CMMS Data Protection Appendix (Updated November 14, 2025) – Current Version

CMMS Data Protection Appendix (Updated April 4, 2023)

DIESER ANHANG ZUM DATENSCHUTZ IST TEIL DES RAHMENVERTRAGS FÜR DAS ABONNEMENT, DER DIE BEREITSTELLUNG DES EMAINT-ONLINE-DIENSTES EINSCHLIESSLICH DER OFFLINE-KOMPONENTEN REGELT

1. DATENSCHUTZ

1.1. Prozessor/Controller

1.1.1. Die Parteien vereinbaren, dass für die geschützten Daten der Kunde der Datenverantwortliche und eMaint der Datenverarbeiter ist.

1.2. Einhaltung der Datenschutzgesetze und -verpflichtungen

1.2.1. eMaint verarbeitet geschützte Daten in Übereinstimmung mit:

  1. die Verpflichtungen der Datenverarbeiter gemäß den Datenschutzgesetzen in Bezug auf die Erfüllung ihrer Verpflichtungen im Rahmen dieses Abkommens; und
  2. dieses Abkommens.

1.2.2. Der Kunde muss Folgendes einhalten:

  1. alle Datenschutzgesetze in Verbindung mit der Verarbeitung geschützter Daten, den Diensten und der Ausübung und Erfüllung ihrer jeweiligen Rechte und Pflichten im Rahmen dieses Vertrags, einschließlich der Aufrechterhaltung aller relevanten behördlichen Registrierungen und Meldungen, die gemäß den Datenschutzgesetzen erforderlich sind; und
  2. dieses Abkommens.

1.2.3. Der Kunde garantiert, sichert zu und verpflichtet sich, dass:

  1. In Bezug auf Daten, die eMaint für die Erbringung der Dienstleistungen im Rahmen dieser Vereinbarung zur Verfügung gestellt werden oder auf die eMaint zugreift, müssen diese Daten vom Kunden in jeder Hinsicht in Übereinstimmung mit den Datenschutzgesetzen beschafft worden sein, auch in Bezug auf ihre Erhebung, Speicherung und Verarbeitung, was zur Vermeidung von Zweifeln beinhaltet, dass der Kunde den betroffenen Personen alle erforderlichen Informationen zur fairen Verarbeitung zur Verfügung stellt und alle erforderlichen Zustimmungen von ihnen einholt, damit eMaint diese Daten in Übereinstimmung mit dieser Vereinbarung rechtmäßig verarbeiten und übertragen kann;
  2. alle Anweisungen, die er eMaint in Bezug auf geschützte Daten erteilt, müssen zu jeder Zeit mit den Datenschutzgesetzen übereinstimmen;
  3. sie hat die Verarbeitung durch eMaint mit der gebotenen Sorgfalt geprüft und ist davon überzeugt, dass:
    1. die Verarbeitungsvorgänge von eMaint für die Zwecke geeignet sind, für die der Kunde die Dienste nutzen und eMaint mit der Verarbeitung der geschützten Daten beauftragen möchte; und
    2. eMaint verfügt über ausreichende Fachkenntnisse, Zuverlässigkeit und Ressourcen, um technische und organisatorische Maßnahmen zu treffen, die den Anforderungen der Datenschutzgesetze entsprechen.
  4. er wird keine sensiblen oder besonderen personenbezogenen Daten oder andere personenbezogene Daten, die für den Zweck oder die beabsichtigte Nutzung der Dienste nicht erforderlich sind, in den Dienst hochladen, speichern oder verarbeiten und wird seine Nutzer dazu anhalten, dies zu unterlassen

1.2.4. Der Kunde darf seine Zustimmung zu einer von eMaint geforderten Änderung nicht unangemessen verweigern, verzögern oder an Bedingungen knüpfen, um sicherzustellen, dass die Dienste und eMaint (oder ein Unterauftragsverarbeiter) die Datenschutzgesetze einhalten können, jedoch nicht länger als einen Monat.

1.3. Einzelheiten der Verarbeitung und Anweisungen

1.3.1. Soweit eMaint geschützte Daten im Auftrag des Kunden verarbeitet, ist eMaint:

  1. wird die geschützten Daten nur auf der Grundlage und in Übereinstimmung mit (a) den dokumentierten Anweisungen des Kunden, wie sie in Anhang 2 dieses Anhangs (Datenverarbeitungsdetails) in der jeweils aktualisierten Fassung aufgeführt sind, und (b) den Anweisungen des Kunden über seine Konfiguration der Dienste ("Verarbeitungsanweisungen") verarbeiten und Maßnahmen ergreifen, um sicherzustellen, dass jede Person, die in seinem Auftrag handelt, die geschützten Daten verarbeitet;
  2. falls das geltende Recht sie dazu verpflichtet, geschützte Daten anders als in Übereinstimmung mit den Verarbeitungsanweisungen zu verarbeiten, den Kunden vor der Verarbeitung der geschützten Daten über eine solche Verpflichtung zu informieren, es sei denn, das geltende Recht verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses; und
  3. informiert den Kunden, wenn eMaint Kenntnis von einer Verarbeitungsanweisung erhält, die nach Ansicht von eMaint gegen Datenschutzgesetze verstößt:
    1. vorausgesetzt, dass dies unbeschadet der Klauseln 1.2.2 und 1.2.3 geschieht; und
    2. Es wird vereinbart, dass eMaint im größtmöglichen gesetzlich zulässigen Umfang keine Haftung (sei es aus Vertrag, unerlaubter Handlung (einschließlich Fahrlässigkeit) oder anderweitig) für Verluste, Kosten, Ausgaben oder Verbindlichkeiten (einschließlich Datenverarbeitungsverluste) übernimmt, die sich aus oder im Zusammenhang mit der Verarbeitung gemäß den Verarbeitungsanweisungen des Kunden ergeben, nachdem eMaint den Kunden über eine rechtswidrige Verarbeitungsanweisung informiert hat.

1.4. Technische und organisatorische Maßnahmen

1.4.1 eMaint wird die technischen und organisatorischen Maßnahmen auf eigene Kosten durchführen und aufrechterhalten:

  1. in Bezug auf die Verarbeitung geschützter Daten durch eMaint, wie in Anhang 2 (Einzelheiten der Datenverarbeitung) dargelegt und im Wesentlichen in Übereinstimmung mit den Sicherheitsmaßnahmen gemäß Anhang 1; und
  2. unter Berücksichtigung der Art der Verarbeitung den Kunden so weit wie möglich bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Person in Bezug auf geschützte Daten zu unterstützen.

1.4.2. Zusätzliche technische und organisatorische Maßnahmen, die der Kunde verlangt, sind auf seine Kosten und nur im Rahmen des Zumutbaren zu realisieren.

1.5. Sicherheit der Verarbeitung

1.5.1. eMaint erfüllt in Bezug auf die geschützten Daten, die von ihm im Rahmen dieser Vereinbarung verarbeitet werden, die Anforderungen an die Sicherheit der Verarbeitung, die in den für Datenverarbeiter geltenden Datenschutzgesetzen und in diesem Anhang, einschließlich Abschnitt 1.4, festgelegt sind.

1.6. Einsatz von Personal und anderen Verarbeitern

1.6.1. Der Kunde ist damit einverstanden, dass eMaint Unterauftragsverarbeiter mit der Durchführung von Verarbeitungstätigkeiten in Bezug auf geschützte Daten im Namen des Kunden beauftragt, soweit dies für die Erbringung der Dienstleistungen erforderlich ist. Die derzeit von eMaint beauftragten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. eMaint wird den Kunden über jede Ergänzung oder Änderung der beauftragten Unterauftragsverarbeiter mit einer Frist von mindestens dreißig (30) Tagen im Voraus informieren, und der Kunde hat nach dieser Mitteilung vierzehn (14) Tage Zeit, um einer solchen Ergänzung oder Änderung zu widersprechen. Im Falle eines Widerspruchs des Kunden kann eMaint aus den folgenden Optionen wählen, um den Widerspruch zu beheben:

  1. eMaint wird seine Pläne zur Nutzung des/der beanstandeten Unterauftragsverarbeiter(s) in Bezug auf geschützte Daten aufgeben oder eine Alternative zur Erbringung der Dienste ohne diese(n) Unterauftragsverarbeiter anbieten; oder
  2. eMaint ergreift die vom Kunden in seinem Widerspruch geforderten Abhilfemaßnahmen (die den Widerspruch des Kunden aufheben) und setzt den/die beanstandeten Unterauftragsverarbeiter in Bezug auf geschützte Daten ein; oder
  3. eMaint kann die Erbringung der Dienstleistungen einstellen oder der Kunde kann sich damit einverstanden erklären, den bestimmten Aspekt der Dienstleistungen, der den Einsatz des/der beanstandeten Unterauftragsverarbeiters/Unterauftragsverarbeiter in Bezug auf geschützte Daten beinhalten würde, (vorübergehend oder dauerhaft) nicht zu nutzen, vorbehaltlich einer Vereinbarung zwischen eMaint und dem Kunden über die Anpassung der Gebühren unter Berücksichtigung des reduzierten Umfangs der Dienstleistungen.

Wenn keine der oben genannten Möglichkeiten zur Verfügung steht und die Beanstandung nicht innerhalb von 30 Tagen nach Eingang der Beanstandung des Kunden bei eMaint zur beiderseitigen Zufriedenheit gelöst wurde, kann jede Partei diese Vereinbarung kündigen und der Kunde hat Anspruch auf eine anteilige Rückerstattung der im Voraus bezahlten Gebühren für die zum Zeitpunkt der Kündigung nicht erbrachten Leistungen.

1.6.2. eMaint beauftragt Unterauftragsverarbeiter im Rahmen eines schriftlichen Vertrags, der im Wesentlichen dieselben Verpflichtungen enthält wie dieser Abschnitt 1, einschließlich und ohne Einschränkung des nachstehenden Abschnitts 1.8.

1.6.3. eMaint ergreift angemessene Maßnahmen, um sicherzustellen, dass alle Mitarbeiter von eMaint, die Zugang zu personenbezogenen Daten haben, zuverlässig sind und dass alle Mitarbeiter von eMaint, die zur Verarbeitung geschützter Daten berechtigt sind, einer verbindlichen schriftlichen vertraglichen Verpflichtung mit eMaint unterliegen, die geschützten Daten vertraulich zu behandeln, es sei denn, eine Offenlegung ist nach geltendem Recht erforderlich; in diesem Fall wird eMaint den Kunden, soweit dies praktikabel und nicht durch geltendes Recht untersagt ist, vor einer solchen Offenlegung über eine solche Anforderung informieren.

1.7. Unterstützung bei der Einhaltung der Vorschriften und der Rechte der betroffenen Personen durch den Kunden

1.7.1. eMaint leitet alle bei ihm eingehenden Anfragen von Betroffenen innerhalb von drei Werktagen nach dem tatsächlichen Eingang der Anfrage an den Kunden weiter, und der Kunde zahlt eMaint die in der Preisliste aufgeführten angemessenen Kosten für die Erfassung und Weiterleitung der Anfragen von Betroffenen gemäß diesem Abschnitt 1.7.1.

1.7.2. eMaint leistet die angemessene Unterstützung, die der Kunde unter Berücksichtigung der Art der von eMaint durchgeführten Verarbeitung und der eMaint zur Verfügung stehenden Informationen vernünftigerweise benötigt, um die Verpflichtungen des Kunden gemäß den Datenschutzgesetzen in Bezug auf die Dienstleistungen zu erfüllen, soweit sie sich darauf beziehen:

  1. Sicherheit der Verarbeitung;
  2. DPIAs;
  3. vorherige Konsultation einer Aufsichtsbehörde bei risikoreicher Verarbeitung; und
  4. Meldungen an die Aufsichtsbehörde und/oder Mitteilungen des Kunden an die betroffenen Personen als Reaktion auf eine Verletzung des Datenschutzes,

vorausgesetzt, der Kunde zahlt die Gebühren von eMaint gemäß der Preisliste von eMaint für die Hilfeleistung gemäß dieser Klausel 1.7.2.

1.8. Internationale Datenübermittlung

1.8.1. Der Kunde erklärt sich damit einverstanden, dass eMaint geschützte Daten außerhalb des Vereinigten Königreichs, des EWR oder der Schweiz oder an internationale Organisationen (einzeln oder gemeinsam ein "internationaler Empfänger") übermitteln darf, vorausgesetzt, dass alle Übermittlungen geschützter Daten durch eMaint an einen internationalen Empfänger und alle Weiterübermittlungen in dem von den Datenschutzgesetzen geforderten Umfang unter Verwendung angemessener Sicherheitsvorkehrungen und in Übereinstimmung mit den Datenschutzgesetzen durchgeführt werden. Der vorstehende Satz gilt als Weisung des Kunden in Bezug auf internationale Datenübermittlungen im Sinne von Abschnitt 1.3.1.

1.8.2. eMaint kann Unterauftragsverarbeiter, die internationale Empfänger sind, unter Verwendung der Standardvertragsklauseln beauftragen, um die Einhaltung von Abschnitt 2.8.1 zu gewährleisten. Auf Verlangen des Kunden stellt eMaint eine Kopie dieser Standardvertragsklauseln zur Verfügung, die in dem Maße geschwärzt sind, wie es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist.

1.9. Aufzeichnungen, Informationen und Prüfung

1.9.1. eMaint führt in Übereinstimmung mit den für eMaint verbindlichen Datenschutzgesetzen schriftliche Aufzeichnungen über alle Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Kunden durchgeführt werden.

1.9.2. eMaint stellt dem Kunden in Übereinstimmung mit den Datenschutzgesetzen die Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um nachzuweisen, dass eMaint die Verpflichtungen von Datenverarbeitern gemäß den Datenschutzgesetzen einhält, und lässt Prüfungen, einschließlich Inspektionen, durch den Kunden oder einen anderen vom Kunden zu diesem Zweck beauftragten Prüfer zu und trägt dazu bei, sofern der Kunde dies wünscht:

  1. eMaint mit angemessener Vorankündigung über eine solche Informationsanfrage, Prüfung oder Inspektion, die vom Kunden verlangt wird, zu informieren;
  2. sicherzustellen, dass alle Informationen, die der Kunde oder sein(e) Prüfer im Zusammenhang mit solchen Auskunftsersuchen, Inspektionen und Audits erhalten oder erzeugt haben, streng vertraulich behandelt werden, es sei denn, sie werden an die Aufsichtsbehörde weitergegeben oder sind nach geltendem Recht anderweitig erforderlich;
  3. Sicherstellung, dass ein solches Audit oder eine solche Inspektion während der normalen Geschäftszeiten mit minimaler Unterbrechung des Geschäftsbetriebs von eMaint, des Geschäftsbetriebs eines Unterauftragsverarbeiters oder des Geschäftsbetriebs anderer Kunden von eMaint durchgeführt wird; und
  4. die Zahlung der angemessenen Kosten von eMaint, die in der Preisliste aufgeführt sind, für die Unterstützung bei der Bereitstellung von Informationen und die Ermöglichung von und Mitwirkung an Inspektionen und Audits.

1.10. Meldung von Verletzungen des Schutzes geschützter Daten und Beschwerden

1.10.1. Im Falle einer Verletzung des Schutzes geschützter Daten, die geschützte Daten betrifft, wird eMaint unverzüglich:

    1. den Kunden über die Verletzung des Schutzes geschützter Daten zu informieren; und
    2. dem Kunden Einzelheiten über die Verletzung des Schutzes geschützter Daten mitzuteilen.

1.10.2. Jede Partei unterrichtet die andere Partei unverzüglich, auf jeden Fall aber innerhalb von drei Werktagen, wenn sie eine Beschwerde erhält, und teilt der anderen Partei alle Einzelheiten dieser Beschwerde mit.

1.11. Löschung oder Rückgabe von geschützten Daten und Kopien

eMaint wird auf schriftliches Verlangen des Kunden alle geschützten Daten innerhalb einer angemessenen Frist nach Beendigung der Erbringung der betreffenden Dienstleistungen im Zusammenhang mit der Verarbeitung entweder löschen oder an den Kunden zurückgeben und alle anderen vorhandenen Kopien davon löschen, es sei denn, die Aufbewahrung von Daten ist nach geltendem Recht erforderlich, und in diesem Fall wird eMaint den Kunden über eine solche Anforderung informieren.

1.12. Haftung, Entschädigungen und Schadenersatzansprüche

1.12.1. Der Kunde hält eMaint schadlos in Bezug auf alle Datenverarbeitungsverluste, die eMaint und einem Unterauftragsverarbeiter aus oder im Zusammenhang mit einer Datenverarbeitung entstehen, zugesprochen werden oder zu deren Zahlung sich eMaint verpflichtet hat:

    1. Nichteinhaltung der Datenschutzgesetze durch den Kunden;
    2. die von eMaint oder einem Unterauftragsverarbeiter gemäß einer Verarbeitungsanweisung durchgeführte Verarbeitung, die gegen ein Datenschutzgesetz verstößt; oder
    3. Verstoß des Kunden gegen eine seiner Verpflichtungen aus dieser Klausel 1,

    • außer in dem Umfang, in dem eMaint gemäß Klausel 1.12.2 haftet.

    1.12.2. eMaint haftet für Datenverarbeitungsverluste, unabhängig davon, wie diese entstehen, sei es durch Vertrag, unerlaubte Handlung (einschließlich Fahrlässigkeit) oder anderweitig im Rahmen oder in Verbindung mit dieser Vereinbarung:

    1. nur in dem Umfang, in dem sie durch die Verarbeitung geschützter Daten im Rahmen dieser Vereinbarung verursacht werden und unmittelbar auf einen Verstoß von eMaint gegen diese Klausel 1 zurückzuführen sind; und
    2. unter keinen Umständen für einen Teil der Datenverarbeitungsverluste (oder der Umstände, die zu diesen Verlusten geführt haben), die durch eine Verletzung dieser Vereinbarung durch den Kunden (einschließlich einer Verletzung von Klausel 1.3.1(c)(ii)) mitverursacht oder verursacht wurden.

    1.12.3. Erhält eine Partei einen Entschädigungsanspruch von einer Person im Zusammenhang mit der Verarbeitung geschützter Daten, so unterrichtet sie die andere Partei unverzüglich über diesen Anspruch und teilt ihr alle Einzelheiten mit, und jede Partei verpflichtet sich:

    1. ohne die vorherige schriftliche Zustimmung der anderen Partei, die nicht unbillig verweigert, an Bedingungen geknüpft oder verzögert werden darf, kein Haftungsanerkenntnis abzugeben und keinem Vergleich oder Kompromiss über die betreffende Forderung zuzustimmen; und
    2. Die Bedingungen für eine Beilegung oder einen Vergleich der Forderung werden jedoch ausschließlich von der Partei festgelegt, die nach diesem Abkommen für die Zahlung der Entschädigung verantwortlich ist.

    1.12.4. Die Parteien sind sich darüber einig, dass der Kunde nicht berechtigt ist, von eMaint einen Teil der vom Kunden in Bezug auf einen solchen Schaden gezahlten Entschädigung zurückzufordern, soweit der Kunde eMaint gemäß Klausel 1.12.1 schadlos zu halten hat.

    1.12.5. Diese Klausel 1.12 soll für die Aufteilung der Haftung für Datenverarbeitungsschäden zwischen den Parteien gelten, auch im Hinblick auf die Entschädigung der betroffenen Personen, ungeachtet anderslautender Bestimmungen der Datenschutzgesetze, es sei denn:

    1. soweit dies nicht nach geltendem Recht (einschließlich Datenschutzgesetzen) zulässig ist; und
    2. dass sie die Haftung einer der Parteien gegenüber einer betroffenen Person nicht berührt.

    SCHEDULE 1

    SICHERHEITSMASSNAHMEN

    BESCHREIBUNG DER TECHNISCHEN UND ORGANISATORISCHEN SICHERHEITSMASSNAHMEN VON EMAINT

    Technische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

    1. Inventarisierung und Kontrolle von Hardware-Assets

    Verwalten Sie alle Hardwaregeräte im Netzwerk aktiv, damit nur autorisierte Geräte Zugang erhalten und nicht autorisierte und nicht verwaltete Geräte gefunden und am Zugang gehindert werden.

    1. Inventarisierung und Kontrolle von Softwarebeständen

    Aktive Verwaltung der gesamten Software im Netzwerk, so dass nur autorisierte Software installiert und ausgeführt werden kann und dass nicht autorisierte und nicht verwaltete Software gefunden und an der Installation oder Ausführung gehindert wird.

    1. Kontinuierliches Schwachstellenmanagement

    Kontinuierlich neue Informationen sammeln, bewerten und Maßnahmen ergreifen, um Schwachstellen zu erkennen, zu beheben und die Chancen für Angreifer zu minimieren.

    1. Kontrollierte Nutzung von Verwaltungsrechten

    Pflege von Prozessen und Werkzeugen zur Verfolgung, Kontrolle, Verhinderung und Korrektur der Nutzung, Zuweisung und Konfiguration von administrativen Berechtigungen für Computer, Netzwerke, Anwendungen und Daten.

    1. Sichere Konfiguration für Hardware und Software auf mobilen Geräten, Laptops, Workstations und Servern

    Implementierung und aktive Verwaltung (Nachverfolgung, Berichterstattung, Korrektur) der Sicherheitskonfiguration von mobilen Geräten, Laptops, Servern und Workstations unter Verwendung eines Konfigurationsmanagement- und Änderungskontrollprozesses, um Angreifer daran zu hindern, anfällige Dienste und Einstellungen auszunutzen.

    1. Pflege, Überwachung und Analyse von Audit-Protokollen

    Sammeln, Verwalten und Analysieren von Audit- und Sicherheitsprotokollen von Ereignissen, die zur Erkennung, zum Verständnis oder zur Wiederherstellung nach einem möglichen Angriff beitragen könnten.

    1. Schutz für E-Mail und Webbrowser

    Setzen Sie automatisierte Kontrollen ein, um die Angriffsfläche und die Möglichkeiten für Angreifer zu minimieren, menschliches Verhalten durch ihre Interaktion mit Webbrowsern und E-Mail-Systemen oder -Inhalten zu manipulieren.

    1. Malware-Schutz

    Kontrollieren Sie die Installation, Verbreitung und Ausführung von bösartigem Code an mehreren Stellen im Unternehmen und optimieren Sie gleichzeitig den Einsatz von Automatisierung, um eine schnelle Aktualisierung der Verteidigung, Datenerfassung und Korrekturmaßnahmen zu ermöglichen.

    1. Begrenzung und Kontrolle von Netzwerkanschlüssen, Protokollen und Diensten

    Verwalten (verfolgen, kontrollieren, korrigieren) der laufenden betrieblichen Nutzung von Ports, Protokollen, Diensten und Anwendungen auf vernetzten Geräten, um die für Angreifer verfügbaren Schwachstellen und Angriffsmöglichkeiten zu minimieren.

    1. Fähigkeiten zur Datenwiederherstellung

    Pflege von Prozessen und Werkzeugen zur ordnungsgemäßen Sicherung personenbezogener Daten mit einer bewährten Methodik, um die Vertraulichkeit, Integrität, Verfügbarkeit und Wiederherstellbarkeit dieser Daten zu gewährleisten.

    1. Sichere Konfiguration von Netzwerkgeräten, wie Firewalls, Router und Switches

    Implementierung und aktive Verwaltung (Nachverfolgung, Berichterstattung, Korrektur) der Sicherheitskonfiguration von Netzinfrastrukturgeräten unter Verwendung eines Konfigurationsmanagement- und Änderungskontrollprozesses, um Angreifer daran zu hindern, anfällige Dienste und Einstellungen auszunutzen.

    1. Grenzverteidigung

    Erkennen, Verhindern und Korrigieren des Informationsflusses bei der Übertragung von Netzen unterschiedlicher Vertrauensstufen mit Schwerpunkt auf personenbezogenen Daten.

    1. Datenschutz

    Pflege von Prozessen und Instrumenten zur Verhinderung der Datenexfiltration, zur Abschwächung der Auswirkungen exfiltrierter Daten und zur Gewährleistung der Vertraulichkeit und Integrität personenbezogener Daten.

    1. Kontrollierter Zugang auf der Grundlage des Wissensbedarfs

    Pflege von Prozessen und Werkzeugen zur Verfolgung, Kontrolle, Verhinderung und Korrektur des sicheren Zugriffs auf kritische oder kontrollierte Güter (z.B. Informationen, Ressourcen, Systeme) entsprechend der formalen Bestimmung, welche Personen, Computer und Anwendungen auf der Grundlage einer genehmigten Klassifizierung einen Bedarf und ein Recht auf Zugriff auf diese kritischen oder kontrollierten Güter haben.

    1. Drahtlose Zugangskontrolle

    Pflege von Prozessen und Tools zur Verfolgung, Kontrolle, Vorbeugung und Korrektur der sicheren Nutzung von drahtlosen lokalen Netzwerken (WLANs), Access Points und drahtlosen Kundensystemen.

    1. Überwachung und Kontrolle von Konten

    Aktive Verwaltung des Lebenszyklus von System- und Anwendungskonten, ihrer Erstellung, Nutzung, Ruhestellung und Löschung, um die Möglichkeiten einer unbefugten, unangemessenen oder schändlichen Nutzung zu minimieren.

    Organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

    1. Implementierung eines umfassenden Informationssicherheitsprogramms

    Durch die Umsetzung eines umfassenden Informationssicherheitsprogramms (Comprehensive Information Security Program, CISP) werden verschiedene administrative Schutzmaßnahmen zum Schutz personenbezogener Daten aufrechterhalten. Diese Maßnahmen sollen Folgendes gewährleisten:

    • Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten
    • Schutz vor unbefugtem Zugriff auf oder Verwendung von (gespeicherten) personenbezogenen Daten in einer Weise, die ein erhebliches Risiko von Identitätsdiebstahl oder Betrug schafft
    • dass Angestellte, Auftragnehmer, Berater, Zeitarbeiter und andere Arbeitnehmer, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des für die Verarbeitung Verantwortlichen verarbeiten.
    1. Implementierung eines Programms zur Sensibilisierung und Schulung für Sicherheitsfragen

    Identifizieren Sie für alle funktionalen Rollen (wobei Sie denjenigen den Vorrang geben, die für das Unternehmen, seine Sicherheit und den Schutz personenbezogener Daten entscheidend sind) die spezifischen Kenntnisse, Fähigkeiten und Fertigkeiten, die zur Unterstützung des Schutzes und der Verteidigung personenbezogener Daten erforderlich sind; entwickeln Sie einen integrierten Plan, um
    zu bewerten, Lücken zu identifizieren und durch Richtlinien, Organisationsplanung, Schulungen und Sensibilisierungsprogramme zu beheben.

    1. Sicherheit von Anwendungssoftware

    Verwaltung des Sicherheitslebenszyklus aller intern entwickelten und erworbenen Software, um Sicherheitsschwächen zu verhindern, zu erkennen und zu beheben.

    1. Reaktion auf Zwischenfälle und Management

    Schützen Sie die Informationen der Organisation, einschließlich personenbezogener Daten, sowie ihren Ruf, indem Sie eine Infrastruktur für die Reaktion auf Vorfälle entwickeln und implementieren (z. B. Pläne, definierte Rollen, Schulungen, Kommunikation, Überwachung durch das Management, Honorare und Versicherungen), um einen Angriff schnell zu entdecken und dann den Schaden wirksam einzudämmen, die Präsenz des Angreifers zu beseitigen und die Integrität des Netzwerks und der Systeme der Organisation wiederherzustellen.

    1. Sicherheits- und Datenschutzbeurteilungen, Penetrationstests und Red-Team-Übungen

    Testen Sie die Gesamtstärke der Verteidigung der Organisation (Technologie, Prozesse und Mitarbeiter), indem Sie die Ziele und Aktionen eines Angreifers simulieren. Außerdem sollten Sie die Kontrollen, Richtlinien und Verfahren zum Schutz der Privatsphäre und der personenbezogenen Daten der Organisation bewerten und validieren.

    1. Physische Sicherheit und Zugangskontrolle

    Forderung, dass alle Einrichtungen das höchste Datenschutzniveau einhalten, das unter den für die Einrichtung und die darin enthaltenen, verarbeiteten oder übermittelten Daten relevanten Umständen möglich und angemessen ist.

    SCHEDULE 2

    EINZELHEITEN DER DATENVERARBEITUNG

    1. GEGENSTAND DER VERARBEITUNG

    eMaint verarbeitet personenbezogene Daten, um die Dienstleistungen für den Kunden in Übereinstimmung mit dieser Vereinbarung zu erbringen.

    2. DAUER DER VERARBEITUNG

    Dauer der Erbringung der Dienstleistungen oder gemäß den Anweisungen des Kunden.

    3. ART UND ZWECK DER VERARBEITUNG

    eMaint verarbeitet Daten, um dem Kunden und seinen Nutzern die Dienste in Übereinstimmung mit dieser
    Vereinbarung, einschließlich:

    1. Zur Bereitstellung der Dienste, einschließlich der Bereitstellung des Zugangs zu den Diensten für die Nutzer des Kunden;
    2. Um den Nutzern des Kunden die Möglichkeit zu geben, die E-Mail-Funktionen und QR-Codes zu nutzen, die Teil der Dienste sind;
    3. Bereitstellung von Remote-Implementierungs- und Einrichtungsdiensten für die Administratoren und Power-User des Kunden;
    4. Bereitstellung technischer Unterstützung für die Nutzer des Kunden, die auf die Dienste zugreifen;
    5. um die Dienste zu warten und zu aktualisieren; und
    6. Um den Nutzern des Kunden Einladungen zu Webinaren und Schulungen zukommen zu lassen.

    4. ART DER PERSONENBEZOGENEN DATEN

    eMaint verarbeitet Daten, um dem Kunden und seinen Nutzern die Dienste in Übereinstimmung mit dieser
    Vereinbarung, einschließlich:

    1. Benutzer-ID, Kennwort, Name der Arbeitsstation, IP-Adresse, geografische Informationen, Cookie-Kennungen;
    2. Vor- und Nachname, Kontaktdaten (E-Mail, Telefon, Adresse) und/oder Berufsbezeichnung, Geschäftsbezeichnung oder Gewerbe;
    3. Arbeitgeber (Kunde: Name, Firmennummer, Adresse); und
    4. Alle anderen persönlichen Daten, die vom Kunden oder seinen Nutzern gesammelt oder in die Dienste auf der Grundlage der eigenen Konfiguration der Dienste durch den Kunden eingegeben werden und vom Kunden als persönliche Daten gekennzeichnet werden.

    5. KATEGORIEN VON BETROFFENEN PERSONEN

    Die von eMaint verarbeiteten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:

    1. künftige, derzeitige und ehemalige Mitarbeiter und Auftragnehmer des Kunden, seiner verbundenen Unternehmen und Endkunden;
    2. künftige, derzeitige und ehemalige Mitarbeiter und Auftragnehmer der Dienstleister und Auftragnehmer des Kunden; und
    3. alle Kategorien von betroffenen Personen, für die der Kunde oder seine Nutzer die Dienste zur Erfassung konfigurieren.

    6. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN

    Siehe Anlage 1, die Bestandteil dieser Anlage 2 ist.

    7. ZUGELASSENE UNTERAUFTRAGSVERARBEITER

    1. eMaint Enterprises LLC, 3181 N Bay Village Ct, Bonita Springs, FL 34135, Vereinigte Staaten
    2. eMaint EMEA Limited, The Old Distillery Building, Beresford Street, Smithfield, Dublin 7, Irland
    3. Fluke Deutschland GmbH, In den Engematten 14, 79286 Glottertal, Deutschland
    4. Fluke Europe B.V., BIC 1, 5657 BX Eindhoven, Niederlande
    5. Fluke Nederland B.V., BIC 1, 5657 BX Eindhoven, Niederlande
    6. Fluke do Brasil Ltda., Av. Maria Coelho Aguiar, 215, Bloco F, Piso Panamby - loja 84c, Jardim São Luis, São Paulo 05805-000, Brasilien
    7. Prüftechnik-Wibrem sp.z.o.o, UL. Tyniecka 17, Breslau 52407, Polen
    8. Prüftechnik Technology sp.zo.o, UL. Tyniecka 17, Breslau 52407, Polen

    eMaint hat zusätzlich die folgenden Unterauftragsverarbeiter beauftragt:

      1. Fluke Corporation, 6920 Seaway Blvd, Everett WA 98204, U.S.A
        1. Ein verbundenes Unternehmen von eMaint
        2. Tätigkeiten: Punkt 6. von Abschnitt 3 "ART UND ZWECK DER VERARBEITUNG".
      2. Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, U.S.A. und Amazon Web Services EMEA SARL, 5 rue Plaetis, L-2338 Luxemburg sowie deren Unterauftragsverarbeiter, die unter https://aws.amazon.com/ compliance/sub-processors/ aufgeführt sind und von Zeit zu Zeit von diesen aktualisiert werden.
        1. Ein Dienstanbieter von eMaint
        2. Die Verarbeitung erfolgt in Deutschland oder, sofern mit dem Kunden vereinbart, in den Vereinigten Staaten oder im Vereinigten Königreich, je nach Standort des Kunden.
        3. Tätigkeiten: Cloud-basierter Dienst eMaint, der Hosting für personenbezogene und andere Daten sowie Infrastrukturdienste bereitstellt, die zur Erbringung der Dienste genutzt werden.
      3. GuideCX, Inc. 392 E 12300 S, Draper, UT 84020
        1. Ein Dienstanbieter von eMaint
        2. Aktivitäten: GuideCX verarbeitet Daten im Zusammenhang mit dem Kunden-Onboarding, die zur Erbringung der Dienstleistungen verwendet werden. Dazu gehören organisatorische Daten und einige personenbezogene Daten des Kunden und/oder seiner am Onboarding-Prozess beteiligten Nutzer.

    Anhang zum Datenschutz (CCPA)

    eMaint verarbeitet personenbezogene Daten nur in dem Maße, wie es für die spezifischen, eingeschränkten Zwecke der Erbringung der Dienstleistungen im Rahmen dieser Vereinbarung im Namen des Kunden und für alle Geschäftszwecke erforderlich ist, die durch das kalifornische Verbraucherschutzgesetz ("CCPA") erlaubt sind.

    Darüber hinaus ist es eMaint nicht gestattet, (i) die vom Kunden erhaltenen personenbezogenen Daten zu verkaufen oder weiterzugeben (gemäß der Definition des CCPA) oder (ii) die vom Kunden bereitgestellten oder im Namen des Kunden gesammelten personenbezogenen Daten zu einem anderen Zweck als dem spezifischen Zweck der Erbringung der in der Vereinbarung genannten Dienstleistungen und zu einem geschäftlichen Zweck aufzubewahren, zu nutzen oder offenzulegen, einschließlich der Aufbewahrung, Nutzung oder Offenlegung der personenbezogenen Daten zu einem anderen kommerziellen Zweck als dem der Erbringung der in dieser Vereinbarung genannten Dienstleistungen und wie vom CCPA erlaubt; (iii) die vom Kunden zur Verfügung gestellten oder im Namen des Kunden gesammelten personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung zwischen eMaint und dem Kunden aufzubewahren, zu verwenden oder offenzulegen; oder (iv) die vom Kunden zur Verfügung gestellten oder im Namen des Kunden gesammelten personenbezogenen Daten mit personenbezogenen Daten zu kombinieren, die Fluke von oder im Namen eines anderen Kunden oder einer anderen Person erhält, es sei denn, eine solche Kombination ist für die Dienstleistungen im Rahmen dieser Vereinbarung oder zur Erfüllung eines Geschäftszwecks im Rahmen des CCPA oder der gemäß dem CCPA erlassenen Vorschriften erforderlich.

    eMaint verpflichtet sich ferner: (i) seinen CCPA-Verpflichtungen nachzukommen und das gleiche Maß an Datenschutz zu bieten, wie es der CCPA vorschreibt; (ii) dem Kunden zu gestatten, angemessene und geeignete Schritte zu unternehmen, um dazu beizutragen, dass eMaint die personenbezogenen Daten in einer Weise nutzt, die mit den Verpflichtungen des Kunden nach dem CCPA übereinstimmt; (iii) den Kunden zu benachrichtigen, wenn eMaint feststellt, dass es seinen CCPA-Verpflichtungen nicht mehr nachkommen kann; und (iv) dem Kunden zu gestatten, nach Benachrichtigung angemessene und geeignete Schritte zu unternehmen, um die unbefugte Nutzung der personenbezogenen Daten des Kunden zu unterbinden und zu beheben.

    CMMS Master Subscription Agreement