Ab dem 16. September 2024 stützen wir uns bei der Nutzung der Google-Werbedienste durch unsere Kunden und Partner für die Übermittlung personenbezogener Daten aus der Schweiz bzw. dem Vereinigten Königreich in die Vereinigten Staaten unter bestimmten Umständen auf den Datenschutzrahmen zwischen der Schweiz und den Vereinigten Staaten sowie auf die Erweiterung des Datenschutzrahmens zwischen der EU und den Vereinigten Staaten für das Vereinigte Königreich. Unter bestimmten Umständen stützt sich Google seit dem 1. September 2023 für die Übermittlung personenbezogener Daten in die Vereinigten Staaten auf den Datenschutzrahmen zwischen der EU und den Vereinigten Staaten. Hier finden Sie weitere Informationen. Ab dem 16. September sind weitere Informationen auch hier verfügbar.

Datenverarbeitungsbedingungen zwischen Verantwortlichen für Google Werbeprodukte

Google und die andere Vertragspartei, die diesen Bedingungen zustimmt („Kunde“), haben einen Vertrag (in seiner jeweils gültigen Fassung) geschlossen, unter welchem Verantwortlichendienste erbracht werden (die „Vereinbarung“).

Diese Datenverarbeitungsbedingungen zwischen Verantwortlichen für Google Werbeprodukte (einschließlich des Anhangs „Verantwortlichen-Datenverarbeitungsbedingungen“) werden zwischen Google und dem Kunden abgeschlossen und ergänzen die Vereinbarung. Diese Verantwortlichen-Datenverarbeitungsbedingungen treten zum Wirksamkeitsdatum in Kraft und ersetzen alle vorherigen Vereinbarungen zu dem gleichen Regelungsgegenstand.

Wenn Sie diese Verantwortlichen-Datenverarbeitungsbedingungen stellvertretend für den Kunden abschließen, versichern Sie, dass Sie (a) rechtlich vollumfänglich dazu befugt sind, für den Kunden diese Verantwortlichen-Datenverarbeitungsbedingungen stellvertretend abzuschließen; (b) diese Verantwortlichen-Datenverarbeitungsbedingungen gelesen und verstanden haben und (c) für den von Ihnen vertretenen Kunden die Annahmeerklärung zum Abschluss dieser Verantwortlichen-Datenverarbeitungsbedingungen abgeben. Wenn Sie rechtlich nicht dazu befugt sind, für den Kunden rechtsverbindliche Erklärungen abzugeben, schließen Sie diese Verantwortlichen-Datenverarbeitungsbedingungen bitte nicht ab.

1. Einführung

Diese Verantwortlichen-Datenverarbeitungsbedingungen enthalten die Vereinbarung der Vertragsparteien über die Regelungen, die für die Verarbeitung personenbezogener Daten eines Verantwortlichen gelten.

2. Begriffsbestimmungen und Auslegung

2.1 In diesen Verantwortlichen-Datenverarbeitungsbedingungen gelten die folgenden Begriffsbestimmungen:

Anwendbare Datenschutzvorschriften” meint, je nach Anwerndbarkeit auf die Verarbeitung personenbezogener Daten eines Verantwortlichen, jegliche nationalen, föderalen, EU, bundesstaatlichen, regionalen oder sonstigen Gesetze oder Vorschriften zum Schutz der Privatsphäre, zur Datensicherheit oder zum Datenschutz, einschließlich europäische Datenschutzvorschriften, LGPD und Datenschutzgesetze von US-Bundesstaaten.

Betroffene Person eines Verantwortlichen“ meint eine betroffene Person, auf die sich personenbezogene Daten eines Verantwortlichen beziehen.

Datenschutzgesetze von US‑Bundesstaaten“ hat die Bedeutung wie unter business.safety.google/usdataprotectionlaws erläutert.

DSGVO“ bedeutet, je nach Anwendbarkeit, (a) die EU DSGVO und/oder (b) die UK DSGVO. „EU DSGVO“ bedeutet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

Europäische Datenschutzvorschriften“ meint, je nach Anwendbarkeit: (a) die DSGVO und/oder (b) das schweizerische Datenschutzgesetz.

Google“ bedeutet das Google-Gruppenunternehmen, das Vertragspartei der Vereinbarung ist.

Google-Gruppenunternehmen“ bedeutet Google LLC, Google Ireland Limited oder andere verbundene Unternehmen der Google LLC.

Letztverantwortlicher“ bedeutet für jede Vertragspartei der letztendlich Verantwortliche in Bezug auf die personenbezogenen Daten eines Verantwortlichen.

LGPD” meint das Brasilianische Allgemeine Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais).

Personenbezogene Daten eines Verantwortlichen“ bedeutet personenbezogene Daten, die durch eine der Vertragsparteien unter der Vereinbarung jeweils im Rahmen der Erbringung oder Nutzung der Verantwortlichendienste verarbeitet werden.

Schweizerisches Datenschutzgesetz“ meint das Bundesgesetz über den Datenschutz vom 19. Juni 1992 (Schweiz).

UK DSGVO“ meint die EU DSGVO in der geänderten und in das Recht des Vereinigten Königreichs übernommenen Fassung gemäß dem Gesetz über den Austritt des Vereinigten Königreichs aus der Europäischen Union 2018 (UK European Union (Withdrawal) Act 2018) sowie anwendbare sekundäre Vorschriften, welche unter diesem Gesetz erlassen wurden.

Verantwortlichendienste“ bedeutet die jeweils einschlägigen Dienste, die unter business.safety.google/adsservices aufgeführt sind.

Verbundenes Unternehmen“ bedeutet jede juristische Person, die eine Vertragspartei direkt oder indirekt kontrolliert, von einer der Vertragsparteien kontrolliert wird oder unter gemeinsamer Kontrolle mit einer der Vertragsparteien steht.

Wirksamkeitsdatum“ meint das Datum, an dem der Kunde im Rahmen eines „Click-to-Accept“-Verfahrens die Verantwortlichen-Datenverarbeitungsbedingungen abgeschlossen hat oder die Vertragsparteien anderweitig den vorliegenden Verantwortlichen-Datenverarbeitungsbedingungen zugestimmt haben.

Zusatzbedingungen“ meint die in Anhang 1 genannten zusätzlichen Bedingungen; diese stellen die Vereinbarung der Vertragsparteien über die Bedingungen für die Verarbeitung personenbezogener Daten eines Verantwortlichen im Zusammenhang mit bestimmten anwendbaren Datenschutzvorschriften dar.

2.2 Die Begriffe „Verantwortlicher“, „personenbezogene Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben in diesen Verantwortlichen-Datenverarbeitungsbedingungen jeweils dieselbe Bedeutung, die ihnen entweder (a) in anwendbaren Datenschutzvorschriften; oder (b) in Abwesenheit einer solche Bedeutung oder eines solchen Gesetzes in der DSGVO zugewiesen wird.

2.3 Formulierungen, die mit Worten wie „einschließlich“ oder mit einem ähnlichen Ausdruck beginnen, sind so auszulegen, dass diese Formulierungen nur illustrativ gemeint sind und sie die Bedeutung der davorstehenden Formulierungen nicht einschränken sollen. Etwaige in diesen Verantwortlichen-Datenverarbeitungsbedingungen angeführte Beispiele dienen nur der Veranschaulichung und sind nicht als ausschließliche Beispiele für ein bestimmtes Konzept gemeint.

2.4 Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren aktuellen Stand und der zum jeweiligen Zeitpunkt gültigen und ggf. geänderten oder überarbeiteten Fassung.

2.5 Soweit eine übersetzte Fassung dieser Verantwortlichen-Datenverarbeitungsbedingungen nicht mit der englischen Fassung übereinstimmt, hat die englische Fassung Vorrang.

3. Anwendbarkeit dieser Verantwortlichen-Datenverarbeitungsbedingungen

3.1 Allgemeines. Diese Verantwortlichen-Datenverarbeitungsbedingungen gelten nur für solche Verantwortlichendienste, für welche die Vertragsparteien diese Verantwortlichen-Datenverarbeitungsbedingungen abgeschlossen haben (zum Beispiel, für solche Verantwortlichendienste, (a) für die der Kunde diese Verantwortlichen-Datenverarbeitungsbedingungen mittels eines „Click-to-Accept“-Verfahrens abgeschlossen hat oder (b) auf die die Vereinbarung Anwendung findet, da diese Verantwortlichen-Datenverarbeitungsbedingungen einbezogen und zum Gegenstand der Vereinbarung gemacht werden).

3.2 Einbeziehung der Zusatzbedingungen. Die Zusatzbedingungen ergänzen diese Verantwortlichen-Datenverarbeitungsbedingungen.

4. Rollenverteilung und Beschränkungen der Verarbeitung

4.1 Unabhängige Verantwortliche. Vorbehaltlich Ziffer 4.3 (Letztverantwortliche) gilt für jede Vertragspartei, dass sie:

(a) ein unabhängiger Verantwortlicher für personenbezogene Daten eines Verantwortlichen ist,

(b) individuell die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten eines Verantwortlichen festlegt und

(c) verpflichtet ist, den Verpflichtungen nachzukommen, die für sie hinsichtlich der Verarbeitung von personenbezogenen Daten eines Verantwortlichen unter den anwendbaren Datenschutzvorschriften gelten.

4.2 Beschränkungen der Verarbeitung. Ziffer 4.1 (Unabhängige Verantwortliche) hat keine Auswirkungen auf die Rechte der jeweiligen Vertragspartei, die personenbezogenen Daten eines Verantwortlichen gemäß der Vereinbarung zu nutzen oder anderweitig zu verarbeiten.

4.3 Letztverantwortliche. Ohne die Verpflichtungen jeder Vertragspartei unter diesen Verantwortlichen-Datenverarbeitungsbedingungen zu verringern, erkennt jede Vertragspartei an, dass: (a) die verbundenen Unternehmen oder Kunden der anderen Vertragspartei gegebenenfalls Letztverantwortliche sind und (b) die andere Vertragspartei gegebenenfalls als Verarbeiter für ihren Letztverantwortlichen agiert. Jede Vertragspartei stellt sicher, dass ihre Letztverantwortlichen diese Verantwortlichen-Datenverarbeitungsbedingungen einhalten.

4.4 Transparenz. Der Kunde erkannt an, dass Google unter https://business.safety.google/privacy/ Informationen dazu veröffentlicht hat, wie Google Informationen von Webseiten, aus Apps und von anderen Properties, die Dienste von Google verwenden, nutzt. Unbeschadet der Verpflichtungen des Kunden nach Ziffer 4.1(c) kann der Kunde auf diese Webseite verlinken, um betroffenen Personen eines Verantwortlichen Information über die Verarbeitung von personenbezogenen Daten eines Verantwortlichen durch Google zur Verfügung zu stellen.

5. Haftung

Wenn die Vereinbarung den Gesetzen:

(a) eines Bundesstaates der Vereinigten Staaten von Amerika unterliegt, dann gilt, ungeachtet einer anderen Regelung in der Vereinbarung, für die Gesamthaftung der jeweiligen Vertragspartei unter oder in Verbindung mit diesen Verantwortlichen-Datenverarbeitungsbedingungen der summenmäßige Haftungshöchstbetrag, auf den die Haftung der jeweiligen Vertragspartei gemäß der Vereinbarung begrenzt ist (und gilt daher jegliche Ausnahme von Haftungsfreistellungsansprüchen aus der Haftungsbegrenzungsregelung der Vereinbarung nicht für Haftungsfreistellungsansprüche unter der Vereinbarung in Bezug auf die anwendbaren Datenschutzvorschriften) oder

(b) eines anderen Landes als dem eines Bundesstaates der Vereinigten Staaten von Amerika unterliegt, richtet sich die Haftung unter oder gemäß diesen Verantwortlichen-Datenverarbeitungsbedingungen nach den Haftungsbeschränkungen und -ausschlüssen der Vereinbarung.

6. Wirkung der Verantwortlichen-Datenverarbeitungsbedingungen

6.1 Geltungsreihenfolge. Im Fall eines Widerspruchs oder einer Abweichung zwischen Zusatzbedingungen, den übrigen Verantwortlichen-Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung gilt, vorbehaltlich Ziffer 4.2 (Beschränkungen der Verarbeitung) und Ziffer 6.2 (Keine Auswirkungen auf Bedingungen für Auftragsverarbeiter), die nachfolgende Geltungsreihenfolge:

(a) die Zusatzbedingungen (sofern anwendbar);

(b) die übrigen Verantwortlichen-Datenverarbeitungsbedingungen; und

(c) die übrige Vereinbarung.

6.2 Keine Auswirkungen auf Auftragsdatenverarbeitungsbedingungen. Diese Verantwortlichen-Datenverarbeitungsbedingungen haben keine Auswirkungen auf separate Vereinbarungen zwischen Google und dem Kunden, die eine Beziehung vom Typ „Verantwortlicher-an-Auftragsverarbeiter“, „Auftragsverarbeiter-an-Auftragsverarbeiter“ oder „Auftragsverarbeiter-an-Verantwortlicher“ für einen anderen Dienst als die Verantwortlichendienste widerspiegeln.

7. Änderungen dieser Verantwortlichen-Datenverarbeitungsbedingungen

7.1 Änderungen von URLs. Von Zeit zu Zeit kann Google jegliche URL, die in diesen Verantwortlichen-Datenverarbeitungsbedingungen referenziert sind, und den Inhalt, der über jegliche dieser URLs verfügbar ist, ändern, wobei Google nur dann berechtigt ist, die Auflistung der möglichen Verantwortlichendienste unter business.safety.google/adsservices zu ändern:

(a) um einer Umbenennung eines Dienstes Rechnung zu tragen;

(b)um einen neuen Dienst hinzuzufügen; oder

(c) um einen Dienst (oder ein Feature eines Dienstes) zu entfernen, jedoch nur für den Fall, dass (i) sämtliche Verträge über die Bereitstellung dieses Dienstes beendet wurden; (ii) Google dazu die Zustimmung des Kunden vorliegt; oder (iii) der Dienst oder ein bestimmtes Feature des Dienstes neu als Verarbeiterdienst eingestuft wurde.

7.2 Änderungen der Verantwortlichen-Datenverarbeitungsbedingungen. Google kann diese Verantwortlichen-Datenverarbeitungsbedingungen ändern, wenn eine solche Änderung:

(a)so stattfindet wie es in Ziffer 7.1 (Änderungen von URLs) beschrieben ist;

(b)eine Änderung des Namens oder der Form einer juristischen Person reflektiert;

(c) erforderlich ist, um anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde zu entsprechen, oder der Einführung einer alternativen Übermittlungslösung durch Google (wie in Anhang 1A definiert) Rechnung trägt; oder

(d)nicht anderweitig: (i) die Einordnung der Vertragsparteien in Übereinstimmung mit den anwendbaren Datenschutzvorschriften als Verantwortliche von personenbezogenen Daten eines Verantwortlichen ändert; (ii) hinsichtlich der Nutzung oder der sonstigen Verarbeitung der personenbezogenen Daten eines Verantwortlichen durch eine Vertragspartei den Umfang der Rechte einer Vertragspartei in Bezug auf (x) die Zusatzbedingungen, die in den Anwendungsbereich der Zusatzbedingungen fallenden Daten oder (y) die übrigen Verantwortlichen-Datenverarbeitungsbedingungen, Personenbezogene Daten eines Verantwortlichen, ändert oder Beschränkungen aufhebt; oder (iii) auch sonst keine erheblichen nachteiligen Auswirkungen auf die Rechte des Kunden hat (dies wird auf angemessene Weise durch Google bestimmt).

7.3 Benachrichtigung über Änderungen. Wenn Google beabsichtigt, diese Verantwortlichen-Datenverarbeitungsbedingungen gemäß Ziffer 7.2(c) zu ändern, und eine solche Änderung sich wesentlich nachteilig auf den Kunden auswirkt, was durch Google in angemessener Weise bestimmt wird, wird Google wirtschaftlich angemessene Maßnahmen ergreifen, um den Kunden mindestens 30 Tage (oder innerhalb einer kürzeren Frist, falls dies nach anwendbarem Recht, anwendbaren Vorschriften, aufgrund einer Gerichtsentscheidung oder Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde erforderlich ist) vor Wirksamwerden der Änderung im Voraus zu benachrichtigen. Wenn der Kunde einer Änderung widersprechen möchte, kann der Kunde die Vereinbarung durch schriftliche Mitteilung gegenüber Google innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über diese Änderung durch Google kündigen.

Anhang 1: Zusatzbedingungen für anwendbare Datenschutzvorschriften

TEIL A - ZUSATZBEDINGUNGEN FÜR EUROPÄISCHE DATENSCHUTZVORSCHRIFTEN

1. Einführung

Dieser Anhang 1A findet nur soweit Anwendung, wie die europäischen Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten eines Verantwortlichen Anwendung finden.

2. Definitionen

2.1 In diesem Anhang 1A gelten zusätzlich die folgenden Begriffsbestimmungen:

Alternative Übermittlungslösung“ meint eine andere Lösung als die Standardvertragsklauseln für Verantwortliche, die die rechtmäßige Übermittlung personenbezogener Daten in ein Drittland in Übereinstimmung mit den europäischen Datenschutzvorschriften ermöglicht, wie beispielsweise Rahmenbedingungen für Datenschutz, die anerkanntermaßen sicherstellen, dass teilnehmende Organisationen einen angemessenen Schutz bieten.

Angemessenes Land“ meint:

(a) für Daten, deren Verarbeitung dem Anwendungsbereich der EU-DSGVO unterfällt: den EWR oder ein Land oder Gebiet, das gemäß der EU-DSGVO als Land oder Gebiet anerkannt ist, das einen angemessenen Datenschutz bietet;

(b)für Daten, deren Verarbeitung dem Anwendungsbereich der UK-DSGVO unterfällt: das Vereinigte Königreich oder ein Land oder Gebiet, das gemäß der UK-DSGVO und dem Datenschutzgesetz 2018 (Data Protection Act 2018) als Land oder Gebiet anerkannt ist, das einen angemessenen Datenschutz bietet; und/oder

(c) für Daten, deren Verarbeitung dem Anwendungsbereich dem schweizerischen Datenschutzgesetz unterfällt: die Schweiz oder ein Land oder Gebiet, das (i) in der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten Liste der Staaten aufgeführt ist, deren Gesetzgebung ein angemessenes Datenschutzniveau gewährleistet, oder das (ii) vom Bundesrat der Schweiz gemäß dem schweizerischen Datenschutzgesetz als Land oder Gebiet anerkannt ist, das einen angemessenen Datenschutz bietet,

in jedem Fall, außer auf Basis von optionalen Rahmenbedingungen für Datenschutz.

Eingeschränkte europäische Übermittlung(en)“ meint eine oder mehrere Übermittlungen von personenbezogenen Daten eines Verantwortlichen, die: (a) dem Anwendungsbereich der europäischen Datenschutzvorschriften unterfallen; und (b) keine erlaubten europäischen Übermittlungen sind.

Erlaubte europäische Übermittlungen“ meint die Verarbeitung von personenbezogenen Daten eines Verantwortlichen in einem angemessenen Land oder die Übermittlung von personenbezogenen Daten eines Verantwortlichen an ein angemessenes Land.

Europäische personenbezogene Daten eines Verantwortlichen“ bedeutet personenbezogene Daten eines Verantwortlichen von betroffenen Personen, die im EWR oder der Schweiz ansässig sind.

Europäisches Recht“ meint, je nach Anwendbarkeit: (a) das Recht der Europäischen Union oder eines Mitgliedstaates der Europäischen Union (wenn die EU DSGVO auf die Verarbeitung von personenbezogenen Daten eines Verantwortlichen Anwendung findet); (b) das Recht des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs (wenn die UK DSGVO auf die Verarbeitung von personenbezogenen Daten eines Verantwortlichen Anwendung findet); und (c) das Recht der Schweiz (wenn das schweizerische Datenschutzgesetz auf die Verarbeitung von personenbezogenen Daten eines Verantwortlichen Anwendung findet).

EWR“ meint den Europäischen Wirtschaftsraum.

Google-Letztverantwortliche“ bedeutet die Letztverantwortlichen für die personenbezogenen Daten eines Verantwortlichen, die von Google verarbeitet werden.

Personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich“ bedeutet personenbezogene Daten eines Verantwortlichen von betroffenen Personen, die im Vereinigten Königreich ansässig sind.

Standardvertragsklauseln für Verantwortliche“ meint die Bedingungen unter business.safety.google/adscontrollerterms/sccs/c2c.

2.2Die Begriffe „Datenimporteur (data importer)“ und „Datenexporteur (data exporter)“ haben jeweils dieselbe Bedeutung, die ihnen in den Standardvertragsklauseln für Verantwortliche zugewiesen wird.

3. Google-Letztverantwortliche

Die Google-Letztverantwortlichen sind: (i) für von Google verarbeitete europäische personenbezogene Daten eines Verantwortlichen Google Ireland Limited; und (ii) für von Google verarbeitete personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich Google LLC. Jede Vertragspartei stellt sicher, dass ihre Letztverantwortlichen die Standardvertragsklauseln für Verantwortliche einhalten, soweit anwendbar.

4. Datenübermittlungen

4.1Eingeschränkte europäische Übermittlungen. Jede Vertragspartei kann eingeschränkte europäische Übermittlungen vornehmen, wenn sie dabei die Bestimmungen zu eingeschränkten europäischen Übermittlungen in den europäischen Datenschutzvorschriften einhält.

4.2 Alternative Übermittlungslösung.

(a)Wenn Google eine alternative Übermittlungslösung für eingeschränkte europäische Übermittlungen eingeführt hat und anwendet, dann: (i) stellt Google sicher, dass solche eingeschränkten europäischen Übermittlungen gemäß dieser alternativen Übermittlungslösung erfolgen; und (ii) gilt Paragraph 5 (Standardvertragsklauseln für Verantwortliche) dieses Anhangs 1A nicht für solche eingeschränkten europäischen Übermittlungen.

(b)Wenn Google keine alternative Übermittlungslösung für eingeschränkte europäische Übermittlungen einführt oder den Kunden darüber informiert, dass Google eine alternative Übermittlungslösung für eingeschränkte europäische Übermittlungen nicht länger anwendet, gilt Paragraph 5 (Standardvertragsklauseln für Verantwortliche) dieses Anhangs 1A für solche eingeschränkten europäischen Übermittlungen.

4.3 Regelungen zur Datenweiterübermittlung.

(a) Anwendung von Paragraph 4.3. Die Paragraphen 4.3(b) (Nutzung von personenbezogenen Daten eines Datenbereitstellers) und 4.3(c) (Schutz von personenbezogenen Daten eines Datenbereitstellers) dieses Anhangs 1A finden nur Anwendung, soweit:

(i)eine Vertragspartei (der „Datenempfänger”) personenbezogene Daten eines Verantwortlichen verarbeitet, die durch die andere Vertragspartei (der „Datenbereitsteller”) im Zusammenhang mit der Vereinbarung zur Verfügung gestellt wird (wobei solche personenbezogenen Daten eines Verantwortlichen nachfolgend „personenbezogene Daten eines Datenbereitstellers” genannt werden);

(ii)der Datenbereitsteller oder sein verbundenes Unternehmen für eine alternative Übermittlungslösung zertifiziert ist; und

(iii)der Datenbereitsteller den Datenempfänger schriftlich über eine solche Zertifizierung für eine alternative Übermittlungslösung benachrichtigt.

(b)Nutzung von personenbezogenen Daten eines Datenbereitstellers.

(i)Soweit eine anwendbare alternative Übermittlungslösung Datenweiterübermittlungsprinzipien einschließt, wird, gemäß solcher Weiterübermittlungsprinzipien, der Datenempfänger personenbezogene Daten eines Datenbereitstellers nur in einer Weise nutzen, die im Einklang mit der von der relevanten betroffenen Person gegebenen Einwilligung steht.

(ii)Soweit ein Datenbereitsteller die Einwilligung der relevanten betroffenen Person nicht einholt, wie dies nach der Vereinbarung erforderlich wäre, wird der Datenempfänger Paragraph 4.3(b)(i) nicht verletzen, wenn er personenbezogene Daten eines Datenbereitstellers im Einklang mit der erforderlichen Einwilligung nutzt.

(c)Schutz von personenbezogenen Daten eines Datenbereitstellers.

(i)Der Datenempfänger wird für ein Schutzniveau für personenbezogene Daten eines Datenbereitstellers sorgen, das mindestens gleichwertig zu dem nach der anwendbaren alternativen Übermittlungslösung erforderlichen Schutzniveau ist.

(ii)Falls der Datenempfänger feststellt, dass er Paragraph 4.3(c)(i) nicht einhalten kann, wird er: (A) den Datenbereitsteller schriftlich benachrichtigen; und (B) entweder die Verarbeitung der personenbezogenen Daten eines Datenbereitstellers beenden oder angemessene Schritte ergreifen, um eine solche Nichteinhaltung abzustellen.

(d)Einführung, Anwendung und Zertifizierung einer alternativen Übermittlungslösung. Informationen zu der Einführung und Anwendung von, oder Zertifizierung für, jegliche alternative Übermittlungslösung von Google und/oder seiner verbundenen Unternehmen sind unter https://business.safety.google/adsdatatransfers abrufbar. Dieser Paragraph 4.3(d) stellt die schriftliche Benachrichtigung im Sinne des Paragraphen 4.3(a)(iii) über die Zertifizierung von Google und/oder seiner verbundenen Unternehmen zum Zeitpunkt des Wirksamkeitsdatum dar.

5. Standardvertragsklauseln für Verantwortliche

5.1 Übermittlungen von europäischen personenbezogenen Daten eines Verantwortlichen an den Kunden. Soweit:

(a)Google europäische personenbezogene Daten eines Verantwortlichen an den Kunden übermittelt; und

(b)die Übermittlung eine eingeschränkte europäische Übermittlung darstellt, gelten die Standardvertragsklauseln für Verantwortliche als zwischen Kunde als Datenimporteur und Google Ireland Limited (der betreffende Letztverantwortliche) als Datenexporteur vereinbart und unterliegen die Übermittlungen den Standardvertragsklauseln für Verantwortliche.

5.2 Übermittlungen von personenbezogenen Daten eines Verantwortlichen aus dem Vereinigten Königreich an den Kunden. Soweit:

(a)Google personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich an den Kunden übermittelt; und

(b)die Übermittlung eine eingeschränkte europäische Übermittlung darstellt, gelten die Standardvertragsklauseln für Verantwortliche als zwischen Kunde als Datenimporteur und Google LLC (der betreffende Letztverantwortliche) als Datenexporteur vereinbart und unterliegen die Übermittlungen den Standardvertragsklauseln für Verantwortliche.

5.3 Übermittlungen von europäischen personenbezogenen Daten an Google. Die Vertragsparteien erkennen an, dass die Standardvertragsklauseln für Verantwortliche, soweit der Kunde europäische personenbezogene Daten eines Verantwortlichen an Google übermittelt, nicht erforderlich sind, da sich die Adresse von Google Ireland Limited (der betreffende Letztverantwortliche) in einem angemessenen Land befindet und entsprechende Übermittlungen erlaubte europäische Übermittlungen darstellen. Googles Verpflichtungen unter Paragraph 4.1 (Eingeschränkte europäische Übermittlungen) dieses Anhangs 1A bleiben hiervon unberührt.

5.4Übermittlungen von personenbezogenen Daten eines Verantwortlichen aus dem Vereinigten Königreich an Google. Soweit der Kunde personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich an Google übermittelt, gelten die Standardvertragsklauseln für Verantwortliche als zwischen Kunde als Datenexporteur und Google LLC (der betreffende Letztverantwortliche) als Datenimporteur vereinbart und unterliegen die Übermittlungen den Standardvertragsklauseln für Verantwortliche, da sich die Adresse von Google LLC nicht in einem angemessenen Land befindet.

5.5 Kontakt zu Google; Kundeninformationen.

(a)Der Kunde kann Google Ireland Limited und/oder Google LLC in Verbindung mit den Standardvertragsklauseln für Verantwortliche über https://support.google.com/policies/troubleshooter/9009584 oder auf anderem Weg, wie von Google eventuell von Zeit zur Zeit zur Verfügung gestellt, kontaktieren.

(b)Der Kunde erkennt an, dass Google gemäß den Standardvertragsklauseln für Verantwortliche zur Aufzeichnung bestimmter Informationen verpflichtet ist, einschließlich (i) der Identität und Kontaktinformationen des Datenimporteurs (einschließlich aller Kontaktpersonen mit Verantwortung für den Datenschutz); und (ii) der technischen und organisatorischen Maßnahmen, die vom Datenimporteur implementiert wurden. Demgemäß hat der Kunde diese Informationen Google auf Anfrage und soweit für ihn zutreffend zur Verfügung zu stellen. Dies hat über die von Google bereitgestellten Kontaktmöglichkeiten zu erfolgen. Der Kunde wird sicherstellen, dass alle bereitgestellten Informationen jederzeit richtig und aktuell sind.

5.6Reaktion auf Anfragen von Betroffenen. Der jeweilige Datenimporteur ist dafür verantwortlich, auf Anfragen von Betroffenen und Aufsichtsbehörden bezüglich der Verarbeitung der betreffenden personenbezogenen Daten eines Verantwortlichen durch den Datenimporteur zu reagieren.

5.7Löschung von Daten bei Kündigung. Soweit:

(a)Google LLC als Datenimporteur und der Kunde als Datenexporteur unter den Standardvertragsklauseln für Verantwortliche agieren; und

(b)der Kunde die Vereinbarung im Einklang mit Klausel 16(c) der Standardvertragsklauseln für Verantwortliche kündigt, weist der Kunde Google für die Zwecke der Klausel 16(c) der Standardvertragsklauseln für Verantwortliche an, personenbezogene Daten des Verantwortlichen zu löschen, und wird Google eine solche Löschung so schnell wie angemessenerweise praktikabel durchführen, soweit eine solche Löschung (unter Berücksichtigung der Stellung von Google als unabhängiger Verantwortlicher solcher Daten sowie der Art und Funktionalität der Verantwortlichendienste) angemessenerweise möglich ist.

6.Haftung im Falle der Anwendung der Standardvertragsklauseln für Verantwortliche.

Sofern die Standardvertragsklauseln für Verantwortliche nach Paragraph 5 (Standardvertragsklauseln für Verantwortliche) dieses Anhangs 1A Anwendung finden, dann richtet sich

(a)die gemeinsame Gesamthaftung von Google, Google LLC und Google Ireland Limited gegenüber dem Kunden und

(b)die Gesamthaftung des Kunden gegenüber Google, Google LLC und Google Ireland Limited.

unter oder in Verbindung mit der Vereinbarung und den Standardvertragsklauseln für Verantwortliche insgesamt nach Ziffer 5 (Haftung). Der vorgenannte Satz bleibt von Klausel 12 der Standardvertragsklauseln für Verantwortliche unberührt.

7.Drittbegünstigte

Sofern Google LLC und/oder Google Ireland Limited nicht Vertragspartei der Vereinbarung, jedoch gemäß Paragraph 5 (Standardvertragsklauseln für Verantwortliche) dieses Anhangs 1A eine Vertragspartei der betreffenden Standardvertragsklauseln für Verantwortliche sind, sind Google LLC und/oder Google Ireland Limited (je nachdem, was zutreffend ist) Drittbegünstigte bezüglich Ziffer 4.3 (Letztverantwortliche) und Paragraphen 3 (Google-Letztverantwortliche), 5 (Standardvertragsklauseln für Verantwortliche) und 6 (Haftung im Falle der Anwendung der Standardvertragsklauseln für Verantwortliche) dieses Anhangs 1A. Soweit dieser Paragraph 7 (Drittbegünstigte) mit einer anderen Klausel der Vereinbarung im Konflikt steht oder inkonsistent ist, findet dieser Paragraph 7 (Drittbegünstigte) Anwendung.

8. Geltungsreihenfolge

8.1Im Fall eines Widerspruchs oder einer Abweichung zwischen den Standardvertragsklauseln für Verantwortliche, diesem Anhang 1A und den übrigen Verantwortlichen-Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung, finden die Standardvertragsklauseln für Verantwortliche Anwendung.

8.2Weitere Geschäftsklauseln. Vorbehaltlich der in diesen Verantwortlichen-Datenverarbeitungsbedingungen enthaltenen Änderungen bleibt die Vereinbarung unberührt. Die Paragraphen 5.5 (Kontakt mit Google; Kundeninformationen) bis 5.7 (Löschung von Daten bei Kündigung) und Paragraph 6 (Haftung im Falle der Anwendung der Standardvertragsklauseln für Verantwortliche) dieses Anhangs 1A sind weitere Geschäftsklauseln, die sich auf die Standardvertragsklauseln für Verantwortliche beziehen, wie nach Klausel 2(a) (Wirkung und Unabänderbarkeit der Klauseln) der Standardvertragsklauseln für Verantwortliche erlaubt.

8.3Keine Änderung der Standardvertragsklauseln für Verantwortliche. Nichts in der Vereinbarung (einschließlich dieser Verantwortlichen-Datenverarbeitungsbedingungen) hat zum Ziel, die Standardvertragsklauseln für Verantwortliche zu ändern oder ihnen zu widersprechen oder die Grundrechte oder Grundfreiheiten betroffener Personen gemäß den europäischen Datenschutzvorschriften zu beeinträchtigen.

TEIL B - ZUSATZBEDINGUNGEN FÜR DATENSCHUTZGESETZE VON US-BUNDESSTAATEN

1. Einführung

Wie in unter business.safety.google/rdp abrufbarer Begleitdokumentation beschrieben (wie von Zeit zu Zeit aktualisiert), bietet Google möglicherweise im Zusammenhang mit eingeschränkter Datenverarbeitung bestimmte Einstellungen, Konfigurationen oder andere Funktionalitäten in den Verantwortlichendiensten an und aktiviert der Kunden diese möglicherweise („eingeschränkte Datenverarbeitung”). Dieser Anhang 1B reflektiert die Vereinbarung der Vertragsparteien bezüglich der Verarbeitung personenbezogener Daten des Kunden und deidentifizierten Daten (wie unten definiert) gemäß der Vereinbarung in Verbindung mit Datenschutzgesetzen von US-Bundesstaaten und ist nur soweit wirksam, wie das jeweilige Datenschutzgesetz eines US-Bundesstaates Anwendung findet.

2. Zusätzliche Definitionen und Auslegung

In diesem Anhang 1B gelten zusätzlich die folgenden Begriffsbestimmungen:

(a)Deidentifizierte Daten” meint Dateninformationen (data information), die „deidentifiziert deidentified)” (wie im CCPA definiert), und „de-identifizierte Daten (de-identified data)” (wie in anderen Datenschutzgesetzen von US-Bundesstaaten definiert), wenn diese von einer Vertragspartei gegenüber der anderen Vertragspartei offengelegt werden.

(b)Eingeschränkte-Datenverarbeitungsdienste” meint Verantwortlichendienste, die im Rahmen eingeschränkter Datenverarbeitung betrieben werden.

(c)Laufzeit” meint den Zeitraum vom Wirksamkeitsdatum bis zum Ende der Bereitstellung der Verantwortlichendienste durch Google unter der Vereinbarung.

(d)Weisungen” meint, gemeinsam, die Weisungen des Kunden an Google, personenbezogene Daten des Kunden nur gemäß den Datenschutzgesetzen von US-Bundesstaaten zu verarbeiten: (a) um die Eingeschränkte-Datenverarbeitungsdienste bereitzustellen und zugehörigen technischen Support zu erbringen; (b) wie näher spezifiziert mittels der Nutzung der Eingeschränkte-Datenverarbeitungsdienste durch den Kunden (einschließlich in den Einstellungen und anderen Funktionalitäten solcher Eingeschränkte-Datenverarbeitungsdienste) und der Nutzung von zugehörigem technischen Support durch den Kunden; (c) wie in der Vereinbarung, einschließlich dieses Anhangs 1B, dokumentiert; (d) wie weiter dokumentiert in sonstigen schriftlichen Weisungen, die vom Kunden erteilt und von Google als Weisungen im Sinne dieses Anhangs 1B anerkannt wurden; und (e) um personenbezogene Daten des Kunden wie nach Datenschutzgesetzen von US-Bundesstaaten für Diensteanbieter und Verarbeiter erlaubt zu verarbeiten.

(e)Personenbezogene Daten des Kunden” meint personenbezogene Daten, die von Google im Auftrag des Kunden im Zusammenhang mit der Bereitstellung von Verantwortlichendiensten verarbeitet werden.

(f) Die Begriffe „Unternehmen (business)”, „Verbraucher (consumer)”, „persönliche Informationen (personal information)”, „Verkäufe (sale(s))”, „verkaufen (sell)”, „Diensteanbieter (service provider)” und „teilen (share)”, wie in diesem Anhang 1B verwendet, haben jeweils dieselbe Bedeutung, die ihnen in den Datenschutzgesetzen von US-Bundesstaaten zugewiesen wird.

(g)Der Kunde ist allein für seine Einhaltung jedes Datenschutzgesetzes von US-Bundesstaaten im Zusammenhang mit seiner Nutzung von Google-Diensten, einschließlich eingeschränkter Verarbeitungen, haftbar.

3. Bestimmungen zu Datenschutzgesetzen von US-Bundesstaaten (bei eingeschränkter Datenverarbeitung)

Im Hinblick auf personenbezogene Daten des Kunden, die bei eingeschränkter Datenverarbeitung verarbeitet werden, und soweit eines oder mehrere Datenschutzgesetze von US-Bundesstaaten auf die Verarbeitung personenbezogener Daten des Kunden Anwendung finden gilt Folgendes:

3.1Verarbeitung von Daten.

3.1.1Rollenverteilung und Einhaltung von Rechtsvorschriften; Autorisierung.

(a)Verantwortlichkeiten von Verarbeiter und Verantwortlichem. Die Vertragsparteien bestätigen und vereinbaren, dass:

(i)Paragraph 7 (Gegenstand und Einzelheiten der Datenverarbeitung nach dem Gegenstand der Datenschutzgesetze von US-Bundesstaaten) dieses Anhangs 1B den Gegenstand und die Einzelheiten der Verarbeitung personenbezogener Daten des Kunden beschreibt;

(ii)Google ein Diensteanbieter und Auftragsverarbeiter (processor) personenbezogener Daten des Kunden gemäß der Datenschutzgesetze von US-Bundesstaaten ist;

(iii)der Kunde ein Verantwortlicher (controller) für oder Auftragsverarbeiter von (je nachdem, was anwendbar ist) personenbezogenen Daten des Kunden gemäß der Datenschutzgesetze von US-Bundesstaaten ist; und

(b)Kunden, die Auftragsverarbeiter sind. Sofern der Kunden ein Auftragsverarbeiter ist:

(i)sichert der Kunde auf kontinuierlicher Basis zu, dass der jeweilige Verantwortliche Folgendes genehmigt hat: (A) die Weisungen, (B) die Benennung von Google als weiteren Auftragsverarbeiter durch den Kunden und (C) die Beauftragung von Subunternehmern wie in Paragraph 3.6 (Subunternehmer) dieses Anhangs 1B beschrieben;

(ii)leitet der Kunde umgehend jede Mitteilung, die Google gemäß den Paragraphen 3.3.2(a) (Meldungen von Datenvorfällen) und 3.6 (Subunternehmer) zur Verfügung stellt, an den jeweiligen Verantwortlichen weiter; und

(iii)Der Kunde kann dem jeweiligen Verantwortlichen alle Informationen bereitstellen, die von Google gemäß den Paragraphen 3.3.2(c) (Meldungen an Dritte) und 3.6 (Subunternehmer) zur Verfügung gestellt werden.

3.1.2Weisungen des Kunden. Durch Zustimmung zu diesem Anhang 1B weist der Kunde Google an, personenbezogene Daten des Kunden in Übereinstimmung mit den Weisungen zu verarbeiten.

3.1.3Befolgung der Weisungen durch Google. Google wird die Weisungen befolgen, es sei denn, dies ist durch die Datenschutzgesetze von US-Bundesstaaten untersagt.

3.1.4 Zusatzprodukte. Wenn der Kunde jegliche von Google oder einem Dritten bereitgestellte Produkte, Dienste oder Anwendungen verwendet, (a) die nicht Bestandteil der Eingeschränkte-Datenverarbeitungsdienste sind; und (b) auf die zur Nutzung über die Benutzeroberfläche der Eingeschränkte-Datenverarbeitungsdienste zugegriffen werden kann oder die anderweitig mit den Eingeschränkte-Datenverarbeitungsdiensten integriert sind (ein „Zusatzprodukt”), können die Eingeschränkte-Datenverarbeitungsdienste diesen Zusatzprodukten den Zugriff auf personenbezogene Daten des Kunden ermöglichen, sofern dies für die Interaktion zwischen diesen Zusatzprodukten und den Eingeschränkte-Datenverarbeitungsdiensten erforderlich ist. Zur Klarstellung, dieser Anhang 1B gilt nicht für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Zusatzprodukten, die durch den Kunden genutzt werden, einschließlich für personenbezogene Daten, die von oder zu diesen Zusatzprodukten übermittelt werden.

3.2Löschung von Daten bei Ablauf der Laufzeit. Der Kunde weist Google an, sämtliche verbleibenden personenbezogenen Daten des Kunden (einschließlich aller existierenden Kopien) am Ende der Laufzeit gemäß den Vorgaben des anwendbaren Rechts aus den Systemen von Google zu löschen. Google wird dieser Weisung so früh wie es angemessen und praktikabel ist und spätestens nach einer Dauer von 180 Tagen Folge leisten, falls nicht anwendbares Recht eine Aufbewahrung vorschreibt.

3.3 Datensicherheit.

3.3.1Sicherheitsmaßnahmen und Hilfestellung durch Google.

(a)Googles Sicherheitsmaßnahmen. Google implementiert technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Kunden vor versehentlicher oder gesetzeswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff (die „Sicherheitsmaßnahmen“) und erhält diese aufrecht. Die Sicherheitsmaßnahmen beinhalten Maßnahmen: (i) zur Verschlüsselung personenbezogener Daten; (ii) die helfen, die Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Googles Systemen und Diensten fortwährend zu wahren bzw. sicherzustellen; (iii) die helfen, zeitgerecht den Zugang zu personenbezogenen Daten nach einem Vorfall wiederherzustellen; und (iv) um regelmäßig die Wirksamkeit zu testen. Google kann gelegentlich die Sicherheitsmaßnahmen aktualisieren oder anpassen, sofern eine solche Aktualisierung und Anpassung nicht zu einer Verschlechterung der Gesamtsicherheit der personenbezogenen Daten des Kunden führt.

(b)Zugriff und Compliance. Google ist verpflichtet, sicherzustellen, dass sich sämtliche Personen, die autorisiert sind, personenbezogene Daten des Kunden zu verarbeiten, zur Geheimhaltung verpflichtet haben oder entsprechenden gesetzlichen Geheimhaltungspflichten unterliegen.

(c)Hilfestellung durch Google. Google unterstützt den Kunden (unter Berücksichtigung der Art der jeweiligen Verarbeitung personenbezogener Daten des Kunden und der Informationen, die Google zur Verfügung stehen) bei der Einhaltung der Pflichten des Kunden (oder, falls der Kunde ein Auftragsverarbeiter ist, der Pflichten des jeweiligen Verantwortlichen) in Bezug auf die Sicherheit von personenbezogenen Daten und Verletzungen der Datensicherheit, einschließlich der Pflichten des Kunden (oder, falls der Kunde ein Auftragsverarbeiter ist, des jeweiligen Verantwortlichen) gemäß den der Datenschutzgesetze von US-Bundesstaaten, durch:

(i)Implementierung und Aufrechterhaltung von Sicherheitsmaßnahmen in Übereinstimmung mit Paragraph 3.3.1(a) (Googles Sicherheitsmaßnahmen);

(ii)Einhaltung der Regelungen in Paragraph 3.3.2 (Datenvorfälle); und

(iii)Einräumung der Rechte an den Kunden gemäß Paragraph 3.3.3(c) (Audit-Rechte des Kunden).

3.3.2Datenvorfälle.

(a)Meldung von Datenvorfällen. Falls Google Kenntnis von einem Datenvorfall (wie unten definiert) erlangen sollte, ist Google verpflichtet: (a) den Kunden unverzüglich den Datenvorfall zu melden; und (b) prompt angemessene Maßnahmen zur Schadensminimierung und Sicherung der personenbezogenen Daten des Kunden zu ergreifen. In diesem Anhang 1B meint „Datenvorfall” ein Sicherheitsvorkommnis bei Google, das zur/zum unabsichtlichen oder gesetzwidrigen Vernichtung, Verlust oder Änderung von personenbezogenen Daten des Kunden oder zur unautorisierten Offenlegung oder zum unautorisierten Zugriff auf diese führt, wobei dabei Systeme betroffen sind, die von Google verwaltet oder anderweitig von Google kontrolliert werden. Nicht unter den Begriff „Datenvorfall“ fallen erfolglose Zugriffsversuche oder ähnliche Ereignisse, die die Sicherheit der personenbezogenen Daten des Kunden nicht kompromittieren, wie etwa erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

(b)Übermittlung der Meldungen. Meldungen über Datenvorfälle wird Google an die E-Mail-Adresse senden, die vom Kunden über die Benutzeroberfläche des Eingeschränkte-Datenverarbeitungdienstes oder über andere von Google bereitgestellte Möglichkeiten angegeben wurde, um bestimmte Benachrichtigungen von Google zu diesem Anhang 1B zu erhalten („E-Mail-Adresse für Benachrichtigungen”), oder nach Googles Ermessen (z.B. falls der Kunde keine E-Mail-Adresse für Benachrichtigungen angegeben hat) mittels eines anderen direkten Kommunikationsmittels (z.B. mittels Telefon oder in einem persönlichen Treffen) übermitteln. Der Kunde trägt die alleinige Verantwortung, die E-Mail-Adresse für Benachrichtigungen zu benennen, und hat sicherzustellen, dass die E-Mail-Adresse für Benachrichtigungen stets aktuell und gültig ist.

(c)Meldungen an Dritte. Der Kunde trägt die alleinige Verantwortung, gesetzliche Vorgaben für Meldungen bei Vorfällen einzuhalten und entsprechenden Meldepflichten bei Datenvorfällen gegenüber Dritten nachzukommen.

(d) Kein Schuldanerkenntnis durch Google. Die Meldung eines Datenvorfalls durch Google bzw. die Reaktion auf einen Datenvorfall durch Google gemäß dieses Paragraphs 3.3.2 (Datenvorfälle) kann nicht dahingehend ausgelegt werden, dass Google dadurch bereits ein Verschulden einräumen oder die Haftung für den Datenvorfall anerkennen würde.

3.3.3 Verantwortlichkeit des Kunden für Sicherheit und Sicherheitsbewertung.

(a)Verantwortlichkeit des Kunden für Sicherheit. Unbeschadet der Verpflichtungen für Google gemäß Paragraphen 3.3.1 (Sicherheitsmaßnahmen und Hilfestellung von Google) und 3.3.2 (Datenvorfälle) stimmt der Kunde Folgendem zu:

(i)trägt der Kunde die Verantwortung für die Nutzung der Eingeschränkte-Datenverarbeitungsdienste, einschließlich: (1) die Eingeschränkte-Datenverarbeitungsdienste in angemessener Art und Weise zu nutzen, um ein Sicherheitsniveau sicherzustellen, das im Verhältnis zum Risiko im Hinblick auf die Verarbeitung personenbezogener Daten des Kunden angemessen ist; und (2) die Anmeldeinformationen für die Authentifizierung sowie der Systeme und Geräte, die der Kunde verwendet, um auf die Eingeschränkte-Datenverarbeitungsdienste zuzugreifen, zu schützen; und

(ii)ist Google nicht dafür verantwortlich, personenbezogene Daten des Kunden zu schützen, bei denen der Kunde entscheidet, diese außerhalb der Google-Systeme oder der Systeme der Google-Subunternehmer zu speichern oder zu übermitteln.

(b)Sicherheitsbewertung durch den Kunden. Der Kunde nimmt zur Kenntnis und stimmt zu, dass die von Google gemäß Paragraph 3.3.1(a) (Googles Sicherheitsmaßnahmen) umgesetzten und aufrechterhaltenen Sicherheitsmaßnahmen ein Sicherheitsniveau erreichen, das mit den Risiken in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden in einem angemessenen Verhältnis steht, jeweils unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung personenbezogener Daten des Kunden sowie der damit verbundenen Risiken für Einzelpersonen.

(c)Audit-Rechte des Kunden.

(i)Der Kunde kann ein Audit durchführen, um zu verifizieren, dass Google seinen Pflichten aus diesem Anhang 1B nachkommt, indem er Folgendes anfragt und überprüft: (1) ein (innerhalb von 12 Monaten ab dem Datum der Anfrage des Kunden zu überprüfendes) Zertifikat, das für eine Sicherheitsprüfung ausgestellt wurde und das Ergebnis eines Audits widerspiegelt, welches durch einen Drittprüfer durchgeführt wurde (z.B. SOC 2 Typ II oder ISO/IEC-27001-Zertifikat oder eine vergleichbare Zertifizierung oder andere Sicherheitszertifizierung eines Audits, welches durch einen unabhängigen Prüfer durchgeführt wurde, auf den sich der Kunde und Google geeinigt haben), und (2) jegliche andere Information, die nach Einschätzung von Google angemessenerweise für den Kunden erforderlich ist, um ein solches Nachkommen zu überprüfen.

(ii)Alternativ kann Google (nach eigenem Ermessen und in Erwiderung einer Anfrage durch den Kunden) ein Dritt-Audit initiieren, um zu verifizieren, dass Google seinen Pflichten aus diesem Anhang 1B nachkommt. Während eines solchen Audits wird Google dem unabhängigen Prüfer alle Informationen zur Verfügung stellen, die für den Nachweis eines solchen Nachkommens der Pflichten von Google erforderlich sind. Wenn der Kunde ein solches Audit anfragt, ist Google berechtigt, einen Ersatz der Kosten (basierend auf Googles angemessenen Aufwendungen) für jedes Audit zu verlangen. Vor jedem Audit wird Google dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage für die Berechnung dieser Kosten zur Verfügung stellen. Jegliche Kosten, die für die Beauftragung und Durchführung eines Audits durch einen unabhängigen Prüfer entstehen, den der Kunde beauftragt hat, sind allein vom Kunden zu tragen.

(iii)Google ist nach diesem Anhang 1B nicht verpflichtet, dem Kunden oder einem vom Kunden beauftragten unabhängigen Prüfer gegenüber das Folgende offenzulegen bzw. dem Kunden oder einem unabhängigen Prüfer zu gestatten, auf Folgendes zuzugreifen:

(1)Daten von irgendeinem anderen Kunden eines Google-Gruppenunternehmens;

(2)interne Daten des Rechnungswesens oder Finanzinformationen eines Google-Gruppenunternehmens;

(3)Geschäftsgeheimnisse eines Google-Gruppenunternehmens;

(4)Informationen, die nach Googles angemessener Einschätzung (A) die Sicherheit von Systemen oder Betriebsstätten eines Google-Gruppenunternehmens gefährden könnten oder (B) dazu führen könnten, dass ein Google-Gruppenunternehmen seine Pflichten unter den Datenschutzgesetzen von US-Bundesstaaten verletzt oder gegen seine Sicherheits- bzw. Datenschutzverpflichtungen gegenüber dem Kunden oder Dritten verstößt; oder

(5)Informationen, auf die der Kunde oder sein unabhängiger Prüfer aus treuwidrigen Gründen, die nicht zur Erfüllung der Verpflichtungen des Kunden gemäß den Datenschutzgesetzen von US-Bundesstaaten erforderlich sind, zugreifen möchten.

3.4Unterstützung bei Folgenabschätzungen. Google unterstützt den Kunden (unter Berücksichtigung der Art der Verarbeitung und der Informationen, die Google zur Verfügung stehen) bei der Erfüllung der Pflichten des Kunden (oder, falls der Kunde ein Auftragsverarbeiter ist, des jeweiligen Verantwortlichen) zu Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, einschließlich, soweit anwendbar, den Pflichten des Kunden oder des jeweiligen Verantwortlichen gemäß der Datenschutzgesetze von US-Bundesstaaten; durch Folgendes:

(a) Bereitstellung der Sicherheitsdokumentation;

(b) Bereitstellung der Informationen, die bereits in der Vereinbarung (einschließlich dieses Anhangs 1B) enthalten sind; und

(c) Bereitstellung oder anderweitige Zugänglichmachung in Übereinstimmung mit Googles Standardverfahren von anderen Materialien (zum Beispiel Hilfeartikel im Hilfe-Center) zur Art der Eingeschränkte-Datenverarbeitungsdienste oder der Verarbeitung von personenbezogenen Daten des Kunden.

3.5Rechte betroffener Personen.

3.5.1Beantwortung von Anfragen betroffener Personen. Wenn Google eine Anfrage von einer betroffenen Person hinsichtlich personenbezogener Daten des Kunden erhält, ermächtigt der Kunde Google zu Folgendem und wird hiermit von Google informiert, dass Google:

(a) direkt auf die Anfrage der betroffenen Person in Übereinstimmung mit den Standard-Funktionen eines Tools für betroffene Personen (soweit vorhanden) antworten wird, welches betroffenen Personen von einem Google-Unternehmen zur Verfügung gestellt wird und Google ermöglicht, direkt und in standardisierter Weise auf Anfragen von betroffenen Personen im Zusammenhang mit personenbezogenen Daten des Kunden zu antworten (z.B. Einstellungen für Onlinewerbung oder ein Opt-out-Browser-Plugin) („Tool für betroffene Personen”) (falls die Anfrage über das Tool für betroffene Personen gestellt wird); oder

(b) die betroffene Person bitten wird, ihre Anfrage an den Kunden zu übermitteln (falls die Anfrage nicht über ein Tool für betroffene Personen eingereicht wird); der Kunde trägt die alleinige Verantwortung für die Beantwortung einer solchen Anfrage.

3.5.2Unterstützung durch Google bei Anfragen betroffener Personen. Google unterstützt den Kunden bei der Erfüllung der Verpflichtungen des Kunden (oder, falls der Kunde ein Auftragsverarbeiter ist, des jeweiligen Verantwortlichen) gemäß den Datenschutzgesetzen von US-Bundesstaaten, auf Anfragen zu antworten, die die Ausübung der Rechte der betroffenen Personen betreffen, in allen Fällen unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Kunden, indem Google:

(a) die Funktionalitäten der Eingeschränkte-Datenverarbeitungsdienste bereitstellt;

(b) die in Paragraph 3.5.1 (Beantwortung von Anfragen betroffener Personen) festgelegten Verpflichtungen erfüllt; und

(c) Tools für betroffene Personen bereitstellt, soweit dies für die Eingeschränkte-Datenverarbeitungsdienste zutreffend ist.

3.5.3 Berichtigung. Wenn der Kunde feststellt, dass personenbezogene Daten des Kunden falsch oder nicht mehr aktuell sind, ist er dafür verantwortlich, diese Daten zu berichtigen oder zu löschen, sofern dies durch die Datenschutzgesetze von US-Bundesstaaten vorgeschrieben ist. Hierzu ist (soweit verfügbar) die entsprechende Funktion der Auftragsverarbeiterdienste zu verwenden.

3.6Subunternehmer.

(a) Der Kunde genehmigt generell, dass Google auch Dritte als Subunternehmer im Zusammenhang mit der Bereitstellung der Eingeschränkte-Datenverarbeitungsdienste beauftragen darf. Wenn Google Subunternehmer beauftragt, wird Google:

(i)durch schriftlichen Vertrag sicherstellen, dass: (1) der Subunternehmer nur auf personenbezogene Daten des Kunden in dem Umfang zugreift und diese nutzt, wie dies erforderlich ist, um seine Obliegenheiten, zu denen er im Wege der Unterauftragsvergabe verpflichtet ist, zu erfüllen und dies jeweils unter Einhaltung der Vereinbarung (einschließlich dieses Anhangs 1B) erfolgt; und (2) falls auf die Verarbeitung personenbezogener Daten des Kunden die Datenschutzgesetze von US-Bundesstaaten Anwendung finden, die Datenschutzpflichten in diesem Anhang 1B dem Subunternehmer auferlegt werden;

(ii) bei Beauftragung eines Subunternehmers, den Kunden über einen solchen neuen Subunternehmers benachrichtigen, soweit dies gemäß den Datenschutzgesetzen von US-Bundesstaaten erforderlich ist und dem Kunden zudem eine Möglichkeit zum Widerspruch gegen solche Subunternehmer einräumen, soweit dies gemäß den Datenschutzgesetzen von US-Bundesstaaten erforderlich ist; und

(iii) für sämtliche Obliegenheiten, die den Subunternehmern übertragen wurden, und für sämtliches Tun und Unterlassen ihrer Subunternehmer vollumfänglich haften.

(b) Der Kunde kann dem Einsatz eines neuen Subunternehmers widersprechen, indem er die Vereinbarung sofort ordentlich schriftlich kündigt; dies hat innerhalb von 90 Tagen nach Erhalt der Benachrichtigung über die Beauftragung des neuen Unterauftragsverarbeiters, wie in Paragraph 3.6(a) dieses Anhangs 1B beschrieben, zu erfolgen.

3.7Kontaktaufnahme mit Google. Der Kunde kann Google über die Möglichkeiten, die unter privacy.google.com/businesses/processorsupport aufgeführt sind bzw. über andere von Google ggf. dafür von Zeit zu Zeit bereitgestellte Möglichkeiten kontaktieren, um seine Rechte gemäß dieses Anhangs 1B auszuüben.

4. Bestimmungen zu Datenschutzgesetzen von US-Bundesstaaten

4.1Deidentifizierte Daten. Im Hinblick auf personenbezogene Daten des Kunden, die mit oder ohne aktivierte eingeschränkte Datenverarbeitung verarbeitet werden, und soweit ein oder mehrere Datenschutzgesetze von US-Bundesstaaten auf die Verarbeitung personenbezogener Daten des Kunden Anwendung finden, hält jede Vertragspartei die Anforderungen an die Verarbeitung von deidentifizierten Daten, die in den Datenschutzgesetzen von US-Bundesstaaten festgelegt sind, im Hinblick auf jegliche deidentifizierte Daten ein, die sie von der anderen Vertragspartei im Rahmen der Vereinbarung erhält. Für die Zwecke dieses Paragraphs 4.1 (Deidentifizierte Daten) meint personenenbezogene Daten des Kunden jegliche personenbezogene Daten, die von einer Vertragspartei unter dieser Vereinbarung im Zusammenhang mit ihrer Bereitstellung oder Nutzung der Verantwortlichendienste verarbeitet werden.

5. CCPA-Verpflichtungen von Google

5.1Im Hinblick auf personenbezogene Daten des Kunden, die unter eingeschränkter Datenverarbeitung verarbeitet werden, und soweit das CCPA auf eine solche Verarbeitung personenbezogener Daten des Kunden Anwendung findet, handelt Google als Diensteanbieter des Kunden und wird als solcher (soweit nicht anderweitig unter dem CCPA für Diensteanbieter erlaubt und wie von Google angemessen festgestellt) Folgendes tun:

(a)personenbezogene Daten des Kunden nicht verkaufen oder teilen, die Google vom Kunden im Zusammenhang mit der Vereinbarung erhält;

(b)personenbezogene Daten des Kunden (einschließlich außerhalb der direkten Geschäftsbeziehung zwischen Google und dem Kunden) nicht aufbewahren, nutzen oder offenlegen, außer für einen Geschäftszweck nach dem CCPA im Auftrag des Kunden und den bestimmten Zweck der Bereitstellung der Eingeschränkte-Datenverarbeitungsdienste, wie in unter business.safety.google/rdp abrufbarer Begleitdokumentation beschrieben (wie von Zeit zu Zeit aktualisiert);

(c)personenbezogene Daten des Kunden, die Google vom oder im Auftrags des Kunden erhält, nicht kombinieren mit (i) persönlichen Informationen (personal information), die Google von oder im Auftrag einer oder mehrerer anderer Personen erhält oder (ii) persönlichen Informationen, die aufgrund eigener Interaktion von Google mit einem Verbraucher erhoben werden, wie in unter business.safety.google/rdp abrufbarer Begleitdokumentation beschrieben (wie von Zeit zu Zeit aktualisiert), außer soweit unter dem CCPA erlaubt;

(d)solche personenbezogene Daten des Kunden für den bestimmten Zweck der Bereitstellung der Eingeschränkte-Datenverarbeitungsdienste verarbeiten, wie in der Vereinbarung und unter business.safety.google/rdp abrufbarer Begleitdokumentation (z.B. Hilfeartikel im Hilfe-Center) beschrieben (wie von Zeit zu Zeit aktualisiert), oder wie anderweitig unter dem CCPA erlaubt, und die Vertragsparteien stimmen zu, dass der Kunde Google solche personenbezogenen Daten des Kunden für solche Zwecke zur Verfügung stellt;

(e)Audits erlauben, um zu verifizieren gemäß Paragraph 3.3.3(c) (Audit-Rechte des Kunden) dieses Anhangs 1B, dass Google seinen Pflichten aus diesem Anhang 1B nachkommt;

(f)wird den Kunden benachrichtigen, wenn Google zu der Einschätzung gelangt, dass Google seine Verpflichtungen aus dem CCPA nicht länger einhalten kann. Dieser Paragraph 5.1(f) schränkt die in anderen Teilen der Vereinbarung niedergelegten Rechte und Pflichten beider Vertragsparteien nicht ein;

(g)sofern der Kunde angemessener Weise annimmt, dass Google personenbezogene Daten des Kunden in einer nicht genehmigten Art verarbeitet, hat der Kunde das Recht, Google über eine solche Annahme über die unter privacy.google.com/businesses/processorsupport beschriebenen Methoden zu informieren und die Vertragsparteien werden in gutem Glauben zusammenarbeiten, um den behaupteten verletzenden Verarbeitungstätigkeiten abzuhelfen (sofern erforderlich); und

(h)wird die anwendbaren Verpflichtungen aus dem CCPA einhalten und das gleiche Schutzniveau bereitstellen, wie vom CCPA gefordert.

5.2 Im Hinblick auf personenbezogene Daten des Kunden, die ohne aktivierte eingeschränkte Datenverarbeitung verarbeitet werden und soweit das CCPA auf die Verarbeitung von personenbezogenen Daten des Kunden Anwendung findet, wird Google Folgendes tun:

(a)personenbezogene Daten des Kunden für den bestimmten Zweck der Bereitstellung der Verantwortlichendienste verarbeiten, wie in der Vereinbarung und unter business.safety.google/rdp abrufbarer Begleitdokumentation (z.B. Hilfeartikel im Hilfe-Center) beschrieben (wie von Zeit zu Zeit aktualisiert), oder wie anderweitig unter dem CCPA erlaubt, und die Vertragsparteien stimmen zu, dass der Kunde Google solche personenbezogenen Daten des Kunden für solche Zwecke zur Verfügung stellt;

(b)Audits erlauben, um Googles Einhaltung seiner Verpflichtungen aus diesem Anhang 1B gemäß Paragraph 3.3.3(c) (Audit-Rechte des Kunden) dieses Anhangs 1B zu überprüfen;

(c)wird den Kunden benachrichtigen, wenn Google zu der Einschätzung gelangt, dass Google seine Verpflichtungen aus dem CCPA nicht länger einhalten kann. Dieser Paragraph 5.1(f) schränkt die in anderen Teilen der Vereinbarung niedergelegten Rechte und Pflichten beider Vertragsparteien nicht ein;

(d)sofern der Kunde angemessener Weise annimmt, dass Google personenbezogene Daten des Kunden in einer nicht genehmigten Art verarbeitet, hat der Kunde das Recht, Google über eine solche Annahme über die unter privacy.google.com/businesses/processorsupport beschriebenen Methoden zu informieren und die Vertragsparteien werden in gutem Glauben zusammenarbeiten, um den behaupteten verletzenden Verarbeitungstätigkeiten abzuhelfen (sofern erforderlich); und

(e)wird die anwendbaren Verpflichtungen aus dem CCPA einhalten und das gleiche Schutzniveau bereitstellen, wie vom CCPA gefordert.

6. Änderungen dieses Anhangs 1B

Zusätzlich zu Ziffer 7 (Änderungen dieser Verantwortlichen-Datenverarbeitungsbedingungen) kann Google diesen Anhang 1B (soweit anwendbar) ohne Benachrichtigung ändern, sofern die Änderung (a) auf anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde basiert oder (b) nach den Datenschutzgesetzen von US-Bundesstaaten keine negativen nachteiligen Auswirkungen auf den Kunden hat (wie von Google in angemessener Weise festgestellt).

7. Gegenstand und Einzelheiten der Datenverarbeitung nach dem Gegenstand der Datenschutzgesetze von US-Bundesstaaten

Gegenstand

Bereitstellung von Eingeschränkte-Datenverarbeitungsdiensten und damit im Zusammenhang stehenden technischen Support für den Kunden durch Google.

Dauer der Datenverarbeitung

Während der Laufzeit und zusätzlich während eines Zeitraums zwischen dem Ende der Laufzeit und bis zur Löschung aller personenbezogenen Daten des Kunden durch Google in Übereinstimmung mit Anhang 1B.

Art und Zweck der Datenverarbeitung

Google verarbeitet personenbezogene Daten des Kunden zum Zweck, dem Kunden die Eingeschränkte-Datenverarbeitungsdienste bereitzustellen und den damit im Zusammenhang stehenden technischen Support in Übereinstimmung mit Anhang 1B zu erbringen. Die Datenverarbeitung durch Google schließt, in Abhängigkeit davon, ob es auf den jeweiligen Eingeschränkte-Datenverarbeitungsdienst und die Weisungen zutrifft, das Erheben, Aufzeichnen, Organisieren, Ordnen, Verändern, Auslesen, Verwenden, Offenlegen, Verknüpfen, Löschen oder Vernichten mit ein.

Arten personenbezogener Daten

Personenbezogene Daten des Kunden können solche Arten personenbezogener Daten umfassen, die in den Datenschutzgesetzen von US-Bundesstaaten beschrieben sind.

Kategorien betroffener Personen

Personenbezogene Daten des Kunden betreffen die folgenden Kategorien von betroffenen Personen:

  • betroffene Personen, über die Google im Rahmen der Bereitstellung der Eingeschränkte-Datenverarbeitungsdienste personenbezogene Daten erhebt; und/oder
  • betroffene Personen, von denen personenbezogene Daten vom, auf Veranlassung des oder im Auftrag des Kunden im Zusammenhang mit den Eingeschränkte-Datenverarbeitungsdiensten an Google übermittelt werden.

Je nach Art des Eingeschränkte-Datenverarbeitungsdienstes können betroffene Personen folgende Einzelpersonen umfassen: Personen, (a) an die Online-Werbung gerichtet wurde oder werden wird; (b) die bestimmte Webseiten oder Applikationen aufgerufen haben, für die Google die Eingeschränkte-Datenverarbeitungsdienste bereitstellt; und/oder (c) die Kunden oder Nutzer von Produkten oder Diensten des Kunden sind.

Datenverarbeitungsbedingungen zwischen Verantwortlichen für Werbeprodukte von Google, Version 8.0

10. September 2024

Vorherige Versionen