Skip Main Navigation

Datenverarbeitungsnachtrag-Auftragsdatenverarbeitung für Auftragsverarbeiter und Unterauftragsverarbeiter

Eventbrite Logo

Aktualisiert von Antwonne D.

Stand: 3. April 2018

HINWEIS: Weitere Informationen zu den Unternehmensrichtlinien von Eventbrite erhalten Sie eblink{hier=>https://www.eventbrite.de/l/LegalTerms}.

Überblick

Dieser Datenverarbeitungsnachtrag-Auftragsdatenverarbeitung ("DVN-ADV") regelt Dienstleistungen, die von Ihnen ("Sie", "Ihr" oder "Anbieter") als Auftragsverarbeiter oder Unterauftragsverarbeiter (wie unten definiert) für Eventbrite, Inc. und die mit ihm verbundenen Unternehmen ("Eventbrite") erbracht werden (die "Services"). Sie und Eventbrite werden hierin als "Vertragspartei" und zusammen als "Vertragsparteien" bezeichnet. Dieser DVN ergänzt Vereinbarungen zwischen den Vertragsparteien, wird darin integriert und bleibt wirksam für die Dauer von deren Laufzeit, einschließlich, jedoch nicht beschränkt auf unterzeichnete oder durch Klicken bestätigte Vereinbarungen oder, falls zutreffend, die API-Nutzungsbedingungen von Eventbrite (die "Vereinbarung"), für die Dauer der Services oder für die Dauer der Verarbeitung von Eventbrite-Daten, je nachdem, welche Dauer länger ist (die "Laufzeit"). Unbeschadet der Allgemeingültigkeit des vorstehend Gesagten ist der Gegenstand, die Art und der Zweck der Verarbeitung unter diesem Datenschutzgesetz die Erbringung der Dienstleistungen im Rahmen dieser Vereinbarung, und die Kategorien personenbezogener Daten und Kategorien der Datensubjekte sind jene, die zur Bereitstellung der Dienstleistungen im Rahmen der Vereinbarung notwendig sind, wie dies umfassender in derselben beschrieben ist.

1. Definitionen.

Alle in diesem DVN hervorgehobenen Begriffe, die nicht näher definiert werden, haben, falls zutreffend, die ihnen in der Vereinbarung zugewiesene Bedeutung. Für die Zwecke dieses DVN gilt Folgendes: 1.1 "Verbundene(s) Unternehmen" bezeichnet alle Unternehmen, die das betreffende Unternehmen kontrolliert, von denen es kontrolliert wird oder die gemeinsam mit ihm kontrolliert werden, unabhängig davon, ob dies am Datum der Vereinbarung oder danach der Fall ist. Für die Zwecke dieses DVN bezeichnet "Kontrolle" den Besitz oder die Kontrolle, direkt oder indirekt, von mehr als 20 % der ausstehenden stimmberechtigten Aktien eines Unternehmens oder den Besitz sonstiger Befugnisse über Management und Richtlinien. 1.2 "Anwendbare Datenschutzgesetze" bezeichnet sämtliche anwendbaren Gesetze und Vorschriften zum Datenschutz überall auf der Welt, einschließlich, falls zutreffend, der EU-Datenschutzrichtlinie 95/46/EG, der EU-Richtlinie 2002/58/EG über Datenschutz und elektronische Kommunikation sowie ab dem 25. Mai 2018 die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, "DSGVO") (alle in der jeweils gültigen Fassung). 1.3 "Verantwortlicher" bezeichnet die natürliche oder juristische Person, die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten bestimmt. 1.4 "Datenschutzverletzung" bezeichnet eine Sicherheitsverletzung, die unbeabsichtigt oder in bewusster Zuwiderhandlung die Vernichtung von Eventbrite-Daten nach sich zieht bzw. unbeabsichtigt zu Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff und zu sonstigen gesetzwidrigen Formen der Verarbeitung solcher Daten führt. 1.5 "Eventbrite-Daten" bezeichnet sämtliche Daten, einschließlich personenbezogener Daten, die im Rahmen der gemäß dieser Vereinbarung bereitgestellten Services dem Anbieter zur Verfügung gestellt oder anderweitig vom Anbieter im Auftrag von Eventbrite und/oder den mit diesem verbundenen Unternehmen erfasst und/oder aufgerufen werden. Eventbrite-Daten, bei denen es sich um personenbezogene Daten handelt, werden hier als "personenbezogene Eventbrite-Daten" bezeichnet. 1.6 "Personenbezogene Daten" bezeichnet Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei eine identifizierbare Person eine Person ist, die direkt oder indirekt identifiziert werden kann, insbesondere anhand einer Identifikationsnummer oder durch einen oder mehrere Faktoren, die für ihre physische, physiologische, mentale, ökonomische, kulturelle oder soziale Identität spezifisch sind. 1.7 "Grundsätze des Datenschutzschilds" bezeichnet die Grundsätze der Datenschutzschild-Vereinbarung (ergänzt durch die Zusatzgrundsätze) in Anhang II zum Durchführungsbeschluss der Europäischen Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (in der jeweils gültigen Fassung), dessen Details unter eblink{www.privacyshield.gov/eu-us-framework=>https://www.privacyshield.gov/eu-us-framework} zu finden sind. 1.8 "Auftragsverarbeiter" bezeichnet ein Unternehmen, das personenbezogene Daten im Auftrag und gemäß den Anweisungen eines Verantwortlichen verarbeitet. 1.9 "SVK" steht für die unter eblink{http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087=>http://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087} verfügbaren Standardvertragsklauseln in der jeweils gütigen Fassung. 1.10 "Unterauftragsverarbeiter" bezeichnet ein von einem Auftragsverarbeiter beauftragtes Unternehmen, das sich bereiterklärt, vom Auftragsverarbeiter personenbezogene Daten zu empfangen, die ausschließlich für die im Rahmen der Services durchzuführenden Verarbeitungsaktivitäten bestimmt sind. 1.11 "Anbieter" bezeichnet die natürliche oder juristische Person, die die Vereinbarung mit Eventbrite abgeschlossen hat.

2. Rolle der Vertragsparteien und Wesen der personenbezogener Daten.

2.1 Für die Zwecke dieses DVN kann Eventbrite als Verantwortlicher auftreten oder als Auftragsverarbeiter für einen seiner Kunden. Daher bestätigt der Anbieter, dass er als Auftragsverarbeiter für Eventbrite oder als Unterauftragsverarbeiter für Eventbrite auftreten kann. Sofern Eventbrite als Auftragsverarbeiter auftritt, ist Eventbrite vertraglich und/oder gemäß anwendbaren Datenschutzgesetzen verpflichtet, bestimmte Pflichten bezüglich des Datenschutzes auf die von ihm ernannten Unterauftragsverarbeiter zu übertragen. Daher gelten für den Anbieter sämtliche Pflichten, die Auftragsverarbeitern in diesem DVN auferlegt werden, unabhängig davon, ob er als Auftragsverarbeiter oder als Unterauftragsverarbeiter auftritt. 2.2. Wesen, Zweck und Gegenstand der im Rahmen der Services vom Anbieter durchgeführten Datenverarbeitungsaktivitäten sind in der Vereinbarung festgelegt. Die personenbezogenen Daten, die möglicherweise verarbeitet werden, können sich auf Eventveranstalter, Teilnehmer, Mitarbeiter, Auftragnehmer und Kontakte beziehen und Folgendes enthalten: Name, E-Mail-Adresse, Rechnungs- und Zahlungsinformationen, gebuchte, organisierte und besuchte Events sowie alle anderen personenbezogenen Daten, die gemäß der Vereinbarung verarbeitet werden dürfen.

3. Compliance des Anbieters.

3.1 Der Anbieter gewährleistet und verpflichtet sich, personenbezogene Eventbrite-Daten nur für die begrenzten und festgelegten Zwecke gemäß der Vereinbarung und/oder nach anderen gesetzlich zulässigen Anweisungen zu verarbeiten, die durch Eventbrite schriftlich (E-Mail oder anderweitig) erteilt werden, sofern nicht die anwendbaren Gesetze etwas anderes verlangen. Der Anbieter benachrichtigt Eventbrite unverzüglich, wenn eine Anweisung gegen anwendbare Datenschutzgesetze verstößt. 3.2 Vorbehaltlich Abschnitt 5 dieses DVN gilt: Wenn der Anbieter personenbezogene Eventbrite-Daten verarbeitet, die aus dem EWR, dem Vereinigten Königreich und/oder der Schweiz stammen, und diese personenbezogenen Eventbrite-Daten in ein Land überträgt, das nach Einschätzung der Europäischen Kommission angemessenen Schutz für personenbezogene Daten bietet, gewährleistet der Anbieter und erklärt sich bereit, (i) seine Pflichten gemäß anwendbaren Datenschutzgesetzen zu erfüllen und (ii) mindestens denselben Schutz für personenbezogene Eventbrite-Daten zu bieten, den die Grundsätze des Datenschutzschilds verlangen und/oder den Eventbrite anderweitig im zumutbaren Rahmen verlangt, nach Maßgabe der anwendbaren Datenschutzgesetze, um einen angemessenen Schutz für personenbezogene Eventbrite-Daten zu gewährleisten. Der Anbieter erklärt sich bereit, Eventbrite unverzüglich schriftlich zu benachrichtigen, wenn er seine Pflichten gemäß diesem Abschnitt 3.2 nicht erfüllen kann, und alle zumutbaren und angemessenen Maßnahmen zu ergreifen, um bei Nichteinhaltung Abhilfe zu schaffen und/oder die Verarbeitung personenbezogener Eventbrite-Daten einzustellen, wie von Eventbrite in seinem alleinigen Ermessen festgelegt. Wenn der Anbieter nicht gemäß den Grundsätzen der EU-US-Datenschutzschild-Vereinbarung zertifiziert wurde, gewährleistet der Anbieter und erklärt sich bereit, (i) die SVK einzuhalten, die als in diesen DVN aufgenommen gelten, und (ii) die in Anhang 1 festgelegten technischen und organisatorischen Sicherheitsmaßnahmen zu implementieren, bevor er die personenbezogenen Eventbrite-Daten verarbeitet.

4. Vertraulichkeit und Sicherheit.

4.1 Der Anbieter muss sicherstellen, dass jede Person, die er autorisiert, die Eventbrite-Daten zu verarbeiten (einschließlich Mitarbeiter, Erfüllungsgehilfen und Auftragnehmer des Anbieters) einer Geheimhaltungspflicht unterliegt. 4.2 Der Anbieter muss sicherstellen, dass während der gesamten Laufzeit der Vereinbarung oder der Dauer der Dienstleistungen, die er für Eventbrite als Auftragsverarbeiter oder Unterauftragsverarbeiter erbringt, angemessene technische und organisatorische Maßnahmen zum Schutz von Eventbrite-Daten implementiert und aufrechterhalten werden, einschließlich Schutz vor Datenschutzverletzungen. Wenn der Anbieter unter dem Datenschutzschild zertifiziert ist, müssen diese Maßnahmen nach Abschnitt 3 dieses DVN mindestens das gleiche Maß an Datenschutz bieten wie in den Grundsätzen des Datenschutzschilds vorgeschrieben.

5. Unterauftragsverarbeitung.

Der Anbieter muss Eventbrite benachrichtigen, wenn er im Zusammenhang mit personenbezogenen Eventbrite-Daten Unterauftragsverarbeiter einsetzt, und muss außerdem (i) sicherstellen, dass sich jeder Unterauftragsverarbeiter schriftlich vertraglich verpflichtet, mindestens das gleiche Maß an Schutz zu bieten wie in diesem DVN vorgeschrieben, und sich an anwendbare Datenschutzgesetze hält, (ii) gegenüber Eventbrite die volle Verantwortung und Haftung für Handlungen und Unterlassungen jedes Unterauftragsverarbeiters übernehmen, als wären sie Handlungen und Unterlassungen des Anbieters selbst, und (ii) Eventbrite auf Anfrage Details zu ernannten Unterauftragsverarbeitern angeben.

6. Kooperation und Rechte betroffener Personen.

Der Anbieter leistet jede im zumutbaren Rahmen von Eventbrite verlangte Unterstützung, um Eventbrite Folgendes zu ermöglichen: (i) Beantwortung, Erfüllung oder anderweitige Lösung von Anfragen, Fragen oder Beschwerden in Bezug auf Rechte, die Eventbrite (oder ein Eventbrite-Kunde) erhält von: (a) einer lebenden Person, deren personenbezogene Daten im Auftrag von Eventbrite vom Anbieter verarbeitet werden, oder (b) einer zuständigen, formell bestimmten Datenschutzbehörde; (ii) Erfüllung seiner Pflichten gemäß anwendbaren Datenschutzgesetzen (und Nachweis dieser Erfüllung). Falls solche Anfragen, Fragen oder Beschwerden gemäß diesem Abschnitt 5 direkt an den Anbieter gerichtet werden, muss der Anbieter Eventbrite unter Angabe sämtlicher Details benachrichtigen.

7. Audit.

Der Anbieter erklärt sich bereit, nach schriftlicher Ankündigung mit angemessenem Vorlauf Eventbrite (oder von diesem ernannten Prüfern) sämtliche Informationen zur Verfügung zu stellen, die Eventbrite im zumutbaren Rahmen für notwendig erachtet, damit Eventbrite prüfen kann, ob der Anbieter die Anforderungen dieses DVN erfüllt; dazu gehören das Ausfüllen entsprechender Fragebögen, die Vorlage von Sicherheitsrichtlinien und von Zusammenfassungen über Beurteilungen der Einhaltung von Branchenstandards (z. B. ISO 27001, SSAE 16 SOC II) sowie Eindringungstests und Prüfungen auf Sicherheitslücken.

8. Datenschutzverletzung.

Im Falle einer Datenschutzverletzung ergreift der Anbieter nur die folgenden Maßnahmen (es sei denn, er wurde von Eventbrite autorisiert): 8.1 Eventbrite unverzüglich benachrichtigen (spätestens innerhalb von 48 Stunden, nachdem die Datenschutzverletzung festgestellt wurde) und Eventbrite eine im zumutbaren Rahmen detaillierte Beschreibung der Datenschutzverletzung zukommen lassen sowie den Typ der davon betroffenen Daten und die Identität jeder einzelnen betroffenen Person mitteilen, sobald diese Informationen gesammelt werden können oder anderweitig verfügbar werden, sowie sonstige Informationen zu liefern, die Eventbrite im Zusammenhang mit der Datenschutzverletzung vertretbarerweise anfragt. 8.2 Die Datenschutzverletzung unverzüglich (beginnend spätestens innerhalb von 48 Stunden, nachdem die Datenschutzverletzung festgestellt wurde) untersuchen, nach Maßgabe seiner Verpflichtungen gemäß Abschnitt 3 (Vertraulichkeit und Sicherheit) zumutbare Anstrengungen zur Milderung ihrer Auswirkungen und Schäden unternehmen sowie sonstige Unterstützung leisten, die Eventbrite im Zusammenhang mit der Datenschutzverletzung vertretbarerweise anfragt.

9. Löschung oder Rückgabe von Daten.

Bei Kündigung oder Ablauf dieses DPA muss der Anbieter (auf Beschluss von Eventbrite) sämtliche in seinem Besitz oder unter seiner Kontrolle befindlichen Eventbrite-Daten (einschließlich sämtlicher Kopien dieser Daten sowie ggf. Eventbrite-Daten, die zur Unterauftragsverarbeitung an Dritte weitergegeben wurden) vernichten oder an Eventbrite zurückgeben, es sei denn, der Anbieter ist gesetzlich verpflichtet, Eventbrite-Daten aufzubewahren.

10. Entschädigung.

Der Anbieter hat Eventbrite, seine Kunden, leitenden Angestellten, Direktoren, Mitarbeiter, Beauftragten, Vertreter und verbundenen Unternehmen (jeweils ein "Freistellungsgläubiger") schadlos zu halten und freizustellen von sämtlichen Verlusten, Schäden, Kosten (einschließlich vertretbarer Anwalts- und Prozesskosten), Ausgaben und Schulden Dritter, die einem Freistellungsgläubiger dadurch entstehen, dass der Anbieter die Anforderungen dieses DVN nicht erfüllt.

11. Verschiedenes.

Mit Ausnahme der durch diesen DVN vorgenommenen Änderungen bleiben die Vereinbarung und/oder andere Vereinbarungen bezüglich der Services unverändert sowie in vollem Umfang gültig und wirksam. In Bezug auf Bestimmungen hinsichtlich der Verarbeitung personenbezogener Daten hat bei einem Konflikt zwischen der Vereinbarung einerseits und diesem DVN andererseits dieser DVN Vorrang. Bei einem Konflikt zwischen diesem DVN und einer anderen Bestimmung der Vereinbarung zwischen Ihnen und uns hat dieser DVN Vorrang; hiervon ausgenommen sind Fälle, in denen eine individuelle Datenverarbeitungsregelung zwischen Ihnen und Eventbrite ausgehandelt wurde, die sich von diesem DVN unterscheidet und die Anforderungen der anwendbaren Datenschutzgesetze vollständig erfüllt; in diesem Fall hat die jeweils ausgehandelte Regelung Vorrang.

Anhang 1

Erforderliche technische und organisatorische Sicherheitsmaßnahmen Im Sinne dieses Anhangs 1 bezieht sich der Begriff "Datenimporteur" auf den Anbieter. Richtlinien zur Informationssicherheit: Der Datenimporteur verpflichtet sich, Richtlinien zur Informationssicherheit zu implementieren, die definiert, vom Management genehmigt, veröffentlicht sowie gegenüber Mitarbeitern und relevanten externen Parteien kommuniziert werden. Überprüfung der Richtlinien zur Informationssicherheit: Der Datenimporteur verpflichtet sich, sicherzustellen, dass die Richtlinien zur Informationssicherheit in geplanten Intervallen oder im Falle erheblicher Änderungen überprüft werden, um ihre fortdauernde Eignung, Angemessenheit und Effektivität zu gewährleisten. Bewusstseinsschaffung und Schulung zur Informationssicherheit: Der Datenimporteur gewährleistet, dass alle Mitarbeiter der Organisation und ggf. Auftragnehmer angemessene Einweisungen und Schulungen zu für ihren jeweiligen Aufgabenbereich relevanten Richtlinien und Verfahren der Organisation erhalten und regelmäßig auf den aktuellen Stand gebracht werden. Umgang mit Ressourcen: Der Datenimporteur gewährleistet, dass Regeln zum Umgang mit Informationen und Ressourcen im Zusammenhang mit Daten und Datenverarbeitungseinrichtungen identifiziert, dokumentiert und implementiert werden. Klassifizierung von Informationen: Der Datenimporteur gewährleistet, dass sämtliche Informationen nach gesetzlichen Verpflichtungen, Wert und Wichtigkeit sowie ihrer Anfälligkeit für unbefugte Weitergabe oder Änderung klassifiziert werden. Entsorgung von Medien: Der Datenimporteur gewährleistet mithilfe formeller Verfahren, dass sämtliche nicht mehr benötigten Medien sicher entsorgt werden. Richtlinie zur Zugriffssteuerung: Der Datenimporteur gewährleistet, dass eine Richtlinie zur Zugriffssteuerung anhand geschäftlicher und auf die Informationssicherheit bezogener Anforderungen festgelegt, dokumentiert und überprüft wird. Richtlinie über den Einsatz von Kryptografieprotokollen: Der Datenimporteur gewährleistet, dass eine Richtlinie über den Einsatz von Kryptografieprotokollen zum Schutz von Informationen entwickelt und implementiert wurde. Physischer Sicherheitsbereich: Der Datenimporteur gewährleistet, dass Sicherheitsbereiche definiert und eingesetzt werden, um Bereiche zu schützen, in denen sich entweder sensible oder kritische Daten und Datenverarbeitungseinrichtungen befinden. Physische Zutrittskontrollen: Der Datenimporteur gewährleistet, dass gesicherte Bereiche durch geeignete Zutrittskontrollen geschützt werden, um sicherzustellen, dass nur autorisiertes Personal Zugang erhält. Sichere Entsorgung oder Wiederverwendung von Geräten: Der Datenimporteur gewährleistet, dass bei allen Geräten, die Speichermedien enthalten, vor einer Entsorgung oder Wiederverwendung überprüft wird, ob darauf befindliche vertrauliche Daten und lizenzierte Software entfernt oder sicher überschrieben wurden. Kontrollen gegen Malware: Der Datenimporteur implementiert Kontrollen zur Erkennung, Prävention und Wiederherstellung, um Daten vor Malware zu schützen, kombiniert mit entsprechender Aufklärung der Benutzer. Backup der Informationen: Der Datenimporteur implementiert eine Backup-Richtlinie, um die Anforderungen der Organisation hinsichtlich der Sicherung von Daten, Software und Systemen zu definieren. Management technischer Sicherheitslücken: Der Datenimporteur unternimmt Schritte zur Milderung technischer Sicherheitslücken, um die Gefährdung durch solche Sicherheitslücken zu verringern und zu gewährleisten, dass angemessene Maßnahmen im Hinblick auf das damit verbundene Risiko ergriffen werden. Audit-Kontrollen für Informationssysteme: Der Datenimporteur implementiert sorgfältig geplante und vereinbarte Audit-Anforderungen und -Aktivitäten mit Überprüfung technischer Systeme, um Störungen in Geschäftsabläufen zu minimieren. Netzwerkkontrollen: Der Datenimporteur gewährleistet, dass Netzwerke so verwaltet und kontrolliert werden, dass Daten in Systemen und Anwendungen geschützt sind und eine angemessene Trennung zwischen Gruppen von Informationsdiensten, Benutzern und Informationssystemen gewährleistet ist. Elektronische Nachrichten: Der Datenimporteur gewährleistet, dass Informationen in elektronischen Nachrichten angemessen geschützt werden. Vertraulichkeits- oder Geheimhaltungsvereinbarungen: Der Datenimporteur gewährleistet, dass Anforderungen hinsichtlich Vertraulichkeits- oder Geheimhaltungsvereinbarungen, die den Bedürfnissen der Organisation zum Schutz von Informationen entsprechen, identifiziert, regelmäßig überprüft und dokumentiert werden. Sicherung von Anwendungsdiensten in öffentlichen Netzwerken: Der Datenimporteur gewährleistet, dass Daten, die im Rahmen von Anwendungsdiensten öffentliche Netzwerke durchlaufen, vor betrügerischen Aktivitäten, vertraglichen Komplikationen sowie unbefugter Weitergabe und Änderung geschützt werden. Technische Prinzipien für sichere Systeme: Der Datenimporteur gewährleistet, dass technische Prinzipien für sichere Systeme festgelegt, dokumentiert, gepflegt und bei jeglicher Implementierung im Bereich der Informationssysteme angewendet werden. Systemsicherheitstests und Abnahme: Der Datenimporteur gewährleistet, dass während der Entwicklung Tests der Sicherheitsfunktionen durchgeführt werden und dass Abnahmeprogramme und dazugehörige Kriterien für neue Informationssysteme, Upgrades und neue Versionen festgelegt werden. Der Datenimporteur gewährleistet, dass Testdaten sorgfältig ausgewählt sowie geschützt und kontrolliert werden. Meldung und Reaktion bei für die Informationssicherheit relevanten Ereignissen: Der Datenimporteur gewährleistet, dass für die Informationssicherheit relevante Ereignisse so schnell wie möglich über geeignete Management-Kanäle gemeldet werden und dass bei für die Informationssicherheit relevanten Ereignissen gemäß den dokumentierten Verfahren reagiert wird. Planung für die Kontinuität der Informationssicherheit: Der Datenimporteur bestimmt seine Anforderungen in Bezug auf die Informationssicherheit und die Kontinuität der Informationssicherheit unter widrigen Umständen, z. B. während einer Krise oder Katastrophe.

Haben Sie immer noch Fragen? Unser Team kann helfen. Kontaktieren Sie uns.