Datenschutzerkl�rung

Verantwortliche Stelle im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:

Henrik Steverding

Ihre Betroffenenrechte

Unter den angegebenen Kontaktdaten unseres Datenschutzbeauftragten k�nnen Sie jederzeit folgende Rechte aus�ben:

Sofern Sie uns eine Einwilligung erteilt haben, k�nnen Sie diese jederzeit mit Wirkung f�r die Zukunft widerrufen.

Sie k�nnen sich jederzeit mit einer Beschwerde an eine Aufsichtsbeh�rde wenden, z. B. an die zust�ndige Aufsichtsbeh�rde des Bundeslands Ihres Wohnsitzes oder an die f�r uns als verantwortliche Stelle zust�ndige Beh�rde.

Eine Liste der Aufsichtsbeh�rden (f�r den nicht�ffentlichen Bereich) mit Anschrift finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

Erfassung allgemeiner Informationen beim Besuch unserer Website

Art und Zweck der Verarbeitung:

Wenn Sie auf unsere Website zugreifen, d.h., wenn Sie sich nicht registrieren oder anderweitig Informationen �bermitteln, werden automatisch Informationen allgemeiner Natur erfasst. Diese Informationen (Server-Logfiles) beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers, Ihre IP-Adresse und �hnliches. Hierbei handelt es sich ausschlie�lich um Informationen, welche keine R�ckschl�sse auf Ihre Person zulassen.

Sie werden insbesondere zu folgenden Zwecken verarbeitet:

Wir verwenden Ihre Daten nicht, um R�ckschl�sse auf Ihre Person zu ziehen. Informationen dieser Art werden von uns ggfs. statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.

Rechtsgrundlage:

Die Verarbeitung erfolgt gem�� Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an der Verbesserung der Stabilit�t und Funktionalit�t unserer Website.

Empf�nger:

Empf�nger der Daten sind ggf. technische Dienstleister, die f�r den Betrieb und die Wartung unserer Webseite als Auftragsverarbeiter t�tig werden.

Speicherdauer:

Die Daten werden gel�scht, sobald diese f�r den Zweck der Erhebung nicht mehr erforderlich sind. Dies ist f�r die Daten, die der Bereitstellung der Webseite dienen, grunds�tzlich der Fall, wenn die jeweilige Sitzung beendet ist.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung der vorgenannten personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die IP-Adresse ist jedoch der Dienst und die Funktionsf�higkeit unserer Website nicht gew�hrleistet. Zudem k�nnen einzelne Dienste und Services nicht verf�gbar oder eingeschr�nkt sein. Aus diesem Grund ist ein Widerspruch ausgeschlossen.

Registrierung auf unserer Website

Art und Zweck der Verarbeitung:

Bei der Registrierung f�r die Nutzung unserer personalisierten Leistungen werden einige personenbezogene Daten erhoben, wie Name, Anschrift, Kontakt- und Kommunikationsdaten (z. B. Telefonnummer und E-Mail-Adresse). Sind Sie bei uns registriert, k�nnen Sie auf Inhalte und Leistungen zugreifen, die wir nur registrierten Nutzern anbieten. Angemeldete Nutzer haben zudem die M�glichkeit, bei Bedarf die bei Registrierung angegebenen Daten jederzeit zu �ndern oder zu l�schen. Selbstverst�ndlich erteilen wir Ihnen dar�ber hinaus jederzeit Auskunft �ber die von uns �ber Sie gespeicherten personenbezogenen Daten.

Rechtsgrundlage:

Die Verarbeitung der bei der Registrierung eingegebenen Daten erfolgt auf Grundlage einer Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO).

Empf�nger:

Empf�nger der Daten sind ggf. technische Dienstleister, die f�r den Betrieb und die Wartung unserer Website als Auftragsverarbeiter t�tig werden.

Speicherdauer:

Daten werden in diesem Zusammenhang nur verarbeitet, solange die entsprechende Einwilligung vorliegt. Danach werden sie gel�scht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Zur Kontaktaufnahme in diesem Zusammenhang nutzen Sie bitte die am Ende dieser Datenschutzerkl�rung angegebenen Kontaktdaten.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Ohne die Bereitstellung Ihrer personenbezogenen Daten k�nnen wir Ihnen keinen Zugang auf unsere angebotenen Inhalte und Leistungen gew�hren.

Kommentarfunktion

Art und Zweck der Verarbeitung:

Wenn Nutzer Kommentare auf unserer Website hinterlassen, werden neben diesen Angaben auch der Zeitpunkt ihrer Erstellung und der zuvor durch den Websitebesucher gew�hlte Nutzername gespeichert. Dies dient unserer Sicherheit, da wir f�r widerrechtliche Inhalte auf unserer Webseite belangt werden k�nnen, auch wenn diese durch Benutzer erstellt wurden.

Rechtsgrundlage:

Die Verarbeitung der als Kommentar eingegebenen Daten erfolgt auf der Grundlage eines berechtigten Interesses (Art 6 Abs. 1 lit. f DSGVO).

Durch Bereitstellung der Kommentarfunktion m�chten wir Ihnen eine unkomplizierte Interaktion erm�glichen. Ihre gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie f�r m�gliche Anschlussfragen gespeichert.

Empf�nger:

Empf�nger der Daten sind ggf. Auftragsverarbeiter.

Speicherdauer:

Die Daten werden gel�scht, sobald diese f�r den Zweck der Erhebung nicht mehr erforderlich sind. Dies ist grunds�tzlich der Fall, wenn die Kommunikation mit dem Nutzer abgeschlossen ist und das Unternehmen den Umst�nden entnehmen kann, dass der betroffene Sachverhalt abschlie�end gekl�rt ist.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig. Ohne die Bereitstellung Ihrer personenbezogenen Daten k�nnen wir Ihnen keinen Zugang zu unserer Kommentarfunktion gew�hren.

Newsletter

Art und Zweck der Verarbeitung:

Ihre Daten werden ausschlie�lich dazu verwendet, Ihnen den abonnierten Newsletter per E-Mail zuzustellen. Die Angabe Ihres Namens erfolgt, um Sie im Newsletter pers�nlich ansprechen zu k�nnen und ggf. zu identifizieren, falls Sie von Ihren Rechten als Betroffener Gebrauch machen wollen.

F�r den Empfang des Newsletters ist die Angabe Ihrer E-Mail-Adresse ausreichend. Bei der Anmeldung zum Bezug unseres Newsletters werden die von Ihnen angegebenen Daten ausschlie�lich f�r diesen Zweck verwendet. Abonnenten k�nnen auch �ber Umst�nde per E-Mail informiert werden, die f�r den Dienst oder die Registrierung relevant sind (bspw. �nderungen des Newsletterangebots oder technische Gegebenheiten).

F�r eine wirksame Registrierung ben�tigen wir eine valide E-Mail-Adresse. Um zu �berpr�fen, dass eine Anmeldung tats�chlich durch den Inhaber einer E-Mail-Adresse erfolgt, setzen wir das �Double-opt-in�-Verfahren ein. Hierzu protokollieren wir die Bestellung des Newsletters, den Versand einer Best�tigungsmail und den Eingang der hiermit angeforderten Antwort. Weitere Daten werden nicht erhoben. Die Daten werden ausschlie�lich f�r den Newsletterversand verwendet und nicht an Dritte weitergegeben.

Rechtsgrundlage:

Auf Grundlage Ihrer ausdr�cklich erteilten Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), �bersenden wir Ihnen regelm��ig unseren Newsletter bzw. vergleichbare Informationen per E-Mail an Ihre angegebene E-Mail-Adresse.

Die Einwilligung zur Speicherung Ihrer pers�nlichen Daten und ihrer Nutzung f�r den Newsletterversand k�nnen Sie jederzeit mit Wirkung f�r die Zukunft widerrufen. In jedem Newsletter findet sich dazu ein entsprechender Link. Au�erdem k�nnen Sie sich jederzeit auch direkt auf dieser Website abmelden oder uns Ihren Widerruf �ber die am Ende dieser Datenschutzhinweise angegebene Kontaktm�glichkeit mitteilen.

Empf�nger:

Empf�nger der Daten sind ggf. Auftragsverarbeiter.

Speicherdauer:

Die Daten werden in diesem Zusammenhang nur verarbeitet, solange die entsprechende Einwilligung vorliegt. Danach werden sie gel�scht.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Ohne bestehende Einwilligung k�nnen wir Ihnen unseren Newsletter leider nicht zusenden.

Kontaktformular

Art und Zweck der Verarbeitung:

Die von Ihnen eingegebenen Daten werden zum Zweck der individuellen Kommunikation mit Ihnen gespeichert. Hierf�r ist die Angabe einer validen E-Mail-Adresse sowie Ihres Namens erforderlich. Diese dient der Zuordnung der Anfrage und der anschlie�enden Beantwortung derselben. Die Angabe weiterer Daten ist optional.

Rechtsgrundlage:

Die Verarbeitung der in das Kontaktformular eingegebenen Daten erfolgt auf der Grundlage eines berechtigten Interesses (Art 6 Abs. 1 lit. f DSGVO).

Durch Bereitstellung des Kontaktformulars m�chten wir Ihnen eine unkomplizierte Kontaktaufnahme erm�glichen. Ihre gemachten Angaben werden zum Zwecke der Bearbeitung der Anfrage sowie f�r m�gliche Anschlussfragen gespeichert.

Sofern Sie mit uns Kontakt aufnehmen, um ein Angebot zu erfragen, erfolgt die Verarbeitung der in das Kontaktformular eingegebenen Daten zur Durchf�hrung vorvertraglicher Ma�nahmen (Art 6 Abs. 1 lit. b DSGVO).

Empf�nger:

Empf�nger der Daten sind ggf. Auftragsverarbeiter.

Speicherdauer:

Daten werden sp�testens 6 Monate nach Bearbeitung der Anfrage gel�scht.

Sofern es zu einem Vertragsverh�ltnis kommt, unterliegen wir den gesetzlichen Aufbewahrungsfristen nach HGB und l�schen Ihre Daten nach Ablauf dieser Fristen.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig. Wir k�nnen Ihre Anfrage jedoch nur bearbeiten, sofern Sie uns Ihren Namen, Ihre E-Mail-Adresse und den Grund der Anfrage mitteilen.

Verwendung von Google Analytics

Art und Zweck der Verarbeitung:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 USA (nachfolgend: �Google�). Google Analytics verwendet sog. �Cookies�, also Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Webseite durch Sie erm�glichen. Die durch das Cookie erzeugten Informationen �ber Ihre Benutzung dieser Webseite werden in der Regel an einen Server von Google in den USA �bertragen und dort gespeichert. Aufgrund der Aktivierung der IP-Anonymisierung auf diesen Webseiten, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europ�ischen Union oder in anderen Vertragsstaaten des Abkommens �ber den Europ�ischen Wirtschaftsraum zuvor gek�rzt. Nur in Ausnahmef�llen wird die volle IP-Adresse an einen Server von Google in den USA �bertragen und dort gek�rzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports �ber die Webseitenaktivit�ten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegen�ber dem Webseitenbetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser �bermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengef�hrt.

Die Zwecke der Datenverarbeitung liegen in der Auswertung der Nutzung der Website und in der Zusammenstellung von Reports �ber Aktivit�ten auf der Website. Auf Grundlage der Nutzung der Website und des Internets sollen dann weitere verbundene Dienstleistungen erbracht werden.

Rechtsgrundlage:

Die Verarbeitung der Daten erfolgt auf Grundlage einer Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO).

Empf�nger:

Empf�nger der Daten ist Google als Auftragsverarbeiter. Hierf�r haben wir mit Google den entsprechenden Auftragsverarbeitungsvertrag abgeschlossen.

Speicherdauer:

Die L�schung der Daten erfolgt, sobald diese f�r unsere Aufzeichnungszwecke nicht mehr erforderlich sind.

Drittlandtransfer:

Google verarbeitet Ihre Daten in den USA und hat sich dem EU_US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework. Au�erdem haben wir Standarddatenschutzklauseln mit Google f�r den Einsatz von Google Analytics abgeschlossen.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Sofern Sie den Zugriff unterbinden, kann es hierdurch zu Funktionseinschr�nkungen auf der Website kommen.

Widerruf der Einwilligung:

Sie k�nnen die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht s�mtliche Funktionen dieser Website vollumf�nglich werden nutzen k�nnen. Sie k�nnen dar�ber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verf�gbare Browser-Plugin herunterladen und installieren: Browser Add On zur Deaktivierung von Google Analytics.

Zus�tzlich oder als Alternative zum Browser-Add-On k�nnen Sie das Tracking durch Google Analytics auf unseren Seiten unterbinden, indem Sie diesen Link anklicken. Dabei wird ein Opt-out-Cookie auf Ihrem Ger�t installiert. Damit wird die Erfassung durch Google Analytics f�r diese Website und f�r diesen Browser zuk�nftig verhindert, so lange das Cookie in Ihrem Browser installiert bleibt.

Profiling:

Mit Hilfe des Tracking-Tools Google Analytics kann das Verhalten der Besucher der Webseite bewertet und die Interessen analysiert werden. Hierzu erstellen wir ein pseudonymes Nutzerprofil.

Verwendung von Scriptbibliotheken (Google Webfonts)

Art und Zweck der Verarbeitung:

Um unsere Inhalte browser�bergreifend korrekt und grafisch ansprechend darzustellen, verwenden wir auf dieser Website �Google Web Fonts� der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; nachfolgend �Google�) zur Darstellung von Schriften.

Die Datenschutzrichtlinie des Bibliothekbetreibers Google finden Sie hier: https://www.google.com/policies/privacy/

Rechtsgrundlage:

Rechtsgrundlage f�r die Einbindung von Google Webfonts und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Empf�nger:

Der Aufruf von Scriptbibliotheken oder Schriftbibliotheken l�st automatisch eine Verbindung zum Betreiber der Bibliothek aus. Dabei ist es theoretisch m�glich � aktuell allerdings auch unklar ob und ggf. zu welchen Zwecken � dass der Betreiber in diesem Fall Google Daten erhebt.

Speicherdauer:

Wir erheben keine personenbezogenen Daten, durch die Einbindung von Google Webfonts.

Weitere Informationen zu Google Web Fonts finden Sie unter https://developers.google.com/fonts/faq und in der Datenschutzerkl�rung von Google: https://www.google.com/policies/privacy/.

Drittlandtransfer:

Google verarbeitet Ihre Daten in den USA und hat sich dem EU_US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung der personenbezogenen Daten ist weder gesetzlich, noch vertraglich vorgeschrieben. Allerdings kann ohne die korrekte Darstellung der Inhalte von Standardschriften nicht erm�glicht werden.

Widerruf der Einwilligung:

Zur Darstellung der Inhalte wird regelm��ig die Programmiersprache JavaScript verwendet. Sie k�nnen der Datenverarbeitung daher widersprechen, indem Sie die Ausf�hrung von JavaScript in Ihrem Browser deaktivieren oder einen Einbindung JavaScript-Blocker installieren. Bitte beachten Sie, dass es hierdurch zu Funktionseinschr�nkungen auf der Website kommen kann.

Eingebettete YouTube-Videos

Art und Zweck der Verarbeitung:

Auf einigen unserer Webseiten betten wir YouTube-Videos ein. Betreiber der entsprechenden Plugins ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA (nachfolgend �YouTube�). Wenn Sie eine Seite mit dem YouTube-Plugin besuchen, wird eine Verbindung zu Servern von YouTube hergestellt. Dabei wird YouTube mitgeteilt, welche Seiten Sie besuchen. Wenn Sie in Ihrem YouTube-Account eingeloggt sind, kann YouTube Ihr Surfverhalten Ihnen pers�nlich zuzuordnen. Dies verhindern Sie, indem Sie sich vorher aus Ihrem YouTube-Account ausloggen.

Wird ein YouTube-Video gestartet, setzt der Anbieter Cookies ein, die Hinweise �ber das Nutzerverhalten sammeln.

Weitere Informationen zu Zweck und Umfang der Datenerhebung und ihrer Verarbeitung durch YouTube erhalten Sie in den Datenschutzerkl�rungen des Anbieters, Dort erhalten Sie auch weitere Informationen zu Ihren diesbez�glichen Rechten und Einstellungsm�glichkeiten zum Schutze Ihrer Privatsph�re (https://policies.google.com/privacy). Google verarbeitet Ihre Daten in den USA und hat sich dem EU-US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework

Rechtsgrundlage:

Rechtsgrundlage f�r die Einbindung von YouTube und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Empf�nger:

Der Aufruf von YouTube l�st automatisch eine Verbindung zu Google aus.

Speicherdauer und Widerruf der Einwilligung:

Wer das Speichern von Cookies f�r das Google-Ad-Programm deaktiviert hat, wird auch beim Anschauen von YouTube-Videos mit keinen solchen Cookies rechnen m�ssen. YouTube legt aber auch in anderen Cookies nicht-personenbezogene Nutzungsinformationen ab. M�chten Sie dies verhindern, so m�ssen Sie das Speichern von Cookies im Browser blockieren.

Weitere Informationen zum Datenschutz bei �YouTube� finden Sie in der Datenschutzerkl�rung des Anbieters unter: https://www.google.de/intl/de/policies/privacy/

Drittlandtransfer:

Google verarbeitet Ihre Daten in den USA und hat sich dem EU_US Privacy Shield unterworfen https://www.privacyshield.gov/EU-US-Framework.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Sofern Sie den Zugriff unterbinden, kann es hierdurch zu Funktionseinschr�nkungen auf der Website kommen.

Einsatz von Google Remarketing

Art und Zweck der Verarbeitung:

Diese Webseite verwendet die Remarketing-Funktion der Google Inc. Betreibergesellschaft der Dienste von Google Remarketing ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (nachfolgend �Google�).

Die Funktion dient dazu, Webseitenbesuchern innerhalb des Google-Werbenetzwerks interessenbezogene Werbeanzeigen zu pr�sentieren. Im Browser des Webseitenbesuchers wird ein sog. �Cookie� gespeichert, der es erm�glicht, den Besucher wiederzuerkennen, wenn dieser Webseiten aufruft, die dem Werbenetzwerk von Google angeh�ren. Auf diesen Seiten k�nnen dem Besucher Werbeanzeigen pr�sentiert werden, die sich auf Inhalte beziehen, die der Besucher zuvor auf Webseiten aufgerufen hat, die die Remarketing Funktion von Google verwenden.

Rechtsgrundlage:

Rechtsgrundlage f�r die Einbindung von Google Remarketing und dem damit verbundenen Datentransfer zu Google ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Empf�nger:

Bei jedem Besuch unsere Webseite werden personenbezogene Daten, einschlie�lich Ihrer IP-Adresse an Google in die USA �bertragen. Diese personenbezogenen Daten werden durch Google gespeichert. Google gibt diese �ber das technische Verfahren erhobenen personenbezogenen Daten unter Umst�nden an Dritte weiter.

Unser Unternehmen enth�lt keine Informationen von Google, mittels derer die betroffene Person identifiziert werden k�nnte.

Widerruf der Einwilligung:

Nach eigenen Angaben erhebt Google bei diesem Vorgang keine personenbezogenen Daten. Sollten Sie die Funktion Remarketing von Google dennoch nicht w�nschen, k�nnen Sie diese grunds�tzlich deaktivieren, indem Sie die entsprechenden Einstellungen unter https://support.google.com/adwordspolicy/answer/143465 vornehmen. Alternativ k�nnen Sie den Einsatz von Cookies f�r interessenbezogene Werbung �ber die Werbenetzwerkinitiative deaktivieren, indem Sie den Anweisungen unter http://www.networkadvertising.org/managing/opt_out.asp folgen.

Bereitstellung vorgeschrieben oder erforderlich:

Die Bereitstellung Ihrer personenbezogenen Daten erfolgt freiwillig, allein auf Basis Ihrer Einwilligung. Sofern Sie den Zugriff unterbinden, kann es hierdurch zu Funktionseinschr�nkungen auf der Website kommen.

SSL-Verschl�sselung

Um die Sicherheit Ihrer Daten bei der �bertragung zu sch�tzen, verwenden wir dem aktuellen Stand der Technik entsprechende Verschl�sselungsverfahren (z. B. SSL) �ber HTTPS.

�nderung unserer Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerkl�rung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um �nderungen unserer Leistungen in der Datenschutzerkl�rung umzusetzen, z.B. bei der Einf�hrung neuer Services. F�r Ihren erneuten Besuch gilt dann die neue Datenschutzerkl�rung.

Fragen an den Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die f�r den Datenschutz verantwortliche Person in unserer Organisation:

Die Datenschutzerkl�rung wurde mit dem Datenschutzerkl�rungs-Generator der activeMind AG erstellt (Version 2018-06-22).

Google-Cookies fr Anzeigenvorgaben

  • Drittanbieter, einschlielich Google, verwenden Cookies zur Bereitstellung von Anzeigen auf Basis frherer Aufrufe Ihrer Website oder anderer Websites durch den Nutzer.
  • Dank der Cookies fr Anzeigenvorgaben knnen Google und seine Partner Ihren Nutzern auf Basis der Aufrufe Ihrer oder anderer Websites Anzeigen bereitstellen.
  • Nutzer knnen in den Einstellungen fr Werbung personalisierte Werbung deaktivieren. Alternativ knnen Sie Nutzer auf die Seite www.aboutads.info verweisen, auf der sie die Verwendung von Cookies fr personalisierte Werbung durch einen Drittanbieter deaktivieren knnen.
  • Sofern Sie nicht die Anzeigenbereitstellung von Drittanbietern deaktiviert haben, knnen auch Cookies von Drittanbietern oder anderen Werbenetzwerken fr die Anzeigenbereitstellung auf Ihrer Website verwendet werden. Darauf mssen Sie wie folgt in Ihren Datenschutzbestimmungen hinweisen:

    1. Einfhrung

    Diese Datenverarbeitungsbedingungen enthalten die Vereinbarung der Vertragsparteien ber die Regelungen, die fr die Verarbeitung und Sicherheit von personenbezogenen Daten des Kunden im Zusammenhang mit den Datenschutzvorschriften gelten.

    2. Begriffsbestimmungen und Auslegung

    2.1 In diesen Datenverarbeitungsbedingungen gelten die folgenden Begriffsbestimmungen:

    Auftragsverarbeiterdienste bedeutet die jeweils einschlgigen Dienste, die unter privacy.google.com/businesses/adsservices aufgefhrt sind.

    Datenschutzvorschriften bedeutet, soweit anwendbar: (a) die DSGVO und/oder (b) das Bundesgesetz ber den Datenschutz (der Schweiz) von 1992.

    Datenvorfall bedeutet ein Sicherheitsvorkommnis bei Google, das zur/zum unabsichtlichen oder gesetzwidrigen Vernichtung, Verlust, nderung von personenbezogenen Daten des Kunden oder zur unautorisierten Offenlegung oder zum unautorisierten Zugriff auf diese fhrt, wobei dabei Systeme betroffen sind, die von Google verwaltet oder anderweitig von Google kontrolliert werden. Nicht unter den Begriff Datenvorfall fallen erfolglose Zugriffsversuche oder hnliche Ereignisse, die die Sicherheit der personenbezogenen Daten des Kunden nicht kompromittieren, wie etwa erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

    Drittanbieter-Unterauftragsverarbeiter hat die in Ziffer 11.1 (Zustimmung zur Verpflichtung von Unterauftragsverarbeitern) enthaltene Bedeutung.

    DSGVO bedeutet die Verordnung (EU) 2016/679 des Europischen Parlaments und des Rates vom 27. April 2016 zum Schutz natrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

    E-Mail-Adresse fr Benachrichtigungen bedeutet die E-Mail-Adresse (falls vorhanden), die vom Kunden ber die Benutzeroberflche des Auftragsverarbeiterdienstes oder ber andere von Google bereitgestellte Mglichkeiten angegeben wurde, um bestimmte Benachrichtigungen von Google zu diesen Datenverarbeitungsbedingungen zu erhalten.

    EWR bedeutet der Europische Wirtschaftsraum.

    Google-Gruppenunternehmen Unterauftragsverarbeiter hat die in Ziffer 11.1 (Zustimmung zum Einsatz von Unterauftragsverarbeitern) festgelegte Bedeutung.

    Google-Gruppenunternehmen bedeutet Google LLC (vormalige Bezeichnung Google Inc.), Google Ireland Limited oder andere verbundene Unternehmen der Google LLC.

    Google bedeutet das Google-Gruppenunternehmen, das Vertragspartei der Vereinbarung ist.

    ISO-27001-Zertifizierung bedeutet die Zertifizierung nach ISO/IEC 27001:2013 oder eine vergleichbare Zertifizierung der Auftragsverarbeiterdienste.

    Laufzeit bedeutet den Zeitraum zwischen dem Wirksamkeitsdatum und dem Ende der Erbringung der Auftragsverarbeiterdienste durch Google gem der Vereinbarung.

    Personenbezogene Daten des Kunden bedeutet personenbezogene Daten, die im Auftrag des Kunden durch Google im Rahmen der Erbringung der Auftragsverarbeiterdienste verarbeitet werden.

    Privacy Shield bedeutet das EU-US-Privacy-Shield-Rahmenprogramm und das Swiss-US Privacy Shield-Rahmenprogramm.

    Sicherheitsdokumentation bedeutet das Zertifikat, das fr die ISO-27001-Zertifizierung ausgestellt wurde und jegliche anderen Sicherheitszertifizierungen oder Dokumentationen, die Google in Bezug auf die Auftragsverarbeiterdienste ggf. zur Verfgung stellt.

    Sicherheitsmanahmen hat die in Ziffer 7.1.1 (Googles Sicherheitsmanahmen) festgelegte Bedeutung.

    Tool fr betroffene Personen bedeutet ein von einem Google-Gruppenunternehmen zur Verfgung gestelltes Tool (soweit jeweils vorhanden), das Google ermglicht, direkt und auf standardisierte Weise bestimmte Anfragen von betroffenen Personen in Bezug auf personenbezogene Daten des Kunden zu beantworten (z. B. in Bezug auf Online-Einstellungen fr Werbung oder ein Opt-out-Browser-Plugin).

    Unterauftragsverarbeiter bedeutet Dritte, die unter diesen Datenverarbeitungsbedingungen autorisiert sind, logisch auf personenbezogene Daten des Kunden zuzugreifen und diese zu verarbeiten, um Teile der Auftragsverarbeiterdienste bereitzustellen und dazugehrigen technischen Support zu erbringen.

    Verbundenes Unternehmen bedeutet jede juristische Person, die direkt oder indirekt kontrolliert, von einer der Vertragsparteien kontrolliert wird oder unter gemeinsamer Kontrolle mit einer der Vertragsparteien steht.

    Wirksamkeitsdatum bedeutet entweder.

    (a) der 25. Mai 2018, falls der Kunde im Rahmen eines Click-to-Accept-Verfahrens diese Datenverarbeitungsbedingungen oder die Vertragsparteien anderweitig die vorliegenden Datenverarbeitungsbedingungen an dem vorgenannten Datum oder zuvor geschlossen hat bzw. abgeschlossen haben, oder

    (b) das Datum, an dem der Kunde im Rahmen eines Click-to-Accept-Verfahrens diese Datenverarbeitungsbedingungen abgeschlossen hat oder die Vertragsparteien anderweitig den vorliegenden Datenverarbeitungsbedingungen zugestimmt haben, falls dieses jeweils nach dem 25. Mai 2018 geschieht.

    Zusatzprodukt bedeutet ein Produkt, einen Dienst oder eine Anwendung von Google oder einem Dritten, das/der/die (a) nicht Bestandteil der Auftragsverarbeiterdienste ist und (b) zur Nutzung ber die Benutzeroberflche der Auftragsverarbeiterdienste erreichbar oder anderweitig in die Auftragsverarbeiterdienste integriert ist.

    2.2 Die Begriffe Verantwortlicher, betroffene Person, personenbezogene Daten, Verarbeitung, Auftragsverarbeiter und Aufsichtsbehrde haben in diesen Datenverarbeitungsbedingungen jeweils dieselbe Bedeutung, die ihnen in der DSGVO zugewiesen wird.

    2.3 Formulierungen, die mit Worten wie einschlielich oder mit einem hnlichen Ausdruck beginnen, sind so auszulegen, dass diese Formulierungen nur illustrativ gemeint sind und sie die Bedeutung der davorstehenden Formulierungen nicht einschrnken sollen. Etwaige in diesen Datenverarbeitungsbedingungen angefhrte Beispiele dienen nur der Veranschaulichung und sind nicht als ausschlieliche Beispiele fr ein bestimmtes Konzept gemeint.

    2.4 Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren aktuellen Stand und deren zum jeweiligen Zeitpunkt gltige und ggf. genderte oder berarbeitete Fassung.

    3. Laufzeit dieser Datenverarbeitungsbedingungen

    Die vorliegenden Datenverarbeitungsbedingungen treten zum angegebenen Wirksamkeitsdatum in Kraft und bleiben unabhngig davon, ob die Laufzeit abgelaufen sein sollte solange in Kraft, bis Google alle personenbezogenen Kundendaten gem den vorliegenden Datenverarbeitungsbedingungen gelscht hat; zu diesem Zeitpunkt enden diese Datenverarbeitungsbedingungen automatisch.

    4. Anwendbarkeit dieser Datenverarbeitungsbedingungen

    4.1 Anwendbarkeit der Datenschutzvorschriften. Diese Datenverarbeitungsbedingungen gelten nur in dem Umfang, in dem die Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten des Kunden Anwendung finden, einschlielich wenn:

    (a) die Verarbeitung im Rahmen der Ttigkeiten einer Betriebssttte des Kunden im EWR stattfindet und/oder

    (b) personenbezogene Daten des Kunden personenbezogene Daten darstellen, die sich auf betroffene Personen beziehen, die sich im EWR befinden und sich die Verarbeitung auf das Angebot von Waren oder Dienstleistungen oder die Beobachtung des Verhaltens im EWR bezieht.

    4.2 Anwendbarkeit auf Auftragsverarbeiterdienste. Diese Datenverarbeitungsbedingungen gelten nur fr solche Auftragsverarbeiterdienste, fr welche die Vertragsparteien diese Datenverarbeitungsbedingungen abgeschlossen haben (zum Beispiel, fr solche Auftragsverarbeiterdienste, (a) fr die der Kunde diese Datenverarbeitungsbedingungen mittels eines Click-to-Accept-Verfahrens abgeschlossen hat oder (b) auf die die Vereinbarung Anwendung findet und in welche diese Datenverarbeitungsbedingungen einbezogen und zum Gegenstand der Vereinbarung gemacht werden).

    5. Verarbeitung von Daten

    5.1 Rollenverteilung und Einhaltung gesetzlicher Vorgaben; Autorisierung.

    5.1.1 Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Vertragsparteien besttigen und vereinbaren, dass:

    (a) Anhang 1 den Gegenstand und die Details der Verarbeitung der personenbezogenen Daten des Kunden beschreibt,

    (b) Google als ein Auftragsverarbeiter von personenbezogenen Daten des Kunden gem den Datenschutzvorschriften handelt,

    (c) der Kunde, je nachdem was zutrifft, als ein Verantwortlicher oder ein Auftragsverarbeiter von personenbezogenen Daten des Kunden gem den Datenschutzvorschriften handelt, und

    (d) jede Vertragspartei verpflichtet ist, den Verpflichtungen nachzukommen, die fr die jeweilige Partei in Bezug auf die Verarbeitung von personenbezogenen Daten des Kunden gem den Datenschutzvorschriften gelten.

    5.1.2 Autorisierung durch einen Dritten als Verantwortlichen. Ist der Kunde selbst ein Auftragsverarbeiter, so sichert er gegenber Google zu, dass seine Weisungen und Manahmen hinsichtlich personenbezogener Daten des Kunden, einschlielich der Einsetzung von Google als weiteren Auftragsverarbeiter, durch den betreffenden Verantwortlichen autorisiert wurden.

    5.2 Weisungen des Kunden. Durch Zustimmung zu diesen Datenverarbeitungsbedingungen weist der Kunde Google an, personenbezogene Daten des Kunden in bereinstimmung mit dem anwendbaren Recht zu verarbeiten, (a) um die Auftragsverarbeiterdienste und damit im Zusammenhang stehenden technischen Support zu erbringen, und (b) wie weiter durch die Nutzung des Kunden der Auftragsverarbeiterdienste festgelegt (einschlielich durch die Einstellungen und Funktionalitten der Auftragsverarbeiterdienste) und damit im Zusammenhang stehenden technischen Support, (c) wie durch die Vereinbarung, einschlielich dieser Datenverarbeitungsbedingungen, dokumentiert wird und (d) wie zustzlich in anderen schriftlichen Weisungen dokumentiert ist, die vom Kunden gegeben wurden und von Google frmlich als Weisung im Sinne der vorliegenden Datenverarbeitungsbedingungen anerkannt wurden.

    5.3 Befolgung der Weisungen durch Google. Google wird die Weisungen, die in Ziffer 5.2 (Weisungen des Kunden) festgelegt sind (auch im Hinblick auf die bermittlung von Daten) befolgen, es sei denn, Gesetze der EU oder eines EU-Mitgliedstaats, die auf Google Anwendung finden, erfordern eine anderweitige Verarbeitung der personenbezogenen Daten des Kunden durch Google; in einem solchen Fall wird Google den Kunden entsprechend informieren (es sei denn, das jeweilige Gesetz verbietet Google dies aus wichtigen Grnden des ffentlichen Interesses zu tun).

    5.4 Zusatzprodukte. Wenn der Kunde Zusatzprodukte verwendet, knnen die Auftragsverarbeiterdienste diesen Zusatzprodukten den Zugriff auf personenbezogene Daten des Kunden ermglichen, sofern dies fr die Interaktion zwischen diesen Zusatzprodukten und den Auftragsverarbeiterdiensten erforderlich ist. Zur Klarstellung, diese Datenverarbeitungsbedingungen gelten nicht fr die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Zusatzprodukten, die durch den Kunden genutzt werden, einschlielich fr personenbezogene Daten, die von oder zu diesen Zusatzprodukten bermittelt werden.

    6. Lschung von Daten

    6.1 Lschung whrend der Laufzeit.

    6.1.1 Auftragsverarbeiterdienste mit Lschfunktion. Falls whrend der Laufzeit:

    (a) die Softwarefunktionalitten der Auftragsverarbeiterdienste dem Kunden eine Mglichkeit zur Verfgung stellen, personenbezogene Daten des Kunden zu lschen,

    (b) der Kunde die Auftragsverarbeiterdienste dazu nutzt, bestimmte personenbezogene Daten des Kunden zu lschen und

    (c) die gelschten personenbezogenen Daten des Kunden vom Kunden nicht wiederhergestellt werden knnen (z. B. aus dem Papierkorb),

    dann wird Google diese personenbezogenen Daten des Kunden von ihren Systemen so frh wie es angemessen und praktikabel ist und sptestens nach einer Dauer von 180 Tagen lschen, falls nicht ein EU-Gesetz oder das Gesetz eines EU-Mitgliedsstaats eine Aufbewahrung vorschreibt.

    6.1.2 Auftragsverarbeiterdienste ohne Lschfunktion. Falls die Softwarefunktionalitten der Auftragsverarbeiterdienste keine Mglichkeit vorsehen die den Kunden in die Lage versetzt, whrend der Laufzeit personenbezogene Daten des Kunden zu lschen, dann wird Google:

    (a) jeder angemessenen Anfrage des Kunden entsprechen, um eine solche Lschung zu erreichen, soweit dies unter Bercksichtigung der Art und Funktionsweise der Auftragsverarbeiterdienste mglich ist und falls nicht ein EU-Gesetz oder das Gesetz eines EU-Mitgliedsstaats eine Aufbewahrung vorschreibt, und

    (b) die Datenspeicherungsverfahren, die unter www.google.com/policies/technologies/ads beschrieben sind, einhalten.

    Google ist berechtigt, einen Ersatz der Kosten (basierend aufs Googles angemessenen Aufwendungen) fr die Lschung von Daten nach Ziffer 6.1.2(a) zu verlangen. Vor einer solchen Lschung wird Google dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage fr die Berechnung dieser Kosten zur Verfgung stellen.

    6.2 Lschung nach Ablauf der Laufzeit. Der Kunde weist Google an, nach Ablauf der Laufzeit smtliche personenbezogenen Daten des Kunden (einschlielich aller existierenden Kopien) gem den Vorgaben des anwendbaren Rechts von Googles Systemen zu lschen Google wird dieser Weisung so frh wie es angemessen und praktikabel ist und sptestens nach einer Dauer von 180 Tagen Folge leisten, falls nicht ein EU-Gesetz oder das Gesetz eines EU-Mitgliedsstaats eine Aufbewahrung vorschreibt.

    7. Datensicherheit

    7.1 Sicherheitsmanahmen und Hilfestellung durch Google.

    7.1.1 Googles Sicherheitsmanahmen. Google implementiert technische und organisatorische Manahmen zum Schutz der personenbezogenen Daten des Kunden vor versehentlicher oder gesetzeswidriger Zerstrung, Verlust, Vernderung, unbefugter Offenlegung oder unbefugtem Zugriff, wie in Anhang 2 beschrieben (die Sicherheitsmanahmen) und erhlt diese aufrecht. Wie in Anhang 2 beschrieben, beinhalten die Sicherheitsmanahmen Manahmen: (a) zur Verschlsselung personenbezogener Daten, (b) die helfen, die Vertraulichkeit, Integritt, Verfgbarkeit und Ausfallsicherheit von Googles Systemen und Diensten fortwhrend zu wahren bzw. sicherzustellen, (c) die helfen, zeitgerecht den Zugang zu personenbezogenen Daten nach einem Vorfall wiederherzustellen und (d) um regelmig die Wirksamkeit zu testen. Google kann gelegentlich die Sicherheitsmanahmen aktualisieren oder anpassen, sofern eine solche Aktualisierung und Anpassung nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste fhrt.

    7.1.2 Einhaltung von Sicherheitsvorschriften durch Googles Personal. Google ist verpflichtet, angemessene Manahmen zu ergreifen, um die Einhaltung der Sicherheitsmanahmen durch Google-Mitarbeiter, Auftragnehmer und Unterauftragsverarbeiter in dem Umfang sicherzustellen, wie es fr deren jeweiliges Aufgabengebiet angemessen ist, und um sicherzustellen, dass sich smtliche Personen, die autorisiert sind, personenbezogene Daten des Kunden zu verarbeiten, zur Geheimhaltung verpflichtet haben oder entsprechenden gesetzlichen Geheimhaltungspflichten unterliegen.

    7.1.3 Hilfestellung durch Google. Der Kunde ist damit einverstanden, dass Google (unter Bercksichtigung der Art der jeweiligen Verarbeitung personenbezogener Daten des Kunden und der Informationen, die Google zur Verfgung stehen) den Kunden bei der die Einhaltung von smtlichen Pflichten des Kunden in Bezug auf die Sicherheit von personenbezogenen Daten und bei Verletzung der Datensicherheit, einschlielich, soweit anwendbar, die Pflichten des Kunden gem den Artikeln 32 bis 34 DSGVO, untersttzt durch:

    (a) Implementierung und Aufrechterhaltung von Sicherheitsmanahmen in bereinstimmung mit Ziffer 7.1.1 (Googles Sicherheitsmanahmen),

    (b) Einhaltung der Regelungen in Ziffer 7.2 (Datenvorflle) und

    (c) Bereitstellung von Sicherheitsdokumentationen an den Kunden gem Ziffer 7.5.1 (berprfungen der Sicherheitsdokumentation) und den Informationen, die in diesen Datenverarbeitungsbedingungen enthalten sind.

    7.2 Datenvorflle.

    7.2.1 Meldung von Datenvorfllen. Falls Google Kenntnis von einem Datenvorfall erlangen sollte, ist Google verpflichtet: (a) den Kunden unverzglich den Datenvorfall zu melden; und (b) prompt angemessene Manahmen zur Schadensminimierung und Sicherung der personenbezogenen Daten des Kunden zu ergreifen.

    7.2.2 Detailinformationen zu Datenvorfllen. Meldungen gem 7.2.1 (Googles Sicherheitsmanahmen) enthalten, soweit wie mglich, Details ber den Datenvorfall und Informationen darber, welche Manahmen ergriffen wurden, um das potenzielle Risiko zu minimieren und welche Schritte Google dem Kunden empfiehlt, um auf den Datenvorfall zu reagieren.

    7.2.3 bermittlung der Meldungen. Meldungen ber Datenvorflle wird Google an die E-Mail-Adresse fr Benachrichtigungen senden, oder nach Googles Ermessen (z.B. falls der Kunde keine E-Mail-Adresse fr Meldungen angegeben hat) mittels eines anderen direkten Kommunikationsmittels (z.B. mittels Telefon oder in einem persnlichen Treffen) bermitteln. Der Kunde trgt die alleinige Verantwortung, die E-Mail-Adresse fr Benachrichtigungen zu benennen, und hat sicherzustellen, dass die E-Mail-Adresse fr Benachrichtigungen stets aktuell und gltig ist.

    7.2.4 Meldungen an Dritte. Der Kunde trgt die alleinige Verantwortung, gesetzliche Vorgaben fr Meldungen bei Vorfllen einzuhalten und entsprechenden Meldepflichten bei Datenvorfllen gegenber Dritten nachzukommen.

    7.2.5 Kein Anerkenntnis durch Google. Die Meldung eines Datenvorfalls durch Google bzw. die Reaktion auf einen Datenvorfall durch Google gem dieser Ziffer 7.2 (Datenvorflle) kann nicht dahingehend ausgelegt werden, dass Google dadurch bereits ein Fehlverhalten einrumen oder die Haftung fr den Datenvorfall anerkennen wrde.

    7.3 Verantwortlichkeit des Kunden fr Sicherheit und Sicherheitsbewertung.

    7.3.1 Verantwortlichkeit des Kunden fr Sicherheit. Unbeschadet der Verpflichtungen fr Google gem Ziffern 7.1 (Sicherheitsmanahmen und Hilfestellung von Google) und 7.2 (Datenvorflle):

    (a) trgt der Kunde die alleinige Verantwortung fr die Nutzung der Auftragsverarbeiterdienste, einschlielich:

    (i) die Auftragsverarbeiterdienste in angemessener Art und Weise zu nutzen, um ein Sicherheitsniveau sicherzustellen, das im Verhltnis zum Risiko im Hinblick auf die Verarbeitung personenbezogenen Daten des Kunden angemessen ist und

    (ii) die Anmeldeinformationen fr die Authentifizierung sowie der Systeme und Gerte, die der Kunde verwendet, um auf die Auftragsverarbeiterdienste zuzugreifen, zu schtzen, und

    (b) ist Google nicht dafr verantwortlich, personenbezogene Daten des Kunden zu schtzen, bei denen der Kunde entscheidet, diese auerhalb der Google-Systeme oder der Systeme der Google-Unterauftragsverarbeiter zu speichern oder zu bermitteln.

    7.3.2 Sicherheitsbeurteilung durch den Kunden. Der Kunde nimmt zur Kenntnis und stimmt zu, dass (unter Bercksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstnde und der Zwecke der Verarbeitung personenbezogener Daten des Kunden sowie der damit verbundenen Risiken fr Einzelpersonen) die von Google gem Ziffer 7.1.1 (Googles Sicherheitsmanahmen) umgesetzten und aufrechterhaltenen Sicherheitsmanahmen ein Sicherheitsniveau erreichen, das mit den Risiken in Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden in einem angemessenen Verhltnis steht.

    7.4 Sicherheitszertifizierung. Um fortlaufend die Effektivitt der Sicherheitsmanahmen zu bewerten und sicherzustellen, wird Google die ISO-27001-Zertifizierung aufrechterhalten.

    7.5 Prfungen und Compliance-Audits.

    7.5.1 Prfung der Sicherheitsdokumentation. Um die Einhaltung von Googles Verpflichtungen unter diesen Datenverarbeitungsbedingungen nachzuweisen, ist Google verpflichtet, die Sicherheitsdokumentation dem Kunden zur Prfung zugnglich zu machen.

    7.5.2 Prfrechte des Kunden.

    (a) Google wird dem Kunden oder einem unabhngigen, vom Kunden benannten Prfer unter Magabe von Ziffer 7.5.3 (zustzliche Bedingungen fr Audits) ermglichen, Audits (einschlielich Inspektionen) durchzufhren, um zu verifizieren, dass Google seinen Pflichten unter den Datenverarbeitungsbedingungen nachkommt. Google wird solche Audits, wie in Ziffer 7.4 (Sicherheitszertifizierung) und in dieser Ziffer 7.5 (Prfungen und Compliance-Audits) beschrieben, untersttzen.

    (b) Der Kunde kann auch ein Audit durchfhren, indem er das ISO-27001-Zertifikat berprft (welches das Ergebnis eines Audits widerspiegelt, das von einem unabhngigen Prfer durchgefhrt wurde), um zu verifizieren, dass Google seinen Pflichten unter den vorliegenden Datenverarbeitungsbedingungen nachkommt.

    7.5.3 Zustzliche Bedingungen fr Audits.

    (a) Der Kunde ist verpflichtet, eine Anfrage fr ein Audit nach Ziffer 7.5.2(a) in bereinstimmung mit Ziffer 12.1 (Kontaktaufnahme mit Google) zu stellen.

    (b) Nach Erhalt einer Anfrage gem Ziffer 7.5.3(a) werden Google und der Kunde im Voraus gemeinsam ein angemessenes Startdatum, den Umfang und die Dauer und Sicherheits- und Vertraulichkeitsmanahmen, die Gegenstand des jeweiligen Audits gem Ziffer 7.5.2(a) sind, besprechen und vereinbaren.

    (c) Google ist berechtigt, einen Ersatz der Kosten (basierend auf Googles angemessenen Aufwendungen) fr jedes Audit nach Ziffer 7.5.2(a) zu verlangen. Vor jedem Audit wird Google dem Kunden weitere Details zu den jeweils entstehenden Kosten und die Grundlage fr die Berechnung dieser Kosten zur Verfgung stellen. Jegliche Kosten, die fr die Beauftragung und Durchfhrung eines Audits durch einen unabhngigen Prfer entstehen, den der Kunde beauftragt hat, sind allein vom Kunden zu tragen.

    (d) Google ist berechtigt, einen vom Kunden zur Durchfhrung eines Audits nach Ziffer 7.5.2(a) beauftragten unabhngigen Prfer abzulehnen, wenn dieser Prfer nach Googles angemessener Einschtzung nicht hinreichend qualifiziert oder unabhngig ist, es sich um einen Wettbewerber von Google handelt oder dieser aus anderen Grnden offenkundig ungeeignet ist. Falls Google einen solchen Einwand erhebt, ist der Kunde verpflichtet, einen anderen Prfer zu bestellen oder das Audit selbst durchfhren.

    (e) Google ist nach diesen Datenverarbeitungsbedingungen nicht verpflichtet, dem Kunden oder einem vom Kunden beauftragten unabhngigen Prfergegenber das Folgende offenzulegen bzw. dem Kunden oder einem unabhngigen Prfer zu gestatten, auf Folgendes zuzugreifen:

    (i) Daten von irgendeinem anderen Kunden eines Google-Gruppenunternehmens;

    (ii) interne Daten des Rechnungswesens oder Finanzinformationen eines Google-Gruppenunternehmens;

    (iii) Geschftsgeheimnisse eines Google-Gruppenunternehmens;

    (iv) Informationen, die nach Googles angemessener Einschtzung (A) die Sicherheit von Systemen oder Betriebssttten eines Google-Gruppenunternehmens gefhrden knnten oder (B) dazu fhren knnten, dass ein Google-Gruppenunternehmen seine Pflichten unter den Datenschutzvorschriften verletzt oder gegen seine Sicherheits- bzw. Datenschutzverpflichtungen gegenber dem Kunden oder Dritten verstt; oder

    (v) Informationen, auf die der Kunde oder sein unabhngiger Prfer aus treuwidrigen Grnden, die nicht zur Erfllung der Verpflichtungen des Kunden gem den Datenschutzvorschriften erforderlich sind, zugreifen mchten.

    8. Folgenabschtzungen und Konsultationen

    Der Kunde ist damit einverstanden, dass Google (unter Bercksichtigung der Art der Verarbeitung und der Informationen, die Google zur Verfgung stehen) den Kunden bei der Erfllung seiner Pflichten zu Datenschutz-Folgenabschtzungen und vorherigen Konsultationen, einschlielich, soweit anwendbar, den Pflichten gem Art. 35 und 36 DSGVO; durch Folgendes untersttzt:

    (a) Bereitstellung der Sicherheitsdokumentation gem Ziffer 7.5.1 (Prfung der Sicherheitsdokumentation);

    (b) Bereitstellung der Informationen, die bereits in diesen Datenverarbeitungsbedingungen enthalten sind; und

    (c) Bereitstellung oder anderweitige Zugnglichmachung in bereinstimmung mit Googles Standardverfahren von anderen Materialien (zum Beispiel Hilfeartikel im Hilfe-Center) zur Art der Auftragsverarbeiterdienste oder der Verarbeitung von personenbezogenen Daten des Kunden.

    9. Rechte betroffener Personen

    9.1 Beantwortung von Anfragen betroffener Personen. Wenn Google eine Anfrage von einer betroffenen Person hinsichtlich personenbezogener Daten des Kunden erhlt, wird Google:

    (a) direkt auf die Anfrage der betroffenen Person in bereinstimmung mit den Standard-Funktionen eines Tools fr betroffene Personen antworten, sollte die Anfrage ber das Tool fr betroffene Personen gestellt werden, oder

    (b) die betroffene Person bitten, ihre Anfrage an den Kunden zu bermitteln, falls die Anfrage nicht ber ein Tool fr betroffene Personen eingereicht wurde; der Kunde trgt die alleinige Verantwortung fr die Beantwortung einer solchen Anfrage.

    9.2 Untersttzung durch Google bei Anfragen betroffener Personen. Der Kunde ist damit einverstanden, dass Google (unter Bercksichtigung der Art der Verarbeitung personenbezogener Daten des Kunden und, falls anwendbar, von Artikel 11 DSGVO) den Kunden bei der Erfllung seiner Verpflichtungen untersttzen wird, auf Anfragen von betroffenen Personen zu antworten, einschlielich, falls anwendbar, auf Anfragen, die die Rechte der betroffenen Personen nach dem dritten Kapitel der DSGVO betreffen, indem Google:

    (a) die Funktionalitten der Auftragsverarbeiterdienste bereitstellt,

    (b) die in Ziffer 9.1 (Beantwortung von Anfragen betroffener Personen) festgelegten Verpflichtungen erfllt, und

    (c) Tools fr betroffene Personen bereitstellt, soweit dies fr den jeweiligen Auftragsverarbeiterdienst zutreffend ist.

    10. Datenbermittlungen

    10.1 Datenspeicherungs- und Datenverarbeitungseinrichtungen. Der Kunde stimmt zu, dass Google vorbehaltlich Ziffer 10.2 (Datenbermittlungen auerhalb des EWR und der Schweiz) personenbezogene Daten des Kunden in den Vereinigten Staaten von Amerika oder in jedem anderen Land, in dem Google oder Googles Unterauftragsverarbeiter Einrichtungen unterhalten, speichern und verarbeiten kann.

    10.2 Datenbermittlungen auerhalb des EWR und der Schweiz. Google wird sicherstellen, dass:

    (a) die Muttergesellschaft der Google-Konzerngruppe, die Google LLC, gem den Privacy-Shield-Grundstzen selbst und fr ihre hundertprozentigen US-Tochtergesellschaften zertifiziert bleibt; und

    (b) der Umfang der Privacy-Shield-Zertifizierung der Google LLC die personenbezogenen Daten des Kunden erfasst.

    10.3 Informationen zu Rechenzentren. Informationen ber die Standorte der Rechenzentren von Google knnen unter www.google.com/about/datacenters/inside/locations/index.html abgerufen werden.

    11. Unterauftragsverarbeiter

    11.1 Genehmigung der Beauftragung von Unterauftragsverarbeitern. Der Kunde genehmigt ausdrcklich die Beauftragung von verbundenen Unternehmen von Google als Unterauftragsverarbeiter (Google Gruppen-Unterauftragsverarbeiter). Zudem genehmigt der Kunde generell, dass Google auch Dritte als Unterauftragsverarbeiter beauftragen darf (Dritt-Unterauftragsverarbeiter).

    11.2 Informationen zu Unterauftragsverarbeitern. Informationen ber Unterauftragsverarbeiter knnen unter privacy.google.com/businesses/subprocessors abgerufen werden.

    11.3 Anforderungen fr die Beauftragung von Unterauftragsverarbeitern. Wenn Google Unterauftragsverarbeiter beauftragt, wird Google:

    (a) durch schriftlichen Vertrag sicherstellen, dass:

    (i) der Unterauftragsverarbeiter nur auf personenbezogene Daten des Kunden in dem Umfang zugreift und diese nutzt, wie dies erforderlich ist, um seine Obliegenheiten, zu denen er im Wege der Unterauftragsvergabe verpflichtet ist, zu erfllen und dies jeweils unter Einhaltung der Vereinbarung (einschlielich dieser Datenverarbeitungsbedingungen) und dem Privacy-Shield erfolgt, und

    (ii) die in Art. 28 Abs. 3 DSGVO festgelegten Datenschutzpflichten dem Unterauftragsverarbeiter auferlegt werden, falls die DSGVO auf die Verarbeitung der personenbezogenen Daten des Kunden Anwendung findet, und

    (b) fr smtliche Obliegenheiten, die den Unterauftragsverarbeitern bertragenwurden, und fr smtliches Tun und Unterlassen ihrer Unterauftragsverarbeiter vollumfnglich haften.

    11.4 Mglichkeit des Widerspruch gegen nderungen bei der Unterauftragsvergabe.

    (a) Wenn whrend der Laufzeit ein neuer Dritt-Unterauftragsverarbeiter beauftragt wird, wird Google den Kunden mindestens 30 Tage bevor dieser neue Dritt-Unterauftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten des Kunden betraut wird durch Zusendung einer E-Mail an die E-Mail-Adresse fr Benachrichtigungen ber die Beauftragung informieren (einschlielich des Namens und Standorts des jeweiligen Unterauftragsverarbeiters und der Ttigkeiten, die dieser ausfhren wird).

    (b) Der Kunde kann dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters widersprechen, indem er die Vereinbarung sofort schriftlich kndigt; dies hat innerhalb von 90 Tagen nach Erhalt der Benachrichtigung ber die Beauftragung des jeweiligen Unterauftragsverarbeiters, wie in Ziffer 11.4(a) beschrieben, zu erfolgen. Dieses Kndigungsrecht ist der einzige und ausschlieliche Rechtsbehelf des Kunden, wenn er mit dem Einsatz eines neuen Dritt-Unterauftragsverarbeiters nicht einverstanden ist.

    12. Kontaktaufnahme mit Google; Aufzeichnungen ber die Verarbeitung

    12.1 Kontaktaufnahme mit Google. Der Kunde kann Google ber die Mglichkeiten, die unter privacy.google.com/businesses?/processorsupport aufgefhrt sind bzw. ber andere von Google ggf. dafr bereitgestellte Mglichkeiten kontaktieren, um seine Rechte unter diesen Datenverarbeitungsbedingungen auszuben.

    12.2 Googles Aufzeichnungen ber die Datenverarbeitung. Der Kunde nimmt zur Kenntnis, dass Google unter der DSGVO verpflichtet ist: (a) Aufzeichnungen ber bestimmte Informationen anzufertigen und vorzuhalten, darunter den Namen und Kontaktdaten von jedem Verarbeiter und/oder Verantwortlichen in deren Auftrag Google handelt und (falls zutreffend) Informationen ber den Vertretungsberechtigten vor Ort und den Datenschutzbeauftragten; und (b) diese Informationen den Aufsichtsbehrden zugnglich zu machen. Dementsprechend ist der Kunde verpflichtet, diese Informationen auf Aufforderung und soweit fr den Kunden anwendbar, Google ber die Benutzeroberflche der Auftragsverarbeiterdienste oder ber andere von Google ggf. dafr bereitgestellte Mglichkeiten zu bermitteln und die Benutzeroberflche oder ggf. eine andere dafr bereitgestellte Mglichkeit zu nutzen, um sicherzustellen, dass diese Angaben stets korrekt und aktuell sind.

    13. Haftung

    Wenn die Vereinbarung den Gesetzen:

    (a) eines Bundesstaates der Vereinigten Staaten von Amerika unterliegt, dann gilt, ungeachtet einer anderen Regelung in der Vereinbarung, fr die Gesamthaftung der jeweiligen Partei unter oder in Verbindung mit diesen Datenschutzbestimmungen der summenmige Haftungshchstbetrag, auf den die Haftung der jeweiligen Partei gem der Vereinbarung begrenzt ist (zur Klarstellung, jeglicher Ausschluss von Haftungsfreistellungsansprchen auf Grundlage der Haftungsbegrenzungsregelung der Vereinbarung gilt nicht fr Haftungsfreistellungsansprche unter der Vereinbarung in Bezug auf die Datenschutzvorschriften) oder

    (b) eines anderen Landes als dem eines Bundesstaates der Vereinigten Staaten von Amerika unterliegt, richtet sich die Haftung unter oder gem diesen Datenverarbeitungsbedingungen nach den Haftungsbeschrnkungen und -ausschlssen der Vereinbarung.

    14. Geltung dieser Datenverarbeitungsbedingungen

    Im Fall eines Widerspruchs oder einer Abweichung zwischen diesen Datenverarbeitungsbedingungen und der brigen Vereinbarung haben die Regelungen dieser Datenverarbeitungsbedingungen Vorrang. Mit Ausnahme der nderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.

    15. nderungen dieser Datenverarbeitungsbedingungen

    15.1 nderungen der URLs. Google kann gelegentlich URLs, auf die in diesen Datenverarbeitungsbedingungen Bezug genommen wird, und die Inhalte auf solchen URLs ndern. Google ist aber nur berechtigt, die Auflistung der mglichen Auftragsverarbeiterdienste unter privacy.google.com/businesses/adsservices zu ndern:

    (a) um einer Umbenennung eines Dienstes Rechnung zu tragen;

    (b) um einen neuen Dienst hinzuzufgen; oder

    (c) um einen Dienst zu entfernen, jedoch nur fr den Fall, dass (i) smtliche Vertrge ber die Erbringung dieses Dienstes beendet wurden oder (ii) Google dazu die Zustimmung des Kunden vorliegt.

    15.2 nderungen der Datenverarbeitungsbedingungen. Google kann diese Datenverarbeitungsbedingungen ndern, wenn eine solche nderung:

    (a) ausdrcklich durch die vorliegenden Datenverarbeitungsbedingungen erlaubt ist, einschlielich gem Ziffer 15.1 (nderungen der URLs);

    (b) einer nderung des Unternehmensnamens oder eine nderung der Rechtsform Rechnung trgt;

    (c) erforderlich ist, um anwendbarem Recht, anwendbaren Vorschriften, einer Gerichtsentscheidung oder einer Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehrde zu entsprechen; oder

    (d) (i) nicht zu einer Verschlechterung der Gesamtsicherheit der Auftragsverarbeiterdienste fhrt, (ii) den Anwendungsbereich dieser Datenverarbeitungsbedingungen nicht ausweitet oder Beschrnkungen wie Ziffer 5.3 (Befolgung der Weisungen durch Google) beschrieben hinsichtlich der Verarbeitung personenbezogener Daten des Kunden durch Google nicht aufhebt, und (iii) auch sonst zu keinen erheblichen nachteiligen Auswirkungen auf die Rechte des Kunden unter diesen Datenverarbeitungsbedingungen fhrt (dies wird auf angemessene Weise durch Google bestimmt).

    15.3Benachrichtigung ber nderungen. Wenn Google beabsichtigt, diese Datenverarbeitungsbedingungen gem Ziffer 15.2(c) oder (d) zu ndern, wird Google dies dem Kunden mindestens 30 Tage vor Wirksamwerden der nderung im Voraus (oder innerhalb einer krzeren Frist, falls dies nach anwendbarem Recht, anwendbaren Vorschriften, aufgrund einer Gerichtsentscheidung oder eine Vorgabe einer staatlichen Regulierungs- oder Aufsichtsbehrde erforderlich ist) mitteilen durch: (a) die bermittlung einer E-Mail an die E-Mail-Adresse fr Benachrichtigungen oder (b) durch Benachrichtigung ber die Benutzeroberflche des Auftragsverarbeiterdienstes. Wenn der Kunde einer nderung widersprechen mchte, kann der Kunde die Vereinbarung durch schriftliche Mitteilung gegenber Google innerhalb von 90 Tagen nach Erhalt der Benachrichtigung ber die nderung durch Google kndigen.

    Anhang 1: Gegenstand und Details zur Datenverarbeitung

    Gegenstand

    Bereitstellung von Auftragsverarbeiterdiensten und damit in Zusammenhang stehendem technischen Supportleistungen fr den Kunden durch Google.

    Dauer der Datenverarbeitung

    Whrend der Vertragslaufzeit und zustzlich whrend eines Zeitraums zwischen dem Ende der Vertragslaufzeit und bis zur Lschung aller personenbezogenen Daten des Kunden durch Google in bereinstimmung mit den vorliegenden Datenverarbeitungsbedingungen.

    Art und Zweck der Datenverarbeitung

    Google verarbeitet personenbezogene Daten des Kunden zum Zweck, dem Kunden die Auftragsverarbeiterdienste bereitzustellen und den damit im Zusammenhang stehenden technischen Support in bereinstimmung mit diesen Datenverarbeitungsbedingungen zu erbringen. Die Datenverarbeitung durch Google schliet, in Abhngigkeit davon, ob es auf den jeweiligen Auftragsverarbeiterdienst und die in Ziffer 5.2 (Weisungen des Kunden) beschriebenen Weisungen zutrifft, das Erheben, Erfassen, Organisieren, Ordnen, Verndern, Auslesen, Verwenden, Offenlegen, Verknpfen, Lschen oder Vernichten mit ein.

    Arten personenbezogener Daten

    Personenbezogene Daten des Kunden knnen solche Arten personenbezogener Daten umfassen, die unter privacy.google.com/businesses/adsservices beschrieben sind.

    Kategorien betroffener Personen

    Personenbezogene Daten des Kunden betreffen die folgenden Kategorien von betroffenen Personen:

    Je nach Art des jeweiligen Auftragsverarbeiterdienstes knnen betroffene Personen folgende Einzelpersonen umfassen: Personen, (a) an die Online-Werbung gerichtet wurde oder werden wird, (b) die bestimmte Webseiten oder Applikationen aufgerufen haben, fr die Google die Auftragsverarbeiterdienste bereitstellt und/oder (c) die Kunden oder Nutzer von Produkten oder Diensten des Kunden sind.

    Anhang 2: Sicherheitsmanahmen

    Google verpflichtet sich, ab dem Wirksamkeitsdatum die Sicherheitsmanahmen, die in diesem Anhang 2 enthalten sind, zu implementieren und aufrechtzuerhalten. Google kann diese Sicherheitsmanahmen gelegentlich aktualisieren oder ndern, vorausgesetzt dass solche Aktualisierungen und nderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Auftragsverarbeiterdienste fhren.

    1. Sicherheit der Rechenzentren und des Netzwerks

    (a) Rechenzentren.

    Infrastruktur. Google betreibt geographisch verteilte Rechenzentren. Google speichert alle Produktionsdaten in physisch gesicherten Rechenzentren.

    Redundanz. Die Infrastruktursysteme wurden entwickelt, um Single Points of Failure (zentrale Schwachpunkte) zu beseitigen und um die Auswirkungen der zu erwartenden Umgebungsrisiken zu minimieren. Duale Stromkreise, Switches, Netzwerke oder andere erforderliche Gerte helfen, diese Redundanz zu erreichen. Die Auftragsverarbeiterdienste sind so konzipiert, dass Google bestimmte vorbeugende und fehlerbehebende Instandhaltungsmanahmen ohne Unterbrechung durchfhren kann. Es gibt fr smtliche Anlagen und Einrichtungen dokumentierte, vorbeugende Instandhaltungsverfahren, die ausfhrlich den Prozess und die Hufigkeit der Durchfhrung in bereinstimmung mit den Herstellervorgaben oder internen Vorgaben beschreiben. Vorbeugende und fehlerbehebende Instandhaltungsmanahmen der Anlagen im Rechenzentrum werden ber einen Standardprozess gem dokumentierten Verfahren geplant.

    Energie. Die Energiesysteme der Rechenzentren sind so entworfen, dass sie redundant sein sollen und gewartet werden knnen, ohne dass dies einen Einfluss auf den Dauerbetrieb (24 Stunden am Tag und 7 Tage die Woche) hat. In den meisten Fllen steht sowohl eine primre als auch eine alternative Energiequelle, jeweils mit gleicher Kapazitt, fr kritische Infrastruktur-Komponenten in den Rechenzentren zur Verfgung. Reserveleistung wird durch verschiedene Mechanismen wie etwa unterbrechungsfreie Stromversorgungs-Batterien (USV), die bestndig zuverlssigen Leistungsschutz bei Spannungsabfllen, Stromausfllen, berspannung, Unterspannung und auerhalb der Toleranzwerte liegende Frequenzbedingungen durch den Energieversorger bieten. Falls die Stromversorgung des Energieversorgers unterbrochen wird, ist die Ersatzversorgung so entworfen, dass die Rechenzentren bergangsweise bei voller Last Energie fr bis zu 10 Minuten erhalten sollen bis die Diesel-Generatoren die Versorgung bernehmen. Die Diesel-Generatoren sind darauf ausgelegt, automatisch innerhalb von Sekunden anzuspringen und genug Notstrom bereitzustellen, um das Rechenzentrum bei voller Leistung in der Regel fr einen Zeitraum von mehreren Tagen zu betreiben.

    Server-Betriebssysteme. Google-Server verwenden gehrtete Betriebssysteme, die fr die spezifischen Anforderungen des Betriebs angepasst sind. Daten werden unter Verwendung von proprietren Algorithmen gespeichert, um die Datensicherheit und Redundanz zu steigern. Google setzt einen Code-berprfungsprozess ein, um die Sicherheit des Programmiercodes, der fr die Bereitstellung der Auftragsverarbeiterdienste verwendet wird, zu erhhen und die Sicherheits-Produkte in Produktionsumgebungen zu verbessern.

    Aufrechterhaltung des Betriebs. Google repliziert Daten ber mehrere Systeme, um dazu beizutragen, die Daten vor zuflliger Zerstrung oder Verlust zu schtzen. Google hat Plne, um den Betrieb aufrecht zu erhalten, und Notfallwiederherstellungsprogramme entworfen. Google entwickelt diese weiter und testet sie.

    (b) Netzwerke und bertragung.

    Datenbertragung. Rechenzentren sind in der Regel ber Hochgeschwindigkeitsdirektverbindungen (High-Speed-Private-Links) verbunden, um eine sichere und schnelle Datenbertragung zwischen den Rechenzentren bereit zu stellen. Dieses Verfahren ist so entwickelt worden, dass ein unberechtigtes Auslesen, Kopieren, Verndern oder Entfernen von Daten whrend der elektronischen bertragung oder des Transports oder bei der Speicherung auf Datentrgern verhindert werden soll. Google bertrgt Daten mittels Internet-Standard-Protokollen.

    Externe Angriffsflche. Google unterhlt mehrere Schichten von Netzwerkgerten und Einbruchserkennungssystemen, um die externe Angriffsflche zu sichern. Google zieht potenzielle Angriffsvektoren in Betracht und integriert angemessene, speziell entwickelte Technologien in von auen erreichbare Systeme.

    Einbruchserkennung. Die Manahmen zur Einbruchserkennung zielen darauf ab, Einblicke in laufende Angriffsaktivitten zu ermglichen und angemessene Informationen zu liefern, um auf Vorflle zu reagieren. Googles Manahmen zur Erkennung von Einbrchen beinhalten:

    1. die strenge berwachung der Gre und des Aufbaus von Googles Angriffsflche durch vorbeugende Manahmen,

    2. den Einsatz von intelligenten Entdeckungskontrollmanahmen an Datenerfassungspunkten und

    3. den Einsatz von Technologien, die bestimmte gefhrliche Situationen automatisch abstellen.

    Reaktion auf Zwischenflle. Google berwacht eine Vielzahl von Kommunikationskanlen auf Sicherheitsvorflle. Googles Sicherheitspersonal wird umgehend auf bekannt gewordene Vorflle reagieren.

    Verschlsselungstechnologien. Google stellt HTTPS-Verschlsselung (auch SSL- oder TLS-Verbindung genannt) zur Verfgung. Google Server untersttzen einen auf Basis elliptischer Kurven stattfindenden Ephemeral Diffie-Hellman Austausch von RSA und ECDSA signierten Schlsseln. Diese auf perfekt vorwrts gerichtete Geheimhaltungsmethoden (perfect forward secrecy (PFS)) helfen, den Datenverkehr zu schtzen und den Einfluss eines kompromittierten Schlssels oder einer Durchbrechung der Verschlsselung (cryptographic breakthrough) zu minimieren.

    2. Zugangs- und Zutrittskontrollen

    (a) Zutrittskontrolle.

    Vor-Ort-berwachung der Rechenzentren. Googles Rechenzentren verfgen ber einen Vor-Ort-Sicherheitsdienst, der fr smtliche physischen Sicherheitsmanahmen des Rechenzentrums 24 Stunden am Tag, 7 Tage die Woche verantwortlich ist. Das Sicherheitspersonal vor Ort kontrolliert berwachungskameras und smtliche Alarmanlagen. Das Sicherheitspersonal unternimmt vor Ort regelmig Kontrollgnge innerhalb und auerhalb des Rechenzentrums.

    Verfahren fr den Zutritt zu Rechenzentren. Google unterhlt Zutrittskontrollverfahren fr den physischen Zugang zu Rechenzentren. Die Rechenzentren sind in Einrichtungen untergebracht, die fr den Zugang elektronische Schlsselkarten erfordern, wobei Alarmanlagen mit dem Sicherheitsdienst vor Ort verbunden sind. Jeder, der ein Rechenzentrum betreten mchte, muss sich ausweisen und einen Nachweis seiner Identitt gegenber dem Sicherheitspersonal vorlegen. Nur berechtigten Angestellten, Auftragnehmern und Besuchern wird Zugang zu den Rechenzentren gewhrt. Nur berechtigten Mitarbeitern und Auftragnehmern ist es erlaubt, Zutrittsrechte per elektronischer Schlsselkarte zu diesen Einrichtungen zu beantragen. Antrge fr den Zugang zu Rechenzentren mit einer elektronischen Schlsselkarte mssen im Voraus und schriftlich beantragt werden und erfordern die Zustimmung des Vorgesetzten des Antragstellers sowie des Leiters des Rechenzentrums. Jeder andere, der vorbergehend Zugang zum Rechenzentrum bentigt, muss (i) im Voraus die Zustimmung der Manager des Rechenzentrums, dessen Besuch beabsichtigt ist, einholen; (ii) sich beim Sicherheitspersonal vor Ort anmelden; und (iii) einen Nachweis einer Zutrittsgenehmigung vorlegen, der die Person als autorisiert identifiziert.

    Vor-Ort Sicherheitseinrichtungen der Rechenzentren. Googles Rechenzentren verfgen ber ein elektronisches Schlsselkarten- und biometrisches Zutrittskontrollsystem, das mit einem Alarm-System verbunden ist. Das Zutrittskontrollsystem berwacht und protokolliert den Einsatz der Schlsselkarte jeder einzelnen Person und wann diese Auentren, Versand- oder Wareneingangsbereiche sowie andere kritische Bereiche betreten. Unberechtigte Aktivitten und fehlgeschlagene Zutrittsversuche werden vom Zutrittskontrollsystem protokolliert und, soweit angemessen, untersucht. Der berechtigte Zutritt whrend der Geschftszeiten und innerhalb des gesamten Rechenzentrums ist auf bestimmte Zonen beschrnkt, die von dem jeweiligen beruflichen Aufgabenbereich abhngen. Die Brandschutztren sind alarmgesichert. berwachungskameras sind sowohl innerhalb als auch auerhalb der Rechenzentren in Betrieb. Die Positionierung der Kameras wurde so geplant, dass sie strategische Bereiche, wie unter anderem den Auenbereich, Eingangstren der Rechenzentrumsgebude und Versand- und Wareneingangsbereiche, berwachen sollen. Das Sicherheitspersonal vor Ort kontrolliert die Bildschirme der berwachungskameras sowie die Aufnahme- und Steuerungseinrichtungen. Gesicherte Leitungen verbinden die berwachungskameratechnik im gesamten Rechenzentrum. Die Kameras zeichnen vor Ort 24 Stunden am Tag, 7 Tage die Woche auf. Die Aufnahmen werden mindestens fr 7 Tage in Abhngigkeit von den jeweiligen Aktivitten aufbewahrt.

    (b) Zugriffskontrolle.

    Sicherheitspersonal fr die Infrastruktur. Google hat eine Sicherheitsrichtlinie fr ihr Personal erlassen und erhlt diese aufrecht. Google verlangt von ihren Mitarbeitern die Teilnahme an einem Sicherheitstraining als Teil eines Schulungsprogramms. Googles Personal fr die Sicherheit der Infrastruktur ist fr die laufende berwachung der Sicherheit von Googles Infrastruktur, die berprfung der Auftragsverarbeiterdienste und die Reaktion auf Sicherheitsvorflle verantwortlich.

    Zugriffskontrolle und Rechteverwaltung. Administratoren und Endnutzer mssen sich ber ein zentrales Authentifizierungssystem oder ber ein Single Sign-On-System authentifizieren, um die Auftragsverarbeiterdienste zu nutzen.

    Interne Datenzugriffsprozesse und Richtlinien Zugriffsrichtlinien. Googles interne Datenzugriffsprozesse und Richtlinien sind so gestaltet, dass Zugriffe auf Systeme, die genutzt werden, um personenbezogene Daten zu verarbeiten, durch unberechtigte Personen und/oder Systeme verhindert werden soll. Google ist bestrebt, die Systeme so zu gestalten, dass: (i) nur berechtigten Personen Zugang zu den Daten gewhrt wird, fr die sie zugriffsberechtigt sind; und (ii) sichergestellt ist, dass personenbezogene Daten ohne entsprechende Berechtigung whrend ihrer Verarbeitung, Nutzung und nach ihrer Speicherung nicht gelesen, kopiert, verndert oder gelscht werden knnen. Die Systeme sind darauf ausgelegt, dass sie mglichst jeden unberechtigten Zugriff erkennen sollen. Google setzt ein zentralisiertes Zugriffsverwaltungssystem zur Kontrolle von Mitarbeiterzugriffen auf Produktionsserver ein und gewhrt nur einem beschrnkten Kreis von berechtigten Mitarbeiter Zugriff. LDAP, Kerberos und ein proprietres System, das SSH-Zertifikate einsetzt, sind so angelegt, dass Google ber sichere und flexible Zugriffsmechanismen verfgen soll. Diese Mechanismen sind so konzipiert, dass nur mit entsprechender Berechtigung Zugriffe auf Site-Hosts, Log-Dateien, Daten und Konfigurationsinformationen gewhrt werden sollen. Google verlangt die Benutzung singulrer Benutzer-IDs und sicherer Passwrter; die Besttigung in zwei Schritten (two factor authentication) und sorgfltig berwachte Zugriffslisten, um die Mglichkeiten einer unberechtigten Nutzung des Accounts zu minimieren. Die Gewhrung oder die nderung von Zugriffsrechten fr berechtigtes Personal basiert auf folgenden Faktoren: dem beruflichen Aufgabenbereich der jeweiligen Person, den notwendigen Anforderungen der jeweiligen Stelle, um berechtigte Aufgaben auszufhren und einer Need-to-Know-Basis. Die Gewhrung oder nderung von Zugriffsrechten muss auerdem auch in bereinstimmung mit Googles internen Datenzugriffsrichtlinien und -schulungen stehen. Zugriffsberechtigungen werden ber workflowbasierte Werkzeuge verwaltet, die Audit-Datenstze ber alle nderungen erstellen. Der Zugriff auf Systeme wird protokolliert, um einen Audittrail zur Rechenschaftsablegung zu erstellen. Wo Passwrter zur Authentifizierung eingesetzt werden (z.B. zum Login an Arbeitsplatzrechnern), sind Passwortrichtlinien eingerichtet worden, die mindestens dem Industriestandard entsprechen. Diese Vorgaben umfassen Einschrnkungen zur Wiederverwendung von Passwrtern und eine hinreichende Passwortstrke.

    3. Daten

    (a) Datenspeicherung, Isolation und Authentifizierung.

    Google speichert die Daten in einer mandantenfhigen Umgebung (Multi-Tenant Umgebung) auf Servern, die im Eigentum von Google stehen. Die Daten, die Datenbanken der Auftragsverarbeiterdienste und die Architektur des Dateiverwaltungssystems werden in mehreren geographisch verteilten Rechenzentren repliziert. Google isoliert die individuellen Daten jedes einzelnen Kunden logisch voneinander. Fr alle Auftragsverarbeiterdienste wird bergreifend ein zentrales Authentifizierungssystem genutzt, um die allgemeine Datensicherheit zu erhhen.

    (b) Stilllegung und Richtlinien zur Zerstrung von Festplatten.

    Falls bei bestimmten Festplatten, die Daten enthalten, eine verminderte Leistungsfhigkeit, Fehler oder Hardwareausfllen festgestellt wird, werden die betroffenen Festplatten stillgelegt ( stillgelegte Festplatte ). Jede stillgelegte Festplatte durchluft eine Serie von Zerstrungsprozessen ( Richtlinien zur Zerstrung von Daten ) bevor sie Googles Betriebsgelnde entweder zur Wiederverwendung oder zur Zerstrung verlsst. Stillgelegte Festplatten werden zunchst in einem mehrstufigen Prozess gelscht. Die vollstndige Lschung muss daraufhin von mindestens zwei unabhngigen Prfern besttigt werden. Die Lschergebnisse werden anhand der Seriennummer der stillgelegten Festplatte zur Nachverfolgung gespeichert. Abschlieend wird die gelschte stillgelegte Festplatte im Inventar zur Wiederverwendung freigegeben. Falls eine stillgelegte Festplatte aufgrund eines Hardwareversagens nicht gelscht werden kann, wird sie sicher verwahrt bis sie zerstrt werden kann. Jede Einrichtung wird regelmig auditiert, um zu berwachen, dass die Richtlinien zur Zerstrung von Daten eingehalten werden.

    4. Personalsicherheit.

    Das Personal von Google ist verpflichtet, sich gem den Unternehmensrichtlinien ber Vertraulichkeit, Unternehmensethik und sachgemen Gebrauch sowie gem beruflichen Standards zu verhalten. Google fhrt im angemessenen Umfang Hintergrundsberprfungen durch, soweit dies im Einklang mit geltendem Recht, insbesondere mit anwendbarem nationalen Arbeitsrecht und verpflichtend geltenden anderen Gesetzen steht.

    Das Personal ist verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen und deren Erhalt und die Einhaltung von Googles Vertraulichkeits- und Datenschutzbestimmungen zu besttigen. Das Personal erhlt Sicherheitsschulungen. Das Personal, das Kundendaten handhabt, muss in Abhngigkeit vom jeweiligen Aufgabenbereich zustzliche Voraussetzungen erfllen. Googles Personal wird keine personenbezogenen Daten des Kunden verarbeiten, ohne dazu berechtigt zu sein.

    5. Sicherheit bei Unterauftragsverarbeitern

    Bevor Unterauftragsverarbeiter eingesetzt werden, fhrt Google zunchst eine Auditierung der Sicherheits- und Datenschutzpraxis des Unterauftragsverarbeiters durch, um sicherzustellen, dass ein Sicherheits- und Datenschutzniveau besteht, das im angemessenen Verhltnis zum Datenzugriff und dem Umfang der beauftragten Dienstleistungen steht. Sobald Google die vom Unterauftragsverarbeiter dargelegten Risiken einschtzen kann, ist der Unterauftragsverarbeiter stets vorbehaltlich der in Ziffer 11.3 (Anforderungen fr die Beauftragung von Unterauftragsverarbeitern) dieser Datenverarbeitungsbedingungen festgelegten Anforderungen verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzvereinbarungen abzuschlieen.

    Auftragsdatenverarbeitungsbedingungen fr Google Werbeprodukte, Version 1.2 / 12. Oktober 2017

    Google Ads Data Processing Terms, Version 1.2 / 12 October 2017