Datenübertragungsnachtrag

Die G2-Website verwendet die Crowdin-Übersetzungs-API. G2 hat angemessene Anstrengungen unternommen, um genaue Übersetzungen bereitzustellen. Allerdings ist keine automatisierte oder computergestützte Übersetzung perfekt und es ist nicht beabsichtigt oder erwartet, dass sie menschliche oder traditionelle Übersetzungsmethoden ersetzt. Der offizielle Text ist die englische Version der G2-Website. Diese nicht-englische Übersetzung dient nur Ihrer Bequemlichkeit und sollte nicht aus rechtlichen Gründen herangezogen werden.  Etwaige in der Übersetzung entstehende Unstimmigkeiten oder Differenzen sind nicht bindend und haben keine rechtliche Wirkung für Compliance- oder Durchsetzungszwecke. Wenn Sie Fragen zur Richtigkeit der in der übersetzten Version der Website dargestellten Informationen haben, lesen Sie bitte die englische Version der Website, bei der es sich um die offizielle Version handelt.

Dieser Datenübertragungsnachtrag („DTA“) ist zwischen G2.com, Inc. („G2“) und dem im Serviceauftrag genannten Kunden („Kunde“) geschlossen und in die Hauptdienstleistungsvereinbarung („Vereinbarung“) oder eine ähnliche Vereinbarung bezüglich der Dienstleistungen zwischen den Parteien integriert. Begriffe, die hierin nicht definiert sind, haben die im Vertrag zugewiesene Bedeutung. 

Dieser DTA gilt nur, wenn personenbezogene Daten von G2 (Verantwortlicher) an den Kunden (Verantwortlicher) zur Bereitstellung des Dienstes in den folgenden begrenzten Fällen übertragen werden:    

G2-Dienst	Datensubjekt	Von Kunde an G2 übertragene personenbezogene Daten
Bewertungen	Website-Benutzer von G2.com	Vorname + erster Buchstabe des Nachnamens
Leads	Website-Benutzer von G2.com	Vorname und Nachname, E-Mail, Telefon + Arbeitgeber

1. Geltungsbereich.

Dieser DTA legt fest, wie der Kunde personenbezogene Daten (oder einen ähnlichen Begriff, wie er durch anwendbare Datenschutzgesetze definiert ist) verarbeiten wird, die dem Kunden von G2 im Rahmen der Vereinbarung (die „Dienstleistungen“) bereitgestellt werden.

Die Parteien verpflichten sich, die anwendbaren Datenschutzgesetze („Datenschutzgesetze“) einzuhalten. Einzelheiten zum Transfer personenbezogener Daten finden Sie in Anhang A. „Verarbeitung“ (und verwandte Begriffe) wird gemäß den anwendbaren Datenschutzgesetzen definiert. 

 

2. Verpflichtungen des Kunden.

Der Kunde ist allein verantwortlich für die Einhaltung der Datenschutzgesetze und jegliche unbefugte Verarbeitung personenbezogener Daten, ohne Verpflichtung seitens G2. Wenn zusätzliche rechtliche Anforderungen gemäß Datenschutzgesetzen bestehen, die durch diesen DTA nicht abgedeckt sind, muss der Kunde G2 unter legal@g2.com informieren. G2 ist nicht verantwortlich für die Einleitung dieses Prozesses und kann die Bereitstellung personenbezogener Daten ohne Strafen verweigern, wenn die Anforderungen über diesen DTA hinausgehen.

3. Verwendung personenbezogener Daten.

Der Kunde wird personenbezogene Daten ausschließlich für Zwecke verarbeiten, die streng mit den Dienstleistungen zusammenhängen oder wie sonst schriftlich durch G2 vereinbart. Der Kunde darf personenbezogene Daten nicht aggregieren, de-identifizieren oder anonymisieren. Zur Vermeidung von Zweifeln wird der Kunde personenbezogene Daten nicht in einer Weise verarbeiten, die eine „Verkauf“ personenbezogener Daten gemäß den Datenschutzgesetzen darstellen könnte.

4. Datenschutz und Sicherheit.

Der Kunde wird nach eigenem Ermessen und auf eigene Kosten vernünftige technische, organisatorische und physische Sicherheitsmaßnahmen umsetzen und aufrechterhalten, die zum Schutz der Privatsphäre und Sicherheit der von ihm verarbeiteten personenbezogenen Daten dienen, einschließlich gegen versehentliche, unbefugte oder rechtswidrige Verwendung, Zerstörung, Verlust, Offenlegung, Erwerb, Veränderung oder Zugriff („Datenschutz- und Sicherheitsschutzmaßnahmen“). Die Datenschutz- und Sicherheitsschutzmaßnahmen müssen mindestens den Datenschutzgesetzen entsprechen. In Bezug auf personenbezogene Daten, die dem CCPA unterliegen: (i) G2 hat personenbezogene Daten dem Kunden nur für die in der Vereinbarung und diesem DTA festgelegten begrenzten und spezifischen Zwecke zur Verfügung gestellt, und der Kunde erkennt an und stimmt zu, dass er nur berechtigt ist, personenbezogene Daten für diese begrenzten und spezifischen Zwecke zu verwenden;  (ii) der Kunde wird alle anwendbaren Abschnitte des CCPA einhalten, einschließlich des gleichen Niveaus des Datenschutzes, wie es von G2 gemäß CCPA verlangt wird; (iii) G2 hat das Recht, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass der Kunde personenbezogene Daten in Übereinstimmung mit den Verpflichtungen von G2 gemäß dem CCPA verwendet; (iv) G2 hat das Recht, nach Benachrichtigung angemessene und geeignete Schritte zu unternehmen, um unbefugte Verwendung der dem Kunden zur Verfügung gestellten personenbezogenen Daten zu verhindern und zu beheben, einschließlich der Anforderung, dass der Kunde Dokumentationen bereitstellt, die bestätigen, dass der Kunde die personenbezogenen Daten von betroffenen Personen, die Anträge auf Ablehnung des „Teilens“ oder „Verkaufens“ (wie diese Begriffe durch den CCPA definiert sind) personenbezogener Daten eingereicht haben, nicht mehr aufbewahrt oder verwendet; und (v) der Kunde muss G2 benachrichtigen, nachdem der Kunde festgestellt hat, dass er seine Verpflichtungen gemäß dem CCPA nicht mehr erfüllen kann.

5. Audits.

Der Kunde stimmt zu, dass G2 angemessene Schritte unternehmen kann, um die Einhaltung dieses DTA durch den Kunden zu überprüfen, einschließlich Audits im Zusammenhang mit der Verwendung personenbezogener Daten durch den Kunden. G2 wird den Kunden nicht mehr als einmal in einem rollierenden Zeitraum von 12 Monaten prüfen, es sei denn, dies ist anderweitig gemäß den Datenschutzgesetzen erforderlich oder wenn G2 von einer Verletzung personenbezogener Daten oder einer Verletzung dieses DTA Kenntnis erlangt.

6. Grenzüberschreitende Datenübertragungen.

G2 verarbeitet personenbezogene Daten in den Vereinigten Staaten.  Für alle Übertragungen personenbezogener Daten vom Vereinigten Königreich in ein Land, das keine genehmigte Gerichtsbarkeit ist, unterliegen solche Übertragungen und die Verarbeitung von durch die britische DSGVO geschützten personenbezogenen Daten einem gültigen Mechanismus für die rechtmäßige Übertragung personenbezogener Daten, der gemäß den Datenschutzgesetzen anerkannt ist, einschließlich des britischen Internationalen Datenübertragungsabkommens („UK Agreement“), wie in Anhang B verankert.

„Genehmigte Gerichtsbarkeit“ bedeutet eine Gerichtsbarkeit, die entweder von der britischen Informationskommissarin als rechtlich angemessener Datenschutz anerkannt wurde oder bei der Datenübertragungen, die durch diesen DTA beabsichtigt sind, nicht anderweitig durch die Datenschutzgesetze eingeschränkt werden.  Die Unterschrift jeder Partei auf den Serviceauftrag gilt als Unterschrift zum Internationalen Datenübertragungsabkommen. In Bezug auf jede Übertragung von personenbezogenen Daten von der EU in die Vereinigten Staaten erkennt G2 an, dass es am EU-US Data Privacy Framework Program  („DPF“) teilnimmt, um Übertragungen von durch die EU-DSGVO geschützten personenbezogenen Daten („EU-Personaldaten“) zu ermöglichen. G2 und der Kunde stimmen zu, dass jeder die Prinzipien des DPF hinsichtlich Benachrichtigung und Wahl befolgen wird. Der Kunde versteht und stimmt außerdem zu, dass (a) er EU-Personaldaten nur für die begrenzten und spezifizierten Zwecke in Übereinstimmung mit dem von einem Datensubjekt erteilten Einverständnis verarbeiten darf; (b) er das Schutzniveau für EU-Personaldaten bereitstellen wird, das durch den DPF erforderlich ist, und G2 benachrichtigen wird, wenn der Kunde feststellt, dass er dieser Verpflichtung nicht mehr nachkommen kann; und (c) wenn der Kunde die unter (b) vorgesehene Feststellung trifft, er die Verarbeitungstätigkeiten für EU-Personaldaten einstellen oder andere angemessene und geeignete Maßnahmen zur Behebung ergreifen wird.

 

7. Verletzung personenbezogener Daten.

Im Falle einer versehentlichen, unbefugten oder rechtswidrigen Verwendung, Zerstörung, Verlust, Offenlegung, Erwerb, Veränderung oder eines Zugriffs auf personenbezogene Daten („Verletzung personenbezogener Daten“) wird der Kunde G2 innerhalb von 24 Stunden nach Entdeckung der Verletzung personenbezogener Daten durch den Kunden unter security@g2.com benachrichtigen. Der Kunde wird G2 die folgenden Informationen zur Verfügung stellen, sobald diese dem Kunden zur Verfügung stehen:  (a) eine kurze Beschreibung der Verletzung personenbezogener Daten, einschließlich des Datums der Verletzung personenbezogener Daten;  (b) eine Beschreibung der personenbezogenen Daten, die von der Verletzung personenbezogener Daten betroffen sind oder nach vernünftigem Ermessen des Kunden betroffen sein könnten;  (c) eine Beschreibung dessen, was der Kunde tut, um die Verletzung personenbezogener Daten zu untersuchen, potenziellen Schaden zu mindern und sich gegen eine weitere ähnliche Verletzung personenbezogener Daten zu schützen;  (d) Kontaktinformationen, die G2 verwenden kann, um mehr Informationen vom Kunden über die Verletzung personenbezogener Daten zu erhalten;  und (e) alle anderen Informationen, die der Kunde G2 über die Verletzung personenbezogener Daten gemäß den Datenschutzgesetzen bereitstellen muss. Der Kunde wird mit G2 bei der angemessenen Untersuchung der Verletzung personenbezogener Daten durch G2 zusammenarbeiten, einschließlich wie nach den Datenschutzgesetzen erforderlich, und G2 alle angemessenen Kosten erstatten, die G2 bei seiner Untersuchung und Reaktion auf die Verletzung entstehen, einschließlich aller Benachrichtigungskosten.

8. Rechte der betroffenen Personen.

G2 und der Kunde werden sich gegenseitig angemessen dabei unterstützen, ihren jeweiligen Verpflichtungen nachzukommen, um auf Anfragen von betroffenen Personen zu reagieren, die ihre Rechte gemäß den Datenschutzgesetzen ausüben (gemeinsam „Anfragen der betroffenen Personen“). Der Kunde wird Anfragen der betroffenen Personen an privacy@g2.com senden.  

9. Informationsverwaltung.

Der Kunde wird nach Beendigung der Dienste entweder alle personenbezogenen Daten sicher löschen oder sicher an G2 zurückgeben, es sei denn, die Aufbewahrung der personenbezogenen Daten ist nach geltendem Recht erforderlich oder anderweitig nicht durchführbar, in diesem Fall wird der Kunde die personenbezogenen Daten weiterhin gemäß den Anforderungen dieser DTA aufbewahren und solche personenbezogenen Daten nur für die Zwecke verarbeiten, die die Rückgabe oder Löschung unmöglich machen.

10. Entschädigung.

Vorbehaltlich Abschnitt 12 des Vertrages stimmt der Kunde zu, G2 alle Kosten zu erstatten, zu entschädigen und schadlos zu halten, die bei der Reaktion auf oder Minderung jeglicher Verluste, die G2 erleidet, entstehen, einschließlich, aber nicht beschränkt auf Verluste im Zusammenhang mit einem Drittanspruch gegen G2 in Bezug auf die Verarbeitung personenbezogener Daten, die vom Kunden in einer Weise verarbeitet werden, die nicht mit dem Vertrag und/oder dieser DTA vereinbar ist.

11. Haftungsbeschränkung.

Sofern in dieser DTA nicht ausdrücklich anders angegeben, übersteigt die alleinige Haftung von G2 und das einzige Rechtsmittel des Kunden für eine Vertragsverletzung dieser DTA durch G2 nicht die Gebühren, die der Kunde an G2 aus dem Serviceauftrag zahlt, der der Forderung zugrunde liegt, in den 12 Monaten vor der Forderung. Unter keinen Umständen haftet G2 für besondere, indirekte, zufällige, Folgeschäden oder Strafschäden, einschließlich entgangener Gewinne, die dem Kunden entstehen.

12. Interpretation und Aktualisierungen.

G2 wird diese DTA regelmäßig aktualisieren, ohne den Kunden darüber zu informieren, in wesentlicher Übereinstimmung mit den Datenschutzgesetzen und ohne die hierin festgelegten Schutzmaßnahmen wesentlich zu verringern. Die folgende Rangfolge gilt im Falle eines Konflikts in Bezug auf die Verarbeitung personenbezogener Daten: (a) das internationale Datenübertragungsabkommen, (b) diese DTA, (c) der Vertrag und (d) die Datenschutzgesetze.

13. Term.

This DPA begins on the Effective Date and remains in force until the Agreement terminates, or until G2 stops Processing Personal Data that is subject to this DTA..

APPENDIX A

Description of Processing

Parties	Data Exporter & Controller: G2.com, Inc.
	100 South Wacker Drive, Suite 600, Chicago IL, 60606
	Data Importer & Controller: Customer
	Customer information is set forth on the Service Order.
	“Controller” means the natural or legal person that determines and means of the Processing of Personal Data and/or “controller,” “business” or similar term as defined by Privacy Laws.
Categories of Data Subjects Whose Personal Data is Transferred & Categories of Personal Data Transferred	Leads: Data Subject: Website users of www.g2.com. Personal Data: First and last name, [business] email, phone number, company name Reviews: First name and last initial
Sensitive Data Transferred	No sensitive data is anticipated to be transferred.
Frequency of the Transfer	Continuous.
Nature of the Processing	To provide the Services.
Purpose of the Data Transfer and Further Processing	To provide the Services.
Duration of Processing	As set forth in Section 14.

APPENDIX B

EU & UK GDPR

Section 1 - EU:For data transfers from the EU, the EU SCCs are incorporated into this DPA as follows:

EU SCC Term	Amendment/Selected Option
Module	Module 1 (Controller to Controller).
Clause 7 (Docking Clause)	Option is not included.
Clause 11 (Redress)	Option is not included.
Clause 13 (Supervision)	Irish Data Protection Commission.
Clause 17 (Governing Law)	Ireland.
Clause 18 (Choice of Forum and Jurisdiction)	Ireland.
Annex I.A (List of Parties)	As set forth in Appendix A.
Annex I.B (Description of the Transfer)	As set forth in Appendix A.
Annex I.C (Competent Supervisory Authority)	Irish Data Protection Commission.
Annex II (Technical and Organisational Measures)	The parties shall maintain appropriate technical and organizational measures.

Section 2 - UK: For data transfers from the UK, the UK Addendum is incorporated into this DPA as follows:

UK Addendum Term	Amendment/Selected Option
Table 1: Start Date	As set forth in Section 13.
Table 1: Parties	As set forth in Appendix A.
Table 2: Addendum EU SCC	Module 1 (Controller-Controller) of the EU SCCs apply.
Table 3: Appendix Information	As set forth in Section 1 of this Appendix B.
Table 4: Ending this Addendum	Exporter.
Mandatory Clauses	The Mandatory Clauses are incorporated into this Appendix C. The ‘Alternative Part 2 Mandatory Clauses’ are not selected.