datenschutzgesetzen ausüben möchte, soweit der Kunde selbst nicht in der Lage ist, mit den verfügbaren Standardfunktionalitäten der Dienste auf diese Anfrage zu reagieren. Cvent behält sich das Recht vor, dem Kunden die angemessenen Kosten für Zeit, Ausgaben oder Gebühren, die im Zusammenhang mit der dem Kunden gewährten Unterstützung anfallen, zu erstatten.
6.2 Folgenabschätzungen zum Datenschutz und vorherige Konsultation. Cvent wird dem Kunden, soweit dies nach den EU-Datenschutzgesetzen erforderlich ist, angemessene Unterstützung bei Folgenabschätzungen zum Datenschutz oder vorherigen Konsultationen mit den Datenschutzbehörden gewähren, die der Kunde nach den EU-Datenschutzgesetzen durchführen muss.
7. SICHERHEITSBERICHTE UND AUDITS
7.1 Jede Bereitstellung von Sicherheitsbescheinigungsberichten (z. B. SOC 2, Typ II oder gleichwertiger Bericht) oder Audits muss in Übereinstimmung mit den Rechten des Kunden aus dem Vertrag erfolgen. Enthält der Vertrag keine Bestimmung über Sicherheitsbescheinigungsberichte, wird Cvent auf schriftliche Anfrage des Kunden nicht mehr als einmal jährlich eine Kopie seines aktuellsten Sicherheitsbescheinigungsberichts zur Verfügung stellen
7.2 Cvent wird Audits, einschließlich Inspektionen, die vom Kunden in Übereinstimmung mit den Rechten des Kunden aus dem Vertrag durchgeführt werden, ermöglichen und dazu beitragen. Wenn die Vereinbarung keine Prüfungsrechte enthält, werden Cvent und der Kunde im Voraus das angemessene Startdatum, den Umfang und die Dauer sowie die Sicherheits- und Vertraulichkeitskontrollen für jede Prüfung besprechen und vereinbaren; und Cvent behält sich das Recht vor, eine angemessene Gebühr (basierend auf den angemessenen Kosten von Cvent) für die einzelnen Prüfungen zu erheben. Cvent wird dem Kunden im Voraus weitere Einzelheiten zu den anwendbaren Gebühren und den Berechnungsgrundlagen mitteilen. Der Zweck einer Auditierung gemäß dieser Klausel beschränkt sich ausschließlich auf die Überprüfung, ob Cvent die personenbezogenen Daten des Kunden in Übereinstimmung mit den nachstehenden Verpflichtungen und den geltenden EU-Datenschutzgesetzen verarbeitet.
7.3 Ungeachtet dessen wird Cvent vorbehaltlich der Vertraulichkeitsvereinbarungen, die beide Parteien zufriedenstellen, dem Kunden alle Informationen zur Verfügung stellen, die Cvent besitzt, um die Einhaltung der Verpflichtungen aus den EU-Datenschutzgesetzen nachzuweisen. Wünscht der Kunde weitere Informationen, auf die er nach dem EU-Datenschutzgesetz Anspruch hat, so hat er Cvent schriftlich um zusätzliche Informationen zu bitten. Ist Cvent im Besitz dieser Informationen und unterliegt den vorgenannten Vertraulichkeitsvereinbarungen, wird Cvent diese Informationen dem Kunden so schnell wie möglich zur Verfügung stellen.
8. LÖSCHUNG ODER RÜCKGABE VON PERSONENBEZOGENEN KUNDENDATEN
8.1 Löschung oder Rückgabe von Daten. Nach Beendigung oder Ablauf des Vertrages wird Cvent in Übereinstimmung mit den Vertragsbedingungen alle relevanten personenbezogenen Kundendaten (einschließlich Kopien), die sich im Besitz von Cvent befinden, löschen oder dem Kunden zur Verfügung stellen, es sei denn, Cvent ist nach geltendem Recht oder einer behördlichen oder behördlichen Anordnung verpflichtet, einige oder alle personenbezogenen Kundendaten zu speichern, oder wenn es anderweitig einer Haftung für die Nichtbeachtung einiger oder aller personenbezogenen Kundendaten unterliegt. In diesem Fall wird Cvent den Schutz des Vertrages und dieses GDPR-Zusatzes auf diese Kundendaten ausdehnen und die weitere Verarbeitung dieser Kundendaten auf die begrenzten Zwecke beschränken, die die Speicherung erfordern, solange Cvent die Kundendaten pflegt.
9. DIVERSE
9.1 Für denFall, dass Cvent, einer seiner Unterauftragsverarbeiter oder der Kunde eine behördliche Anfrage, Bestellung oder eine andere verbindliche Entscheidung oder Empfehlung von der zuständigen Behörde erhält, die eine Änderung der Bestimmungen dieser Vereinbarung oder eine Änderung der Verarbeitung personenbezogener Kundendaten im Rahmen dieser Vereinbarung erfordert („behördliche Anfrage“), Cvent und der Kunde sowie, soweit erforderlich und/oder angemessen durchführbar, werden Vertreter eines jeweiligen Unterauftragsverarbeiters innerhalb einer angemessenen Frist nach Erhalt und Prüfung des Regulierungsantrags in gutem Glauben auf eine Einigung über einen Plan („Compliance Review Plan“) hin diskutieren und arbeiten, um die Einzelheiten festzulegen, wie der Regulierungsantrag behandelt werden kann. Zwischen den Parteien wird ein Zeitrahmen für die Überprüfung des Regulierungsantrags und die Ausarbeitung des Konformitätsüberprüfungsplans vereinbart, der den Anforderungen der EU-Datenschutzgesetze und der Dringlichkeit der AngelegenheitRechnung trägt und alles wirtschaftlich Sinnvolle unter Berücksichtigung der Umstände und der Art der Dienste unternimmt, um bestimmte Zeitrahmen einzuhalten, die von der zuständigen Behörde im Zusammenhang mit dem Regulierungsantrag festgelegt wurden. Wenn Cvent, einer seiner Unterauftragsverarbeiter oder der Kunde der Ansicht ist, dass es nicht möglich ist, einen bestimmten Zeitrahmen einzuhalten, der von der zuständigen Behörde im Zusammenhang mit dem Regulierungsantrag festgelegt wurde, wird Cvent und/oder sein Unterauftragsverarbeiter dem Kunden helfen, dies der zuständigen Behörde zu erklären, einschließlich der Angabe von Gründen, warum die Zeitrahmen nicht eingehalten werden können.
9.2 Mit Ausnahme der durch diesen DPA geänderten Fassung bleibt der Vertrag in vollem Umfang in Kraft.
9.3 Bei einem Konflikt zwischen dem Vertrag und diesem DPA gelten die Bedingungen dieses DPAs.
9.4 Alle Forderungen, die im Rahmen dieses DPAs eingebracht werden, unterliegen den Allgemeinen Geschäftsbedingungen, einschließlich, aber nicht beschränkt auf die in der Vereinbarung festgelegten Ausschlüsse und Beschränkungen.
Cvent, Inc |
Kunde: Klicken oder tippen Sie hier, um einen Text einzugeben. |
Von:
|
Von: |
Name in Druckbuchstaben: Lawrence Samuelson |
Name in Druckbuchstaben:Klicken oder tippen Sie hier, um einen Text einzugeben. |
Titel: General Counsel, Secretary |
Titel:Klicken oder tippen Sie hier, um einen Text einzugeben. |
Datum: Samstag, 5. Mai 2018 |
Datum:Klicken oder tippen Sie hier, um einen Text einzugeben. |
Anhang 1
Verarbeitungsinformationen zu personenbezogenen Daten
1. Gegenstand
Die Erbringung von Dienstleistungen für den Kunden durch Cvent.
2. Kategorien der betroffenen Personen
3. Kundenkunden (Teilnehmer, Einsender, Befragte, Mitarbeiter und Mitarbeiter des Kunden, RFP-Einsender, Geschäftskontakte des Kunden, aktuelle und potenzielle Kunden, Mitglieder, Marketingpartner oder andere Drittkontakte, die die Dienste zur Interaktion mit dem Kunden nutzen usw.).
4. Datenkategorien
Die personenbezogenen Daten betreffen die folgenden Datenkategorien:
* Grund- und Kontaktdaten: Name, Organisation, Titel, Postanschrift, E-Mail-Adresse, Telefonnummer, Faxnummer, Social-Media-Konto-ID, auch Kredit- oder Debitkartennummer oder andere Zahlungskontonummer, sowie die geltenden Ablaufdaten und Rechnungs- oder Lieferadressen;
* Nutzungsdaten: Browser- und Geräteinformationen, Betriebssystem, Gerätetyp, System- und Leistungsinformationen, App-Nutzungsdaten, Informationen, die durch Cookies, Pixel-Tags und andere Technologien gesammelt wurden, allgemeine geographische Lage;
* Weitere Daten über eine Person: Ernährungspräferenzen, Interessen, Aktivitäten, Alter, Geschlecht, Bildung und Beruf.
5. Besondere Datenkategorien (falls zutreffend)
Die personenbezogenen Daten betreffen die folgenden speziellen Datenkategorien (bitte angeben):
Es werden keine besonderen Datenkategorien verarbeitet. „Ernährungspräferenzen“ gelten nicht als Daten über die Gesundheit im Sinne dieses DPAs.
6. Dauer der Verarbeitung
Die Verarbeitung der personenbezogenen Daten erfolgt gemäß Ziffer 8.1 dieses DPAs.