Einführung
In diesen Datenschutzbestimmungen stellt Yoga mit Miriam seine Vorgehensweise bezüglich der von Benutzern erfassten Daten, die auf meine Webseite unter www.yoga-mit-miriam.de („ Webseite “) zugreifen oder uns auf andere Weise personenbezogene Daten bereitstellen (gemeinsam: „ Benutzer “), dar.
Zuständige Behörde im Sinne der Datenschutz-Grundverordnung (DSGVO):
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Prof. Dr. Dieter Kugelmann
Hintere Bleiche 34
55116 Mainz
Telefon: 061 31/208-24 49
Telefax: 061 31/208-24 97
E-Mail: poststelle{at}datenschutz.rlp{dot}de
Benutzerrechte
Sie haben folgende Rechte:
Beachten Sie jedoch, dass diese Rechte nicht uneingeschränkt gelten, sondern unseren eigenen rechtmäßigen Interessen sowie behördlichen Vorschriften unterliegen.
Wenn Sie eines der hier aufgeführten Rechte in Anspruch nehmen möchten oder weitere Informationen wünschen, wenden Sie sich an unseren Verantwortlichen unter:
Miriam.ruberg[at]gmx.de
Speicherung
Wir speichern Ihre personenbezogenen Daten so lange, wie es für die Bereitstellung unserer Services, die Einhaltung rechtlicher Verpflichtungen sowie die Beilegung von Streitigkeiten und die Durchsetzung unserer Richtlinien erforderlich ist. Die Aufbewahrungsfristen richten sich nach der Art der erfassten Daten und dem Zweck, für den diese Daten erfasst wurden, wobei sowohl die fallspezifischen Gegebenheiten als auch die Notwendigkeit berücksichtigt werden, veraltete, nicht genutzte Informationen baldmöglichst zu löschen. Datensätze mit personenbezogenen Daten von Kunden, Dokumente über die Kontoeinrichtung, Mitteilungen und andere Daten speichern wir gemäß geltender Gesetze und Vorschriften.
Wir können jederzeit und in unserem alleinigen Ermessen unvollständige oder unrichtige Daten korrigieren, vervollständigen oder entfernen.
Grundlage für die Datenerfassung
Die Verarbeitung Ihrer personenbezogenen Daten (d. h. jegliche Daten, die mit vertretbaren Mitteln eine Identifizierung Ihrer Person zulassen; „ personenbezogene Daten “) ist erforderlich, um unseren vertraglichen Verpflichtungen Ihnen gegenüber nachzukommen und damit wir Ihnen unsere Services bereitstellen, unser legitimes Interesse schützen sowie rechtlichen und finanziellen Regulierungsverpflichtungen, denen wir unterworfen sind, nachkommen können.
Durch die Nutzung dieser Webseite stimmen Sie der Erfassung, Speicherung, Verwendung, Offenlegung und sonstigen Nutzung Ihrer personenbezogenen Daten wie in diesen Datenschutzbestimmungen beschrieben zu.
Bitte lesen Sie sich die Datenschutzbestimmungen sorgfältig durch, bevor Sie Entscheidungen treffen.
Welche Daten werden erfasst?
Wir erfassen zwei Arten von Daten und Informationen von Benutzern.
Zur ersten Kategorie gehören nicht identifizierende und nicht identifizierbare Benutzerdaten, die durch die Nutzung der Webseite bereitgestellt oder erfasst werden („ Nicht personenbezogene Daten ”). Wir kennen die Identität des Benutzers nicht, von dem nicht personenbezogene Daten erfasst wurden. Zu den nicht personenbezogenen Daten, die erfasst werden können, gehören aggregierte Nutzungsdaten und technische Daten, die von Ihrem Gerät übermittelt werden, einschließlich bestimmter Informationen bezüglich Software und Hardware (z. B. auf dem Gerät verwendeter Browser und verwendetes Betriebssystem, Spracheinstellung, Zugriffszeit usw.). Anhand dieser Daten verbessern wir die Funktionalität unserer Webseite. Wir können auch Daten über Ihre Aktivität auf der Webseite erfassen (z. B. aufgerufene Seiten, Surfverhalten, Klicks, Aktionen usw.).
Zur zweiten Kategorie gehören personenbezogene Daten , also Daten, die eine Einzelperson identifizieren oder durch angemessene Maßnahmen identifizieren können. Zu solchen Daten gehören:
Wie erhalten wir Daten über Sie?
Wir beziehen Ihre personenbezogenen Daten aus verschiedenen Quellen:
Wie werden die Daten genutzt? An wen werden die Daten weitergegeben?
Wir geben Benutzerdaten nicht an Dritte weiter, außer wie in diesen Datenschutzbestimmungen beschrieben.
Wir verwenden Daten für folgende Zwecke:
Neben den verschiedenen, oben aufgeführten Verwendungszwecken können wir personenbezogene Daten auch an unsere Tochtergesellschaften, verbundenen Unternehmen und Subunternehmer weitergeben.
Zusätzlich zu den in diesen Datenschutzbestimmungen aufgeführten Zwecken können wir personenbezogene Daten aus folgenden Gründen an unsere vertrauenswürdigen externen Anbieter weiterleiten, die ihren Sitz in unterschiedlichen Rechtsprechungen auf der ganzen Welt haben:
Wir können Daten auch offenlegen, wenn wir im guten Glauben sind, dies ist hilfreich oder angemessen, um: (i) geltenden Gesetzen, Vorschriften, Gerichtsverfahren oder behördlichen Anfragen zu entsprechen; (ii) unsere Richtlinien (einschließlich unserer Vereinbarung) durchzusetzen und ggf. diesbezügliche mögliche Verletzungen zu untersuchen; (iii) illegale Aktivitäten oder anderes Fehlverhalten, Betrugsverdacht oder Sicherheitsprobleme zu untersuchen, zu erkennen, zu verhindern oder Maßnahmen dagegen zu ergreifen; (iv) eigene Rechtsansprüche geltend zu machen oder durchzusetzen bzw. uns gegen die Ansprüche anderer zu verteidigen; (v) die Rechte, das Eigentum oder unsere Sicherheit, die Sicherheit unserer Benutzer, Ihre Sicherheit oder die Sicherheit von Dritten zu schützen; oder um (vi) mit Strafverfolgungsbehörden zusammenzuarbeiten und/oder geistiges Eigentum oder andere Rechtsansprüche zu schützen.
Cookies
Für die Bereitstellung entsprechender Services verwenden wir und unsere Partner Cookies. Dies gilt auch, wenn Sie unsere Webseite besuchen oder auf unsere Services zugreifen.
Bei einem „Cookie“ handelt es sich um ein kleines Datenpaket, das Ihrem Gerät beim Besuch einer Webseite von dieser Webseite zugeordnet wird. Cookies sind nützlich und können für unterschiedliche Zwecke eingesetzt werden. Dazu gehören z. B. die erleichterte Navigation zwischen verschiedenen Seiten, die automatische Aktivierung bestimmter Funktionen, das Speichern Ihrer Einstellungen sowie ein optimierter Zugriff auf unsere Services. Die Verwendung von Cookies ermöglicht uns außerdem, Ihnen relevante, auf Ihre Interessen abgestimmte Werbung einzublenden und statistische Informationen zu Ihrer Nutzung unserer Services zu sammeln.
Diese Webseite verwendet folgende Arten von Cookies:
a. „Sitzungscookies“ , die für eine normale Systemnutzung sorgen. Sitzungscookies werden nur für begrenzte Zeit während einer Sitzung gespeichert und von Ihrem Gerät gelöscht, sobald Sie Ihren Browser schließen.
b. „Permanente Cookies “, die nur von der Webseite gelesen und beim Schließen des Browserfensters nicht gelöscht, sondern für eine bestimmte Dauer auf Ihrem Computer gespeichert werden. Diese Art von Cookie ermöglicht uns, Sie bei Ihrem nächsten Besuch zu identifizieren und beispielsweise Ihre Einstellungen zu speichern.
c. „Drittanbieter-Cookies“ , die von anderen Online-Diensten gesetzt werden, die mit eigenen Inhalten auf der von Ihnen besuchten Seite vertreten sind. Dies können z. B. externe Web-Analytics-Unternehmen sein, die den Zugriff auf unsere Webseite erfassen und analysieren.
Cookies enthalten keine personenbezogenen Daten, die Sie identifizieren, doch die von uns gespeicherten personenbezogenen Daten werden möglicherweise von uns mit den in den Cookies enthaltenen Daten verknüpft. Sie können Cookies über die Geräteeinstellungen Ihres Gerät entfernen. Folgen Sie dabei den entsprechenden Anweisungen. Beachten Sie, dass die Deaktivierung von Cookies zur Einschränkung bestimmter Funktionen bei der Nutzung unserer Webseite führen kann.
Das von uns verwendete Tool basiert auf der Technologie von Snowplow Analytics . Zu den von uns erfassten Daten zur Nutzung unserer Webseite gehören beispielsweise, wie häufig Benutzer die Webseite besuchen oder welche Bereiche aufgerufen werden. Das von uns verwendete Tool erfasst keine personenbezogenen Daten und wird von unserem Webhosting-Anbieter und Service-Provider ausschließlich zur Verbesserung des eigenen Angebots verwendet.
Erfassung von Daten durch Dritte
In dieser Richtlinie werden nur die Nutzung und Offenlegung von Daten, die wir von Ihnen erfassen, behandelt. Wenn Sie Daten auf anderen Webseiten veröffentlichen oder Dritten im Internet offenlegen, gelten möglicherweise andere Bestimmungen. Lesen Sie sich daher die allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen immer sorgfältig durch, wenn Sie Daten offenlegen.
Diese Datenschutzbestimmungen beziehen sich nicht auf Geschäftspraktiken von Unternehmen, die sich nicht in unserem Besitz befinden bzw. nicht unter unserer Kontrolle stehen, oder auf andere Personen als unsere Angestellten und Mitarbeiter, einschließlich Dritter, denen wir diese Daten wie in diesen Datenschutzbestimmungen beschrieben offenlegen.
Wie schützen wir Ihre Daten?
Wir setzen die Sicherheitsmaßnahmen auf der Webseite mit großer Sorgfalt um und schützen Ihre Daten.
Wir verwenden in der Branche übliche Verfahren und Richtlinien, um den Schutz der erfassten und gespeicherten Daten sicherzustellen, und verhindern die unbefugte Verwendung solcher Daten. Wir verlangen außerdem von Dritten, dass sie sich gemäß diesen Datenschutzbestimmungen an ähnliche Sicherheitsanforderungen halten. Obwohl wir angemessene Schritte für den Schutz von Daten unternehmen, können wir nicht verantwortlich gemacht werden für Handlungen von jenen, die sich unbefugten Zugang zu unserer Webseite verschafft haben oder diese missbräuchlich verwenden, und wir geben keine ausdrückliche noch stillschweigende Gewähr, dass wir einen solchen Zugriff verhindern können.
Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums
Beachten Sie, dass einige Empfänger ihren Sitz möglicherweise nicht im Europäischen Wirtschaftsraum haben. Ist dies der Fall, werden wir Ihre Daten nur in von der Europäischen Kommission genehmigte Länder mit angemessenem Datenschutzniveau übermitteln oder durch eine rechtliche Vereinbarung ein angemessenes Datenschutzniveau sicherstellen.
Werbung
Wenn Sie auf unsere Webseite zugreifen, schalten wir möglicherweise Anzeigen mithilfe von Anzeigentechnologie externer Anbieter. Diese Technologie verwendet für die Anzeigenschaltung Ihre Nutzungsdaten der Services (z. B. durch die Platzierung von Drittanbieter-Cookies in Ihrem Webbrowser).
Sie können sich von zahlreichen Anzeigennetzwerken Dritter abmelden, auch von Netzwerken, die von Mitgliedern der Network Advertising Initiative („NAI“) und der Digital Advertising Alliance („DAA“) betrieben werden. Informationen über die Vorgehensweise von NAI- und DAA-Mitgliedern, über Ihre Optionen, die Sie bezüglich der Verwendung solcher Daten von diesen Unternehmen haben, und darüber, wie Sie sich aus Anzeigennetzwerken Dritter, die von NAI- und DAA-Mitgliedern betrieben werden, abmelden können, finden Sie auf der jeweiligen Webseite: http://optout.networkadvertising.org/#!/ und http://optout.aboutads.info/#!/.
Marketing
Wir können mit Ihrer Einstimmung Ihre personenbezogenen Daten wie Ihren Namen, Ihre E-Mail-Adresse, Ihre Telefonnummer usw. selbst verwenden oder an einen externen Untervertragsnehmer weiterleiten, um Ihnen Werbematerialien bezüglich unserer Services bereitzustellen, die Sie möglicherweise interessieren.
Wir respektieren Ihr Recht auf Privatsphäre. Daher erhalten Sie in diesen Marketingmaterialien stets die Möglichkeit, sich von weiteren Zusendungen abzumelden. Wenn Sie sich abmelden, wird Ihre E-Mail-Adresse oder Telefonnummer aus unseren Marketing-Verteilerlisten entfernt.
Beachten Sie, dass wir Ihnen auch nach einer Abmeldung vom Erhalt unserer Marketing-E-Mails weiterhin E-Mails mit wichtigen Informationen senden, die keine Abmeldeoption enthalten. Dazu gehören Wartungsmeldungen oder administrative Benachrichtigungen.
Unternehmenstransaktion
Wir können Daten im Fall einer Unternehmenstransaktion (z. B. beim Verkauf wesentlicher Unternehmensteile, bei einer Fusion, einer Konsolidierung oder einem Anlagenverkauf) weitergeben. Falls ein oben genannter Fall eintritt, übernimmt der Erwerber oder das entsprechende Unternehmen die in dieser Datenschutzerklärung dargelegten Rechte und Pflichten.
Minderjährige
Der Schutz der Daten von Kindern ist insbesondere im Online-Bereich sehr wichtig. Die Webseite ist nicht für Kinder konzipiert und richtet sich nicht an diese. Die Nutzung unserer Services durch Minderjährige ist nur mit der vorherigen Einwilligung oder Autorisierung von einem Elternteil oder Erziehungsberechtigten zulässig. Wir erfassen personenbezogene Daten von Minderjährigen nicht wissentlich. Wenn ein Elternteil oder Erziehungsberechtigter Kenntnis davon erlangt, dass sein oder ihr Kind uns personenbezogene Daten ohne deren Einwilligung bereitgestellt hat, kann er/sie sich unter Miriam.ruberg[at]gmx.de an uns wenden.
Aktualisierungen oder Änderungen dieser Datenschutzbestimmungen
Wir behalten uns das Recht vor, diese Datenschutzbestimmungen von Zeit zu Zeit zu ändern oder zu prüfen. Sie finden das Datum der aktuellen Version unter „Zuletzt geändert am“. Ihre fortgesetzte Nutzung der Plattform nach der Bekanntmachung solcher Änderungen auf unserer Webseite stellt Ihre Zustimmung zu solchen Änderungen an den Datenschutzbestimmungen dar und gilt als Ihr Einverständnis der Bindung an die geänderten Bestimmungen.
Für die Kommunikation per E-Mail nutze ich den Dienst von gmx.
Der Dienst wird von der 1&1 Mail & Media GmbH, Zweigniederlassung Karlsruhe, Brauerstr. 48, 76135 Karlsruhe angeboten und ich habe dazu einen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO mit der 1&1 Mail & Media GmbH geschlossen.
Weitere Informationen erhalten sie in der Datenschutzerklärung der 1&1 Mail & Media GmbH unter https://agb-server.gmx.net/datenschutz
Rechtsgrundlage ist Art. 6 Abs. 1 S.1 b) DSGVO.
Von uns genutzte externe Apps
Facebook / Instagram / Whatsapp
Wir nutzen Facebook, Instagram und Whatsapp zur Kommunikation mit unseren Kunden und Interessenten, sowie zur Darstellung und Bewerbung unserer Dienstleistungen. Mit der Nutzung von Facebook, Instagram und Whatsapp nutzen Sie einen Dienst außerhalb dieser Webseite. Mit den auf dieser Webseite aufgeführten Links gelangen Sie auf die Hauptkontaktseite der jeweiligen App unserer Firma. Wir sind nur für die Inhalte unserer eigenen Firma verantwortlich, nicht aber für Kommentare oder Inhalte anderer Personen. Anbei informieren wir Sie über die Datenschutzrichtlinien der Facebook-Gruppe:
FACEBOOK-VERTRAGSZUSATZ FÜR DIE ÜBERMITTLUNG EUROPÄISCHER DATEN
Dieser Vertragszusatz für die Übermittlung europäischer Daten tritt am 27. September 2021 in Kraft.
Dieser Vertragszusatz für die Übermittlung europäischer Daten („Datenübermittlungszusatz“) wird durch Bezugnahme Bestandteil der Datenverarbeitungsbedingungen. Er gilt, soweit Facebook Ireland als dein Auftragsverarbeiter europäische Daten gemäß den Nutzungsbedingungen für umfasste Produkte verarbeitet und Übermittlungen solcher Daten aus der EU, dem EWR, dem Vereinigten Königreich oder der Schweiz an Facebook, Inc. erfolgen.
Du erkennst an und stimmst zu, dass Facebook Ireland europäische Daten an Facebook, Inc. übermittelt, um die umfassten Produkte gemäß den Nutzungsbedingungen für umfasste Produkte bereitzustellen, und dass europäische Daten an andere Unterauftragsverarbeiter von Facebook weiterübermittelt werden können.
Facebook Ireland übermittelt europäische Daten auf der Grundlage von Auftragsverarbeiter-an-Auftragsverarbeiter-Standardvertragsklauseln an Facebook, Inc., behält sich jedoch das Recht vor, eine alternative Übermittlungsmöglichkeit zu verwenden, die von der DSGVO und anderen anwendbaren Datenschutzgesetzen im EWR, im Vereinigten Königreich und in der in der Schweiz anerkannt sind (wie beispielsweise ein Angemessenheitsbeschluss). Weiterübermittlungen an Unterauftragsverarbeiter von Facebook auf Grundlage der Auftragsverarbeiter-an-Auftragsverarbeiter-Standardvertragsklauseln erfolgen auf Grundlage der allgemeinen Genehmigung gemäß den Datenverarbeitungsbedingungen.
Um einen effizienten und koordinierten Dienst zu ermöglichen, wird die gesamte Kommunikation mit Facebook, Inc. bzw. mit jedem anderen Unterauftragsverarbeiter von Facebook im Zusammenhang mit den Auftragsverarbeiter-an-Auftragsverarbeiter-Standardvertragsklauseln so weit wie möglich über Facebook Ireland koordiniert und geleitet.
Dieser Datenübermittlungszusatz hat im Umfang eines etwaigen Widerspruchs oder einer Unvereinbarkeit Vorrang vor den Nutzungsbedingungen für umfasste Produkte. Durch deine weitere Nutzung der bzw. den Zugriff auf die umfassten Produkte am oder nach dem Datum des Inkrafttretens dieses Datenübermittlungzusatzes (bzw. ggf. jeder Aktualisierung dieses Datenübermittlungzusatzes) stimmst du zu, an den Datenübermittlungszusatz in seiner jeweils aktualisierten Version gebunden zu sein.
Jegliche zwischen dir und Facebook, Inc. gemäß dem am 31. August 2020 in Kraft getretenen Datenübermittlungszusatz vereinbarten Klauseln gelten mit Wirkung ab dem Datum des Inkrafttretens dieses Datenübermittlungszusatzes als beendet. Du stimmst zu, dass jegliche europäische Daten, die auf Grundlage der beendeten Klauseln übermittelt wurden, aufgrund der Beendigung dieser Klauseln nicht vernichtet oder zurückgegeben werden müssen, sondern stattdessen den in diesem Datenübermittlungszusatz dargelegten Nutzungsbedingungen unterliegen.
In diesem Datenübermittlungszusatz gelten folgende Begriffsbestimmungen:
„Umfasstes Produkt“ ist ein Facebook-Produkt oder ‑Dienst, für das/den die Nutzungsbedingungen für umfasste Produkte gelten.
Als „Nutzungsbedingungen für umfasste Produkte“ werden die für ein Facebook-Produkt bzw. einen Facebook-Dienst geltenden Nutzungsbedingungen bezeichnet, soweit darin festgelegt ist, dass Facebook Ireland während der Bereitstellung des Produkts bzw. Dienstes Europäische Daten als dein Auftragsverarbeiter gemäß den Datenverarbeitungsbedingungen verarbeitet (wobei diese Nutzungsbedingungen für umfasste Produkte von Zeit zu Zeit aktualisiert oder ersetzt werden).
„Klauseln“ steht für die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die von der Europäischen Kommission in ihrem Beschluss 2010/87/EG vom 5. Februar 2010 genehmigt wurden (allerdings ohne die veranschaulichenden optionalen Klauseln).
„EWR“ steht für den Europäischen Wirtschaftsraum.
„EU“ steht für die Europäische Union.
„Europäische Daten“ bezeichnet die personenbezogenen Informationen unter deiner alleinigen Verantwortlichkeit, die von Facebook Ireland als deinem Auftragsverarbeiter gemäß den Nutzungsbedingungen für umfasste Produkte verarbeitet werden, soweit die DSGVO bzw. die Datenschutzgesetze im EWR, im Vereinigten Königreich oder in der Schweiz auf die Verarbeitung solcher Daten Anwendung finden.
„Facebook Ireland“ steht für Facebook Ireland Limited.
Ein „Unterauftragsverarbeiter von Facebook“ ist ein Unterauftragsverarbeiter, der beauftragt ist, europäische Daten gemäß den Datenverarbeitungsbedingungen zu verarbeiten.
„Auftragsverarbeiter-an-Auftragsverarbeiter-Standardvertragsklauseln“ sind, entsprechend der jeweiligen Übermittlung: (a) Modul 3 (Auftragsverarbeiter-an-Auftragsverarbeiter) der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß DSGVO, welche von der Europäischen Kommission in ihrem Beschluss 2021/914 vom 4. Juni 2021 genehmigt wurden; oder (b) solche anderen (Auftragsverarbeiter-an-Auftragsverarbeiter)-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer, die gemäß den geltenden Datenschutzgesetzen in der EU, im EWR, im Vereinigten Königreich oder in der Schweiz anerkannt sind (in jedem der Fälle mit jeglichen von Facebook gewählten optionalen Klauseln).
Für die Zwecke dieses Datenübermittlungszusatzes tragen jegliche Begriffe mit großen Anfangsbuchstaben die ihnen in den Nutzungsbedingungen für umfasste Produkte zugewiesene Bedeutung, sofern nicht etwas anderes angegeben wird. Verweise auf die Nutzungsbedingungen für umfasste Produkte, einschließlich der Datenverarbeitungsbedingungen, beziehen sich auf ihre jeweils gemäß den Nutzungsbedingungen für umfasste Produkte ggf. aktualisierten Fassungen.
Mailchimp
Wir verwenden Mailchimp um Sie mit Newslettern zu versorgen.
Mailchimp und europäische Datenübertragungen
Wenn du ein/e Benutzer*in bist, der/die im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich oder in der Schweiz ansässig ist (die wir zusammenfassend als „Europa“ bezeichnen), oder wenn du unsere Plattform nutzt, um Daten über deine Kontakte in Europa zu verarbeiten, wurde unser Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) erstellt, um dir die Übertragung europäischer personenbezogener Daten an Mailchimp in die Vereinigten Staaten zu ermöglichen und Mailchimp die rechtmäßige Verarbeitung dieser Daten in deinem Namen zu gestatten.
Da wir jetzt zu Intuit gehören, haben wir außerdem unsere weltweite Datenschutzerklärung, unsere Standard-Nutzungsbedingungen, die zusätzlichen Bedingungen und den Nachtrag zur Datenverarbeitung mit Wirksamkeit zum 10. Januar 2022 aktualisiert.
Der DPA ist direkt in unsere Standard-Nutzungsbedingungen integriert und erfordert daher keine Unterschrift. Durch die Nutzung von Mailchimp bzw. die Anmeldung für ein Konto stimmst du diesen Bedingungen zu. Gemäß den Standard-Nutzungsbedingungen und dem Nachtrag zur Datenverarbeitung von Mailchimp verpflichtet sich jede/r Benutzer*in zur Einhaltung aller geltenden Gesetze.
Europäische Datenexport-Compliance bei Mailchimp
Mailchimp hat seine Compliance mit dem EU-US Privacy Shield Framework und dem Swiss-US Privacy Shield Framework seit 2016 zertifiziert.
Am 16. Juli 2020 hat Europas höchstes Gericht (der EuGH) das EU-US Privacy Shield für ungültig erklärt. Darüber hinaus hat die Schweizer Datenschutzbehörde am 8. September 2020 in einer Stellungnahme bekannt gegeben, dass sie das Swiss-US Privacy Shield für die Zwecke der Übermittlung personenbezogener Daten aus der Schweiz in die USA nicht mehr für angemessen hält.
Mailchimp wird jedoch weiterhin Daten aus Europa gemäß den Privacy Shield-Grundsätzen schützen, für die die Compliance zertifiziert wurde. Weitere Einzelheiten findest du in unserer weltweiten Datenschutzerklärung.
Darüber hinaus verpflichtet sich Mailchimp vertraglich, alle europäischen Daten seiner Benutzer*innen in Übereinstimmung mit den Standard Contractual Clauses (die „SCCs“, dt. Standard-Vertragsklauseln) zu übertragen und zu verarbeiten, die unseren Benutzern weiterhin die Möglichkeit geben, Daten, die den europäischen Datenschutzgesetzen (einschließlich der DSGVO) unterliegen, rechtmäßig außerhalb Europas an Mailchimp in die USA zu übertragen. Die SCCs gelten automatisch gemäß dem Nachtrag zur Datenverarbeitung von Mailchimp.
Wir haben kürzlich unseren Nachtrag zur Datenverarbeitung aktualisiert, um sicherzustellen, dass er die neuen SCCs enthält, die von der Europäischen Kommission am 4. Juni 2021 übernommen wurden. Die neuen SCCs gelten automatisch für alle Benutzerinnen, die unseren Service seit dem 27. September 2021 verwenden, und für alle anderen Benutzerinnen ab dem 27. Dezember 2022. Dies steht im Einklang mit dem Durchführungsbeschluss der EU-Kommission vom 4. Juni 2021, der die neuen SCCs begleitet.
Weitere Informationen zu Datenübertragungen
Wir wissen, dass einige unserer Benutzer*innen möglicherweise Fragen zur Compliance bei Datenübertragungen haben, einschließlich der Auswirkungen des EuGH-Urteils von 2020 zu Datenübertragungen und der Annahme der neuen SCCs durch die Europäische Kommission am 4. Juni 2021. In diesem Abschnitt findest du einige häufig gestellte Fragen und Antworten.
Welche Entscheidung hat der EuGH in Bezug auf Datenübertragungen aus der EU getroffen?
Am 16. Juli 2020 hat der EuGH das EU-US Datenschutzschild für ungültig erklärt. Dies war eine Möglichkeit für Unternehmen, Daten legal aus Europa in die USA zu übertragen. Gleichzeitig bestätigte der EuGH, dass Standardvertragsklauseln (Standard Contractual Clauses, SCCs) weiterhin ein gültiger Mechanismus für Unternehmen zur Übertragung personenbezogener Daten in Länder außerhalb Europas sind.
Der EuGH stellte jedoch fest, dass der Datenexporteur und der Datenimporteur zusätzlich zur Einhaltung der SCC möglicherweise ergänzende Maßnahmen vereinbaren müssen, um ein angemessenes Schutzniveau für die übertragenen Daten zu gewährleisten. Nach der Entscheidung des EuGH veröffentlichte der Europäische Datenschutzausschuss seine Empfehlungen zu ergänzenden Maßnahmen, die den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern, die als Datenexporteure tätig sind, bei der Erfüllung ihrer Pflichten helfen sollen. Dazu gehören die Ermittlung und Umsetzung geeigneter Zusatzmaßnahmen, wo diese erforderlich sind, und die Gewährleistung eines im Wesentlichen gleichwertigen Schutzniveaus für die Daten, die sie ins außereuropäische Ausland übertragen.
Wie beeinflusst das Urteil des EuGH meine Nutzung von Mailchimp?
Unsere Benutzer*innen können weiterhin europäische Daten an Mailchimp in die USA übertragen. Wir wussten, dass das Urteil des EuGH, so wie es letztendlich ausfiel, durchaus im Rahmen des Möglichen lag. Daher bieten wir unseren Benutzer*innen im Rahmen unseres Nachtrags zur Datenverarbeitung seit langem Schutz auf zwei Ebenen für Datenübertragungen aus Europa in die USA an: die Einhaltung des EU-US Datenschutzschildes und der SCCs.
Im Rahmens des Urteils des EuGH wurde das EU-US Datenschutzschild zwar für ungültig erklärt, nicht aber die SCCs, die weiterhin ein gültiger Datenexportmechanismus sind. Unsere Vereinbarungen sind so strukturiert, dass die SCCs automatisch wirksam werden, sodass unsere Benutzer unmittelbar nach dem Urteil durch die SCCs geschützt waren. Darüber hinaus werden wir auch weiterhin unseren Verpflichtungen zum Schutz von Daten aus Europa gemäß den Grundsätzen des Datenschutzschildes nachkommen.
Überträgt Mailchimp Daten in Länder außerhalb Europas? Wenn ja, in welche Länder?
Ja. Der Hauptsitz von Mailchimp und unsere Server befinden sich in den Vereinigten Staaten. Dies bedeutet, dass von uns verarbeitete Daten eventuell in die USA übermittelt und dort gespeichert oder verarbeitet werden. Darüber hinaus nutzen wir die Dienste von Drittanbietern, die personenbezogene Daten in unserem Auftrag verarbeiten, um Dienstleistungen für Mailchimp zu erbringen, und deren Server sich möglicherweise außerhalb Europas befinden.
Hier findest du eine vollständige Liste der Unterauftragsverarbeiter, die wir mit der Verarbeitung der Daten unserer Mitglieder beauftragen, zusammen mit Angaben zu ihren Standorten. Wir ergreifen Maßnahmen, um sicherzustellen, dass unsere Anbieter angemessene Sicherheitsvorkehrungen zum Schutz personenbezogener Daten bieten, die sie in unserem Auftrag verarbeiten und verpflichten sie vertraglich dazu, diese Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen zu verarbeiten.
Welche Maßnahmen hat Mailchimp ergriffen, um die Daten europäischer Kunden zu schützen, die außerhalb Europas verarbeitet werden?
Mailchimp hat eine Reihe von Maßnahmen ergriffen, um sicherzustellen, dass Daten aus Europa bei der Übertragung in Länder außerhalb Europas geschützt bleiben.
Vertragliche Verpflichtungen
Neben der Einbeziehung der SCCs enthält unser Nachtrag zur Datenverarbeitung auch unsere Verpflichtungen zu Sicherheit, Vertraulichkeit der Verarbeitung, Beschränkungen bei internationalen Übermittlungen personenbezogener Daten, Kooperation in Bezug auf die Rechte der Betroffenen, Benachrichtigungen über Sicherheitsvorfälle und mehr.
Wichtig ist, dass Mailchimp keine Benutzerdaten verkauft, vermietet oder handelt.
Sicherheitsmaßnahmen
Mailchimp legt größten Wert auf den Schutz und die Sicherheit der Daten seiner Benutzer*innen. Unser Sicherheits- und Datenschutzprogramm wird auf unserer Sicherheitsseite ausführlich beschrieben.
Hier finden Sie eine Zusammenfassung einiger wichtiger und spezifischer technischer und organisatorischer Maßnahmen, die wir zum Schutz vor unberechtigtem Zugriff auf Benutzerdaten implementiert haben (und weiterhin implementieren werden):
(1) Verschlüsselung
Mailchimp hat, soweit technisch möglich, in seiner gesamten Infrastruktur Verschlüsselungstechnologien implementiert, um Benutzerdaten vor unbefugtem Zugriff zu schützen, wenn diese von Mailchimp intern verarbeitet werden. So werden beispielsweise auf allen Mailchimp-Produktionsseiten das sichere Verschlüsselungsprotokoll TLS (Transport Layer Security) verwendet und für das interne drahtlose Netzwerk von Mailchimp wird eine 128bit WPA2-Verschlüsselung verwendet. Außerdem werden Mailchimp-E-Mails (256 Bit), alle VPN-Verbindungen (256 Bit) und die interne Chat-Anwendung (256 Bit) ebenfalls verschlüsselt. Anmeldeseiten verwenden TLS und sind vor Brute-Force-Angriffen geschützt. Dies gilt auch für mobile Mailchimp-Apps und die Mailchimp-API.
(2) Zugriffskontrollen
Mailchimp beschränkt den Zugriff Dritter auf seine internen Tools und Infrastrukturen. Unsere Rechtsabteilung prüft alle Zugriffsanfragen, stellt sicher, dass die Anfrage für die durchzuführende Aufgabe angemessen ist und dass Dritte sämtliche Sicherheits- und Datenschutzbestimmungen einhalten, die in ihrem Vertrag festgelegt sind. Nach der Genehmigung gewährt Mailchimp nur über kontrollierte Accounts Zugriff auf eindeutig festgelegte Bereiche des Systems.
Mailchimp verpflichtet sich weiterhin, ein Höchstmaß an Datenschutz und Sicherheit für unsere Benutzer zu gewährleisten. Wenn du Fragen zu unserem Sicherheits- und Datenschutzprogramm hast, sende uns bitte eine E-Mail an privacy@mailchimp.com.
Anbieterverträge
Wir ergreifen alle erforderlichen Maßnahmen, um sicherzustellen, dass unsere Verträge mit unseren internationalen Drittanbietern (einschließlich Unterauftragsverarbeitern) angemessene Verpflichtungen dieser Dritten in Bezug auf die Übertragung und Verarbeitung europäischer Daten außerhalb Europas enthalten und dass wir einen angemessenen und rechtmäßigen Datenübertragungsmechanismus (wie beispielsweise die Standardvertragsklauseln) und gegebenenfalls zusätzliche Schutzmaßnahmen einführen. Es sind aktuelle Angaben zu den Unterauftragsverarbeitern, die wir verwenden, um die Daten unserer Mitglieder zu verarbeiten, verfügbar.
Datenschutzschild
Wir verlassen uns nicht mehr auf das Datenschutzschild als Übertragungsmechanismus für Datenübertragungen, da die Datenschutzschilder zwischen der EU und den USA sowie der Schweiz und den USA aufgrund des jüngsten EuGH-Urteils in der Sache Schrems II nicht mehr gültig sind. Soweit Mailchimp jedoch weiterhin Verpflichtungen gemäß unserer bestehenden Datenschutzrichtlinien hat, werden wir diese einhalten, einschließlich der Wahrung direkter Rechtsbehelfe, die Betroffenen gegenüber Mailchimp zustehen. Hierzu zählt das Recht, ein verbindliches Schiedsverfahren in Anspruch zu nehmen.
Wie reagiert Mailchimp auf Informationsanfragen?
Wir prüfen alle Informationsanfragen sorgfältig und stellen Dritten grundsätzlich keine Informationen über einen Account zur Verfügung, der ihnen nicht gehört, es sei denn, wir sind gesetzlich dazu verpflichtet. Das bedeutet, dass wir nur auf eine gültige gerichtliche Anordnung, eine Vorladung, einen Durchsuchungsbefehl oder andere angemessene Rechtsverfahren reagieren, für die Informationen und Aufzeichnungen von einem Mailchimp-Account erforderlich sind. Mailchimp wendet bestimmte Richtlinien an, wenn es um die Beantwortung von Informationsanfragen geht, unabhängig davon, ob diese von einer staatlichen oder nichtstaatlichen Stelle stammen:
Wir bemühen uns, die Privatsphäre und Vertraulichkeit der Benutzer zu wahren.
Wenn möglich, bitten wir den Antragsteller, die Informationen direkt von den entsprechenden Account-Inhabern und nicht von Mailchimp einzuholen.
Wir bitten den Antragsteller, uns möglichst viele Informationen bereitzustellen, damit wir den richtigen Benutzer-Account ermitteln können. Wir reagieren nicht auf Anfragen, wenn uns keine angemessenen und spezifischen Informationen wie E-Mail-Adresse, E-Mail-Header, Internet-Domain, Benutzername, IP-Adressen oder andere ähnliche Informationen vorliegen, mit denen wir das richtige Konto ermitteln und finden können.
Sofern keine gesetzliche Ausnahme nach US-Recht vorliegt, reagieren wir nur auf Anfragen, die im Rahmen eines gültigen US-Rechtsverfahrens gestellt werden. Dies bedeutet, dass der Rechtsweg (z. B. Vorladungen, Offenlegungsaufforderungen, Durchsuchungsbefehle oder Gerichtsbeschlüsse) ordnungsgemäß von einem zuständigen US-Gericht nostrifiziert und in Übereinstimmung mit den geltenden bundes- und/oder einzelstaatlichen Verfahrensregeln eingeleitet werden muss, bevor Mailchimp reagiert.
Mailchimp akzeptiert keine direkten Anfragen von staatlichen Stellen außerhalb der USA. Wir reagieren nur auf Anfragen ausländischer Behörden, die über ein Rechtshilfeabkommen oder andere verfügbare diplomatische oder legale Wege in der Absicht erfolgen, Informationen von Mailchimp einzuholen.
Im Einklang mit unserem Nachtrag zur Datenverarbeitung wird Mailchimp europäische Benutzer vorab schriftlich über obligatorische Anfragen zum Zugriff auf ihre Daten informieren, es sei denn, dass dies uns gesetzlich untersagt ist.
Veröffentlicht Mailchimp Transparenzberichte über Informationsanfragen?
Um unser Engagement für den Datenschutz und unser Bemühen um größtmögliche Transparenz zu demonstrieren, veröffentlicht Mailchimp nun jährliche Transparenzberichte, um die Anzahl und Art der bei uns eingehenden rechtlichen Anfragen zu dokumentieren. Zwar gelten Einschränkungen im Hinblick auf den Detaillierungsgrad, den wir bereitstellen können, wir bemühen uns jedoch, in allen diesen Berichten so transparent wie möglich zu sein. Wenn du Fragen hast, wende dich bitte unter legal@mailchimp.com an uns.
Erhält Mailchimp Informationsanfragen von US-Behörden?
Im Mittelpunkt des jüngsten EuGH-Urteils (und einer der Hauptgründe für die Aufhebung des Datenschutzschildes) stand die Besorgnis über die nationalen Geheimdienst- und Überwachungsprogramme der USA gemäß Section 702, auch FISA Amendments Act genannt, und gemäß Executive Order 12333. In der Regel gewährt Mailchimp staatlichen Stellen oder Behörden (einschließlich Strafverfolgungsbehörden) nicht freiwillig Zugang zu Mailchimp-Accounts oder Informationen darüber.
Als B2B-E-Mail-Marketing-Plattform und damit als „elektronischer Kommunikationsdienst“ gehört Mailchimp jedoch, wie fast alle US-Cloud-Service-Anbieter, zu einer Unternehmenskategorie, für die US-Behörden formal befugt sind, FISA-Direktiven gemäß Section 702 zu erlassen oder gemäß EO 12333 nachrichtendienstliche Informationen zu sammeln. Das bedeutet, dass genau genommen Mailchimp solche Arten von obligatorischen Informationsanfragen zugestellt werden können.
Unsere jährlichen Transparenzberichte dokumentieren die limitierte Anzahl und die spezifischen Arten der rechtlichen Anfragen, die Mailchimp erhalten hat. Wie oben erläutert, verfügen wir außerdem über strenge Richtlinien und Prozesse zur Beantwortung von Informationsanfragen von Strafverfolgungsbehörden.
Kann ich die Standardvertragsklauseln der EU mit Mailchimp umsetzen?
Die Standardvertragsklauseln (Standard Contract Clauses, SCCs) der EU sind in unseren Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) integriert, der automatisch Teil unserer Standard-Nutzungsbedingungen (unser Vertrag mit dir) wird und für Kundendaten gilt, die durch europäische Datenschutzgesetze (einschließlich der DSGVO) geschützt sind.
Wenn du eine Kopie der SCCs mit Mailchimp unterzeichnen und ausfertigen möchtest, kannst du dies unter Angabe deines Account-Namens, Benutzernamens und/oder der mit deinem Benutzernamen verknüpften E-Mail-Adresse unter legal@mailchimp.com anfordern.
Vimeo
Die Aufzeichnungen meiner Yogastunden (nur ich werde aufgenommen) und Videokonferenzen (alle Teilnehmer des Gruppencoachings, die sich zu Wort melden werden mit aufgenommen) werden, um sie auf meiner Homepage einbetten zu können, vorab bei Vimeo hochgeladen. Bei Vimeo selbst werden sie aber ausgeblendet und sind dadurch nicht sichtbar.
Bei der Nutzung von Vimeo verarbeitet die Firma Vimeo.com Inc personenbezogene Daten worüber wir Sie hiermit informieren:
Vimeo OTT Data Processing Agreement
Last updated: December 14, 2022
Pursuant to the Vimeo OTT Services Agreement entered into between Vimeo OTT and Producer, Vimeo OTT processes Personal Data relating to Producer Customers in providing the Vimeo OTT Services. This Data Processing Agreement (“DPA”) sets forth the parties’ rights and obligations under data protection laws with respect to such data.
In the event of any inconsistency with the terms of this DPA and any other agreement between the parties, the terms of this DPA shall prevail. If there is any conflict between the Standard Contractual Clauses and the terms of this DPA, the Standard Contractual Clauses shall prevail.
1. Definitions
“Applicable Privacy and Data Protection Laws” means collectively all national, federal, state, provincial and local privacy and data protection laws and regulations that apply to the parties with regard to the processing of Personal Data in connection with the Vimeo OTT Services Agreement, including, only to the extent applicable and when legally effective (including those that come into effect after the “Last Updated” date above): Brazil’s Lei Geral de Proteção de Dados (“LGPD”), the California Consumer Privacy Act (including as amended by the California Privacy Rights Act of 2020) (“CCPA”), the Colorado Privacy Act (“CPA”), the Virginia Consumer Data Protection Act (“CDPA”), the Utah Consumer Privacy Act (“UCPA”), and Connecticut’s Act Concerning Personal Data Privacy and Online Monitoring (“CTPA”) and the regulations promulgated under any of the foregoing; Canada’s Personal Information Protection and Electronic Documents Act (“PIPEDA”); the European Union’s General Data Protection Regulation (“GDPR”); Japan’s Act on the Protection of Personal Information (“APPI”); Switzerland’s Data Protection Act; and the United Kingdom’s General Data Protection Regulation (“UK GDPR”).
“Business Purpose” means the enumerated Business Purposes set forth in Cal. Civ. Code section 1798.140(d)(1)-(7) and, on or after January 1, 2023, Cal. Civ. Code section 1798.140(e)(1)-(8) that are applicable to the Vimeo OTT Services.
“Controller” means the party that controls the purposes and means of processing, and shall include ‘controller’, ‘business’, and other similar terms under Applicable Privacy and Data Protection Laws.
“Data Subject” means ‘data subject’, ‘consumer’, or similar terms under Applicable Privacy and Data Protection Laws.
“Personal Data” means all data which is defined as ‘personal data’, or ‘personal information’, or similar terms under Applicable Privacy and Data Protection Laws.
“Producer” means a Vimeo OTT customer that uses the Vimeo OTT Services to deliver Producer’s video content to Producer Customers.
“Processor” means a party that processes Personal Data on behalf of another party, and shall include ‘processor’, ‘service provider’ and other similar terms under Applicable Privacy and Data Protection Laws.
“Producer Customer” means a Data Subject who has subscribed to or otherwise purchased Producer’s video service through the Vimeo OTT Services.
“Producer Customer Data” means the Personal Data of Producer Customers that is submitted to Vimeo OTT in connection with the OTT Services. Producer Customer Data does not include Personal Data collected by Vimeo OTT outside of the Vimeo OTT Services.
“Sensitive Data” means ‘sensitive personal information’, ‘sensitive data’, ‘special categories of personal data’, or Personal Data similarly classified under Applicable Privacy and Data Protection Laws.
“Standard Contractual Clauses” means the standard contractual clauses approved pursuant to the European Commission’s decision (EU) 2021/914 of 4 June 2021, populated in accordance with Section 8 of this DPA. For processing of Personal Data that is subject to UK GDPR, the Standard Contractual Clauses also include the International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (the “UK Addendum”), populated in accordance with Section 8 of this DPA.
“Vimeo OTT” means, for the purpose of this DPA, Vimeo.com, Inc.
“Vimeo OTT Services” means the video hosting and streaming platform applicable services provided by Vimeo OTT pursuant to the Vimeo OTT Services Agreement and any associated Order Form or Statement of Work.
“Vimeo OTT Services Agreement” means the Seller Addendum to the Vimeo Terms of Service Agreement, available at https://vimeo.com/selleraddendum as well as the Vimeo Terms of Service Agreement, available at https://vimeo.com/terms, unless there is a separately negotiated agreement for Vimeo OTT Services between you and Vimeo OTT, then “Vimeo OTT Services Agreement” means that agreement.
“Vimeo OTT Policies” mean internal information security policies, including applicable retention schedules.
The terms "commercial purpose," “personal data breach,” “process,” "sell," "share" and their cognates shall have the same meaning as under Applicable Privacy and Data Protection Laws.
2. Roles
2.1
The parties agree that with respect to processing Producer Customer Data in the provision of the Vimeo OTT Services, Producer is the Controller, and Vimeo OTT is the Processor.
2.2
Producer acknowledges and agrees that notwithstanding Section 2.1, Vimeo OTT and its affiliates may collect and process Personal Data directly from Data Subjects in their capacity as users of other Vimeo OTT services. Though these Data Subjects may also be Producer Customers, Vimeo OTT acts as a Controller for Personal Data collected or submitted outside of the Vimeo OTT Services, which is not Producer Customer Data.
2.3
The parties agree and acknowledge that the subject matter and details of processing are set out in Annex I.
3. Terms of Processing by Vimeo OTT
3.1
Vimeo OTT will:
3.1.1
Process Producer Customer Data for the provision of the Vimeo OTT Services to Producer according to the written instructions set forth in the Vimeo OTT Services Agreement or as otherwise instructed by Producer;
3.1.2
Process CCPA ‘personal information’ only for a Business Purpose or as otherwise permitted under Applicable Data Protection Laws;
3.1.3
Ensure that anyone acting on its behalf will process Producer Customer Data according to the provisions of this DPA and Applicable Data Protection Laws, and is bound by an appropriate obligation of confidentiality;
3.1.4
Notify Producer if Vimeo OTT becomes aware of circumstances which would prevent it from fulfilling Producer’s instructions or the obligations of this DPA, including any Schedules;
3.1.5
Notify Producer if Vimeo OTT becomes aware that any law or regulation applicable to it prevents it from fulfilling the instructions received from Producer and its obligations under this DPA, including any Schedules;
3.1.6
Notify Producer within the time period required by Applicable Privacy and Data Protection Laws if it determines it can no longer meet its obligations under Applicable Privacy and Data Protection Laws, and allow Producer to take reasonably and appropriate steps to stop and remediate unauthorized processing of Producer Customer Data;
3.1.7
Upon Producer’s request, provide information to reasonably enable Producer to conduct and document data protection assessments; and
3.1.8
To the extent required by Applicable Privacy and Data Protection Law, and not more than once annually, allow and cooperate with reasonable assessments by Producer or its designated assessor (or if mutually agreed and at Vimeo OTT’s expense, Vimeo’s qualified assessor), to conduct an assessment of Vimeo’s policies and technical and organizational measures in support of the obligations under Applicable Privacy and Data Protection Laws using an appropriate and accepted control standard or framework and assessment procedure for such assessments, and subject to reasonable access and confidentiality restrictions. If Vimeo OTT engages its own assessor, it shall provide a summary report to Producer upon request, which shall satisfy Vimeo OTT’s obligations under this Section 3.1.8.
3.2
Subject to Section 3.1.1, Vimeo OTT will not:
3.2.1
Sell or share the Producer Customer Data;
3.2.2
Retain, use or disclose the Producer Customer Data for any purpose other than providing the Vimeo OTT Services, the Business Purposes, or another purpose permitted under Applicable Data Protection Laws.
3.2.3
Retain, use or disclose the Producer Customer Data outside of the direct business relationship between Producer and Vimeo OTT without first obtaining the prior written agreement of Producer; or
3.2.4
Combine Producer Customer Data with Personal Data Vimeo OTT receives from other customers.
4. Terms of Processing by Producer
Producer will:
4.1
Collect, use and process Producer Customer Data in accordance with all Applicable Data Protection Laws;
4.2
Have primary responsibility for the accuracy, quality, and legality of Producer Customer Data and the means by which it was obtained, including where applicable, any notice obligations or necessary consents to lawfully process personal data, including Sensitive Data, under Applicable Data Protection Laws; and
4.3
Process Producer Customer Data in accordance with published Privacy Policies, whether such policies are furnished by Vimeo OTT or Producer. In the event Producer’s processing is inconsistent with the Vimeo OTT-provided Privacy Policy, Producer must provide its own Privacy Policy which provides sufficient notice of all processing activities being conducted by Producer and Vimeo OTT.
5. Security & Compliance
5.1
Vimeo OTT shall Implement reasonable technical, organizational and security measures to protect the privacy and security of the Producer Customer Data.
5.2
Vimeo OTT shall assist Producer, within reasonable timetables, by the appropriate measures and as reasonably possible (considering the nature of the processing and the information available to us), in complying with its obligations under Articles 32 to 36 of the GDPR.
5.3
Any storage and/or transfer of Producer Customer Data by Producer to any third party or platform other than Vimeo OTT shall be at the sole risk and responsibility of Producer.
5.4
If Vimeo OTT becomes aware of any personal data breach affecting Producer Customer Data, Vimeo OTT will, without undue delay, provide notification to Producer in accordance with applicable regulations. Vimeo OTT’s notification of a personal data breach will not be deemed as an acknowledgement by Vimeo OTT of any fault or liability with respect to such incident. In the event of a personal data breach, Producer shall be obligated to take the measures required under applicable laws in connection with its Producer Customer Data. Where requested, Vimeo OTT will assist Producer with communicating with regulators regarding the personal data breach.
5.5
Upon reasonable written request, Vimeo OTT will make available to Producer information necessary to demonstrate compliance with its obligations under this DPA and applicable law.
6. Sub-processors
6.1
Producer consents to Vimeo OTT’s continued use of the sub-processors listed in Annex III.
6.2
Producer hereby grants Vimeo OTT general authorization to change, or engage new sub-processors without obtaining any further written, specific authorization from Producer. Vimeo OTT will notify Producer of any change or addition in sub-processors by updating Annex III and/or providing notification by email. If Producer objects to any sub-processing by Vimeo OTT, Producer should immediately discontinue its use of the Vimeo OTT Services.
6.3
Vimeo OTT shall execute an agreement with each sub-processor with terms ensuring at least the same level of protection and security as those set out in this DPA. Subject to the limitation of liability set forth in the Vimeo OTT Services Agreement, Vimeo OTT shall be responsible for all acts and omissions of any sub-processor who is processing Producer Customer Data.
7. Individual Rights Requests
7.1
Producer hereby instructs and authorizes Vimeo OTT to respond directly to verifiable individual rights requests under Applicable Data Protection Laws related to Producer Customer Data in Vimeo OTT’s possession, custody or control.
7.2
Vimeo OTT will notify Producer when it receives an individual rights request for erasure or access to information relating to Producer Customer Data. It is Producer’s responsibility to supplement such request with any data or information not available to Vimeo OTT, to the extent the provision of such supplemental information is required by law.
8. International Transfers
8.1 Standard Contractual Clauses
8.1.1
Producer understands and agrees that Vimeo OTT operates the Vimeo OTT Service primarily from the United States and as such, Producer Customer Data will be transferred from Producer’s location and/or the applicable Data Subject’s location to Vimeo OTT in the United States. Vimeo OTT will ensure such transfers are made in compliance with Applicable Data Protection Law, including by relying on the Standard Contractual Clauses (Module 2: Transfer Controller to Processor), which are hereby incorporated into this DPA, and which are deemed to be completed, populated and incorporated as follows:
Clause 7: the optional clause is included;
Clause 11(a): the optional clause is disregarded;
Clause 13(a): For the competent supervisory authority, insert the Data Protection Commissioner of the Republic of Ireland;
Clause 17: the governing law shall be that of the Republic of Ireland; and
Clause 18: any dispute arising from the Standard Contractual Clauses shall be resolved by the courts of the Republic of Ireland.
8.1.2
Producer and Vimeo OTT agree that signature of an Order Form will constitute and have effect as signature of Annex IA and Annex II of the Standard Contractual Clauses in relation to any transfers falling within Section 8.1.1 that are required in relation to the Vimeo OTT Services to which that Order Form relates, and which are set out in a relevant, fully and appropriately populated version Annex I, Annex II and Annex III (below) to the Standard Contractual Clauses, together (where applicable) with the UK Addendum.
8.2
In the event the Standard Contractual Clauses are determined by competent authority to be invalid under Applicable Privacy and Data Protection Law, Vimeo OTT shall, as soon as possible, adopt an appropriate alternative transfer mechanism. In the event that Vimeo OTT fails to adopt an alternative transfer mechanism by the effective date of the invalidation, Producer may terminate the Vimeo OTT Services Agreement, at no cost, as of right and without prejudice to Producer’s other rights and remedies under the Vimeo OTT Services Agreement.
8.3
If Vimeo OTT receives an order from any third party for compelled disclosure of Producer Customer Data that has been transferred using the Standard Contractual Clauses, Vimeo OTT will:
8.3.1
Use every reasonable effort to redirect the third party to request the data directly from Producer;
8.3.2
Promptly notify Producer, unless prohibited by law;
8.3.3
Request a reasonable extension of time from the third party to allow Producer to evaluate the request; and
8.3.4
Use all lawful efforts to challenge the order for disclosure on the basis of any legal deficiencies or conflicts with the laws of the EU, Switzerland, UK, or applicable EU member state law.
If, after exhausting these steps, Vimeo OTT remains compelled to disclose Producer Customer Data to a third party, Vimeo OTT will disclose only the minimum necessary to satisfy the request.
9. Term and Termination
9.1
This DPA shall be in effect for as long as such Producer uses any of the Vimeo OTT Services, provided however, that where Vimeo OTT is obligated, according to the terms of this DPA or any Vimeo OTT Policies, to keep Producer Customer Data following the termination of the Vimeo OTT Services, this DPA shall continue to be in effect for as long as Vimeo OTT holds such data.
9.2
Upon termination or expiration of the Vimeo OTT Services Agreement, and unless Vimeo OTT has a lawful basis to retain such Producer Customer Data under applicable law, Vimeo OTT shall delete the Producer Customer Data as soon as reasonably practicable in accordance with Vimeo OTT Policies and applicable laws.
9.3
Vimeo OTT shall have the right to amend and/or adjust any of the terms of this DPA as may be required from time-to-time, in order to comply with any applicable laws or regulations.
9.4
Any questions regarding this DPA or requests from Producers to fulfill individual rights requests should be addressed to privacy@vhx.tv. Vimeo OTT will attempt to resolve any complaints regarding the use of Producer Customer Data in accordance with this DPA and Vimeo OTT Policies.
ANNEX I
Details of the processing
A. LIST OF PARTIES
Data exporter(s):
Data Exporter is the company identified in the Vimeo OTT Services Agreement.
Role (controller/processor): Controller
Data importer(s):
Name: Vimeo.com, Inc. (“Vimeo” or “Vimeo OTT”)
Address: 330 West 34th Street, 5th Floor, New York, New York 10001
Contact person’s name, position and contact details: Michael Cheah, Data Protection Officer
privacy@vhx.tv
Activities relevant to the data transferred under these Clauses: In accordance with the Vimeo OTT Services Agreement and associated Order Form agreed upon between Data Exporter and Data Importer.
Signature and date: According to Vimeo OTT Services Agreement.
Role (controller/processor): Processor
B. DESCRIPTION OF TRANSFER
Subject matter. The subject matter of the data processing under this DPA is Producer Customer Data.
Nature of the processing. Vimeo OTT processes Producer Customer Data to provide the Vimeo OTT Services, including such features and functionalities initiated by Producer. This includes:
Producer uploading, hosting, managing, and streaming video content to Producer Customers;
Processing transactions by Producer Customers and fulfilling orders made by such Producer Customers;
Providing customer support to Producer Customers; and
Providing all other features and functionality offered by the Vimeo OTT Services that Producer chooses to use.
Duration. The duration of the processing is equal to the duration of Producer’s use of the Vimeo OTT Services.
Purpose. The purpose of the processing is the provision of the Vimeo OTT Services initiated by Producer.
C. COMPETENT SUPERVISORY AUTHORITY
Republic of Ireland
ANNEX II
Technical and Organizational Measures to Ensure the Security of the Data
Vimeo maintains internal Information Security and Privacy Policies, which are approved annually and must be reviewed and accepted by all Vimeo employees. These policies include standards for information security management as required by the EU's General Data Protection Regulation (GDPR), Sarbanes Oxley (SOX), Payment Card Industry Data Security Standards (PCI DSS), Security Trust Principles of SOC 2 Type 2 and other privacy or data security laws, regulations, or standards. The following spotlight controls demonstrate Vimeo’s information security framework:
Governance
Vimeo’s security program is based on the concept of in-depth security: securing our organization, and user data at every stage. Our security program is aligned with NIST (National Institute of Standards and Technology) standards, and is constantly evolving with updated guidance and new industry best practices. Vimeo maintains a dedicated security team led by Vimeo’s Senior Director of Security, who is responsible for the implementation and management of our security program is supported by the members of the Vimeo Security/Compliance, Information Technology and Site Reliability teams, who collectively focus on Infrastructure Security, Application Security, Governance, Risk, Product Security, Security Engineering and Operations, Incident Detection and Response.
Incident Response and Disaster Recovery
Vimeo has established controls to respond quickly and efficiently in the event of an incident that results in a compromise of Vimeo services. These controls have been codified through Vimeo Security policies and procedures. They provide system-specific response teams and procedures for each type of incident. They include protocols for assessing incident severity, remediating incidents and where necessary, notifying affected customers.
Vimeo uses cloud infrastructure, which in turn uses distributed physical data centers that can be leveraged in the event of a natural disaster or other significant event to mitigate against loss of service. Distributed locations allow for server failover in the event of location specific disasters. Test of failover procedures and walkthroughs of Vimeo’s established system specific disaster recovery plans takes place annually.
Data Retention
Vimeo users are given tools within their account settings to delete user-submitted account data (including videos, comments, group participation and channel participation). Vimeo hard deletes user-submitted account data within a reasonable time following a deletion request or account closure.
Encryption
All Vimeo application endpoints are encrypted and authenticated prior to the exchange or derivation of session keys. Public keys must be authenticated prior to use. All externally-facing servers and applications must use a minimum of TLS 1.2 where possible
Data in Transit. All video and other data transmitted to Vimeo from users is encrypted using strong encryption protocols. Vimeo supports the latest recommended secure channels to encrypt all traffic in transit equivalent to TLS 1.2 protocols and/or AES 256 encryption.
Data at Rest. All data except video data within Vimeo’s production database is encrypted. Video data is encrypted where technologically feasible. All encryption keys are stored in a secure server with very limited access. Vimeo has implemented safeguards to protect all Vimeo user data from creation to deletion.
Network Security
Vimeo adheres to NIST guidelines for Network Security. Firewalls and similar cloud-level functions that serve as firewalls have been implemented to define a logical network perimeter, security zones, enclaves, and other methodologies for discrete and specific subnet isolation. Similarly, anti-malware and anti-virus software must be installed for all Vimeo endpoints, including Vimeo employee workstations.
Access Control
Provisioning. Vimeo adheres to the principles of least privilege and role-based permissions when provisioning Vimeo system access. Employees are only permitted to access data that they reasonably must handle in order to fulfill their job roles and responsibilities. Access for Vimeo Critical Systems is conducted on a periodic basis.
Vimeo also provides user and authorization workflows to assign administrators for role-based permissions to specific users so that any User content uploaded to Vimeo is seen and managed by specific individuals that users indicate.
Password Management. Vimeo requires all personnel to use an approved password manager. Password managers generate, store and enter unique and complex passwords to avoid password reuse, phishing and other password related risks.
Logging and Monitoring
Vimeo’s Security and Site Reliability Engineering Teams consistently monitor vulnerabilities across Vimeo Systems and use various vulnerability monitoring tools to do so.. Vimeo conducts internal and external penetration tests on a regular basis. Vimeo also leverages support from the security community through HackerOne Bug Bounty programs.
Vendor Management
Vimeo conducts an information security review of all vendors that will access personal data, and imposes heightened data security requirements for vendors which have access to Vimeo’s critical systems. This review includes both initial onboarding and annual recertification.
ANNEX III
Vimeo OTT Subprocessors
Last updated: December 14, 2022
Akamai Technologies, Inc.
Avalara, Inc.
Amazon Web Services, Inc.
Cloudflare, Inc.
Datadog, Inc.
Fastly, Inc.
Google Analytics (Google LLC)
Google Cloud (Google LLC)
hCaptcha (Intuition Machines, Inc.)
Heroku (salesforce.com, inc.)
Intertrust Cloud Services Corporation
Mux, Inc.
Redis Ltd.
Stripe Inc.
Zendesk, Inc.
Zoom
Wir nutzen Zoom um Ihnen die Möglichkeit der Teilnahme an Onlinekursen zu ermöglichen. Zoom ist ein Anbieter von Video- und Onlinekonferenzen, der auch personenbezogene Daten verarbeitet.
Zoom und die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union
Aktualisiert: 30. Dezember 2022
Zoom hat es sich zur Aufgabe gemacht, durch reibungslose Videokommunikation Freude zu verbreiten, und wir wissen, dass dies nur mit entsprechenden Datenschutz- und Sicherheitsmaßnahmen möglich ist. Deshalb sind wir bestrebt, die Kommunikation unserer Kunden bestmöglich zu schützen, so wie es die Datenschutzbestimmungen im Europäischen Wirtschaftsraum (EWR) vorsehen, insbesondere die Datenschutzgrundverordnung (DSGVO).
Zoom begrüßt die DSGVO als Gelegenheit, eine stärkere Grundlage für den Datenschutz zum Nutzen aller zu schaffen. Zoom ist sich bewusst, dass unsere Kunden ( die Datenverantwortlichen) sicherstellen müssen, dass Zoom (der Datenverarbeiter) technische und organisatorische Maßnahmen gemäß den Bestimmungen der DSGVO umsetzt. Wir bei Zoom möchten unseren Kunden in ihrer Rolle als Datenverantwortliche helfen und sie unterstützen.
Die folgenden Eckdaten spiegeln das Engagement von Zoom für den Datenschutz wider.
Vertragliche DSGVO-Verpflichtungen für alle Zoom-Kunden
Die DSGVO verlangt, dass Datenverantwortliche (wie Unternehmen und Entwickler, die die Dienste von Zoom nutzen) nur Datenverarbeiter (wie Zoom) einsetzen, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeiten und angemessene Garantien für die Erfüllung der spezifischen Anforderungen der DSGVO bieten. Zoom bietet all seinen Kunden diese Garantie, indem wir den Nachtrag zur Datenverarbeitung durch Zoom in die Zoom-Nutzungsbedingungen aufnehmen.
Vertragliche Verpflichtungen von Zoom in Bezug auf die DSGVO:
Zoom ist um Transparenz bemüht und verpflichtet sich, personenbezogene Daten nur so zu verwenden, wie es in unserer Vereinbarung über die Erbringung von Dienstleistungen angegeben ist bzw. von unseren Kunden gewünscht wird.
Zoom setzt angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der durch uns verarbeiteten personenbezogenen Daten ein.
Zoom unterstützt Kunden bei der Erfüllung ihrer Verpflichtungen, wenn Anwender ihre Rechte im Zusammenhang mit den über unsere Dienste verarbeiteten personenbezogenen Daten wahrnehmen (z. B. Anträge auf Datenauskunft, -zugang, -berichtigung und -löschung).
Unterstützung bei internationaler Datenübermittlung
Im Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-311/18 (gemeinhin als „Schrems-II-Urteil“ bezeichnet) über die Gültigkeit von Datenübermittlungen außerhalb des EWR. Die Entscheidung in der Rechtssache Schrems II geht auf die Beschwerde des Österreichers Maximillian Schrems zurück, der sich über die Übermittlung seiner personenbezogenen Daten in die USA und den möglichen Zugriff von US-Behörden auf seine Daten beschwert hatte.
Im Zuge des Schrems-II-Urteils entschied der EuGH, dass der EU-US Privacy Shield kein zulässiges Mittel zur Übermittlung personenbezogener Daten aus dem EWR in die USA mehr darstellt.
Wichtig ist jedoch, dass der EuGH auch festhielt, dass die Standardvertragsklauseln (SCCs) der Europäischen Kommission, welche die Grundlage für internationale Übermittlungen durch Zoom bilden, als rechtmäßiger Mechanismus für die Übermittlung personenbezogener Daten aus dem EWR in Nicht-EWR-Länder bestehen bleiben.
Im Anschluss an diese Entscheidung veröffentlichte die Europäische Kommission im Juni 2021 neue SCCs. Zoom hat die neuen SCCs gemäß den von der Europäischen Kommission festgelegten Übergangsfristen (d. h. bis zum 27. September 2021 für neue Verträge und bis zum 27. Dezember 2022 für bestehende Verträge) in die betreffenden Verträge aufgenommen. Weitere Informationen finden Sie in unserer Kunden-FAQ zu den neuen SCCs.
Neue Anforderung: „Know-Your-Transfer“
Mit dem Schrems-II-Beschluss wurde auch eine neue Anforderung eingeführt. Vor der Übermittlung personenbezogener Daten in ein Land außerhalb des EWR, das kein angemessenes Schutzniveau gewährleistet, müssen Datenexporteure prüfen, ob die SCCs angemessen gewährleisten, dass die personenbezogenen Daten im Empfängerland in einem Maß geschützt bleiben, das den EU-Datenschutzvorschriften „weitgehend entspricht“.
Mit anderen Worten: Bevor sie sich auf SCCs berufen, müssen Datenexporteur und Datenimporteur von jetzt an prüfen, ob die Gesetze und Praktiken in dem Land, in das Daten übertragen werden, das ansonsten bestehende Schutzniveau gefährden könnten. Um unsere Kunden bei dieser Beurteilung zu unterstützen, haben wir Data Transfer Impact Assessments für die folgenden Produkte erstellt:
Zoom Meetings/Webinar/Chat Data Transfer Impact Assessment
Zoom Phone Data Transfer Impact Assessment
Zoom Contact Center Data Transfer Impact Assessment
Für weitere Informationen zu den von Zoom ergriffenen Maßnahmen und den zusätzlichen Sicherheitsmaßnahmen, die bei Übermittlungen personenbezogener Daten aus dem EWR oder Großbritannien in die USA vorhanden sind, siehe unsere “FAQs: Internationale Datenübermittlungen.”
Starke spezifische Maßnahmen, die europäischen Datenschutz gewährleisten
Zoom legt großen Wert auf die Gewährleistung eines hohen Sicherheitsniveaus:
Zoom nutzt eine Reihe von Verschlüsselungstechnologien, um Daten bei der Übertragung und im Ruhezustand zu schützen.
Zoom setzt Sicherheitsmaßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit unserer Verarbeitungssysteme und Dienstleistungen ein.
Zoom ergreift Maßnahmen, um die unverzügliche Wiederherstellung der Verfügbarkeit und des Zugangs zu unseren Verarbeitungssystemen und Dienstleistungen im Falle eines physischen oder technischen Vorfalls zu ermöglichen.
Zoom nutzt ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, die wir zur Gewährleistung der Sicherheit der von uns verarbeiteten Daten ergreifen.
Zu den Sicherheitsmaßnahmen, die Zoom einsetzt, um die Sicherheit der über die Zoom-Plattform gesendeten und dort gespeicherten Kommunikation zu gewährleisten, gehören insbesondere die folgenden:
Optionale Ende-zu-Ende-Verschlüsselung für Meetings: Benutzer haben die Möglichkeit, die Ende-zu-Ende-Verschlüsselung für Zoom-Meetings zu aktivieren. Dies bietet ein hohes Maß an Sicherheit, da Dritte – einschließlich Zoom – keinen Zugriff auf die privaten Schlüssel des Meetings haben.
Standardmäßige Verschlüsselung: Die Verbindung zwischen einem bestimmten Gerät und Zoom wird standardmäßig mit einer Mischung aus TLS 1.2+ (Transport Layer Security/Transportschichtsicherheit), 256-Bit-AES-GCM-Verschlüsselung nach Advanced Encryption Standard und SRTP (Secure Real-time Transport Protocol/Sicheres Echtzeit-Transportprotokoll) verschlüsselt. Die genaue Methode hängt davon ab, ob Benutzer den Zoom Client, einen Webbrowser, ein Gerät oder Dienst eines Drittanbieters oder Zoom Phone verwenden. Weitere Informationen finden Sie in unserem Verschlüsselungs-Whitepaper.
Schutz vor nicht autorisierten Meetingteilnehmern: Zoom setzt zahlreiche Sicherungsmaßnahmen und Kontrollelemente ein, um die Teilnahme Unbefugter an Meetings zu verhindern:
Einmalige 11-stellige Meeting-IDs
Komplexe Kennwörter
Warteräume mit der Möglichkeit, Teilnehmer aus Ihrer und anderen ausgewählten Domänen automatisch zuzulassen
Eine Sperrfunktion für Meetings, durch die beliebige Personen an der Teilnahme am Meeting gehindert werden können
Möglichkeit, Teilnehmer zu entfernen
Authentifizierungsprofile, die den Zutritt lediglich für registrierte Benutzer erlauben oder auf bestimmte E-Mail-Domänen einschränken
Das Melde-Tool für gefährdete Meetings, das öffentliche Beiträge auf Social-Media-Seiten und andere öffentliche Internetquellen nach Links zu Zoom-Meetings durchsucht
Selektive Meeting-Einladungen: Der Host kann ausgewählte Teilnehmer per E-Mail, Chat oder SMS einladen. Dadurch erhält der Host mehr Kontrolle über die Verbreitung der Zugriffsdaten zum Meeting. Zusätzlich kann der Host das Meeting auch so gestalten, dass nur Mitglieder gewisser E-Mail-Domänen teilnehmen können.
Meetingsicherheit: Während des Meetings stellt Zoom allen Teilnehmern des Zoom-Meetings Echtzeit-Rich-Media-Inhalte sicher zur Verfügung. Alle Inhalte, die in einem Meeting für die Teilnehmer freigegeben werden, sind nur eine Abbildung der Originaldaten. Diese Inhalte sind mittels einer sicheren Implementierung für die Freigabe kodiert und optimiert.
Host-Bedienelemente: Mit diesen Meeting-Bedienelementen kann der Host folgende Funktionen für die Teilnehmer aktivieren oder deaktivieren: Bildschirmfreigabe, Chat oder Sich umbenennen.
Meldung machen: Die Funktion „Einen Benutzer melden“ erlaubt dem Meetinghost auf problematisches Verhalten aufmerksam zu machen.
Im Produkt integrierte Sicherheitsbedienelemente: Sicherheitsbedienelemente mit einem dedizierten Sicherheitssymbol auf der Hauptbenutzeroberfläche
Rollenbasierte Benutzersicherheit: Die folgenden Sicherheitsfunktionen für Meetings stehen dem Host vor dem Meeting zur Verfügung:
Sichere Anmeldung mit Standard-Benutzername und Kennwort oder einmaliges Anmelden mit SAML
Start eines gesicherten Meetings mit Kenncode
Planung eines gesicherten Meetings mit Kenncode
Verhinderung von Robocalls: Benutzer können Anrufe von Anwählcomputern durch Durchsatzratenbegrenzung verhindern und reCAPTCHA (erfordert menschlichen Eingriff) plattformübergreifend aktivieren.
Optionen für Daten während der Übertragung und im Ruhezustand
Zoom versteht, dass unsere Kunden sich Optionen bezüglich der Rechenzentren wünschen, die ihre Daten während der Übertragung und im Ruhezustand verarbeiten.
Bei der Datenübertragung (Data in Transit oder Data in Motion) werden Daten von einem Ort zu einem anderen transportiert, z. B. über das Internet oder über ein privates Netzwerk. Für Daten während der Übertragung können Kontoinhaber und Administratoren von kostenpflichtigen Konten bestimmte Rechenzentrumsregionen für das Hosting von Echtzeit-Meeting- und Webinardaten während der Übertragung deaktivieren (mehr dazu in diesem Hilfeartikel). Zoom macht die Datenweiterleitung über das Kontoverwaltungs-Dashboard transparent.
Ruhende Daten sind Daten, die gerade nicht von einem Gerät an ein anderes Gerät oder von einem Netzwerk an ein anderes Netzwerk übertragen werden, sondern im Cloud-Rechenzentrum gespeichert sind. Kunden können den Speicherort für manche ihrer ruhenden Kundeninhalte wählen.
„Kundeninhalte“ sind alle Daten, einschließlich Text-, Ton-, Video- oder Bilddateien, die ein Kunde zur Verarbeitung in den Zoom-Service eingibt und zur Speicherung oder weiteren Verarbeitung auf die Cloud-Server von Zoom hochlädt. Bei Kundeninhalten kann es sich z. B. um Videoaufzeichnungen, Cloud-Aufzeichnungen, Transkripte, Chats während eines Meetings, anhaltende Chats oder Dateien, die während eines Meetings ausgetauscht wurden, handeln.
Wenn ein Kunde Inhalte auf den Zoom Cloud-Service hochlädt, werden diese im globalen Netzwerk von Amazon Web Services (AWS) gehostet. Der Hosting-Standort kann für verschiedene Zoom-Kunden variieren, wenn die Organisation unsere Funktion zur Speicherung von Kommunikationsinhalten nutzt. Diese Speicherortfunktion ermöglicht es globalen Teams, auszuwählen, in welcher Region bestimmte Arten von ruhenden Daten gespeichert werden sollen. Bitte beachten Sie, dass bestimmte Datenkategorien dennoch in den USA verarbeitet werden.
Strenge Protokolle für die Beantwortung behördlicher Informationsanfragen
Zoom verpflichtet sich zum Schutz der Privatsphäre unserer Kunden und Benutzer und gibt nur Benutzerdaten an Behörden weiter, die in Übereinstimmung mit unserem Leitfaden für Behördenanfragen und den entsprechenden rechtlichen Richtlinien gültig und rechtmäßig angefordert werden.
Für alle geografischen Bereiche gilt:
Behördliche Anfragen müssen gemäß den geltenden Gesetzen und Vorschriften und auf offiziellem Wege erfolgen, d. h. es muss ein unterschriebenes offizielles Dokument oder eine E-Mail-Anfrage von der offiziellen E-Mail-Adresse einer staatlichen Stelle gesendet werden.
Jede Anfrage muss eindeutig und nicht zu weit gefasst sein und erfordert eine gültige Rechtsgrundlage. Anfragen, die diese Anforderungen nicht erfüllen, werden von uns abgelehnt oder angefochten.
Vor dem Hintergrund unserer Prinzipien und unseres Interesses an der Förderung einer erfolgreichen internationalen Zusammenarbeit gehen wir bei Behördenanfragen zu Benutzerinformationen besonders gewissenhaft vor.
Wenn eine Anfrage zu ungenau ist, stellt Zoom ihre Gültigkeit in Frage, um das Maß an übermittelten Informationen zu minimieren.
Zoom benachrichtigt Benutzer in der Regel über behördliche Anfragen nach Informationen und leitet die erhaltene Anfrage zur Kenntnisnahme an sie weiter, es sei denn, es ist uns gesetzlich untersagt, den Benutzer zu benachrichtigen. Anträge auf Ausnahmen von der Benutzerbenachrichtigung müssen eine Beschreibung der dringenden Umstände oder der potenziell nachteiligen Folgen enthalten.
Erhöhte Transparenz
Transparenzberichte: Zoom veröffentlichte im Dezember 2020 seinen ersten Bericht über die Anzahl der von US- und internationalen Behörden erhaltenen Anfragen (Government Request Transparency Report). Wir haben das Ziel, dass jeder Transparenzbericht den vorherigen übertrifft. Unseren neusten Transparenzbericht finden Sie hier. Weitere Transparenzberichte fügen wir zum Zoom Trust Center hinzu.
Produktinterne Benachrichtigungen: Zoom führt kontinuierlich Updates durch, um funktionsspezifische Datenschutzbenachrichtigungen in Zoom zu integrieren, damit Benutzer im konkreten Zusammenhang verstehen, wer die Inhalte und Informationen, die sie auf Zoom freigeben, sehen und weitergeben kann. Wenn ein Benutzer beispielsweise wissen möchte, wer die Nachrichten sehen kann, die er im Zoom-Chat versendet, kann er unter „Wer kann Ihre Nachrichten sehen?“ erfahren, wer auf die Nachrichten zugreifen kann, die er an alle bzw. privat versendet.
Bei der Entwicklung von Zoom-Angeboten stehen DSGVO-Anforderungen im Vordergrund
Zoom verpflichtet sich, alle erforderlichen Maßnahmen zu ergreifen, um Produktfunktionen zu entwickeln, die den DSGVO-Anforderungen entsprechen und den Schutz der über unsere Dienste verarbeiteten personenbezogenen Daten erhöhen. Weitere Informationen zu unserem Umgang mit Daten finden Sie in unserer Datenschutzerklärung. Bei Fragen zur DSGVO können Sie uns auch eine E-Mail an privacy@zoom.us schicken.
So erreichen Sie uns
Wenden Sie sich bei allgemeinen Fragen zur Webseite, zu den von uns über Sie erfassten Daten oder der Verwendung dieser Daten unter Miriam.ruberg[at]gmx.de an uns.
Yoga mit Miriam
Dr. Miriam Ruberg, Yogalehrerin
Dr.-Hepp-Str. 1
67434 Neustadt
0176-20161130
Miriam.ruberg[at]gmx.de
Zuletzt geändert am 14.02.2023