DPA – Verkäufer

Nachtrag zur Datenverarbeitung durch Lieferanten
(Mai 2023)

Dieser Nachtrag zur Datenverarbeitung durch Lieferanten („ Verkäufer DPA”) wird durch Bezugnahme in die Vereinbarung oder Bestellung aufgenommen und zu einem Teil der Vereinbarung oder Bestellung gemacht, für die BigID das Recht oder die Abonnementlizenz zur Nutzung der Dienste erhalten hat, und wird zwischen BigID und dem Anbieter (zusammen die „Vereinbarung").

Diese DPA ergänzt die Vereinbarung und legt die Bedingungen fest, die gelten, wenn personenbezogene Daten (siehe unten) vom Anbieter im Rahmen der Vereinbarung verarbeitet werden. Der Zweck der DPA besteht darin, sicherzustellen, dass die Verarbeitung gemäß geltendem Recht und unter Wahrung der Rechte und Freiheiten der Personen erfolgt, deren personenbezogene Daten verarbeitet werden.

Der Lieferant versteht, erkennt an und stimmt zu, dass diese DPA für ihn selbst und, soweit gemäß den geltenden Gesetzen und Vorschriften zum Datenschutz und zur Wahrung der Privatsphäre erforderlich, für den Umfang gilt, in dem der Lieferant personenbezogene Daten verarbeitet.

Im Zuge der Bereitstellung der Dienste für BigID gemäß der Vereinbarung kann der Anbieter personenbezogene Daten im Namen von BigID verarbeiten, und die Parteien vereinbaren, die folgenden Bestimmungen in Bezug auf alle personenbezogenen Daten einzuhalten, wobei jede Partei vernünftig und nach Treu und Glauben handelt.

Datenverarbeitungsbedingungen

1. Begriffsbestimmungen

„Partner“ bezeichnet jede Einheit, die die betreffende Einheit direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht, solange die Kontrolle besteht. "Kontrolle"bedeutet im Sinne dieser Definition den direkten oder indirekten Besitz oder die Kontrolle von mehr als 50% der Stimmrechte des betreffenden Unternehmens.

„Vereinbarung(en)“ „hall“ bezeichnet die kommerzielle Vereinbarung zwischen BigID und dem Anbieter, die die für die Dienstleistungen geltenden Geschäftsbedingungen festlegt, gemäß denen die geschützten Informationen verarbeitet werden. Dies kann beispielsweise ein Rahmendienstleistungsvertrag, ein Professional Services Agreement, ein Software-as-a-Service-Vertrag und/oder ein Datenverarbeitungsvertrag sein.

„BigID“ bezeichnet die BigID-Einheit, die sowohl Vertragspartei der Vereinbarung als auch dieser DPA ist. Dabei kann es sich um BigID, Inc. handeln, ein im Bundesstaat Delaware eingetragenes Unternehmen.

„BigID-Personendaten“ bezeichnet alle personenbezogenen Daten, einschließlich geschützter Informationen, die dem Anbieter von BigID oder in dessen Namen im Zusammenhang mit dieser Vereinbarung oder zur Erleichterung der Bereitstellung von Diensten zur Verfügung gestellt werden.

„Geschäftszwecke“ bezeichnet die Verwendung personenbezogener Daten für betriebliche Zwecke oder andere mitgeteilte Zwecke, vorausgesetzt, dass die Verwendung personenbezogener Daten angemessen und notwendig ist, um den betrieblichen Zweck zu erreichen, für den die personenbezogenen Daten erhoben oder verarbeitet wurden, oder für einen anderen betrieblichen Zweck, der mit dem Kontext, in dem die personenbezogenen Daten erhoben wurden, vereinbar ist. Kategorien von Geschäftszwecken können sein: (a) Überprüfung der Interaktionen mit Verbrauchern; (b) Sicherheit; (c) Fehlerbehebung oder Reparatur der Services; (d) Erbringung der Services der Vereinbarung, die Folgendes umfassen können, aber nicht darauf beschränkt sind: Führung oder Betreuung von Konten, Bereitstellung von Kundenservice, Verarbeitung oder Erfüllung von Bestellungen und Transaktionen, Überprüfung von Informationen, Verarbeitung von Zahlungen, Bereitstellung von Finanzierungen, Bereitstellung von Analyseservices oder Bereitstellung ähnlicher Services; (e) interne Forschung für Entwicklung; (f) Aufrechterhaltung der Qualität, Überprüfung und Sicherheit der Services; und (g) kurzfristige vorübergehende Verwendungen, vorausgesetzt, dass personenbezogene Daten nicht an Dritte weitergegeben werden und nicht verwendet werden, um ein Profil über eine betroffene Person zu erstellen oder die Erfahrung einer Person außerhalb der aktuellen Transaktion zu ändern.

"Verbraucher" bezeichnet die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen.

"Regler" bezeichnet eine Einheit, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, einschließlich gegebenenfalls aller „Unternehmen“ im Sinne der Definition dieses Begriffs im CCPA in der geänderten Fassung und seinen Durchführungsbestimmungen.

„Betroffene Person“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen.

"Europa" bezeichnet den Europäischen Wirtschaftsraum (der aus den Mitgliedstaaten der Europäischen Union sowie Norwegen, Island und Liechtenstein besteht) sowie für die Zwecke dieser DPA das Vereinigte Königreich und/oder die Schweiz.

„Verschlüsselung“ bedeutet Verschlüsselung, die auf branchenerprobten, akzeptierten und kompromisslosen Algorithmen basiert und mindestens den vom NIST empfohlenen Standards für Verschlüsselungsalgorithmen in der jeweils aktuellen Fassung entspricht.

„DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (die „EU-DSGVO“) sowie für die Zwecke dieser DPA die britische Datenschutz-Grundverordnung, da sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 (die „UK-DSGVO“) Teil des Rechts von England, Wales, Schottland und Nordirland ist.

„Personenbezogene Daten“ oder „Persönliche Informationen“ bezeichnet personenbezogene Daten, die eine natürliche Person oder einen Haushalt identifizieren, beschreiben, sich auf diese beziehen, mit ihnen in Verbindung gebracht werden können oder vernünftigerweise mit ihnen verknüpft werden könnten oder zu ihrer Identifizierung (direkt oder indirekt) verwendet werden können. Personenbezogene Daten können Folgendes umfassen, sind aber nicht beschränkt auf: (i) Vor- und Nachname, Privat- oder andere physische Adresse, Telefonnummer, Faxnummer, E-Mail-Adresse, Sozialversicherungsnummer oder andere von der Regierung ausgestellte Kennungen, Kreditkartennummern, Bankkontoinformationen, Unterschrift, Führerscheininformationen, Informationen aus von der Regierung ausgestellten Ausweisen, Lichtbilder, biometrische Informationen, Geburtsdatum, Mädchenname der Mutter; politische oder religiöse Zugehörigkeit; sexuelle Orientierung; berufliche oder schulische Informationen; physiologische, biologische oder Verhaltensmerkmale; Schlaf-, Gesundheits- oder Trainingsdaten; Audio-, elektronische, visuelle, thermische, olfaktorische oder ähnliche Informationen; (ii) alle Indikatoren für den Gesundheitszustand oder den geistigen Zustand einer Person, wie etwa eine Krankenakte oder -geschichte, ein medizinischer Behandlungsplan oder die Diagnose eines medizinischen Fachpersonals; (iii) Informationen oder Daten, die direkt aus der Interaktion einer Person mit der Benutzeroberfläche einer Anwendung, Geolokalisierungsdaten oder anderen elektronischen Informationen erhoben werden; (iv) indirekt erfasste Informationen oder Daten, wie etwa IMEI, UDID, MAC-Adresse, IP-Adresse, Cookie-ID usw.; (v) Informationen oder Daten, die über das Kaufverhalten einer Person erfasst werden, wie etwa Kauf- und Transaktionsverlauf oder -tendenzen, Standortdaten, Web- und/oder mobile Browserdaten, Websuchverlauf oder die verwendeten Anwendungen, die mit einem eindeutigen Profil verknüpft sind; (vi) Schlussfolgerungen, die ein Profil über einen Verbraucher ermöglichen würden, das die Vorlieben, Eigenschaften, psychologischen Tendenzen, Veranlagungen, das Verhalten, die Einstellungen, die Intelligenz, Fähigkeiten und Fertigkeiten des Verbrauchers widerspiegelt; und (vii) alle anderen Datenelemente, die durch geltendes Recht geregelt sind. Zu den personenbezogenen Daten zählen ausdrücklich personenbezogene Daten oder PII (allgemein verstanden als Datenelemente, die ausreichen, um eine einzelne Person zu lokalisieren, zu kontaktieren oder anderweitig zu identifizieren). Sofern hierin nicht ausdrücklich definiert, haben großgeschriebene Begriffe, die verwendet, aber nicht definiert werden, die ihnen im CCPA und der DSGVO zugeschriebene Bedeutung.

"Verarbeitung" bezeichnet jeden Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie etwa das Erheben, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.

"Prozessor" bezeichnet eine Entität, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, einschließlich gegebenenfalls eines „Dienstanbieters“ oder „Auftragnehmers“, wie diese Begriffe im CCPA definiert werden.

„Geschützte Informationen“ bezeichnet Informationen, die BigID dem Anbieter im Laufe der Vereinbarung bereitstellt, einschließlich, aber nicht beschränkt auf personenbezogene Daten im Sinne der Vereinbarung sowie sonstige Materialien, Daten, Systeme und sonstige Informationen in Bezug auf Betrieb, Geschäft, Prognosen, Marktziele, Finanzen, Produkte, Kunden und geistiges Eigentum.

„Standardvertragsklauseln“ bezeichnet Modul zwei der Standardvertragsklauseln im Anhang zum Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates in der jeweils gültigen Fassung und ergänzt um die in Anhang 2 dieser DPA aufgeführten Details. Zum Zeitpunkt dieser DPA sind die Standardvertragsklauseln verfügbar [hier].

„Dienstleistungen“ bezeichnet die vom Anbieter im Rahmen der Vereinbarung für BigID bereitgestellten Dienste.

„Unterauftragsverarbeiter“ bezeichnet jeden vom Verkäufer beauftragten Auftragsverarbeiter. Unterauftragsverarbeiter können auch Vertreter und Subunternehmer des Verkäufers sein.

„Aufsichtsbehörde“ bezeichnet (i) in der EU eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat gemäß der EU-DSGVO eingerichtet wurde, und (ii) im Vereinigten Königreich das britische Information Commissioner’s Office.

„UK-Nachtrag“ bezeichnet den britischen Nachtrag zu den Standardvertragsklauseln (den „britischen Nachtrag“), der zum Zeitpunkt dieser DPA verfügbar ist [hier]), gemäß Abschnitt 119A(1) des Data Protection Act 2018 (der „herausgegebene britische Nachtrag“).

„US-Datenschutzgesetze“ bezeichnet den California Consumer Privacy Act („CCPA”) in der durch den California Privacy Rights Act geänderten Fassung („CPRA”) und seine Durchführungsbestimmungen, Virginia Consumer Data Protection Act („VCDPA”) und, sobald in Kraft, der Colorado Privacy Act („ColCPA”), Colorado Privacy Act Rules („ColCPAR”), Utah Consumer Privacy Act („UCPA”), Connecticut Personal Data Privacy and Online Monitoring Act („CTDPA”), Iowa Consumer Data Protection Act („ICDPA”), Indiana Consumer Data Protection Act („INCDPA”), Tennessee Information Protection Act („TIPA”), Montana Consumer Data Privacy Act („MCDPA”) und alle anderen staatlichen oder bundesstaatlichen Gesetze in Bezug auf Privatsphäre oder Datenschutz sowie deren jeweilige Durchführungsbestimmungen.

2. Verarbeitung personenbezogener Daten

1. Rolle der Parteien. Die Parteien erkennen an und vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten BigID der Verantwortliche, der Anbieter der Auftragsverarbeiter und der Anbieter Unterauftragsverarbeiter gemäß den in Abschnitt 6 „Unterauftragsverarbeiter“ weiter unten dargelegten Anforderungen beauftragen wird.
2. Verarbeitung personenbezogener Daten durch BigID. BigID verarbeitet personenbezogene Daten bei der Nutzung der Dienste gemäß den Anforderungen der Datenschutzgesetze und -vorschriften, einschließlich der geltenden Anforderungen zur Benachrichtigung der betroffenen Personen über die Nutzung des Anbieters als Auftragsverarbeiter. Zur Vermeidung von Missverständnissen: Die Anweisungen von BigID zur Verarbeitung personenbezogener Daten müssen den geltenden Datenschutzgesetzen und -vorschriften entsprechen. BigID darf den Anbieter nicht anweisen, personenbezogene Daten für andere Zwecke zu verarbeiten oder offenzulegen als die in diesem Nachtrag, der Vereinbarung, anderweitig schriftlich zwischen den Parteien vereinbarten oder gesetzlich zulässigen Zwecke. BigID trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten sowie für die Art und Weise, wie BigID diese Daten erfasst hat. BigID erkennt ausdrücklich an, dass die Nutzung der Dienste nicht die Rechte von Verbrauchern oder betroffenen Personen verletzt, die dem Verkauf oder der sonstigen Offenlegung personenbezogener Daten widersprochen haben, soweit dies gemäß CCPA anwendbar ist.
3. Verarbeitung personenbezogener Daten durch den Anbieter. Der Anbieter erklärt sich damit einverstanden, dass alle personenbezogenen Daten, die im Rahmen der Erbringung der Dienste erhoben, abgerufen oder gespeichert werden, Eigentum von BigID bleiben. BigID kann dem Anbieter im Rahmen dieser Vereinbarung personenbezogene Daten zur Verfügung stellen, und der Anbieter verpflichtet sich, diese ausschließlich zum Zweck der Erbringung der Dienste gemäß Anhang 1 (Details der Verarbeitung) zu verwenden, es sei denn, er ist nach EU-Recht oder den Gesetzen eines EWR-Landes zur Verarbeitung personenbezogener Daten für andere Zwecke verpflichtet. In diesem Fall wird der Anbieter BigID vorab schriftlich benachrichtigen, es sei denn, das einschlägige Gesetz verbietet die Benachrichtigung aus wichtigen Gründen des öffentlichen Interesses.
4. Einzelheiten der Verarbeitung. Gegenstand der Verarbeitung personenbezogener Daten durch den Anbieter ist die Erbringung der Dienstleistungen gemäß dem Vertrag. Dauer, Art und Zweck der Verarbeitung sowie die Arten der im Rahmen dieser Datenverarbeitungsvereinbarung verarbeiteten personenbezogenen Daten und Kategorien betroffener Personen sind in Anhang 1 (Details der Verarbeitung) dieser Datenverarbeitungsvereinbarung näher erläutert.
5. Zusätzliche Verarbeitungsbedingungen der Vereinigten Staaten. Wenn BigID personenbezogene Daten gemäß den US-Datenschutzgesetzen offenlegt, gelten die folgenden Bestimmungen in Bezug auf die Verarbeitung personenbezogener Daten von „Verbrauchern“ oder „Einwohnern“ gemäß den geltenden US-Datenschutzgesetzen:
   1. Der Lieferant verpflichtet sich, die Anweisungen von BigID zur Datenverarbeitung einzuhalten, einschließlich der Art und des Zwecks der Verarbeitung, der Art der zu verarbeitenden Daten, der Dauer der Verarbeitung sowie der Rechte und Pflichten beider Parteien, wie in diesem Nachtrag und der Vereinbarung dargelegt und in Übereinstimmung mit den geltenden Gesetzen und Vorschriften.
   2. Der Lieferant stellt sicher, dass jede Person, die personenbezogene Daten verarbeitet, einer Geheimhaltungspflicht in Bezug auf die Daten unterliegt und dass die personenbezogenen Daten durch ein angemessenes Maß an technischen und organisatorischen Sicherheitsmaßnahmen geschützt bleiben, die dem Risiko und den verarbeiteten Daten angemessen sind.
   3. Auf angemessene Anfrage von BigID stellt der Lieferant BigID alle in seinem Besitz befindlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung der Verpflichtungen des geltenden US-Datenschutzgesetzes erforderlich sind. Diese Bestimmung gilt nicht für Daten, die gemäß dem UCPA verarbeitet werden.
   4. Der Anbieter ist verpflichtet, auf Anweisung von BigID alle personenbezogenen Daten nach Beendigung der Leistungserbringung zu löschen oder an BigID zurückzugeben, sofern die Aufbewahrung der personenbezogenen Daten nicht gesetzlich vorgeschrieben ist. Diese Bestimmung gilt nicht für Daten, die im Rahmen des UCPA verarbeitet werden.
   5. Nachdem BigID die Möglichkeit zum Einspruch erhalten hat, muss der Anbieter etwaige Subunternehmer (oder „Agenten“ im Sinne des ICDPA) auf Grundlage eines schriftlichen Vertrags gemäß den Bedingungen dieses Nachtrags, der Vereinbarung und aller geltenden US-Datenschutzgesetze beauftragen, die den Subunternehmer verpflichten, die Verarbeitungspflichten oder -aufgaben des Anbieters in Bezug auf die personenbezogenen Daten zu erfüllen.
   6. Der Lieferant erklärt sich damit einverstanden, angemessene Bewertungen, Audits oder Inspektionen durch BigID oder den von BigID beauftragten Gutachter zuzulassen und daran mitzuwirken. Alternativ kann der Lieferant einen qualifizierten und unabhängigen Gutachter oder Auditor mit der Durchführung einer Bewertung, eines Audits oder einer Inspektion seiner Richtlinien sowie seiner technischen und organisatorischen Maßnahmen zur Unterstützung seiner Verpflichtungen gemäß den einschlägigen US-Datenschutzgesetzen beauftragen. Dabei wird ein angemessener und anerkannter Kontrollstandard bzw. ein entsprechendes Bewertungs- oder Auditverfahren für solche Bewertungen, Audits oder Inspektionen angewendet. Der Lieferant stellt BigID auf Anfrage einen Bericht über solche Bewertungen, Audits oder Inspektionen zur Verfügung.
   7. Der Lieferant verpflichtet sich, die erforderlichen Informationen bereitzustellen, damit BigID Datenschutzbewertungen durchführen und dokumentieren kann, und unterstützt BigID bei der Einhaltung und Erfüllung seiner Verpflichtungen im Hinblick auf Auskunftsersuchen betroffener Personen.
   8. Der Anbieter unterstützt BigID bei der Erfüllung seiner Verpflichtungen im Zusammenhang mit der Sicherheit der Verarbeitung personenbezogener Daten und bei der Benachrichtigung im Falle einer Verletzung der Sicherheitssysteme des Anbieters oder der Unterauftragsverarbeiter des Anbieters.
   9. Der Anbieter räumt BigID das Recht ein, den unbefugten Zugriff auf personenbezogene Daten und deren Nutzung nach entsprechender Benachrichtigung zu unterbinden und zu beheben.
   10. Für den Fall, dass der Lieferant im Zusammenhang mit der Vereinbarung pseudonyme oder anonymisierte Daten erhält oder verwendet, muss der Lieferant alle Schutzmaßnahmen implementieren und einhalten, die gewährleisten, dass die verarbeiteten personenbezogenen Daten nicht auf Einzelpersonen zurückgeführt werden können. Darüber hinaus muss er alle Anforderungen in Bezug auf pseudonyme oder anonymisierte Daten erfüllen, die in den relevanten und geltenden US-Datenschutzgesetzen festgelegt sind.
   11. Der Anbieter darf personenbezogene Daten nicht an Dritte weitergeben, offenlegen, verbreiten, bereitstellen, übertragen oder anderweitig kommunizieren, mit Ausnahme der Unterauftragsverarbeiter von BigID, die an Bedingungen gebunden sind, die mit den in dieser DPA festgelegten Bedingungen übereinstimmen.
   12. Der Lieferant verpflichtet sich, BigID unverzüglich zu benachrichtigen, wenn er feststellt, dass er seinen Verpflichtungen nicht nachkommen kann.

3. Zusätzliche kalifornische Verarbeitungsbedingungen

Wenn BigID personenbezogene Daten gemäß dem California Consumer Privacy Act („CCPA“) in der durch den California Privacy Rights Act („CPRA“) geänderten Fassung und seinen Durchführungsbestimmungen offenlegt, gelten die folgenden Bestimmungen in Bezug auf die Verarbeitung personenbezogener Daten von „Verbrauchern“ oder „Haushalten“ gemäß dem CCPA:

1. Der Anbieter erklärt sich damit einverstanden, dass alle personenbezogenen Daten, die vom Anbieter im Zuge der Erbringung der Dienste erfasst, abgerufen oder gespeichert werden, Eigentum von BigID bleiben.
2. BigID kann im Rahmen dieser Vereinbarung personenbezogene Daten an den Lieferanten weitergeben, und der Lieferant verpflichtet sich, diese Daten ausschließlich zur Erbringung der Dienstleistungen zu verwenden. Zur Vermeidung von Missverständnissen bestätigen die Parteien, dass die personenbezogenen Daten, die BigID dem Lieferanten offenlegt, ausschließlich für Geschäftszwecke bereitgestellt werden.
3. Der Anbieter ist ein Dienstanbieter (wie dieser Begriff im CCPA definiert wird) für BigID und darf daher personenbezogene Daten nicht anders speichern, verwenden, ändern, umwandeln, weitergeben oder offenlegen, als in der Vereinbarung festgelegt oder anderweitig ausdrücklich durch das CCPA gestattet.
4. BigID darf den Anbieter nicht anweisen, personenbezogene Daten anders zu verarbeiten oder offenzulegen als in der Vereinbarung, im DPA und wie anderweitig zwischen den Parteien vereinbart oder anderweitig durch das CCPA gestattet.
5. Der Lieferant darf personenbezogene Daten, die ihm in seiner Rolle als Dienstanbieter bereitgestellt wurden, weder verkaufen, weitergeben noch weiterverkaufen.
6. Der Anbieter darf personenbezogene Daten nicht an Dritte weitergeben, offenlegen, verbreiten, bereitstellen, übertragen oder anderweitig kommunizieren, mit Ausnahme der Unterauftragsverarbeiter des Anbieters, die an Bedingungen gebunden sind, die mit den in dieser DPA festgelegten Bedingungen übereinstimmen.
7. Der Anbieter verpflichtet sich, BigID zu informieren und schriftlich zu benachrichtigen, wenn er feststellt, dass er seinen Verpflichtungen gemäß CCPA nicht mehr innerhalb der angegebenen Frist nachkommen kann.
8. Der Anbieter verpflichtet sich, angemessene technische und organisatorische Sicherheitsmaßnahmen zu ergreifen, die der Art der personenbezogenen Daten angemessen sind, um die personenbezogenen Daten vor unbefugtem oder illegalem Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung zu schützen.
9. Der Anbieter räumt BigID das Recht ein, den unbefugten Zugriff auf personenbezogene Daten und deren Nutzung nach entsprechender Benachrichtigung zu unterbinden und zu beheben.
10. Für den Fall, dass der Lieferant im Zusammenhang mit der Vereinbarung anonymisierte Daten erhält oder verwendet, ist er vertraglich verpflichtet, alle im CCPA festgelegten Anforderungen in Bezug auf anonymisierte Daten einzuhalten.
11. Nichts in diesem Abschnitt verpflichtet BigID zur Offenlegung von Geschäftsgeheimnissen, wie im CCPA und seinen Durchführungsbestimmungen festgelegt.

4. Rechte der betroffenen Personen

1. Anfrage der betroffenen Person. Der Anbieter wird BigID, soweit gesetzlich zulässig, unverzüglich, spätestens jedoch innerhalb von fünf (5) Werktagen, benachrichtigen, wenn der Anbieter eine konkrete Anfrage einer betroffenen Person bezüglich der Daten von BigID erhält, um das Recht der betroffenen Person auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“), Datenübertragbarkeit, Widerspruch gegen die Verarbeitung oder ihr Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, auszuüben, wobei jede derartige Anfrage eine „Anfrage der betroffenen Person“ darstellt. Unter Berücksichtigung der Art der Verarbeitung wird der Anbieter BigID, soweit möglich, durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen unterstützen, damit BigID seiner Verpflichtung zur Beantwortung einer Anfrage der betroffenen Person gemäß den Datenschutzgesetzen und -vorschriften nachkommen kann. Sofern BigID bei der Nutzung der Dienste nicht in der Lage ist, eine Anfrage einer betroffenen Person zu beantworten, wird der Anbieter auf Anfrage von BigID wirtschaftlich angemessene Anstrengungen unternehmen, um BigID bei der Beantwortung dieser Anfrage zu unterstützen, soweit dies gesetzlich zulässig ist und die Beantwortung dieser Anfrage gemäß den Datenschutzgesetzen und -vorschriften erforderlich ist. Soweit gesetzlich zulässig, trägt BigID alle Kosten, die durch die Bereitstellung dieser Unterstützung durch den Anbieter entstehen.

5. Europäische Sonderbestimmungen

1. Einhaltung. Der Anbieter hat als Auftragsverarbeiter alle geltenden Datenschutzgesetze, einschließlich der DSGVO und der aktualisierten britischen Gesetzgebung, eingehalten und wird dies auch weiterhin tun. BigID ist als Verantwortlicher dafür verantwortlich, dass im Zusammenhang mit personenbezogenen Daten und den Diensten Folgendes gewährleistet ist:
   1. Es hat alle geltenden Datenschutzbestimmungen und Gesetze zum Schutz der Privatsphäre, einschließlich der EU-Datenschutzgesetze, eingehalten und wird dies auch weiterhin tun.
   2. Es ist und bleibt das Recht, die personenbezogenen Daten an BigID zu übertragen oder Zugriff darauf zu gewähren, damit diese gemäß den Bedingungen der Vereinbarung, einschließlich dieser Datenverarbeitungsvereinbarung, verarbeitet werden können.
2. Datenschutz-Folgenabschätzung. Auf Anfrage von BigID leistet der Anbieter BigID die erforderliche angemessene Zusammenarbeit und Unterstützung, um BigIDs Verpflichtung gemäß der DSGVO zur Durchführung einer Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Dienste durch BigID zu erfüllen, sofern BigID keinen anderweitigen Zugriff auf die relevanten Informationen hat und diese dem Anbieter zur Verfügung stehen. Der Anbieter leistet BigID angemessene Unterstützung bei der Zusammenarbeit oder vorherigen Konsultation mit einer Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben im Zusammenhang mit Abschnitt 4.2 dieser DPA, soweit dies gemäß der DSGVO erforderlich ist.
3. Aufsichtsbehörden. Der Anbieter wird BigID, soweit gesetzlich zulässig, unverzüglich benachrichtigen, wenn eine Aufsichtsbehörde oder Strafverfolgungsbehörde eine Anfrage oder Aufforderung zur Offenlegung personenbezogener Daten stellt.
4. Beitritt zu den Standardvertragsklauseln: Die Standardvertragsklauseln und die in diesem Abschnitt genannten zusätzlichen Bedingungen sind durch Bezugnahme Bestandteil dieser DPA und gelten für die Übermittlung personenbezogener Daten an den Anbieter (i) vom Anbieter, sofern dieser den europäischen Datenschutzgesetzen und -vorschriften unterliegt, und (ii) von seinen verbundenen Unternehmen. Sofern eine solche Übermittlung personenbezogener Daten:
   1. unterliegen der UK-DSGVO und nicht der EU-DSGVO, dann werden die Standardvertragsklauseln gemäß dem UK-Nachtrag geändert, oder
   2. unterliegen sowohl der UK GDPR als auch der EU GDPR, dann müssen BigID und der Anbieter die Standardvertragsklauseln (a) in ihrer aktuellen Fassung und (b) parallel dazu in der durch den UK Addendum geänderten Fassung einhalten, jedoch nur insoweit, als die Übertragung personenbezogener Daten der UK GDPR unterliegt und unbeschadet ihrer Verpflichtungen aus den Standardvertragsklauseln.

Für die Zwecke der Standardvertragsklauseln (einschließlich des UK-Nachtrags, sofern zutreffend) gelten BigID und alle verbundenen Unternehmen jeweils als „Datenexporteur“ und der Anbieter als „Datenimporteur“.

6. Verkäuferpersonal

1. Vertraulichkeit. Der Lieferant stellt sicher, dass alle mit der Verarbeitung personenbezogener Daten befassten Mitarbeiter über den sensiblen Charakter dieser Daten informiert sind, eine entsprechende Schulung zu ihren Aufgaben erhalten und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet haben. Der Lieferant stellt außerdem sicher, dass seine Mitarbeiter über seine Verpflichtungen sowie ihre persönlichen Pflichten und/oder Verpflichtungen aus dem Vertrag und den geltenden Gesetzen informiert sind.
2. Verantwortung. Der Lieferant muss seine Mitarbeiter darüber informieren, dass die Nichterfüllung ihrer Pflichten zur Verarbeitung geschützter Informationen disziplinarische Maßnahmen nach sich ziehen kann. Der Lieferant bleibt für die von seinen Mitarbeitern erfüllten Pflichten sowie für deren Handlungen oder Unterlassungen rechtlich verantwortlich, als wären es Handlungen oder Unterlassungen des Lieferanten.
3. Zuverlässigkeit. Der Lieferant ergreift wirtschaftlich angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter des Lieferanten sicherzustellen, die mit der Verarbeitung personenbezogener Daten befasst sind.
4. Zugriffsbeschränkung. Der Lieferant stellt sicher, dass sein Zugriff auf personenbezogene Daten auf diejenigen Mitarbeiter beschränkt ist, die die Dienste gemäß der Vereinbarung erbringen.
5. Datenschutzbeauftragter. Der Anbieter hat einen Datenschutzbeauftragten bestellt. Diese Person ist unter [vom Anbieter auszufüllen] erreichbar.

7. Unterauftragsverarbeitung

1. 1. Unterauftragsverarbeiter. Der Anbieter darf personenbezogene Daten von BigID ohne vorherige schriftliche Zustimmung von BigID nicht an Dritte weitergeben. Der Anbieter muss (i) sicherstellen, dass alle Unterauftragsverarbeiter ausreichende Garantien hinsichtlich der technischen und organisatorischen Maßnahmen zur Verarbeitung personenbezogener Daten bieten und angemessene Schritte unternehmen, um sicherzustellen, dass die Unterauftragsverarbeiter diese Maßnahmen einhalten; (ii) dass alle schriftlichen Verträge mit Unterauftragsverarbeitern diese dazu verpflichten, nur gemäß seinen Anweisungen zu handeln, und ihnen die Verpflichtung auferlegen, die Vertraulichkeit und Sicherheit der personenbezogenen Daten zu wahren, die sie möglicherweise verarbeiten müssen; (iii) dass alle Unterauftragsverarbeiter mindestens alle in diesem Dokument aufgeführten Anforderungen erfüllen, und (iv) dass der Anbieter für die von den Unterauftragsverarbeitern erfüllten Verpflichtungen sowie für die Handlungen oder Unterlassungen der Unterauftragsverarbeiter so verantwortlich bleibt, als wären es Handlungen oder Unterlassungen des Anbieters.
   2. Teilen von BigID-Daten mit Unterauftragsverarbeitern. Für den Fall, dass der Anbieter personenbezogene BigID-Daten an einen Unterauftragsverarbeiter oder einen Dritten weitergibt oder offenlegt (unabhängig davon, ob dies mit oder ohne die Zustimmung von BigID geschieht), ist der Anbieter verpflichtet: (a) sicherzustellen, dass die Personen, denen er Zugriff auf personenbezogene BigID-Daten gewährt, alle geltenden erforderlichen Nutzungs-, Sicherheits- und Datenschutzvorkehrungen einhalten, die in dieser Vereinbarung und allen Gesetzen und Vorschriften zum Datenschutz und zur Wahrung der Privatsphäre vorgesehen sind, und (b) für alle Handlungen oder Unterlassungen Dritter in Bezug auf personenbezogene BigID-Daten voll haftbar zu machen, sofern in der zugehörigen Vereinbarung oder dem Bestellformular nichts anderes angegeben ist.
   3. Liste der Unterauftragsverarbeiter. Der Lieferant stellt BigID schriftlich oder als Ergänzung zu diesem Datenschutzzusatz die aktuelle Liste der Unterauftragsverarbeiter zur Verfügung. Diese Liste enthält die Identität und Details dieser Unterauftragsverarbeiter sowie deren Sitzland, sofern bekannt („Unterauftragsverarbeiterliste“). Diese Liste enthält den Namen des Unterauftragsverarbeiters, die vertraglich mit ihm beauftragten Dienstleistungen und die Region, in der der Unterauftragsverarbeiter BigID-Daten hostet. Die Unterauftragsverarbeiterliste zum Zeitpunkt der Unterzeichnung dieser DPA gilt als von BigID genehmigt.
   4. Änderungen an Unterauftragsverarbeitern. Wenn der Anbieter seine Liste der Unterauftragsverarbeiter ergänzen oder ändern muss, muss er BigID innerhalb von 60 Tagen im Voraus über alle Änderungen informieren. BigID kann der Ernennung zusätzlicher Unterauftragsverarbeiter innerhalb von dreißig (30) Kalendertagen nach einer solchen Benachrichtigung aus triftigen Gründen im Zusammenhang mit dem Schutz personenbezogener Daten widersprechen, wenn ein solcher Unterauftragsverarbeiter die Standards dieser DPA nicht erfüllen kann; in diesem Fall hat der Anbieter das Recht, den Widerspruch auf eine der folgenden Arten zu beheben: (a) Der Anbieter gibt seine Pläne zur Nutzung des Unterauftragsverarbeiters in Bezug auf personenbezogene Daten auf oder bietet eine Alternative zur Bereitstellung der Dienste ohne einen solchen Unterauftragsverarbeiter an; oder (b) der Anbieter ergreift die von BigID in seinem Widerspruch geforderten Abhilfemaßnahmen (die den Widerspruch von BigID beseitigen) und fährt mit der Nutzung des Unterauftragsverarbeiters in Bezug auf personenbezogene Daten fort; oder (c) Wenn keine der oben genannten Optionen in angemessener Weise verfügbar ist und der Einwand nicht zur angemessenen beiderseitigen Zufriedenheit der Parteien innerhalb von dreißig (30) Tagen nach Eingang des Einwands von BigID beim Anbieter gelöst wurde, kann jede Partei die Vereinbarung kündigen und BigID hat Anspruch auf eine anteilige Rückerstattung der im Voraus bezahlten Gebühren für Abonnementdienste, die bis zum Kündigungsdatum noch nicht erbracht wurden.
   5. Haftung. Sofern in der Vereinbarung nichts anderes festgelegt ist, haftet der Lieferant für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem er haften würde, wenn er die Dienste jedes Unterauftragsverarbeiters direkt gemäß den Bedingungen dieser Datenverarbeitungsvereinbarung erbringen würde.

8. Sicherheit

1. Kontrollen zum Schutz personenbezogener Daten
   1. Der Anbieter muss ein schriftliches Informationssicherheitsprogramm („WISP“) implementieren und aufrechterhalten, das administrative, technische und physische Sicherheitsvorkehrungen umfasst, die die Sicherheit, Vertraulichkeit und Integrität personenbezogener Daten und anderer Daten, einschließlich der im Zusammenhang mit den Diensten erhaltenen Informationen, in Übereinstimmung mit den Datenschutzgesetzen angemessen gewährleisten. Der Anbieter muss BigID auf Anfrage umgehend eine Kopie oder Zusammenfassung seines WISP zur Verfügung stellen. Der Anbieter muss mindestens ein WISP unterhalten, das angemessene Maßnahmen ergreift, um: (a) die Sicherheit und Vertraulichkeit aller personenbezogenen Daten zu gewährleisten; (b) vor erwarteten Bedrohungen oder Gefahren für die Sicherheit oder Integrität personenbezogener Daten zu schützen; (c) vor unbefugtem Zugriff auf oder vor Veränderung, Vernichtung, Offenlegung oder Verwendung personenbezogener Daten zu schützen, die zu erheblichem Schaden für Einzelpersonen oder BigID führen könnten; (d) den Umgang mit Sicherheitsvorfällen (wie hierin definiert) personenbezogener Daten zu regeln; (e) von einem leitenden Mitarbeiter geleitet zu werden, der für die Überwachung und Implementierung des Programms verantwortlich ist; und (f) der Art, dem Umfang und der Komplexität der Geschäftstätigkeit des Anbieters angemessen zu sein. Ein solcher WISP muss den aktuellen Industriestandards entsprechen und sämtliche spezifischen Informationssicherheitsstandards der geltenden Datenschutzgesetze einhalten, insbesondere die in Artikel 32 der DSGVO genannten Maßnahmen sowie die Anforderungen des Massachusetts Code of Regulations, 201 CMR, Abschnitte 17.00 ff.
   2. Der Lieferant muss jederzeit über geeignete technische und organisatorische Sicherheitsmaßnahmen verfügen, um geschützte Informationen vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen.
   3. Der Lieferant führt regelmäßig eine Risikobewertung durch und setzt umgehend auf eigene Kosten einen Korrekturmaßnahmenplan um, um alle Probleme zu beheben, die im Rahmen der Bewertung oder von Scans, Schwachstellen- oder Penetrationstests gemeldet werden. Der Lieferant führt mindestens (i) vierteljährliche Schwachstellenscans und (ii) jährliche Penetrationstests durch.
   4. Personenbezogene Daten können im Rahmen der Dienste anonymisiert oder aggregiert werden, jedoch nur insoweit, als diese Anonymisierung bzw. Aggregation den Standards für derartige Aktivitäten entspricht, die gemäß den einschlägigen und geltenden US-Datenschutzgesetzen erforderlich sind.
2. Vertraulichkeit der Verarbeitung BigID stellt sicher, dass alle Personen, die es zur Verarbeitung der personenbezogenen Daten ermächtigt (einschließlich seiner Mitarbeiter, Vertreter, Subunternehmer und Unterauftragsverarbeiter), einer Geheimhaltungspflicht unterliegen, die auch nach Beendigung ihres Arbeitsverhältnisses und/oder Vertragsverhältnisses besteht.
3. Ausbildung Der Anbieter führt Schulungen zum Thema Informationssicherheit für alle an der Leistungserbringung beteiligten Mitarbeiter durch. Dadurch soll sichergestellt werden, dass alle Beteiligten sich der Notwendigkeit des Schutzes von BigID-Informationsressourcen und der damit verbundenen Richtlinien und Verfahren bewusst sind. Mitarbeiter und Auftragnehmer, die die Informationssysteme und -dienste des Unternehmens nutzen, sind verpflichtet, beobachtete oder vermutete Schwachstellen in der Informationssicherheit zu dokumentieren und zu melden.
4. Hosting Der Anbieter stellt BigID Informationen über die Standorte und Hosting-Dienste zur Verfügung, die der Anbieter für das Hosting seiner personenbezogenen Daten nutzt (der „Hosting-Dienst“). Der Anbieter informiert BigID mindestens sechzig (60) Tage im Voraus schriftlich über seine Absicht, den Hosting-Dienst auf einen anderen Drittanbieter zu übertragen. Diese Mitteilung muss den Namen und den Standort des neuen Hosting-Dienstes enthalten. In diesem Fall behält sich BigID das Recht vor, den Vertrag mit einer Frist von dreißig (30) Tagen gegenüber dem Anbieter zu kündigen.
5. Zugriffskontrolle auf BigID-Daten Der Lieferant setzt wirtschaftlich angemessene Sicherheitsmaßnahmen und -kontrollen ein, um sicherzustellen, dass der Zugriff auf personenbezogene BigID-Daten ausschließlich auf Mitarbeiter und autorisierte Vertreter des Lieferanten beschränkt ist, die diese Informationen ausschließlich für die in den Vereinbarungen vorgesehenen Zwecke benötigen. Unbeschadet des Vorstehenden erklärt sich der Lieferant mit Folgendem einverstanden:
   1. Der Anbieter muss ein Inventar aller Unternehmensanlagen (Software, Hardware usw.) führen, die auf personenbezogene BigID-Daten zugreifen können. Das Inventar muss mindestens die Beschreibung, den Eigentümer, den Standort und die zugewiesenen Benutzer der Anlage erfassen und nachverfolgen.
   2. Der Lieferant muss sicherstellen, dass nur seine Mitarbeiter Zugriff auf geschützte Informationen haben, die der Lieferant möglicherweise benötigt, um ihn bei der Erfüllung seiner Verpflichtungen aus der Vereinbarung zu unterstützen.
   3. Der Anbieter muss das Prinzip der geringsten Privilegien durchsetzen (d. h. jeder Person werden nur die Mindestzugriffsrechte gewährt, die zur Erfüllung der Geschäftsanforderungen erforderlich sind), wenn er Mitarbeitern Zugriff auf Systeme gewährt, die geschützte Informationen enthalten.
   4. Der Lieferant muss sicherstellen, dass nur seine Systemadministratoren über die Berechtigung verfügen, Zugriffskonten für Systeme mit geschützten Informationen zu erstellen.
   5. Der Zugriff auf Systeme mit geschützten Informationen muss durch ein sicheres Anmeldeverfahren kontrolliert werden. Benutzer dürfen Namen, Konten oder Passwörter nicht weitergeben.
   6. Der Anbieter muss sicherstellen, dass jeder Benutzer, der auf Systeme mit geschützten Informationen zugreift, eindeutig identifizierbar ist.
   7. Der Lieferant muss sicherstellen, dass Mitarbeiter, die remote auf geschützte Informationen zugreifen, mithilfe von Zwei-Faktor-Authentifizierungsmechanismen über eine sichere Verbindung authentifiziert werden.
   8. Der Zugriff auf geschützte Informationen, einschließlich Benutzerkonten und Passwörtern, muss sofort widerrufen werden, wenn er nicht mehr benötigt wird.
   9. Der Lieferant muss die Daten aller Mitarbeiter aufbewahren, die Zugriff auf geschützte Informationen haben.
   10. Der Lieferant informiert sämtliches Personal, das mit personenbezogenen Daten von BigID in Berührung kommt oder Zugriff darauf hat, über die Anforderungen des Lieferanten hinsichtlich Verwendung, Vertraulichkeit und Informationssicherheit und stellt sicher, dass jedes dieser Mitarbeiter an rechtliche Verpflichtungen gebunden ist, die nicht weniger restriktiv sind als die Bedingungen dieser Vereinbarung.
   11. Der Anbieter muss den Benutzerzugriff auf geschützte Informationen regelmäßig überprüfen (z. B. mindestens alle 6 Monate und unverzüglich nach Änderungen wie Beförderung, Degradierung oder Beendigung des Arbeitsverhältnisses).
   12. Der Lieferant muss Sicherheitsereignisprotokolle auf Systemen führen, die geschützte Informationen speichern, verarbeiten oder übertragen, um die Systemaktivität (z. B. Datum, Empfänger, Ort) verfolgen zu können. Sicherheitsereignisprotokolle müssen mindestens 365 Tage lang aufbewahrt und regelmäßig auf unbefugte oder rechtswidrige Aktivitäten überprüft werden.
   13. Der Lieferant muss sicherstellen, dass an den Orten, an denen geschützte Informationen gespeichert sind, entsprechende physische Zugangskontrollen vorhanden sind.
   14. Der Zugriff auf öffentliche Bereiche wird nicht gewährt und Ausgaben wie Ausdrucke müssen in Bereichen erfolgen, in denen nur die Mitarbeiter der Organisation, die zum Zugriff auf die geschützten Informationen berechtigt sind, darauf zugreifen können.
   15. Der Anbieter darf personenbezogene Daten von BigID weder verwenden noch offenlegen, um Kunden oder Mitarbeiter von BigID zu kontaktieren oder ihnen Marketingzwecke anzubieten.
6. Speichern geschützter Informationen
   1. Der Anbieter erkennt an und stimmt zu, dass alle geschützten Informationen, die er im Auftrag von BigID im Rahmen dieser Vereinbarung sammelt, zumindest logisch von Informationen anderer Kunden des Anbieters getrennt werden. Der Anbieter gewährleistet, dass seine Datenbankinfrastruktur durch Internet-Firewalls geschützt ist, die den aktuellen Industriestandards entsprechen, und dass die BigID-Daten logisch getrennt werden.
   2. Elektronische und Papieraufzeichnungen mit geschützten Informationen müssen in einem verschlossenen Raum oder Bereich mit kontrolliertem Zugang aufbewahrt werden.
   3. Geschützte Informationen dürfen ohne vorherige schriftliche Zustimmung von BigID nicht auf Endgeräten, Mobilgeräten, externen Festplatten oder Wechseldatenträgern (z. B. USB-Sticks, CDs oder DVDs) gespeichert werden.
   4. Backups dürfen erstellt werden, sofern dadurch kein weiterer Zugriff möglich ist, als wenn die Informationen im Computersystem gespeichert sind. Backup-Medien müssen sicher gespeichert werden. Zusätzliche Sicherheitsmaßnahmen wie Verschlüsselung sind zu verwenden.
   5. Vom Anbieter gespeicherte geschützte Informationen müssen durch Verschlüsselung gesichert werden.
   6. Der Lieferant muss sicherstellen, dass in allen Informationssystemen, die geschützte Informationen verarbeiten, geeignete Antiviren-/Anti-Malware-Erkennungssoftware implementiert ist. Der Lieferant muss außerdem sicherstellen, dass die Antiviren-/Anti-Malware-Software auf dem neuesten Stand ist und die aktuellsten Viren- und Malware-Signaturen und -Definitionen verwendet.
7. Übertragen geschützter Informationen
   1. Der Anbieter darf geschützte Informationen unter keinen Umständen an Dritte weitergeben, außer wie im Datenschutzzusatz angegeben oder auf ausdrückliche schriftliche Anfrage von BigID.
   2. Vorbehaltlich der Verpflichtung des Anbieters zur Notfallwiederherstellung und Geschäftskontinuität gemäß Abschnitt 11 (Backup und Notfallwiederherstellung)Der Verkäufer darf unter keinen Umständen geschützte Informationen außerhalb der Gerichtsbarkeit des Hosting-Dienst des Anbieters gemäß Abschnitt 4 oder wie in einer Änderung dieses Nachtrags beschrieben, es sei denn, BigID hat hierzu eine schriftliche Genehmigung erteilt.
   3. In Bezug auf die Übertragung geschützter Informationen von und zu BigID und Unterauftragsverarbeitern: (i) Alle elektronischen Übertragungen geschützter Informationen müssen verschlüsselt sein. Geschützte Informationen dürfen nicht unverschlüsselt übertragen werden. (ii) Bei der Übertragung geschützter Informationen in Papierform muss das Dokument mit dem Vermerk „BigID Confidential“ gekennzeichnet und per sicherem Kurierdienst in doppelt verpackten Umschlägen versendet werden, die so verschlossen sind, dass Manipulationen am Siegel sofort erkennbar sind. (iii) Bei der Übertragung geschützter Informationen über Wechselmedien (z. B. CDs, Memory Sticks, externe Festplatten) müssen alle Medien mit dem Vermerk „BigID Confidential“ gekennzeichnet, mit geeigneter Verschlüsselung gesichert und in doppelt verpackten Umschlägen versendet werden, die so verschlossen sind, dass Manipulationen am Siegel sofort erkennbar sind. (iv) Nutzt der Lieferant einen sicheren Kurierdienst für die Übertragung geschützter Informationen, muss er sicherstellen, dass der Kurierdienst den Umschlag erst nach Prüfung eines originalen und gültigen Lichtbildausweises (z. B. eines von BigID ausgestellten Ausweises, Führerscheins oder Reisepasses) an einen bestimmten Ansprechpartner übergibt. Nach der Zustellung muss der Empfang durch eine Unterschrift bestätigt werden. Ist der angegebene Empfänger nicht erreichbar, muss die Zustellung verzögert werden. Kann die Zustellung nicht abgeschlossen werden, muss der Umschlag ungeöffnet zurückgesandt werden. (v) Der Lieferant muss vor der Übertragung geschützter Informationen, die die oben genannten Kriterien nicht erfüllen, stets die schriftliche Zustimmung von BigID einholen. (vi) Die Aufbewahrungskette für geschützte BigID-Informationen muss klar definiert und durch formelle Übergaben, einschließlich Unterschriften zur Annahme, nachverfolgt werden. (vii) Der Lieferant muss während der Laufzeit des Vertrags und danach so lange, wie gesetzlich vorgeschrieben, vollständige und genaue Aufzeichnungen über alle Übertragungen geschützter Informationen im Zusammenhang mit dem Vertrag führen.
8. Löschung von Daten Nach Beendigung oder Ablauf der Vereinbarung oder jederzeit auf schriftliche Anfrage von BigID löscht der Lieferant gemäß den Bedingungen der Vereinbarung und auf Anfrage von BigID alle in seinem Besitz befindlichen geschützten Informationen, es sei denn, der Lieferant ist gesetzlich verpflichtet, einige oder alle geschützten Informationen aufzubewahren. Der Lieferant löscht alle personenbezogenen Daten gemäß den Richtlinien des National Institute of Standards and Technology (NIST) zur Medienbereinigung aus den Systemen des Lieferanten (und gegebenenfalls seiner Unterauftragsverarbeiter). Die sichere Vernichtung wird nach Möglichkeit von einer zweiten autorisierten Person überprüft. Der Lieferant bestätigt innerhalb von dreißig (30) Tagen nach Aufforderung von BigID schriftlich, dass diese Maßnahmen abgeschlossen sind. Sofern der Lieferant gesetzlich verpflichtet ist, einige oder alle geschützten Informationen aufzubewahren, erweitert er den Schutz der Vereinbarung und dieser DPA auf diese geschützten Informationen und beschränkt die weitere Verarbeitung dieser geschützten Informationen auf die begrenzten Zwecke, die die Aufbewahrung erfordern, solange der Lieferant die geschützten Informationen aufbewahrt.
9. Vorfallmanagement
   1. Der Lieferant muss sicherstellen, dass in der gesamten Organisation Verfahren zum Vorfallmanagement vorhanden sind, diese allen Mitarbeitern mitgeteilt werden und dass Vorfälle protokolliert werden.
   2. Im Falle eines Verlusts oder einer Beschädigung personenbezogener Daten unternimmt der Lieferant wirtschaftlich angemessene Anstrengungen, um die verlorenen oder beschädigten personenbezogenen Daten aus der neuesten Sicherungskopie dieser personenbezogenen Daten wiederherzustellen, die der Lieferant gemäß seinen Archivierungsverfahren erstellt. Solche Vorfälle werden gemäß den Sicherheitsvorfall-Management-Verfahren des Lieferanten aufgezeichnet und untersucht. Der Lieferant benachrichtigt BigID innerhalb von achtundvierzig (48) Stunden schriftlich, wenn ihm eine Sicherheitsverletzung, ein Hackerangriff, eine unbefugte Offenlegung, ein unbefugter Zugriff, ein unbefugter Erwerb oder ein sonstiger Verlust oder eine sonstige Nutzung von BigID-PI („Sicherheitsvorfall“) bekannt wird.
      1. Die Mitteilung des Anbieters muss mindestens Folgendes enthalten: (a) eine Beschreibung des Verstoßes oder Verlusts, einschließlich des Datums, an dem er aufgetreten ist; (b) die Anzahl der betroffenen Personen und deren Wohnsitzstaaten; (c) eine Beschreibung der abgerufenen, erlangten, verlorenen und/oder missbrauchten Informationen; (d) ob der Verstoß oder Verlust computergestützt, elektronisch oder auf Papier aufgetreten ist; (e) ob die Informationen verschlüsselt oder unverschlüsselt waren; (f) ob Verschlüsselungsschlüssel oder Passwörter kompromittiert worden sein könnten; und (g) eine Beschreibung der Schritte, die unternommen wurden, um den Vorfall zu untersuchen, die Systeme des Anbieters zu sichern, verlorene Informationen wiederherzustellen und das erneute Auftreten weiterer Sicherheitsverletzungen oder -verluste derselben Art zu verhindern. Im Zusammenhang mit einem Sicherheitsvorfall stellt der Anbieter BigID eine Kopie des/der entsprechenden forensischen Berichts/Berichte zur Verfügung.
      2. Sofern gesetzlich nicht zwingend vorgeschrieben, verpflichtet sich der Lieferant, Dritte nicht ohne vorherige schriftliche Zustimmung von BigID über einen solchen Sicherheitsvorfall zu informieren. Sollte eine solche Offenlegung gesetzlich vorgeschrieben sein, verpflichtet sich der Lieferant, sich vor der Offenlegung mit BigID zu beraten und dessen Zustimmung (die nicht unangemessen verweigert oder verzögert werden darf) hinsichtlich des Inhalts der Offenlegung einzuholen. Unbeschadet des Vorstehenden bestimmt BigID die Partei, die eine Offenlegung gegenüber Strafverfolgungs- oder Aufsichtsbehörden im Zusammenhang mit einem Datenschutzverstoß vornimmt, und der Lieferant verpflichtet sich, die Entscheidung von BigID zu befolgen.
      3. Im Falle eines tatsächlichen Sicherheitsvorfalls im Zusammenhang mit personenbezogenen Daten arbeitet der Anbieter auf eigene Kosten mit BigID zusammen, wenn die Datenpanne auf Kontrollfehler, -irrtümer oder -unterlassungen des Anbieters (oder eines Dritten, für den der Anbieter gemäß Abschnitt 5(2) verantwortlich ist) zurückzuführen ist, um (a) Art und Umfang eines solchen Sicherheitsvorfalls weiter zu bewerten und alle relevanten Aufzeichnungen zu überprüfen, soweit diese Aufzeichnungen BigID betreffen und die Vertraulichkeitsverpflichtungen des Anbieters gegenüber Dritten nicht gefährden; (b) andere Abhilfemaßnahmen zu ergreifen, die vernünftigerweise notwendig oder angemessen sein können, um das Risiko zu mindern, das aus der unbefugten Nutzung oder Offenlegung von BigID-PI entsteht; und (c) betroffene Personen über die Verletzung zu benachrichtigen, wie von BigID angemessen angefordert, bereitgestellt und genehmigt, und sie darüber zu informieren, dass auf ihre PI zugegriffen wurde oder sie anderweitig kompromittiert wurden. Der Anbieter arbeitet uneingeschränkt mit allen staatlichen Aufsichtsbehörden und Strafverfolgungsbehörden zusammen, die für die Untersuchung einer Datenpanne zuständig und befugt sind.
10. Verifizierung und Auditierung
    1. Der Lieferant wird auf Kosten des Lieferanten eine AICPA SOC 2 Typ 2-Bescheinigung für die Vertrauensdienstekriterien für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz sowie eine Datenschutz-Folgenabschätzung aufrechterhalten, die von einem in der Branche anerkannten und qualifizierten unabhängigen externen Prüfer durchgeführt wird.
    2. Jedes Audit wird gemäß den Standards und Regeln der Aufsichts- oder Akkreditierungsstelle für die jeweils geltenden Kontrollstandards für Datenschutz- und Sicherheitsrahmen durchgeführt. Die im Rahmen dieser Audits erstellten Auditberichte sind vertrauliche Informationen des Anbieters und enthalten wesentliche Ergebnisse des Prüfers. Auf Anfrage von BigID und unter Geheimhaltungsvereinbarung stellt der Anbieter den Auditbericht zur Verfügung, damit BigID die Einhaltung des geltenden Sicherheitsrahmens durch den Anbieter überprüfen kann.
    3. Auf Anfrage von BigID, jedoch höchstens einmal innerhalb eines Zeitraums von 12 Monaten, sofern kein Sicherheitsvorfall vorliegt, füllt der Lieferant einen von BigID bereitgestellten Fragebogen zum Informationssicherheitsprogramm („Sicherheitsüberprüfung“) aus. Der Lieferant verpflichtet sich, bei dieser Sicherheitsüberprüfung uneingeschränkt mitzuwirken und alle wirtschaftlich angemessenen Änderungen an seinem Informationssicherheitsprogramm vorzunehmen, die aufgrund der Sicherheitsüberprüfung erforderlich sind, um die Einhaltung dieses Nachtrags durch den Lieferanten sicherzustellen. Die Kosten hierfür trägt ausschließlich der Lieferant.
    4. Der Anbieter erkennt an und stimmt zu, dass BigID oder ein von BigID beauftragter Dritter (zusammen „Monitor“) berechtigt ist, zur Überprüfung der Einhaltung dieser Bedingungen die Bedingungen, Aufzeichnungen und/oder Einrichtungen des Anbieters und seiner Subunternehmer oder verbundenen Unternehmen, die Waren und/oder Dienstleistungen im Zusammenhang mit der Verarbeitung, dem Transport oder der Speicherung von BigID-Informationen erbringen oder beinhalten, zu überprüfen. BigID wird seine Absicht, den Anbieter gemäß diesen Bedingungen zu überprüfen, dem Anbieter mindestens fünf (5) Werktage im Voraus mitteilen. Der Anbieter gewährt Monitor, soweit dies zur Beurteilung der Einhaltung dieser Bedingungen erforderlich ist, Zugang zu seinem Standort, seinen Systemen und Aufzeichnungen. Auf Anfrage von BigID stellt der Anbieter Monitor vor Ort einen persönlichen Standortführer zur Verfügung. Der Anbieter stellt Monitor Mitarbeiter und/oder Auftragnehmer des Anbieters für persönliche oder telefonische Interviews zur Verfügung, um Informationen bereitzustellen und im Zusammenhang mit der Überprüfung zu kooperieren. Die Kosten dieser Überprüfung trägt BigID, es sei denn, sie ergeben wesentliche Verstöße gegen diese Bedingungen. In diesem Fall trägt der Anbieter die Kosten.
11. Backup und Notfallwiederherstellung
    1. Der Anbieter muss einen Notfallwiederherstellungs- und Geschäftskontinuitätsplan vorhalten, der festlegt, wie geschützte Informationen von Sicherungsbändern und externen Informationssystemen wiederhergestellt werden und wie der Geschäftsbetrieb während der Wiederherstellungsphase fortgeführt wird. Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO) müssen definiert und auf Anfrage an BigID übermittelt werden.
    2. Der Anbieter muss den Notfallwiederherstellungs- und Geschäftskontinuitätsplan mindestens einmal jährlich testen, um die Notfallwiederherstellungs- und Geschäftskontinuitätsverfahren sowie die RTO- und RPO-Werte zu validieren. Die Tests müssen Szenarien für den Ausfall einer Verfügbarkeitszone sowie eines regionalen Ausfalls umfassen.
    3. Der Lieferant ist verpflichtet, regelmäßig verschlüsselte Backups der in seinen Informationssystemen verarbeiteten geschützten Informationen durchzuführen. Die Regelmäßigkeit der Backups richtet sich nach Art, Umfang und Änderungshäufigkeit der vom Lieferanten verarbeiteten und mit BigID vereinbarten geschützten Informationen.
12. Systementwicklung
    1. Der Lieferant muss die gesamte System-, Netzwerk- und Anwendungsarchitektur, Datenflüsse, Prozessabläufe und Sicherheitsfunktionen für alle Anwendungen dokumentieren, die geschützte Informationen verarbeiten oder speichern. Bei der Entwicklung von Anwendungen, die geschützte Informationen verarbeiten oder speichern, muss der Lieferant dokumentierte Richtlinien, Standards und Protokolle für sichere Programmierung anwenden.
    2. Der Anbieter muss über ein dokumentiertes Programm für sichere Codeüberprüfungen verfügen und eine Dokumentation der sicheren Codeüberprüfungen aufbewahren, die für alle Anwendungen durchgeführt werden, die geschützte Informationen speichern oder verarbeiten.
    3. Der Anbieter muss eine Bedrohungsmodellmethodik verwenden, um die Hauptrisiken für die wichtigen Vermögenswerte und Funktionen aller Anwendungen zu ermitteln, die geschützte Informationen speichern oder verarbeiten. Außerdem muss er eine Analyse der häufigsten Programmierfehler durchführen und schriftlich dokumentieren, dass diese behoben wurden.
    4. Der Lieferant aktualisiert alle Workstations und Server mit allen aktuellen Betriebssystem-, Datenbank- und Anwendungspatches, die in seiner IT-Umgebung bereitgestellt werden. Der Zeitplan richtet sich nach der Wichtigkeit des Patches. Der Lieferant muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Patches die Sicherheit der zu patchenden Informationsressourcen nicht gefährden.
    5. Der Lieferant setzt ein wirksames, dokumentiertes Änderungsmanagementprogramm für die Dienste als integralen Bestandteil seines Sicherheitsprofils ein. Dies umfasst logisch oder physisch von der Produktion getrennte Umgebungen für alle Entwicklungs- und Testzwecke. Der Lieferant darf geschützte Informationen nicht in Entwicklungs- oder Testumgebungen verwenden, es sei denn, die geschützten Informationen wurden ausreichend bereinigt, sodass sie kein Risiko eines Sicherheitsvorfalls darstellen.
    6. Der Lieferant muss BigID über alle wesentlichen Änderungen an Systemen zur Verarbeitung geschützter Informationen informieren und ihnen schriftlich zustimmen.

9. Cyber- und Datenschutzversicherung

Zusätzlich zu den im Vertrag festgelegten Versicherungsanforderungen muss der Lieferant auf eigene Kosten eine Datenschutz- und Cybersicherheitsversicherung (oder einen gleichwertigen Versicherungsschutz) in Höhe von mindestens fünf Millionen US-Dollar ($5.000.000) pro Schadensfall abschließen. Der Versicherungsschutz muss ausreichend breit angelegt sein, um den vom Lieferanten in diesem Vertrag übernommenen Pflichten und Verpflichtungen gerecht zu werden und umfasst unter anderem Ansprüche im Zusammenhang mit der Verletzung geistigen Eigentums, einschließlich Urheberrechtsverletzungen, Markenverletzungen, Verletzungen der Handelsaufmachung, Datenschutzverletzungen, Informationsdiebstahl, Beschädigung oder Vernichtung elektronischer Informationen, Weitergabe vertraulicher Informationen, Manipulation elektronischer Informationen, Erpressung und Netzwerksicherheit. Die Police deckt die Kosten für die Reaktion auf Verstöße und die direkt vom Lieferanten zu tragenden Bußgelder ab, wobei die Deckungssummen ausreichen, um auf diese Vorwürfe oder die im Vertrag festgelegte Haftungsgrenze zu reagieren. Der rückwirkende Versicherungsschutz beginnt spätestens mit dem Datum des Inkrafttretens dieses Vertrags. Der Lieferant muss diesen Versicherungsschutz für die Dauer dieses Vertrags und für einen Zeitraum von mindestens einem (1) Jahr nach Ablauf, Kündigung oder Beendigung dieses Vertrags aufrechterhalten.

10. Kündigung und Fortbestand

1. Der Lieferant stellt die Verarbeitung geschützter Informationen mit der Kündigung oder dem Ablauf der Vereinbarung ein.
2. Die Bestimmungen dieser Bedingungen zum Schutz geschützter Informationen gelten auch nach Beendigung der Vereinbarung oder dieser Bedingungen und bleiben so lange in Kraft, wie der Anbieter über geschützte Informationen verfügt.

11. Sonstiges

1. Der Anbieter stimmt zu, dass BigID das Recht hat, die Anforderungen dieses Nachtrags einseitig und mit angemessener Vorankündigung an den Anbieter zu ändern, soweit dies erforderlich ist, um die Einhaltung staatlicher oder bundesstaatlicher Gesetze mit zusätzlichen oder anderen Standards im Zusammenhang mit der Verarbeitung personenbezogener Daten aufrechtzuerhalten. Solche Änderungen treten automatisch sechzig (60) Tage nach der Benachrichtigung in Kraft (oder früher, wenn dies zur Einhaltung gesetzlicher Vorschriften erforderlich ist).
2. Sofern durch diese DPA keine Änderungen vorgenommen werden, bleibt die Vereinbarung in vollem Umfang in Kraft.
3. Im Falle eines Konflikts zwischen der Vereinbarung und dieser Datenverarbeitungsvereinbarung gelten die Bedingungen dieser Datenverarbeitungsvereinbarung.
4. Sämtliche Ansprüche im Rahmen dieser DPA unterliegen den Bedingungen der Vereinbarung, insbesondere den darin enthaltenen Ausschlüssen und Beschränkungen.

ANHANG 1 – DETAILS DER VERARBEITUNG

Art und Zweck der Verarbeitung
Der Anbieter (und alle von ihm beauftragten Unterauftragsverarbeiter) verarbeitet personenbezogene Daten, soweit dies zur Erbringung der Dienstleistungen gemäß der Vereinbarung und gemäß den weiteren Anweisungen von BigID bei der Nutzung der Dienstleistungen erforderlich ist. Dies umfasst:

Vom Verkäufer auszufüllen

Dauer und Häufigkeit der Verarbeitung sowie Zeitraum, für den personenbezogene Daten gespeichert werden

Vom Verkäufer auszufüllen

Kategorien betroffener Personen
BigID kann personenbezogene Daten an die Dienste übermitteln. Der Umfang dieser Daten wird von BigID nach eigenem Ermessen bestimmt und kontrolliert. Dazu können unter anderem personenbezogene Daten in Bezug auf die folgenden Kategorien betroffener Personen gehören:

Vom Verkäufer auszufüllen

Art der personenbezogenen Daten
BigID kann personenbezogene Daten an die Dienste übermitteln. Der Umfang dieser Daten wird vom Kunden nach seinem alleinigen Ermessen bestimmt und kontrolliert. Diese Daten können unter anderem die folgenden Kategorien personenbezogener Daten umfassen:

Vom Verkäufer auszufüllen

ANHANG 2 – INFORMATIONEN ZU STANDARDVERTRAGSKLAUSELN

Wann die Standardvertragsklauseln gelten:

• Anhang IA wird mit den im Vertrag aufgeführten Namen, Adressen und Ansprechpartnern der Parteien ergänzt.
• Die Unterschriften aller Parteien und das Datum dieser DPA gelten als eingetragen.
• Die Rolle von BigID wird als „Controller“ und die Rolle des Anbieters als „Prozessor“ angegeben.
• Anhang IB wird durch die in Anhang 1 dieser DPA aufgeführten Informationen sowie durch die Einzelheiten der in Anhang 3 dieser DPA aufgeführten Beschränkungen und Sicherheitsvorkehrungen vervollständigt, die unter Berücksichtigung der Art der Daten und der damit verbundenen Risiken für alle übertragenen personenbezogenen Daten, einschließlich sensibler Daten, gelten.
• Anhang II wird durch die Einzelheiten der in Anlage 3 dieser DPA aufgeführten technischen und organisatorischen Maßnahmen ergänzt.
• Anhang IC wird wie folgt ergänzt:
  • Wenn die Verarbeitung personenbezogener Daten durch BigID nicht in den Anwendungsbereich der EU-DSGVO fällt, wird gemäß dem britischen Nachtrag das britische Information Commissioner’s Office als zuständige Aufsichtsbehörde eingesetzt.
  • Wenn die Verarbeitung personenbezogener Daten durch BigID in den Anwendungsbereich der EU-DSGVO fällt, ist die zuständige Aufsichtsbehörde entweder (i) die Aufsichtsbehörde des EU-Mitgliedstaats, in dem BigID seinen Sitz hat, oder (ii) (wenn BigID seinen Sitz nicht in der EU hat) der EU-Mitgliedstaat, in dem der Kunde seinen EU-Vertreter ernannt hat, oder (iii) (wenn der Kunde seinen Sitz nicht in der EU hat und keinen EU-Vertreter ernannt hat) die irische Datenschutzkommission.
• Option 1 wird aus Klausel 9(a) gestrichen. (Vorbehaltlich Abschnitt 6.4 dieser DPA) beträgt die relevante Frist vierzehn (14) Kalendertage. Die in dieser Bestimmung genannte „vereinbarte Liste“ ist die in Abschnitt 6.2 dieser DPA genannte Liste der Unterauftragsverarbeiter.
• Der optionale Wortlaut in Klausel 11(a) wird gestrichen.
• Option 2 wird aus Klausel 17 gestrichen und:
  • Wenn die Verarbeitung der personenbezogenen Daten durch BigID nicht in den Anwendungsbereich der EU-DSGVO fällt, dann gelten die Gesetze von England und Wales; aber
  • Wenn die Verarbeitung personenbezogener Daten durch BigID in den Geltungsbereich der EU-DSGVO fällt, gilt das Recht der Republik Irland.
• Klausel 18(b) wird wie folgt ergänzt:
  • Wenn die Verarbeitung der personenbezogenen Daten durch BigID nicht in den Anwendungsbereich der EU-DSGVO fällt, mit den Worten „England und Wales“; oder
  • Wenn die Verarbeitung der personenbezogenen Daten durch BigID in den Geltungsbereich der EU-DSGVO fällt, mit den Worten „Republik Irland“.

Wenn der UK-Nachtrag Anwendung findet, gilt zusätzlich zu den Informationen zu den in diesem Anhang oben aufgeführten Standardvertragsklauseln Folgendes:

• Tabelle 1 wird mit dem Datum des Vertragsabschlusses als Startdatum sowie den Firmen- und Handelsnamen, der Hauptadresse, der amtlichen Registrierungsnummer, dem Namen des Hauptansprechpartners, der Berufsbezeichnung und den Kontaktdaten (einschließlich E-Mail-Adresse) der Parteien gemäß dem Vertrag ausgefüllt. Die Unterschriften aller Parteien gelten als in den Hauptvertrag aufgenommen.
• Die Tabellen 2 und 3 werden mit den Informationen zu den in diesem Anhang aufgeführten Standardvertragsklauseln ausgefüllt, die für eine Übertragung gemäß Klausel 4.4 dieser DPA relevant sind. Die erste Option in Tabelle 2 wird ausgewählt und das Datum der Vereinbarung eingetragen.
• Tabelle 4 wird ausgefüllt, damit jede Partei den UK-Nachtrag beenden kann, wenn der UK-Nachtrag vom britischen Information Commissioner's Office geändert wird. Die Parteien vereinbaren, dass BigID nach Beendigung des UK-Nachtrags keine personenbezogenen Daten, die der UK-DSGVO unterliegen, mehr gemäß der Vereinbarung und dieser DPA an den Kunden überträgt, es sei denn, es wurde zur angemessenen Zufriedenheit von BigID eine alternative Übertragungssicherung eingerichtet.

ANHANG 3 – SICHERHEITSMASSNAHMEN

Dieser Anhang 3, Sicherheitsmaßnahmen („Sicherheitsmaßnahmen”), wird durch Bezugnahme in die Datenverarbeitungsvereinbarung aufgenommen und zu einem Teil davon gemacht („DPA”). Alle in diesen Sicherheitsmaßnahmen oder in der DPA nicht definierten Begriffe haben die im Vertrag festgelegte Bedeutung. Der Anbieter ergreift die folgenden Sicherheitsvorkehrungen zum Schutz von Daten und anderen Informationen (einschließlich Metadaten) („Daten”), die BigID oder seine Kunden oder andere Endbenutzer in die Produkte und Dienstleistungen des Anbieters importieren oder bei der Verwendung dieser erstellen („Dienstleistungen”) oder dem Anbieter anderweitig zur Verfügung stellen:

1. Informationssicherheitsprogramm

Der Lieferant verpflichtet sich, ein umfassendes, schriftliches Informationssicherheitsprogramm zu unterhalten, das den Branchenstandards für organisatorische, betriebliche, administrative, physische und technische Sicherheitsvorkehrungen für die Verarbeitung, Speicherung und Übermittlung von Daten entspricht und den Risiken der Datenverarbeitung im Rahmen der vertraglich vereinbarten Leistungen angemessen ist. Darüber hinaus soll es jeden Zugriff auf Daten verhindern, der nicht durch den Vertrag oder diesen Anhang autorisiert ist. Der Lieferant legt die Verantwortung für die laufende Überprüfung des Informationssicherheitsprogramms fest, um dessen fortwährende Eignung, Angemessenheit und Wirksamkeit angemessen sicherzustellen. Dieses Programm muss mindestens, aber nicht ausschließlich, die Anforderungen dieses Anhangs erfüllen.

2. Sichere Anwendungsentwicklung und -tests

1. Der Anbieter muss sichere Verfahren zur Anwendungsentwicklung und -codierung befolgen und einen Rahmen für die Anwendungsentwicklung und -wartung einrichten, der die Sicherheit und Integrität der Daten und Dienste gemäß den OWASP Secure Coding Practices Quick Reference Guidelines und den darin referenzierten Materialien in der regelmäßig aktualisierten Fassung schützt.
2. Der Anbieter verwendet führende, ständig aktualisierte Programme, die sicherstellen sollen, dass die Dienste frei von Viren, Schadsoftware, Programmroutinen, Geräten oder anderen nicht offengelegten Funktionen (zusammen „Schadsoftware“) sind, einschließlich, aber nicht beschränkt auf Zeitbomben, Softwaresperren, Drop-Dead-Geräte, Schadlogik, Würmer, Trojaner oder Falltüren, die in der Lage sind, die Daten oder andere Informationen oder Daten, Hardware, virtuelle Maschinen, Container, Programme, Codes, Ressourcen oder Datenbanken von BigID oder anderen Parteien zu löschen, zu deaktivieren, zu korrumpieren, zu beschädigen, zu beeinträchtigen, zu unterbrechen, zu verändern, zu löschen, zu stören oder auf andere Weise zu schädigen oder unbefugten Zugriff darauf zu ermöglichen.
3. Der Anbieter führt mindestens alle sechs Monate Schwachstellen-Scans/Penetrationstests der Dienste durch und beauftragt mindestens jährlich einen seriösen Drittanbieter mit der Durchführung dieser Tests. Auf Anfrage stellt der Anbieter Zusammenfassungen oder Bestätigungsschreiben der Schwachstellenbewertung sowie eine Beschreibung der Korrekturmaßnahmenpläne zur Verfügung. BigID kann Schwachstellen-Scans/Penetrationstests der Dienste selbst durchführen oder einen Drittanbieter damit beauftragen.
4. Der Lieferant klassifiziert Schadsoftware und Sicherheitslücken gemäß branchenüblichen Risikobewertungsmethoden (z. B. NIST) und ergreift umgehend geeignete Maßnahmen zur Risikominimierung, bevor er einen Sicherheitspatch bereitstellt. Der Lieferant installiert einen geeigneten, getesteten Sicherheitspatch, der identifizierte Schadsoftware und Sicherheitslücken innerhalb der nächsten 7 Tage (kritisches Risiko), 30 Tage (hohes Risiko), 90 Tage (mittleres Risiko) oder 180 Tage (niedriges Risiko) vollständig entfernt bzw. behebt. Sollten die Daten durch Schadsoftware oder eine Sicherheitslücke beeinträchtigt worden sein, unterstützt und kooperiert der Lieferant mit BigID bei allen notwendigen oder angemessenen Offenlegungen sowie anderen Untersuchungs-, Abhilfe- und Überwachungsmaßnahmen.

3. Benachrichtigungen über Verstöße 
Der Lieferant verpflichtet sich, BigID so schnell wie möglich und spätestens 48 Stunden nach Kenntniserlangung per E-Mail an [email protected] über jegliche Datensicherheitsverletzung zu informieren und alle relevanten Fakten, von denen der Lieferant weiß oder Grund zu der Annahme hat, dass sie eingetreten ist oder eingetreten sein könnte oder die er untersucht, zu berücksichtigen. Der Lieferant unterstützt und kooperiert mit BigID bei allen notwendigen oder angemessenen Offenlegungen und anderen Untersuchungs-, Abhilfe- und Überwachungsmaßnahmen infolge einer Datensicherheitsverletzung. „Datensicherheitsverletzung“ bezeichnet hierin die tatsächliche oder begründet vermutete unbefugte Offenlegung, den Zugriff auf oder die Beschaffung, Verarbeitung, Übertragung oder Entsorgung von Daten aufgrund einer Sicherheitsverletzung, eines Verlusts oder einer Beschädigung oder aufgrund anderer Umstände.

4. Reaktionen auf Sicherheitsvorfälle
Der Lieferant muss ein Sicherheitsreaktionsteam aus qualifiziertem Personal unterhalten, das sich kurzfristig treffen kann, um etwaige Vorfälle zu beheben, und sich auf die Umsetzung von Verfahren im Falle einer Datensicherheitsverletzung oder einer Verletzung einer Anwendung oder eines Systems konzentrieren kann, die in direktem Zusammenhang mit dem Zugriff auf, der Verarbeitung, Speicherung, Kommunikation oder Übertragung von Daten stehen. Solche Verfahren umfassen: (a) die Bewertung des durch den Vorfall bedingten Risikos und die Feststellung, wer betroffen sein könnte; (b) die interne Berichterstattung sowie das oben beschriebene Verfahren zur Meldung von Datenverletzungen; (c) die dauerhafte Aufzeichnung der Maßnahmen und deren Beauftragung, um spätere Analysen und mögliche rechtliche Schritte zu erleichtern; (d) die Durchführung und Dokumentation der Ursachenanalyse und des Behebungsplans; und (e) die vollständige und zeitnahe Behebung der Datensicherheitsverletzung und aller damit verbundenen Verletzungen einer Anwendung oder eines Systems.

5. Sonstige Benachrichtigungen 

Der Lieferant wird BigID so schnell wie möglich und ohne unangemessene Verzögerung, nachdem er Kenntnis davon erlangt hat, spätestens jedoch 48 Stunden später per E-Mail an [email protected] über Folgendes informieren:

1. Jegliche Anfrage nach Zugriff auf oder Informationen über Daten von Regierungsbeamten (einschließlich Datenschutzbehörden oder Strafverfolgungsbehörden) sowie jegliche Anfragen, Beschwerden oder sonstige Mitteilungen bezüglich der personenbezogenen Daten einer Person, die von einer solchen Person eingehen, deren personenbezogene Daten in den Daten enthalten sind oder enthalten sein können. Der Anbieter ist sich bewusst, dass er nicht befugt ist, auf diese Anfragen zu antworten, es sei denn, BigID hat ihm ausdrücklich die Genehmigung dazu erteilt. Ausgenommen hiervon sind Anfragen von Regierungsbehörden mit einer Vorladung oder einem ähnlichen Rechtsdokument, das den Anbieter zur Offenlegung verpflichtet. Voraussetzung ist, dass der Anbieter BigID nach Möglichkeit im Voraus über eine solche Offenlegung informiert.
2. Jegliche Schadsoftware (wie oben definiert) oder Sicherheitslücke innerhalb der Dienste oder des zugehörigen Netzwerks oder der Systeme, die Daten speichern und verarbeiten, die ein Risiko für die Sicherheit der Daten darstellt oder wahrscheinlich negative Auswirkungen auf BigID oder seine Kunden oder Endbenutzer hat.

6. Verschlüsselung
Der Lieferant muss alle Datensätze und Dateien, die Daten enthalten, sowohl im Ruhezustand als auch während der Übertragung unter Verwendung eines aktuellen, branchenüblichen Verschlüsselungsstandards für vertrauliche Daten und persönliche Informationen verschlüsseln.

7. Hintergrundüberprüfungen und Sicherheitsschulungen 
Der Lieferant muss angemessene Hintergrundprüfungen für alle Personen (Mitarbeiter, Auftragnehmer oder Subunternehmer usw.) durchführen, die Zugriff auf Daten oder Entwicklungs- oder Testumgebungen oder Quellcode haben („Betroffene Personen”). Der Anbieter gestattet keinen betroffenen Personen den Zugriff auf Daten, Entwicklungs- oder Testumgebungen oder Quellcode, wenn diese Parteien eine solche Hintergrundprüfung nicht bestehen. Ohne Einschränkung der Allgemeingültigkeit des Vorstehenden und im Einklang mit den geltenden Gesetzen gestattet der Anbieter keinen betroffenen Personen einen derartigen Zugriff, wenn die Person in den letzten sieben (7) Jahren wegen eines Verbrechens oder Vergehens im Zusammenhang mit Diebstahl, Unehrlichkeit, Betrug oder Computerkriminalität verurteilt wurde oder sich schuldig bekannt hat oder kein Einspruch eingelegt hat. Der Anbieter muss den betroffenen Personen vor Gewährung eines solchen Zugriffs und anschließend jährlich ein angemessenes Maß an Aufsicht, Anleitung und Schulung zu den Schutzmaßnahmen von Informationssicherheitsprogrammen und der Bedeutung der Sicherheit personenbezogener Daten bieten.

8. Kontinuität des Geschäftsbetriebs
Der Lieferant muss Geschäftskontinuitäts- und Notfallwiederherstellungspläne erstellen, um ein Serviceniveau aufrechtzuerhalten, das seinen Verpflichtungen aus dem Vertrag und den Branchenstandards entspricht. Dies umfasst unter anderem Verfahren zur täglichen Datensicherung. Der Lieferant muss diese Geschäftskontinuitäts- und Notfallwiederherstellungspläne regelmäßig, mindestens jedoch einmal jährlich, vollständig und erfolgreich testen. Auf Anfrage stellt der Lieferant BigID Testaktivitätsprotokolle und Testergebnisse zur Überprüfung zur Verfügung. Sicherungsdatensätze müssen durch strenge Zugriffskontrollen, Verschlüsselung und die weiteren Anforderungen dieses Anhangs angemessen geschützt sein.

9. Separater Rechenzentrumsanbieter oder andere Subunternehmer (falls zutreffend) 
Nutzt der Anbieter das Rechenzentrum eines Drittanbieters zur Bereitstellung seiner Dienste oder einen Subunternehmer zur Bereitstellung von Teilen der Dienste oder damit verbundener Supportleistungen, muss der Anbieter sicherstellen, dass der Drittanbieter alle hierin für den Anbieter geltenden Anforderungen erfüllt. Der Anbieter ist verpflichtet, BigID unverzüglich zu benachrichtigen, wenn der Drittanbieter die hierin enthaltenen Anforderungen nicht erfüllt, insbesondere wenn Sicherheitszertifikate, Validierungen, Audits oder andere Nachweise Dritter nicht aktuell sind.

10. Physische und Umweltsicherheit

1. Der Lieferant muss einen Sicherheitsbereich um die Datenverarbeitungsanlagen und die physische Arbeitsumgebung, in der Daten gespeichert oder verarbeitet werden, einrichten, der (ai) physische Zugangskontrollen umfasst, um angemessen sicherzustellen, dass nur autorisierte Personen Zugang zu diesen Anlagen erhalten, und (bii) Umweltkontrollen, um angemessen vor Schäden durch Feuer, Überschwemmung und andere Formen von vom Menschen verursachten oder Naturkatastrophen zu schützen.
2. Der Durchgang durch die physischen Barrieren erfolgt entweder durch elektronische Zugangskontrollen (z. B. Kartensysteme) oder durch Sicherheitspersonal (z. B. Vertrags- oder interner Sicherheitsdienst, Rezeption usw.). Mitarbeiter und andere Dritte erhalten Ausweise mit Lichtbild, die während des Aufenthalts in den Einrichtungen zu tragen sind.
3. Besucher müssen sich beim zuständigen Personal anmelden, einen entsprechenden Ausweis vorzeigen und einen Besucherausweis erhalten, den sie während ihres Aufenthalts in den Einrichtungen tragen müssen. Außerdem müssen sie während des Besuchs der Einrichtungen ständig von autorisierten Mitarbeitern oder Auftragnehmern begleitet werden.
4. Der Lieferant gewährt nur Mitarbeitern und Dritten Zugang zu den Einrichtungen, die einen berechtigten geschäftlichen Bedarf an diesen Zugangsrechten haben. Besteht für einen Mitarbeiter oder Dritten kein geschäftlicher Bedarf mehr an den ihm/ihr zugewiesenen Zugangsrechten, werden diese unverzüglich widerrufen, auch wenn der Mitarbeiter oder Dritte weiterhin Mitarbeiter des Lieferanten ist oder in einem Drittverhältnis zu diesem steht.
5. Der Lieferant ist verpflichtet, in allen Datenverarbeitungsanlagen Brand-, Rauch-, Hitze- und Wassermelde- sowie Brandbekämpfungsmechanismen zu installieren. Ausreichende Notstromsysteme zur Gewährleistung einer unterbrechungsfreien Stromversorgung sind gegebenenfalls einzurichten.

11. Beschränkungen des Datenzugriffs; Kontrollen
Die Daten sind streng vertraulich. Soweit BigID dem Anbieter oder dessen Mitarbeitern, Auftragnehmern oder Subunternehmern Zugriff auf Daten gewährt, gelten die folgenden Bestimmungen:

1. Der Lieferant stellt Daten nur seinen Mitarbeitern oder Dritten zur Verfügung, die einen berechtigten geschäftlichen Zugriff benötigen, um den Lieferanten bei der Erfüllung seiner vertraglichen Verpflichtungen gegenüber BigID zu unterstützen, die an gesetzlich durchsetzbare Vertraulichkeits-, Datenschutz- und Datensicherheitsverpflichtungen gebunden sind, die mindestens den in der Vereinbarung und diesem Anhang festgelegten Verpflichtungen entsprechen, und die in der ordnungsgemäßen Verarbeitung von Daten geschult wurden. Darüber hinaus muss jedes Mal die Zustimmung von BigID eingeholt werden, wenn einer solchen Person Zugriff auf Daten gewährt wird. Die Zustimmung muss schriftlich (z. B. per E-Mail) oder durch die Einleitung einer Bildschirmfreigabesitzung durch BigID erteilt werden.
2. Der Lieferant muss über ein formelles Benutzerzugriffsverwaltungsverfahren verfügen, bei dem der Benutzerzugriff formal beantragt, nach Identitätsprüfung genehmigt und nach dem Prinzip der geringsten Berechtigung auf der Grundlage des erforderlichen Wissens gewährt wird. Der Zugriff auf Daten ist ausschließlich aktiven Benutzern und aktiven Benutzerkonten vorbehalten. Der Zugriff entlassener Mitarbeiter oder solcher, die ihn nicht mehr benötigen, wird unverzüglich widerrufen. Es werden Prozesse eingerichtet, um den Benutzerzugriff auf die Einrichtungen und Systeme des Lieferanten, die Daten speichern und verarbeiten, regelmäßig zu überprüfen.
3. Der Anbieter muss sichere Protokolle zur Benutzerauthentifizierung verwenden, einschließlich der Zuweisung eindeutiger Identifikationen und sicherer Passwörter an jede Person mit Computerzugriff.
   1. Passwörter dürfen keine vom Anbieter bereitgestellten Standardpasswörter sein und müssen an einem Ort und/oder in einem Format aufbewahrt werden, das die Sicherheit der von ihnen geschützten Daten nicht beeinträchtigt.
   2. Die Anzeige und der Ausdruck von Passwörtern müssen maskiert, unterdrückt oder anderweitig unkenntlich gemacht werden, sodass Unbefugte sie nicht einsehen oder später wiederherstellen können. Passwörter dürfen bei der Eingabe nicht protokolliert oder aufgezeichnet werden. Benutzerpasswörter dürfen nur mit kryptografischem Schutz gespeichert und übertragen werden.
   3. Das Passwort für jede Technologie muss so gewählt werden, dass die Risiken bekannter Passwortlängenschwachstellen gemäß branchenüblichen Best Practices minimiert werden. Die Passwortlänge darf in keinem Fall weniger als zwölf (12) Zeichen betragen. Die Passwortkomplexität sollte mindestens drei von vier Zeichenklassen umfassen und muss verschiedene Zeichenklassen wie Großbuchstaben, Kleinbuchstaben, Ziffern oder Sonderzeichen (z. B. $, &, #, @ usw.) umfassen.
   4. Sofern die eingesetzte Technologie dies vorsieht, muss ein Mechanismus vorhanden sein, der die Wiederverwendung mindestens der letzten vierundzwanzig (24) Passwörter verhindert. Passwörter müssen nach Vorfällen und anderen branchenüblichen Best Practices geändert werden.
4. Benutzer-IDs und Passwörter dürfen für Systeme, die Daten speichern, darauf zugreifen und sie übertragen, nicht ohne die formelle Genehmigung von BigID weitergegeben werden.
5. Der Zugriff auf die Benutzerkennung wird nach fünf (5) erfolglosen Zugriffsversuchen gesperrt. Für alle Systeme und Anwendungen, die Daten speichern, gelten Inaktivitäts-Timeouts von maximal 30 Minuten.
6. Der Lieferant sorgt für eine angemessene Überwachung der Systeme auf unbefugte Nutzung oder Zugriff auf Daten. Tatsächliche oder versuchte Anmelde- und Zugriffsverletzungen werden protokolliert. Diese Protokolle werden während ihrer gesamten Lebensdauer geschützt, um Vertraulichkeit und Integrität zu gewährleisten, und für die Dauer des Vertrags aufbewahrt. Auf Anfrage werden die Protokolle BigID in einem sicheren elektronischen Format zur Verfügung gestellt.
7. Der Fernzugriff auf das Netzwerk, die Systeme und die Anwendungen des Anbieters, die Daten speichern, erfolgt nach formeller Genehmigung unter Verwendung einer starken Authentifizierung. Die Fernzugriffsaktivitäten werden protokolliert und überwacht. Der Fernzugriff auf das BigID-Netzwerk erfolgt nur auf Anfrage und gemäß den BigID-Richtlinien.
8. Der Lieferant führt Aufzeichnungen aller Zugriffsanfragen und Protokolle der Zugriffsaktivitäten für alle Systeme, die Daten speichern, abrufen, verarbeiten und übertragen, für einen Zeitraum von mindestens 180 Tagen. Auf Anfrage stellt der Lieferant BigID diese Aufzeichnungen zur Überprüfung zur Verfügung.
9. Der Lieferant stellt die Aufgabentrennung bei der Sicherheitsverwaltung, der Zugriffsprüfung und der Untersuchung von Sicherheitsverletzungen sicher. Der Lieferant sorgt für eine Trennung zwischen Entwicklungs- und Betriebspersonal sowie anderen potenziell konfliktbehafteten Rollen.
10. Die Speicherung, das Hosting und die Verarbeitung von Daten müssen logisch von denen anderer vom Anbieter betreuter Unternehmen getrennt sein. In Fällen, in denen BigID einen gemeinsam genutzten Speicher-, Hosting- oder Verarbeitungsbereich autorisiert, muss der Anbieter die erforderliche Sorgfalt walten lassen, um eine unbeabsichtigte Offenlegung von Daten zu verhindern.
11. Der Anbieter muss Richtlinien für saubere Schreibtische und leere Bildschirme durchsetzen, um sicherzustellen, dass Daten zu keiner Zeit an öffentlichen Orten unbeaufsichtigt zurückgelassen werden.

12. Netzwerksicherheit

1. Der Lieferant verpflichtet sich, aktuelle Versionen von Systemsicherheitsprodukten wie Firewalls, Proxys, Web Application Firewalls und Schnittstellen zu verwenden. Diese Produkte müssen Malware-Schutz sowie aktuelle Patches und Virendefinitionen enthalten und regelmäßig mit den aktuellsten Sicherheitsupdates ausgestattet sein. Der Lieferant muss aktuelle Antiviren- und Malware-Programme installiert haben, um alle Laptops, Server und Netzwerke auf Viren und Malware zu prüfen und diese umgehend zu entfernen.
2. Der Anbieter muss über einen Patch-Management-Prozess verfügen, der das Testen von Patches vor der Installation auf allen Systemen umfasst, die zum Speichern, Zugreifen und Übertragen von Daten oder zum Bereitstellen von Diensten für BigID verwendet werden.
3. Der Anbieter stellt sicher, dass die Systemadministratoren vollständige, genaue und aktuelle Informationen zur Konfiguration aller Informationssysteme pflegen, die zum Speichern, Zugreifen und Übertragen von Daten verwendet werden.
4. Der Lieferant muss Angriffserkennungs- und/oder -präventions- sowie Überwachungs- und Reaktionsverfahren in einer Weise aufrechterhalten, die sowohl interne als auch externe Schwachstellen und Risiken identifiziert, die zu einer unbefugten Offenlegung, einem Missbrauch, einer Änderung oder einer Zerstörung von Daten oder Informationssystemen führen könnten, die zur Bereitstellung von Diensten für BigID verwendet werden.
5. Der Anbieter muss Schwachstellen-Informationsdienste oder Hinweise zur Informationssicherheit sowie andere relevante Quellen abonnieren, die aktuelle Informationen zu Systemschwachstellen bereitstellen.
6. Der Anbieter führt vierteljährlich Schwachstellenscans/Penetrationstests seines Netzwerks durch und beauftragt mindestens einmal jährlich einen renommierten Drittanbieter mit der Durchführung dieser Tests. Auf Anfrage stellt der Anbieter Zusammenfassungen oder Bestätigungsschreiben der Schwachstellenanalysen sowie eine Beschreibung der Korrekturmaßnahmenpläne zur Verfügung. BigID kann Schwachstellenscans/Penetrationstests der Dienste selbst durchführen oder durch Dritte durchführen lassen.
7. Der Lieferant klassifiziert Netzwerksicherheitslücken gemäß branchenüblicher Risikobewertungsmethoden und ergreift umgehend geeignete Maßnahmen zur Risikominimierung, bevor er einen Sicherheitspatch beschafft und installiert. Der Lieferant installiert einen geeigneten, getesteten Sicherheitspatch, der die identifizierten Netzwerkschwachstellen innerhalb der nächsten 7 Tage (kritisches Risiko), 30 Tage (hohes Risiko), 60 Tage (mittleres Risiko) oder 90 Tage (niedriges Risiko) vollständig behebt. Sollten die Daten durch die Ausnutzung einer Netzwerkschwachstelle beeinträchtigt worden sein, unterstützt der Lieferant BigID bei allen notwendigen oder angemessenen Offenlegungen sowie anderen Untersuchungs-, Abhilfe- und Überwachungsmaßnahmen.
8. Der Lieferant muss Netzwerk- und Fernzugriffsprotokolle mindestens sechs (6) Monate lang aufbewahren und sie BigID auf Anfrage zur Verfügung stellen.

13. Vermögensverwaltung 
Der Anbieter muss über einen dokumentierten Prozess und dokumentierte Tools zur Nachverfolgung sowohl der physischen als auch der Datenressourcen verfügen, die bei der Entwicklung, Prüfung oder Bereitstellung der Dienste verwendet werden, und entsprechende Personen mit der Verantwortung für die einzelnen Ressourcen haben.

14. Datenrückgabe und -vernichtung 
Nach schriftlicher Wahl von BigID innerhalb von dreißig (30) Tagen nach Beendigung dieser Vereinbarung wird der Lieferant auf seine Kosten entweder (a) alle Daten in einem branchenüblichen, nicht proprietären Format sicher an BigID übermitteln oder (b) die sichere und dauerhafte Vernichtung aller Daten aus den Diensten und der zugehörigen Hardware und sonstigen Ressourcen, einschließlich, aber nicht beschränkt auf alle Backup-Ressourcen und Speichermedien, veranlassen. Auf Anfrage von BigID stellt der Lieferant eine schriftliche Bestätigung der Datenrückgabe und -vernichtung aus.

15. Audits und Inspektionen

Der Lieferant unterzieht sich auf eigene Kosten einem Audit oder einer Bescheinigung durch eine unabhängige Organisation gemäß dem Branchenstandard für Sicherheitsrahmen (z. B. SOC 2, Typ 2) und legt BigID auf Anfrage mindestens einmal jährlich einen Bericht zur Überprüfung und Gewährleistung der Wirksamkeit der internen Kontrollen im Umgang mit Daten vor. Der Umfang eines solchen Audits umfasst die zur Datenverarbeitung verwendete Umgebung und die Hostsysteme, die Daten speichern, darauf zugreifen und sie übertragen. Das Audit muss mindestens einen Test der Wirksamkeit der internen Kontrollen in Bezug auf folgende Bereiche umfassen: (i) physische Sicherheit und Umgebungskontrollen des Rechenzentrums; (ii) Personalsicherheit; (iii) logische und physische Benutzerzugriffskontrollen; (iv) Funktionstrennung; (v) Infrastruktursicherheit; (vi) Sicherheitsoperationen; (vii) Management von Informationssicherheitsvorfällen; (viii) Änderungsmanagement; (ix) Überwachungs- und Überprüfungskontrollen; (x) Anwendungskontrollen und (xi) Geschäftskontinuität. BigID kann den Vertrag ganz oder teilweise ohne Haftung kündigen, wenn in einem solchen Prüfbericht wesentliche Mängel festgestellt werden und der Anbieter diese wesentlichen Mängel nicht innerhalb von dreißig (30) Tagen nach Erhalt der entsprechenden Aufforderung von BigID behebt. In diesem Fall erstattet der Anbieter alle im Voraus bezahlten Gebühren anteilig zurück.

BigID kann vom Lieferanten verlangen, jährlich oder im Falle einer Datenschutzverletzung häufiger einen standardisierten Fragebogen zur Datensicherheit genau und vollständig auszufüllen. Darüber hinaus verpflichtet sich der Lieferant, BigID im Falle einer Datenschutzverletzung Kopien und/oder angemessene Informationen zu seinem schriftlichen Informationssicherheitsprogramm zur Verfügung zu stellen. BigID ist zudem berechtigt, angemessene Inspektionen und/oder Audits seiner Informationssicherheitsprotokolle in den Einrichtungen des Lieferanten durchzuführen (oder durch einen fachkundigen Dritten durchführen zu lassen), in denen Daten verarbeitet werden oder Systeme zur Speicherung, zum Zugriff und zur Übertragung von Daten gehostet werden. Der Lieferant verpflichtet sich, bei solchen Inspektionen oder Audits mit BigID zusammenzuarbeiten. BigID wird diese Inspektionen oder Audits so durchführen, dass der Geschäftsbetrieb des Lieferanten nicht unangemessen beeinträchtigt wird. Sollten die Ergebnisse einer Inspektion oder eines Audits Sicherheitsprobleme oder -bedenken offenlegen oder darauf hinweisen, wird BigID diese Ergebnisse in einer Mitteilung an den Lieferanten detailliert darlegen und gemeinsam mit dem Lieferanten Maßnahmen zur Behebung der Probleme und zur angemessenen Zufriedenheit von BigID erarbeiten. Für den Fall, dass der Anbieter derartige Probleme nicht zur angemessenen Zufriedenheit von BigID beheben kann, hat BigID das Recht, diesen Vertrag sofort zu kündigen. In diesem Fall ist der Anbieter verpflichtet, eine anteilige Rückerstattung aller im Voraus bezahlten Gebühren zu leisten.

ZU URKUND DESSEN haben die Parteien diesen Nachtrag und die beigefügten Anlagen mit Wirkung zum Datum des Inkrafttretens des Nachtrags durch ihre ordnungsgemäß bevollmächtigten Unterzeichner wie folgt ausführen lassen:

BIGID, INC.

Name: ______________________________

Titel: ______________________________

Kontakt: _____________________________

Datum: _______________________________

[VERKÄUFER]

Name: ______________________________

Titel: ________________________________

Kontakt: _____________________________

Datum: ________________________________