Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze zu den Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google

Google und der Kunde stimmen den Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google (die Bedingungen für Verantwortliche) zu, die die Vereinbarung ergänzen. Diese Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze zu den Bedingungen für Verantwortliche (die Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze) wird zwischen Google und dem Kunden geschlossen und ergänzt die Vereinbarung. Diese Ergänzung tritt mit dem 1. Januar 2023 oder dem Datum in Kraft, an dem der Kunde diese Ergänzung per Klick akzeptiert hat oder die Parteien ihr anderweitig zugestimmt haben, je nachdem was später eintritt.

1. Einführung

Google bietet unter Umständen bestimmte produktinterne Einstellungen, Konfigurationen oder andere Funktionen in Messdiensten an, die vom Kunden aktiviert werden können und bei denen evtl. die eingeschränkte Datenverarbeitung zum Tragen kommt, wie in den gelegentlich aktualisierten Begleitdokumenten unter business.safety.google/rdp beschrieben (Eingeschränkte Datenverarbeitung). Diese Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze regelt ausschließlich die Datenschutzbestimmungen mit Bezug auf die Datenfreigabeeinstellung (wenn die eingeschränkte Datenverarbeitung nicht aktiviert ist). Sie gilt nicht für die Bereitstellung der Messdienste. Der Kunde ist allein für die Einhaltung der geltenden US-bundesstaatlichen Datenschutzgesetze bei der Nutzung von Google-Diensten verantwortlich. Das gilt auch für die eingeschränkte Datenverarbeitung.

Diese Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze entspricht der Vereinbarung der Vertragsparteien zur Verarbeitung von personenbezogenen Kundendaten und de-identifizierten Daten (wie unten definiert) gemäß der Datenfreigabeeinstellung in Verbindung mit den geltenden US-bundesstaatlichen Datenschutzgesetzen (wie unten definiert). Die Ergänzung ist nur in dem Umfang wirksam, in dem die einzelnen geltenden US-bundesstaatlichen Datenschutzgesetze Anwendung finden.

2. Begriffsbestimmungen und Auslegung

2.1 Geltende US-bundesstaatliche Datenschutzgesetze bezeichnet je nach Anwendungsfall, (a) das CCPA, (b) das Gesetz von Virginia zum Schutz der Daten von Verbrauchern (Va. Code Ann. § 59.1-571 et seq.), (c) das Datenschutzgesetz von Colorado (Colo. Rev. Stat. § 6-1-1301 et seq.) sowie alle zugehörigen Durchführungsbestimmungen, (d) das Gesetz von Connecticut zum Datenschutz und zur Onlineüberwachung (Pub. Act No. 22015) oder (e) das Gesetz von Utah zum Schutz der Privatsphäre von Verbrauchern (Utah Code Ann. § 13-61-101 et seq.).

2.2 CCPA bezeichnet das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, CCPA) von 2018 in der jeweils gültigen Fassung, einschließlich der geänderten Fassung des California Privacy Rights Act von 2020, sowie alle zugehörigen Durchführungsbestimmungen.

2.3 De-identifizierte Daten bezeichnet Daten, die „de-identifiziert“ (wie durch das CCPA und andere geltende US-bundesstaatliche Datenschutzgesetze definiert) sind, wenn sie von einer Partei für die andere Partei offengelegt werden.

2.4 Die Begriffe Unternehmen, Verbraucher, Verantwortlicher, personenbezogene Daten, Verarbeitung und Verkauf haben in dieser Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze die Bedeutung, die ihnen in den geltenden US-bundesstaatlichen Datenschutzgesetzen zugewiesen wird.

2.5 Großgeschriebene Begriffe, die in dieser Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze verwendet, aber nicht definiert werden, haben die in den Bedingungen für Verantwortliche zugeschriebene Bedeutung.

3. Geltende Bedingungen für die US-bundesstaatlichen Datenschutzgesetze

3.1 De-identifizierte Daten: Alle Parteien halten die Voraussetzungen für die Verarbeitung de-identifizierter Daten ein, wie in den geltenden US-bundesstaatlichen Datenschutzgesetzen festgelegt. Das gilt für alle de-identifizierten Daten, die eine Partei gemäß der Datenfreigabeeinstellung von der anderen Partei erhält.

3.2 CCPA-Verpflichtungen von Google in Bezug auf personenbezogene Kundendaten, die bei deaktivierter eingeschränkter Datenverarbeitung gemäß der Datenfreigabeeinstellung verarbeitet werden, und sofern das CCPA für die Verarbeitung personenbezogener Kundendaten gilt:

  • (a) Google verarbeitet entsprechende personenbezogene Kundendaten gemäß der Datenfreigabeeinstellung wie näher in der Vereinbarung und der Begleitdokumentation (z. B. in zugehörigen Hilfeartikeln) beschrieben oder wie anderweitig gemäß dem CCPA zulässig. Die Parteien stimmen zu, dass personenbezogene Kundendaten Google für entsprechende Zwecke zur Verfügung gestellt werden.
  • (b) Google erlaubt folgende Arten von Audits, um sicherzustellen, dass Google die Verpflichtungen aus dieser Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze einhält:
    • (i) Der Kunde kann einen Audit durchführen, um sich zu vergewissern, dass Google die Verpflichtungen aus dieser Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze einhält, indem er (1) ein Zertifikat anfordert und überprüft, das zur Sicherheitsüberprüfung ausgestellt wurde und das Ergebnis eines Audits zeigt, das innerhalb von 12 Monaten nach der Anfrage durch den Kunden von einem externen Auditor durchgeführt wurde (z. B. eine Zertifizierung nach ISO/IEC 27001 oder ein vergleichbares Zertifikat oder eine andere Sicherheitszertifizierung anhand eines Audits, das von einem durch den Kunden und Google zugelassenen externen Auditors erstellt wurde), und (2) alle anderen Informationen anfordert und überprüft, die laut Google angemessenerweise vom Kunden auf Compliance überprüft werden sollten.
    • (ii) Google kann auch nach eigenem Ermessen und aufgrund einer Anfrage eines Kunden einen externen Auditor damit beauftragen, zu überprüfen, ob Google die Verpflichtungen aus dieser Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze einhält. Im Rahmen eines solchen Audits stellt Google dem externen Auditor alle Informationen zur Verfügung, die für den Compliancenachweis erforderlich sind. Wenn der Kunde einen solchen Audit anfordert, kann Google eine Gebühr (basierend auf den angemessenen Kosten von Google) für den Audit erheben. Google wird dem Kunden vor einem solchen Audit weitere Einzelheiten zu allen anfallenden Gebühren und deren Berechnungsgrundlage mitteilen. Alle Kosten, die für das Durchführen eines entsprechenden Audits durch einen externen Auditor entstehen, müssen vom Kunden getragen werden.
    • (iii) Nichts in dieser Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze verpflichtet Google dazu, dem Kunden oder einem externen Auditor folgende Informationen offenzulegen oder dem Kunden oder einem externen Auditor den Zugriff auf folgende Informationen zu gewähren:
      • (1) Daten eines anderen Kunden eines Google-Rechtssubjekts,
      • (2) interne Buchhaltungs- oder Finanzdaten des Google-Rechtssubjekts,
      • (3) Geschäftsgeheimnisse eines Google-Rechtssubjekts,
      • (4) jegliche Informationen, die nach angemessener Einschätzung von Google (A) die Sicherheit von Systemen oder Betriebsstätten eines Google-Rechtssubjekts gefährden oder (B) dazu führen könnten, dass ein Google-Rechtssubjekt seine Verpflichtungen gemäß den geltenden US-bundesstaatlichen Datenschutzgesetzen verletzt oder gegen seine Sicherheits- bzw. Datenschutzverpflichtungen gegenüber dem Kunden oder Dritten verstößt, oder
      • (5) jegliche Informationen, auf die der Kunde oder ein externer Auditor aus Gründen zugreifen möchte, die nicht damit zusammenhängen, die Verpflichtungen des Kunden gemäß den geltenden US-bundesstaatlichen Datenschutzgesetzen nach Treu und Glauben zu erfüllen.
  • (c) Google informiert den Kunden, sollte festgestellt werden, dass die Verpflichtungen gemäß dem CCPA nicht mehr erfüllt werden können.
  • (d) Wenn der Kunde angemessenen Grund zu der Annahme hat, dass Google personenbezogene Kundendaten auf unzulässige Weise verarbeitet, hat er das Recht, Google, wie unter privacy.google.com/businesses/processorsupport beschrieben, zu informieren. Die Parteien arbeiten dann nach Treu und Glauben zusammen, um ggf. eine Lösung für die vermeintlich gegen die Verpflichtungen verstoßenden Verarbeitungsaktivitäten zu finden.
  • (e) Google hält die geltenden Verpflichtungen gemäß CCPA ein und bietet dasselbe Maß an Datenschutz, wie gemäß CCPA erforderlich.

4. Änderungen an dieser Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze

Zusätzlich zu Abschnitt 9 der Bedingungen für Verantwortliche (Änderungen an diesen Bedingungen für Verantwortliche) kann Google diese Ergänzung für Verantwortliche für die Einhaltung der US-bundesstaatlichen Datenschutzgesetze ohne Vorankündigung ändern, wenn die Änderung (a) auf anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehörde basiert oder (b) nach billigem Ermessen von Google gemäß den anwendbaren US-bundesstaatlichen Datenschutzgesetzen keine erheblichen nachteiligen Auswirkungen auf den Kunden hat.

1. Januar 2023

War das hilfreich?
Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Anmelden, um weitere Supportoptionen zu erhalten und das Problem schnell zu beheben

Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü
Suchen in der Hilfe
true
true
true
true
69256
false
false