Es ist offiziell! G-P Gia™ ist jetzt für alle verfügbar. Bereitstellung agentische Künstliche Intelligenz für globale HUMAN RESOURCES Compliance in großem Maßstab. Probieren Sie es jetzt!
Vergessen Sie das H-1B-Visum. Greifen Sie mit G-P Employer of Record™ auf Top-Talente zu.
G-P Logo
Angebot anfordern

Datenschutzbestimmungen der MSA

Letzte Aktualisierung: März 4, 2026

 NACHTRAG ZUM DATENSCHUTZ

Der Kunde hat mit G-P einen Rahmenvertrag oder eine Vereinbarung ähnlicher Art und ähnlichen Zwecks (nachfolgend „Rahmenvertrag“) abgeschlossen. Die Durchführung dieses Rahmenvertrags kann die Verarbeitung personenbezogener Daten beinhalten. Der Kunde und G-P (gemeinsam „Parteien“) vereinbaren, dass diese Datenschutzvereinbarung („DSV“) ihre Pflichten hinsichtlich der Verarbeitung und Sicherheit personenbezogener Daten im Zusammenhang mit den von G-P für den Kunden gemäß dem Rahmenvertrag erbrachten Dienstleistungen regelt, und die Parteien verpflichten sich, an diese DSV gebunden zu sein. Diese DSV ergänzt die Bestimmungen des Rahmenvertrags und ist Bestandteil desselben. Im Falle eines Widerspruchs zwischen dieser DSV und einer anderen Vereinbarung zwischen den Parteien zu den hierin festgelegten Punkten hat diese DSV Vorrang. Besteht zwischen dem Kunden und G-P bereits eine gültige, unterzeichnete Datenschutzvereinbarung, so hat diese Vorrang vor dieser DSV, und diese DSV ist unwirksam, sofern der Kunde und G-P nicht schriftlich etwas anderes vereinbaren.

 

Wohingegen:

  1. Wenn G-P dem Kunden Dienstleistungen als Arbeitgeber der Datenerfassung („Arbeitgeber der Datenerfassung“) erbringt G-P übernimmt die Rolle des rechtlichen Arbeitgebers für alle vom Kunden ausgewählten Personen („Fachkräfte“), die eingestellt werden sollen.Die
  2. Hinsichtlich der personenbezogenen Daten dieser Fachkräfte ist G-P während des Beschäftigungsverhältnisses Verantwortlicher.
  3. Hinsichtlich der vom Kunden für eigene Zwecke erhobenen und verwendeten personenbezogenen Daten von Fachkräften ist der Kunde ebenfalls ein Verantwortlicher mit unabhängigen Datenschutzpflichten.
  4. Bei der Erbringung der Employer-of-Record-Dienstleistungen erfolgt der Austausch personenbezogener Daten von Fachkräften zwischen G-P und Kunde im Rahmen einer unabhängigen Verantwortlichen-zu-Verantwortlichen-Beziehung und Es gelten die im Abschnitt 2 unten definierten Bedingungen für die Beziehung zwischen Controllern.
  5. G-P bietet außerdem verschiedene Software-as-a-Service-Produkte über die G-P-Plattform („GPP“) an, mit der G-P es dem Kunden ermöglicht, die Beziehung zu diesen Fachleuten zu verwalten.
  6. Indem GP dem Kunden Zugang zu GPP gewährt, fungiert G-P als Auftragsverarbeiter für die kontobezogenen Daten, die von den vom Kunden benannten autorisierten Benutzern von GPP in GPP hochgeladen werden. Es gelten die im nachstehenden Abschnitt 3 definierten Bedingungen für die Beziehung zwischen Auftraggeber und Auftragsverarbeiter.

 

G-P und Kunde haben Folgendes vereinbart:

 

1. DEFINITIONS

1.1. Hier nicht definierte Begriffe haben die im Rahmenvertrag festgelegten Bedeutungen. Die folgenden Begriffe in dieser Datenverarbeitungsvereinbarung haben die folgenden Bedeutungen:

1.2. Autorisierter Benutzerbezeichnet eine Person, die vom Kunden – gegebenenfalls auch ein Mitarbeiter und/oder Auftragnehmer des Kunden – gemäß der Unterzeichnung des Rahmenvertrags berechtigt ist, im Namen des Kunden auf das GPP zuzugreifen und es zu nutzen.

1.3. Kundendaten“ bezeichnet alle personenbezogenen Daten, die sich auf einen autorisierten Benutzer oder eine identifizierbare natürliche Person beziehen und die von G-P im Auftrag des Kunden zur Nutzung des GPP durch den Kunden übermittelt, verarbeitet oder gespeichert werden.

1.4. Datenschutzgesetze “ bezeichnet alle Datenschutz- und Privatsphärengesetze , denen eine Vertragspartei dieses Vertrags unterliegt und die auf die erbrachten Dienstleistungen anwendbar sind, einschließlich, aber nicht beschränkt auf, die Datenschutz-Grundverordnung, die britische Datenschutz-Grundverordnung, die schweizerischen Datenschutzgesetze, die US-amerikanischen Datenschutzgesetze (einschließlich staatlicher und bundesstaatlicher Gesetze) und das brasilianische LGPD.

1.5. Datenschutz-Grundverordnung“ bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679.

1.6. GPP“ bezeichnet die proprietäre Software von G-P, einschließlich, aber nicht beschränkt auf die Software selbst, die mobile Version, jegliche darin enthaltene Software sowie alle Daten, die durch die Nutzung der proprietären Software von G-P oder der Dienste Dritter, einschließlich deren Aktualisierungen, Upgrades, Platform-as-a-Service und Dokumentation, zur Verfügung gestellt werden.

1.7. EWR“ bedeutet Europäischer Wirtschaftsraum.

1.8. LGPD“ bezeichnet das brasilianische Gesetz Nr. 13.709, das Allgemeine Gesetz zum Schutz personenbezogener Daten, in seiner jeweils gültigen Fassung.

1.9. Rahmenvertrag “ bezeichnet die zwischen dem Kunden und G-P geschlossene Vereinbarungüber die Erbringung der Dienstleistungen.

1.10. Datenschutzrichtlinie“ bezeichnet die jeweils aktuelle Datenschutzrichtlinie vonG-P , abrufbar unter https://www.globalization-partners.com/privacy-policy/

1.11. Daten von Fachkräftenbezeichnet die personenbezogenen Daten von Fachkräften, die von G-P im Rahmen der Erbringung von Employer-of-Record-Dienstleistungen für den Kunden verarbeitet werden.

1.12. „Beschränkte Übermittlung“ bedeutet jede Übermittlung personenbezogener Daten in ein Land außerhalb des EWR, des Vereinigten Königreichs, der Schweiz oder Brasiliens, die keinem Angemessenheitsbeschluss nach den geltenden Datenschutzgesetzen unterliegt und daher geeignete Garantien nach den geltenden Datenschutzgesetzen erfordert .

1.13. „Dienstleistungen“ bezeichnet die Dienstleistungen, die G-P dem Kunden im Rahmen des Rahmenvertrags erbringt. Dazu gehören unter anderem die Dienstleistungen des Arbeitgebers der Eintragung sowie der Zugang und die Nutzung von GPP.

1.14. „Standardvertragsklauseln“ oder „SCCs“ bezeichnen (i) sofern die Datenschutz-Grundverordnung Anwendung findet, die dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4 Juni 2021 beigefügten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, abrufbar unter https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN („EU-SCCs“); (ii) sofern die britische Datenschutz-Grundverordnung Anwendung findet, die anwendbaren Standarddatenschutzklauseln, die gemäß Artikel 46(2)(c) angenommen wurden, oder (d) sofern die britische Datenschutz-Grundverordnung Anwendung findet, den vom Information Commissioner’s Office gemäß § 23 Abs. 1 Buchst. c) herausgegebenen Internationalen Datenübermittlungszusatz („UK-Zusatz“) zu den EU-Standardvertragsklauseln.119A(1) des Data Protection Act 2018, in der jeweils gültigen Fassung des britischen Zusatzes gemäß Abschnitt 18 („UK SCCs“); (iii) sofern die schweizerischen Datenschutzgesetze Anwendung finden, die von der Eidgenössischen Datenschutzbehörde und dem Information Commissioner’s Office herausgegebenen, genehmigten oder anerkannten Standarddatenschutzklauseln („Schweizer SCCs“); sofern das brasilianische LGPD Anwendung findet, die der Resolution CD/ANPD Nr. 19/2024 der brasilianischen Datenschutzbehörde („ANPD“) beigefügten Standardvertragsklauseln in ihrer jeweils gültigen Fassung („Brasilianische SCCs“).

1.15. „Schweizer Datenschutzgesetze“ oder „DSG“ bezeichnet (i) das Schweizer Bundesgesetz über den Datenschutz (vom 19 1992 Juni, in der Fassung 1 2019 März) („ DSG“); (ii) die Verordnung zum Bundesgesetz über den Datenschutz („ DSG“); und (iii) alle nationalen Datenschutzgesetze, die auf der Grundlage des Bundesgesetzes über den Datenschutz erlassen wurden, dieses ersetzen oder nachfolgen, sowie alle Gesetze, die eines der vorgenannten Gesetze ersetzen oder aktualisieren.

1.16. UK Addendumbezeichnet den vom britischen Informationsbeauftragten herausgegebenen Nachtrag des Vereinigten Königreichs zu den EU-Standardvertragsklauseln international Datentransfers.

1.17. „UK Data Protection Laws“ bezeichnet die Datenschutz-Grundverordnung in der Fassung, die durch Abschnitt 3 des britischen European Union (Withdrawal) Act 2019 („UK Datenschutz-Grundverordnung“) und des Data Protection Act 2018 in britisches Recht übernommen wurde (zusammen „UK Data Protection Laws“).

1.18. „US-Datenschutzgesetze“ bezeichnet die geltenden Gesetze, Verordnungen, Bestimmungen und Richtlinien der einzelnen Bundesstaaten der Vereinigten Staaten (USA) in Bezug auf die Verarbeitung personenbezogener Daten, einschließlich, aber nicht beschränkt auf: (a) den CCPA; (b) das Verbraucherdatenschutzgesetz von Virginia; (c) das Datenschutzgesetz von Colorado; (d) das Gesetz von Connecticut zum Datenschutz und zur Online-Überwachung; (e) das Verbraucherdatenschutzgesetz von Utah; und (f) alle ähnlichen Landesgesetze.

1.19. Die Begriffe „Verantwortlicher“, „Betroffene Person“, „Persönliche Daten“, „Persönliche Informationen“, „Datenschutzverletzung“, „Auftragsverarbeiter“, „Verarbeitung“, „Beschränkte Übermittlung“, „Dienstleister“ und/oder ähnliche Begriffe und Konzepte haben die in den Datenschutzgesetzen definierten Bedeutungen.

 

 

2. CONTROL OF PERSONAL DATA

2.1. Rollen der Parteien. Sofern G-P als unabhängiger Verantwortlicher agiert, erfüllt G-P seine datenschutzrechtlichen Pflichten bei der Verarbeitung personenbezogener Daten und verarbeitet diese gemäß G-PDatenschutzerklärung unter https://www.globalization-partners.com/privacy-policy/. Der Kunde erfüllt seine datenschutzrechtlichen Pflichten bei der Verarbeitung personenbezogener Daten als Verantwortlicher. Die Parteien verarbeiten personenbezogene Daten im Rahmen dieser Vereinbarung zur Auftragsverarbeitung in keinem Fall als gemeinsam Verantwortliche.

2.2. Verantwortlichkeiten und Bestätigungen. Jede Partei kann im Rahmen dieser Vereinbarung zur Auftragsverarbeitung (AVV) als unabhängiger Datenverantwortlicher personenbezogene Daten von Fachkräftenverarbeiten. Die Parteien verpflichten sich, ihre jeweiligen Pflichten zu erfüllen und alle personenbezogenen Daten fair und rechtmäßig in Übereinstimmung mit dieser AVV und allen für die Verarbeitung personenbezogener Daten geltenden Datenschutzgesetzen zu verarbeiten. Jede Partei stellt sicher, dass die Verarbeitung personenbezogener Daten auf den Zweck des von G-P bereitgestellten GPP beschränkt ist und auf einer Rechtsgrundlage für die rechtmäßige Verarbeitung beruht. Die Parteien unterstützen sich gegenseitig bei der Erfüllung ihrer jeweiligen Pflichten nach den Datenschutzgesetzen, insbesondere im Falle einer Datenschutzverletzung und bei der Beantwortung von Anfragen betroffener Personen und/oder Aufsichtsbehörden. 

 

3. PROCESSING OF PERSONAL DATA

 

3.1. Geltungsbereich. Die Nutzung von GPP kann die Verarbeitung von Kundendaten durch G-P als Auftragsverarbeiter oder Dienstleister im Auftrag des Kunden beinhalten.

3.2. Anweisungen. G-P verarbeitet Kundendaten gemäß den dokumentierten Anweisungen des Kunden. Der Kunde stimmt zu, dass diese Datenschutzvereinbarung, der Rahmenvertrag und Anlage I, die diesem Dokument beigefügt ist, enthält die vollständigen Anweisungen des Kunden an G-P bezüglich der Verarbeitung der Kundendaten. Zusätzliche oder abweichende Anweisungen müssen zwischen den Parteien schriftlich vereinbart werden, einschließlich der gegebenenfalls anfallenden Kosten für die Befolgung solcher Anweisungen. Der Kunde stellt sicher, dass seine Anweisungen den geltenden Datenschutzgesetzen entsprechen. Der Kunde erkennt an, dass G-P nicht dafür verantwortlich ist, die für das Geschäft des Kunden geltenden Gesetze zu ermitteln. Der Kunde stellt sicher, dass die Verarbeitung der Kundendaten durch G-Pgemäß den Anweisungen des Kunden nicht zu G-P Verstoß gegen geltendes Recht, einschließlich der geltenden Datenschutzgesetze, führt. G-P ist jedoch der Ansicht, dass eine Kundenanweisung gegen geltende Datenschutzgesetze verstößt, und G-P wird den Kunden so bald wie möglich darüber informieren G-P GP ist nicht verpflichtet, dieser Anweisung Folge zu leisten.

3.3. Einzelheiten zur Verarbeitung. Einzelheiten zum Gegenstand der Verarbeitung, ihrer Dauer, Art und ihrem Zweck sowie zur Art der Kundendaten und der betroffenen Personen sind in Anhang I dieser Vereinbarung aufgeführt. 

3.4. Einhaltung der Datenschutzbestimmungen. Kunde und G-P verpflichten sich, ihre jeweiligen Verpflichtungen gemäß den für die Verarbeitung der Kundendaten geltenden Datenschutzgesetzen gemäß Anhang I einzuhalten. Der Kunde trägt die alleinige Verantwortung dafür, die Einhaltung der Datenschutzgesetze hinsichtlich der Rechtmäßigkeit der Verarbeitung der Kundendaten vor der Offenlegung, Übermittlung oder anderweitigen Bereitstellung der Kundendaten an G-P sicherzustellen. Um Missverständnisse auszuschließen, wird darauf hingewiesen, dass der Kunde in allen Fällen, sofern erforderlich, die Einwilligung der betroffenen Personen zur Verarbeitung der Kundendaten durch G-P gemäß den Anweisungen des Kunden einholt.

3.5. Unterauftragnehmer. Der Kunde ermächtigt G-P , Auftragsverarbeiter („Unterauftragnehmer“) mit der Verarbeitung der Kundendaten im Zusammenhang mit den Dienstleistungen zu beauftragen und einzusetzen. Unterauftragnehmer können Dritte oder jedes Mitglied der G-P -Unternehmensgruppe sein. G-P kann die bereits zum Zeitpunkt dieser Auftragsverarbeitungsvereinbarung (AVV) beauftragten Unterauftragnehmer weiterhin einsetzen. Eine Liste dieser Unterauftragnehmer ist in Anhang III beigefügt. Kommt ein Unterauftragnehmer seinen oben genannten datenschutzrechtlichen Verpflichtungen nicht nach, haftet G-P gegenüber dem Kunden für die Erfüllung der Verpflichtungen des Unterauftragnehmers. G-P benachrichtigt den Kunden über GPP über jegliche Änderungen seiner Unterauftragnehmerliste. Widerspricht G-P Kunde innerhalb von 10 Tagen nach Erhalt dieser Benachrichtigung berechtigterweise der Hinzufügung oder Entfernung eines Unterauftragnehmers aus datenschutzrechtlichen Gründen und kann G-P diesem Widerspruch nicht zumutbar nachkommen, werden die Parteien die Bedenken des Kunden in gutem Glauben erörtern, um eine Lösung zu finden.

3.6. Technische und organisatorische Sicherheitsmaßnahmen. Unter Berücksichtigung von Branchenstandards, den Implementierungskosten, Art, Umfang, Kontext und Zweck der Verarbeitung sowie aller anderen relevanten Umstände im Zusammenhang mit der Verarbeitung der Kundendaten implementiert G-P geeignete technische und organisatorische Sicherheitsmaßnahmen, um sicherzustellen, dass die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der an der Verarbeitung der Kundendaten beteiligten Systeme und Dienste dem Risiko in Bezug auf diese Kundendaten angemessen sind, wie in Anhang II dieses Dokuments detailliert beschrieben. G-P wird regelmäßig (i) die Wirksamkeit seiner Schutzmaßnahmen, Kontrollen, Systeme und Verfahren testen und überwachen und (ii) vernünftigerweise vorhersehbare interne und externe Risiken für die Sicherheit, Vertraulichkeit und Integrität der Kundendaten ermitteln und sicherstellen, dass diese Risiken angegangen werden.

3.7. Vertraulichkeit. G-P stellt sicher, dass Personen, die zum Zugriff auf die Kundendaten berechtigt sind, (i) sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitsverpflichtung unterliegen und (ii) nur auf dokumentierte Anweisung von G-P auf die Kundendaten zugreifen, es sei denn, dies ist nach geltendem Recht erforderlich.

3.8. Datenschutzverletzung. G-P wird den Kunden unverzüglich benachrichtigen, sobald GP von einer Datenschutzverletzung im Zusammenhang mit der Verarbeitung von Kundendaten Kenntnis erlangt, und wird angemessene Anstrengungen unternehmen, den Kunden nach Möglichkeit bei der Minderung der negativen Auswirkungen einer Datenschutzverletzung zu unterstützen.

3.9. Löschung personenbezogener Daten. Bei Beendigung der Dienstleistungen (aus welchem Grund auch immer) gibt G-P die im GPP gespeicherten Kundendaten so bald wie möglich zurück oder löscht sie, es sei denn, geltendes Recht schreibt eine längere Speicherung der Kundendaten vor. Für diese Aufbewahrung gelten die Bestimmungen dieser Datenverarbeitungsvereinbarung weiterhin.

3.10. Anfragen betroffener Personen. G-P informiert den Kunden unverzüglich über alle Anfragen von betroffenen Personen bezüglich Kundendaten. Der Kunde ist für die Beantwortung dieser Anfragen verantwortlich. G-P unterstützt den Kunden im Rahmen des Zumutbaren bei der Beantwortung solcher Anfragen, sofern der Kunde im Rahmen der Nutzung des GPP nicht auf die betreffenden Kundendaten zugreifen kann.

3.11. Anfragen Dritter. Erhält G-P Anfragen von Dritten oder eine Anordnung eines Gerichts, einer Behörde, einer Aufsichtsbehörde oder einer anderen zuständigen Regierungsstelle, die für G-P im Zusammenhang mit der Verarbeitung von Kundendaten gemäß dieser Vereinbarung zuständig ist, leitet G-P diese Anfragen unverzüglich an den Kunden weiter. G-P wird solche Anfragen nicht ohne vorherige Zustimmung des Kunden beantworten, es sei denn, dies ist gesetzlich vorgeschrieben. Sofern dies nicht gesetzlich untersagt ist, wird G-P den Kunden vor jeder Offenlegung von Kundendaten informieren und in angemessener Weise mit dem Kunden zusammenarbeiten, um den Umfang dieser Offenlegung auf das gesetzlich Notwendige zu beschränken. 

3.12. Datenschutz-Folgenabschätzung und Vorabkonsultation. Soweit datenschutzrechtlich erforderlich, leistet G-P dem Kunden angemessene Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung im Zusammenhang mit der Verarbeitung von Kundendaten durch G-P und/oder bei allen erforderlichen Vorabkonsultationen mit Aufsichtsbehörden. G-P behält sich das Recht vor, dem Kunden für diese Unterstützung eine angemessene Gebühr in Rechnung zu stellen.

3.13. Prüfung. Der Kunde kann die Einhaltung dieser Datenverarbeitungsvereinbarung und der Datenschutzgesetze durch G-P überprüfen, indem er innerhalb von zwölf (12) Monaten ab dem Datum seiner Anfrage ein Sicherheitszertifikat anfordert, das das Ergebnis einer von einem externen Prüfer durchgeführten Prüfung widerspiegelt (z. B. ISO-Zertifizierung27001 , SOC-Zertifikat2 ) 3 13 kann der Kunde, falls die gemäß diesem Abschnitt und vorgelegten Unterlagen zum Nachweis der Einhaltung nicht ausreichen, zusätzlich zu den vorgelegten Zertifizierungen oder Berichten Dritter eine eigene Prüfung durchführen. Diese Prüfung muss folgende Bedingungen erfüllen: i) maximal einmal pro 12 (zwölf) Monaten; ii) während der üblichen Geschäftszeiten und ohne Beeinträchtigung des laufenden Geschäftsbetriebs von G-P ; iii) mit einer schriftlichen Vorankündigung von dreißig (30) Tagen; iv) auf alleinige Kosten des Kunden; v) basierend auf gemeinsam vereinbarten Parametern und einem festgelegten Umfang, beschränkt auf den spezifischen Umfang der hierunter vorgesehenen Dienstleistungen, Systeme und/oder Verarbeitungstätigkeiten. vi) basierend auf einem im Voraus vereinbarten Termin, der auf begründetes Verlangen von G-Pvom Kunden angemessen verschoben werden kann; und vii) unter Einhaltung aller Vertraulichkeitsverpflichtungen und -beschränkungen. Ungeachtet des Vorstehenden wird nach Beendigung des Rahmenvertrags kein Prüfungsrecht gewährt, außer für gesetzliche Verpflichtungen, die vom Kunden nachzuweisen sind. Jeder Dritte, der mit der Durchführung einer Prüfung im Auftrag des Kunden beauftragt wird, darf keine Beteiligung an oder Verbindung zu einem Employer of Record-Dienstleistungsunternehmen, einer Agentur, einer verbundenen Organisation oder einem Berater haben. Nichts in dieser DPA verpflichtet G-P , dem Kunden oder seinem externen Prüfer Folgendes offenzulegen oder dem Kunden oder seinem externen Prüfer den Zugriff darauf zu gestatten: (i) Daten anderer G-P-Kunden; (ii) interne Buchhaltungs- oder Finanzinformationen von G-P ; (iii) Geschäftsgeheimnisse von G-P oder seinen verbundenen Unternehmen; (iv) Informationen, die nach vernünftiger Einschätzung von G-Pdie Sicherheit der Systeme von G-Pgefährden oder einen Verstoß gegen seine Verpflichtungen nach geltendem Recht oder seine Sicherheits- oder Datenschutzverpflichtungen gegenüber Dritten verursachen könnten. oder v) jegliche Informationen, auf die der Kunde oder sein externer Prüfer aus einem anderen Grund als der Erfüllung der Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in gutem Glauben zugreifen möchte.

3.14. US-Datenschutzgesetze. Gemäß diesem Abschnitt 3 („Verarbeitung personenbezogener Daten“)vereinbaren die Parteien, dass G-P ein „Dienstleister“ bzw. „Auftragsverarbeiter“ im Sinne der geltenden US-Datenschutzgesetze ist. Soweit US-Datenschutzgesetze auf die Verarbeitung von Kundendaten durch G-P Anwendung finden, darf G-P daher (a) Kundendaten nicht außerhalb der direkten Geschäftsbeziehung zwischen G-P und dem Kunden oder für andere als die in Anhang I genannten Zwecke speichern, verwenden oder offenlegen und Kundendaten nur so lange verarbeiten, wie G-P dem Kunden Dienstleistungen erbringt; (b) Kundendaten nicht verkaufen; (c) Kundendaten nicht weitergeben; und (d) die von G-P vom Kunden oder in dessen Auftrag erhaltenen Kundendaten nicht mit „personenbezogenen Daten“ (im Sinne der geltenden Datenschutzgesetze) kombinieren, die GP von einer anderen Person oder in deren Auftrag erhält oder die G-P im Rahmen der eigenen Interaktion mit einem Verbraucher erhebt. Eine Kombination von Kundendaten ist jedoch zulässig, sofern sie im Rahmen der Erbringung von Dienstleistungen für den Kunden erfolgt. Soweit anwendbar, benachrichtigt jede Partei die andere Partei, wenn sie zu der Feststellung gelangt, dass sie ihren Verpflichtungen gemäß den US-amerikanischen Datenschutzgesetzen nicht mehr nachkommen kann.

 

 

4. International Data Transfers

4.1. Angemessener Schutz. G-P ist im Rahmen des normalen Geschäftsablaufs berechtigt, Kundendaten weltweit an verbundene Unternehmen und/oder Unterauftragnehmer zu übermitteln. Bei Übermittlungen in Gebiete, die von den zuständigen Datenschutzbehörden nicht als Gebiete mit einem angemessenen Schutzniveau für personenbezogene Daten gemäß den Datenschutzgesetzen anerkannt sind, stellt G-P sicher, dass geeignete Schutzmaßnahmen für die im Rahmen oder im Zusammenhang mit dem Rahmenvertrag übermittelten Kundendaten getroffen werden.

4.2. Rahmenwerk zum Datenschutz. Professionelle und Kundendaten werden in GPP gespeichert, das in den USA gehostet wird. G-P ist nach dem EU-US-Datenschutzrahmen (EU-US DPF) und gegebenenfalls der britischen Erweiterung zum EU-US-DPF sowie dem Schweizerisch-US-Datenschutzrahmen (Schweizerisch-US DPF) zertifiziert. G-PDie Zertifizierung von kann öffentlich auf der DPF- Website https://www.dataprivacyframework.gov/list eingesehen werden. Der EU-US-Datenschutzrahmen wurde von der Europäischen Kommission als angemessen erachtet, da er gemäß Artikel 45 der Datenschutz-Grundverordnung, der britischen Datenschutz-Grundverordnung bzw. der FADP einen rechtmäßigen Mechanismus für Datentransfers darstellt. Sollten die Datenschutzrahmen für ungültig erklärt, ausgesetzt oder anderweitig nicht mehr als angemessener Schutz für international Datentransfers anerkannt werden, verpflichtet sich der Auftragsverarbeiter, die von der Europäischen Kommission, dem britischen Information Commissioner’s Office (ICO) oder dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) – je nach Anwendbarkeit – erlassenen oder genehmigten Standardvertragsklauseln (SCCs) abzuschließen und einzuhalten. Die Parteien werden in gutem Glauben zusammenarbeiten, um alle erforderlichen ergänzenden Maßnahmen umzusetzen, die ein im Wesentlichen gleichwertiges Schutzniveau für die übermittelten Daten gewährleisten.

4.3. Standardvertragsklauseln. Die Parteien vereinbaren, dass, wenn die Übermittlung personenbezogener Daten vom Kunden (als „Datenexporteur“) an G-P (als „Datenimporteur“) eine eingeschränkte Übermittlung darstellt und die anwendbaren Datenschutzgesetze die Einrichtung geeigneter Schutzmaßnahmen erfordern, diese Übermittlung den entsprechenden Standardvertragsklauseln unterliegt, die als Bestandteil dieser Datenverarbeitungsvereinbarung gelten und wie folgt lauten:

  1. Im Zusammenhang mit der Übermittlung personenbezogener Daten Wenn etwas durch die Datenschutz-Grundverordnung geschützt ist, gelten die EU-Standardvertragsklauseln (SCCs) in folgender Form:
  1. Es gelten die Module Eins und Zwei;
  2. In Klausel 7 wird die optionale Docking-Klausel angewendet;
  3. In Klausel 9 von Modul Zwei findet Option 2 Anwendung, und die Frist für die vorherige Benachrichtigung über Änderungen des Unterauftragnehmers richtet sich nach Abschnitt 3.5 dieser DPA;
  4. In Klausel 11 findet die optionale Sprache keine Anwendung;
  5. Gemäß Klausel 12 unterliegen alle Ansprüche, die auf Grundlage der EU-Standardvertragsklauseln geltend gemacht werden, den im Rahmenvertrag festgelegten Bedingungen.
  6. In Klausel 17 findet Option 1 Anwendung, und die EU-Standardvertragsklauseln unterliegen irischem Recht.
  7. Gemäß Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands entschieden.
  8. Anhang I der EU-Standardvertragsklauseln gilt mit den in Anhang 1 dieser Datenverarbeitungsvereinbarung enthaltenen Informationen als vervollständigt; und
  9. Anhang II der EU-Standardvertragsklauseln gilt mit den in Anhang 2 dieser Datenverarbeitungsvereinbarung enthaltenen Informationen als vervollständigt;
  10. Anhang III des Moduls Zwei der EU-Standardvertragsklauseln gilt mit den in Anhang 3 dieser Datenverarbeitungsvereinbarung enthaltenen Informationen als abgeschlossen.

B. Im Hinblick auf die Übermittlung personenbezogener Daten, die den britischen oder schweizerischen Datenschutzgesetzen unterliegen, gelten die EU-Standardvertragsklauseln (SCCs) gemäß Unterabsatz (a) mit folgenden Änderungen:

  1. Verweise auf „Verordnung (EU) 2016/679 “ sind als Verweise auf die britischen Datenschutzgesetze bzw. die schweizerischen Datenschutzgesetze (je nach Anwendbarkeit) auszulegen;
  2. Verweise auf bestimmte Artikel der "Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze bzw. der schweizerischen Datenschutzgesetze (soweit anwendbar) ersetzt;
  3. Verweise auf „EU“, „Union“, „Mitgliedstaat“ und „Mitgliedstaatsrecht“ werden durch Verweise auf „Vereinigtes Königreich“ oder „Schweiz“ bzw. „britisches Recht“ oder „schweizerisches Recht“ (je nach Anwendbarkeit) ersetzt;
  4. Der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen im Vereinigten Königreich oder in der Schweiz von der Möglichkeit ausgeschlossen werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (d. h. im Vereinigten Königreich oder in der Schweiz) einzuklagen.
  5. Klausel 13(a) und Teil C des Anhangs I finden keine Anwendung, und die „zuständige Aufsichtsbehörde“ ist der britische Information Commissioner bzw. der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte der Schweiz (je nach Anwendbarkeit).
  6. Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ werden durch Verweise auf den „Informationsbeauftragten“ und die „Gerichte von England und Wales“ bzw. den „Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten“ und die „zuständigen Gerichte der Schweiz“ (je nach Anwendbarkeit) ersetzt;
  7. Gemäß Klausel 17 unterliegen die Standardvertragsklauseln dem Recht von England und Wales bzw. der Schweiz (je nach Anwendbarkeit); und
  8. Hinsichtlich der Übermittlungen, auf die die britischen Datenschutzgesetze Anwendung finden, wird Klausel 18 wie folgt geändert: „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten von England und Wales entschieden.“ Eine betroffene Person kann gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten eines jeden Landes im Vereinigten Königreich ein Gerichtsverfahren einleiten. Die Parteien vereinbaren, sich der Gerichtsbarkeit solcher Gerichte zu unterwerfen.", und hinsichtlich Übermittlungen, auf die das Schweizer Datenschutzrecht Anwendung findet, ist in Klausel 18(b) festzulegen, dass Streitigkeiten vor den zuständigen Gerichten der Schweiz beizulegen sind.
  9. In Bezug auf Daten, die durch die britische Datenschutz-Grundverordnung geschützt sind, gelten die EU-Standardvertragsklauseln wie folgt: (i) Sie gelten in der durch die Absätze (i) bis (viii) oben ergänzten Form; und (ii) sie gelten als gemäß Teil 2 des britischen Nachtrags geändert, der als Bestandteil dieser Datenverarbeitungsvereinbarung (DPA) gilt und als integraler Bestandteil dieser DPA angesehen wird. Darüber hinaus sind die Tabellen 1 bis 3 in Teil 1 des britischen Nachtrags mit den in Anhang I und Anhang II dieser DPA enthaltenen Informationen auszufüllen, und Tabelle 4 in Teil 1 des britischen Nachtrags gilt als ausgefüllt, wenn „keine der Parteien“ ausgewählt wird.

c. Im Hinblick auf die Übermittlung personenbezogener Daten, die dem brasilianischen LGPD unterliegen, sei es direkt oder durch Weitergabe an ein Land außerhalb Brasiliens, für das kein Angemessenheitsbeschluss der ANPD vorliegt,gelten die brasilianischen Standardvertragsklauseln als durch diese Bezugnahme in diese Datenverarbeitungsvereinbarung aufgenommen und wie folgt vervollständigt:

  1. Klausel 2 der brasilianischen Standardvertragsklauseln wird durch die in Anhang I enthaltenen Informationen erfüllt, in dem die Datenübertragung beschrieben wird.
  2. ICHGemäß Klausel 3 der brasilianischen Standardvertragsklauseln (SCCs) findet Option B Anwendung, wobei Weitergaben gemäß Abschnitt 3.5 („Unterauftragnehmer“) dieser Datenverarbeitungsvereinbarung zulässig sind. Gegenstand, Art und Dauer der Verarbeitung sind in Anhang I dieser Datenschutzvereinbarung dargelegt;
  3. Klausel 4 der brasilianischen Standardvertragsklauseln wird durch die in Anhang I dieser Datenverarbeitungsvereinbarung enthaltenen Informationen erfüllt. Ist G-P ein Verantwortlicher, so ist GP die „benannte Partei“ im Sinne der brasilianischen Standardvertragsklauseln und gilt für die Zwecke der Klausel 14 (Transparenz), der Klausel 15 (Rechte der betroffenen Person) und der Klausel 16 (Meldung von Vorfällen) der brasilianischen Standardvertragsklauseln. Der Kunde bleibt für die Einhaltung der Klauseln 14 (Transparenz), 15 (Rechte der betroffenen Person) und 16 (Meldung von Vorfällen) der brasilianischen Standardvertragsklauseln für alle personenbezogenen Daten verantwortlich, für die er ansonsten Verantwortlicher wäre;
  4. In Klausel 9 der brasilianischen Standardvertragsklauseln findet die optionale Docking-Klausel keine Anwendung; und
  5. Abschnitt III (Sicherheitsmaßnahmen) der brasilianischen Standardvertragsklauseln gilt mit den in Anhang II dieser Datenverarbeitungsvereinbarung enthaltenen Informationen als abgeschlossen.

 

Anhang I

Beschreibung der Datenverarbeitung

 

Parteien

Datenexporteur: Kundenunternehmen, das den Rahmenvertrag ausführt

Datenimporteur: G-P Einheit, die den Rahmenvertrag ausführt.

Kontaktdaten der Parteien

Die Kontaktdaten sind im Rahmenvertrag festgelegt.

 

Aktivitäten im Zusammenhang mit den übertragenen Daten

Tätigkeiten im Zusammenhang mit den Employer of Record Services und der Nutzung von GPP, die dem Kunden als Dienstleistung bereitgestellt werden.

Verarbeitungstätigkeiten

Die verarbeiteten/übermittelten personenbezogenen Daten können folgenden Verarbeitungstätigkeiten unterliegen: jegliche Vorgänge im Zusammenhang mit personenbezogenen Daten unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Erheben, Organisieren, Speichern, Aufbewahren, Verwenden, Abrufen, Abfragen, Archivieren, Übermitteln, Sperren, Löschen oder Vernichten von Daten, der Betrieb und die Wartung von Systemen, die Einhaltung gesetzlicher Bestimmungen sowie die Durchführung von Rechts- und Prüfungsfunktionen.

Dauer der Bearbeitung

G-P wird die Kundendaten für die Dauer des Rahmenvertrags und fortlaufend verarbeiten.

Art und Zweck der Verarbeitung

Der Kunde kann Kundendaten an G-P übermitteln, wobei der Umfang der Übermittlung nach eigenem Ermessen vom Kunden festgelegt und kontrolliert wird. Zweck der Datenverarbeitung ist die Erbringung der Dienstleistungen gemäß dem Rahmenvertrag.

Kategorien von betroffenen Personen

A) Die von den Parteien als unabhängigen Verantwortlichen ausgetauschten personenbezogenen Daten in Bezug auf die personenbezogenen Daten von Fachkräften.

B) Die von G-P als Datenverarbeiter verarbeiteten Kundendaten betreffen autorisierte Benutzer der GPP , zu denen auch Mitarbeiter und/oder Auftragnehmer des Kunden gehören können.

Arten von personenbezogenen Daten

· Kontaktdaten (wie Telefonnummer und E-Mail-Adresse).

· Mitarbeiter-/Auftragnehmerdaten (z. B. Berufsbezeichnung und Name des Unternehmens).

· Nutzungsdaten (z. B. Daten über das Gerät des autorisierten Benutzers und wie dieses Gerät mit dem GPP interagiert).

· Standortdaten (z. B. der aus der IP-Adresse abgeleitete Standort).

· Inhaltsdaten (wie zum Beispiel der Inhalt der Kundendateien bezüglich der Fachkräfte und der damit verbundenen Kommunikation).

· Anmeldeinformationen (wie Passwörter, Passwort-Hinweise und ähnliche Sicherheitsinformationen, die zur Authentifizierung und zum Kontozugriff auf das GPP verwendet werden).

· Alle von autorisierten Benutzern bereitgestellten personenbezogenen Daten.

Besondere Datenkategorien (falls zutreffend)

N / A

Mitarbeiterbindung

Personenbezogene Daten werden mindestens so lange aufbewahrt, wie es die gesetzlich vorgeschriebene Mindestaufbewahrungsfrist vorschreibt, die mit den geltenden Verjährungsfristen vereinbar ist und den Grundsätzen guter Geschäftspraxis entspricht.

Zuständige Aufsichtsbehörde

Die irische Datenschutzkommission

Übertragungen an Unterprozessoren

Bei Übermittlungen an Auftragsverarbeiter gelten die gleichen Bestimmungen hinsichtlich Gegenstand, Art und Dauer der Verarbeitung wie oben definiert.

Datenschutzhinweise G-P

 

privacy@G-P.com

Zu Händen des globalen Datenschutzbüros.

 

 

 

Anhang II

Technische und organisatorische Maßnahmen

 

G-P wurde von unabhängigen Auditoren zertifiziert und bestätigt, dass das Unternehmen die Standards SOC 2 und ISO 27001 erfüllt. Diese Zertifizierungen belegen unser Engagement für den Schutz von Kundendaten. Das Sicherheitsprogramm von G-Pist darauf ausgelegt:

  • Die Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten, die sich im Besitz von G-Pbefinden oder auf die G-P Zugriff hat, müssen geschützt werden.
  • Schutz vor vorhersehbaren Bedrohungen oder Gefahren für die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten;
  • Schutz vor unbefugtem oder rechtswidrigem Zugriff, Nutzung, Offenlegung, Änderung oder Zerstörung von Kundendaten;
  • Schutz vor versehentlichem Verlust, Zerstörung oder Beschädigung von Kundendaten; und
  • Schutz von Informationen gemäß den in den für die Regulierung G-P geltenden Vorschriften festgelegten Bestimmungen.

 

Im Folgenden werden die Funktionen, Prozesse, Kontrollen, Systeme, Verfahren und Maßnahmen beschrieben, die G-P ergriffen hat, um die Sicherheit der Verarbeitung von Kundendaten zu gewährleisten:

1) TECHNISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES UND -SCHUTZES 

  1. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen: G-P berücksichtigt die Anforderungen von Artikel 25 der Datenschutz-Grundverordnung bereits in der Konzeptions- und Entwicklungsphase der Produktentwicklung. Prozesse und Funktionalitäten sind so gestaltet, dass die Datenschutzgrundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung usw. sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.

  2. Verschlüsselung personenbezogener Daten: Sicherstellen, dass personenbezogene Daten im System nur so gespeichert werden, dass Dritte die betroffene Person nicht identifizieren können.

    1. Datenbank- und Speicherverschlüsselung: Bei allen von G-P verwendeten Datenbanken wird eine dem Stand der Technik entsprechende Verschlüsselung „im Ruhezustand“ eingesetzt, sodass die Daten aus der Datenbank nur nach ordnungsgemäßer Authentifizierung im jeweiligen Datenbanksystem gelesen werden können.

    2. Verschlüsselung mobiler Datenträger: Die Nutzung mobiler Datenträger zur Speicherung von Kundendaten ist nicht gestattet.

    3. Verschlüsselung der Datenträger auf Laptops: Auf allen Laptops der Mitarbeiter ist eine angemessene, dem neuesten Stand der Technik entsprechende Festplattenverschlüsselung installiert.

    4. Verschlüsselter Informations- und Dateiaustausch: Grundsätzlich wird der Austausch von Informationen und Dateien direkt über eine spezielle Anwendung verschlüsselt. Wenn personenbezogene Daten oder vertrauliche Informationen an Server übertragen werden müssen, die nicht über TLS-verschlüsselte HTTPS-Uploads gesendet werden können, werden diese unter Verwendung des Secure File Transfer Protocol (SFTP), eines verschlüsselten Envelope-Dienstes oder eines anderen dem Stand der Technik entsprechenden Verschlüsselungsmechanismus übertragen.

    5. E-Mail-Verschlüsselung: Grundsätzlich werden alle von Mitarbeitern der G-P versendeten E-Mails mit TLS verschlüsselt. Eine Ausnahme besteht möglicherweise, wenn der empfangende Mailserver TLS nicht unterstützt. Der Kunde hat sicherzustellen, dass die im Rahmen der Bestellung verwendeten Mailserver die TLS-Verschlüsselung unterstützen.

  3. Zugangskontrolle: Zugangskontrollen dienen dazu, die Nutzung und Verarbeitung von Daten, die dem Datenschutz unterliegen, durch unbefugte Personen zu verhindern.

    1. Verwendung von Authentifizierungsmethoden: Der Zugriff auf personenbezogene Daten erfolgt stets über verschlüsselte Protokolle: SSH, SSL/TLS, HTTPS oder vergleichbare Protokolle. Authentifizierungsverfahren für das IT-System: Anmeldung am IT-System mittels Multifaktor-Authentifizierung.

    2. Automatische Sperrung bei Inaktivität: Laptops, die von G-P -Mitarbeitern verwendet werden, werden mit einem Passwort oder einer PIN gesperrt, wenn sie nicht vom Benutzer benutzt werden. Darüber hinaus wird nach 15 Minuten Inaktivität automatisch eine Bildschirmsperre mit Passwortschutz eingerichtet.

    3. Einsatz von Antivirensoftware: Die von den Mitarbeitern von G-P verwendeten Laptops sind mit modernster Antivirensoftware ausgestattet, die auf allen betrieblichen oder geschäftlichen IT-Systemen stets auf dem neuesten Stand gehalten wird. Grundsätzlich dürfen Computer nicht ohne eingebauten Virenschutz betrieben werden, es sei denn, es wurden andere gleichwertige, dem Stand der Technik entsprechende Sicherheitsmaßnahmen getroffen oder es besteht kein Risiko. Die Standard-Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.

    4. „Clean Desk Policy“: Die Mitarbeiter von G-P werden angewiesen, personenbezogene Daten von Betroffenen weder auszudrucken noch lokal zu speichern, Arbeitsmaterialien nicht an einem Ort liegen zu lassen, an dem sie von Dritten eingesehen werden können, und alle Arbeitsmaterialien ordnungsgemäß aufzubewahren. Dokumente, die G-P laut Gesetz in Papierform aufbewahren muss, werden in verschlossenen Schränken gelagert.

  4. Zugriffskontrollen innerhalb der Plattform: Zugriffskontrollen gewährleisten, dass Personen, die zur Nutzung eines Verarbeitungssystems berechtigt sind, nur Zugriff auf die personenbezogenen Daten haben, die von ihrer Zugriffsberechtigung abgedeckt sind.

    1. Rollen und Berechtigungen

      1. Rollen- und Autorisierungsplattform – Kundenzugriff: Kundenbenutzer können die Kontoinformationen des Kunden einsehen und bearbeiten.

      2. Rollen- und Berechtigungsplattform – Professioneller Zugriff: Professionelle Benutzer können ihre eigenen beruflichen Informationen einsehen und bearbeiten. Fachkräfte können nach Bedarf und Genehmigung auch die Kundenzugriffsrolle erhalten.

      3. Rollen- und Autorisierungsplattform – Interner Zugriff: Benutzer mit internem Zugriff haben unterschiedliche Rollen. Sie haben unterschiedliche Zugriffsrechte zum Erstellen, Anzeigen, Bearbeiten und Genehmigen folgender Elemente:

        • Kundeninformationen

        • Abrechnungsdaten

        • Partnerinformationen

        • Informationen zu Personalakten

      4. Der Zugriff auf das Administrationssystem ist grundsätzlich auf geschulte Mitarbeiter in den Bereichen Kundensupport und Produktentwicklung beschränkt.

  5. Firewall as a Service: G-P verwendet eine externe Firewall als Dienst, die es ermöglicht, den Zugriff auf Websites zu gewähren oder zu blockieren, um sicherzustellen, dass Systeme nicht auf schädliche Inhalte zugreifen können und um den Zugriff auf unangemessene Inhalte einzuschränken.

  6. Protokoll der Anmeldungen auf der Plattform: G-P führt ein Protokoll aller Anmeldeaktivitäten.

  7. Trennbarkeit: Sicherstellen, dass personenbezogene Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden können und von anderen Daten und Systemen so getrennt sind, dass eine ungeplante Verwendung dieser Daten für andere Zwecke ausgeschlossen ist.

    1. Trennung von Entwicklungs-, Test- und Betriebsumgebungen: Daten aus der Betriebsumgebung dürfen nur dann in Test- oder Entwicklungsumgebungen übertragen werden, wenn sie vor der Übertragung vollständig anonymisiert wurden. Die Übertragung der anonymisierten Daten muss verschlüsselt oder über ein vertrauenswürdiges Netzwerk erfolgen. Software, die in die Betriebsumgebung übertragen werden soll, muss zunächst in einer identischen Testumgebung („Staging“) getestet werden. Programme zur Fehleranalyse oder zur Erstellung/Kompilierung von Software dürfen nur dann in der Betriebsumgebung eingesetzt werden, wenn dies unvermeidbar ist. Dies ist insbesondere dann der Fall, wenn Fehlersituationen von Daten abhängen, die aufgrund der Anonymisierungsanforderungen bei der Übertragung in Testumgebungen verfälscht würden.

    2. Trennung in Netzwerken: G-P trennt seine Netzwerke nach Aufgaben. Folgende Netzwerke werden permanent genutzt: Betriebsumgebung („Produktion“), Testumgebung („Staging“, „Sandbox“), Entwicklungsumgebung („Dev“), Büro-IT-Personal. Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z. B. für Wiederherstellungstests und Penetrationstests. Je nach den technischen Möglichkeiten werden die Netzwerke entweder physisch oder mittels virtueller Netzwerke getrennt.

  8. Verfügbarkeit Kontrolle: G-P ergreift die folgenden Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind.

    1. Datensicherungsverfahren/Datensicherung: Um eine ausreichende Verfügbarkeit zu gewährleisten, erstellt G-P täglich Snapshots seiner Datenbank und repliziert diese in eine andere Region. Es werden außerdem Maßnahmen ergriffen, um sicherzustellen, dass Mitarbeitern, die aufgrund ihrer Tätigkeit Daten einsehen müssen, nur Zugriff auf Replikate der Datensätze gewährt wird.

    2. Georedundanz in Bezug auf die Serverinfrastruktur für Produktivdaten und Backups

    3. IT-Incident-Management („Incident Response Management“): Es gibt ein Konzept und dokumentierte Verfahren für den Umgang mit Incidents und sicherheitsrelevanten Ereignissen. Dies umfasst die Planung und Vorbereitung der Reaktion auf Vorfälle, Verfahren zur Überwachung, Erkennung und Analyse sicherheitsrelevanter Ereignisse sowie die Festlegung entsprechender Verantwortlichkeiten und Meldewege im Falle einer Verletzung des Schutzes personenbezogener Daten im Rahmen der gesetzlichen Bestimmungen.

2) ORGANISATORISCHE MASSNAHMEN ZUR GEWÄHRLEISTUNG DES DATENSCHUTZES UND DER DATENSICHERHEIT

G-P hat die folgenden organisatorischen Maßnahmen ergriffen, um sicherzustellen, dass die Organisation in einer Weise arbeitet, die den Anforderungen an Datenschutz und Datensicherheit entspricht.

  1. Organisatorische Anweisungen: G-P hat ein Daten-Governance-Programm entwickelt und entwickelt es weiter. Dieses umfasst Richtlinien, Verfahren und Leitlinien, die von den Mitarbeitern zu befolgen sind. Die Dokumentation umfasst Anleitungen zur Identifizierung und zum Umgang mit Datenschutzproblemen, bewährte Verfahren zur Sicherstellung der Einhaltung der Datenschutzbestimmungen sowie Richtlinien für den Umgang mit Datenschutzvorfällen.
  2. Verpflichtung zu Vertraulichkeit und Datenschutz: G-P hat ein Daten-Governance-Programm entwickelt und entwickelt es stetig weiter. Dieses umfasst Richtlinien, Verfahren und Leitlinien, die von den Mitarbeitern zu befolgen sind. Alle Mitarbeiter und Auftragnehmer sind schriftlich zur Vertraulichkeit und zum Datenschutz sowie zur Einhaltung anderer relevanter Gesetze verpflichtet. Alle Mitarbeiter erhalten eine Schulung zu Datenschutz und Sicherheit. Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Die Audits werden auf der Grundlage gemeinsamer Testkriterien/Testschemata durchgeführt. Die Mitarbeiter und Auftragnehmer von G-P sind angewiesen, personenbezogene Daten nur aus rechtmäßigen Gründen, gemäß den geltenden Verträgen mit dem Kunden und dem jeweiligen Therapeuten, unter gebührender Berücksichtigung einer etwaigen ausdrücklichen Einwilligung des Betroffenen und in Übereinstimmung mit allen gesetzlichen Verpflichtungen der Organisation zu verarbeiten.
  3. Datenschutzschulung: Alle Mitarbeiter erhalten eine Datenschutz- und Sicherheitsschulung, die jederzeit auf G-P -Schulungsplattform eingesehen werden kann.
  4. Physische Zugangskontrollen: G-P hat die folgenden physischen Kontrollen eingerichtet, um unbefugten Personen den Zugang zu den für die Verarbeitung verwendeten IT-Systemen zu verweigern.
    1. Elektronischer Türschutz: Die Eingangstüren zu den Räumlichkeiten der G-P sind stets verschlossen und elektronisch gesichert. Die Türen werden über einen persönlichen elektronischen Transponder geöffnet.
    2. Kontrollierte Schlüsselverteilung: Die Schlüssel werden den Mitarbeitern von G-P zentral und dokumentiert zugeteilt. Diese elektronischen Transponder/Schlüssel konnten zentral von jedem Büroleiter oder der Personalabteilung deaktiviert werden.
    3. Aufsicht und Begleitung externer Personen: Externen Dienstleistern und anderen Dritten wird der Zutritt zu den Räumlichkeiten nur nach vorheriger Genehmigung oder in Begleitung eines Mitarbeiters von G-P gewährt. G-P wendet seine schriftliche Besucherrichtlinie an, wenn Besucher in die Räumlichkeiten eingeladen werden.
    4. Sicherung von Räumlichkeiten mit erhöhtem Schutzbedarf: Räumlichkeiten oder Schränke mit erhöhten Schutzanforderungen, wie z. B. Anwaltskanzleien und bestimmte Betriebsstätten, werden mit abschließbaren Schränken und Schubladen ausgestattet. Schränke und Schubladen, in denen Rechtsdokumente, Verträge und vertrauliche Unterlagen aufbewahrt werden, müssen stets verschlossen sein, außer wenn sie benutzt werden.
    5. Geschlossene Türen und Fenster: Die Mitarbeiter sind vom Unternehmen angewiesen, Fenster und Türen außerhalb der Bürozeiten geschlossen oder verriegelt zu halten.
  5. Wiederherstellbarkeit: G-P stellt sicher, dass die in Betrieb befindlichen Systeme im Falle eines physischen oder technischen Ausfalls wiederhergestellt werden können.

    1. Regelmäßige Tests der Datenwiederherstellung („Restore-Tests“): Es werden regelmäßig vollständige Wiederherstellungstests durchgeführt, um die Wiederherstellbarkeit im Notfall/Katastrophenfall zu gewährleisten.

    2. Notfallplan („Katastrophenbewältigungskonzept“): Es gibt ein Konzept für den Umgang mit Notfällen/Katastrophen und einen entsprechenden Notfallplan. G-P gewährleistet die Wiederherstellung aller Systeme auf Basis der Datensicherungen, üblicherweise innerhalb von 48 Stunden.

    3. Überprüfungs- und Bewertungsmaßnahmen: Darstellung der Verfahren zur regelmäßigen Überprüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

  6. Datenschutzteam: Die Organisation verfügt über ein globales Datenschutzbüro, das mit der Planung, Umsetzung, Bewertung und Anpassung von Maßnahmen im Bereich des Datenschutzes beauftragt ist.

  7. Risikomanagement: Es gibt einen Prozess zur Analyse, Bewertung und Zuordnung von Risiken sowie zur Ableitung von Maßnahmen auf der Grundlage dieser Risiken.

3) Unabhängige Überprüfung der Informationssicherheit

  1. Durchführung von Audits: Interne Audits zum Datenschutz und zur Informationssicherheit werden regelmäßig durchgeführt. Die Audits werden auf der Grundlage gemeinsamer Testkriterien/Testschemata durchgeführt.
  2. Überprüfung der Einhaltung von Sicherheitsrichtlinien und -standards: Die Einhaltung der geltenden Sicherheitsrichtlinien, -standards und sonstigen Sicherheitsanforderungen für die Verarbeitung personenbezogener Daten wird regelmäßig überprüft. Soweit möglich, werden diese Kontrollen stichprobenartig und unangekündigt durchgeführt.
  3. Überprüfung der Einhaltung der technischen Spezifikationen: Regelmäßige automatisierte und manuelle Schwachstellenscans werden von der IT-Abteilung oder anderem qualifizierten Personal durchgeführt, um die Sicherheit der Anwendungen und der Infrastruktur sowie die regelmäßige Weiterentwicklung des Produkts zu überprüfen. Detaillierte Penetrationstests werden von einem externen Dienstleister durchgeführt, um die Anwendungen und die Infrastruktur gezielt auf Schwachstellen zu untersuchen.
  4. Verarbeitung auf Anweisung: Die Mitarbeiter von G-P sind angewiesen, personenbezogene Daten nur aus rechtmäßigen Gründen, gemäß den geltenden Verträgen mit dem Kunden und dem Geschäftspartner, unter gebührender Berücksichtigung einer etwaigen ausdrücklichen Einwilligung des Betroffenen und im Einklang mit den gesetzlichen Verpflichtungen der Organisation zu verarbeiten.
  5. Sorgfältige Lieferantenauswahl: G-P hält sich bei der Auswahl von Anbietern und Lieferanten, die möglicherweise mit geschützten Daten in Berührung kommen, an seinen Lieferanten-Vorqualifizierungsprozess. Dieser Prozess beinhaltet Rückmeldungen der Finanz- und Rechts-/Datenschutzabteilung und umfasst Risikobewertung, Sicherheitsvorqualifizierung und Dokumentationszertifizierung. Lieferanten, die geschützte Daten verarbeiten, müssen nachweisen, dass sie die geltenden Datenschutzgesetze einhalten, einschließlich Artikel 28 der Datenschutz-Grundverordnung für erfasste Daten.

 

Anhang III 

Liste der Unterprozessoren

 

Subprozessor

Standort- und Kontaktinformationen

Beschreibung der Verarbeitung

G-P Tochtergesellschaften

https://www.globalization- partners.com/contact-us/

Bereitstellung der Plattform und des Kundenbeziehungsmanagements

Acumatica

3933 Lake Washington Blvd NE #350, Kirkland, WA 98033, USA

Finanzdienstleistungen

Amazon Web Services

PO Box 81226

Seattle, WA 98108-1226, USA

Hosting – Cloud-Dienstleister

Microsoft

Microsoft Corporation – Ein Microsoft-Weg

Redmond, Washington 98052 USA Telefon: (+1) 425-882-8080.

Unterstützung von Geschäftsprozessen für die Kommunikation (E-Mail) und das Servicemanagement

Atlassian

350 Bush Street Etage 13

San Francisco, CA 94104, USA

+1 415 701 1110

Geschäftsprozessunterstützung für das Dienstleistungsmanagement

DocuSign

DocuSign International (EMEA) Ltd, z. Hd.: Datenschutzteam, 5 Hanover Quay, Erdgeschoss, Dublin 2, Republik Irland

Dokumentenmanagement

Salesforce.com

Salesforce Tower, 415 Mission Street, 3rd Floor, San Francisco, CA 94105, USA

1-800-387-3285

Geschäftsprozessunterstützung für das Kundenbeziehungsmanagement (CRM)

Zendesk

989 Marktstraße

San Francisco, CA 94103, USA zendesk.com

888-670-4887

Helpdesk-Anfragen für den Kundensupport

Workday

6110 Stoneridge Mall Road
Pleasanton, CA 94588, USA

Unterstützung der Geschäftsprozesse bei der Verwaltung von Gehaltsabrechnung, Sozialleistungen, Personalwesen und Mitarbeiterdaten.

Service Now

2225 Lawson Lane
Santa Clara, CA, 95054

USA

 

Unterstützung von Geschäftsprozessen für IT-Service- und Betriebsmanagement, die Mitarbeiter- und Kundenerfahrung durch (automatisierte cloudbasierte Workflows)

Databricks

160 Spear Street, 15th Floor
San Francisco, CA 94105
1-866-330-0121

USA

Cloud-Data-Warehouse-Infrastruktur.

Datadog

620 8th Ave 45th Floor

New York, NY 10018

USA

 Serviceüberwachungs- und Debugging-Tool

Wise

Avenue Louise 54, Zimmer s52,

1050 Brüssel

Belgien

Online-Zahlungsabwickler

Google

1600 Amphitheatre Pkwy, Mountain View, CA 94043

Unterstützung von Geschäftsprozessen für die Kommunikation (E-Mail) und die interne Dokumentenablage