...

HotDocs-Datenverarbeitungszusatz 

Geltungsbereich, Rangfolge und Laufzeit 


Dieser Nachtrag zur Datenverarbeitung wird in die entsprechenden Endbenutzer-Lizenzvereinbarungen („EULA“) und/oder Geschäftsbedingungen aufgenommen, die diesen Nachtrag zur Datenverarbeitung ausdrücklich durch Verweis einbeziehen.

  • Sofern in diesem Datenverarbeitungszusatz nicht ausdrücklich anders angegeben, haben im Falle eines Widerspruchs zwischen den Bestimmungen in den geltenden Einbeziehungsdokumenten (wie unten definiert), einschließlich aller darin genannten Richtlinien oder Anhänge, und den Bestimmungen dieses Datenverarbeitungszusatzes die entsprechenden Bestimmungen dieses Datenverarbeitungszusatzes Vorrang.
  • Dieser Anhang zur Datenverarbeitung enthält die Bedingungen der Datenübertragungsvereinbarung von HotDocs (wie unten definiert), soweit zutreffend, als ob sie vollständig in diesen Vertrag aufgenommen worden wären.  Im Falle eines Widerspruchs zwischen den Bestimmungen dieses Anhangs zur Datenverarbeitung und denen der Datenübertragungsvereinbarung haben die Bestimmungen der Datenübertragungsvereinbarung Vorrang. 

2. Definitionen

  • „HotDocs“ bezeichnet Abacus Data Systems, Inc. zusammen mit den HotDocs-Tochtergesellschaften.
  • „Verbundenes Unternehmen“ oder „verbundene Unternehmen“ bezeichnet jede juristische Person, die von HotDocs kontrolliert wird, HotDocs kontrolliert oder unter gemeinsamer Kontrolle mit HotDocs steht.
  • „Anwendbares Datenschutzrecht“ bezeichnet (i) die Richtlinie 95/46/EG vom 24. Oktober 1995 in ihrer geänderten Fassung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Richtlinie“) bis zu ihrem Ersetzen durch die DSGVO, die ab dem 25. Mai 2018 gilt; (ii) die DSGVO; und (iii) alle anderen Datenschutzgesetze oder -vorschriften, die für die Verarbeitung personenbezogener Daten im Rahmen der EULA und/oder der Cloud-Service-Vereinbarung des Kunden gelten.
  • „Datenverantwortlicher“ bezeichnet die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
  • „Datenverarbeiter“ bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.
  • „Betroffene Person“ „bezeichnet die Person, auf die sich personenbezogene Daten beziehen (kein Unternehmen oder andere juristische Person).
  • „Datenübertragungsvereinbarung“ bezeichnet die Vereinbarung zwischen HotDocs und Kunden, sofern zutreffend, über die Übertragung personenbezogener Daten.
  • Daten außerhalb des Europäischen Wirtschaftsraums („EWR“), in denen die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln festgelegt sind. Die Datenübertragungsvereinbarung kann hier abgerufen werden.
  • „DSGVO“ bezeichnet die Datenschutz-Grundverordnung (EU 2016/679) und/oder alle Rechtsvorschriften, die diese nach dem Austritt des Vereinigten Königreichs aus der Europäischen Union beibehalten oder ersetzen. Soweit Rechtsvorschriften die DSGVO nach dem Austritt des Vereinigten Königreichs aus der Europäischen Union beibehalten oder ersetzen, sind Verweise auf die DSGVO als Verweise auf die am ehesten entsprechenden Bestimmungen dieser neuen Rechtsvorschriften zu verstehen.
  • „Personenbezogene Daten“ sind alle Informationen, die HotDocs im Auftrag des Kunden im Zusammenhang mit den vom Kunden bereitgestellten Produkten oder Dienstleistungen von HotDocs verarbeitet, die sich auf eine betroffene Person beziehen, die anhand eines Namens, einer Identifikationsnummer, Standortdaten, einer Online-Kennung oder eines oder mehrerer Faktoren, die für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser betroffenen Person spezifisch sind, identifiziert werden kann. Eine betroffene Person kann auch direkt oder indirekt durch Online-Kennungen einer Person identifiziert werden, wie z. B. Internetprotokolladressen und Cookie-Kennungen, die das Online-Verhalten der Person überwachen.
  • „Verarbeitung“, „Verfahren“, „Verfahren“ und „verarbeitet“ bezeichnen jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies mit automatischen Mitteln geschieht oder nicht, wie beispielsweise Erhebung, Erfassung, Organisation, Strukturierung, Speicherung (einschließlich Archivierung), Anpassung oder Veränderung, Abruf, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Verknüpfung, Sperrung, Löschung oder Vernichtung.
  • „Aufsichtsbehörde“ bezeichnet eine unabhängige Behörde, die von einem EU-Mitgliedstaat eingerichtet wurde.
  • „Dritter Unterauftragsverarbeiter“ bezeichnet einen von HotDocs beauftragten Drittunterauftragnehmer, der kein verbundenes Unternehmen von HotDocs ist und personenbezogene Daten gemäß Abschnitt 8 verarbeiten kann.
  • „Einbezogene Dokumente“ bezeichnet alle Endbenutzer-Lizenzvereinbarungen und/oder Geschäftsbedingungen, die diesen Datenverarbeitungszusatz ausdrücklich einbeziehen.
  • „Serviceauftragsformular“ bezeichnet ein vom Kunden ausgefülltes Dokument, über das der Kunde ein Abonnement, ein Produkt oder eine Dienstleistung von HotDocs erwirbt (einschließlich, aber nicht beschränkt auf Angebote, Serviceauftragsformulare, Serviceauftragsnachträge und Leistungsbeschreibungen).
  • „Kunde“ bezeichnet den Kunden (Einzelunternehmen oder juristische Person), der ein Serviceauftragsformular unterzeichnet hat, das den Bestimmungen der Gründungsdokumente unterliegt. Andere großgeschriebene Begriffe haben die Definitionen, die ihnen im entsprechenden Serviceauftragsformular, den entsprechenden Gründungsdokumenten oder wie unten angegeben zugewiesen sind.

3. Verantwortlicher und Auftragsverarbeiter für personenbezogene Daten und Zweck der Verarbeitung

  • Der Kunde ist und bleibt jederzeit der Verantwortliche für die von HotDocs verarbeiteten personenbezogenen Daten. Der Kunde ist für die Einhaltung seiner Verpflichtungen als Verantwortlicher gemäß den geltenden Datenschutzgesetzen verantwortlich, insbesondere für die Rechtfertigung jeder Übermittlung personenbezogener Daten an HotDocs (einschließlich der Bereitstellung aller erforderlichen Hinweise und der Einholung aller erforderlichen Einwilligungen und/oder Genehmigungen oder der anderweitigen Sicherstellung einer angemessenen Rechtsgrundlage gemäß den geltenden Datenschutzgesetzen) sowie für die Entscheidungen und Maßnahmen des Kunden hinsichtlich der Verarbeitung dieser personenbezogenen Daten.
  • Wenn HotDocs personenbezogene Daten verarbeitet, ist und bleibt HotDocs jederzeit ein Auftragsverarbeiter in Bezug auf die personenbezogenen Daten, die der Kunde HotDocs zur Verfügung stellt. HotDocs ist für die Einhaltung seiner Verpflichtungen als Auftragsverarbeiter gemäß den geltenden Datenschutzgesetzen verantwortlich. Nicht alle Produkte oder Dienstleistungen, die unter die Einbeziehungsdokumente fallen, erfordern zwangsläufig, dass HotDocs personenbezogene Daten verarbeitet.
  • HotDocs und alle Personen, die unter der Aufsicht von HotDocs handeln, einschließlich aller verbundenen Unternehmen von HotDocs und Drittunterauftragsverarbeiter gemäß Abschnitt 8, verarbeiten personenbezogene Daten ausschließlich zu folgenden Zwecken: (i) Bereitstellung der vom Kunden vertraglich vereinbarten Produkte oder Dienstleistungen, die in den Einbeziehungsdokumenten geregelt sind, (ii) die Einhaltung der dokumentierten schriftlichen Anweisungen des Kunden gemäß Abschnitt 5 oder (iii) die Einhaltung der regulatorischen Verpflichtungen von HotDocs gemäß Abschnitt 13.
  • Als Datenverantwortlicher garantiert, versichert und verpflichtet sich der Kunde gegenüber HotDocs, dass er rechtmäßige Gründe für die Verarbeitung personenbezogener Daten hat.

4. Kategorien personenbezogener Daten und betroffene Personen

  • Um dem Kunden die vertraglich vereinbarten Produkte oder Dienstleistungen bereitzustellen, die in den Einbeziehungsdokumenten geregelt sind, kann HotDocs einige oder alle der folgenden Kategorien personenbezogener Daten verarbeiten: persönliche Kontaktdaten wie Name, Privatadresse, Festnetz- oder Mobiltelefonnummer, Faxnummer, E-Mail-Adresse und Passwörter; Informationen über Familie, Lebensstil und soziale Verhältnisse, einschließlich Alter, Geburtsdatum, Familienstand, Anzahl der Kinder und Name(n) des Ehepartners und/oder der Kinder; Angaben zum Beschäftigungsverhältnis, darunter Name des Arbeitgebers, Berufsbezeichnung und Funktion, beruflicher Werdegang, Gehalt und sonstige Leistungen, Arbeitsleistung und sonstige Fähigkeiten, Ausbildung/Qualifikationen, Identifikationsnummern, Angaben zur Sozialversicherung und geschäftliche Kontaktdaten; Finanzdaten; gelieferte Waren und erbrachte Dienstleistungen; eindeutige IDs, die von Mobilgeräten, Netzbetreibern oder Datenanbietern erfasst wurden, IP-Adressen sowie Daten zum Online-Verhalten und zu Interessen.
  • Zu den Kategorien von betroffenen Personen, deren personenbezogene Daten zur Erfüllung von Verpflichtungen aus den geltenden Gründungsdokumenten verarbeitet werden können, gehören unter anderem Vertreter und Endnutzer des Kunden, wie z. B. Mitarbeiter, Bewerber, Auftragnehmer, Kooperationspartner, Partner, Lieferanten, Kunden und Klienten des Kunden.
  • Zusätzliche Kategorien personenbezogener Daten und/oder betroffene Personen können in den geltenden Serviceauftragsformularen oder den entsprechenden Einbeziehungsdokumenten beschrieben sein. Sofern in dem geltenden Serviceauftrag oder den entsprechenden Einbeziehungsdokumenten nicht anders angegeben, dürfen die vom Kunden an HotDocs bereitgestellten Inhalte keine sensiblen oder besonderen personenbezogenen Daten enthalten, die HotDocs zusätzliche oder andere Verpflichtungen hinsichtlich der Datensicherheit oder des Datenschutzes auferlegen als die in den geltenden Serviceauftragsformularen festgelegten.

5. Verarbeitung personenbezogener Daten

  • HotDocs verarbeitet personenbezogene Daten gemäß den schriftlichen Anweisungen des Kunden, wie sie im geltenden Serviceauftragsformular, dem entsprechenden Gründungsdokument und diesem Datenverarbeitungszusatz festgelegt sind, einschließlich der Anweisungen zur Datenübertragung gemäß Abschnitt 7.
  • Der Kunde kann HotDocs zusätzliche schriftliche Anweisungen zur Verarbeitung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen erteilen. HotDocs wird alle diese Anweisungen befolgen, soweit dies für HotDocs erforderlich ist, um (i) seinen Verpflichtungen als Auftragsverarbeiter gemäß den geltenden Datenschutzgesetzen nachzukommen oder (ii) den Kunden bei der Erfüllung seiner Verpflichtungen als Verantwortlicher gemäß den geltenden Datenschutzgesetzen zu unterstützen, die für die Nutzung von Produkten oder Dienstleistungen durch den Kunden relevant sind, die durch integrierte Dokumente geregelt sind, einschließlich der Unterstützung bei der Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Abschnitt 11, Anfragen von betroffenen Personen gemäß Abschnitt 6 und Datenschutz-Folgenabschätzungen (DPIAs) zu unterstützen.
  • Soweit dies nach geltendem Datenschutzrecht erforderlich ist, wird HotDocs den Kunden unverzüglich informieren, wenn nach seiner Auffassung die Anweisungen des Kunden gegen geltendes Datenschutzrecht verstoßen. Der Kunde erkennt an und stimmt zu, dass HotDocs nicht für die Durchführung von Rechtsrecherchen und/oder die Erteilung von Rechtsberatung an den Kunden verantwortlich ist.
  • Unbeschadet der Verpflichtungen von HotDocs gemäß Abschnitt 5 werden die Parteien in gutem Glauben über alle Kosten oder Gebühren verhandeln, die HotDocs möglicherweise entstehen, um Anweisungen hinsichtlich der Verarbeitung personenbezogener Daten zu befolgen, die den Einsatz von Ressourcen erfordern, die sich von denen unterscheiden oder zusätzlich zu denen sind, die HotDocs gemäß den geltenden Einbeziehungsdokumenten einsetzen muss.

6. Rechte der betroffenen Personen

  • Gegebenenfalls gewährt HotDocs dem Kunden elektronischen Zugriff auf alle relevanten Cloud-Umgebungen, in denen personenbezogene Daten zu Produkten oder Dienstleistungen gespeichert sind, die HotDocs dem Kunden gemäß den integrierten Dokumenten bereitstellt, damit der Kunde auf Anfragen von betroffenen Personen reagieren kann, die ihre Rechte gemäß den geltenden Datenschutzgesetzen ausüben möchten, darunter Anfragen auf Zugriff, Löschung oder Löschung, Einschränkung, Berichtigung, Empfang und Übermittlung, Sperrung des Zugriffs oder Widerspruch gegen die Verarbeitung bestimmter personenbezogener Daten oder Gruppen personenbezogener Daten.
  • Sofern dem Kunden kein elektronischer Zugang zur Verfügung steht, kann der Kunde eine „Serviceanfrage” über den HotDocs-Support oder ein anderes für die Dienste vorgesehenes primäres Support-Tool einreichen und HotDocs detaillierte schriftliche Anweisungen, einschließlich der zur Identifizierung der betroffenen Person erforderlichen personenbezogenen Daten, darüber zukommen lassen, wie HotDocs bei Anfragen der betroffenen Person in Bezug auf personenbezogene Daten helfen kann, die in einer entsprechenden Cloud-Umgebung gespeichert sind, in der personenbezogene Daten im Zusammenhang mit Produkten oder Dienstleistungen gespeichert sind, die HotDocs dem Kunden gemäß den Einbeziehungsdokumenten bereitstellt. HotDocs wird diese Anweisungen umgehend befolgen. Gegebenenfalls werden die Parteien in gutem Glauben über etwaige Kosten oder Gebühren verhandeln, die HotDocs entstehen können, um Anweisungen zu befolgen, die den Einsatz von Ressourcen erfordern, die sich von denen unterscheiden oder zusätzlich zu denen sind, die HotDocs gemäß den geltenden Einbindungsdokumenten zu leisten hat.
  • Wenn HotDocs direkt Anfragen von betroffenen Personen bezüglich personenbezogener Daten erhält, leitet es diese Anfragen unverzüglich an den Kunden weiter, ohne der betroffenen Person zu antworten, wenn die betroffene Person
  • Der Kunde als Datenverantwortlicher. Wenn die betroffene Person den Kunden nicht identifiziert, wird HotDocs die betroffene Person anweisen, sich an die für die Erhebung ihrer personenbezogenen Daten verantwortliche Stelle zu wenden.

7. Übermittlung personenbezogener Daten

  • Personenbezogene Daten, die in einer von HotDocs für den Kunden bereitgestellten Cloud-Umgebung gespeichert sind und den Einbeziehungsdokumenten unterliegen, werden in der im Serviceauftragsformular angegebenen Region des Rechenzentrums gehostet (sofern angegeben). Wenn die Region des Rechenzentrums im entsprechenden Serviceauftragsformular angegeben ist, wird HotDocs die betreffende Cloud-Umgebung ohne vorherige schriftliche Genehmigung des Kunden nicht in eine andere Region des Rechenzentrums migrieren.
  • Unbeschadet Abschnitt 7.1 kann HotDocs weltweit auf personenbezogene Daten zugreifen und diese verarbeiten, soweit dies zur Erfüllung der Aufgaben oder Verpflichtungen erforderlich ist, zu denen HotDocs gemäß den geltenden Gründungsdokumenten verpflichtet ist, einschließlich zu Zwecken der IT-Sicherheit, der Wartung und Leistung von Cloud-Umgebungen und der damit verbundenen Infrastruktur, des technischen Supports und des Änderungsmanagements.
  • Soweit dieser globale Zugriff eine Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum („EWR“) oder der Schweiz an HotDocs-Tochtergesellschaften oder Drittunterauftragsverarbeiter in Ländern außerhalb des EWR oder der Schweiz beinhaltet, für die keine verbindliche Angemessenheitsentscheidung der Europäischen Kommission oder einer zuständigen nationalen Datenschutzbehörde des EWR vorliegt, unterliegen solche Übermittlungen der Datenübermittlungsvereinbarung von HotDocs und dem Swiss-U.S. Privacy Shield Framework.

8. HotDocs-Partner und Drittunterauftragsverarbeiter

  • Vorbehaltlich der in den Abschnitten 3.3, 7 und 7.3 genannten Bedingungen und Einschränkungen erklärt sich der Kunde damit einverstanden, dass HotDocs verbundene Unternehmen von HotDocs und Drittunterauftragsverarbeiter beauftragen kann, um HotDocs bei der Erfüllung seiner Pflichten und Verpflichtungen zu unterstützen, die HotDocs gemäß den geltenden Einbeziehungsdokumenten zu erfüllen hat.
  • Innerhalb von vierzehn (14) Kalendertagen nach Übermittlung dieser Mitteilung durch HotDocs an den Kunden kann der Kunde der beabsichtigten Einbeziehung eines Drittunterauftragsverarbeiters oder eines verbundenen Unternehmens von HotDocs in die Erfüllung von Aufgaben oder Verpflichtungen, zu deren Erfüllung HotDocs gemäß den geltenden Einbeziehungsdokumenten verpflichtet ist, widersprechen, indem er objektive, gerechtfertigte Gründe im Zusammenhang mit der Fähigkeit dieses Drittunterauftragsverarbeitersoder des verbundenen Unternehmens von HotDocs, personenbezogene Daten gemäß den geltenden Datenschutzgesetzen angemessen zu schützen, schriftlich durch Einreichen einer „Serviceanfrage” über den HotDocs-Support oder ein anderes für die Dienste bereitgestelltes primäres Support-Tool. Ist der Widerspruch des Kunden gerechtfertigt, arbeiten der Kunde und HotDocs in gutem Glauben zusammen, um eine für beide Seiten akzeptable Lösung für diesen Einwand zu finden, einschließlich, aber nicht beschränkt auf die Überprüfung zusätzlicher Unterlagen, die die Einhaltung dieses Datenverarbeitungszusatzes und der geltenden Datenschutzgesetze durch den Drittunterauftragsverarbeiter oder das HotDocs-Tochterunternehmen oder die Erfüllung von Pflichten oder Verpflichtungen, zu denen HotDocs gemäß den geltenden Einbindungsdokumenten verpflichtet ist, ohne die Beteiligung eines solchen Drittunterauftragsverarbeiters belegen. Sofern der Kunde und HotDocs innerhalb eines angemessenen Zeitraums keine für beide Seiten akzeptable Lösung finden, hat der Kunde das Recht, die entsprechende Vereinbarung für Produkte oder Dienstleistungen (i) nach vorheriger Ankündigung gemäß den Bedingungen in den geltenden Einbeziehungsdokumenten zu kündigen, und (ii) ohne dass der Kunde von seinen Zahlungsverpflichtungen gemäß dem/den Serviceauftragsformular(en) und den geltenden Einbeziehungsdokumenten befreit wird.
  • Die verbundenen Unternehmen von HotDocs und die externen Unterauftragsverarbeiter sind verpflichtet, bei der Verarbeitung personenbezogener Daten dasselbe Datenschutzniveau und dieselben Sicherheitsstandards einzuhalten wie HotDocs gemäß diesem Datenverarbeitungszusatz. Der Kunde kann von HotDocs verlangen, dass ein Drittunterauftragsverarbeiter geprüft wird oder eine Bestätigung darüber vorgelegt wird, dass eine solche Prüfung stattgefunden hat (oder, sofern verfügbar, einen Prüfbericht eines Dritten über die Tätigkeiten des Drittunterauftragsverarbeiters einholt oder den Kunden dabei unterstützt, einen solchen Bericht einzuholen), um die Einhaltung dieser Verpflichtungen zu überprüfen. Der Kunde ist außerdem berechtigt, auf schriftliche Anfrage Kopien der relevanten Datenschutz- und Sicherheitsbestimmungen der Vereinbarung von HotDocs mit Drittunterauftragsverarbeitern und verbundenen Unternehmen von HotDocs, die personenbezogene Daten verarbeiten können, zu erhalten.
  • HotDocs bleibt jederzeit für die Erfüllung der Verpflichtungen der HotDocs-Partner und Drittunterauftragsverarbeiter gemäß den Bestimmungen dieses Datenverarbeitungszusatzes und den geltenden Datenschutzgesetzen verantwortlich. o Weitere Informationen zu unseren Unterauftragsverarbeitern finden Sie hier.

9. Technische und organisatorische Maßnahmen sowie Vertraulichkeit der Verarbeitung

  • HotDocs hat angemessene technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten implementiert und wird diese aufrechterhalten. Diese Maßnahmen berücksichtigen die Art, den Umfang und die Zwecke der Verarbeitung, wie in dieser Datenverarbeitungsvereinbarung festgelegt.

Nachtrag, und dienen dem Schutz personenbezogener Daten vor den Risiken, die mit der Verarbeitung personenbezogener Daten bei der Erfüllung von Aufgaben oder Verpflichtungen verbunden sind, zu denen HotDocs gemäß den geltenden Einbeziehungsdokumenten verpflichtet ist, insbesondere vor Risiken durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.

  • Insbesondere hat HotDocs die in den geltenden Gründungsdokumenten festgelegten physischen Zugriffs-, Systemzugriffs-, Datenzugriffs-, Übertragungs- und Verschlüsselungs-, Eingabe-, Datensicherungs-, Datentrennungs- und Sicherheitsüberwachungs-, Durchsetzungs- und sonstigen Sicherheitskontrollen und -maßnahmen implementiert. Dem Kunden wird empfohlen, die geltenden Einbeziehungsdokumente sorgfältig zu prüfen, um zu verstehen, welche spezifischen Sicherheitsmaßnahmen und -praktiken für die vom Kunden bestellten Produkte oder Dienstleistungen gelten, und um sicherzustellen, dass diese Maßnahmen und Praktiken für die Verarbeitung personenbezogener Daten gemäß diesem Datenverarbeitungszusatz angemessen sind.
  • Alle Mitarbeiter von HotDocs und HotDocs Affiliate sowie alle Drittunterauftragsverarbeiter, die möglicherweise Zugriff auf personenbezogene Daten haben, unterliegen entsprechenden Vertraulichkeitsvereinbarungen.

10. Prüfungsrechte und Zusammenarbeit mit dem Kunden und den Aufsichtsbehörden des Kunden

  • Der Kunde kann die Einhaltung der Verpflichtungen von HotDocs gemäß diesem Datenverarbeitungszusatz bis zu einmal pro Jahr überprüfen. Darüber hinaus können der Kunde oder die Aufsichtsbehörde des Kunden, soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist, einschließlich wenn dies von der Aufsichtsbehörde des Kunden vorgeschrieben ist, häufigere Audits durchführen, einschließlich Inspektionen der Cloud-Service-Rechenzentrumsanlage, in der personenbezogene Daten verarbeitet werden. HotDocs wird zu solchen Prüfungen beitragen, indem es dem Kunden oder der Aufsichtsbehörde des Kunden die Informationen und Unterstützung zur Verfügung stellt, die zur Durchführung der Prüfung angemessen erforderlich sind, einschließlich aller relevanten Aufzeichnungen über Verarbeitungsaktivitäten, die für die vom Kunden bestellten Produkte oder Dienstleistungen gelten.
  • Wenn ein Dritter die Prüfung durchführt, muss dieser Dritte zwischen dem Kunden und HotDocs einvernehmlich vereinbart werden (es sei denn, dieser Dritte ist eine zuständige Aufsichtsbehörde). HotDocs wird seine Zustimmung zu einem vom Kunden gewünschten externen Prüfer nicht ohne triftigen Grund verweigern. Der Dritte muss vor Durchführung der Prüfung eine für HotDocs akzeptable schriftliche Vertraulichkeitsvereinbarung unterzeichnen oder anderweitig einer gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
  • Um eine Prüfung zu beantragen, muss der Kunde mindestens zwei Wochen vor dem vorgeschlagenen Prüfungstermin einen detaillierten Prüfungsplan bei HotDocs einreichen. Der vorgeschlagene Prüfungsplan muss den vorgeschlagenen Umfang, die Dauer und den Starttermin der Prüfung beschreiben. HotDocs prüft den vorgeschlagenen Prüfungsplan und teilt dem Kunden etwaige Bedenken oder Fragen mit (z. B. Anfragen nach Informationen, die die Sicherheit, den Datenschutz, die Beschäftigung oder andere relevante Richtlinien von HotDocs gefährden könnten). HotDocs wird in Zusammenarbeit mit dem Kunden einen endgültigen Auditplan vereinbaren.
  • Wenn der angeforderte Prüfungsumfang in einem SSAE 16/ISAE 3402 Typ 2, ISO, NIST, PCI DSS, HIPAA oder einem ähnlichen Auditbericht behandelt wird, der von einem qualifizierten externen Auditor innerhalb der letzten zwölf Monate erstellt wurde, und HotDocs dem Kunden einen solchen Bericht vorlegt, der bestätigt, dass keine wesentlichen Änderungen an den geprüften Kontrollen bekannt sind, erklärt sich der Kunde damit einverstanden, die Ergebnisse des externen Auditberichts zu akzeptieren, anstatt ein Audit der gleichen Kontrollen zu verlangen, die im Bericht behandelt werden.
  • Die Prüfung muss während der regulären Geschäftszeiten in der betreffenden Einrichtung durchgeführt werden, vorbehaltlich des vereinbarten endgültigen Prüfungsplans und der Gesundheits- und Sicherheitsrichtlinien oder anderer relevanter Richtlinien von HotDocs, und darf die Geschäftsaktivitäten von HotDocs nicht unangemessen beeinträchtigen.
  • Der Kunde stellt HotDocs alle im Zusammenhang mit einer Prüfung gemäß diesem Abschnitt 10 erstellten Prüfungsberichte zur Verfügung, sofern dies nicht durch geltende Datenschutzgesetze untersagt ist oder eine Aufsichtsbehörde etwas anderes anordnet. Der Kunde darf die Auditberichte nur zum Zwecke der Erfüllung der regulatorischen Audit-Anforderungen des Kunden und/oder zur Bestätigung der Einhaltung der Anforderungen dieses Datenverarbeitungszusatzes verwenden. Die Auditberichte sind und bleiben vertrauliche Informationen der Parteien gemäß den Bestimmungen des geltenden Serviceauftragsformulars und/oder der geltenden Einbeziehungsdokumente.
  • Alle Audits gehen zu Lasten des Kunden. Die Parteien werden in gutem Glauben über alle Kosten oder Gebühren verhandeln, die HotDocs für die Unterstützung bei einem Audit entstehen können, das den Einsatz von Ressourcen erfordert, die sich von den Aufgaben und Pflichten unterscheiden oder zusätzlich zu diesen bestehen, die HotDocs gemäß den geltenden Gründungsdokumenten zu erfüllen hat.

11. Vorfallmanagement und Benachrichtigung bei Datenschutzverletzungen

  • HotDocs bewertet und reagiert umgehend auf Vorfälle, die den Verdacht auf einen unbefugten Zugriff auf personenbezogene Daten oder deren Verarbeitung („Vorfall“) erwecken oder darauf hindeuten. Alle Mitarbeiter von HotDocs und HotDocs-Tochtergesellschaften, die Zugriff auf personenbezogene Daten haben oder diese verarbeiten, sind angewiesen, auf Vorfälle zu reagieren, einschließlich der unverzüglichen internen Meldung, Eskalationsverfahren und Maßnahmen zur Sicherung der Beweiskette, um relevante Beweise zu sichern. Die Vereinbarungen von HotDocs mit Drittunterauftragsverarbeitern enthalten ähnliche Verpflichtungen zur Meldung von Vorfällen.
  • Um einen Vorfall zu beheben, definiert HotDocs Eskalationspfade und Reaktionsteams, an denen interne Funktionen wie Informationssicherheit und Rechtsabteilung beteiligt sind. Das Ziel der Reaktion von HotDocs auf Vorfälle besteht darin, die Vertraulichkeit, Integrität und Verfügbarkeit aller betroffenen Cloud-Umgebungen und der darin enthaltenen personenbezogenen Daten wiederherzustellen sowie die Ursachen und Abhilfemaßnahmen zu ermitteln. Je nach Art und Umfang des Vorfalls kann HotDocs auch den Kunden und externe Strafverfolgungsbehörden einbeziehen und mit ihnen zusammenarbeiten, um auf den Vorfall zu reagieren.
  • Soweit HotDocs Kenntnis davon erlangt und feststellt, dass ein Vorfall als Sicherheitsverletzung einzustufen ist, die zur widerrechtlichen Aneignung oder versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt, die auf HotDocs-Systemen oder in der entsprechenden Cloud-Umgebung übertragen, gespeichert oder anderweitig verarbeitet werden und die die Sicherheit, Vertraulichkeit oder Integrität dieser personenbezogenen Daten gefährdet („Verletzung des Schutzes personenbezogener Daten“), wird HotDocs den Kunden unverzüglich, spätestens jedoch innerhalb von 72 Stunden, über eine solche Verletzung des Schutzes personenbezogener Daten informieren.
  • HotDocs wird angemessene Maßnahmen ergreifen, um die Ursache(n) der Verletzung des Schutzes personenbezogener Daten zu ermitteln, mögliche nachteilige Auswirkungen zu mindern und eine Wiederholung zu verhindern. Sobald Informationen über die Verletzung des Schutzes personenbezogener Daten gesammelt werden oder HotDocs anderweitig in angemessener Weise zur Verfügung stehen, wird HotDocs dem Kunden, soweit gesetzlich zulässig, Folgendes zur Verfügung stellen (i) eine Beschreibung der Art und der vernünftigerweise zu erwartenden Folgen der Verletzung des Schutzes personenbezogener Daten; (ii) die Maßnahmen, die zur Minderung möglicher nachteiliger Auswirkungen und zur Verhinderung einer Wiederholung ergriffen wurden; (iii) soweit möglich, die Kategorien der personenbezogenen Daten und betroffenen Personen, einschließlich einer ungefähren Anzahl der Datensätze mit personenbezogenen Daten und betroffenen Personen, die Gegenstand der Verletzung des Schutzes personenbezogener Daten waren; und (iv) sonstige Informationen über die Verletzung des Schutzes personenbezogener Daten, die dem Kunden vernünftigerweise bekannt sind oder zur Verfügung stehen und die er möglicherweise einer Aufsichtsbehörde oder den betroffenen Personen offenlegen muss.
  • Sofern nicht anderweitig durch geltende Datenschutzgesetze vorgeschrieben, vereinbaren die Parteien, sich in gutem Glauben über die Ausarbeitung des Inhalts aller damit zusammenhängenden öffentlichen Erklärungen oder aller erforderlichen Mitteilungen an die betroffenen Personen und/oder Mitteilungen an die zuständigen Aufsichtsbehörden abzustimmen.

12. Rückgabe und Löschung personenbezogener Daten nach Beendigung des Abonnementvertrags des Kunden oder des Cloud-Dienstleistungsvertrags des Kunden

  • Nach Beendigung der Verpflichtungen von HotDocs zur Bereitstellung von Produkten oder Dienstleistungen gemäß einem Serviceauftragsformular und/oder integrierten Dokumenten wird HotDocs die personenbezogenen Daten des Kunden zurückgeben oder anderweitig zum Abruf bereitstellen, sofern im entsprechenden Serviceauftragsformular und/oder in den entsprechenden integrierten Dokumenten nicht ausdrücklich etwas anderes angegeben ist. Für alle Produkte oder Dienstleistungen, bei denen HotDocs keine Datenabruffunktion als Teil des geltenden Produkts oder der geltenden Dienstleistung bereitstellt, wird dem Kunden empfohlen, geeignete Maßnahmen zu ergreifen, um personenbezogene Daten zu sichern oder anderweitig separat zu speichern.
  • Nach Beendigung der Verpflichtung von HotDocs zur Bereitstellung von Produkten oder Dienstleistungen oder nach Ablauf der Abrufperiode nach Beendigung der entsprechenden Cloud-Umgebung (sofern verfügbar) löscht HotDocs unverzüglich alle Kopien personenbezogener Daten aus den Systemen von HotDocs oder der entsprechenden Cloud-Umgebung, indem diese personenbezogenen Daten unwiederherstellbar gemacht werden, sofern dies nicht gesetzlich vorgeschrieben ist. Die Praktiken von HotDocs zur Datenlöschung sind in den entsprechenden Einbeziehungsdokumenten näher beschrieben.

13. Gesetzlich vorgeschriebene Offenlegungsanträge

  • Wenn HotDocs eine Vorladung, eine gerichtliche, behördliche oder schiedsgerichtliche Anordnung einer Exekutiv- oder Verwaltungsbehörde, einer Aufsichtsbehörde oder einer anderen staatlichen Behörde erhält, die sich auf die Verarbeitung personenbezogener Daten bezieht („Offenlegungsersuchen“), leitet es dieses Offenlegungsersuchen unverzüglich an den Kunden weiter, ohne darauf zu antworten, sofern nicht anderweitig durch geltendes Recht vorgeschrieben (einschließlich der Bestätigung des Eingangs bei der Behörde, die das Offenlegungsersuchen gestellt hat).
  • Auf Wunsch des Kunden stellt HotDocs dem Kunden alle in seinem Besitz befindlichen Informationen zur Verfügung, die für die Offenlegungsanfrage relevant sein könnten, und leistet jede angemessene Unterstützung, die der Kunde benötigt, um rechtzeitig auf die Offenlegungsanfrage zu reagieren.

14. Kontakt

  • Wenn der Kunde Fragen oder Bedenken zu den in diesem Datenverarbeitungszusatz dargelegten Bedingungen hat, kann er sich schriftlich an uns wendenunter [email protected] oderper Post an:
    Attn: Lucio Rossi
    Mitratech Holdings, Inc. Wenn der Kunde einen Datenschutzbeauftragten benannt hat, kann er HotDocs auffordern, die Kontaktdaten des Datenschutzbeauftragten des Kunden in ein Serviceauftragsformular aufzunehmen, oder er kann HotDocs die entsprechenden Kontaktdaten nachträglich mitteilen, indem er eine „Serviceanfrage”über https://portal.abacusnext.com einreicht.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Seraphinite AcceleratorOptimized by Seraphinite Accelerator
Turns on site high speed to be attractive for people and search engines.