Diese Datenverarbeitungsvereinbarung (nachfolgend die „DPA“) wird zwischen MyScript SAS, eine nach französischem Recht gegründete Gesellschaft mit Sitz in 3 rue de la Rainière, 44339, Nantes, Frankreich (nachfolgend „MyScript“ oder die „Auftragsverarbeiterin“) und Ihnen (nachfolgend „Sie“, „Ihr/e“ oder der „Verantwortliche“), auf die gemeinsam als die „Parteien“ verwiesen wird, abgeschlossen.
Diese DPA ist integraler Bestandteil der rechtlichen Hinweise und Nutzungsbedingungen von MyScript und für jede Person, die ein MyScript-Konto einrichtet, verbindlich. Wenn Sie kein MyScript-Konto einrichten, kommt die DPA nicht zur Anwendung.
Die DPA erfüllt die Anforderungen der geltenden rechtlichen Bestimmungen zur Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
1.1 Sofern nicht anders in dieser Vereinbarung festgelegt, haben die in dieser DPA verwendeten großgeschriebenen Begriffe und Ausdrücke folgende Bedeutung:
„Datenschutzgesetze“ bezeichnet Gesetze und Verordnungen der Europäischen Union, des EWR und ihrer Mitgliedstaaten, der Schweiz sowie Großbritanniens und Nordirlands, die für die Verarbeitung von personenbezogenen Daten gelten, einschließlich der DSGVO;
„Datenübermittlung“ bezeichnet:
- eine Übermittlung personenbezogener Benutzerdaten durch Sie an die Auftragsverarbeiterin; oder
- eine Weiterübermittlung von personenbezogenen Benutzerdaten durch die Auftragsverarbeiterin an einen Unterauftragsverarbeiter oder zwischen zwei Unternehmen der Auftragsverarbeiterin, wobei eine solche Übermittlung gemäß den Datenschutzgesetzen (oder den Bedingungen von Datenübertragungsvereinbarungen, die in Bezug auf die Datenübertragungsbeschränkungen in Datenschutzgesetzen eingegangen werden) jeweils untersagt wäre;
„DPA“ bezeichnet die vorliegende Datenverarbeitungsvereinbarung, einschließlich aller Anhänge;
„EWR“ bezeichnet den Europäischen Wirtschaftsraum;
„DSGVO“ bezeichnet die EU-Datenschutz-Grundverordnung 2016/679;
„Endbenutzer“ bezeichnet die physische(n) Person(en), der/denen Sie Zugang zur Nutzung der MyScript Cloud-Erkennung über die Website für Entwickler gewähren;
„Dienste“ bezeichnet die Dienste, die MyScript entweder (i) über die Nebo Cloud-Speicher- und -Sharing-Plattform oder (ii) im Rahmen der Verwaltung und Beantwortung von Nebo Support-Anfragen oder (iii) über die MyScript-Website für Entwickler für Texterkennung bereitstellt. Diese Dienste sind nur zugänglich, wenn Sie über ein MyScript-Konto verfügen;
„Unterauftragsverarbeiter“ bezeichnet jede natürliche oder juristische Person, die von oder im Namen der Auftragsverarbeiterin beauftragt wird, personenbezogene Benutzerdaten bei der Bereitstellung der Dienste oder im Rahmen dieser DPA in Ihrem Namen zu verarbeiten;
„Personenbezogene Benutzerdaten“ bezeichnet personenbezogene Daten, die in Dateien, Notizen oder Dokumenten enthalten sind und durch die Dienste an die Auftragsverarbeiterin hochgeladen/gesendet werden, wie z. B. alle Ihre Notizblöcke, die Sie in die Nebo Cloud hochladen. (Es kann sich dabei um Ihre eigenen, aber auch um die personenbezogenen Daten jeder anderen natürlichen Person handeln, die Sie mit der Auftragsverarbeiterin durch den Dienst geteilt haben.)
1.2 Die Begriffe „Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten”, „Verarbeitung“ und „Auftragsverarbeiterin“ haben in dieser Vereinbarung dieselbe Bedeutung wie in der DSGVO. Verbundene Begriffe sind entsprechend auszulegen.
2.1 Für die Zwecke dieser DPA und gemäß den Definitionen der DSGVO handelt MyScript als die Auftragsverarbeiterin und Sie als der Verantwortliche.
2.2 Die Auftragsverarbeiterin:
- hält bei der Verarbeitung von personenbezogenen Benutzerdaten alle geltenden Datenschutzgesetze ein; und
- verarbeitet personenbezogene Benutzerdaten nur auf Ihre dokumentierte Weisung.
2.3 Sie weisen die Auftragsverarbeiterin hiermit an, zur Erbringung der Dienste personenbezogene Benutzerdaten zu verarbeiten.
Die Auftragsverarbeiterin trifft angemessene Maßnahmen, um die Zuverlässigkeit ihrer Mitarbeiter, Vertreter und Dienstleister sicherzustellen, die Zugriff auf personenbezogene Benutzerdaten haben können, und in jedem Fall zu gewährleisten, dass der Zugriff streng auf die Personen beschränkt ist, die zur Erbringung der Dienste oder zur Ausübung ihrer Funktionen in der Organisation der Auftragsverarbeiterin auf relevante personenbezogene Benutzerdaten zugreifen müssen, und um den geltenden Gesetze in Bezug auf die Pflichten dieser Personen gegenüber der Auftragsverarbeiterin zu entsprechen. Dabei muss sichergestellt sein, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Geheimhaltungspflichten unterliegen.
4.1 Sicherheitsaufgaben der Auftragsverarbeiterin
4.1.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft die Auftragsverarbeiterin in Bezug auf die personenbezogenen Benutzerdaten geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich, soweit angemessen, die in Artikel 32 Absatz 1 DSGVO genannten Maßnahmen.
4.1.2 Bei der Bewertung des angemessenen Schutzniveaus berücksichtigt die Auftragsverarbeiterin insbesondere die mit der Verarbeitung verbundenen Risiken, insbesondere im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten.
4.1.3 Die Sicherheitsmaßnahmen der Auftragsverarbeiterin werden ausführlich in Anhang 2 dieser DPA erläutert.
4.2 Ihre Sicherheitsaufgaben
4.2.1. Unbeschadet der Pflichten der Auftragsverarbeiterin in Abschnitt 4.1 (Sicherheitsmaßnahmen) und Abschnitt 7 (Verletzung des Schutzes personenbezogener Daten) erklären Sie sich mit Folgendem einverstanden:
4.2.1.1 Sie tragen die alleinige Verantwortung für Ihre Nutzung des Dienstes und müssen (i) sicherstellen, dass Sie alle erforderlichen Einwilligungen von allen natürlichen Personen eingeholt haben, deren personenbezogene Daten im Rahmen des Dienstes verarbeitet werden, und (ii) alle Ihre Anmeldedaten und Passwörter sicher aufbewahren und regelmäßig ändern.
4.2.1.2. Die Auftragsverarbeiterin ist nicht zum Schutz der personenbezogenen Benutzerdaten verpflichtet, die Sie außerhalb der Systeme der Auftragsverarbeiterin (oder der Unterauftragsverarbeiter) zu speichern oder zu übermitteln beabsichtigen.
4.2.2. Sie tragen die alleinige Verantwortung für die Überprüfung der Sicherheitsmaßnahmen und müssen selbst beurteilen, ob der Dienst, die Sicherheitsmaßnahmen, die zusätzlichen Sicherheitsinformationen und die Pflichten der Auftragsverarbeiterin gemäß diesem Abschnitt 4 (Datensicherheit) für Ihre Anforderungen ausreichend sind, auch im Hinblick auf Sicherheitsverpflichtungen im Rahmen der in Ihrem Land geltenden Datenschutzgesetze.
5.1 Die Auftragsverarbeiterin übermittelt keine personenbezogenen Benutzerdaten an Dritte und beauftragt keinen Unterauftragsverarbeiter (und legt einem solchen keine personenbezogenen Benutzerdaten offen), sofern dies nicht von Ihnen verlangt oder genehmigt wurde.
5.2 Sie ermächtigen hiermit die in Anhang 1 dieser DPA genannten Unterauftragsverarbeiter, die für die Erbringung der Dienste erforderlichen personenbezogenen Benutzerdaten zu sammeln und zu verarbeiten. Die Auftragsverarbeiterin setzt Sie vor der Verarbeitung personenbezogener Benutzerdaten durch einen neuen Unterauftragsverarbeiter über jede Änderung von Anhang 1 in Kenntnis. Sie können daraufhin die Nutzung der Dienste einstellen.
5.3 Die Auftragsverarbeiterin haftet für die Handlungen und Unterlassungen ihrer Unterauftragsverarbeiter in demselben Umfang, in dem sie haften würde, wenn sie die Dienste jedes Unterauftragsverarbeiters direkt gemäß den Bestimmungen dieser DPA und den rechtlichen Hinweisen und Nutzungsbedingungen ausführen würde.
6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt die Auftragsverarbeiterin Sie, soweit möglich, bei der Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Erfüllung Ihrer Verpflichtungen, wie sie von der Auftragsverarbeiterin vernünftigerweise verstanden werden, um Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen nachzukommen. Diese Rechte umfassen insbesondere das Auskunftsrecht, das Berichtigungsrecht, das Recht auf die Einschränkung der Verarbeitung, das Recht auf Löschung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht gegen die Verarbeitung oder das Recht darauf, nicht einer automatisierten Entscheidungsfindung im Einzelfall unterworfen zu werden (im Folgenden die „Anfrage einer betroffenen Person“).
6.2 Die Auftragsverarbeiterin:
- setzt Sie umgehend in Kenntnis, wenn sie eine Anfrage einer betroffenen Personen zu personenbezogenen Benutzerdaten gemäß den Datenschutzgesetzen erhält; und
- stellt sicher, dass sie auf diese Anfrage nicht reagiert, es sei denn, dies geschieht auf Ihre dokumentierte Weisung hin oder ist nach geltenden Gesetzen, denen die Auftragsverarbeiterin unterliegt, erforderlich; in diesem Fall muss die Auftragsverarbeiterin Sie, soweit nach geltenden Gesetzen zulässig, über dieses rechtliche Erfordernis informieren, bevor sie der Anfrage nachkommt.
6.3 Unter Berücksichtigung der Art der Verarbeitung unterstützt die Auftragsverarbeiterin Sie, soweit möglich, durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung Ihrer Verpflichtung, einer Anfrage einer betroffenen Person gemäß den europäischen Datenschutzgesetzen nachzukommen. Soweit Sie bei der Nutzung des Dienstes einer Anfrage einer betroffenen Person nicht nachkommen können, wird Sie die Auftragsverarbeiterin auf Ihre schriftliche Anfrage und im Rahmen einer angemessenen Zusammenarbeit bei der Beantwortung der Anfrage der betroffenen Person unterstützen, sofern die Auftragsverarbeiterin gesetzlich dazu befugt ist und der Anfrage der betroffenen Person gemäß den europäischen Datenschutzgesetzen nachzukommen ist. Sie tragen im gesetzlich zulässigen Umfang sämtliche Kosten, die bei der Bereitstellung der Unterstützung durch die Auftragsverarbeiterin entstehen.
7.1 Sobald der Auftragsverarbeiterin eine Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Benutzerdaten bekannt wird, setzte sie Sie und die Aufsichtsbehörde unverzüglich in Kenntnis und stellt Ihnen ausreichend Informationen bereit, damit Sie Ihren Pflichten zur Meldung der Verletzung des Schutzes personenbezogener Daten oder zur diesbezüglichen Mitteilung an die betroffenen Personen gemäß den Datenschutzgesetzen nachkommen können.
7.2 Die Auftragsverarbeiterin trifft gemeinsam mit Ihnen und auf Ihre Weisung hin angemessene wirtschaftliche Maßnahmen, um Sie bei der Analyse, der Schadensbegrenzung und den Abhilfemaßnahmen in Bezug auf eine solche Verletzung des Schutzes personenbezogener Daten zu unterstützen.
7.3 Sie werden über Verletzungen des Schutzes personenbezogener Daten durch direkte Kommunikation in Kenntnis gesetzt. Sie tragen die alleinige Verantwortung dafür, dass die an die Auftragsverarbeiterin übermittelten Kontaktdaten, einschließlich E-Mail-Adresse für Benachrichtigungen, aktuell und zutreffend sind.
7.4 Die Auftragsverarbeiterin wertet den Inhalt von personenbezogenen Benutzerdaten nicht aus, um Informationen zu ermitteln, für die spezifische rechtliche Anforderungen gelten. Sie tragen die alleinige Verantwortung dafür, dass die für die Meldung von Vorfällen geltenden Gesetze eingehalten werden und dass Dritte stets entsprechend den geltenden Pflichten über eine Verletzung des Schutzes personenbezogener Daten in Kenntnis gesetzt werden.
7.5 Die Inkenntnissetzung über eine Verletzung des Schutzes personenbezogener Daten durch die Auftragsverarbeiterin oder ihre diesbezügliche Reaktion gemäß Abschnitt 7.1 (Verletzung des Schutzes personenbezogener Daten) ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung der Auftragsverarbeiterin in Bezug auf die Verletzung des Schutzes personenbezogener Daten auszulegen.
Die Auftragsverarbeiterin unterstützt Sie in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit den Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die Sie nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich halten, und zwar jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Benutzerdaten durch die Auftragsverarbeiterin und unter Berücksichtigung der Art der Verarbeitung und der Informationen, die der Auftragsverarbeiterin vorliegen.
9.1 Die Auftragsverarbeiterin löscht auf Ihre ausdrückliche Anfrage oder nach eigenständiger Löschung Ihres Kontos die personenbezogenen Benutzerdaten, die von der Auftragsverarbeiterin verarbeitet wurden oder werden. Die Löschung ist endgültig und die Auftragsverarbeiterin speichert keine Kopien solcher personenbezogener Benutzerdaten.
9.2 Nach Beendigung der Dienste muss die Auftragsverarbeiterin unverzüglich, in jedem Fall aber innerhalb von zwölf (12) Monaten nach dem Datum der Beendigung der Dienste, in deren Rahmen personenbezogene Benutzerdaten verarbeitet werden, sämtliche Kopien (soweit vorhanden) der personenbezogenen Benutzerdaten, die der Auftragsverarbeiterin (oder einem Unterauftragsverarbeiter) bei der Erbringung der Dienste übermittelt wurden, löschen und deren Löschung sicherstellen.
10.1 Die Auftragsverarbeiterin führt regelmäßig Überprüfungen durch und stellt sicher, dass alle Unterauftragsverarbeiter solche Überprüfungen ebenfalls durchführen, um die Einhaltung dieser DPA und ihrer Verpflichtungen gemäß den geltenden Datenschutzgesetzen sicherzustellen.
10.2 Vorbehaltlich dieses Abschnitts 10 stellt die Auftragsverarbeiterin Ihnen auf Anfrage und vorbehaltlich einer ausreichenden Vertraulichkeitsvereinbarung alle erforderlichen Informationen zur Verfügung, um die Einhaltung dieser DPA bei der Verarbeitung der personenbezogenen Benutzerdaten durch die Auftragsverarbeiterin und/oder Unterauftragsverarbeiter zu belegen.
10.3 Sie können die Durchführung einer Überprüfung, einschließlich einer Nachprüfung, verlangen. Sie haben das Recht, in Ihrem eigenen Namen und, sofern Sie als Auftragsverarbeiter tätig sind, im Namen Ihrer diesbezüglich Verantwortlichen, gemäß den geltenden Datenschutzgesetzen eine Überprüfung zu verlangen oder in Auftrag zu geben, indem Sie die Auftragsverarbeiterin anweisen, die in Abschnitt 10.1 beschriebene Überprüfung durchzuführen.
10.4 Wenn Sie diese Weisung bezüglich der Überprüfung ändern möchten, können Sie eine Änderung dieser Weisung verlangen, indem Sie der Auftragsverarbeiterin eine schriftliche Mitteilung an legal@myscript.com senden. Falls die Auftragsverarbeiterin Ihren Anfragen und/oder Weisungen bezüglich Überprüfungen, einschließlich Nachprüfungen, nicht nachkommt, können Sie die Dienste unverzüglich einstellen.
11.1 Die Auftragsverarbeiterin darf ohne Ihre vorherige schriftliche Einwilligung keine personenbezogenen Benutzerdaten in Länder außerhalb der EU und/oder des EWR übermitteln oder deren Übermittlung genehmigen. Wenn personenbezogene Daten, die im Rahmen dieser DPA verarbeitet werden, von einem Land des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt werden, stellen die Parteien sicher, dass die personenbezogenen Benutzerdaten angemessen geschützt werden. Um dies zu erreichen, nutzen die Parteien, sofern nicht anders vereinbart, die von der EU genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten.
11.2 Eine Liste der Unterauftragsverarbeiter, die personenbezogene Benutzerdaten erhalten, und ihrer jeweiligen Sitzländer ist in Anhang 1 zu dieser DPA enthalten. Für die Zwecke von Abschnitt 11.1 stimmen Sie der Übermittlung personenbezogener Benutzerdaten an die in Anlage 1 aufgeführten Unterauftragsverarbeiter zu.
12.1 Dauer. Diese DPA trifft nach Ihrer Annahme der rechtlichen Hinweise und Nutzungsbedingungen in Kraft und ist so lange gültig, wie die Auftragsverarbeiterin die Dienste für Sie erbringt.
12.2 Mitteilungen. Alle Mitteilungen und Benachrichtigungen müssen gemäß dieser DPA schriftlich erfolgen und per E-Mail an die Adresse gesendet werden, die zur Einrichtung eines MyScript-Kontos verwendet wird, wenn MyScript Sie kontaktiert, und müssen an legal@myscript.com geschickt werden, wenn Sie MyScript eine Mitteilung senden möchten.
12.3 Gesetz und Gerichtsbarkeit. Die DPA unterliegt französischem Recht. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben und die die Parteien nicht gütlich beilegen können, fallen in die ausschließliche Zuständigkeit der zuständigen französischen Gerichte oder Behörden.
12.4 Salvatorische Klausel. Sollte eine Bestimmung dieser DPA ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieser DPA gültig und in Kraft. Die unwirksame oder nicht durchsetzbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit und Durchsetzbarkeit sichergestellt ist und die Absichten der Parteien weitgehend erhalten bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder nicht durchsetzbare Teil niemals darin enthalten gewesen wäre.
12.5 Die zuständige Aufsichtsbehörde, an die Sie sich im Fall von Klagen, Beschwerden oder Anfragen wenden können, ist die Commission Nationale des Informations et des Libertés (CNIL), die Sie unter folgendem Link erreichen: https://www.cnil.fr/fr/plaintes/.
1.1 Nebo Cloud-Dienste
| Unterauftragsverarbeiter | Zweck | Standort des Datenzentrums |
|---|---|---|
| AWS | Cloud-Infrastrukturanbieter | EU |
| Freshworks | Entgegennahme und Bearbeitung von Supportanfragen, die auch die Übermittlung von Dateien (Notizblöcke) umfassen können | EU |
| Claranet | Infrastrukturbetreiber | EU |
1.2 Funktionen der generativen künstlichen Intelligenz von Nebo
| Unterauftragsverarbeiter | Zweck | Standort des Datenzentrums |
|---|---|---|
| OpenAI | Dienstanbieter | Weltweit (SCC) |
| AWS | API-Hosting | EU |
1.3 MyScript Cloud-Erkennung über die Website für Entwickler
| Unterauftragsverarbeiter | Zweck | Standort des Datenzentrums |
|---|---|---|
| AWS | Cloud-Infrastrukturanbieter | Oregon, USA (SCC) |
| Claranet | Infrastrukturbetreiber | EU |
Bei der Verarbeitung von personenbezogenen Benutzerdaten in Ihrem Auftrag wird die Auftragsverarbeiterin die folgenden technischen und organisatorischen Sicherheitsmaßnahmen umsetzen und aufrechterhalten:
Physische Zugriffskontrolle
Die Auftragsverarbeiterin trifft angemessene Maßnahmen zur Verhinderung eines physischen Zugriffs, wie z. B. Sicherung von Gebäuden und Serverräumen, um zu verhindern, dass unbefugte Personen auf personenbezogene Benutzerdaten zugreifen können, oder um sicherzustellen, dass Unterauftragsverarbeiter, die in ihrem Namen Datenzentren betreiben, solche Kontrollen durchführen.
Systemzugriffskontrolle
Die Auftragsverarbeiterin trifft angemessene Maßnahmen, um die unbefugte Verwendung von personenbezogenen Benutzerdaten zu verhindern. Die Kontrollen richten sich nach der Art der durchgeführten Verarbeitung und können unter anderem eine Authentifizierung über Passwörter, gegebenenfalls in Kombination mit einer Multi-Faktor-Authentifizierung, dokumentierten Genehmigungsverfahren, Firewalls, dokumentierten Change Management-Prozessen und/oder eine mehrstufige Protokollierung des Zugriffs sowie automatische Sicherheits-Updates umfassen.
Systemzugriffskontrolle
Die Auftragsverarbeiterin trifft angemessene Maßnahmen, um die unbefugte Verwendung von personenbezogenen Benutzerdaten zu verhindern. Die Kontrollen richten sich nach der Art der durchgeführten Verarbeitung und können unter anderem eine Authentifizierung über Passwörter, gegebenenfalls in Kombination mit einer Multi-Faktor-Authentifizierung, dokumentierten Genehmigungsverfahren, Firewalls, dokumentierten Change Management-Prozessen und/oder eine mehrstufige Protokollierung des Zugriffs sowie automatische Sicherheits-Updates umfassen.
Datenzugriffskontrolle
Die Auftragsverarbeiterin trifft angemessene Maßnahmen, um sicherzustellen, dass personenbezogene Benutzerdaten ausschließlich von ordnungsgemäß befugtem Personal eingesehen und verwalten werden, dass der direkte Zugriff auf Datenbankabfragen beschränkt ist und dass Zugriffsrechte für Anwendungen festgelegt und durchgesetzt werden. Auf diese Weise soll sichergestellt werden, dass zur Nutzung eines Datenverarbeitungssystems berechtigte Personen lediglich auf die personenbezogenen Benutzerdaten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass die personenbezogenen Benutzerdaten bei der Verarbeitung nicht von unbefugten Personen gelesen, kopiert, geändert oder gelöscht werden können.
Übertragungskontrollen
Die Auftragsverarbeiterin trifft angemessene Maßnahmen, um sicherzustellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Benutzerdaten mit Hilfe von Datenübertragungssystemen übermittelt werden sollen, damit die personenbezogenen Benutzerdaten während der elektronischen Übermittlung oder des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Diese Maßnahmen umfassen die Verwendung zertifizierter sicherer Serververbindungen und die Einschränkung der gemeinsamen Nutzung von Ressourcen auf allen APIs.
Eingabekontrollen
Die Auftragsverarbeiterin trifft angemessene Maßnahmen, um sicherzustellen, dass überprüft und festgestellt werden kann, ob Metadaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden. Die Auftragsverarbeiterin wendet hierzu bewährte Branchenpraktiken an, darunter kryptografische Protokolle für die Authentifizierung und die sichere Protokollierung der Überprüfungen.
Daten-Backup
Die mit dem Dienst verbundenen Datenbanken werden regelmäßig gesichert und während der Speicherung verschlüsselt, um sicherzustellen, dass personenbezogene Benutzerdaten vor unbeabsichtigter Vernichtung oder Verlust geschützt sind. Speicherauszug alle 12 Stunden (AWS). Das verschlüsselte Backup wird alle drei Tage auf unseren Servern durchgeführt.
Name: MyScript SAS
Adresse: 3 rue de la Rainière 44339, Nantes, France
Name, Titel und Kontaktdaten der Ansprechperson: Emilie Fowell, DPO, legal@myscript.com
Für die übermittelten Daten relevante Tätigkeiten: Durchführung der Dienste
Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiterin
3.1 Nebo Cloud Services
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
Sie können personenbezogene Benutzerdaten in dem allein von Ihnen festgelegten und kontrollierten Umfang an die Dienste übermitteln.
2. Kategorien übermittelter personenbezogener Daten:
- In Notizblöcken enthaltene unstrukturierte personenbezogene Benutzerdaten, die Sie über den Dienst an die Auftragsverarbeiterin zur gemeinsamen Nutzung mit MyScript oder zur Speicherung in der Nebo Cloud übermitteln.
3. Spezifische Datenkategorien:
MyScript sammelt keine spezifischen Kategorien von Daten (wie Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben). MyScript sind die Inhalte von unstrukturierten personenbezogenen Benutzerdaten, wie oben beschrieben, jedoch nicht bekannt.
4. Häufigkeit der Übermittlung
Unstrukturierte personenbezogene Benutzerdaten werden an unsere(n) in Anhang 1 genannte(n) Unterauftragsverarbeiter übermittelt, und zwar fortlaufend und entsprechend der Häufigkeit, mit der Sie den Dienst nutzen.
5. Art der Verarbeitung
Die Art der Verarbeitung dient der Durchführung der Dienste.
6. Zweck(e) der Datenübermittlung und weiteren Verarbeitung
MyScript verarbeitet personenbezogene Daten in dem Umfang, der für die Durchführung der von Ihnen angefragten Dienste erforderlich ist.
7. Der Zeitraum, über den die personenbezogenen Daten aufbewahrt werden, oder, falls dessen Bestimmung nicht möglich ist, die zur Bestimmung dieses Zeitraums angewendeten Kriterien
Unstrukturierte personenbezogene Benutzerdaten werden an die Server der Auftragsverarbeiterin übermittelt, solange Sie personenbezogene Benutzerdaten über die Nebo Cloud speichern oder übermitteln möchten. Die Löschung Ihres MyScript-Kontos hat die automatische Löschung aller personenbezogenen Benutzerdaten an allen Speicherorten zur Folge.
8. Bezüglich Übermittlungen an (Unter-) Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben
Der Unterauftragsverarbeiter verarbeitet personenbezogene Daten in dem für die Durchführung der Dienste erforderlichen Umfang. Der Unterauftragsverarbeiter wird die personenbezogenen Benutzerdaten über den Zeitraum verarbeiten, über den Sie ein MyScript-Konto haben, es sei denn, es wurde schriftlich anders vereinbart oder Sie haben die vorherige Löschung von personenbezogenen Benutzerdaten verlangt. Die Identität der Unterauftragsverarbeiter, die mit der Erbringung der Dienste beauftragt werden, und ihr jeweiliges Sitzland sind in Anhang 1 dieser DPA aufgeführt.
3.2 Funktionen der generativen künstlichen Intelligenz von Nebo
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
Sie können personenbezogene Benutzerdaten in dem allein von Ihnen festgelegten und kontrollierten Umfang an die Dienste übermitteln.
2. Kategorien übermittelter personenbezogener Daten:
- In Notizblöcken enthaltene unstrukturierte personenbezogene Benutzerdaten, die Sie über den Dienst an die Auftragsverarbeiterin übermitteln, um Inhalte zu generieren und in Ihre Notizblöcke zu importieren.
3. Spezifische Datenkategorien:
MyScript sammelt keine spezifischen Kategorien von Daten (wie Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben). MyScript sind die Inhalte von unstrukturierten personenbezogenen Benutzerdaten, wie oben beschrieben, jedoch nicht bekannt.
4. Häufigkeit der Übermittlung
Unstrukturierte personenbezogene Benutzerdaten werden an unsere(n) in Anhang 1 genannte(n) Unterauftragsverarbeiter übermittelt, und zwar fortlaufend und entsprechend der Häufigkeit, mit der Sie den Dienst nutzen.
5. Art der Verarbeitung
Die Art der Verarbeitung dient der Durchführung der Dienste.
6. Zweck(e) der Datenübermittlung und weiteren Verarbeitung
MyScript verarbeitet personenbezogene Daten in dem Umfang, der für die Durchführung der von Ihnen angefragten Dienste erforderlich ist.
7. Der Zeitraum, über den die personenbezogenen Daten aufbewahrt werden, oder, falls dessen Bestimmung nicht möglich ist, die zur Bestimmung dieses Zeitraums angewendeten Kriterien
Unstrukturierte personenbezogene Benutzerdaten werden temporär an die Server des Unterauftragsverarbeiters übermittelt, wenn Sie sie in eine Anfrage zur Generierung von Inhalten durch die KI-Funktionen aufnehmen.
8. Bezüglich Übermittlungen an (Unter-) Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben
Die Identität der Unterauftragsverarbeiter, die mit der Erbringung der Dienste beauftragt werden, und ihr jeweiliges Sitzland sind in Anhang 1 dieser DPA aufgeführt. Die Unterauftragsverarbeiter verarbeiten personenbezogene Daten in dem für die Durchführung der Dienste erforderlichen Umfang. Der Unterauftragsverarbeiter OpenAI speichert 30 Tage lang Aufzeichnungen über alle Anfragen (einschließlich aller personenbezogenen Benutzerdaten), um sie auf illegale und/oder missbräuchliche Inhalte zu überwachen, und dann werden sie gelöscht. Die Anfragen (einschließlich aller personenbezogenen Benutzerdaten) werden nur von den AWS-Servern übertragen und sofort gelöscht.
3.3 MyScript Cloud-Erkennung über die Website für Entwickler
1. Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:
Sie können personenbezogene Benutzerdaten in dem allein von Ihnen festgelegten und kontrollierten Umfang an die Dienste übermitteln.
2. Kategorien übermittelter personenbezogener Daten:
- In Dokumenten enthaltene unstrukturierte personenbezogene Benutzerdaten, die Sie über den Dienst an die Auftragsverarbeiterin zur Umwandlung von handschriftlichen Notizen in maschinengeschriebenen Text übermitteln.
- IP-Adresse des Endbenutzers.
3. Spezifische Datenkategorien:
MyScript sammelt keine spezifischen Kategorien von Daten (wie Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben). MyScript sind die Inhalte von unstrukturierten personenbezogenen Benutzerdaten, wie oben beschrieben, jedoch nicht bekannt.
4. Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder fortlaufend übermittelt werden)
Alle oben aufgeführten Datenkategorien werden an unsere in Anhang 1 genannten Unterauftragsverarbeiter übermittelt, und zwar fortlaufend und entsprechend der Nutzung des Dienstes.
5. Art der Verarbeitung
Die Art der Verarbeitung dient der Durchführung der Dienste.
6. Zweck(e) der Datenübermittlung und weiteren Verarbeitung
MyScript verarbeitet personenbezogene Daten, in dem für die Durchführung der Dienste erforderlichen Umfang.
7. Der Zeitraum, über den die personenbezogenen Daten aufbewahrt werden, oder, falls dessen Bestimmung nicht möglich ist, die zur Bestimmung dieses Zeitraums angewendeten Kriterien
Unstrukturierte personenbezogene Benutzerdaten werden zum Zeitpunkt der Verarbeitung an die Server der Auftragsverarbeiterin übertragen, anschließend an den Endbenutzer rückübertragen und von der Auftragsverarbeiterin nicht gespeichert. IP-Adressen werden zwölf (12) Monate lang in den Protokollen gespeichert. Unstrukturierte personenbezogene Benutzerdaten werden von der Auftragsverarbeiterin nicht gespeichert, es sei denn, Sie haben dies ausdrücklich und schriftlich verlangt.
8. Bezüglich Übermittlungen an (Unter-) Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben
Der Unterauftragsverarbeiter verarbeitet personenbezogene Daten in dem für die Durchführung der Dienste erforderlichen Umfang. Der Unterauftragsverarbeiter verarbeitet personenbezogene Daten über die Dauer, über die Sie die Dienste nutzen, sofern nicht anderweitig schriftlich vereinbart. Die Identität der Unterauftragsverarbeiter, die mit der Erbringung der Dienste beauftragt werden, und ihr jeweiliges Sitzland sind in Anhang 1 dieser DPA aufgeführt.
Zuständige Aufsichtsbehörde
Die zuständige Aufsichtsbehörde, an die Sie sich im Fall von Klagen, Beschwerden oder Anfragen wenden können, ist die Commission Nationale des Informations et des Libertés (CNIL), die Sie unter folgendem Link erreichen: https://www.cnil.fr/fr/plaintes/.