Ressourcencenter Blog Open Source Partner
Suchen
Produkte
Wissensbasis
Support-Downloads
Artikel
suggested searches
Produkte Lösungen Innovation Support Info
Open
Nach Typ Externe Festplatten Interne Festplatten Externe SSDs Interne SSDs Enterprise-Festplatten und -SSDs Datenspeichersysteme Enterprise-Speicherservices
Nach Kategorie Personal-Storage Geräte Gaming-Speichergeräte Kreativprofi Network Attached Storage (NAS) Videoanalysen Cloud, Edge und Rechenzentrum
Nach Marke LaCie
Nach Anwendungsfall Sicherung und Wiederherstellung Big-Data-Analysen (KI/ML) Cloud-Sicherung Datenmigration Datenübertragung High Performance Computing (HPC) Storage-as-a-Service Videoanalysen
Nach Umgebung Netzwerkrand Multi-Cloud Private Cloud Public Cloud
Nach Partner IBM AWS Commvault Veeam VMware Milestone Equinix EVS NI Alle Seagate Technology Partner anzeigen
Nach Branche Autonome Fahrzeuge Gesundheitswesen Medien und Entertainment Überwachung und Sicherheit Telekommunikation Geowissenschaften und Energie
Artikel lesen
Artikel lesen

Perspektiven Speicher für das KI-Zeitalter Warum die Schreibdichte wichtig ist Composable Infrastructure
Innovationen für Datenspeicherung Mozaic 3+ Plattform MACH.2 Multi-Actuator-Festplatten Seagate Secure
Innovationen für die Datenverwaltung Circularity Programm Open-Source-Entwickler-Community
Factory AI Innovations Smart Manufacturing AI Enhanced Automated Vision System Autonomous Monitoring Augmented Code Development Singapore Dream Factory
Artikel lesen
Artikel lesen

Allgemeines Support-Startseite Produktsupport Seagate-Software-Downloads LaCie-Software-Downloads Seagate-Produktregistrierung LaCie-Produktregistrierung
Garantie und Datenwiederherstellung Garantie und Austausch Datenwiederherstellungsdienste Produktfälschung melden
Enterprise Support für Seagate-Systeme Lyve Mobile Support Lyve Cloud Support
Artikel lesen
Artikel lesen

Unternehmensgeschichte Führungskräfte Vorstand ESG Trust Center Qualitätssicherung
Werden Sie Teil des Seagate-Teams Der Arbeitsalltag bei Seagate Seagate Kultur Employee Resource Groups Universitätsprogramme
Investoren
Pressecenter Neuigkeiten Medienkits Markenportal LaCie-Markenportal
Seagate Legal

Lyve Services – Datenschutzvereinbarung

Die in Ihrer Lyve Services-Nutzungsvereinbarung genannte Seagate-Vertragspartei („Seagate“) und Sie („Kunde“) (jeweils eine „Partei“ und gemeinsam die „Parteien“) haben eine Lyve Services-Nutzungsvereinbarung (die „Vereinbarung“) geschlossen, unter der Seagate personenbezogene Daten des Unternehmens (wie nachfolgend definiert) verarbeiten kann, um dem Unternehmen bestimmte Dienstleistungen („Services“) zur Verfügung zu stellen. Diese Datenschutzvereinbarung, einschließlich aller beigefügten Anhänge und Anlagen (diese „Datenschutzvereinbarung“) regelt die Verarbeitung personenbezogener Daten des Unternehmens durch Seagate, ist Teil der Vereinbarung, wird per Bezugnahme in die Vereinbarung aufgenommen und tritt zum Datum der Unterzeichnung der Vereinbarung („Datum des Inkrafttretens“) in Kraft.

Die Parteien vereinbaren das Folgende:

  1. DEFINITIONEN
    1. Verbundenes Unternehmen“ bezeichnet ein Unternehmen, das die betroffene Partei kontrolliert, von der betroffenen Partei kontrolliert wird oder unter gemeinsamer Kontrolle mit der betroffenen Partei steht, wobei der Begriff „Kontrolle“ das Eigentum oder Kontrollrecht an mehr als 50 % der Stimmrechtsanteile des Unternehmens bezeichnet.
    2. Geltende Datenschutzgesetze“ bezeichnet alle weltweiten Datenschutz-, Datensicherheits- und Datenschutzgesetze, -regeln und -vorschriften, die für die betreffenden personenbezogenen Daten des Unternehmens gelten, einschließlich, sofern zutreffend: (i) die EU-Datenschutzgesetze; (ii) der Singapore Personal Data Protection Act 2012 (Nr. 26 von 2012); (iii) alle Gesetze, Regeln und Vorschriften der Vereinigten Staaten, einschließlich der Datenschutzgesetze der US-Bundesstaaten; und (iv) geltende Branchenstandards, die der Art der personenbezogenen Daten des Unternehmens angemessen sind.
    3. „Datenschutzverletzung“ bezeichnet einen bestätigten Sicherheitsverstoß, der zu der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung, dem unbefugten Zugriff auf oder dem unbefugten Erhalt personenbezogener Daten des Unternehmens oder zu einer sonstigen unbefugten Verarbeitung personenbezogener Daten des Unternehmens führt.
    4. „EU-Datenschutzgesetz(e)“ bezeichnet alle Datenschutzgesetze und -vorschriften, die in der Europäischen Union („EU“) oder dem Europäischen Wirtschaftsraum („EWR“) gelten, einschließlich (a) der Datenschutz-Grundverordnung 2016/679 („EU DSGVO“ oder „DSGVO“); (b) der DSGVO, wie durch § 3 des britischen European Union (Withdrawal) Act 2018 in das Recht des Vereinigten Königreichs und das UK Data Protection Act 2018 übertragen (die „UK DSGVO“); (c) des Schweizer Datenschutzgesetzes vom 19. Juni 1992 und seiner entsprechenden Verordnungen („Schweizer Datenschutzgesetz“); (d) der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und (e) entsprechender einzelstaatlicher Implementierungen von (a),(b) und (c).
    5. Personenbezogene Daten des Unternehmens“ bezeichnet alle personenbezogenen Daten, die von Seagate im Auftrag des Unternehmens im Zusammenhang mit der Vereinbarung verarbeitet werden, wie näher in Anhang A dieser Datenschutzvereinbarung beschrieben.
    6. „Standardvertragsklauseln“ oder „SCC“ bezeichnet (i) sofern die DSGVO gilt, die Vertragsklauseln, die Anhang zum Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates sind („EU SCC“) und (ii) sofern die UK DSGVO gilt, die Standarddatenschutzklauseln für Verarbeiter gemäß Artikel 46(2)(c) oder (d) der UK DSGVO eingeführt wurden („UK SCC“) (in der jeweils gültigen Fassung).
    7. „Personenbezogene Daten“ bezeichnet alle Informationen, die als „personenbezogene Daten“, „persönliche Informationen“ oder „persönlich identifizierbare Informationen“ oder ähnlich definierte Begriffe nach den geltenden Datenschutzgesetzen geschützt sind.
    8. „Verarbeiten“ oder „Verarbeitung“ bezeichnet ohne Einschränkung Vorgänge, die im Zusammenhang mit personenbezogenen Daten des Unternehmens durchgeführt werden, unabhängig davon, ob diese Vorgänge automatisiert erfolgen oder nicht, wie z. B. das Erfassen, Aufzeichnen, Organisieren, Strukturieren, Ändern, Verwenden, Zugreifen, Offenlegen, Verbreiten, Kopieren, Übertragen, Speichern oder anderweitige Aufbewahren, Löschen, Ausrichten, Kombinieren, Einschränken, Anpassen, Abrufen, Konsultieren, Zerstören oder Entsorgen personenbezogener Daten des Unternehmens.
    9. Beschränkte Übertragung“ bezeichnet: (i) sofern die DSGVO gilt, eine Übertragung der personenbezogenen Daten des Unternehmens vom EWR in ein Land außerhalb des EWR, das keiner Angemessenheitsfeststellung der Europäischen Kommission unterliegt; (ii) sofern die UK DSGVO gilt, eine Übertragung der personenbezogenen Daten des Unternehmens vom Vereinigten Königreich in ein anderes Land, die keinen Angemessenheitsvorschriften gemäß § 17A des United Kingdom Data Protection Act 2018 unterliegt und (iii) sofern das Schweizer Datenschutzgesetz gilt, eine Übertragung der personenbezogenen Daten des Unternehmens von der Schweiz in ein anderes Land, die keinen Angemessenheitsvorschriften gemäß Schweizer Datenschutzrecht unterliegt.
    10. „Sensible Informationen“ bezeichnet die folgenden Arten personenbezogener Daten des Unternehmens: (i) Sozialversicherungsnummer, Steuernummer, Personalausweisnummer, Führerscheinnummer oder sonstige Nummer eines behördlich ausgestellten Ausweises; (ii) Kredit- oder Debitkartendaten oder Kontonummern mit oder ohne Code oder Passwort, der oder das den Zugriff auf das Konto oder die Kontoauszüge ermöglicht oder (iii) Informationen über religiöse Zugehörigkeit, ethnischen Hintergrund, Sexualleben oder -praktiken oder sexuelle Orientierung, medizinische oder gesundheitsbezogene Informationen, genetische oder biometrische Daten, biometrische Vorlagen, politische oder philosophische Überzeugungen, Mitgliedschaften in politischen Parteien oder Gewerkschaften, Hintergrundprüfungen oder gerichtliche Informationen wie Strafregistereinträge oder Informationen zu sonstigen gerichtlichen oder verwaltungsbehördlichen Verfahren sowie personenbezogene Daten des Unternehmens über Kinder, die unter Datenschutzgesetzen in Bezug auf Kinder geschützt sind, und alle sonstigen Informationen, die gemäß der DSGVO sowie anderer geltender Datenschutzgesetze als „besondere Kategorien von Daten“ erachtet werden.
    11. „Unterauftragsverarbeiter“ bezeichnet einen beliebigen Dritten, der von Seagate oder von einem anderen Unterauftragsverarbeiter beauftragt wird und Zugriff auf die personenbezogenen Daten des Unternehmens hat, diese erhält oder anderweitig verarbeitet.
    12. „Personal von Seagate“ bezeichnet alle Mitarbeiter, Auftragnehmer, Unterauftragsverarbeiter oder Vertreter von Seagate, die Seagate zur Verarbeitung der personenbezogenen Daten des Unternehmens ermächtigt hat.
    13. Datenschutzgesetze der US-Bundesstaaten“ bezeichnet alle geltenden Gesetze, Vorschriften und Vorschriften zum Datenschutz und zur Cybersicherheit, denen die personenbezogenen Daten des Unternehmens unterliegen.
    14. Die Begriffe „Verbraucher“, „Verantwortlicher“, „Betroffene Person“, „Verarbeiter“, „Aufsichtsbehörde“, „Unternehmen“, „Geschäftszweck”, „Kommerzieller Zweck“, „Erfassen“, „Verkauf“, „Serviceanbieter“ und „Offenlegen“ haben die Bedeutung, die ihnen unter den geltenden Datenschutzgesetzen zugewiesen wird.
    15. Der Begriff „einschließlich“ ist so zu verstehen, dass er ohne Einschränkung beinhaltet, und verwandte Begriffe sind entsprechend auszulegen.
  2. DATENSICHERHEIT UND -SCHUTZ
    1.  Datenschutzaufgaben. Die Parteien erkennen hiermit an und stimmen zu, dass das Unternehmen der Datenverantwortliche ist und Seagate im Auftrag des Unternehmens als Auftragsverarbeiter oder Dienstleister in Bezug auf die personenbezogenen Daten des Unternehmens agiert, es sei denn, das Unternehmen agiert selbst als Auftragsverarbeiter der personenbezogenen Daten des Unternehmens; in einem solchen Fall ist Seagate ein Unterauftragsverarbeiter.
    2. Einhaltung von Gesetzen. Beide Parteien erfüllen ihre Verpflichtungen unter den geltenden Datenschutzgesetzen in Bezug auf die personenbezogenen Daten des Unternehmens, die sie unter dieser Datenschutzvereinbarung verarbeiten. Jede Verarbeitung personenbezogener Daten des Unternehmens unter der Vereinbarung hat in Übereinstimmung mit den geltenden Datenschutzgesetzen zu erfolgen. Seagate ist jedoch nicht verantwortlich für die Einhaltung von geltenden Datenschutzgesetzen oder lokalen/branchenbezogenen Standards, die ggf. für das Unternehmen oder seine Branche, jedoch nicht allgemein für Seagate als Dienstleister gelten. Wo die konkrete Nutzung der Services durch das Unternehmen und die geltenden Datenschutzgesetze oder lokalen/branchenbezogenen Standards verlangen, dass das Unternehmen bestimmte vertragliche Vereinbarungen abschließt und/oder zusätzliche Schritte oder Maßnahmen zur Einhaltung von Gesetzen ergreift, die über die Bestimmungen dieser Datenschutzvereinbarung hinausgehen, ist das Unternehmen dafür verantwortlich, Seagate mindestens dreißig (30) Tage im Voraus zu informieren, wenn es Seagate personenbezogene Daten des Unternehmens vorlegt, die diesen Anforderungen unterliegen. Seagate unterstützt das Unternehmen auf angemessene Weise bei der Erfüllung solcher Anforderungen und Seagate ist nach eigenem Ermessen berechtigt, die notwendige(n) Vereinbarung(en) zu unterzeichnen, die sich auf personenbezogene Daten des Unternehmens beziehen, die unter diese Bestimmungen fallen, ohne dass die Rechtswirkung der Bestimmungen dieser Datenschutzvereinbarung eingeschränkt würde. Das Unternehmen kann Seagate über solche rechtsgebietsbezogenen besonderen Anforderungen an die Mitteilungsadresse des in der Vereinbarung genannten Vertragsunternehmens von Seagate informieren.
    3.  Geheimhaltung der personenbezogenen Daten des Unternehmens. Seagate ist nicht berechtigt, personenbezogene Daten des Unternehmens auf beliebige Weise oder zu beliebigen Zwecken gegenüber Dritten offenzulegen, ohne im Vorfeld die schriftliche Genehmigung des Unternehmens einzuholen, abgesehen von Offenlegungen, die in Übereinstimmung mit den geltenden Gesetzen, gegenüber Unterauftragsverarbeitern in Übereinstimmung mit nachfolgender Klausel 2.8 oder anderweitig im Rahmen der Bereitstellung der Services erfolgen. Jede Person, die zur Verarbeitung personenbezogener Daten des Unternehmens berechtigt ist, muss sich vertraglich verpflichten, die Vertraulichkeit dieser Informationen zu gewährleisten, oder muss entsprechend gesetzlich zur Wahrung der Vertraulichkeit verpflichtet sein.
    4. Umfang der Verarbeitung. Seagate ist jederzeit verpflichtet: (i) die personenbezogenen Daten des Unternehmens gemäß dieser Datenschutzvereinbarung ausschließlich für die Zwecke der Bereitstellung der Services an das Unternehmen unter der Vereinbarung und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Unternehmens zu verarbeiten („zulässige Zwecke“) und (ii) personenbezogene Daten des Unternehmens nicht für seine eigenen Zwecke oder die Zwecke Dritter zu verarbeiten. Seagate ist nicht berechtigt (i) personenbezogene Daten des Unternehmens zu verkaufen oder offenzulegen; (ii) personenbezogene Daten des Unternehmens für andere Zwecke als die zulässigen Zwecke aufzubewahren, zu nutzen oder offenzulegen, einschließlich der Aufbewahrung, Nutzung oder Offenlegung personenbezogener Daten des Unternehmens zu kommerziellen Zwecken, die nicht der Erbringung der Services unter der/den Vereinbarung(en) dienen oder (iii) personenbezogene Daten des Unternehmens außerhalb der direkten geschäftlichen Beziehung zwischen Seagate und dem Unternehmen aufzubewahren, zu nutzen oder offenzulegen. Seagate informiert das Unternehmen, wenn es seinen Verpflichtungen unter dem California Consumer Privacy Act von 2018 (California Code Code, Paragraf 1798.100 ff.) („CCPA“), geändert durch den California Privacy Rights Act („CPRA“), nicht mehr nachkommen kann. Seagate bestätigt, dass es die Anforderungen und Einschränkungen aus Klausel 2.4 versteht und einhalten und die Anforderungen an Dienstleister unter dem CCPA und CPRA erfüllen wird. Darüber hinaus erkennen die Parteien an und stimmen zu, dass der Austausch personenbezogener Daten des Unternehmens zwischen den Parteien keinen Verkauf darstellt und auch nicht Teil einer monetären oder anderweitigen Gegenleistung ist, die zwischen den Parteien in Bezug auf die Vereinbarung oder diese Datenschutzvereinbarung erfolgt. In allen Fällen hält sich Seagate an alle geltenden Beschränkungen gemäß CCPA und CPRA zur Kombination von personenbezogenen Daten des Unternehmens, die Seagate vom Unternehmen erhalten hat, mit personenbezogenen Daten, die Seagate von oder im Auftrag einer anderen Person oder Personen erhält oder die Seagate bei sämtlichen Interaktionen mit dem Verbraucher erfasst. Sowohl das Unternehmen als auch Seagate bestätigen, dass sie die Anforderungen des CCPA und des CPRA gelesen und verstanden haben.
    5. Verarbeitungsanweisungen. Die Parteien vereinbaren, dass die Vereinbarung (einschließlich dieser Datenschutzvereinbarung) die vollständigen und endgültigen Anweisungen an Seagate in Bezug auf die Verarbeitung der personenbezogenen Daten des Unternehmens enthält. Falls Seagate gesetzlich verpflichtet ist, die personenbezogenen Daten des Unternehmens zu einem anderen Zweck zu verarbeiten, informiert Seagate das Unternehmen vor der Verarbeitung über diese Verpflichtung, es sei denn und in dem Umfang, in dem dies gesetzlich verboten ist. Änderungen der Anweisungen des Unternehmens bedürfen der Zustimmung beider Parteien (einschließlich der Genehmigung zusätzlicher Kosten für die Einhaltung neuer Anweisungen).
    6.  Verpflichtungen des Unternehmens. Das Unternehmen bestätigt, dass es (i) seine Verpflichtungen unter den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens erfüllen sowie sich an die Seagate erteilten Verarbeitungsanweisungen halten wird und (ii) alle Mitteilungen zugestellt und alle Genehmigungen eingeholt hat (oder einholen wird) (falls erforderlich) sowie alle Rechte sichergestellt hat, die nach den geltenden Datenschutzgesetzen erforderlich sind, damit Seagate personenbezogene Daten des Unternehmens verarbeiten und die Services gemäß der Vereinbarung und dieser Datenschutzvereinbarung erbringen kann und (iii) für die sichere Nutzung der Services verantwortlich ist, einschließlich der Sicherung der Kontoauthentifizierungsdaten, des Schutzes der Sicherheit personenbezogener Daten des Unternehmens bei der Übertragung an die und von den Services sowie der Ergreifung geeigneter Schritte zur sicheren Verschlüsselung oder der Sicherung personenbezogener Daten des Unternehmens, die in Verbindung mit den Services verarbeitet werden. Das Unternehmen implementiert und bewahrt geeignete technische und organisatorische Sicherheitsmaßnahmen, die dem Schutz personenbezogener Daten des Unternehmens vor Datenschutzverletzungen sowie der Wahrung der Sicherheit und Vertraulichkeit personenbezogener Daten des Unternehmens dienen, während diese sich in seinem Zuständigkeitsbereich und unter seiner Kontrolle befinden.
    7. Informationssicherheitsprogramm. Seagate ist verpflichtet, ein umfassendes schriftliches Informationssicherheitsprogramm zu implementieren, aufrechtzuerhalten, zu überwachen und ggf. zu aktualisieren, das angemessene administrative, technische und physische Sicherheitsvorkehrungen umfasst, um personenbezogene Daten des Unternehmens vor vorhersehbaren Bedrohungen oder Gefahren für deren Sicherheit, Vertraulichkeit oder Integrität zu schützen (wie z. B. vor unbefugtem Zugriff, Erfassung, Verwendung, Vervielfältigung, Änderung, Entsorgung oder Offenlegung, nicht autorisiertem, unrechtmäßigem oder versehentlichem Verlust, Zerstörung, Erhalt oder Beschädigung sowie vor jeder anderen nicht autorisierten Form der Verarbeitung) („Informationssicherheitsprogramm“). Das Unternehmen erkennt an, dass das Informationssicherheitsprogramm technischen Fortschritten und Entwicklungen unterliegt und dass Seagate berechtigt ist, das Programm von Zeit zu Zeit zu aktualisieren oder zu modifizieren, vorausgesetzt solche Aktualisierungen oder Modifizierungen führen nicht zu einer Verschlechterung der Gesamtsicherheit der vom Unternehmen erworbenen Services.
    8. Einschränkungen für Unterauftragsverarbeiter. Seagate ist berechtigt, personenbezogene Daten des Unternehmens gegenüber Unterauftragsverarbeitern offenzulegen, sofern dies erforderlich ist, um seine Services für das Unternehmen zu erbringen, vorbehaltlich der in dieser Klausel 2.8 ausgeführten Bedingungen. Mit der Unterzeichnung dieser Datenschutzvereinbarung erteilt das Unternehmen Seagate hiermit die allgemeine schriftliche Berechtigung, Unterauftragsverarbeiter mit der Erbringung der Services zu beauftragen. Die Unterauftragsverarbeiter, mit denen Seagate derzeit zusammenarbeitet und die vom Unternehmen genehmigt wurden, sind in Anhang C zu dieser Datenschutzvereinbarung aufgeführt. Das Unternehmen kann E-Mail-Benachrichtigungen über Änderungen der Unterauftragsverarbeiter abonnieren, indem es eine E-Mail mit dem Betreff „Subscribe to Lyve Cloud Data Privacy Agreement Sub-Processor Update Alerts“ an [email protected] sendet. Das Unternehmen ist berechtigt, der Ernennung eines Unterauftragsverarbeiters aus berechtigten Gründen (z. B. wenn die Zurverfügungstellung personenbezogener Daten des Unternehmens an den Unterauftragsverarbeiter gegen geltende Datenschutzgesetze verstoßen oder den Schutz der personenbezogenen Daten des Unternehmens schwächen könnte) zu widersprechen, indem es Seagate innerhalb von zehn (10) Kalendertagen ab Erhalt der Mitteilung von Seagate in Übereinstimmung mit Klausel 2.8 unverzüglich schriftlich informiert In der entsprechenden Mitteilung sind die berechtigten Gründe für den Widerspruch auszuführen und die Parteien diskutieren guten Glaubens über diese Bedenken, um zu einer wirtschaftlich angemessenen Lösung zu gelangen. Seagate ist nach eigenem Ermessen berechtigt, den Unterauftragsverarbeiter von der Liste zu streichen. Für den Fall, dass ein Unterauftragsverarbeiter von Seagate gestrichen wird, erhält Seagate eine angemessene Frist, um den Unterauftragsverarbeiter zu ersetzen. Wenn das Unternehmen der Beauftragung des vorgesehenen Unterauftragsverarbeiters nicht innerhalb von zehn (10) Kalendertagen nach Erhalt der entsprechenden Mitteilung von Seagate widerspricht, gilt der Unterauftragsverarbeiter als genehmigt.
    9. Leistung von Unterauftragsverarbeitern. Falls ein Unterauftragsverarbeiter seine Datenschutzverpflichtungen nicht erfüllt oder von Seagate gestrichen wird, bleibt Seagate gegenüber dem Unternehmen vollumfänglich zur Haftung verpflichtet, was die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters betrifft. Wenn Seagate die Verpflichtungen ohne den Unterauftragsverarbeiter nicht erfüllen kann, ist Seagate berechtigt, die geltende(n) Vereinbarung(en) zwischen den Parteien und/oder ihren verbundenen Unternehmen ohne Kosten oder Haftung gegenüber dem Unternehmen zu kündigen.
    10. Verpflichtungen des Personals und der Unterauftragsverarbeiter von Seagate. Seagate stellt sicher, dass alle Personen, die zur Verarbeitung personenbezogener Daten des Unternehmens berechtigt sind, sich der Vertraulichkeit verpflichtet haben oder entsprechend gesetzlich zur Wahrung der Vertraulichkeit verpflichtet sind. Wenn Seagate einen Unterauftragsverarbeiter mit der Ausführung bestimmter Verarbeitungstätigkeiten im Namen des Unternehmens beauftragt, schließt Seagate eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter, die Datenschutzverpflichtungen enthält, die dem Unterauftragsverarbeiter mindestens Datenschutz-, Schutz- und Informationssicherheitsanforderungen für die Dauer der Verarbeitung auferlegen, die den Unterauftragsverarbeiter dazu verpflichten, die personenbezogenen Daten des Unternehmens entsprechend den Standards, die die geltenden Datenschutzgesetze verlangen, zu schützen.
    11. Meldung von Anfragen oder Beschwerden. Sofern dies nicht gesetzlich verboten ist, informiert Seagate das Unternehmen über alle Anfragen oder Beschwerden, die Seagate in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens erhält, einschließlich:
      1. Anfragen von betroffenen Personen in Bezug auf die Ausübung ihrer Rechte unter den geltenden Datenschutzgesetzen, einschließlich, jedoch nicht beschränkt auf das Recht auf Datenübertragbarkeit, Zugriff, Änderung, Löschung oder Einschränkung der Verarbeitung sowie ähnliche Anfragen oder
      2. Beschwerden oder Vorwürfe, wonach die Verarbeitung die Rechte einer betroffenen Person verletzt.
    12.  Antworten des Unternehmens auf Anfragen betroffener Personen. Unter Berücksichtigung der Art der Verarbeitung unterstützt Seagate das Unternehmen auf dessen Kosten nach Möglichkeit bei der Ergreifung angemessener technischer und organisatorischer Maßnahmen, um die Verpflichtungen des Unternehmens zur Beantwortung von Anfragen betroffener Personen bezüglich der Ausübung ihrer Rechte zu erfüllen. Seagate informiert das Unternehmen unverzüglich bei Eingang: (i) einer Anfrage von einer betroffenen Person bezüglich der Verarbeitung der personenbezogenen Daten des Unternehmens, mit Ausnahme von CCPA-Anfragen, bei denen Seagate den Anfragesteller darüber informiert, dass die Anfrage nicht bearbeitet werden kann, da sie an einen Dienstleister gemäß Definition des Begriffs im CCPA gerichtet wurde oder (ii) einer Beschwerde, Nachricht oder Anfrage bezüglich der Verpflichtungen des Unternehmens unter den geltenden Datenschutzgesetzen. Mit Ausnahme eines Vorgangs gemäß (i) im Zusammenhang mit CCPA- und CPRA-Anfragen beantwortet Seagate solche Anfragen, Beschwerden oder Nachrichten nicht direkt (mit Ausnahme der Bitte an die betroffene Person, sich an das Unternehmen zu wenden), ohne dass hierzu die vorherige schriftliche Zustimmung des Unternehmens vorliegt, es sei denn, Seagate ist dazu gesetzlich verpflichtet
    13. Offenlegungsersuchen. Das Unternehmen erkennt an, dass Seagate verpflichtet sein kann, personenbezogene Daten des Unternehmens ohne vorherige Mitteilung an dieses oder Zustimmung desselben im Zusammenhang mit Untersuchungen, Prüfungen oder Anfragen von Behörden zu den Services offenzulegen. Sofern nicht gesetzlich verboten, unternimmt Seagate wirtschaftlich angemessene Anstrengungen, um das Unternehmen in Kenntnis zu setzen, falls Seagate ein Dokument erhält, das die Offenlegung der personenbezogenen Daten des Unternehmens von Seagate verlangt (z. B. mündliche und schriftliche Anfragen, Auskunftsersuchen oder Dokumente in Gerichtsverfahren, Vorladungen, zivilrechtliche Ermittlungen oder andere ähnliche Anfragen oder Verfahren). Seagate unternimmt wirtschaftlich angemessene Anstrengungen, um eine Offenlegung zu verhindern bzw. einzuschränken und die Vertraulichkeit der personenbezogenen Daten des Unternehmens zu wahren.
    14. Zusammenarbeit. Auf Kosten des Unternehmens gewährt Seagate dem Unternehmen angemessene Unterstützung bei der Erfüllung seiner Verpflichtungen unter den geltenden Datenschutzgesetzen in Bezug auf die Sicherheit der personenbezogenen Daten des Unternehmens sowie bei der Durchführung von Datenschutz-Folgenabschätzungen (wie angemessen erforderlich) und bei der damit zusammenhängenden Rücksprache mit Aufsichtsbehörden.
    15. Benachrichtigung über potenzielle Verstöße oder die Unfähigkeit zur Einhaltung. Seagate informiert das Unternehmen, wenn:
      1. Seagate Grund zu der Annahme hat, dass die Anweisungen des Unternehmens bezüglich der Verarbeitung der personenbezogenen Daten des Unternehmens gegen geltende Gesetze verstoßen;
      2. Seagate Grund zu der Annahme hat, dass es nicht in der Lage ist, seinen Verpflichtungen aus dieser Datenschutzvereinbarung oder den geltenden Datenschutzgesetzen nachzukommen und diese Unfähigkeit zur Einhaltung nicht innerhalb eines angemessenen Zeitraums beheben kann oder
      3. Seagate auf Umstände oder Änderungen der geltenden Gesetze aufmerksam wird, die es daran hindern könnten, seine Verpflichtungen aus dieser Datenschutzvereinbarung zu erfüllen.
  3. DATENÜBERTRAGUNGEN
    1.  Internationale Übertragungen. Das Unternehmen stimmt hiermit der Übertragung und Verarbeitung personenbezogener Daten des Unternehmens durch Seagate in ein bzw. in einem anderen Land als dem, in dem die personenbezogenen Daten des Unternehmens ursprünglich erhoben wurden, zu, vorausgesetzt Seagate ergreift alle erforderlichen Maßnahmen, um sicherzustellen, dass eine solche Übertragung und Verarbeitung den geltenden Datenschutzgesetzen und dieser Datenschutzvereinbarung entspricht (einschließlich solcher Maßnahmen, die das Unternehmen Seagate von Zeit zu Zeit mitteilt).
    2.  Übertragungsmechanismen. Die Parteien vereinbaren, dass, falls es sich bei der Übertragung personenbezogener Daten vom Unternehmen an Seagate um eine beschränkte Übertragung handelt, diese den nachfolgend aufgeführten Übertragungsmechanismen unterliegt:
      1. Standardvertragsklauseln. Die Parteien vereinbaren, dass die beschränkte Übertragung den entsprechenden Standardvertragsklauseln unterliegen muss, die wie folgt automatisch per Bezugnahme in diese Datenschutzvereinbarung aufgenommen werden und einen wesentlichen Bestandteil der Datenschutzvereinbarung darstellen:
        1. In Bezug auf personenbezogene Daten des Unternehmens, die durch die DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln wie folgt:
          1. es gelten Modul 2 und 3, je nachdem, was zutrifft;
          2. in Klausel 7 gilt die Klausel für optionales Docking;
          3. in Klausel 9 gilt Option 2 und die Ankündigungsfrist für Änderungen von Unterauftragnehmern beträgt fünfzehn (15) Kalendertage;
          4. in Klausel 11 gilt die Klausel für die optionale Sprache;
          5. in Klausel 17 gilt Option 1 und die EU-Standardvertragsklauseln unterliegen dem Recht der Niederlande;
          6. in Klausel 18(b) sind Streitigkeiten vor den Gerichten der Niederlande beizulegen;
          7. Anhang I der EU-Standardvertragsklauseln gilt mit den Informationen aus Anhang A zu dieser Datenschutzvereinbarung als vollständig und
          8. Anhang II der EU-Standardvertragsklauseln gilt mit den Informationen aus Anhang B zu dieser Datenschutzvereinbarung als vollständig.
        2. In Bezug auf Daten, die durch die UK DSGVO geschützt sind, gelten die EU-Standardvertragsklauseln wie in Übereinstimmung mit vorstehendem Absatz (1) implementiert, wobei:
          1. alle Bezugnahmen in den EU-Standardvertragsklauseln auf „Richtlinie 95/46/EG“ oder „Verordnung (EU) 2016/679“ als Bezugnahmen auf die UK DSGVO auszulegen sind; Bezugnahmen auf konkrete Artikel der „Verordnung (EU) 2016/679“ durch den entsprechenden Artikel oder die Klausel der UK DSGVO werden; Bezugnahmen auf die „EU“, die „Union“ oder das „Recht eines Mitgliedsstaats“ durch „UK“ ersetzt werden; Klausel 13(a) und Teil C von Anhang II zu den EU-Standardvertragsklauseln keine Anwendung finden; Bezugnahmen auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ als Bezugnahmen auf den Information Commissioner und die Gerichte von England und Wales auszulegen sind; Klausel 17 der EU-Standardvertragsklauseln ersetzt wird durch den Wortlaut „Die Klauseln unterliegen den Gesetzen von England und Wales“ und Klausel 18 der EU-Standardvertragsklauseln ersetzt wird durch den Wortlaut „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind vor den Gerichten von England und Wales beizulegen. Eine betroffene Person kann ein Gerichtsverfahren gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten jedes anderen Landes im Vereinigten Königreich anstrengen. Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen;“
          2. in dem Umfang und solange die EU-Standardvertragsklauseln, wie in Übereinstimmung mit vorstehendem Absatz 2(a) implementiert, nicht herangezogen werden können, um personenbezogene Daten des Unternehmens, die durch die britische Datenschutzvereinbarung geschützt sind, auf rechtmäßige Weise an den Lieferanten zu übertragen, die UK-Standardvertragsklauseln in diese Datenschutzvereinbarung aufgenommen werden und einen wesentlichen Teil der Datenschutzvereinbarung darstellen und für solche Übertragungen gelten und
          3. für die Zwecke der UK-Standardvertragsklauseln (falls zutreffend) die relevanten Anhänge/Zusätze zu den UK-Standardvertragsklauseln mit den Informationen aus Anhang A und Anhang B zu dieser Datenschutzvereinbarung als vollständig gelten.
        3. In Bezug auf personenbezogen Daten des Unternehmens, die durch die Schweizer Datenschutzvereinbarung geschützt sind, gelten die EU-Standardvertragsklauseln wie in Übereinstimmung mit vorstehendem Absatz (1) implementiert, wobei:
          1. Bezugnahmen in den EU-Standardvertragsklauseln auf „Verordnung (EU) 2016/679“ oder die „DSGVO“ als Bezugnahmen auf das Schweizer Datenschutzgesetz auszulegen sind;
          2. Bezugnahmen auf die „EU“, die „Union“ und das „Recht eines Mitgliedsstaats“ als Bezugnahmen auf die Schweiz und das Schweizer Recht, je nachdem, was zutrifft, auszulegen sind;
          3. der Begriff „Mitgliedsstaat“ nicht so auszulegen ist, dass betroffene Personen in der Schweiz nicht die Möglichkeit hätten, ihre Rechte an ihrem regelmäßigen Wohnort (der Schweiz) auszuüben;
          4. die EU-Standardvertragsklauseln so auszulegen sind; dass die Daten von juristischen Personen geschützt bleiben, bis das überarbeitete Schweizer Datenschutzgesetz in Kraft tritt und
          5. Bezugnahmen auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ als Bezugnahmen auf den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten und die zuständigen Gerichte in der Schweiz auszulegen sind.
        4. Falls eine der Bestimmungen dieser Vereinbarung direkt oder indirekt den Standardvertragsklauseln widerspricht, sind die Standardvertragsklauseln maßgebend.
          1. Alternativer Übertragungsmechanismus: In dem Umfang, in dem Seagate einen alternativen Datenexportmechanismus (einschließlich einer neuen Version oder einer Nachfolgeversion der Standardvertragsklauseln, die gemäß dem geltendem EU-Datenschutzgesetz verabschiedet wurde) für die Übertragung personenbezogener Daten nutzt, der in dieser Datenschutzvereinbarung nicht beschrieben wird („alternativer Datenübertragungsmechanismus“), gilt der alternative Datenübertragungsmechanismus an Stelle eines in dieser Datenschutzvereinbarung beschriebenen Datenübertragungsmechanismus (jedoch nur in dem Umfang, in dem ein solcher alternativer Datenübertragungsmechanismus europäischem Datenschutzrecht entspricht und für die Gebiete gilt, in die personenbezogene Daten übertragen werden) und das Unternehmen stimmt zu, angemessener Weise erforderliche Dokumente zu unterzeichnen und Maßnahmen zu ergreifen, um dem alternativen Übertragungsmechanismus Rechtswirkung zu verleihen. Darüber hinaus gilt, dass, falls und in dem Umfang, in dem ein zuständiges Gericht oder eine weisungsbefugte Aufsichtsbehörde verfügt oder feststellt (aus beliebigem Grund), dass die in dieser Datenschutzvereinbarung beschriebenen Maßnahmen nicht ausreichen, um eine rechtmäßige Übertragung der personenbezogenen Daten zu ermöglichen, das Unternehmen anerkennt und zustimmt, dass Seagate zusätzliche Maßnahmen oder Sicherheitsvorkehrungen ergreifen kann, die angemessener Weise erforderlich sind, um die rechtmäßige Übertragung solcher personenbezogenen Daten zu ermöglichen.
    3. Übertragungen aus Ländern mit Datenexportanforderungen. Falls die geltenden Datenschutzgesetze verlangen, dass weitere Schritte in Bezug auf geltende Datenexportbeschränkungen ergriffen werden, um die Übertragung personenbezogener Daten des Unternehmens an Seagate (einschließlich seiner Unterauftragsverarbeiter) zu ermöglichen, erfüllt das Unternehmen diese Datenschutzanforderungen, einschließlich der Einholung erforderlicher Zustimmungen oder der Unterzeichnung entsprechender Datenübertragungsvereinbarungen (z. B. Standardvertragsklauseln) oder einer alternativen Lösung zur Sicherstellung, dass geeignete Sicherheitsmaßnahmen für die Übertragung greifen.
  4. EINHALTUNG VON BESTIMMUNGEN UND RECHENSCHAFTSPFLICHT
    1. Audit. Nicht häufiger als einmal alle zwölf (12) Monate kann das Unternehmen Seagate auffordern, ihm Informationen vorzulegen, die unbedingt erforderlich sind, um die Einhaltung geltender Datenschutzgesetze in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens nachzuweisen. Seagate gestattet und unterstützt solche Prüfungen durch das Unternehmen oder einen unabhängigen dritten Prüfer, der auf Kosten des Unternehmens vom Unternehmen beauftragt wurde. Ein solcher unabhängiger dritter Prüfer ist von Seagate zu genehmigen (es sei denn, es handelt sich bei einem solchen dritten Prüfer um eine zuständige Aufsichtsbehörde). Der Prüfer hat eine für Seagate akzeptable Vertraulichkeitsvereinbarung zu unterzeichnen oder muss anderweitig an eine gesetzliche Vertraulichkeitsverpflichtung gebunden sein, bevor er die Prüfung durchführt.
    2.  Umfang der Prüfung. Um eine Prüfung anzufordern, hat das Unternehmen Seagate dreißig (30) Kalendertage im Voraus schriftlich zu informieren und Seagate einen vorgeschlagenen Prüfplan vorzulegen, in dem der Umfang, die Dauer und der Starttermin der Prüfung beschrieben sind. Seagate prüft den vorgeschlagenen Prüfplan und teilt dem Unternehmen bestehende Bedenken oder Fragen mit (z. B. Auskunftsersuchen, die Seagate oder die Richtlinien von Seagate zu den Themen Kundensicherheit, Datenschutz, Beschäftigung oder sonstigen relevanten Themen kompromittieren könnten). Seagate arbeitet gemeinsam mit dem Unternehmen an der Erstellung des endgültigen Prüfplans.
    3.  Prüfbericht. Das Unternehmen legt Seagate alle Prüfberichte vor, die im Zusammenhang mit einer Prüfung generiert werden, es sei denn, dies ist nach geltenden Datenschutzgesetzen verboten oder eine Aufsichtsbehörde erteilt anderslautende Anweisungen. Das Unternehmen darf die Prüfberichte ausschließlich für die Zwecke der Erfüllung seiner regulatorischen Prüfanforderungen und/oder zur Bestätigung der Einhaltung der Anforderungen dieser Datenschutzvereinbarung nutzen. Die Prüfberichte, einschließlich aller sachlichen Informationen, die Seagate für die Prüfung vorlegt, sind vertrauliche Informationen von Seagate.
    4. Nachweisbare Einhaltung der Gesetze. Seagate stimmt zu, auf berechtigte Anfrage des Unternehmens Informationen bereitzustellen, die vernünftigerweise erforderlich sind, um die Einhaltung gemäß den geltenden Datenschutzgesetzen der US-Bundesstaaten nachzuweisen.
  5. VERANTWORTLICHKEITEN VON SEAGATE NACH EINER DATENSCHUTZVERLETZUNG
    1. Meldung von Datenschutzverletzungen. Seagate informiert das Unternehmen unverzüglich schriftlich über Datenschutzverletzungen und:
      1. untersucht die Datenschutzverletzung oder stellt die erforderliche Unterstützung zur Untersuchung der Datenschutzverletzung bereit;
      2. stellt dem Unternehmen Informationen über die Datenschutzverletzung zur Verfügung und legt weitere relevante Informationen unverzüglich nach Kenntnisnahme vor und
      3. ergreift wirtschaftlich angemessene Schritte, um die Datenschutzverletzung einzudämmen, die Auswirkungen der Datenschutzverletzung zu beschränken oder das Unternehmen auf dessen Kosten dabei zu unterstützen.
    2.  Mitteilungen. Mitteilungen in Bezug auf oder Reaktionen auf eine Datenschutzverletzung unter dieser Klausel („Reaktion auf eine Datenschutzverletzung“) sind nicht als Anerkennung eines Fehlers oder einer Haftungsverpflichtung durch Seagate in Bezug auf die Datenschutzverletzung zu betrachten.
    3. Kommunikation. Seagate ist ohne vorherige Genehmigung des Unternehmens nicht berechtigt, Mitteilungen im Zusammenhang mit einer Datenschutzverletzung auf eine Art und Weise zu veröffentlichen, durch die das Unternehmen identifiziert oder mit hinreichender Wahrscheinlichkeit die Identität des Unternehmens festgestellt oder offengelegt werden könnte, es sei denn, dies ist gesetzlich vorgeschrieben.
    4. Beweissicherung. Seagate ist verpflichtet, einen Vorfallreaktionsplan zu unterhalten. Nach Bekanntwerden einer Datenschutzverletzung ist Seagate verpflichtet, die Beweise im Zusammenhang mit der Datenschutzverletzung zu sichern und eine klare Befehlskette gemäß seines Vorfallreaktionsplans einzuhalten.
  6. RÜCKGABE UND SICHERE LÖSCHUNG DER PERSONENBEZOGENEN DATEN DES UNTERNEHMENS
    1.  Rückgabe und Löschung der personenbezogenen Daten des Unternehmens. In Abhängigkeit davon, ob zuerst (a) eine Anfrage des Unternehmens oder (b) der Ablauf oder die vorzeitige Beendigung der Vereinbarung(en) zwischen den Parteien und/oder ihren verbundenen Unternehmen im Zusammenhang mit der Verarbeitung der personenbezogenen Daten des Unternehmens auf Anweisung des Unternehmens erfolgt, ist Seagate verpflichtet, die personenbezogenen Daten des Unternehmens zu exportieren, seine Unterauftragsverarbeiter entsprechend anzuweisen oder dem Unternehmen bzw. seinem beauftragten Dritten die Möglichkeit einzuräumen, alle personenbezogenen Daten des Unternehmens in ein interoperables und maschinenlesbares Format zu exportieren, es sei denn, die Aufbewahrung personenbezogener Daten des Unternehmens ist durch geltende Datenschutzgesetze vorgeschrieben. Jede Partei benennt eine Kontaktperson für die Migration der personenbezogenen Daten des Unternehmens und arbeitet unverzüglich, gewissenhaft und in gutem Glauben daran, eine zeitnahe Übertragung zu ermöglichen. Innerhalb von 30 Tagen, nachdem (a) Seagate die Migration personenbezogener Daten des Unternehmens abgeschlossen hat oder (b) das Unternehmen Seagate über seine Entscheidung, die personenbezogenen Daten des Unternehmens nicht zu migrieren, informiert hat, sind Seagate und die Unterauftragsverarbeiter verpflichtet, alle personenbezogenen Daten des Unternehmens sicher zu vernichten und mit neuen Daten zu überschreiben oder die personenbezogenen Daten des Unternehmens über eine andere genehmigte Säuberungsmethode zu vernichten.
    2.  Verpflichtungen zur Löschung. Unbeschadet Klausel 6.1 kann Seagate nach Ablauf oder früherer Beendigung der Vereinbarung(en) zwischen den Parteien und/oder ihren verbundenen Unternehmen im Zusammenhang mit der Verarbeitung von personenbezogenen Unternehmensdaten verpflichtet sein, personenbezogene Unternehmensdaten aus den Diensten zu löschen, unabhängig davon, ob das Unternehmen Seagate anweist, personenbezogene Unternehmensdaten zurückzugeben, es sei denn, die Aufbewahrung personenbezogener Unternehmensdaten ist durch geltende Datenschutzgesetze vorgeschrieben. Sollte das Unternehmen sich dazu entschließen, personenbezogene Daten des Unternehmens in einen anderen Seagate-Service, einschließlich, jedoch nicht beschränkt auf Seagate Lyve Cloud, zu übernehmen, erkennt das Unternehmen an, dass Seagate nach der erfolgreichen Übernahme oder Migration solcher Daten berechtigt ist, personenbezogene Daten des Unternehmens, die im ursprünglichen Service gespeichert sind, zu löschen oder anderweitig zu entsorgen. Das Unternehmen erkennt an, dass Seagate aufgrund der Art des Service ohne zusätzliche Genehmigungen keinen technischen Zugriff auf die Daten hat, um die Kontinuität der Sicherheit zu gewährleisten.
    3.  Vernichtung der personenbezogenen Daten des Unternehmens. Sofern nicht durch geltende Datenschutzgesetze anderweitig verboten, wird Seagate alle angemessenen Maßnahmen ergreifen, um personenbezogene Daten des Unternehmens zu vernichten, und zwar durch: (a) Schreddern, (b) dauerhaftes Löschen und Entfernen, (c) Entmagnetisieren oder (d) anderweitiges Verändern der personenbezogenen Daten des Unternehmens in solchen Datensätzen, so dass diese unlesbar, nicht rekonstruierbar und nicht entschlüsselbar gemacht werden. Wenn Seagate eine Festplatte außer Betrieb nimmt oder anderweitig aussondert, auf der sich eine Kopie der personenbezogenen Daten des Unternehmens befindet, ist Seagate verpflichtet, die Festplatte sicher zu vernichten oder zu zerstören, sodass die personenbezogenen Daten des Unternehmens gemäß NIST 800-88, Revision 1, unleserlich gemacht und vernichtet werden.
  7. VERSCHIEDENES
    1. Geschäftsbedingungen. Diese Datenschutzvereinbarung bleibt so lange in Kraft, bis (i) keine weiteren aktiven Vereinbarungen zwischen den Parteien mehr bestehen und (ii) Seagate nicht länger auf die personenbezogenen Daten des Unternehmens zugreifen kann, diese kontrolliert oder aufbewahrt. Seagate verarbeitet personenbezogene Daten des Unternehmens, bis die Geschäftsbeziehung wie in der Vereinbarung vorgesehen beendet wird. Die Verpflichtungen von Seagate und die Rechte des Unternehmens aus dieser Datenschutzvereinbarung bleiben so lange in Kraft, wie Seagate personenbezogene Daten des Unternehmens verarbeitet
    2. Rangfolge. Die Vereinbarung bleibt unverändert sowie vollumfänglich in Kraft und gültig. Im Fall von Widersprüchen zwischen dieser Datenschutzvereinbarung und anderen Vereinbarungen zwischen den Parteien und/oder ihren verbundenen Unternehmen sind die Bestimmungen der folgenden Dokumente (in der Rangfolge) maßgebend: (a) Standardvertragsklauseln (falls zutreffend); dann (b) diese Datenschutzvereinbarung; und dann (c) der Hauptteil der Vereinbarung. Diese Datenschutzvereinbarung gilt nicht als Einschränkung oder Beschränkung der Standardvertragsklauseln, sondern ist als Ergänzung zu diesen zu verstehen.
    3. Aktualisierungen. Die Parteien werden angemessen zusammenarbeiten, um diese Datenschutzvereinbarung im gegenseitigen schriftlichen Einvernehmen zu aktualisieren, soweit dies zur Einhaltung der geltenden Gesetze und Vorschriften erforderlich ist.
    4.  Service-Daten. Unbeschadet anderslautender Bestimmungen in der Vereinbarung (einschließlich dieser Datenschutzvereinbarung) ist Seagate berechtigt, Daten, die sich auf die Nutzung, die Unterstützung und/oder den Betrieb der Services beziehen („Service-Daten“), für seine rechtmäßigen Geschäftszwecke wie Abrechnung, Buchhaltung, technische Unterstützung und Produktentwicklung, zu erheben, zu nutzen und offenzulegen. In dem Umfang, in dem solche Service-Daten nach geltenden Datenschutzgesetzen als personenbezogene Daten des Unternehmens betrachtet werden, ist Seagate für die Verarbeitung solcher Daten in Übereinstimmung mit der Seagate-Datenschutzrichtlinie (die in ihrer aktuellen Version auf https://www.seagate.com/legal-privacy/ zur Verfügung steht) (in der jeweils gültigen Form) und in Übereinstimmung mit den geltenden Datenschutzgesetzen verantwortlich. Zur Vermeidung von Zweifeln wird darauf hingewiesen, dass die Bedingungen dieser Datenschutzvereinbarung mit Ausnahme dieser Klausel 7.4 nicht für Service-Daten gelten.
    5. Drittbegünstigte. Die verbundenen Unternehmen von Seagate und beabsichtigte Drittbegünstigte dieser Datenschutzvereinbarung sind berechtigt, die Bestimmungen dieser Datenschutzvereinbarung so durchzusetzen, als wären sie jeweils Unterzeichner dieser Datenschutzvereinbarung. Seagate ist berechtigt, die Bestimmungen dieser Datenschutzvereinbarung im Namen seiner verbundenen Unternehmen durchzusetzen, sodass die verbundenen Unternehmen keinen separaten Klagegrund gegen das Unternehmen geltend zu machen brauchen.
    6.  Offenlegung gegenüber Aufsichtsbehörden oder Regulierungsstellen. Das Unternehmen erkennt an, dass Seagate berechtigt ist, diese Datenschutzvereinbarung (einschließlich der Standardvertragsklauseln) sowie die relevanten Datenschutzbestimmungen in der Vereinbarung gegenüber der Federal Trade Commission, einer europäischen Datenschutzbehörde, oder einer anderen gerichtlichen oder regulatorischen Instanz auf deren Aufforderung offenzulegen.
    7. Salvatorische Klausel. Sollte eine Bestimmung in diesem Datenschutzvereinbarung als ungültig oder nicht durchsetzbar befunden werden, so bleiben die übrigen Bestimmungen davon unberührt. Die Parteien verpflichten sich, die ungültige oder nicht durchsetzbare Bestimmung durch eine zulässige Bestimmung zu ersetzen, die dem Zweck der ungültigen oder nicht durchsetzbaren Bestimmung entspricht. Sofern eine notwendige Bestimmung fehlt, werden die Parteien nach Treu und Glauben eine geeignete Bestimmung hinzufügen.
    8. Duplikate. Diese Datenschutzvereinbarung kann durch eine elektronische Signatur unterzeichnet werden, wobei diese elektronische Signatur als Original gilt, einschließlich zu Beweiszwecken. Diese Datenschutzvereinbarung kann in zwei oder mehr Ausfertigungen unterzeichnet werden, von denen keine die Unterschriften beider Parteien enthalten muss, die jeweils als Original gelten und die zusammen ein und dasselbe Instrument darstellen.
    9. Auslegung. Die Überschriften in dieser Datenschutzvereinbarung dienen lediglich der Veranschaulichung und haben keinen Einfluss auf die Auslegung dieser Vereinbarung.
    10. Haftung. Die Haftung der Parteien und all ihrer verbundenen Unternehmen, die insgesamt aus oder im Zusammenhang mit dieser Datenschutzvereinbarung (einschließlich der Standardvertragsklauseln) entsteht, sei es aus einem Vertrag, einer unerlaubten Handlung (einschließlich Fahrlässigkeit) oder aus einer anderen Haftungsgrundlage, unterliegt den Haftungsausschlüssen und -beschränkungen in der (oder per Bezugnahme aufgenommen in die) Vereinbarung, soweit wie dies maximal nach geltenden Datenschutzgesetzen zulässig ist, vorausgesetzt dass diese Beschränkungen für die Haftung der Parteien, die unter den Standardvertragsklauseln entsteht, nicht gelten.
    11.  Gerichtsstand. Diese Datenschutzvereinbarung unterliegt den Bestimmungen in der Vereinbarung zum geltenden Recht und zum Gerichtsstand, es sei denn, die geltenden Datenschutzgesetze geben etwas anderes vor.

ANHANG A
BESCHREIBUNG DER DATENVERARBEITUNG

 

A. LISTE DER PARTEIEN

 

MODUL 2: Übertragung des Datenverantwortlichen an den Auftragsverarbeiter

 

MODUL 3: Übertragung von Auftragsverarbeitern an andere Auftragsverarbeiter

 

Datenexporteur(e):

 

UNTERNEHMEN

 

Kontaktdaten: Wie in der Vereinbarung festgelegt. Die E-Mail-Adresse(n) des Unternehmens, die als Mitteilungspräferenzen des Unternehmens genannt wird/werden.

 

Für die Übertragung relevante Aktivitäten: Das Unternehmen nutzt die in der Vereinbarung angegebenen Lyve Services und ist verantwortlich für die Nutzung der Lyve Services in Übereinstimmung mit der entsprechenden Dokumentation.

 

Unterschrift und Datum: Mit dem Eintritt in diese Vereinbarung wird davon ausgegangen, dass der Datenexporteur die darin enthaltenen Standardvertragsklauseln, einschließlich der Anhänge, zum Datum des Inkrafttretens der Vereinbarung unterzeichnet hat.

 

Rolle des Datenexporteurs: Die Rolle des Datenexporteurs ist in Klausel 2.1 (Datenschutzaufgaben) beschrieben.

 

Datenimporteur(e):

 

SEAGATE

 

Kontaktdaten: Wie in der Vereinbarung festgelegt. Das Datenschutzteam von Seagate kann per E-Mail an [email protected] kontaktiert werden.

 

Für die Übertragung relevante Aktivitäten: Seagate verarbeitet personenbezogene Daten des Unternehmens für den Gegenstand der Vereinbarung und bis die Vereinbarung gekündigt wird oder ausläuft, sofern die Parteien nicht schriftlich etwas anderes vereinbaren. Der Vereinbarungsgegenstand wird durch die Lyve Services, die das Unternehmen abonniert hat, und durch die Daten, die das Unternehmen in die Lyve Services hochlädt, bestimmt.

 

Unterschrift und Datum: Mit dem Eintritt in diese Vereinbarung wird davon ausgegangen, dass der Datenimporteur die darin enthaltenen Standardvertragsklauseln, einschließlich der Anhänge, zum Datum des Inkrafttretens der Vereinbarung unterzeichnet hat.

 

Rolle des Datenimporteurs: Die Rolle des Datenimporteurs ist in Klausel 2.1 (Datenschutzaufgaben) beschrieben.

 

B. BESCHREIBUNG DER ÜBERTRAGUNG

 

MODUL 2: Übertragung des Datenverantwortlichen an den Auftragsverarbeiter

 

MODUL 3: Übertragung von Auftragsverarbeitern an andere Auftragsverarbeiter

 

Kategorien betroffener Personen, deren personenbezogene Daten übertragen werden

 

Das Unternehmen kann personenbezogene Daten des Unternehmens an Seagate übermitteln; der Umfang wird vom Unternehmen im eigenen Ermessen festgelegt und kontrolliert und eine solche Vorlage von Daten kann unter anderem personenbezogene Daten umfassen, die sich auf die folgenden Kategorien betroffener Personen beziehen:

  1. ehemalige und derzeitige Mitarbeiter, Berater, Consultants, Lieferanten, Auftragnehmer, Unterauftragnehmer und Vertreter des Unternehmens;
  2. ehemalige und derzeitige Geschäftspartner des Unternehmens und deren Mitarbeiter, Partner, Berater, Consultants, Lieferanten, Auftragnehmer, Unterauftragnehmer und Vertreter und
  3. ehemalige und derzeitige Kunden des Unternehmens und deren Mitarbeiter, Partner, Berater, Consultants, Lieferanten, Auftragnehmer, Unterauftragnehmer und Vertreter.

Kategorien personenbezogener Daten, die übertragen werden

 

Das Unternehmen kann personenbezogene Daten des Unternehmens an Seagate übermitteln; der Umfang wird vom Unternehmen im eigenen Ermessen festgelegt und kontrolliert und eine solche Vorlage von Daten kann unter anderem personenbezogene Daten umfassen, die vom Unternehmen vorgelegt werden, im Namen des Unternehmens vorgelegt werden oder von Seagate im Zusammenhang mit den Services erhoben werden.

 

Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Sicherheitsmaßnahmen, die die Art der Daten und die entsprechenden Risiken vollumfänglich berücksichtigen, z. B. die strenge Zweckbeschränkung, Zugriffsbeschränkungen (einschließlich des Zugriffs ausschließlich für solche Mitarbeiter, die eine spezielle Schulung absolviert haben), das Führen von Aufzeichnungen über den Zugriff auf die Daten, Beschränkungen für weitere Übertragungen oder zusätzliche Sicherheitsmaßnahmen.

 

Das Unternehmen kann sensible Daten an Seagate übermitteln; der Umfang wird vom Unternehmen im eigenen Ermessen festgelegt und kontrolliert und eine solche Vorlage von Daten kann unter anderem sensible Daten umfassen, die vom Unternehmen vorgelegt werden, im Namen des Unternehmens vorgelegt werden oder von Seagate im Zusammenhang mit den Services erhoben werden. Die von Seagate implementierten Sicherheitsvorkehrungen sind in Anhang II beschrieben.

 

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).

 

Das Unternehmen bestimmt und kontrolliert die Häufigkeit der Übertragung personenbezogener Daten des Unternehmens an Seagate nach eigenem Ermessen und in Übereinstimmung mit der Vereinbarung (einschließlich dieser Datenschutzvereinbarung).

 

Art der Verarbeitung

 

Seagate verarbeitet personenbezogene Daten des Unternehmens ausschließlich für die Zwecke der Bereitstellung der Services an das Unternehmen unter der Vereinbarung (einschließlich dieser Datenschutzvereinbarung).

 

Zweck(e) der Datenübertragung und weiteren Verarbeitung

 

Das Unternehmen überträgt personenbezogene Daten des Unternehmens ausschließlich für die Zwecke des Empfangs der Services unter der Vereinbarung (einschließlich dieser Datenschutzvereinbarung):

  1. Speicherung und sonstige Verarbeitung zur Bereitstellung, Beibehaltung und Verbesserung der Services, die dem Unternehmen unter der Vereinbarung bereitgestellt werden und/oder
  2. Offenlegungen in Übereinstimmung mit der Vereinbarung und/oder wie nach geltendem Recht vorgeschrieben.

Die Dauer der Speicherung der personenbezogenen Daten oder die Kriterien zur Festlegung der Dauer

 

Seagate speichert die personenbezogenen Daten des Unternehmens, die das Unternehmen an Seagate übertragen hat, in Übereinstimmung mit der Vereinbarung (einschließlich dieser Datenschutzvereinbarung) und mit den dokumentierten rechtmäßigen Anweisungen des Unternehmens.

 

Für Übertragungen an (Unter-)Auftragsverarbeiter auch den Gegenstand, die Art und die Dauer der Verarbeitung angeben

 

Nicht zutreffend.

 

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

 

MODUL 2: Übertragung des Datenverantwortlichen an den Auftragsverarbeiter

 

MODUL 3: Übertragung von Auftragsverarbeitern an andere Auftragsverarbeiter

 

Die zuständige(n) Aufsichtsbehörde(n) in Übereinstimmung mit Klausel 13 identifizieren

 

Die zuständige Aufsichtsbehörde gemäß Klausel 13 der EU-Standardvertragsklauseln ist entweder (i) die für den Datenexporteur im Land seiner Gründung im EWR zuständige Aufsichtsbehörde oder (ii) sofern der Datenexporteur nicht im EWR gegründet wurde, die in dem EWR-Land, in dem der EU-Vertreter des Datenexporteurs gemäß Artikel 27(1) DSGVO ernannt wurde, zuständige Aufsichtsbehörde oder (iii) sofern der Datenexporteur nicht verpflichtet ist, einen Vertreter zu ernennen, die für das EWR-Land, in dem sich betroffene Personen, für die Übertragung relevant ist, befinden, zuständige Aufsichtsbehörde. Was die Verarbeitung personenbezogener Daten des Unternehmens, für die die UK DSGVO gilt, angeht, ist die zuständige Aufsichtsbehörde das Information Commissioners Office (das „ICO“). In Bezug auf die Verarbeitung personenbezogener Daten, für die das Schweizer Datenschutzgesetze gilt, angeht, ist die zuständige Aufsichtsbehörde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte.

 

 

ANHANG B

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

 

MODUL 2: Übertragung des Datenverantwortlichen an den Auftragsverarbeiter

 

MODUL 3: Übertragung von Auftragsverarbeitern an andere Auftragsverarbeiter

 

Beschreibung der technischen und organisatorischen Maßnahmen, die von dem/den Datenimporteur(en) implementiert werden (einschließlich aller relevanten Zertifizierungen), um ein angemessenes Maß an Sicherheit unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen zu gewährleisten.

 

Seagate implementiert, bewahrt, überwacht und aktualisiert (falls erforderlich) sein umfassendes schriftliches Informationssicherheitsprogramm. Das Informationssicherheitsprogramm von Seagate umfasst administrative, technische und physische Sicherheitsvorkehrungen, um personenbezogene Daten des Unternehmens vor vorhersehbaren Bedrohungen oder Gefahren für deren Sicherheit, Vertraulichkeit oder Integrität zu schützen (wie z. B. vor unbefugtem Zugriff, Erfassung, Verwendung, Vervielfältigung, Änderung, Entsorgung oder Offenlegung, nicht autorisiertem, unrechtmäßigem oder versehentlichem Verlust, Zerstörung, Erhalt oder Beschädigung sowie vor jeder anderen nicht autorisierten Form der Verarbeitung) („Informationssicherheitsprogramm“).

 

Seagate verfügt über ein eigenes Informationssicherheitsteam, das das Informationssicherheitsprogramm von Seagate verwaltet. Dieses Team erleichtert und unterstützt unabhängige Prüfungen und Beurteilungen, die von Dritten durchgeführt werden. Das Unternehmen erkennt an, dass das Informationssicherheitsprogramm technischen Fortschritten und Entwicklungen unterliegt und dass Seagate berechtigt ist, das Programm von Zeit zu Zeit zu aktualisieren oder zu modifizieren, vorausgesetzt solche Aktualisierungen oder Modifizierungen führen nicht zu einer Verschlechterung der Gesamtsicherheit der vom Unternehmen bezogenen Lyve Services.

 

Seagate prüft oder bearbeitet keine Daten, Inhalte oder Materialien, die über die Lyve Services erstellt, gespeichert oder zugänglich gemacht werden.

 

Die folgenden Maßnahmen greifen zum Schutz der personenbezogenen Daten des Unternehmens, mit denen über Lyve Cloud Services und Lyve Mobile Services (gemeinsam die „Lyve Services“) gearbeitet wird:

 

Verschlüsselung personenbezogener Daten: Maßnahmen, die uns in die Lage versetzen, klar lesbare Informationen mit Hilfe eines Verschlüsselungsvorgangs in einen nicht lesbaren Strang zu verwandeln.

  1. Seagate hat robuste Sicherheitsmaßnahmen implementiert, um sicherzustellen, dass die Daten des Unternehmens geschützt bleiben, darunter die AES-256-GCM-Verschlüsselung im Ruhezustand für Lyve Cloud Services und TCG Enterprise, die SED AES-256-bit-Verschlüsselung im Ruhezustand für Lyve Mobile Services und die Unterstützung der Verschlüsselung während der Übertragung.
  2. Eine wichtige Sicherheitsfunktion der Lyve Services besteht in der Verschlüsselung aller Daten durch Seagate vor der Speicherung, unabhängig davon, ob sie an der Quelle verschlüsselt wurden. Eine Reduzierung des Schutzes steht nicht zur Auswahl. Wenn das Unternehmen beschließt, das Mietverhältnis der Lyve Services zu kündigen, werden seine Daten sicher gelöscht.
  3. Dritte Rechenzentren hosten Lyve Cloud Services und stellen dabei die bestmögliche Verfügbarkeit und den bestmöglichen Zugang zum Rechenzentrum sicher. Durch die entsprechende Voreinstellung ist sichergestellt, dass die Datenverschlüsselung innerhalb der Lyve Cloud Services nicht deaktiviert werden kann. Das bedeutet, dass Daten sowohl im Ruhestand als auch während der Übertragung immer verschlüsselt sind. Darüber hinaus schützt die Ransomware Daten vor böswilligen Angriffen, während die Objektunveränderlichkeit dafür sorgt, dass Daten vor zufälliger Manipulation oder versehentlichem Löschen geschützt sind.

Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität und Resilienz von Verarbeitungssystemen und Dienstleistungen:

  1. Vertraulichkeit: Maßnahmen zur Sicherstellung, dass auf Informationen ausschließlich von autorisierten Personen zugegriffen wird sowie zur Verhinderung des Eindringens von nicht autorisierten Personen in Systeme und Anwendungen, die für die Verarbeitung personenbezogener Daten genutzt werden.
    • Seagate hat eine eigene Richtlinie für die Zugangskontrolle.
    • Differenzierte Rechtesysteme basierend auf Sicherheitsgruppen und Zugangskontrolllisten.
    • Passwortrichtlinie, einschließlich Leitlinien für den Umgang mit Passwörtern.
    • Mindestanforderungen an die Komplexität von Passwörtern. Aufforderung zur Änderung des ersten Passworts nach der ersten Anmeldung.
    • Zugriffsrechteverwaltung, einschließlich Autorisierungskonzept, Implementierung von Zugriffsbeschränkungen, Implementierung des „Need-to-know“-Prinzips, Verwaltung individueller Zugriffsrechte.
    • Schulung und Vertraulichkeitsvereinbarungen für interne und externe Mitarbeiter.
    • Netzwerkseparation.
    • Autorisierungsanfragen werden regelmäßig verfolgt, protokolliert und geprüft.
    • Entzug der Zugriffsrechte von Mitarbeitern bei Kündigung oder Änderung des Beschäftigungsverhältnisses.
    • Kontobereitstellungs- und -aufhebungsprozesse.
    • Verantwortungs- und Funktionstrennung zur Reduzierung der Möglichkeiten für nicht autorisierte oder unbeabsichtigte Änderung oder Missbrauch.
    • Mitarbeitern auferlegte Vertraulichkeitsverpflichtungen.
    • Vorgeschriebene Sicherheitsschulungen für Mitarbeiter, die die Themen Privatsphäre und Governance, Datenschutz, Vertraulichkeit, Social Engineering, Passwortrichtlinien und Sicherheitsaufgaben insgesamt innerhalb und außerhalb von Seagate abdecken.
    • Geheimhaltungsvereinbarungen mit Dritten.
    • Netzwerktrennung basierend auf Vertrauensebenen.
  2. Integrität: Maßnahmen zur Sicherstellung, dass die personenbezogenen Daten des Unternehmens ohne entsprechende Genehmigung während der elektronischen Übertragung oder des Transports nicht gelesen, kopiert, geändert oder entfernt werden können und dass es möglich ist zu prüfen und festzustellen, ob und von wem Daten in Datenverarbeitungssysteme eingegeben oder dort geändert oder entfernt wurden.
    • Aufzeichnungsauthentifizierung und überwachter Zugriff auf logische Systeme.
    • Protokollierung des Datenzugriffs, einschließlich, jedoch nicht beschränkt auf Zugriff, Änderung, Eingabe und Löschung von Daten.
    • Dokumentation von Dateneingaberechten und Protokollierung sicherheitsbezogener Eingaben.
  3. Verfügbarkeit und Resilienz:Maßnahmen, die das Risiko für personenbezogene Daten des Unternehmens durch versehentliche Zerstörung oder Verlust aufgrund interner oder externer Einflüsse verringern und sicherstellen, dass Angriffe abgewehrt werden können oder Systeme nach einem Angriff schnell wieder funktionsfähig gemacht werden können.

 

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zum Lyve Cloud Services-System im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen: Maßnahmen, die sicherstellen, dass das System im Falle eines physischen oder technischen Vorfalls schnell wiederhergestellt werden kann.

  1. Kontinuitätsplanung und Notfallwiederherstellungsplan.
  2. Notfallwiederherstellungsprozesse zur Wiederherstellung von Prozessen.
  3. Vorgehensweisen zum Umgang mit und zur Meldung von Vorfällen (Vorfallmanagement), einschließlich der Erkennung von und Reaktion auf mögliche Sicherheitsvorfälle.

 

Prozesse für regelmäßige Prüfungen, Beurteilungen und Bewertungen der Effektivität der technischen und organisatorischen Maßnahmen für die Lyve Cloud Services zur Gewährleistung der Sicherheit der Verarbeitung:

  1. Die Überwachung und Protokollierung von Aktivitäten zeichnet Ereignisse auf und generiert Beweise. In der Produktion und anderen kritischen Systemen werden Ereignisprotokolle geführt, die Aktivitäten von Benutzern, Ausnahmen, Fehler und Informationssicherheitsvorfälle festhalten.
  2. Ausschließlich autorisierte Mitarbeiter von Seagate dürfen auf alle Protokolle zugreifen und es gelten Zugriffskontrollen, um nicht autorisierten Zugriff zu verhindern.
  3. Seagate schützt Protokolldaten vor Manipulation und nicht autorisiertem Zugriff. Dazu zählt der Schutz der Kontrollen vor nicht autorisierten Änderungen der Protokolldaten und betrieblichen Problemen.

 

Maßnahmen zur Identifizierung und Autorisierung von Benutzern:

  1. Es gibt Vorgehensweisen zur Erfassung und Protokollierung von Informationen in Bezug auf die Interaktion von Systemen, Anwendungen und Benutzerkonten.
  2. Der Zugriff auf Programmquellcodes und verbundene Funktionen (z. B. Designs, Spezifikationen, Prüfungen und Validierungspläne) wird beschränkt, um die Einführung von nicht autorisierten Funktionen zu verhindern und versehentliche Änderungen zu vermeiden sowie die Vertraulichkeit geistigen Eigentums zu bewahren.
  3. Ein offizieller Registrierungs- und Deregistrierungsprozess für Benutzer zur Verwaltung der Identifizierungen wird implementiert, um Zugriffsrechte zu erteilen. Dazu zählen die Ausgabe einmaliger Benutzerkennungen zur Identifizierung der Person, die zum Zugriff auf die Lyve Services berechtigt ist (gemeinsame Kennungen sind nicht zulässig), und die sofortige Deaktivierung oder Aufhebung von Kennungen, wenn das Beschäftigungsverhältnis gekündigt wird oder ein Vertragspartner/Anbieter einen Vertrag kündigt oder den Zugriff nicht länger benötigt.
  4. Die Kontrolle der Zuteilung geheimer Authentifizierungsdaten (z. B. Passwörter, Verschlüsselungscodes, Hardware-Token oder Smart-Cards) muss über einen offiziellen Vorgang laufen, der vorsieht, dass Benutzer sich im Rahmen ihrer Beschäftigungsbedingungen dazu verpflichten, diese Informationen vertraulich zu behandeln.

 

Maßnahmen zum Schutz von Daten während der Übertragung an Lyve Cloud Services:

  1. Die Lyve Cloud Services haben robuste Sicherheitsmaßnahmen implementiert, um sicherzustellen, dass die personenbezogenen Daten des Unternehmens geschützt bleiben, darunter die Verschlüsselung im Ruhezustand und die Unterstützung der Verschlüsselung während der Übertragung.
  2. Autorisierte Personen, die von externen Standorten aus auf das Netzwerk zugreifen, müssen genehmigte Verschlüsselungs- und Authentifizierungsmethoden und -technologie anwenden.
  3. Seagate gestattet die Nutzung gemeinsamer Konten für den Fernzugriff auf das Netzwerk nicht.
  4. Seagate beschränkt den Fernzugriff auf erforderliche Ressourcen und Services.

 

Maßnahmen zum Schutz der personenbezogenen Daten des Unternehmens während der Speicherung:

  1. Die Lyve Services haben robuste Sicherheitsmaßnahmen implementiert, um sicherzustellen, dass die personenbezogenen Daten des Unternehmens geschützt bleiben, darunter die Verschlüsselung im Ruhezustand und die Unterstützung der Verschlüsselung während der Übertragung.
  2. Instanzen der Lyve Cloud Services von Seagate-Kunden werden logisch getrennt und Zugriffsversuche auf Daten außerhalb zulässiger Domaingrenzen werden verhindert und protokolliert.
  3. Es greifen Maßnahmen um sicherzustellen, dass ausführbare Uploads, Code oder nicht autorisierte Benutzer nicht auf nicht autorisierte Daten zugreifen können, einschließlich des Zugriffs durch Kunden auf Daten anderer Kunden.

 

Maßnahmen zur Gewährleistung der physischen Sicherheit der Standorte, an denen personenbezogene Daten des Unternehmens verarbeitet werden:

  1. Sicherheitsmaßnahmen für die Lyve Services sind in Bezug auf das identifizierte Risiko für Informationen und Services angemessen.
  2. Lyve Cloud Services umfassen physische und umfeldbezogene Sicherheitsmaßnahmen in Einrichtungen zur Minimierung von Risiken, Verhinderung von Bedrohungen und Eliminierung von Schwachstellen zum Schutz von Informationssystemen und Personal.
  3. Die physische und Umgebungssicherheit ist so gestaltet, dass nicht autorisierter physischer Zugriff, Beschädigung und Störung der Informationen und Systeme der Lyve Cloud Services verhindert werden.
  4. Lyve Cloud Services schützen sichere Bereiche durch Einrichtung von Zugangskontrollen zur Gewährleistung des ausschließlichen Zugriffs durch autorisiertes Personal. Die Kontrollen müssen die Aufzeichnung des Besucherzugangs, die Zugriffsbeschränkung, so dass nur autorisiertes Personal auf sensible Informationen zugreifen kann, das Tragen von sichtbaren Ausweisen durch Benutzer und die Beschränkung des Zugangs ausschließlich auf solche Bereiche umfassen, die für die Ausführung der einzelnen Aufgaben erforderlich sind.
  5. Ausstattung, Informationen und Software dürfen nicht ohne Genehmigung vom Standort entfernt werden. Die zeitliche Begrenzung der Entfernung von Vermögenswerten muss zwischen den Beteiligten vereinbart und die Rückgabe verifiziert werden. Es muss aufgezeichnet werden, wenn Vermögenswerte vom Standort entfernt werden und die entsprechende Aufzeichnung aktualisiert werden, wenn die Vermögenswerte zurückgegeben werden.

 

Maßnahmen zur Sicherstellung der Ereignisprotokollierung:

  1. Fernprotokollierung.
  2. Es gibt eine Verwaltungssystemrichtlinie zur Informationssicherheit (ISMS).

 

Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der voreingestellten Konfiguration: Maßnahmen zur Sicherstellung, dass alle inbegriffenen Systeme und Geräte den Basiskonfigurationseinstellungen entsprechen.

  1. Seagate hat eine Änderungsmanagementrichtlinie.
  2. Seagate überwacht Änderungen an inbegriffenen Systemen, um sicherzustellen, dass Änderungen dem Vorgang folgen und das Risiko von unerkannten Änderungen an der Produktion zu mindern.
  3. Seagate hat eine Richtlinie und Vorgehensweise für die Zugriffskontrolle.

 

Maßnahmen für interne Governance und Management in Bezug auf Informationstechnologie (IT) und IT-Sicherheit:

  1. Seagate hat eine Verwaltungssystemrichtlinie zur Informationssicherheit (ISMS), die der Norm ISO 27001:2013 entspricht.
  2. Seagate hat eine schriftliche Informationssicherheitsrichtlinie, einschließlich der entsprechenden Dokumentation.
  3. Die Zuständigkeit und Verantwortung für die Verwaltung des Informationssicherheitsprogramms von Seagate wurde dem Chief Information Security Officer übertragen, der von der Geschäftsleitung dazu autorisiert wurde, die nötigen Maßnahmen zu ergreifen, um das Informationssicherheitsprogramm von Seagate zu etablieren, zu implementieren und zu verwalten.

 

Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten:

  1. Die Lyve Cloud Services wurden von einem Dritten geprüft und haben die SOC-2-Zertifizierung erhalten, die unsere Verpflichtung zu Kontrollen bestätigt, die die Vertraulichkeit der in unserem Dienst gespeicherten und verarbeiteten Informationen schützen.
  2. Die Lyve Cloud Services wurden nach ISO 27001 zertifiziert und das Programm umfasst unter anderem folgende Überlegungen: Richtlinien und Vorgehensweisen, Asset-Management, Zugriffsverwaltung, Verschlüsselung, physische und umgebungsbezogene Sicherheit, Richtlinie zur Geschäftskontinuität, Personalsicherheit, Notfallwiederherstellung, Sicherheit von Cloud- und Netzwerkinfrastruktur, Einhaltung der Sicherheitsvorschriften, Verwaltung Dritter sowie Sicherheitsüberwachung und Vorfallreaktion.

 

Maßnahmen zur Sicherstellung der Datenminimierung: Maßnahmen zur Reduzierung der Menge der erhobenen Daten.

  1. Die Erhebung der personenbezogenen Daten des Unternehmens ist auf die Daten beschränkt, die das Unternehmen den Lyve Services bereitstellt.
  2. Es greifen Sicherheitsmaßnahmen, so dass lediglich die Mindestzugriffsmenge zur Ausführung erforderlicher Funktionen gewährt wird.

 

Maßnahmen zur Sicherstellung der Datenqualität: Maßnahmen, die sicherstellen, dass die Datenpipeline eine gute Datenqualität erzeugt und aufrechterhält.

  1. Seagate prüft oder bearbeitet keine Daten, Inhalte oder Materialien, die über die Lyve Services erstellt, gespeichert oder zugänglich gemacht werden, einschließlich der personenbezogenen Daten des Unternehmens, und das Unternehmen ist berechtigt, selbstständig zu entscheiden, welche Daten in die Lyve Services eingegeben werden.
  2. Seagate hat Sicherheitskontrollen zur Gewährleistung der Datenintegrität.

 

Maßnahmen zur Sicherstellung der begrenzten Datenaufbewahrung:

  1. Inhaber von Informationen müssen Vorgehensweisen entwickeln und implementieren, die die ordnungsgemäße Entsorgung von Informationen, die sich unter ihrer Kontrolle befinden, sicherstellen.
  2. Die Lyve Services schützen Informationen und sorgen für deren Vernichtung, wenn sie am Ende des Lebenszyklus angekommen sind, wie im Aufzeichnungsaufbewahrungsplan vorgesehen. Die sichere Vernichtung solcher Informationen muss gewährleisten, dass keine lesbaren Inhalte intakt bleiben.
  3. Ein sicherer, automatisierter Vorgang ist bei der Vernichtung elektronischer Daten anzuwenden und es muss einen sicheren manuellen Vorgang geben, dem bei der Vernichtung ausgedruckter Aufzeichnungen gefolgt wird.
  4. Nach der Kündigung aller Abos im Zusammenhang mit einem Umfeld werden Kundendaten, die an die Lyve Cloud Services gesandt wurden, 30 Tage lang innerhalb der Lyve Cloud Services in einem inaktiven Status gehalten; danach werden sie sicher überschrieben oder aus dem Produktionsumfeld gelöscht.
  5. Nach der Kündigung aller Abos im Zusammenhang mit einem Lyve Mobile Service muss das Unternehmen die Verschlüsselungslöschfunktion nutzen, um die Daten des Unternehmens sicher von dem Gerät zu löschen. Wenn das Gerät mit dem Lyve Mobile Service an Seagate zurückgegeben wird, führt autorisiertes Personal eine Löschung der Daten an einem sicheren, zugangskontrollierten Standort durch.

 

Maßnahmen zur Sicherstellung der Rechenschaftspflicht: Unternehmen müssen bestimmte Aufzeichnungen zu den von ihnen verarbeiteten personenbezogenen Daten führen.

  1. Datenschutzprüfungen sind erforderlich, wenn neue Produkte/Dienstleistungen eingeführt werden, die die Verarbeitung personenbezogener Daten umfassen.
  2. Seagate verteilt Zuständigkeiten zur Sicherstellung des Datenschutzes von Endbenutzern während des gesamten Produktlebenszyklus sowie über die entsprechenden Geschäftsprozesse hinweg.

 

Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur sicheren Löschung:

  1. Die Lyve Mobile Services wurden unter Berücksichtigung der Übertragbarkeit entwickelt. Vereinbarungen regeln die sichere Übertragung von Geschäftsinformationen zwischen Lyve Cloud Services und externen Parteien.
  2. Die Lyve Mobile Services etablieren und bewahren die Dokumentation zum Schutz von Informationen und physischen Medien bei der Übertragung, so dass in Übertragungsvereinbarungen auf die Informationen Bezug genommen werden kann.
  3. Der Informationssicherheitsinhalt von Vereinbarungen muss die Sensibilität der betreffenden Geschäftsinformationen widerspiegeln. Vereinbarungen können elektronisch oder manuell erstellt werden und offizielle Verträge darstellen.
  4. Das Unternehmen kann aufgefordert sein, seine Daten aus den Services zu löschen, wenn die Vereinbarung ausläuft oder vorzeitig gekündigt wird. Sollte ein Kunde sich dazu entschließen, seine Daten in einen anderen Seagate-Service zu übernehmen oder zu verschieben, ist Seagate nach der erfolgreichen Übernahme oder Migration solcher Daten berechtigt, alle Daten des Kunden, die im ursprünglichen Service gespeichert sind, zu löschen oder anderweitig zu entsorgen.
  5. Die Lyve Services schützen Informationen und sorgen für deren Vernichtung, wenn sie am Ende des Lebenszyklus angekommen sind, wie im Aufzeichnungsaufbewahrungsplan vorgesehen. Die sichere Vernichtung solcher Informationen muss gewährleisten, dass keine lesbaren Inhalte intakt bleiben.
  6. Lyve Services nutzen bei der Vernichtung elektronischer Daten einen sicheren, automatisierten Prozess und einen sicheren manuellen Vorgang, dem bei der Vernichtung ausgedruckter Aufzeichnungen gefolgt wird.
  7. Nach der Kündigung aller Abos im Zusammenhang mit den Lyve Services müssen Ausstattungsgegenstände, die Speichermedien enthalten, verifiziert werden, damit sichergestellt ist, dass sensible Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben wurden. Speichermedien müssen gelöscht oder überschrieben werden, so dass die ursprünglichen Daten nicht wiederhergestellt werden können.
  8. Wenn Seagate eine Festplatte außer Betrieb nimmt oder anderweitig aussondert, auf der sich eine Kopie der Daten des Unternehmens befindet, ist Seagate verpflichtet, die Festplatte sicher zu vernichten oder zu zerstören, sodass die Daten gemäß NIST 800-88, Revision 1, unleserlich gemacht und vernichtet werden.

 

ANHANG C

LISTE DER UNTERAUFTRAGSVERARBEITER

 Keine.

 

ANHANG D

LÄNDERSPEZIFISCHE BESTIMMUNGEN

Die folgenden Anforderungen gelten für die angegebenen Gerichtsbarkeiten:

  1. Singapur
    1. Die Bestimmungen dieses Abschnitts 1 gelten, wenn der Singapore Personal Data Protection Act 2012 (Nr. 26 von 2012) für die Verarbeitung personenbezogener Daten des Unternehmens durch Seagate gilt.
    2. Klausel 1.3 der Datenschutzvereinbarung wird durch die folgende Vereinbarung ersetzt:
    3. „Datenschutzverletzung“ bezeichnet einen Sicherheitsverstoß, der zu der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Änderung, der unbefugten Offenlegung, dem unbefugten Zugriff auf oder dem unbefugten Erhalt personenbezogener Daten des Unternehmens oder zu einer sonstigen unbefugten Verarbeitung personenbezogener Daten des Unternehmens führt, einschließlich: (a) nicht autorisierter Zugriff, nicht autorisierte Erfassung, Verwendung, Offenlegung, Vervielfältigung, Änderung oder Entsorgung von personenbezogenen Daten des Unternehmens; oder (b) dem Verlust von Speichermedien oder Geräten, auf denen personenbezogene Daten des Unternehmens gespeichert sind, unter Umständen, unter denen der unbefugte Zugriff, die nicht autorisierte Erfassung, Nutzung, Weitergabe, das Kopieren, die Änderung oder die nicht autorisierte Entsorgung der personenbezogenen Daten des Unternehmens wahrscheinlich auftreten wird.
    4. Klausel 5.1 der Datenschutzvereinbarung wird durch die folgende Vereinbarung ersetzt:

5.1 Benachrichtigung über Datenschutzverletzungen. Wenn Seagate Grund zu der Annahme hat, dass eine Datenschutzverletzung stattgefunden hat, informiert Seagate das Unternehmen unverzüglich schriftlich über diese Datenschutzverletzung und:

  1. untersucht die Datenschutzverletzung oder stellt die erforderliche Unterstützung zur Untersuchung der Datenschutzverletzung bereit;
  2. stellt dem Unternehmen Informationen über die Datenschutzverletzung zur Verfügung und legt weitere relevante Informationen unverzüglich nach Kenntnisnahme vor und
  3. ergreift wirtschaftlich angemessene Schritte, um die Datenschutzverletzung einzudämmen, die Auswirkungen der Datenschutzverletzung zu beschränken oder das Unternehmen auf dessen Kosten dabei zu unterstützen.
  • Indien
    1. Die Bestimmungen dieses Abschnitts 2 gelten, wenn das Information Technology Act, 2000 („IT Act“) und die Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 („Privacy Rules“) in der jeweils gültigen Fassung und in der jeweils geänderten Fassung für die Verarbeitung personenbezogener Unternehmensdaten durch Seagate gelten, die von einem Datenverantwortlichen in Indien bereitgestellt werden, unabhängig davon, ob die Verarbeitung in Indien stattfindet.
    2. In Bezug auf die Verarbeitung personenbezogener Daten betroffener Personen, die dem IT-Gesetz und den Datenschutzvorschriften unterliegen, gelten die folgenden Informationen als „Sensible personenbezogene Daten oder Informationen
      1. Kennwort;
      2. Finanzinformationen wie Bankkonto- oder Kreditkarten- oder Debitkarten- oder andere Zahlungsdetails;
      3. Informationen zum körperlichen, physiologischen und geistigen Zustand;
      4. sexuelle Orientierung;
      5. Patientendaten und Krankengeschichte;
      6. Biometrische Informationen;
      7. alle Einzelheiten im Zusammenhang mit den oben genannten Klauseln, die für die Erbringung des Services vorgesehen sind; und
      8. die unter den obigen Klauseln erhaltenen Informationen zur Verarbeitung, Speicherung oder Verarbeitung im Rahmen eines rechtmäßigen Vertrags oder anderweitig.

    • Informationen zu Vereinbarungen, die vor dem 20. Juni 2024 abgeschlossen wurden, finden Sie in der hier angehängten PDF-Datei. Lyve Datenschutzvereinbarung vor dem 20. Juni 2024

    Informationen zu Vereinbarungen, die vor dem 22. Dezember 2022 abgeschlossen wurden, finden Sie in der hier angehängten PDF-Datei. Lyve Datenschutzvereinbarung vor dem 22. Dezember 2022

    Informationen zu Vereinbarungen, die vor dem 20. Januar 2022 abgeschlossen wurden, finden Sie in der hier angehängten PDF-Datei. Lyve Datenschutzvereinbarung vor dem 20. Januar 2022

    Informationen zu Vereinbarungen, die vor dem 14. Oktober 2021 abgeschlossen wurden, finden Sie in der hier angehängten PDF-Datei. Lyve Datenschutzvereinbarung vor dem 14. Oktober 2021

    BERICHT: NACHHALTIGE RECHENZENTREN DURCH MEHR EFFIZIENZ

    Nachhaltigkeit von Rechenzentren im KI-Zeitalter
    Über Seagate Technology Unternehmensgeschichte  ESG  Trust Center  Qualitätssicherung 
    Support  Produktsupport  Seagate-Software-Downloads  LaCie-Software-Downloads  Seagate-Produktregistrierung  LaCie-Produktregistrierung  Garantie und Austausch  Seagate-Systeme  Kontakt 
    Pressecenter  Neuigkeiten  Medienkits  Markenportal  LaCie-Markenportal 
    Investoren 
    Partner  Indirekte Partner und Reseller  Seagate Training Portal  Direktpartner und Lieferanten von Seagate  Seagate Technology Alliance Program 
    Karriere  Der Arbeitsalltag bei Seagate  Seagate Kultur  Universitätsprogramme 
    Bezugsquellen  Produktsuche 
    facebook logo linkedin logo youtube logo x logo instagram logo
    ©2025 Seagate Technology LLC Rechtliche Hinweise Datenschutz Offenlegung von Sicherheitslücken EU-GPSR Cookie Settings
    Sitemap