12. Dezember 2022

Inhalt

• LinkedIn Data Processing Agreement (DPA)
• Anlage A: Beschreibung der Übermittlung
• Anlage B: Nachtrag zum CCPA
• Anlage C: Spezielle Bedingungen und Ergänzungen für Glint
• Anlage D: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit

Diese zwischen dem auf dem zugehörigen Bestelldokument für LinkedIn Dienste angegebenen LinkedIn Kunden („Kunde“) und dem auf dem Bestelldokument angegebenen LinkedIn Unternehmen (zusammen mit den verbundenen Unternehmen, „LinkedIn“) geschlossene Datenverarbeitungsvereinbarung („Datenverarbeitungsvereinbarung“) regelt die Verarbeitung personenbezogener Daten, die der Kunde im Rahmen der Dienste für LinkedIn hochlädt oder LinkedIn in anderer Weise zur Verfügung stellt, die Verarbeitung personenbezogener Daten durch LinkedIn im Namen des Kunden in Verbindung mit den Diensten sowie die Verarbeitung jeglicher personenbezogener Daten, die LinkedIn im Zusammenhang mit den Diensten für den Kunden hochlädt oder diesem in anderer Weise zur Verfügung stellt. Bedingungen, die speziell für die Glint-Serviceleistungen von LinkedIn gelten, werden als Anlage C zu dieser Datenverarbeitungsvereinbarung zur Verfügung gestellt.

Diese Datenverarbeitungsvereinbarung ist in den entsprechenden LinkedIn Dienstleistungsvertrag eingebunden, der dem zuvor vom Kunden ausgefertigten Bestelldokument beigefügt oder durch Verweis in dieses Dokument aufgenommen wurde, und der in dieser Datenverarbeitungsvereinbarung generisch als „LinkedIn Vertrag“ bezeichnet wird. Die Datenverarbeitungsvereinbarung (samt den in diesem Dokument definierten Standardvertragsklauseln), der LinkedIn Vertrag und die dazugehörigen Bestelldokumente werden in dieser Datenverarbeitungsvereinbarung als die „Vereinbarung“ bezeichnet. Im Falle eines Konflikts oder einer Widersprüchlichkeit zwischen Bedingungen dieser Vereinbarung, haben die Bestimmungen der folgenden Dokumente (in der Reihenfolge ihrer Priorität) Vorrang: (a) die Standardvertragsklauseln, (b) das zum LinkedIn Vertrag zugehörige Bestelldokument, (c) diese Datenverarbeitungsvereinbarung, (d) der LinkedIn Vertrag. Vorbehaltlich einer ausdrücklichen Änderung in dieser Datenverarbeitungsvereinbarung bleiben der LinkedIn Vertrag und das anwendbare Bestellformular unverändert und in vollem Umfang in Kraft und wirksam.

1. BEGRIFFSBESTIMMUNGEN

„CCPA“ bezeichnet das kalifornische Verbraucherdatenschutzgesetz (California Consumer Privacy Act) von 2018 in seiner durch das kalifornische Datenschutzgesetz (California Privacy Rights Act) von 2020 geänderten Fassung zusammen mit allen untergeordneten Rechtsvorschriften oder Verordnungen.

„Personenbezogene Kundendaten“ bezeichnet personenbezogene Daten, die der Kunde im Zusammenhang mit der Nutzung der LinkedIn Dienste für LinkedIn hochlädt oder LinkedIn anderweitig zur Verfügung stellt.

„Datenschutzanforderungen“ bezeichnet die Datenschutz-Grundverordnung sowie alle geltenden Gesetze, Regelungen und sonstigen Rechtsvorschriften in Bezug auf (a) Datenschutz, Datensicherheit und Schutz personenbezogener Daten; und (b) die Verarbeitung personenbezogener Daten. Datenschutzanforderungen umfassen unter anderem die britische Datenschutz-Grundverordnung, das Schweizer Bundesgesetz über den Datenschutz 2020, das brasilianische Allgemeine Datenschutzgesetz (Lei Geral de Proteção de Dados), das CCPA, das Datenschutzgesetz von Colorado, das Datenschutzgesetz von Connecticut, das Verbraucherdatenschutzgesetz von Utah und das Verbraucherdatenschutzgesetz von Virginia.

„Personenbezogene EU-Daten“ bezeichnet personenbezogene Daten, deren Weitergabe gemäß dieser Vereinbarung durch die Datenschutz-Grundverordnung geregelt ist.

„Datenschutz-Grundverordnung“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zusammen mit allen untergeordneten Rechtsvorschriften oder Verordnungen zur Umsetzung der Datenschutz-Grundverordnung (DSGVO).

„Personenbezogene Daten“ sind Daten und Angaben zu einer Person, die (a) verwendet werden können, um eine bestimmte Person zu identifizieren, zu kontaktieren oder zu finden; (b) mit anderen Daten kombiniert werden können, die zur Identifizierung, zur Kontaktaufnahme mit oder zum Auffinden einer bestimmten Person verwendet werden können; oder (c) durch geltende Gesetze oder Rechtsvorschriften für die Erhebung, Verwendung, Speicherung oder Offenlegung von Informationen über eine identifizierbare Person als „personenbezogene Daten“ oder „personenbezogene Informationen“ definiert sind.

„Verletzung des Schutzes personenbezogener Daten“ bezeichnet jede(n) versehentliche(n) oder rechtswidrige(n) Vernichtung, Verlust, Änderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Kundendaten.

„Verarbeitung“ und verwandte Begriffe bezeichnen jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie die Erhebung, die Speicherung, die Organisation, die Gliederung, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, die Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.   

„Standardvertragsklauseln“ bezeichnet die im Rahmen der Vereinbarung von den Vertragsparteien geschlossenen Standardvertragsklauseln der Europäischen Kommission.

„Unterauftragsverarbeiter“ bezeichnet jede Rechtseinheit, die für LinkedIn Verarbeitungsdienstleistungen zur Förderung der Verarbeitung von personenbezogenen Kundendaten durch LinkedIn erbringt.

„Aufsichtsbehörde“ bezeichnet eine unabhängige Behörde, (i) die von einem Mitgliedsstaat der Europäischen Union gemäß Artikel 51 der Datenschutz-Grundverordnung eingerichtet wird; oder (ii) die für den Datenschutz zuständige öffentliche Behörde, die über die Aufsichtsbefugnis und Zuständigkeit für die Kund:innen verfügt.

„UK GDPR“ bezeichnet die britische Datenschutz-Grundverordnung, ergänzt durch das Datenschutzgesetz (Data Protection Act) 2018.

„Personenbezogene UK-Daten“ bezeichnet personenbezogene Daten, deren Weitergabe gemäß dieser Vereinbarung durch die britische Datenschutz-Grundverordnung geregelt ist.

2. ART DER DATENVERARBEITUNG

Jede Partei verpflichtet sich, die im Rahmen der Vereinbarung erhaltenen personenbezogenen Daten nur für die in der Vereinbarung festgelegten Zwecke zu verarbeiten. Um Zweifel auszuschließen, sind die Kategorien der verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen, die dieser Datenverarbeitungsvereinbarung unterliegen, in Anlage A zu dieser Datenverarbeitungsvereinbarung beschrieben.

3. EINHALTUNG VON GESETZEN

Jede der Parteien wird ihre jeweiligen Verpflichtungen aus allen geltenden Datenschutzanforderungen erfüllen.

4. PFLICHTEN DES KUNDEN

4.1  Die Kund:innen stimmen zu: (i) die Zwecke und allgemeinen Mittel der Verarbeitung personenbezogener Kundendaten durch LinkedIn in Übereinstimmung mit der Vereinbarung festzulegen; und (ii) ihre Schutz-, Sicherheits- und sonstigen Verpflichtungen in Bezug auf personenbezogene Kundendaten einzuhalten, die in den Datenschutzanforderungen für Datenverantwortliche vorgeschrieben sind.  

4.2   Der Kunde verpflichtet sich, LinkedIn auf Verlangen eine zentrale Kontaktperson (den „Master-Administrator”) zu benennen, die (i) für den Empfang und die Beantwortung von Anfragen betroffener Personen verantwortlich ist, die LinkedIn von betroffenen Kunden in Bezug auf personenbezogene Kundendaten erhält; und (ii) LinkedIn über die beabsichtigte Antwort eines Kunden auf eine Anfrage einer betroffenen Person in Bezug auf den Zugriff auf personenbezogene Kundendaten, die LinkedIn für den Kunden verarbeitet, oder deren Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Sperrung oder Streichung, informiert und LinkedIn ermächtigt, solche Antworten im Namen des Kunden vorzunehmen.

5. PFLICHTEN VON LINKEDIN

5.1 Verarbeitungsanforderungen LinkedIn wird:

a. personenbezogene Kundendaten (i) nur zum Zwecke der Bereitstellung, Unterstützung und Verbesserung der Serviceleistungen von LinkedIn (einschließlich der Bereitstellung von Einblicken und anderem Reporting) unter Verwendung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen sowie (ii) gemäß den von den Kund:innen erhaltenen Anweisungen verarbeiten; LinkedIn wird die personenbezogenen Kundendaten nicht für andere Zwecke verwenden oder verarbeiten. LinkedIn wird den Kunden unverzüglich schriftlich informieren, wenn LinkedIn die Anforderungen der Absätze 5 bis 8 dieser Datenverarbeitungsvereinbarung nicht erfüllen kann; in diesem Fall steht es dem Kunden frei, die Vereinbarung zu kündigen oder andere angemessene Maßnahmen einschließlich der Aussetzung der Datenverarbeitung zu ergreifen;

b. die Kund:innen unverzüglich informieren, wenn eine Anweisung der Kund:innen nach Ansicht von LinkedIn gegen geltende Datenschutzanforderungen verstößt;

c. die Anweisungen der Kund:innen bezüglich der Erhebung personenbezogener Kundendaten (einschließlich der Informationspflicht und Wahlmöglichkeit) befolgen, wenn LinkedIn personenbezogene Kundendaten von Einzelpersonen im Namen der Kund:innen erfasst;

d. Maßnahmen ergreifen, um sicherzustellen, dass (i) die von LinkedIn beschäftigten Personen und (ii) andere Personen, die im Namen von LinkedIn tätig sind, die Bestimmungen der Vereinbarung einhalten;

e. sicherstellen, dass seine Beschäftigten, bevollmächtigten Vertreter:innen und Unterauftragsverarbeiter die Vertraulichkeit der personenbezogenen Kundendaten einhalten, anerkennen und respektieren, auch nach Beendigung ihres jeweiligen Beschäftigungsverhältnisses, ihrer jeweiligen befristeten Beschäftigung oder ihres jeweiligen Einsatzes;

f. wenn Unterauftragsverarbeiter beauftragt werden sollen, um LinkedIn bei der Erfüllung seiner Verpflichtungen gemäß dieser Datenverarbeitungsvereinbarung zu unterstützen oder die Verarbeitung vollständig oder teilweise an diese Unterauftragsverarbeiter delegiert werden soll, (i) mit Ausnahme der von LinkedIn und seinen verbundenen Unternehmen online geführten Liste von Unterauftragsverarbeitern (derzeit unter https://legal.linkedin.com/customer-subprocessors verfügbar), deren Nutzung die Kund:innen zustimmen, die vorherige schriftliche Zustimmung der Kund:innen zu einer solchen Unterverarbeitung einholen, wobei diese Zustimmung ohne angemessene Begründung nicht verweigert werden darf; (ii) gegenüber den Kund:innen für die Handlungen und Unterlassungen der Unterauftragsverarbeiter in Bezug auf den Datenschutz haften, soweit solche Unterauftragsverarbeiter auf Weisung von LinkedIn handeln; und (iii) vertragliche Vereinbarungen mit solchen Unterauftragsverarbeitern treffen, die diese dazu verpflichten, das gleiche Maß an Datenschutz und Informationssicherheit, wie in dieser Vereinbarung vorgesehen, zu gewährleisten; und

g. den Kund:innen auf Verlangen eine Zuordnung der LinkedIn Sicherheitsrichtlinien zu den in der ISO/IEC 27001 der International Organization for Standardization und der International Electrotechnical Commission festgelegten Regelungen zur Verfügung stellen.  

5.2 Mitteilung an den Kunden. LinkedIn wird die Kund:innen informieren, wenn LinkedIn von Folgendem Kenntnis erhält:

a. Nichteinhaltung der Absätze 5 bis 8 dieser Datenverarbeitungsvereinbarung oder der Datenschutzanforderungen in Bezug auf den Schutz personenbezogener Kundendaten gemäß dieser Datenverarbeitungsvereinbarung durch LinkedIn oder durch die Beschäftigten von LinkedIn;

b. rechtsverbindliche Anträge auf Offenlegung personenbezogener Kundendaten durch eine Strafverfolgungsbehörde, es sei denn, es ist LinkedIn anderweitig gesetzlich untersagt, die Kund:innen zu informieren, z. B. um die Vertraulichkeit einer Untersuchung durch die Strafverfolgungsbehörden zu wahren;

c. Mitteilungen, Anfragen oder Untersuchungen durch eine Aufsichtsbehörde in Bezug auf personenbezogene Kundendaten; oder

d. Beschwerden oder Anfragen (insbesondere Anfragen in Bezug auf den Zugriff auf oder in Bezug auf die Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Sperrung oder Streichung von personenbezogenen Kundendaten), die direkt von betroffenen Personen der Kund:innen eingehen. LinkedIn wird auf solche Anfragen ohne vorherige schriftliche Zustimmung der Kund:innen nicht reagieren.

5.3 Unterstützung des Kunden. LinkedIn wird die Kund:innen unter folgenden Umständen angemessen unterstützen:

a. bei Anfragen betroffener Personen von Kund:innen in Bezug auf den Zugriff auf personenbezogene Kundendaten oder in Bezug auf die Berichtigung, Löschung, Beschränkung, Übertragbarkeit, Sperrung oder Streichung personenbezogener Kundendaten, die LinkedIn für den Kunden verarbeitet; für den Fall, dass eine betroffene Person eine solche Anfrage direkt an LinkedIn sendet, wird LinkedIn diese Anfrage unverzüglich an die Kund:innen senden;

b. bei der Untersuchung von Verletzungen des Schutzes personenbezogener Daten und der Mitteilung an die Aufsichtsbehörde und an die betroffenen Personen der Kund:innen über solche Verletzungen des Schutzes personenbezogener Daten; und

c. gegebenenfalls bei der Vorbereitung von Datenschutz-Folgenabschätzungen und bei Bedarf bei der Durchführung von Konsultationen mit einer Aufsichtsbehörde.

5.4 Erforderliche Verarbeitung. Wenn LinkedIn gemäß den Datenschutzanforderungen verpflichtet ist, personenbezogene Kundendaten aus einem anderen Grund als der Erbringung der in der Vereinbarung beschriebenen Serviceleistungen zu verarbeiten, wird LinkedIn die Kund:innen vor jeder Verarbeitung über diese Verpflichtung informieren, es sei denn, es ist LinkedIn gesetzlich untersagt, die Kund:innen über diese Verarbeitung zu informieren (z. B. aufgrund von Geheimhaltungsvorschriften, die nach geltenden Gesetzen der EU-Mitgliedstaaten bestehen können).

5.5 Sicherheit. LinkedIn wird:

a. angemessene organisatorische und technische Sicherheitsmaßnahmen (darunter – in Bezug auf Personal, Einrichtungen, Hardware und Software, Speicher und Netzwerke – Maßnahmen wie Zugriffskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Sicherheitsverstößen, Vorfallreaktionen, Verschlüsselung personenbezogener Kundendaten während der Übermittlung und Speicherung) zum Schutz vor Zugriff, Verlust, Veränderung, Offenlegung oder Vernichtung personenbezogener Kundendaten, ob unbefugt oder versehentlich, einschließlich der in Anlage D zu dieser Datenverarbeitungsvereinbarung beschriebenen Sicherheitsmaßnahmen, die als Anhang II der Standardvertragsklauseln anwendbar ist, aufrechterhalten;

b. Verantwortung für die ausreichenden Sicherheits-, Datenschutz- und Vertraulichkeitsvorkehrungen aller Beschäftigten von LinkedIn in Bezug auf personenbezogene Kundendaten und die Haftung für eine Nichtbeachtung der Bestimmungen dieser Datenverarbeitungsvereinbarung durch solche LinkedIn Beschäftigten übernehmen;

c. angemessene Schritte unternehmen, um sich zu vergewissern, dass alle Beschäftigten von LinkedIn die Sicherheit, den Datenschutz und die Vertraulichkeit der personenbezogenen Kundendaten im Einklang mit den Anforderungen dieser Datenverarbeitungsvereinbarung, die als Anhang II der Standardvertragsklauseln anwendbar ist, schützen; und

d. die Kund:innen über Verletzungen des Schutzes personenbezogener Daten durch LinkedIn, seine Unterauftragsverarbeiter oder andere Dritte, die im Namen von LinkedIn handeln, unverzüglich und in jedem Fall innerhalb von 48 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten informieren;

e. falls eine Verletzung des Schutzes personenbezogener Daten entweder auf (i) fahrlässiges oder vorsätzliches Fehlverhalten von LinkedIn (oder eines LinkedIn Unterauftragsverarbeiters gemäß Absatz 5.1(f)) oder (ii) eine wesentliche Nichteinhaltung der Bedingungen dieser Datenverarbeitungsvereinbarung durch LinkedIn zurückzuführen ist, alle Kosten im Zusammenhang mit der Untersuchung und Behebung der Verletzung des Schutzes personenbezogener Daten tragen. LinkedIn leistet den Kund:innen eine angemessene Rückerstattung aller Kosten im Zusammenhang mit der gesetzlich vorgeschriebenen Benachrichtigung betroffener Personen oder der Bereitstellung von Kreditüberwachungs- oder anderen geeigneten Abhilfemaßnahmen, vorausgesetzt, dass LinkedIn als Auftragsverarbeiter seine Verpflichtungen gemäß Absatz 5.3(b) dieser Datenverarbeitungsvereinbarung einhält.

6. PRÜFUNG, ZERTIFIZIERUNG

6.1 Prüfung der Kund:innen durch die Aufsichtsbehörde Wenn eine Aufsichtsbehörde eine Prüfung der Datenverarbeitungseinrichtungen verlangt, in denen LinkedIn personenbezogene Kundendaten verarbeitet, um die Einhaltung der Datenschutzanforderungen durch den Kunden zu überprüfen oder zu überwachen, wird LinkedIn bei einer solchen Prüfung kooperieren. Der Kunde trägt alle Kosten und Gebühren im Zusammenhang mit einer solchen Prüfung, einschließlich aller angemessenen Kosten und Gebühren für jegliche Zeit, die LinkedIn für eine solche Prüfung aufwendet, wie auch die Gebühren für die von LinkedIn erbrachten Leistungen.

6.2 Prüfungen. Auf Anfrage stellt LinkedIn dem Kunden jedes Jahr ein Gutachten oder einen Bericht über die Kontrollsysteme des Dienstleistungsunternehmens zur Verfügung, das bzw. der von einer akkreditierten, externen Prüfungsgesellschaft gemäß den Prüfungsstandards „Statement on Standards for Attestation Engagements (SSAE) No. 18“ („SSAE 18“) (Berichterstattung über die Kontrollsysteme in einem Dienstleistungsunternehmen) oder „International Standard on Assurance Engagements (ISAE) 3402“ („ISAE 3402“) (Zuverlässigkeitsberichte über die Kontrollsysteme in einem Dienstleistungsunternehmen), die für die Dienste im Rahmen der Vereinbarung gelten, ausgestellt wird (jeder dieser Berichte ist ein „Bericht“). Wenn ein Bericht nach begründetem Ermessen des Kunden keine ausreichenden Informationen liefert, um die Einhaltung der Bestimmungen dieser Datenverarbeitungsvereinbarung durch LinkedIn zu bestätigen, kann der Kunde oder eine anerkannte externe Prüfungsgesellschaft, auf die sich sowohl der Kunde als auch LinkedIn geeinigt haben, die Einhaltung der Bestimmungen dieser Datenverarbeitungsvereinbarung durch LinkedIn während der üblichen Geschäftszeiten mit angemessener Ankündigung an LinkedIn und unter Einhaltung angemessener Vertraulichkeitsverfahren überprüfen. Der Kunde trägt alle Kosten und Gebühren in Verbindung mit dieser Prüfung, einschließlich aller angemessenen Kosten und Gebühren für alle Zeiträume, die LinkedIn für eine solche Prüfung aufwendet, wie auch die Gebühren für die von LinkedIn erbrachten Leistungen. Vor Beginn einer solchen Prüfung vereinbaren der Kunde und LinkedIn gemeinsam Umfang, Zeitpunkt und Dauer der Prüfung. Der Kunde wird LinkedIn unverzüglich über alle während einer Prüfung festgestellten Verstöße informieren. Der Kunde darf LinkedIn nur einmal jährlich überprüfen.

7. DATENÜBERMITTLUNG

7.1 Für Übermittlungen von personenbezogenen EU-Daten an LinkedIn zur Verarbeitung durch LinkedIn in ein Rechtshoheitsgebiet außerhalb der EU, des EWR oder eines der von der Europäischen Kommission zugelassenen Länder, die einen „angemessenen“ Datenschutz bieten, verpflichtet sich jede Partei, das Formular 2 der Standardvertragsklauseln (SCCs) für die Übermittlung zwischen dem Datenverarbeitungsverantwortlichen und dem Auftragsverarbeiter zu verwenden, die durch Bezugnahme zum Bestandteil dieses Dokuments gemacht werden. Die Parteien vereinbaren, dass die folgenden Bestimmungen gelten: (i) die Data Protection Commission of Ireland ist die zuständige Aufsichtsbehörde gemäß Klausel 13 der Standardvertragsklauseln; (ii) betroffene Personen, für die eine LinkedIn Rechtseinheit personenbezogene EU-Daten verarbeitet, sind Drittbegünstigte im Sinne der geltenden Standardvertragsklauseln; (iii) die Standardvertragsklauseln unterliegen dem irischen Recht, welches Rechte von Drittbegünstigten gemäß Klausel 17 der Standardvertragsklauseln zulässt; und (iv) alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, werden gemäß Klausel 18 der Standardvertragsklauseln von den irischen Gerichten entschieden. Anlage A zu dieser Datenverarbeitungsvereinbarung gilt als Anhang I der Standardvertragsklauseln und Anlage D gilt als Anhang II der Standardvertragsklauseln.

7.2 Wenn LinkedIn zur Erfüllung dieser Anforderungen derzeit oder in Zukunft außerstande ist, werden personenbezogene EU-Daten ausschließlich im Hoheitsgebiet eines Mitgliedstaates der Europäischen Union verarbeitet und verwendet, wobei jede Übermittlung personenbezogener EU-Daten in ein Drittland der vorherigen schriftlichen Zustimmung des Kunden bedarf. LinkedIn wird die Kund:innen unverzüglich über jede Unfähigkeit von LinkedIn zur Einhaltung der Bestimmungen dieses Absatzes 7 informieren. Ungeachtet des Vorstehenden gilt für den Fall, dass die in diesem Abschnitt 7 vorgesehenen Übermittlungen dazu führen, dass personenbezogene Daten aus dem Vereinigten Königreich an LinkedIn übermittelt werden, um von LinkedIn in einer anderen Rechtsordnung als dem Vereinigten Königreich oder einem vom britischen Information Commissioner's Office genehmigten Land, das einen "angemessenen" Datenschutz bietet, verarbeitet zu werden, dass (1) jede Partei zustimmt, die SCCs für die Verarbeitung von personenbezogenen Daten aus dem Vereinigten Königreich von 2010 zu verwenden, solange diese SCCs für solche Übermittlungen von personenbezogenen Daten aus dem Vereinigten Königreich rechtmäßig zulässig sind, und (2) die Anhänge A und D als Anhang I bzw. Anhang II gelten. Falls das britische Information Commissioner's Office bestätigt, dass ein "UK-Zusatz zu den EU-Standardvertragsklauseln" („UK-Zusatz“) erforderlich ist, um sich rechtmäßig auf die SCCs für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich zu stützen, dann (a) gelten die SCCs, die für personenbezogene Daten aus der EU verwendet werden, auch für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich; (b) gilt der UK-Zusatz als zwischen dem Kunden und LinkedIn ausgeführt; und (c) gelten die SCCs zwischen den Parteien als geändert, wie im UK-Zusatz in Bezug auf die Übermittlung dieser personenbezogenen Daten aus dem Vereinigten Königreich angegeben. Der britische Information Commissioner ist die einzige Aufsichtsbehörde für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich im Rahmen dieses Abkommens.

8. DATENRÜCKGABE UND -LÖSCHUNG

Die Parteien vereinbaren, dass LinkedIn nach Beendigung der Datenverarbeitungsdienste oder auf angemessenen Wunsch des Kunden alle personenbezogenen Kundendaten und Kopien dieser Daten nach Wahl des Kunden an den Kunden zurückgibt oder sicher vernichtet und zur Zufriedenheit des Kunden nachweist, dass LinkedIn diese Maßnahmen ergriffen hat, und seine Unterauftragsverarbeiter anweist, dasselbe zu tun, es sei denn, die Datenschutzanforderungen hindern LinkedIn daran, die offengelegten personenbezogenen Kundendaten ganz oder teilweise zurückzugeben oder zu vernichten. In einem solchen Fall verpflichtet sich LinkedIn, die Vertraulichkeit der von LinkedIn gespeicherten personenbezogenen Kundendaten zu wahren und diese erst nach einem solchen Datum aktiv zu verarbeiten, um die einschlägigen Gesetze einzuhalten. Der Klarheit wegen sei festgestellt, dass LinkedIn weiterhin personenbezogene Kundendaten verarbeiten darf, die in einer Art und Weise zusammengefasst wurden, die einzelne Personen oder Kunden nicht identifiziert, um die Systeme und Dienste von LinkedIn zu verbessern.  

9. SZENARIEN ZWISCHEN DATENVERARBEITUNGSVERANTWORTLICHEN

Bestimmte Dienste bieten möglicherweise eine integrierte Anzeige und den Export personenbezogener Daten von LinkedIn Mitgliedern an, auf die der Kunde bereits auf der Webseite von LinkedIn, LinkedIn.com, in Übereinstimmung mit den Datenschutzeinstellungen der Mitglieder zugreifen kann. Für die Zwecke der DSGVO sind sowohl der Kunde als auch LinkedIn im Falle eines vom Mitglied gesteuerten Exports personenbezogener Daten oder in Fällen, in denen der Kunde bereits auf solche personenbezogenen Daten zugreifen kann, unabhängige Datenverarbeitungsverantwortliche für die personenbezogenen Daten, die ursprünglich über die LinkedIn Dienste abgeleitet wurden. Für solche Fälle vereinbaren die Parteien, dass LinkedIn und der Kunde jeweils als die Datenverarbeitungsverantwortlichen in Bezug auf ihre jeweilige Kopie der personenbezogenen Daten fungieren. Jede Partei wird, soweit sie zusammen mit der anderen Partei als Datenverantwortlicher tätig ist, wie der Begriff in den geltenden Datenschutzanforderungen in Bezug auf personenbezogene Daten definiert ist, angemessen mit der anderen Partei zusammenarbeiten, um die Ausübung der in der Datenschutz-Grundverordnung und in anderen Datenschutzanforderungen festgelegten Datenschutzrechte zu ermöglichen. Wenn beide Parteien jeweils für die Verarbeitung personenbezogener Daten verantwortlich sind und die Übermittlung von Daten zwischen den Parteien zu einer Übermittlung personenbezogener EU-Daten in ein Rechtshoheitsgebiet außerhalb der EU, des EWR oder eines der von der Europäischen Kommission zugelassenen Länder führt, die einen „angemessenen“ Datenschutz bieten, verpflichtet sich jede Partei, das Formular 1 der Standardvertragsklauseln zu verwenden, die durch Bezugnahme zum Bestandteil dieses Dokuments gemacht werden. Die Parteien vereinbaren, dass die folgenden Bestimmungen gelten: (i) die Data Protection Commission of Ireland ist die zuständige Aufsichtsbehörde gemäß Klausel 13 der Standardvertragsklauseln; (ii) betroffene Personen, für die eine LinkedIn Rechtseinheit personenbezogene EU-Daten verarbeitet, sind Drittbegünstigte im Sinne der geltenden Standardvertragsklauseln; (iii) die Standardvertragsklauseln unterliegen dem irischen Recht, welches Rechte von Drittbegünstigten gemäß Klausel 17 der Standardvertragsklauseln zulässt; und (iv) alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, werden gemäß Klausel 18 der Standardvertragsklauseln von den irischen Gerichten entschieden. Ungeachtet des Vorstehenden gilt für den Fall, dass die in diesem Abschnitt 9 vorgesehenen Übermittlungen dazu führen, dass personenbezogene Daten aus dem Vereinigten Königreich an LinkedIn übermittelt werden, um von LinkedIn in einer anderen Rechtsordnung als dem Vereinigten Königreich oder einem vom britischen Information Commissioner's Office genehmigten Land, das einen "angemessenen" Datenschutz bietet, verarbeitet zu werden, dass (1) jede Partei zustimmt, die SCCs für die Verarbeitung von personenbezogenen Daten aus dem Vereinigten Königreich von 2004, die hier durch Verweis einbezogen sind, zu verwenden, solange diese SCCs für solche Übermittlungen von personenbezogenen Daten aus dem Vereinigten Königreich rechtmäßig zulässig sind, und (2) die Anhänge A und D als Anhang I bzw. Anhang II gelten und (3) der Datenimporteur die personenbezogenen Daten aus dem Vereinigten Königreich für die Zwecke von Abschnitt II Buchstabe h nach eigenem Ermessen gemäß den in Anhang A der SCC dargelegten Datenverarbeitungsgrundsätzen verarbeitet. Für den Fall, dass das britische Information Commissioner's Office bestätigt, dass ein UK-Zusatz erforderlich ist, um sich rechtmäßig auf die in diesem Abschnitt 9 vorgesehenen Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich zu stützen, gelten (a) die Standardvertragsklauseln, die für personenbezogene Daten aus der EU gemäß diesem Abschnitt 9 verwendet werden, auch für die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich; (b) der UK-Zusatz gilt als zwischen den Kund:innen und LinkedIn ausgeführt; und (c) die Standardvertragsklauseln zwischen den Parteien gelten als geändert, wie im UK-Zusatz in Bezug auf die Übermittlung dieser personenbezogenen Daten aus dem Vereinigten Königreich angegeben..

Sofern nichts anderes schriftlich vereinbart wurde, nehmen die Parteien zur Kenntnis und erklären sich damit einverstanden, dass jede Partei in Bezug auf personenbezogene Daten unabhängig als Datenverantwortliche handelt und die Parteien keine gemeinsamen Verantwortlichen im Sinne der Datenschutz-Grundverordnung und der UK GDPR sind.

10. FREMDE DATENVERARBEITER

Der Kunde nimmt zur Kenntnis, dass LinkedIn bei der Erbringung einiger Dienste (wie Applicant Tracking-Systeme, Lernmanagement-Systeme und CRM-Systeme) nach Empfang der Anweisungen des Kunden personenbezogene Kundendaten an externe Datenverarbeiter übermitteln und anderweitig mit diesen interagieren darf. Der Kunde verpflichtet sich, im Falle einer solchen Übermittlung und in dem Umfang, in dem diese stattfindet, die Verantwortung zu übernehmen, mit diesen fremden Datenverarbeitern gesonderte vertragliche Vereinbarungen zu treffen, die diese verpflichten, die den Datenschutzanforderungen entsprechenden Verpflichtungen einzuhalten. Vorsorglich wird angemerkt, dass solche externen Datenverarbeiter keine Unterauftragsverarbeiter sind.

11. LAUFZEIT

Diese Datenverarbeitungsvereinbarung bleibt in Kraft, so lange LinkedIn die Verarbeitung personenbezogener Daten im Namen des Kunden durchführt, oder bis zur Beendigung des LinkedIn Vertrags (und bis zur Rückgabe oder Löschung aller personenbezogenen Daten gemäß Abschnitt 8 oben).

12. ANWENDBARES RECHT, SACHLICHE UND ÖRTLICHE ZUSTÄNDIGKEIT

Ungeachtet anders lautender Bestimmungen in der Vereinbarung unterliegt diese Datenverarbeitungsvereinbarung den Gesetzen Irlands; alle Klagen oder Verfahren im Zusammenhang mit dieser Datenverarbeitungsvereinbarung (einschließlich solcher, die sich aus nicht-vertraglichen Streitigkeiten oder Ansprüchen ergeben) werden in Dublin, Irland, angestrengt. Sollte es jedoch zu einem Rechtsstreit über die Verarbeitung personenbezogener Daten im Vereinigten Königreich im Rahmen dieser DSGVO kommen, unterliegt dieser Rechtsstreit dem Recht von England und Wales.

SCHEDULE A

ANNEX 1 - DESCRIPTION OF THE TRANSFER

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden:

Modul 1 (Verantwortlicher an Verantwortlichen): Registrierte Nutzer:innen von LinkedIn.com („LinkedIn Mitglieder“) 

Modul 2 (Verantwortlicher an Auftragsverarbeiter):

Kategorien der übermittelten personenbezogenen Daten:

Modul 1 (Verantwortlicher an Verantwortlichen)

Bei den übertragenen Daten handelt es sich um die personenbezogenen Daten von LinkedIn Mitgliedern, auf die der Kunde bereits auf der Website von LinkedIn, LinkedIn. com, in Übereinstimmung mit den Datenschutzeinstellungen der Mitglieder zugreifen kann, die vom Datenexporteur (LinkedIn) dem Datenimporteur (Kunde) in Verbindung mit der Nutzung der Online-Rekrutierungs-, Verkaufs- und/oder Lerndienste von LinkedIn durch den Kunden zur Verfügung gestellt werden, und anschließend vom Kunden für seine eigenen Zwecke verarbeitet werden. Zu diesen persönlichen Daten können Vorname, Nachname, E-Mail-Adresse, Kontaktinformationen, Ausbildung und beruflicher Werdegang gehören.

Modul 2 (Verantwortlicher an Auftragsverarbeiter)

 Bei den übermittelten Daten handelt es sich um jene personenbezogenen Daten, die der Datenexporteur dem Datenimporteur im Zusammenhang mit der Nutzung der Online-Dienste von LinkedIn Ireland für Personalbeschaffung, Verkauf, Marketing, Mitarbeitereinbindung und/oder Weiterbildung überlässt und die in der Datenverarbeitungsvereinbarung von LinkedIn als personenbezogene Kundendaten bezeichnet werden.

Zu diesen personenbezogenen Kundendaten können je nach Eingabe/Interaktion des Kunden oder des Lizenznehmers des Kunden gehören:

Übermittlung sensibler Daten (falls zutreffend) und Anwendung von Beschränkungen oder Vorkehrungen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Beschäftigte nach einer speziellen Schulung), Führen von Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen:

Nein

Falls ja, beschreiben Sie hier bitte die geltenden Beschränkungen oder Sicherheitsvorkehrungen:

--

Die Häufigkeit der Übermittlungen (z. B. ob Daten einmalig oder laufend übermittelt werden)

Laufend

Art der Verarbeitung

Sammeln, Organisieren, Strukturieren, Verwenden, Speichern, Kombinieren, Bereitstellen auf LinkedIn Funktionen in Übereinstimmung mit den entsprechenden Serviceleistungen. 

Zweck(e) der Datenübermittlung und Weiterverarbeitung:

• Bereitstellen, Aufrechterhalten und Verbessern von Serviceleistungen (in Übereinstimmung mit der Datenverarbeitungsvereinbarung) für den Datenexporteur,
• Bereitstellen von Kundenservice für den Datenexporteur,
• Anderweitige Erfüllung der Pflichten von LinkedIn (und ggf. seiner Tochtergesellschaft) im Rahmen des entsprechenden Dienstleistungsvertrages mit dem Datenexporteur; und
• Einhaltung des geltenden Rechts.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums:

LinkedIn speichert die Daten für die Dauer der auf dem Bestelldokument angegebenen Laufzeit der Serviceleistungen und in Übereinstimmung mit Abschnitt 8 der Datenverarbeitungsvereinbarung.

Bei Übermittlungen an (Unterauftrags-) Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben:

LinkedIn nutzt Unterauftragsverarbeiter zur Unterstützung seiner Infrastrukturumgebung, lokale und internationale Anbieter:innen von Telekommunikations- und Netzwerkdiensten, Rechtseinheiten, die an der Datenspeicherung und der Bereitstellung von Inhalten beteiligt sind. Personenbezogene Daten, die von Unterauftragsverarbeitern verarbeitet werden, werden für die Zwecke und die Dauer des jeweiligen LinkedIn Dienstleistungsvertrages oder des Bestelldokuments verarbeitet. Weitere Informationen finden Sie in der Liste der Unterauftragsverarbeiter von LinkedIn unter der folgenden Internetadresse: https://legal.linkedin.com/customer-subprocessors, die ggf. auch als Anhang III der Standardvertragsklauseln gilt.

Verschiedenes

Für die Bereiche Hire, Learning und Sales sind die personenbezogenen Daten von LinkedIn Mitgliedern, die Nutzer:innen der Kund:innen sind und die sich dafür entscheiden, ihr persönliches LinkedIn.com Mitgliederprofil mit dem von den Kund:innen bereitgestellten Unternehmenssitz zu verbinden, hier nicht enthalten und werden stattdessen durch die separaten Standardvertragsklauseln zwischen LinkedIn Ireland Unlimited Company als Datenexporteur und LinkedIn Corporation als Datenimporteur geregelt. 

SCHEDULE B

ADDENDUM TO LINKEDIN DATA PROCESSING AGREEMENT

California Consumer Privacy Act

Dieser Nachtrag wird zwischen dem LinkedIn Kunden, der auf dem zugehörigen LinkedIn Bestelldokument für LinkedIn Dienste angegeben ist („Kunde“), und dem im Bestelldokument angegebenen LinkedIn Unternehmen („LinkedIn“) geschlossen und ergänzt die LinkedIn Datenverarbeitungsvereinbarung zwischen dem Kunden und LinkedIn („Datenverarbeitungsvereinbarung“) in Bezug auf die Verarbeitung personenbezogener Kundendaten von Kunden in Kalifornien gemäß CCPA. Für Begriffe in Großschrift (in der englischen Fassung), die in diesem Nachtrag verwendet, aber hier nicht anderweitig definiert werden, gilt deren Definition in der Datenverarbeitungsvereinbarung. Für Begriffe in Großschrift (in der englischen Fassung), die in der Datenverarbeitungsvereinbarung nicht definiert sind, gilt deren Definition im CCPA.

Kein Verkauf gemäß CCPA. Die Parteien vereinbaren, dass LinkedIn für die Zwecke des CCPA als CCPA-Dienstleister für personenbezogene Kundendaten fungiert. Durch die Ausführung des Bestelldokuments

• verkaufen die Kund:innen keine personenbezogenen Daten der Kund:innen an LinkedIn. LinkedIn nutzt die personenbezogenen Daten der Kund:innen nur für die Zwecke, die nach dem CCPA zulässig sind und die in der Vereinbarung festgelegt sind. LinkedIn stimmt zu, personenbezogene Daten der Kund:innen nicht zu verkaufen oder weiterzugeben (gemäß der Definition im CCPA).
• LinkedIn stimmt zu, die personenbezogenen Daten der Kund:innen nicht mit anderen personenbezogenen Daten zu kombinieren, es sei denn, dies ist nach dem CCPA zulässig.
• Soweit LinkedIn von den Kund:innen Informationen erhält, die gemäß den geltenden Datenschutzanforderungen nicht mehr identifizierbar sind, stimmt LinkedIn zu, nicht zu versuchen, die Daten erneut zu identifizieren, angemessene Maßnahmen zu ergreifen, um die Informationen in einer nicht mehr identifizierbaren Weise zu erhalten und zu nutzen, sofern dies nicht gesetzlich zulässig ist, und alle autorisierten Empfänger:innen vertraglich zu verpflichten, die geltenden Datenschutzanforderungen für nicht mehr identifizierbare Informationen einzuhalten.
• LinkedIn stimmt zu, die Kund:innen innerhalb der nach dem CCPA vorgeschriebenen Frist zu informieren, wenn LinkedIn feststellt, dass es nicht mehr in der Lage ist, seinen Verpflichtungen unter dem CCPA nachzukommen.
• LinkedIn bestätigt, dass LinkedIn diesen Nachtrag gelesen und verstanden hat und dessen Bedingungen einhalten wird, unter anderem indem LinkedIn jegliche Maßnahmen vermeidet, die dazu führen würden, dass der anderen Partei der Verkauf personenbezogener Daten oder personenbezogener Informationen im Rahmen des CCPA unterstellt wird.

SCHEDULE C

GLINT-SPECIFIC TERMS AND AMENDMENTS

Die folgenden Bedingungen ergänzen die Datenverarbeitungsvereinbarung ausschließlich in Bezug auf die LinkedIn Produkte und Dienste, die unter der Marke Glint angeboten werden (einschließlich Glint Engage und Glint Perform). Um Zweifel auszuschließen, gelten, wenn der Kunde im Rahmen der Vereinbarung zusätzlich zu Diensten der Marke LinkedIn auch Glint Dienste („Glint Dienste“) erwirbt, die folgenden Änderungen nur für diese Produkte oder Dienste von Glint und die Datenverarbeitungsvereinbarung gilt unverändert für die Dienste der Marke LinkedIn.

Die folgenden Klauseln werden als neuer Absatz 4.3 zur Datenverarbeitungsvereinbarung hinzugefügt:

   4.3 Informationspflicht und Wahlmöglichkeit. 

   a. Die Kund:innen verpflichten sich, den Nutzer:innen der Kund:innen entsprechende Mitteilungen über die Glint Serviceleistungen zukommen zu lassen, und, falls gemäß Datenschutzanforderungen erforderlich, von diesen Nutzer:innen der Kund:innen eine entsprechende Zustimmung oder eine andere geeignete rechtliche Grundlage für folgende Aktivitäten einzuholen: (i) die Erhebung, Übermittlung und Verarbeitung personenbezogener Kundendaten durch die Serviceleistungen von LinkedIn und (ii) die Inanspruchnahme von Serviceanbieter:innen oder anderen Dritten, denen LinkedIn auf Anweisung der Kund:innen personenbezogene Kundendaten zuschickt oder die LinkedIn personenbezogene Kundendaten zur Verfügung stellen. Ohne Einschränkung der Allgemeingültigkeit des Vorstehenden darf der Kunde LinkedIn personenbezogene Daten zur Verfügung stellen, um LinkedIn die Bereitstellung der LinkedIn Dienste zu ermöglichen. Der Kunde sichert zu und gewährleistet, dass er berechtigt und befugt ist, LinkedIn die personenbezogenen Daten zur Verfügung zu stellen. 

   b. Die Kund:innen bestimmen den Inhalt von „Vertraulichkeitserklärungen für Nutzer:innen“, die den Nutzer:innen der Kund:innen (z. B. bei Glint Engage eine Vertraulichkeitserklärung für Umfragen) in Bezug auf das Maß an Vertraulichkeit und Anonymität, die Nutzer:innen der Kund:innen haben, zur Verfügung gestellt wird, sowie ggf. in Bezug auf jegliche im Rahmen einer Datenschutzanforderung (z. B. Artikel 13 der Datenschutz-Grundverordnung) erforderlichen Offenlegungen. Der Kunde kann sich auch dafür entscheiden, eine standardmäßige LinkedIn Vertraulichkeitserklärung für Nutzer zu verwenden. Der Master-Administrator des Kunden stellt LinkedIn mindestens 3 (drei) Werktage vor der Nutzung die Vertraulichkeitserklärung für Nutzer zur Verfügung. Der Kunde verpflichtet sich, keinen Teil der Vertraulichkeitserklärung für Nutzer zu ändern oder zu löschen oder jegliche Aussagen in einer Kommunikation mit einem Nutzer des Kunden aufzunehmen, die LinkedIn eine Verpflichtung auferlegt oder die in irgendeiner Weise die LinkedIn zur Verfügung gestellte Vertraulichkeitserklärung abändert, dieser widerspricht oder sie ergänzt. Einzig und allein der Kunde trägt die Verantwortung dafür, dass seine Nutzung der personenbezogenen Kundendaten und die Vertraulichkeitserklärung für Nutzer allen geltenden Datenschutzanforderungen entsprechen. 

Die folgenden Klauseln werden als neuer Absatz 4.4 zur Datenverarbeitungsvereinbarung hinzugefügt:

   4.4 Zusammenfassung und Nicht-Identifikation. Soweit eine Vertraulichkeitserklärung für Nutzer die Nutzer des Kunden darüber in Kenntnis setzt, dass der Kunde Daten von LinkedIn ausschließlich in zusammengefasster Form erhält, stimmt der Kunde zu, dass er solche personenbezogenen Kunden nicht in einer Form erhält, die einzelne Nutzer des Kunden anhand personenbezogener Daten identifiziert, oder dies zu versuchen.

Der erste Satz von Absatz 5.1.a der Datenverarbeitungsvereinbarung wird durch folgenden Satz ersetzt:

   personenbezogene Kundendaten (i) nur zum Zwecke der Bereitstellung, Unterstützung und Verbesserung der Glint Dienste (einschließlich durch Bereitstellung von zusammengefassten, nicht identifizierbaren Einblicken zur Verbesserung der Dienste von Glint und LinkedIn) und der Bereitstellung von Vergleichsdaten zu Umfragen für LinkedIn Kunden, bei denen sowohl die betroffene Person als auch der Kunde anonymisiert wurden unter Verwendung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen; sowie (ii) gemäß den vom Kunden erhaltenen Anweisungen verarbeiten. 

Absatz 5.1.g der Datenverarbeitungsvereinbarung wird in vollem Umfang durch folgende Klausel ersetzt:

   dem Kunden auf Verlangen eine Zusammenfassung der für die Marke Glint geltenden LinkedIn Sicherheitsrichtlinien zur Verfügung zu stellen.

Absatz 8 der Datenverarbeitungsvereinbarung wird in vollem Umfang durch folgende Klauseln ersetzt:

   Die Parteien vereinbaren, dass LinkedIn nach Beendigung der Datenverarbeitungsdienste nach Wahl des Kunden, sofern die Datenschutzanforderungen LinkedIn nicht an der vollständigen oder teilweisen Rückgabe oder Vernichtung der offengelegten personenbezogenen Kundendaten hindern, folgende Maßnahmen ergreift und Unterauftragsverarbeiter zu folgenden Maßnahmen veranlasst: (i) Rückgabe aller personenbezogenen Kundendaten an den Kunden, einschließlich der Antworten auf Umfragen, falls der Kunde, der die Vertraulichkeitserklärung für Nutzer erhalten hat, Antworten erhalten würde, durch die Einzelpersonen identifiziert werden können; (ii) sichere Vernichtung personenbezogener Kundendaten und Nachweis dieser Maßnahmen zur Zufriedenheit des Kunden; oder (iii) Export der personenbezogenen Kundendaten in nicht zusammengefasster Form für den neuen Dienstleister des Kunden im Rahmen einer separaten schriftlichen Vereinbarung, die LinkedIn in angemessener Weise zufrieden stellt und in der der Kunde und der Empfänger der Daten die Verantwortung und Haftung für die personenbezogenen Kundendaten nach der Übermittlung oder dem Export übernehmen. LinkedIn verpflichtet sich, die Vertraulichkeit der von LinkedIn gespeicherten personenbezogenen Kundendaten zu wahren und diese erst nach einem solchen Datum aktiv zu verarbeiten, um die geltenden Datenschutzanforderungen zu erfüllen. Der Klarheit wegen sei festgestellt, dass LinkedIn nach Beendigung des LinkedIn Vertrags weiterhin personenbezogene Kundendaten verarbeiten darf, die in einer Art und Weise zusammengefasst wurden, die einzelne Personen oder Kunden nicht identifiziert, um die Systeme und Dienste von LinkedIn zu verbessern.

Die Absätze 9 und 10 der Datenverarbeitungsvereinbarung gelten nicht im Zusammengang mit Produkten oder Diensten von Glint.

SCHEDULE D

Annex II to the SCCs

TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

1. Allgemeine Sicherheitsmaßnahmen

Der Datenimporteur ergreift die branchenüblichen Sicherheitsmaßnahmen (darunter – in Bezug auf Personal, Einrichtungen, Hardware und Software, Speicher und Netzwerke – Maßnahmen wie Zugriffskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Sicherheitsverstößen und Vorfallreaktionen, die zum Schutz vor unbefugtem oder versehentlichem Zugriff, Verlust, Veränderung, Offenlegung oder Vernichtung von personenbezogenen Daten des Datenexporteurs, die dem Datenimporteur durch den Datenexporteur zur Verfügung gestellt wurden) und hält alle geltenden Datenschutz- und Datensicherheitsgesetze, Verordnungen und Normen ein.  

2. Kontaktdaten

Das Sicherheitsteam des Datenimporteurs ist unter security@linkedin.com bei allen Sicherheitsproblemen oder Fragen im Zusammenhang mit dem Produkt erreichbar.

3. Einhaltung

Der Datenimporteur hält die Normen und Praktiken ein, die unter folgender Internetadresse aufgeführt sind: https://security.linkedin.com/trust-and-compliance. Der Datenexporteur muss sich an seinen Account-Manager bei LinkedIn wenden, um weitere Informationen zu den unter der Internetadresse aufgeführten Sicherheitszertifizierungen zu erhalten.

 4. Informationssicherheitsprogramm

Das Ziel des Informationssicherheitsprogramms von LinkedIn besteht in der Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit der Computer- und Datenkommunikationssysteme sowie in der gleichzeitigen Erfüllung erforderlicher Gesetzes-, Branchen- und Vertragsanforderungen. Der Datenimporteur erstellt, implementiert und pflegt ein Informationssicherheitsprogramm, das technische und organisatorische Sicherheits- und physische Maßnahmen sowie Richtlinien und Verfahren zum Schutz der vom Datenimporteur verarbeiteten Daten des Datenexporteurs vor versehentlichem Verlust, Vernichtung oder Veränderung, unbefugter Offenlegung und unbefugtem Zugriff oder unrechtmäßiger Zerstörung umfasst.

4.1 Sichere Softwareentwicklung

Der Datenimporteur verfügt über Richtlinien und Verfahren zur Sicherstellung einer sicheren Entwicklung von Systemen, Geräten, Anwendungen und Infrastrukturen. Dies umfasst die Prüfung und das Testen aller Anwendungen, Produkte und Dienste des Datenimporteurs im Hinblick auf allgemeine Sicherheitsschwachstellen und -mängel, die Anwendung einer „Defense-in-Depth“-Strategie durch die Verwendung von Sicherheitsgrenzen und -technologien auf mehreren Ebenen, die Durchführung regelmäßiger Penetrationstests und einer Sicherheitsbewertung der Dienste sowie die Festlegung von Basiskonfigurationen und Anforderungen für das Patchen von Drittsystemen.

4.2 HR-Sicherheit

Der Datenimporteur verfügt über eine Richtlinie, die Anforderungen zur Durchsetzung von Sicherheitsmaßnahmen in Bezug auf Änderungen des Beschäftigungsstatus festlegt. Dies umfasst Hintergrundüberprüfungen, die Anerkennung und Einhaltung der Sicherheitsrichtlinien des Datenimporteurs, das Einarbeiten und die Kündigung von Beschäftigten und Dritten.

4.3 Klassifizierung und Schutz von Daten

Der Datenimporteur verfügt – unter Berücksichtigung der geltenden Gesetze, Verordnungen und vertraglichen Verpflichtungen – über Richtlinien und Verfahren zur Klassifizierung und zum Schutz von Daten sowie über Anforderungen für die Klassifizierung von Daten, die personenbezogene Daten enthalten. Der Datenimporteur verfügt auch über Anforderungen an die Datenverschlüsselung, Regeln für die Übertragung von Daten, Anforderungen für Wechseldatenträger und Anforderungen an die Regelung des Zugriffs auf diese Daten.

4.4 Netzwerksicherheit

Der Datenimporteur verfügt über Richtlinien und Verfahren rund um die zur Verarbeitung von Daten des Datenexporteurs verwendete Netzwerkinfrastruktur, legt sichere Netzwerkpraktiken fest, setzt diese durch und definiert Dienstgütevereinbarungen mit internen und externen Netzwerkdiensten. 

4.5 Physische und umgebungsbezogene Sicherheit

Der Datenimporteur verfügt über Richtlinien und Verfahren für physische und umgebungsbezogene Sicherheit, definiert Anforderungen zum Schutz von Bereichen, die sensible Informationen enthalten, und stellt sicher, dass Informationsdienste von entscheidender Bedeutung vor Abhörungen, Störungen oder Schäden geschützt sind.

4.6 Geschäftskontinuität und Notfallwiederherstellung

Der Datenimporteur verfügt über Richtlinien und Verfahren, die sicherstellen, dass der Datenimporteur im Falle eines außergewöhnlichen Ereignisses weiterhin geschäftskritische Funktionen ausüben kann. Dazu gehören Verfahren für die Ausfallsicherheit des Rechenzentrums und die Notfallwiederherstellung von geschäftskritischen Daten und Verarbeitungsfunktionen.

5. Zugriffskontrolle

Der Datenimporteur verfügt über Maßnahmen zur Zugriffskontrolle, die dafür bestimmt sind, den Zugriff auf Einrichtungen, Anwendungen, Systeme, Netzwerkgeräte und Betriebssysteme des Datenimporteurs auf eine begrenzte Anzahl von Mitarbeiter:innen, die einen geschäftlichen Bedarf an einem solchen Zugriff haben, zu beschränken. Der Datenimporteur stellt sicher, dass solch ein Zugriffsrecht widerrufen wird, wenn es nicht mehr erforderlich ist, und führt in regelmäßigen Abständen Zugriffsprüfungen durch.

6. Risikobewertungen

Der Datenimporteur besitzt ein dokumentiertes Risikomanagementverfahren und einen sicheren Lebenszyklusprozess in der Softwareentwicklung. Der Datenimporteur führt regelmäßig Risikobewertungen für die Produkte und die Infrastruktur durch, einschließlich einer Prüfung der Datenklassifizierungsrichtlinien und gezielter Prüfungen hochsensibler Datenströme.

Der Datenimporteur führt Tests auf Anwendungs- und Infrastrukturebene für jedes neu eingeführte Produkt sowie regelmäßige Neubewertungen des Netzwerks und der Funktionsänderungen durch. Der Datenimporteur nutzt die Zugriffskontrolle und die Peer-Code-Prüfung, um sicherzustellen, dass keine Viren in den Code eingeschleust werden, und um einen solchen Missbrauch aufzudecken. Der Datenimporteur verwendet eine Kombination aus manuellen Penetrationstests und automatisierten Tools.

7. Risikobewertungen von Dritten

Der Datenimporteur erfüllt seine Sorgfaltspflicht in Bezug auf die Sicherheit von Drittdienstleistern, um die Risiken zu bewerten und zu überwachen. Diese Bewertung umfasst eine Prüfung des Umfangs der vertraulichen Informationen und personenbezogenen Daten, die dem Serviceanbieter übermittelt oder von diesem verarbeitet werden, sowie des Zwecks der Arbeit. Der Datenimporteur führt auch eine Risikobewertung durch, welche die Organisation und die technischen Sicherheitsmaßnahmen des Serviceanbieters, die Sensibilität aller vom Serviceanbieter verarbeiteten Informationen, Speicherbeschränkungen sowie Datenlöschungsverfahren- und -fristen umfassen kann.

8. Ergänzende Maßnahmen

Zusätzlich zu den oben genannten allgemeinen Sicherheitsmaßnahmen hat der Datenimporteur die folgenden ergänzenden technischen und organisatorischen Maßnahmen getroffen:

• Die in der Datenverarbeitungsvereinbarung definierten personenbezogenen Kundendaten werden über öffentliche Netzwerke an die Rechenzentren des Datenimporteurs in den Vereinigten Staaten übermittelt und auf gesicherten Servern hinter einer Firewall gespeichert.
• Glint-Neukunden können für das Hosting ihrer Glint-spezifischen personenbezogenen Kundendaten zwischen den US- und EU-Datenspeicherorten von Glint wählen.
• Der Datenimporteur verschlüsselt alle personenbezogenen Kundendaten bei der Übermittlung über öffentliche Netzwerke, sofern der Datenexporteur die Verschlüsselung unterstützt. Bestimmte streng vertrauliche Daten (insbesondere Passwörter, Authentifizierungs-Token, Gehalts- und Zahlungsinformationen) werden auch während der Speicherung verschlüsselt. LinkedIn verwendet ausschließlich branchenerprobte und branchenweit anerkannte Standards für kryptografische Algorithmen.
• Die Daten des Datenimporteurs werden in allen seinen Rechenzentren in einer sicheren Umgebung repliziert.
• Der Datenimporteur verwendet eine Anwendungslogik mit entsprechender Berechtigung zum Schutz der Mieterdaten. Zugriffsanfragen werden überprüft, um sicherzustellen, dass nur zulässiger Zugang gewährt wird. Protokolle über die Zugriffe auf Server und Datenbänke werden zu Prüfzwecken aufbewahrt.
• Der Datenimporteur wendet für alle seine Produktlinien branchenübliche Sicherheitsmaßnahmen an, die unter https://security.linkedin.com/trust-and-compliance näher erläutert werden. Dazu gehören ISO 27001 und ISO 27018 sowie PCI DSS für Talent Solutions, Learning Solutions, Marketing Solutions und Sales Solutions des Datenimporteurs. Die Beschäftigten und Auftragnehmer des Datenimporteurs werden im Hinblick auf spezifische technische und organisatorische Sicherheitsmaßnahmen geschult.
• Die Server werden sowohl mit branchenüblichen als auch mit proprietären Netzwerküberwachungs-Tools überwacht, um potenzielle Sicherheitsverstöße zu verhindern.
• Unternehmenssysteme und -datenbanken sind passwortgeschützt.
• VPN- und direkter Zugang zum LinkedIn-Netzwerk sind auf vom Unternehmen ausgegebene oder genehmigte Geräte beschränkt.
• Für den VPN-Zugang ist eine Zwei-Faktor-Authentifizierung in Kraft.
• Die Passwörter von Kunden und Mitgliedern sind mit Hash und Salt versehen und in einer separaten, sicheren Datenbank gespeichert.
• Die Schlüssel zur Kreditkartendatenbank werden regelmäßig ausgetauscht.
• Aktive und automatische Überwachung von kritischen Zugriffsprotokollen und Erkennung von Anomalien.