DVV

Diese Datenverarbeitungsvereinbarung ("DVV") ist Bestandteil jeder Vereinbarung zwischen Articulate Global, LLC (zusammen mit ihren Verbundenen Unternehmen, "Articulate") und dem Kunden ("Kunde", "Sie", "Ihr") über die Bereitstellung der Dienste durch Articulate, wie unten definiert. Der Kunde schließt diese DVV im eigenen Namen und im Namen seiner Verbundenen Unternehmen ab, denen er die Nutzung der Dienste gemäß der Vereinbarung gestattet ("Autorisiertes Verbundenes Unternehmen"). Articulate und der Kunde werden jeweils einzeln als "Partei" und gemeinsam als die "Parteien" bezeichnet.

1. Definitionen

Für die Zwecke dieser DVV haben großgeschriebene Begriffe die unten angegebene Bedeutung. Andere großgeschriebene Begriffe haben die in der Vereinbarung festgelegte Bedeutung.

1.1 "Verbundenes Unternehmen" meint jedes Unternehmen, das direkt oder indirekt eine Partei dieser DVV kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht.

1.2 "Vereinbarung" meint die zugrunde liegende(n) Vereinbarung(en), die zwischen Articulate und dem Kunden schriftlich für die Erbringung der Dienste durch Articulate an den Kunden abgeschlossen wurden.

1.3 "Geltendes Recht" meint alle Gesetze, Verordnungen und sonstigen rechtlichen Anforderungen, die entweder (i) für Articulate in seiner Rolle als Anbieter der Dienste oder (ii) für Sie gelten. Dazu können beispielsweise gehören: die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ("DSGVO"), gleichwertige Anforderungen im Vereinigten Königreich einschließlich der UK General Data Protection Regulation und des Data Protection Act 2018 ("Datenschutzrecht des Vereinigten Königreichs"), der California Consumer Privacy Act und damit verbundene Vorschriften ("CCPA")sowie der California Privacy Rights Act und die damit verbundenen Durchführungsbestimmungen, wenn in Kraft ("CPRA"), der Personal Information Protection and Electronic Documents Act, SC 2000, c.5 ("PIPEDA"), der australische Privacy Act 1988 und die Australian Privacy Principles (der "Privacy Act"), der Virginia Consumer Data Protection Act, wenn in Kraft ("VCDPA"), der Utah Consumer Privacy Act, wenn in Kraft ("UCPA"), und der Colorado Privacy Act und die damit verbundenen Vorschriften, wenn in Kraft ("CPA"). Jede Partei ist nur für das auf sie anwendbare Geltende Recht verantwortlich.

1.4 "Verantwortlicher" ist die natürliche oder Rechtsperson, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung Personenbezogener Daten entscheidet.

1.5 "Kundeninhalte" (oder "Ihre Inhalte") bezieht sich auf alle Inhalte und Informationen, die der Kunde, ein Autorisiertes Verbundenes Unternehmen oder ein Nutzer in die Dienste hochlädt oder importiert oder in den Diensten entwickelt oder die Articulate anderweitig durch oder über die Dienste vom Kunden, einem Autorisierten Verbundenen Unternehmen oder einem Nutzer erhält.

1.6 "Betroffene Person" ist eine identifizierte oder identifizierbare natürliche Person. Wo der CCPA oder CPRA Anwendung findet , umfasst der Begriff auch einen identifizierten oder identifizierbaren Haushalt.

1.7 "Personenbezogene Daten" umfasst (i) alle Informationen, die sich auf eine identifizierte oder identifizierbare Person im Sinne der DSGVO beziehen (unabhängig davon, ob die DSGVO anwendbar ist), (ii) "personenbezogene Daten" im Sinne des Virginia Consumer Data Protection Act (VCDPA) und des Colorado Privacy Act (CPA) (unabhängig davon, ob sie anwendbar sind), (iii) "personenbezogene Daten" im Sinne des Personal Information Protection and Electronic Documents Act (PIPEDA), des California Consumer Privacy Act (CCPA), des California Privacy Rights Act (CPRA) und des Privacy Act (unabhängig davon, ob sie anwendbar sind), sowie (iv) jeder sinngemäße Begriff, wie im Geltenden Recht definiert.

1.8 "Verletzung des Schutzes Personenbezogener Daten" meint die versehentliche oder unrechtmäßige Zerstörung, den versehentlichen oder unrechtmäßigen Verlust, die versehentliche oder unrechtmäßige Änderung, die versehentliche oder unrechtmäßige unbefugte Offenlegung oder den versehentlichen oder unrechtmäßigen unbefugten Zugriff auf Personenbezogene Daten.

1.9 "Verarbeiten" und "Verarbeitung" meinen jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Erstellen, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

1.10 "Unterverarbeiter" meint eine natürliche oder Rechtsperson, Behörde, Einrichtung oder andere Stelle, die Personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

1.11 "Dienste" meint das Software-as-a-Service-Angebot von Articulate, wie in einem Preisangebot angegeben (d. h. Articulate 360, Rise oder beides), oder andere Dienstleistungen, die in einem Preisangebot angegeben sind.

1.12 "Standardvertragsklauseln" und "Standardvertragsklauseln 2021" meinen die Klauseln, die gemäß dem Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates erlassen wurden, abrufbar unter https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj und wie im nachstehenden Abschnitt "Datenübertragungen" beschrieben ausgefüllt.

1.13 "Unterverarbeiter" meint jeden Unterauftragnehmer, der von Articulate mit der Verarbeitung Personenbezogener Daten beauftragt wird.

1.14 "Trust & Compliance Documentation" means the documentation regarding privacy, data security, and Subprocessor information applicable to the specific Services purchased by Customer, as may be updated periodically, and accessible via Articulate's website at https://cms.articulate.zone/trust/ and https://cms.articulate.zone/trust/gdpr/

1.15 "UK-Nachtrag zu den Standardvertragsklauseln" bezeichnet den Nachtrag zur internationalen Datenübermittlung zu den Standardvertragsklauseln der EU-Kommission (verfügbar zum Datum des Inkrafttretens unter https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/), der wie im nachstehenden Abschnitt "Datenübermittlungen" beschrieben ausgefüllt wurde.

1.16 "Nutzer" meint eine oder mehrere natürliche Personen, denen der Kunde den Zugriff auf die Dienste und deren Nutzung gestattet.

2. Geltungsbereich und Beziehung zwischen den Parteien

2.1 Diese DVV gilt nur für die Personenbezogenen Daten in Kundeninhalten.

2.2 Für solche Personenbezogenen Daten sind Sie der Verantwortliche (oder Sie sichern zu, dass Sie mit voller Befugnis im Namen des Verantwortlichen handeln), und Articulate ist Ihr Auftragsverarbeiter.

2.3 Wenn Sie im Namen eines dritten Verantwortlichen (oder im Namen von Intermediären wie anderen Auftragsverarbeitern des Verantwortlichen) handeln, gilt im gesetzlich zulässigen Umfang:

3. Ihre Anweisungen an Articulate

3.1 Articulate verarbeitet die Personenbezogenen Daten nur wie in der Vereinbarung beschrieben, es sei denn, Articulate ist nach Geltendem Recht zu etwas anderem verpflichtet. In diesem Fall wird Articulate Sie vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, dies ist Articulate gesetzlich untersagt.

3.2 Die Einzelheiten der Verarbeitung sind in Anhang 1 zu dieser DVV niedergelegt.

3.3 Die Vereinbarung, einschließlich dieser DVV, enthält zusammen mit Ihrer Konfiguration aller Einstellungen oder Optionen in den Diensten Ihre vollständigen und endgültigen Anweisungen an Articulate in Bezug auf die Verarbeitung Personenbezogener Daten, einschließlich für die Zwecke der Standardvertragsklauseln, falls diese anwendbar sind.

3.4 Sie verpflichten sich, das für Ihre Nutzung der Dienste Geltende Recht einzuhalten, einschließlich der Einholung von Zustimmungen und der Zurverfügungstellung aller Mitteilungen, die nach Geltendem Recht erforderlich sind, damit Articulate die Dienste bereitstellen kann. Sie stellen sicher, dass Sie berechtigt sind, die Personenbezogenen Daten an Articulate zu übermitteln, so dass Articulate und seine Unterverarbeiter die Personenbezogenen Daten rechtmäßig gemäß dieser DVV verarbeiten können.

3.5 Sie dürfen Articulate nicht anweisen, Personenbezogene Daten unter Verstoß gegen Geltendes Recht zu verarbeiten. Articulate wird Sie unverzüglich informieren, wenn eine Anweisung von Ihnen nach Ansicht von Articulate Geltendes Recht verletzt.

4. Einschränkung der Datennutzung

4.1 Articulate "verkauft" keine Personenbezogenen Daten im Sinne des CCPA (unabhängig davon, ob der CCPA gilt), des VCDPA oder des CPA und "teilt" keine personenbezogenen Daten im Sinne des CPRA (unabhängig davon, ob der CPRA gilt). Articulate wird Personenbezogene Daten außerhalb der direkten Geschäftsbeziehung zwischen dem Kunden und Articulate nicht speichern, nutzen oder offenlegen.

4.2 Im Falle einer rechtlichen Verpflichtung zur Bereitstellung Personenbezogener Daten an einen Dritten wird Articulate, soweit gesetzlich zulässig: (i) dem Kunden unverzüglich angemessene Gelegenheit geben, die rechtliche Verpflichtung zu bestreiten oder Schutz für die Offenlegung zu suchen, und (ii) nach Rücksprache mit dem Kunden nur die Mindestmenge an Personenbezogenen Daten offenlegen, die zur Erfüllung der rechtlichen Verpflichtung erforderlich ist.

4.3 Articulate hält sich an alle geltenden Einschränkungen im Rahmen des CPRA für die Kombination personenbezogener Daten in Kundeninhalten mit Personenbezogenen Daten, die Articulate von oder im Namen einer oder mehrerer anderer Personen erhält oder die Articulate aus einer Interaktion zwischen Articulate und einer Betroffenen Person erhebt.

5. Unterverarbeiter

5.1 Im Zusammenhang mit der Bereitstellung der Dienste kann Articulate Unterverarbeiter mit der Verarbeitung Personenbezogener Daten gemäß Geltendem Recht beauftragen. Vor der Verarbeitung Personenbezogener Daten durch einen Unterverarbeiter wird Articulate dem Unterverarbeiter vertragliche Verpflichtungen auferlegen, die im Wesentlichen mit denen übereinstimmen, die Articulate im Rahmen dieser DVV auferlegt werden. Articulate haftet für die Leistung seiner Unterverarbeiter im gleichen Umfang, in dem Articulate für seine eigene Leistung im Rahmen der Vereinbarung haftet.

5.2 A current list of Subprocessors is available at https://cms.articulate.zone/trust/gdpr/subprocessors for Articulate 360 services and https://rise.com/gdpr/subprocessors for Rise services. Articulate will promptly (and in any event, thirty (30) days before a new Subprocessor is scheduled to begin Processing Personal Data) provide notice to Customers by updating the aforementioned subprocessor list(s) regarding any such new Subprocessor prior to its Processing of Personal Data, unless exigent circumstances (such as the failure of an existing Subprocessor) require their earlier Processing of Personal Data.

5.3 Sie können der Verwendung eines neuen Unterverarbeiters durch Articulate widersprechen, indem Sie dies Articulate innerhalb von zehn (10) Werktagen, nachdem Articulate Sie gemäß Abschnitt 5.2 über den neuen Unterverarbeiter informiert hat, mitteilen. Wenn Sie berechtigte Einwände gegen einen neuen Unterverarbeiter erheben, wird Articulate angemessene Anstrengungen unternehmen, um Ihnen eine Änderung der Dienste zur Verfügung zu stellen oder eine wirtschaftlich angemessene Änderung Ihrer Konfiguration oder Nutzung der Dienste zu empfehlen, um die Verarbeitung Personenbezogener Daten durch den beanstandeten neuen Unterverarbeiter zu vermeiden, ohne Sie unangemessen zu belasten. Wenn Articulate nicht in der Lage ist, eine solche Änderung innerhalb eines angemessenen Zeitraums zur Verfügung zu stellen, der in keinem Fall dreißig (30) Tage überschreiten darf, können Sie die Vereinbarung und/oder die betreffende(n) Bestellung(en) kündigen, indem Sie dies Articulate schriftlich mitteilen und die Nutzung der Dienste am Datum des Wirksamwerdens der Kündigung einstellen. Articulate erstattet Ihnen einen anteiligen Betrag, der den Rest der Laufzeit eines solchen Abonnements oder einer oder mehrerer solcher Bestellungen nach dem Datum des Wirksamwerdens der Kündigung in Bezug auf solche gekündigten Dienste abdeckt. Wenn Sie der Nutzung des neuen Unterverarbeiters nicht widersprechen und nicht wie oben beschrieben kündigen, gilt der Unterverarbeiter als von Ihnen akzeptiert.

5.4 Ihr Einverständnis mit diesem Abschnitt 5 stellt Ihre Zustimmung gemäß den Standardvertragsklauseln, sofern diese anwendbar sind, und zur Verarbeitung Personenbezogener Daten durch die Unterverarbeiter dar, die zum Zeitpunkt des Inkrafttretens der Vereinbarung in der geltenden Trust & Compliance-Dokumentation aufgeführt sind.

5.5 Auf schriftliche Anfrage stellt Articulate dem Kunden Kopien der Vereinbarungen mit Unterverarbeitern zur Verfügung, jedoch mit der Maßgabe, dass, soweit diese Vereinbarungen mit Unterverarbeitern kommerzielle Informationen oder Bestimmungen enthalten, die nicht mit Informationen in Beziehung stehen, die nach geltendem Datenschutzrecht erforderlich sind, diese nicht in Beziehung stehenden Informationen von Articulate nach eigenem Ermessen entfernt oder geschwärzt werden können.

6. Sicherheit

6.1 Articulate unterstützt Sie bei der Einhaltung der Sicherheitsverpflichtungen nach der DSGVO und sonstigem Geltenden Recht, soweit dies für die Rolle von Articulate bei der Verarbeitung der Personenbezogenen Daten relevant ist, unter Berücksichtigung der Art der Verarbeitung und der Articulate zur Verfügung stehenden Informationen, indem Articulate die in Anhang 2 zu dieser DVV beschriebenen technischen und organisatorischen Maßnahmen umsetzt, unbeschadet des Rechts von Articulate, diese Maßnahmen künftig zu ersetzen oder zu ändern, ohne dass das Sicherheitsniveau für die Personenbezogenen Daten dadurch wesentlich abgesenkt wird.

6.2 Sie sind allein dafür verantwortlich, alle verfügbaren Sicherheitsdokumentationen und -funktionen (falls verfügbar) zu überprüfen und für sich selbst zu bewerten, ob die Dienste und die damit verbundenen Sicherheitsmaßnahmen Ihren Anforderungen entsprechen, einschließlich Ihrer Sicherheitsverpflichtungen nach Geltendem Recht. Sie dürfen die Dienste nur nutzen, wenn die Sicherheitsverpflichtungen in dieser DVV ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf Personenbezogene Daten angemessen ist. Mit der Nutzung der Dienste erklärt sich der Kunde damit einverstanden und sichert zu, dass die Sicherheitsverpflichtungen in dieser DVV ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf Personenbezogenen Daten angemessen ist.

6.3 Articulate stellt sicher, dass die Personen, die Articulate zur Verarbeitung der Personenbezogenen Daten autorisiert, (i) einer schriftlichen Geheimhaltungsvereinbarung, die für diese Daten gilt, oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen und (ii) eine ihrer Rolle bei der Verarbeitung der Personenbezogenen Daten angemessene Schulung erhalten.

7. Benachrichtigung über Verletzungen des Schutzes Personenbezogener Daten

7.1 Articulate und der Kunde werden die Pflichten im Zusammenhang mit Verletzungen des Schutzes Personenbezogener Daten einhalten, die gemäß der DSGVO und sonstigem Geltenden Recht direkt für sie gelten, einschließlich aller Pflichten zur Benachrichtigung Betroffener Personen, Regierungsbehörden oder Dritter.

7.2 Unter Berücksichtigung der Art der Verarbeitung und der Articulate zur Verfügung stehenden Informationen wird Articulate Sie in angemessener Weise bei der Einhaltung der für Sie geltenden Verpflichtungen im Zusammenhang mit Verletzungen des Schutzes Personenbezogener Daten unterstützen, indem es Sie unverzüglich nach Kenntniserlangung von einer bestätigten Verletzung des Schutzes Personenbezogener Daten informiert. Eine solche Benachrichtigung stellt kein Eingeständnis eines Verschuldens oder einer Verantwortung dar. Soweit verfügbar, wird diese Benachrichtigung die zu diesem Zeitpunkt aktuelle Einschätzung folgender Punkte durch Articulate enthalten, welche auf unvollständigen Informationen beruhen kann:

7.3 Articulate unternimmt angemessene Anstrengungen, um die Ursache einer bestätigten Verletzung des Schutzes Personenbezogener Daten zu ermitteln und Abhilfemaßnahmen zu ergreifen, die Articulate für notwendig und angemessen hält.

7.4 Der Kunde hat jederzeit das Recht, angemessene und geeignete Schritte zu unternehmen, um die unbefugte Nutzung personenbezogener Informationen zu beenden und zu beheben.

8. Unterstützung bei Antworten an Betroffene Personen

8.1 Wenn Articulate einen Antrag einer Betroffenen Person oder eine Beschwerde erhält, der bzw. die an den Kunden oder ein Autorisiertes Verbundenes Unternehmen gerichtet ist, wird Articulate diesen Antrag bzw. diese Beschwerde unverzüglich an den Kunden weiterleiten.

8.2 Unter Berücksichtigung der Art der Verarbeitung wird Articulate Sie, soweit möglich, angemessen durch geeignete organisatorische und technische Maßnahmen bei der Erfüllung Ihrer Pflicht unterstützen, Anfragen natürlicher Personen zur Ausübung ihrer Rechte nach der DSGVO oder einem anderen Geltenden Recht nachzukommen (z. B. Rechte auf Auskunft über ihre Personenbezogenen Daten) ("Antrag einer Betroffenen Person"). In dem Maße, in dem Sie bei der Nutzung der Dienste nicht in der Lage sind, den Antrag einer Betroffenen Person zu bearbeiten, wird Articulate auf Ihr Verlangen wirtschaftlich angemessene Anstrengungen unternehmen, Sie bei der Beantwortung des Antrags einer Betroffenen Person zu unterstützen, soweit Articulate nach Geltendem Recht dazu verpflichtet und gesetzlich dazu autorisiert ist.

9. Unterstützung bei Datenschutz-Folgenabschätzungen und der Konsultation mit Aufsichtsbehörden

9.1 Unter Berücksichtigung der Art der Verarbeitung und der Articulate zur Verfügung stehenden Informationen wird Articulate Ihnen auf Ihr schriftliches Verlangen angemessene Unterstützung und Zusammenarbeit bei der Durchführung einer gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzung der Verarbeitung oder vorgeschlagenen Verarbeitung der Personenbezogenen Daten im Zusammenhang mit den Diensten und der damit verbundenen Konsultation der Aufsichtsbehörden bieten. Zusätzliche Unterstützung für Datenschutz-Folgenabschätzungen oder Beziehungen zu Regulierungsbehörden erfordert eine gegenseitige Vereinbarung über die Gebühren, den Umfang der Beteiligung von Articulate und etwaige anderen Bedingungen, die die Parteien für angebracht halten.

10. Datenübermittlungen

10.1 Sie ermächtigen Articulate und seine Unterverarbeiter, internationale Übermittlungen der Personenbezogenen Daten gemäß dieser DVV und Geltendem Recht vorzunehmen.

10.2 Soweit rechtlich nicht anders vorgeschrieben, sind die Standardvertragsklauseln 2021 Teil dieser DVV und haben im Falle eines Konflikts Vorrang vor dem Rest dieser DVV und gelten (außer wie in Abschnitt 10.4 beschrieben) wie folgt als abgeschlossen:

10.3 Soweit nach dem Datenschutzrecht des Vereinigten Königreichs erforderlich, ist der UK-Nachtrag zu den Standardvertragsklauseln Teil dieser DVV und hat Vorrang vor dem Rest dieser DVV, wie im UK-Nachtrag zu den Standardvertragsklauseln bestimmt. Für nicht definierte großgeschriebene Begriffe, die in diesem Abschnitt 10.3 verwendet werden, gelten die Definitionen, die im UK-Nachtrag zu den Standardvertragsklauseln festgelegt sind. Für Zwecke des UK-Nachtrags zu den Standardvertragsklauseln:

10.4 Für die Übermittlung von Personenbezogenen Daten, die dem schweizerischen Datenschutzgesetz ("DSG") unterliegen, sind die Standardvertragsklauseln 2021 Teil dieser DVV, wie in Abschnitt 10.2 dieser DVV dargelegt, jedoch mit folgenden Unterschieden, soweit nach dem DSG erforderlich:

11. Prüfungen

11.1 Auf Ihr schriftliches Verlangen wird Articulate Ihnen alle Informationen zur Verfügung stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DVV nachzuweisen und Prüfungen einschließlich Inspektionen zu ermöglichen und zu ihnen beizutragen, die von Ihnen oder einem anderen von Ihnen beauftragten Prüfer durchgeführt werden, und zwar wie folgt:

12. Rückgabe oder Vernichtung

12.1 Articulate wird Ihnen auf Ihr Verlangen oder sechs Monate nach Beendigung oder Ablauf Ihrer Nutzung des betreffenden Dienstes alle Personenbezogenen Daten nach Ihrer Wahl an Sie zurückgeben und/oder vernichten, soweit Geltendes Recht nicht die Speicherung der Personenbezogenen Daten verlangt. Die nach den Standardvertragsklauseln (wenn anwendbar) erforderliche Löschungsbescheinigung wird nur auf schriftliches Verlangen zur Verfügung gestellt.

12.2 Nichts verpflichtet Articulate, Personenbezogene Daten aus Dateien, die zu Sicherheits-, Sicherungs- und Geschäftskontinuitätszwecken erstellt wurden, früher zu löschen, als es nach den angemessenen Datenaufbewahrungsprozessen von Articulate erforderlich ist.

13. Allgemeines

13.1 Übertragung. Diese DVV gilt zugunsten jedes Rechtsnachfolgers des gesamten oder im Wesentlichen gesamten Geschäfts und Vermögens einer der Parteien, sei es durch Fusion, Verkauf von Vermögenswerten oder andere Vereinbarungen oder kraft Gesetzes, und bindet diesen Rechtsnachfolger.

13.2 Rangfolge. In Bezug auf die gegenseitigen Rechte und Pflichten der Parteien haben im Falle eines Konflikts zwischen den Bedingungen der Vereinbarung und dieser DVV die Bedingungen dieser DVV Vorrang. Im Falle eines Konflikts zwischen den Bestimmungen dieser DVV und den Standardvertragsklauseln haben die Bedingungen der Standardvertragsklauseln Vorrang.

13.3 Haftung. Soweit gesetzlich zulässig, unterliegt diese DVV der Haftungsbeschränkungsklausel in der Vereinbarung.

13.4 Verschiedenes. Diese DVV stellt die gesamte Übereinkunft der Parteien in Bezug auf den Gegenstand dieser DVV dar und fasst alle vorherigen Mitteilungen, Absprachen und Vereinbarungen zusammen. Diese DVV kann nur durch eine von den Parteien unterzeichnete schriftliche Vereinbarung geändert werden. Das Versäumnis einer der Parteien, eine der Bestimmungen dieser Vereinbarung zu irgendeinem Zeitpunkt durchzusetzen, stellt keinen Verzicht auf diese Bestimmung oder eine andere Bestimmung oder auf das Recht dieser Partei dar, später eine Bestimmung dieser Vereinbarung durchzusetzen. Wenn eine Bestimmung dieser DVV für unwirksam oder nicht durchsetzbar erklärt wird, gilt diese Bestimmung als in dem Maße geändert, das notwendig und möglich ist, um sie wirksam und durchsetzbar zu machen. In jedem Fall berührt die Nichtdurchsetzbarkeit oder Unwirksamkeit einer Bestimmung keine anderen Bestimmungen dieser DVV, und diese DVV bleibt in vollem Umfang in Kraft und wirksam und wird so ausgelegt und durchgesetzt, als sei diese Bestimmung nicht enthalten oder als sei sie wie oben vorgesehen geändert.

Gegenstand, Art und Zweck der Verarbeitung sowie Einzelheiten der Verarbeitungsvorgänge: Erbringung der Dienste gemäß der Vereinbarung.

Laufzeit/Dauer der Verarbeitung: Wie in der Vereinbarung und/oder einem anwendbaren Preisangebot, einer anwendbaren Bestellung des Kunden oder einer anwendbaren Leistungsbeschreibung niedergelegt.

Kategorien Betroffener Personen: Die übermittelten Personenbezogenen Daten können aktuelle und künftige Mitarbeiter des Exporteurs und seiner Auftragnehmer sowie andere Dritte betreffen, wie vom Exporteur festgelegt.

Kategorien von Daten

Für Articulate 360 und Rise:

• Vor- und Nachname
• Arbeitgeber
• Geschäftliche Kontaktinformationen (z. B. E-Mail-Adresse, Telefonnummer)
• Profilbild
• Titel
• Ungefährer Standort
• Bevorzugte Sprache
• Berufliche Biografie

Besondere Datenkategorien (falls vorhanden): Nicht anwendbar.

Angewandte Schutzmaßnahmen und Einschränkungen für besondere Datenkategorien: Nicht anwendbar. In jedem Fall gilt für diese und andere Kategorien personenbezogener Daten derselbe hohe Schutzstandard, der in Anhang 2 der DVV beschrieben ist.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden): Kontinuierlich so lange, wie es für die Erbringung der Dienste gemäß der Vereinbarung erforderlich ist.

Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer: Der kürzeste folgender Zeiträume: Sechs (6) Monate oder solange wie für die Erbringung der Dienste gemäß der Vereinbarung erforderlich oder so lange wie nach geltendem Recht erforderlich.

Articulate (der Datenimporteur) setzt die folgenden technischen und organisatorischen Sicherheitsmaßnahmen um.

1. Pseudonymisierung und Verschlüsselung: Personenbezogene Daten werden im Ruhezustand auf unseren Servern nach Industriestandards (z. B. AES 256-Bit) verschlüsselt, und die Schlüsselverwaltung erfolgt durch den Hosting-Anbieter von Articulate, Amazon Web Services (AWS).
2. Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und -diensten: Articulate verwendet ein Angriffserkennungssystem, um Netzwerkereignisse und andere Alarmsituationen zu analysieren, zu erkennen und zu melden, und beauftragt einen oder mehrere externe Partner mit der Durchführung von Sicherheits- und Anwendungsbewertungen. Articulate verwendet auch Amazon Web Services (AWS) als Hosting-Anbieter, der Redundanzen bietet (z. B. über drei (3) oder mehr physisch isolierte und ressourcenunabhängige Verfügbarkeitszonen).
3. Disaster Recovery- und Business Continuity-Maßnahmen (Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls): Articulate verfügt über eine Disaster-Recovery-Richtlinie und zugehörige Verfahren, die vorsehen, dass Articulate im Falle einer Katastrophe seine Infrastruktur wiederherstellt, um mit einem RTO von 72 Stunden und einem RPO von 24 Stunden Dienste so schnell wie möglich wiederherzustellen.
4. Testen, Bewerten und Evaluierung von Sicherheitsmaßnahmen: Articulate verfügt über eine Incident-Response-Richtlinie, die mindestens einmal jährlich oder bei jeder wesentlichen Änderung unserer Sicherheit getestet wird.
5. Benutzeridentifikation und -autorisierung: Articulate 360-Dienste speichern keine Benutzeranmeldeinformationen. Stattdessen verlassen sie sich auf einen Single-Sign-On-Dienst eines Drittanbieters, der getestete und branchenweit akzeptierte Identitätsprotokolle zur Authentifizierung von Nutzern umsetzt, einschließlich Verschlüsselung ruhender Daten mit einer kryptografischen Stärke von mindestens AES-256.
6. Schutz der Daten während der Übertragung: Vertrauliche Daten werden während der Übertragung mindestens mit dem Transport Layer Security-Protokoll von TLS 1.2 verschlüsselt.
7. Schutz der Daten während der Speicherung: Vertrauliche Daten werden im Ruhezustand auf unseren Servern nach dem Advanced Encryption Standard, dem 256-Bit-Industriestandard, verschlüsselt. Die Schlüsselverwaltung erfolgt durch den Hosting-Anbieter von Articulate, AWS.
8. Physische Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werden: Articulate ist ein voll dezentralisiertes Unternehmen, d. h. wir haben keine physischen Büros. Wir hosten Articulate-Dienste auf AWS-Servern. AWS-Rechenzentren sind auf dem neuesten Stand der Technik, verwenden innovative architektonische und technische Ansätze, sind in unscheinbaren Einrichtungen untergebracht, und der physische Zugang wird sowohl an der Grundstücksgrenze als auch an den Eingängen zum Gebäude streng kontrolliert (z. B. durch professionelles Sicherheitspersonal, Videoüberwachung).
9. Ereignisprotokollierung: Articulate verwendet SIEM-Lösungen gemäß definierten Standards für Protokollzentralisierungs- und Warnfunktionen sowie AWS CloudWatch und AWS CloudTrail, um alle Änderungen in der Infrastruktur zu verfolgen.
10. Systemkonfiguration, einschließlich Standardkonfiguration: Articulate kodifiziert alle Infrastrukturänderungen in der Versionskontrolle und verwendet bewährte Verfahren der Branche, um diese Änderungen sicher und zuverlässig auf Articulate-Dienste anzuwenden.
11. Interne Governance und Verwaltung der IT und der IT-Sicherheit: Articulate-Mitarbeiter unterzeichnen Geheimhaltungsvereinbarungen und absolvieren bei der Einstellung ein Sicherheitstraining, und weitere Sicherheitstrainings erfolgen jährlich. Articulate verfügt über Richtlinien und Verfahren für den ordnungsgemäßen Schutz und die ordnungsgemäße Verwaltung, Aufbewahrung und Löschung von Daten. Articulate verwendet zudem modernste Antiviren- und Mobile-Device-Management-Software auf allen Articulate-Workstations, überwacht Anbieter- und Drittanbieterquellen auf aktualisierte Schwachstelleninformationen, verteilt umgehend relevante Patch-Informationen und verlangt, dass die Workstations für alle Mitglieder des Engineering-Teams und andere, die Zugriff auf Server von AWS (unser Hosting-Anbieter) haben, im Ruhezustand verschlüsselt werden.
12. Zertifizierung/Sicherung von Prozessen und Produkten: Articulate unterzieht sich einer jährlichen SOC2-Typ-2-Prüfung, die von einem Dritten durchgeführt wird und nach ISO 27001 und ISO 27701 zertifiziert ist. Die Mitarbeiter müssen bei der Einstellung und danach jährlich eine Schulung zum Sicherheitsbewusstsein absolvieren, um ihre Pflichten und Verantwortlichkeiten bei der Einhaltung von Unternehmensrichtlinien zum Schutz von Kundendaten zu verstehen.
13. Datenminimierung: Articulate erhebt personenbezogene Daten, die für die Erbringung von Diensten für Kunden erforderlich sind, und gewährt nur dann Zugriff auf personenbezogene Daten, wenn dies erforderlich ist, damit die Personalabteilung ihre Arbeit erledigen kann. Articulate überprüft zudem regelmäßig die Zugriffsrechte und entfernt die Berechtigungen innerhalb von 24 Stunden, nachdem eine Person von Articulate gekündigt wurde. Darüber hinaus werden personenbezogene Daten gemäß den Datenaufbewahrungsrichtlinien von Articulate (auf Verlangen des Kunden auch früher) aufbewahrt und sicher vernichtet, solange keine rechtliche Verpflichtung zur Aufbewahrung dieser Daten besteht.
14. Datenqualität: Articulate-Dienste validieren Benutzereingaben und HTTP-Parameter.
15. Eingeschränkte Datenspeicherung: Articulate verfügt über Aufbewahrungsrichtlinien, die das regelmäßige Löschen personenbezogener Daten erfordern. Articulate führt als Teil unseres Disaster-Recovery-Prozesses tägliche Backups durch, wobei diese Daten etwa 60 Tage lang archiviert und dann automatisch überschrieben werden.
16. Verantwortlichkeit: Articulate hat ein Datenschutzprogramm eingeführt, einen Datenschutzbeauftragten ernannt, Datenschutzrichtlinien und -praktiken (einschließlich Reaktion auf Vorfälle) umgesetzt und führt mindestens jährlich Mitarbeiterschulungen durch.
17. Datenübertragbarkeit und -löschung: Articulate hält sich an die in seiner Datenverarbeitungsvereinbarung festgelegten Verfahren für die Beantwortung von Kundenanforderungen bezüglich einer Kopie, Korrektur oder Löschung der personenbezogenen Daten ihrer Endnutzer.
18. Für Übermittlungen an (Unter-)Auftragsverarbeiter: spezifische technische und organisatorische Maßnahmen, die vom (Unter-)Auftragsverarbeiter zu ergreifen sind, um den Verantwortlichen bzw. bei Übertragungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter den Datenexporteur unterstützen zu können: Die Administratoren und/oder Nutzer des Exporteurs können Self-Service-Funktionen in den Diensten nutzen, um auf Daten über Endnutzer zuzugreifen, sie zu löschen oder zu korrigieren. Alle sonstige relevante Unterstützung wird über das Kundensupport-Team bereitgestellt.