VEREINBARUNG ZUM DATENSCHUTZ – WELTWEIT

BITTE LESEN SIE FOLGENDES SORGFÄLTIG:
Diese deutsche Übersetzung der CrowdStrike-Geschäftsbedingungen dient nur Informationszwecken und darf nicht für Vertragsauslegungen oder als Vertragsdokument verwendet werden, das abgeschlossen werden soll. Die englische Version der CrowdStrike-Geschäftsbedingungen gilt ausschließlich und ist die einzige gültige und zwischen den Parteien vereinbarte Fassung und im Falle eines Konflikts oder einer Unklarheit hat die englische Version immer Vorrang.

Diese Vereinbarung zum Datenschutz (Data Protection Agreement ”DPA”) einschließlich der EU Standardvertragsklauseln (Beschluss der Kommission Az. K(2010)593 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern) ergänzt sämtliche bisherigen und derzeit gültigen CrowdStrike Master Services Agreement, Master Purchase Agreement, Allgemeine Geschäftsbedingungen (Terms and Conditions), oder andere Vereinbarungen (gemeinschaftlich: “Hauptvertrag”) die zuvor zwischen der CrowdStrike, Inc. and/or CrowdStrike Services, Inc. (gemeinschaftlich: “CrowdStrike”, “Auftragnehmer”, “Datenimporteur” oder “Auftragsverarbeiter”) und der untenstehend im Unterschriftenbereich genannten Partei (im Weiteren: “Kunde” oderr “Datenexporteur” oder “Verantwortlicher”) im Zusammenhang mit CrowdStrike-Angeboten, sofern dies die Verarbeitung von personenbezogenen Daten durch CrowdStrike betrifft. Vor diesem Hintergrund schließen die Parteien dieses DPA und stimmen diesem zu.

Begriffe in Großbuchstaben, die in diesem DPA nicht anderweitig definiert sind, haben dieselbe Bedeutung wie im Hauptvertrag. Vorbehaltlich nachstehender Änderungen bleiben die Bestimmungen des Hauptvertrags in vollem Umfang in Kraft und wirksam. Die Bestimmungen in diesem DPA gelten für CrowdStrike und CrowdStrike-Mitgliedsunternehmen nur in dem nach geltendem Recht anwendbaren und erforderlichen Umfang.

1. Definitionen

1.1 In diesem DPA haben die folgenden Begriffe die nachstehend aufgeführten Bedeutungen; verwandte Begriffe sind entsprechend auszulegen:

1.1.1                „Anwendbares Recht“ umfasst alle Gesetze, die die Verarbeitung, den Datenschutz oder die Sicherheit von personenbezogenen Daten des Kunden regeln und die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten des Kunden durch CrowdStrike auf die jeweilige Partei dieser DPA direkt anwendbar sind;

1.1.2                “Kunde” bezeichnet die den Hauptvertrag abschließende Partei, zusammen mit den Verbundenen Unternehmen des Kunden (solange sie Verbundene Unternehmen bleiben) soweit sie vom Hauptvertrag umfasst sind oder dieses DPA unterzeichnet haben;

1.1.3                „Verbundene Unternehmen des Kunden“ bezeichnet ein Unternehmen, das den Kunden besitzt oder kontrolliert, in seinem Eigentum oder unter seiner Kontrolle steht oder mit ihm unter gemeinsamer Kontrolle oder Eigentümerschaft steht, wobei Kontrolle definiert ist als die direkte oder indirekte Befugnis, die Leitung und die Politik eines Unternehmens direkt oder indirekt zu lenken oder zu veranlassen, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch Vertrag oder auf andere Weise;

1.1.4                „Mitglied der Kundengruppe“ 1.1.2 umfasst den Kunden oder ein Verbundenes Unternehmen des Kunden

1.1.5                „personenbezogene Daten des Kunden“ sind alle personenbezogenen Daten, die von CrowdStrike oder einem CrowdStrike-Partner gemäß oder in Verbindung mit dem Hauptvertrag im Namen eines Mitglieds der Kundengruppe verarbeitet werden und die Betroffene identifizieren, für die ein Mitglied der Kundengruppe verantwortlich ist;

1.1.6                „Auftragsverarbeiter“ bezeichnet CrowdStrike oder einen Unterauftragsverarbeiter;

1.1.7                „EWR“ bezeichnet den Europäischen Wirtschaftsraum

1.1.8                „EU Datenschutzrecht“ bezeichnet die EU-Datenschutzgrundverordnung 2016/679 (DSGVO) und Gesetze zur Umsetzung oder Ergänzung der DSGVO;

1.1.9                „Beschränkt zulässiger Transfer“ bedeutet, soweit anwendbar,

1.1.9.1            einen Transfer von personenbezogenen Daten des Kunden von einem Verbundenen Unternehmen des Kunden zu einem Auftragsverarbeiter, oder

1.1.9.2            eine Weiterleitung von personenbezogenen Daten des Kunden von einem Verbundenen Unternehmen des Kunden zu einem Auftragsverarbeiter, oder zwischen zwei Niederlassungen eines Auftragsverarbeiters,

in jedem Fall, in dem ein solcher Transfer durch geltendes Recht verboten wäre, sofern sich CrowdStrike nicht auf einen Mechanismus oder ein Land bezieht, dass durch einen Angemessenheitsbeschluss einer zuständigen Datenschutzaufsichtsbehörde, einschließlich der Europäischen Kommission, dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, dem Information Commissioner’s Office in Großbritannien oder sonst einer für den Transfer von personenbezogenen Daten des Kunden zu CrowdStrike zuständigen Datenschutzaufsichtsbehörde;

1.1.10             „CrowdStrike-Angebote“ bezeichnet zusammenfassend alle Produkte, produktbezogene Dienste oder Professional Services von CrowdStrike;

1.1.11             „Unterauftragsverarbeiter“ ist jede Person (einschließlich jeder Drittpartei und jedes CrowdStrike-Tochterunternehmen, ausgenommen von Mitarbeitern von CrowdStrike oder eines ihrer Unterauftragnehmer), die von oder im Namen von CrowdStrike oder einem Verbundenen Unternehmen von CrowdStrike oder deren Rolle als Processor mit der Verarbeitung personenbezogener Daten im Auftrag eines Mitglieds der Kundengruppen in Verbindung mit dem Hauptvertrag betraut wird; und

1.1.12             „Verbundene Unternehmen von CrowdStrike“ bezeichnet ein Unternehmen, das CrowdStrike besitzt oder kontrolliert, das sich im Besitz oder unter der Kontrolle von CrowdStrike befindet oder mit CrowdStrike gemeinsam kontrolliert wird oder unter gemeinsamer Kontrolle oder Eigentümerschaft steht, wobei Kontrolle definiert ist, als die direkte oder indirekte Möglichkeit die Leitung und die Politik eines Unternehmens zu lenken oder zu veranlassen, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch Vertrag oder auf andere Weise.

1.2           Die Begriffe, „Aufsichtsbehörde“ „Auftragsverarbeiter“, „Betroffener“, „Kommission“, „Mitgliedsstaat“, „Personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Verletzung des Schutzes personenbezogener Daten“ haben die gleiche Bedeutung wie in den anwendbaren Gesetzen, einschließlich, wo anwendbar, des EU-US- und des Swiss-US Privacy Shield Abkommens und der DSGVO. Alle in diesem DPA großgeschriebenen, aber nicht definierten Wörter oder Begriffe haben die im Hauptvertrag oder den EU Standardvertragsklauseln festgelegte Bedeutung.

1.3           Das Wort „einschließlich“ ist so auszulegen, dass es einschließlich ohne Einschränkung bedeutet und verwandte Begriffe entsprechend auszulegen sind.

2.              Vollmacht

CrowdStrike sichert zu, dass bevor ein Verbundenes Unternehmen von CrowdStrike personenbezogene Daten des Kunden im Auftrag eines Mitglieds der Kundengruppe verarbeitet, der Eintritt dieses Verbundenen Unternehmens in dieses DPA durch CrowdStrike als Vertreter für und im Namen dieses Verbundenen Unternehmens ordnungsgemäß und wirksam von diesem autorisiert (oder später ratifiziert) wurde.

3.              Verarbeitung von personenbezogenen Daten des Kunden

3.1           CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike

3.1.1                werden personenbezogene Daten des Kunden nur nach den dokumentierten Weisungen des jeweiligen Mitglieds der Kundengruppe verarbeiten, es sei denn, die Verarbeitung ist nach den anwendbaren Gesetzen, denen der betreffende Auftragsverarbeiter unterliegt, erforderlich, wobei in diesem Fall CrowdStrike oder das jeweilige Verbundene Unternehmen von CrowdStrike verpflichtet ist, das jeweils betroffene Mitglied der Kundengruppe vor der betreffenden Verarbeitung dieser personenbezogenen Daten, im Rahmen der anwendbaren Gesetze, über diese gesetzliche Anforderung zu informieren.

3.2           Jedes Mitglied der Kundengruppe:

3.2.1                weist CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike an (und autorisiert CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike, jeden Unterauftragsverarbeiter anzuweisen),

3.2.1.1            personenbezogene Daten des Kunden zu verarbeiten, und

3.2.1.2            insbesondere personenbezogene Daten des Kunden in ein beliebiges Land oder Territorium zu übertragen, soweit dies für die Bereitstellung der CrowdStrike-Angebote vernünftigerweise erforderlich ist und im Einklang mit dem Hauptvertrag steht;

3.2.2                sichert zu, dass es zu allen relevanten Zeitpunkten ordnungsgemäß und wirksam befugt ist und bleiben wird, die in Abschnitt 3.2.1 dargelegten Anweisungen im Namen des jeweils relevanten Verbundenen Unternehmens des Kunden zu erteilen; und

3.2.3                sichert zusammen mit seinen verbundenen Unternehmen und Tochtergesellschaften zu, dass es alle erforderlichen Zustimmungen und behördlichen Genehmigungen eingeholt hat, die nach geltendem Recht erforderlich sind, um die Verarbeitung und internationale Übertragung von personenbezogenen Daten des Kunden von jedem Mitglied der Kundengruppe an jedes Verbundene Unternehmen von CrowdStrike, einschließlich der Weiterleitung an Unterauftragsverarbeiter, zu ermöglichen. Darüber hinaus erklärt sich jedes Mitglied der Kundengruppe damit einverstanden, jedes Verbundene Unternehmen von CrowdStrike in vollem Umfang für alle gegen das jeweilige Verbundene Unternehmen von CrowdStrike erhobene Ansprüche zu entschädigen und schadlos zu halten, gleich ob diese durch einen Betroffenen oder eine Regierungsbehörde erhoben werden, oder sich auf notwendige Zustimmungen und Genehmigungen beziehen, die für die internationale Übertragung von Daten von einem Mitglied der Kundengruppe an ein Verbundenes Unternehmen von CrowdStrike erforderlich sind. Klarstellend halten die Parteien fest, dass diese Bestimmung nicht die gesetzlichen Rechte von Kunden, Mitgliedern der Kundengruppe oder Betroffenen, in Bezug auf die Einhaltung der Verpflichtungen von CrowdStrike als Verarbeiter von personenbezogenen Kundendaten, schmälern.

3.3           Anhang A zu diesem DPA enthält bestimmte Informationen über die Verarbeitung von personenbezogenen Daten des Kunden im Auftrag durch einen Auftragsverarbeiter gemäß Artikel 28 Absatz 3 DSGVO (und möglicherweise gleichwertiger Anforderungen anderer anwendbarer Gesetze). Nichts in Anhang A 1 (einschließlich der Änderungen gemäß dieser Ziff. 3.3) begründet irgendein Recht oder eine Verpflichtung für eine Partei dieses DPA.

4.              Mitarbeiter von CrowdStrike und Verbundenen Unternehmen von CrowdStrike

CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike treffen angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Agenten oder Auftragnehmer eines Auftragsverarbeiters zu gewährleisten, die Zugang zu den personenbezogenen Daten der Kunden haben können, wobei in jedem Fall sicherzustellen ist, dass der Zugang zu personenbezogenen Daten der Kunden strikt auf diejenigen Personen beschränkt ist, die die relevanten personenbezogenen Daten der Kunden kennen/auf diese zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags vernünftigerweise erforderlich ist, und um die anwendbaren Gesetze im Zusammenhang mit den Pflichten dieser Person gegenüber dem Auftragsverarbeiter einzuhalten, wobei sicherzustellen ist, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Geheimhaltungspflichten unterliegen.

5.              Sicherheit

5.1           Unter Berücksichtigung des Stands der Technik, der Implementierungskoten und der Art, des Umfangs, Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen werden CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike in Bezug auf die personenbezogenen Daten des Kunden angemessene technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der Maßnahmen, auf die im jeweils anwendbaren Recht Bezug genommen wird, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 DSGVO genannten Maßnahmen.

5.2           Bei der Bewertung des angemessenen Sicherheitsniveaus müssen CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike insbesondere die Risiken berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogene Daten.

6.              Unterauftragsverarbeitung

6.1           Jedes Mitglied der Kundengruppe autorisiert CrowdStrike und jedes mit CrowdStrike Verbundene Unternehmen, Unterauftragsverarbeiter zu beauftragen (und jedem gemäß diesem Abschnitt 6 ernannten Unterauftragnehmer zu erlauben, weitere Unterauftragnehmer zu ernennen), vorbehaltlich der Einhaltung dieses Abschnitt 6 und jeglicher Einschränkungen des Hauptvertrages.

6.2           CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike-Mitglied kann weiterhin die Unterauftragsverarbeiter einsetzen, die zum Zeitpunkt des Abschlusses dieses DPA bereits von CrowdStrike oder einem Verbundenen Unternehmen von CrowdStrike beauftragt wurden, vorausgesetzt, dass CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike in jedem Fall die in Ziff. 6.4 dargelegten Verpflichtungen so bald wie möglich erfüllen.

6.3           1.1 CrowdStrike informiert den Kunden über die Ernennung von neuen Unterauftragnehmern. CrowdStrike führt eine aktuelle Liste der Subprozessoren auf seiner Website (eine Kopie ist unter https://falcon.crowdstrike.com/support/documentation/34/crowdstrike-products-and-services-third-party-subprocessors-of-personal-data verfügbar). Wenn der Kunde CrowdStrike innerhalb von 30 Tagen nach Erhalt dieser Benachrichtigung schriftlich über etwaige Einwände (aus berechtigten Gründen) gegen die vorgeschlagene Ernennung in Kenntnis setzt,

6.3.1                arbeitet CrowdStrike einvernehmlich mit dem Kunden zusammen, um eine kommerziell angemessene Änderung bei der Bereitstellung der CrowdStrike-Angebote zur Verfügung zu stellen, die die Einschaltung des vorgeschlagenen Unterauftragsverarbeiter vermeidet, und

6.3.2                in Fällen, in denen eine solche Änderung nicht innerhalb von 90 Tagen nach Eingang der Mitteilung des Kunden bei CrowdStrike vorgenommen werden kann, ist der Kunde – ungeachtet der Bestimmungen des Hauptvertrages – berechtigt, durch schriftliche Mitteilung an CrowdStrike, die innerhalb von 30 Tagen nach Ablauf der oben genannten 90-Tage-Frist bei CrowdStrike eingehen muss, den Hauptvertrag mit sofortiger Wirkung kündigen, soweit er sich auf die CrowdStrike-Angebote bezieht, die den Einsatz des vorgeschlagenen Unterauftragsverarbeiter erfordern.

6.4           CrowdStrike oder das jeweilige Verbundene Unternehmen von CrowdStrike müssen in Bezug auf jeden Unterauftragsverarbeiter

6.4.1                vor der ersten Verarbeitung personenbezogener Daten des Kunden durch den Unterauftragsverarbeiter (oder gegebenenfalls gemäß Ziff 6.2) unter Anwendung angemessener Sorgfalt sicherstellen, dass der Unterauftragsverarbeiter in der Lage ist, das im Hauptvertrag geforderte Schutzniveau für personenbezogene Kundendaten zu gewährleisten;

6.4.2                sicherstellen, dass die Vereinbarung zwischen (a) CrowdStrike oder (b) dem jeweils betroffenen Verbundenen Unternehmen von CrowdStrike oder (c) dem jeweiligen zwischengeschalteten Unterauftragsverarbeiter einerseits und dem Unterauftragsverarbeiter andererseits durch einen schriftlichen Vertrag geregelt wird, der Regelungen enthält, die mindestens das gleiche Maß an Schutz für personenbezogene Daten des Kunden bietet, wie es von den Privacy Shield Grundsätzen und Artikel 28 Abs. 3 DSGVO oder dem anwendbaren Recht gefordert wird;

6.4.3                falls diese Vereinbarung einen beschränkt zulässigen Transfer beinhaltet, die anwendbaren Adäquanzmechanismen gemäß Abschnitt 12 dieses DPA einhalten, ebenso – soweit nach anwendbarem Recht erforderlich – für personenbezogene Daten des Kunden mit Ursprung außerhalb der Vereinigten Staaten, der Europäischen Union, des EWR, des Vereinigten Königreiches oder der Schweiz; und

6.4.4                Kopien der Vereinbarungen zur Auftragsverarbeitung mit den Unterauftragsverarbeitern (vertrauliche kommerzielle Informationen, die für die Anforderungen dieser DPA nicht relevant sind, können geschwärzt werden) vorhalten, die der Kunde von Zeit zu Zeit verlangen kann.

6.5           CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike müssen sicherstellen, dass jeder Unterauftragsverarbeiter seine Verpflichtungen in Übereinstimmung mit den geltenden Datenschutzbestimmungen dieser Vereinbarung erfüllt.

7.              Betroffenenrechte

7.1           Unter Berücksichtigung der Art der Verarbeitung und im Rahmen des Möglichen, unterstützen CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike jedes Mitglied der Kundengruppe durch die Implementierung geeigneter technischer und organisatorischer Maßnahmen, zur Erfüllung der rechtlichen Verpflichtungen der Mitglieder der Kundengruppe gemäß den anwendbaren Gesetzen, soweit dies erforderlich ist, um auf Anfragen zur Ausübung von Betroffenenrechte gemäß den anwendbaren Gesetzen zu reagieren.

7.2           CrowdStrike ist verpflichtet,

7.2.1               den Kunden unverzüglich zu benachrichtigen, wenn ein Auftragsverarbeiter nach anwendbarem Recht eine Anfrage von einem Betroffenen in Bezug auf personenbezogene Daten des Kunden erhält; und

7.2.2                sicherzustellen, dass der Auftragsverarbeiter nicht auf diese Anfrage antwortet, mit Ausnahme aufgrund von dokumentierten Anweisungen des Kunden oder des betreffenden Verbundenen Unternehmens des Kunden oder aufgrund der anwendbaren Gesetze, denen der Auftragsverarbeiter unterliegt. In letzterem Fall wird CrowdStrike den Kunden im Rahmen der anwendbaren Gesetze über diese rechtliche Anforderung informieren, bevor der Auftragsverarbeiter auf die Anfrage antwortet.

8.              Verletzungen des Schutzes personenbezogener Daten

8.1           CrowdStrike benachrichtigt den Kunden unverzüglich und innerhalb der nach anwendbarem Recht vorgeschriebenen Fristen, sobald CrowdStrike oder ein Unterauftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten des Kunden Kenntnis erlangt, und stellt dem Kunden ausreichende Informationen zur Verfügung, damit jedes Mitglied der Kundengruppe in der Lage ist, alle Verpflichtungen zur Meldung oder Unterrichtung der Betroffenen über die Verletzung des Schutzes personenbezogener Daten gemäß den anwendbaren Gesetzen zu erfüllen.

8.2           CrowdStrike wird mit dem Kunden und jedem Mitglied der Kundengruppe zusammenarbeiten und wirtschaftlich angemessene Schritte unternehmen, um sie bei der Untersuchung, Eindämmung und Behebung jeder dieser Verletzungen persönlicher Daten zu unterstützen.

9.              Datenschutz-Folgenabschätzung und Vorherige Konsultation

CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike sind – ausschließlich in Bezug auf die Verarbeitung personenbezogener Kundendaten durch die Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den Auftragsverarbeitern zur Verfügung stehenden Informationen – verpflichtet, jedem Mitglied der Kundengruppe angemessene Unterstützung bei notwendigen Datenschutzfolgenabschätzungen zu leisten, die nach geltendem Recht von einem Mitglied der Kundengruppe verlangt werden.

10.           Löschung und Rückgabe von personenbezogenen Daten des Kunden

10.1        Vorbehaltlich der Ziffern 10.2 und 10.3 sind CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike nach Beendigung der Vertragsbeziehung zwischen dem Kunden und CrowdStrike verpflichtet, personenbezogene Daten des Kunden, die sich in ihrem Besitz befinden, unverzüglich für eine Rückgabe, Löschung oder Sperrung auf schriftliche Anforderung bereitzustellen.

10.2        Vorbehaltlich Ziff. 10.3 kann der Kunde nach eigenem Ermessen durch schriftliche Mitteilung an CrowdStrike bis spätestens 30 Tage vor dem Ende der Vertragslaufzeit von CrowdStrike und jedem Verbundenen Unternehmen von CrowdStrike verlangen, (a) alle persönlichen Kundendaten dem Kunden zur Rückgabe zur Verfügung zu stellen; und (b) alle anderen Kopien der von einem Auftragsverarbeiter verarbeiteten persönlichen Kundendaten zu löschen und deren Löschung zu veranlassen. CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike müssen einer solchen schriftlichen Aufforderung so schnell wie möglich, auf jeden Fall aber innerhalb von 90 Tagen nach Beendigung der Vertragsbeziehung nachkommen.

10.3        Jeder Auftragsverarbeiter kann personenbezogene Daten des Kunden in dem Umfang und für die Dauer aufbewahren, die zur Erfüllung der vertraglichen Verpflichtungen, zur Bereitstellung der CrowdStrike-Angebote und nach geltendem Recht erforderlich sind, vorausgesetzt, dass CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike alle wirtschaftlich angemessenen Anstrengungen unternehmen, um die Vertraulichkeit all dieser personenbezogenen Kundendaten zu gewährleisten und sicherzustellen, dass diese personenbezogenen Daten des Kunden nur so verarbeitet werden, wie es für den Zweck bzw. die Zwecke, für die sie ursprünglich erfasst wurden, erforderlich ist.

10.4        Auf schriftliche Anforderung, muss CrowdStrike dem Kunden innerhalb von 90 Tagen nach Beendigung der Vertragsbeziehung zwischen den Parteien eine schriftliche Bestätigung vorlegen, dass er und jedes Verbundene Unternehmen von CrowdStrike diesen Abschnitt 10 erfüllt hat.

11.           Auditrechte

11.1        Vorbehaltlich der Ziffern 11.2 bis 11.4 stellen CrowdStrike und jedes Verbundene Unternehmen von CrowdStrike jedem Mitglied der Kundengruppe auf Anfrage die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses DPA nachzuweisen.

11.2        Soweit dies nach geltendem Recht erforderlich ist, wird CrowdStrike Prüfungen durch ein Mitglied der Kundengruppe oder durch einen von einem Mitglied der Kundengruppe beauftragten Prüfer, der kein Wettbewerber von CrowdStrike ist, in Bezug auf die Verarbeitung der personenbezogenen Kundendaten durch die Auftragsverarbeiter unterstützen.

11.3        Informations- und Prüfungsrechte der Mitglieder der Kundengruppe gemäß Ziff. 11.1 entstehen nur insoweit, als ihnen im Hauptvertrag nicht anderweitig Informations- und Prüfungsrechte einräumt werden, die den maßgeblichen Anforderungen der anwendbaren Gesetze (einschließlich, soweit anwendbar, Artikel 28 Abs. 3 lit. h DSGVO) entsprechen.

11.4        Ungeachtet des Vorstehenden, kann CrowdStrike Informationen und Unterlagen zurückhalten, die die Identität anderer CrowdStrike-Kunden oder Informationen, die CrowdStrike vertraulich behandeln muss, offenbaren würden. Alle Informationen oder Unterlagen, die im Rahmen dieses Prüfungsprozesses bereitgestellt werden, gelten als vertrauliche Informationen von CrowdStrike und unterliegen den Vertraulichkeitsregelungen des Hauptvertrages.

12.           Beschränkt zulässiger Transfer zwischen dem Europäischen Wirtschaftsraum und dem Vereinigten Königreich

12.1        Sofern CrowdStrike einen eingeschränkten Transfer durchführt, für den CrowdStrike keinen anderen rechtlich ausreichenden Angemessenheitsmechanismus verwendet, werden die Standardvertragsklauseln in dieses DPA einbezogen und finden Anwendung.

12.2        Wenn die Standardvertragsklauseln gelten, gelten sie nur in dem Umfang, der für den Weiterleitungsmechanismus erforderlich ist, und insbesondere in Bezug auf eine Verarbeitung im Unterauftrag, CrowdStrike ist berechtigt, in Übereinstimmung mit Abschnitt 6 dieses DPA Unterauftragsverarbeiter beauftragen.

12.3        Wenn CrowdStrike sich auf einen anderen rechtlich ausreichenden Angemessenheitsmechanismus stützt, einschließlich Verbindliche interne Datenschutzvorschriften oder eines genehmigten Verhaltenskodex oder Zertifizierungsmechanismen, kann dieser von CrowdStrike anstelle der Standardvertragsklauseln verwendet werden, um den Schutz internationale Transfers persönlicher Daten zu gewährleisten.

13.           Allgemeine Regelungen

Anwendbares Recht und Gerichtsstand

13.1        Die Parteien dieses DPA unterwerfen sich hiermit der in der Hauptvereinbarung festgelegten Wahl der Gerichtsbarkeit in Bezug auf jegliche Streitigkeiten oder Ansprüche, die sich aus diesem DPA ergeben, einschließlich Streitigkeiten über sein Bestehen, seine Gültigkeit oder seine Beendigung oder die Folgen seiner Nichtigkeit.

13.2        Dieses DPA und alle nebenvertraglichen oder sonstigen Verpflichtungen, die sich aus oder im Zusammenhang mit diesem DPA ergeben, unterliegen dem Recht des Landes oder Territoriums, das zu diesem Zweck im Hauptvertrag festgelegt ist.

Rangfolge

13.3        1.1 Keine der Regelungen dieses DPA verringern die hauptvertraglichen Pflichten von CrowdStrike oder eines Verbundenen Unternehmens von CrowdStrike in Bezug auf den Schutz von persönlichen Kundendaten oder erlauben es CrowdStrike oder einem CrowdStrike-Partner, personenbezogene Daten des Kunden in einer Weise zu verarbeiten (oder die Verarbeitung von personenbezogenen Daten des Kunden zu erlauben), die durch den Hauptvertrag verboten ist. Im Falle und im Umfang eines Konflikts oder Widersprüchlichkeiten zwischen: (i) dem Hauptteil dieses DPA und allen seinen Anlagen (mit Ausnahme der Standardvertragsklauseln), (ii) den Standardvertragsklauseln in Anlage B in einer Weise, die die Angemessenheit des Datenschutzniveaus der Übertragung wesentlich beeinflusst, und (iii) dem anwendbaren Recht, gilt folgende Rangfolge, die vorrangig genannten Bestimmungen haben bei Widersprüchen Vorrang vor den nachrangig genannten Bestimmungen: (1) Anwendbares Recht, (2) die Standardvertragsklauseln und (3) dieses DPA.

13.4       Vorbehaltlich Ziff. 13.2 haben in Bezug auf den Vertragsgegenstand dieses DPA im Falle von Widersprüchen zwischen den Bestimmungen dieses DPA und anderen zwischen den Parteien getroffenen Vereinbarungen , einschließlich des Hauptvertrages und einschließlich (sofern nicht ausdrücklich schriftlich anders vereinbart und im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses DPA geschlossen wurden oder geschlossen werden sollen, die Bestimmungen dieses DPA Vorrang.

Gesetzesänderungen zum Datenschutz etc.

13.5       Wenn und soweit dieses DPA oder die Standardvertragsklauseln nicht mehr von der Europäischen Kommission (oder der Swiss-US Privacy Shield nicht mehr vom Eidgenössischen Datenschutz- und Informationsbeauftragten anerkannt) oder von anderen lokalen Datenschutzbehörden für persönliche Daten des Kunden, die aus einem Land außerhalb des EWR stammen, als adäquater Mechanismus für den Transfer von persönlichen Daten aus der EU, der Schweiz oder einem anderen Land in die Vereinigten Staaten anerkannt werden, wird CrowdStrike einen anderen adäquaten Transfermechanismus einhalten; unter der Voraussetzung, dass, wenn CrowdStrike nicht durch wirtschaftlich vertretbaren Anstrengungen in der Lage ist, einen anderen angemessenen Übertragungsmechanismus einzuhalten, können sowohl der Kunde als auch CrowdStrike nach vorheriger schriftlicher Benachrichtigung der anderen Partei (Benachrichtigung an CrowdStrike sind an legal@crowdstrike.com zu senden), die betroffenen Aufträge kündigen und – als ausschließliches Rechtsmittel des Kunden – eine Rückerstattung von CrowdStrike bzw. dem Wiederverkäufer von im Voraus bezahlten Gebühren, anteilig für den Rest der ungenutzten Lizenz-/Zugangsdauer, erhalten.

13.6        Weder der Kunde noch CrowdStrike benötigen die Zustimmung oder Genehmigung eines verbundenen Unternehmens des Kunden oder eines verbundenen Unternehmens von CrowdStrike, um diese DPA gemäß Ziff. 13.5 oder anderweitig zu ändern.

Salvatorische Klausel

13.7        Sollte eine Bestimmung dieses DPA ungültig oder nicht durchsetzbar sein, so bleiben die übrigen Bestimmungen dieses DPA gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung ist entweder (i) so zu ändern, wie es notwendig ist, um ihre Gültigkeit und Durchsetzbarkeit zu gewährleisten, wobei die Absichten der Parteien so weit wie möglich gewahrt bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der ungültige oder nicht durchsetzbare Teil nie Inhalt gewesen wäre.

HAFTUNGSBESCHRÄNKUNG

13.8        Die Haftung jeder Partei und aller ihrer verbundenen Unternehmen zusammengenommen, die sich aus oder im Zusammenhang mit dieser DPA, sowie allen DPAs zwischen verbundenen Unternehmen des Kunden und CrowdStrike und den verbundenen Unternehmen von CrowdStrike ergeben, unabhängig davon, ob es sich um einen Vertrag, eine unerlaubte Handlung oder einen anderen Haftungsgrund handelt, unterliegen dem Abschnitt „Haftungsbeschränkung“ des Hauptvertrags und der anwendbaren Obergrenze (Maximum) für die betreffende Partei, die im Hauptvertrag festgelegt ist. Jeder Verweis in einem solchen Abschnitt auf die Haftung einer Partei bedeutet die Gesamthaftung dieser Partei und aller mit ihr verbundenen Unternehmen unter dem Hauptvertrag und aller DPA zusammengenommen.

13.9        Um Zweifel auszuschließen, gilt die Gesamthaftung von CrowdStrike und seinen verbundenen Unternehmen für alle Ansprüche des Kunden und aller verbundenen Unternehmen des Kunden, die sich aus dem Hauptvertrag und allen DPAs ergeben oder damit in Zusammenhang stehen, insgesamt für alle Ansprüche sowohl aus dem Hauptvertrag als auch aus allen DPAs, die im Rahmen des Hauptvertrags abgeschlossen wurden, einschließlich derjenigen des Kunden und aller verbundenen Unternehmen des Kunden, und ist insbesondere nicht so zu verstehen, dass sie individuell und einzeln für den Kunden und/oder jedes verbundene Unternehmen des Kunden gilt, das eine Vertragspartei einer solchen DPA ist.

14.        Zusätzliche Bedingungen für Standardvertragsklauseln (Kommissionsbeschluss C(2010) Standardvertragsklauseln (Auftragsverarbeiter))

14.1     Diese Bedingungen gelten für den Fall, dass die Standardvertragsklauseln von den Parteien anstelle eines anderen Adäquanzmechanismus für die Übermittlung personenbezogener Kundendaten aus dem Europäischen Wirtschaftsraum, der Schweiz oder dem Vereinigten Königreich in eine andere Rechtsordnung, die von der Europäischen Kommission, dem Eidgenössischen Datenschutz- und Informationsbeauftragten der Schweiz bzw. dem Information Commissioner’s Office des Vereinigten Königreichs nicht als angemessen anerkannt wird, vereinbart werden.

14.2     Die Standardvertragsklauseln und die zusätzlichen Bedingungen, die in diesem Abschnitt 14 dieses Nachtrags angegeben sind, gelten für (i) die juristische Person, die die Standardvertragsklauseln als Datenexporteur und verbundenes Unternehmen des Kunden abgeschlossen hat, und (ii) alle verbundenen Unternehmen des Kunden mit Sitz im Europäischen Wirtschaftsraum, in der Schweiz und im Vereinigten Königreich, die die CrowdStrike-Angebote in Übereinstimmung mit dem Hauptvertrag implementiert haben und deren personenbezogenen Daten CrowdStrike verarbeitet. In Bezug auf die Standardvertragsklauseln und diesen Abschnitt 14 gelten die oben genannten Unternehmen als „Datenexporteure“

14.3     Weisungen. Diese DPA und der Hauptvertrag stellen die vollständigen und endgültigen dokumentierten Weisungen des Kunden zum Zeitpunkt der Unterzeichnung des Hauptvertrags an CrowdStrike für die Verarbeitung personenbezogener Daten dar. Alle zusätzlichen oder alternativen Weisungen müssen gesondert vereinbart werden. Für die Zwecke von Klausel 5(a) der Standardvertragsklauseln gilt das Folgende als Anweisung des Kunden zur Verarbeitung personenbezogener Daten: (a) Verarbeitung in Übereinstimmung mit dem Hauptvertrag und allen anwendbaren Aufträgen; (b) Verarbeitung, die von Nutzern bei der Nutzung der CrowdStrike-Angebote veranlasst werden, und (c) Verarbeitungen zur Umsetzung anderer angemessener dokumentierter Weisungen des Kunden (z.B. per E-Mail), sofern diese Weisungen mit den Bedingungen des Hauptvertrags übereinstimmen.

14.4     Beauftragung neuer Unterauftragsverarbeiter und Liste der derzeitigen Unterauftragsverarbeiter. Gemäß Klausel 5(h) der Standardvertragsklauseln erkennt der Kunde an und stimmt ausdrücklich zu, dass (a) die verbundenen Unternehmen von CrowdStrike als Unterauftragsverarbeiter beibehalten werden können; und (b) CrowdStrike bzw. die verbundenen Unternehmen von CrowdStrike in Verbindung mit der Bereitstellung der CrowdStrike-Angebote Unterauftragsverarbeiter von Drittanbietern beauftragen können. CrowdStrike stellt dem Kunden die aktuelle Liste der Subprozessoren gemäß Abschnitt 6 dieses DPA zur Verfügung.

14.5    Mitteilung neuer Unterauftragsverarbeiter und Einspruchsrecht für neue Unterauftragsverarbeiter. Gemäß Paragraph 5(h) der Standardvertragsklauseln und in Übereinstimmung mit Artikel 28 DSGVO erkennt der Kunde an und stimmt ausdrücklich zu, dass CrowdStrike neue Unterauftragsverarbeiter wie in Abschnitt 6 des DPA beschrieben beauftragen kann.

14.6     Verträge mit Unterauftragnehmern. Die Parteien vereinbaren, dass die Pflichten bei der Unterverarbeitung gemäß Klausel 11 der Standardvertragsklauseln in Übereinstimmung mit Artikel 28 DSGVO durchgeführt werden. Die Parteien vereinbaren, dass Kopien der Vereinbarungen mit den Unterauftragsverarbeitern, die dem Kunden von CrowdStrike gemäß Klausel 5(j) der Standardvertragsklauseln zur Verfügung gestellt werden müssen, alle kommerziellen und vertraulichen Informationen oder Klauseln, die nicht mit den Standardvertragsklauseln oder deren Äquivalenten in Zusammenhang stehen, zuvor von CrowdStrike redigiert werden dürfen; und dass diese Kopien von CrowdStrike in einer nach eigenem Ermessen zu bestimmenden Weise nur auf schriftliche Anfrage des Kunden bereitgestellt werden

14.7     Die Parteien vereinbaren, dass die in Klausel 5(f) und Klausel 12(2) der Standardvertragsklauseln beschriebenen Überprüfungen gemäß Abschnitt 11 dieses DPA durchgeführt werden sollen. In dem Umfang, in dem die Standardvertragsklauseln zusätzlich verlangen, dass die Betriebsstätten von CrowdStrike zur Inspektion zugänglich gemacht werden, kann der Kunde CrowdStrike durch vorherige schriftliche Mitteilung kontaktieren, um eine Vor-Ort-Prüfung der für den Schutz der persönlichen Daten des Kunden relevanten Verfahren zu beantragen. Der Kunde ist verpflichtet, CrowdStrike den Zeitaufwand für ein solches Vor-Ort-Audit zu den dann geltenden Professional Services-Tarifen von CrowdStrike zu erstatten, die dem Kunden auf Anfrage zur Verfügung gestellt werden. Vor Beginn einer solchen Vor-Ort-Prüfung vereinbaren der Kunde und CrowdStrike, gemeinsam den Umfang, den Zeitpunkt und die Dauer der Prüfung sowie den Erstattungssatz, für den der Kunde verantwortlich ist. Der Kunde benachrichtigt CrowdStrike unverzüglich mit Informationen über jede Nichteinhaltung, die im Verlauf einer Prüfung festgestellt wird.

14.8     Bestätigung der Löschung. Die Parteien vereinbaren, dass die in Klausel 12(1) der Standardvertragsklauseln beschriebene Löschungsbescheinigung für persönliche Daten dem Kunden von CrowdStrike nur auf Anfrage des Kunden gemäß Abschnitt 10 dieses DPA zur Verfügung gestellt wird.

14.9     Haftungsobergrenze. Die Parteien vereinbaren, dass die gesamte kombinierte Haftung einer Partei und ihrer verbundenen Unternehmen gegenüber der anderen Partei und ihren verbundenen Unternehmen, aus oder im Zusammenhang mit dem Hauptvertrag und den Standardvertragsklauseln zusammengenommen auf die Haftungsobergrenze (Maximum) beschränkt ist, die für die betreffende Partei im Hauptvertrag festgelegt ist.

Die Parteien haben dieses DPA durch ihre ordnungsgemäß bevollmächtigten Vertreter so ausgefertigt, dass es mit dem von den Parteien bezeichneten Stichtag in Kraft tritt.

 

CROWDSTRIKE, INC.                                                     Name der Niederlassung:  ________________________           
________________________

In eigenem Namen und im Namen aller Verbundenen    (“Kunde” oder “Data Exporter” oder

Unternehmen von CrowdStrike                                      “Verantwortlicher”)

durch:                                                                          durch:                                                           

Name:                                                                          Name:                                                          

Bezeichnung:                                                                Bezeichnung:                                                  

Datum: __________________________________          Datum: _________________________________

 

 

Benachrichtigungen bitte an folgende Adresse

senden:

150 Mathilda Place, 3rd Floor                                         Adresse für Benachteiligungen:                      

Sunnyvale, CA 94086                                                                                                                         

With a copy to: legal@crowdstrike.com                                                                                             

 

 

Anhang A: EINZELHEITEN DER VERARBEITUNG VON PERSONENBEZOGENEN DATEN DES KUNDEN

1.1.2                 Dieser Anhang A 1 enthält nähere Angaben zur Verarbeitung von personenbezogenen Daten des Kunden gemäß Artikel 28 Abs. 3 DSGVO.

1.1.3                Gegenstand und Dauer der Verarbeitung von personenbezogenen Daten des Kunden

1.1.4                 Gegenstand und Dauer der Verarbeitung der personenbezogenen Daten des Kunden sind im Hauptvertrag und in diesem DPA festgelegt.

1.1.5                 Art und Zweck der Verarbeitung von personenbezogenen Daten des Kunden

1.1.6                 Bereitstellung/Nutzung von CrowdStrike-Angeboten. Personenbezogene Daten, die während der Bereitstellung und Nutzung der CrowdStrike-Angebote erfasst und verwendet werden können, um die CrowdStrike-Angebote bereitzustellen, zu unterstützen und zu verbessern, den Hauptvertrag zu durchzuführen und die Geschäftsbeziehung zwischen Ihnen und CrowdStrike zu fördern, gesetzliche Regelungen einzuhalten, gemäß Ihren schriftlichen Weisungen oder anderweitig in Übereinstimmung mit dieser Vereinbarung zu handeln.

1.1.7                 Personenbezogene Daten im Zusammenhang mit der Bereitstellung und dem Betrieb der CrowdStrike-Angebote umfassen Angaben, die in Maschinenereignisdaten enthalten sind, Daten von Bedrohungsakteuren und vom Verantwortlichen übermittelte Daten, die verarbeitet werden, um die Geräte des Verantwortlichen vor unerwünschten Aktivitäten zu schützen und um zusätzliche, vom Verantwortlichen ausgewählte Anwendungen, Module, Funktionen und Dienste bereitzustellen.

1.1.8                 Professional Services.  Personenbezogene Daten, die im Zusammenhang mit Professional Services erhoben werden, z.B. als Teil von Computer-Imaging, Diagnose und Fehlerbehebung im Zusammenhang mit der Reaktion auf Vorfälle oder anderen forensisch orientierten Professional Services.

1.1.9                 Datei/Dokumentenanalyse. Personenbezogene Daten, die in unbekannten oder verdächtigen Dateien oder Dokumenten vorhanden sind, die den CrowdStrike-Angeboten zur Analyse auf unerwünschte Aktivitäten oder Schwachstellen vorgelegt werden.  Diese unbekannten oder verdächtigen Dateien und andere damit zusammenhängende Informationen werden zur Sicherheitsanalyse und -reaktion oder bei der Einreichung von Absturzberichten verwendet, um das Produkt zuverlässiger zu machen und/oder die Produkte und Dienstleistungen von CrowdStrike zu verbessern oder die Cybersicherheit zu erhöhen.

1.1.10               Support; Kundenkontoinformationen.  Namen und Kontaktdaten Ihrer Mitarbeiter können im Zusammenhang mit dem technischen Support für die CrowdStrike-Angebote, der Verwaltung Ihres Kundenkontos und der Verbesserung Ihrer Erfahrung erhalten werden.

1.1.11               Die Arten der zu verarbeitenden personenbezogenen Daten des Kunden

1.1.12               Abhängig von den CrowdStrike-Angeboten und den Namenskonventionen und der Umgebung des Verantwortlichen, personenbezogene Daten, wie z.B. solche, die sich möglicherweise in einem Computernamen, Benutzernamen oder Dateinamen befinden, oder technischen Artefakte, die zu den oben genannten Zwecken untersucht werden.

1.1.13               Die Kategorien der betroffenen Personen, auf die sich die personenbezogenen Daten des Kunden beziehen

1.1.14               Betroffene, wie z.B. Benutzer des Computersystems des Verantwortlichen oder andere Personen, für deren personenbezogene Daten der Verantwortliche verantwortlich ist und deren personenbezogene Daten im Zusammenhang mit den CrowdStrike-Angeboten verarbeitet werden.

1.1.15               Die Pflichten und Rechte des Kunden und der mit dem Kunden verbundenen Unternehmen

1.1.16             Die Pflichten und Rechte des Kunden und der mit dem Kunden verbundenen Unternehmen sind im Hauptvertrag und diesem DPA festgelegt.

 

ANHANG B

 

EuropeanEUROPEAN COMMISSION
DIRECTORATE-GENERAL JUSTICEDirectorate C: Fundamental rights and Union citizenship
Unit C.3: Data protection

 

BESCHLUSS DER KOMMISSION K(2010)593
STANDARDVERTRAGSKLAUSELN (AUFTRAGSVERARBEITER)

 

gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung per¬sonenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist

Bezeichnung der Organisation (Datenexporteur):

Anschrift:

Tel.:                                                 ; fax:                                   ; e-mail:

Weitere Angaben zur Identifizierung der Organisation

……………………………………………………………
(„Datenexporteur“)

und

Bezeichnung der Organisation (Datenimporteur): CrowdStrike, Inc

Addresse: 150 Mathilda Place, Suite 300, Sunnyvale, CA 94086, U.S.A.,

Tel.:                 fax:      ;           e-mail: dpa@crowdstrike.com (für die Rücksendung des DPA und diesen
Standardvertragsklauseln; privacy@crowdstrike.com (für allgemeine Fragen zum Datenschutz)

Weitere Angaben zur Identifizierung der Organisation:

…………………………………………………………………
(„Datenimporteur“)

(die „Partei“, wenn eine dieser Organisationen gemeint ist, die „Parteien“, wenn beide gemeint sind)

VEREINBAREN folgende Vertragsklauseln („Klauseln“), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten.

 

Klausel 1

Begriffsbestimmungen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

(a)          die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

(b)          der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

(c)          der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

(d)          der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;

(e)          der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind;

(f)          die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

 

Klausel 2

Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

 

Klausel 3

Drittbegünstigtenklausel

1. Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.

2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.

3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

4. Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird..

 

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

(a)          die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;

(b)          er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

(c)          der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;

(d)          die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;

(e)          er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

(f)          die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

(g)          er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

(h)          er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;

(i)           bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und

(j)          er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

 

Klausel 5

Pflichten des Datenimporteurs 

Der Datenimporteur erklärt sich bereit und garantiert, dass:

(a)          er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(b)          er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf der den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;ie Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(c)          er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

(d)          er den Datenexporteur unverzüglich informiert über

(i)      alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

(ii)     jeden zufälligen oder unberechtigten Zugang und

(iii)   alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

(e)          er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

(f)          er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;

(g)          er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

(h)          er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;

(i)           der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt;

(j)           er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung zuschickt, den er nach den Klauseln geschlossen hat.

 

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.

2. Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.

Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.

3. Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

 

Klausel 7

Schlichtungsverfahren und Gerichtsstand

1. Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:

(a)     die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen oder

(b)     die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.

2. Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

 

Klausel 8

Zusammenarbeit mit Kontrollstellen

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.

2. Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.

3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen..

 

Klausel 9

Anwendbares Recht

Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich………………………………………………………………………….

 

Klausel 10

Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

 

Klausel 11

Vergabe eines Unterauftrags

1. Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss ( 3 ). Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.

2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

3. Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, nämlich: …

4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

 

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.

2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.
 

Für den Datenexporteur:

Name (ausgeschrieben):

Funktion:

Anschrift:

Gegebenenfalls weitere Angaben, die den Vertrag verbindlich machen:

Unterschrift……………………………………….

(Stempel der Organisation))

 

Für den Datenimporteur:

Name (ausgeschrieben):

Funktion:

Anschrift:

Gegebenenfalls weitere Angaben, die den Vertrag verbindlich machen:

Unterschrift……………………………………….

(Stempel der Organisation))

 

 

ANHANG 1 ZU DEN STANDARTVERTRAGSKLAUSELN

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden

Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen.

Datenexporteur
Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind):
Kunde
………………………………………………………………………………………………………………………………………………………………………………………………

Datenimporteur
Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind):
CrowdStrike für die im Hauptvertrag und diesem DPA festgelegten Zwecke.
………………………………………………………………………………………………………………………………………………………………………………………………

Betroffene Personen
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen (bitte genau angeben):
Betroffene Personen, wie z.B. die Benutzer des Computersystems des für die Verarbeitung Verantwortlichen oder andere Personen, für deren personenbezogene Daten Verantwortliche verantwortlich ist und die im Zusammenhang mit den CrowdStrike-Angeboten verarbeitet werden
.………………………………………………………………………………………………………………………………………………………………………………………………

Kategorien von Daten
Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien (bitte genau angeben):
Abhängig von den CrowdStrike-Angeboten und den Namenskonventionen und der Umgebung des Verantwortlichen, personenbezogene Daten, wie sie möglicherweise in einem Computernamen, Benutzernamen oder Dateinamen enthalten sind, oder den technischen Artefakte, die zu den im DPA beschriebenen Zwecken verwendet werden.
………………………………………………………………………………………………………………………………………………………………………………………………

Besondere Datenkategorien (falls zutreffend)
Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien (bitte genau angeben):
keine
………………………………………………………………………………………………………………………………………………………………………………………………

Verarbeitung

Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen (bitte genau angeben):

Bereitstellung/Nutzung von CrowdStrike-Angeboten. Personenbezogene Daten, die während der Bereitstellung und Nutzung der CrowdStrike-Angebote erfasst und verwendet werden können, um die CrowdStrike-Angebote bereitzustellen, zu unterstützen und zu verbessern, den Hauptvertrag zu durchzuführen und die Geschäftsbeziehung zwischen Ihnen und CrowdStrike zu fördern, gesetzliche Regelungen einzuhalten, gemäß Ihren schriftlichen Weisungen oder anderweitig in Übereinstimmung mit dieser Vereinbarung zu handeln.

Personenbezogene Daten im Zusammenhang mit der Bereitstellung und dem Betrieb der CrowdStrike-Angebote umfassen Angaben, die in Maschinenereignisdaten enthalten sind, Daten von Bedrohungsakteuren und vom Verantwortlichen übermittelte Daten, die verarbeitet werden, um die Geräte des Verantwortlichen vor unerwünschten Aktivitäten zu schützen und um zusätzliche, vom Verantwortlichen ausgewählte Anwendungen, Module, Funktionen und Dienste bereitzustellen.

Professional Services. Personenbezogene Daten, die im Zusammenhang mit Professional Services erhoben werden, z.B. als Teil von Computer-Imaging, Diagnose und Fehlerbehebung im Zusammenhang mit der Reaktion auf Vorfälle oder anderen forensisch orientierten Professional Services.

Datei/Dokumentenanalyse. Personenbezogene Daten, die in unbekannten oder verdächtigen Dateien oder Dokumenten vorhanden sind, die den CrowdStrike-Angeboten zur Analyse auf unerwünschte Aktivitäten oder Schwachstellen vorgelegt werden. Diese unbekannten oder verdächtigen Dateien und andere damit zusammenhängende Informationen werden zur Sicherheitsanalyse und -reaktion oder bei der Einreichung von Absturzberichten verwendet, um das Produkt zuverlässiger zu machen und/oder die Produkte und Dienstleistungen von CrowdStrike zu verbessern oder die Cybersicherheit zu erhöhen.

Support; Kundenkontoinformationen. Namen und Kontaktdaten Ihrer Mitarbeiter können im Zusammenhang mit dem technischen Support für die CrowdStrike-Angebote, der Verwaltung Ihres Kundenkontos und der Verbesserung Ihrer Erfahrung erhalten werden.

 

DATENEXPORTEUR

Name: …

Unterschrift des/der Bevollmächtigten: …

 

DATENIMPORTEUR

Name: …

Unterschrift des/der Bevollmächtigten: …

 

 

ANHANG 2 ZU DEN STANDARTVERTRAGSKLAUSELN

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):

Die technischen und organisatorischen Maßnahmen zur Datensicherheit sind im Hauptvertrag enthalten.

DATENEXPORTEUR

Name: …

Unterschrift des/der Bevollmächtigten: …

 

DATENIMPORTEUR

Name: …

Unterschrift des/der Bevollmächtigten: …