Datenverarbeitungsnachtrag
Dieser Datenverarbeitungsnachtrag (Data Processing Addendum, nachfolgend: „DPA“) ist Bestandteil des
Vertrags, der zwischen der Cision Ltd. und deren Konzerngesellschaften auf der einen Seite („Cision“) und
dem Unternehmen geschlossen wird, das den Vertrag als Abnehmer der Dienstleistungen von Cision
schließt („Kunde“).
1.
Definitionen
a. „Vertrag“ bezeichnet den zwischen den Parteien geschlossenen Rahmenvertrag für
Abonnements oder Dienstleistungen.
b. „Geltendes Datenschutzrecht“ bezeichnet alle anwendbaren Datenschutzvorschriften, darin
inbegriffen die DSGVO, die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates
vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der
Privatsphäre in der elektronischen Kommunikation, der UK Data Protection Act 2018
(Datenschutzgesetz des Vereinigten Königreichs) und der CCPA, jeweils in der in der jeweiligen
Rechtsordnung umgesetzten und aktuellen Fassung.
c. „CCPA“ bezeichnet den California Consumer Privacy Act of 2018 (kalifornisches Gesetz zum
Schutz der Privatsphäre von Verbrauchern), Cal. Civ. Code §1798.100 ff., und die betreffenden
Durchführungsbestimmungen.
d.
„Cision-spezifische Daten“ bezeichnet jegliche Daten in den Datenbanken von Cision, die Cision
im Rahmen der Erbringung von Dienstleistungen verwendet, davon ausgenommen sind
kundenspezifische Daten. Diese Definition der Cision-spezifischen Daten schließt auch ähnlich
definierte Begriffe/Ausdrücke aus dem Vertrag ein, wie etwa „Unternehmensdaten“,
„Lieferantendaten“ oder „Brandwatch-Daten“.
e. „Cision-spezifische personenbezogene Daten“ bezeichnet jegliche personenbezogenen Daten,
die in Cision-spezifischen Daten enthalten sind.
f. „Kundenspezifische Daten“ bezeichnet Daten, die der Kunde Cision zum Zwecke ihrer
Verarbeitung durch Cision im Namen des Kunden bereitstellt.
g. „Kundenspezifische personenbezogene Daten“ bezeichnet jegliche personenbezogenen Daten,
die in kundenspezifischen Daten enthalten sind.
h. „EWR“ bezeichnet den Europäischen Wirtschaftsraum.
i. „DSGVO“ bezeichnet die Datenschutz-Grundverordnung ((EU) 2016/679).
j. „Eingeschränkte Übermittlung“ bezeichnet eine Übermittlung personenbezogener Daten aus
dem EWR oder dem Vereinigten Königreich, die in Ermangelung von Standardvertragsklauseln
nach geltendem Datenschutzrecht verboten wäre.
k. „Sicherheitskontrollen“ bezeichnet die technischen und organisatorischen Maßnahmen, die im
Vertrag geregelt oder anderenfalls auf der folgenden Website angegeben sind:
https://gdpr.cision.de/TECHNISCHE-UND-ORGANISATORISCHE-MAssNAHMEN/.
l. „Standardvertragsklauseln“ bezeichnet die Standardvertragsklauseln, die Bestandteil dieses
DPA sind, gemäß dem Beschluss der Europäischen Kommission (EU) 2021/914 vom 4. Juni 2021
über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an
Verantwortliche und/oder Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG und
die aktualisierten Klauseln oder Ersatzklauseln, die die Europäische Kommission von Zeit zu Zeit
genehmigen kann, oder die neueste Fassung jeglicher Vertragsklauseln bezüglich der
internationalen Übermittlung personenbezogener Daten, die von einem Land für alle relevanten
Datenübermittlungen gemäß dem Vertrag erlassen werden.
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
m. „Unterauftragsverarbeiter“ bezeichnet einen Dritten, dem Cision den Auftrag erteilt,
personenbezogene Daten, die Cision auf Grundlage dieses DPA verarbeitet, als
Auftragsverarbeiter im Namen von Cision zu verarbeiten.
n. Die Begriffe/Ausdrücke „Verantwortlicher“, „Auftragsverarbeiter“, „personenbezogene
Daten“, „Verarbeitung“, „besondere Kategorien von Daten“ und „betroffene Person“
haben die Bedeutungen, die ihnen in der DSGVO oder dem UK Data Protection Act 2018
zugewiesen wird.
o. Zur Klarstellung wird darauf hingewiesen, dass sich dieser DPA auf jegliche Verarbeitung
erstreckt, die auf Grundlage des CCPA erfolgt. Aus diesem Grund entsprechen die
nachstehenden Begriffe/Ausdrücke aus dem CCPA den folgenden Bezeichnungen in diesem
DPA [übersetzt ins Deutsche]:
i. „Unternehmen“ entspricht „Verantwortlicher“
ii. „Dienstleister“ entspricht „Auftragsverarbeiter”
iii. „Dritter“ entspricht „Unterauftragsverarbeiter“
iv. „Persönliche Daten“ entspricht „personenbezogene Daten“
v. „Verbraucher“ entspricht „betroffene Person“
2.
Allgemeines
a. Verantwortlicher-spezifische Daten: Cision und der Kunde sind in Bezug auf Cision-
spezifische personenbezogene Daten selbstständige Verantwortliche und verarbeiten diese
Daten jeweils in ihrer Eigenschaft als Verantwortlicher. Soweit der Kunde von oder durch
Cision Cision-spezifische personenbezogene Daten oder Zugang zu Cision-spezifischen
personenbezogenen Daten erhält, findet Kapitel 3 Anwendung.
b. Auftragsverarbeiter-spezifische Daten: In Bezug auf kundenspezifische personenbezogene
Daten ist der Kunde Verantwortlicher und Cision Auftragsverarbeiter. Soweit Cision
kundenspezifische personenbezogene Daten im Namen des Kunden verarbeitet, findet
Kapital 4 Anwendung.
c. Jede Partei wird sich bei der Verarbeitung personenbezogener Daten auf Grundlage des
Vertrags an das geltende Datenschutzrecht halten.
d. Bei Widersprüchen zwischen diesem DPA und dem Vertrag hat dieser DPA Vorrang.
e. Beide Parteien werden geeignete technische und organisatorische Maßnahmen treffen und
aufrechterhalten, um die Sicherheit personenbezogener Daten zu gewährleisten,
einschließlich Schutz vor Verlust, Vernichtung, Veränderung, Offenlegung
personenbezogener Daten oder Zugang zu personenbezogenen Daten, ob unbefugt oder
unrechtmäßig.
f. Beide Parteien werden angemessene Maßnahmen treffen, um zu gewährleisten, dass das
Personal, das sie ermächtigen, personenbezogene Daten zu verarbeiten, adäquate
Geheimhaltungsverpflichtungen übernommen hat und dass der Zugang zu
personenbezogenen Daten auf die natürlichen Personen beschränkt bleibt, die für die
Zwecke des Vertrags diesen Zugang benötigen.
g. Änderungen: Cision kann diesen Nachtrag jederzeit nach 30-tägiger Ankündigung
dahingehend ändern, dass dieser alle obligatorischen Standardvertragsklauseln oder
anderen Klauseln berücksichtigt, die durch zuständige Datenschutzbehörden in der EU oder
im Vereinigten Königreich vorgeschrieben werden. Die Parteien vereinbaren, jeden
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
notwendigen Austausch von Standardvertragsklauseln oder jede notwendige Aufnahme
zusätzlicher Standardvertragsklauseln umzusetzen, sollte/n die EG und/oder das
Information Commissioner Office (ICO), die im Vereinigten Königreich für
Datenschutzbelange zuständige Aufsichtsbehörde, eine solche Umsetzung von Zeit zu Zeit
vornehmen. Wenn der Kunde solche Klauseln trotz entsprechender Bitte von Cision nicht
ausführt, ist Cision berechtigt, den Vertrag unter Einhaltung einer Frist von mindestens 30
Tagen schriftlich zu kündigen.
3.
Cision-spezifische Daten: Controller to Controller1
-Verhältnis
a. Verarbeitung für Zwecke im Zusammenhang mit dem Vertrag: Jede Partei wird zum
Zwecke der Ausübung ihrer Rechte und Erfüllung ihrer Pflichten aus dem Vertrag Cision-
spezifische personenbezogene Daten verarbeiten. Einzelheiten zu den Kategorien Cision-
spezifischer personenbezogener Daten, zum Zweck der Verarbeitung durch Cision und zur
Dauer der Verarbeitung sind in Anhang 1 Teil 1 aufgeführt.
b. Internationale Datenübermittlungen:
i. Im Falle einer eingeschränkten Übermittlung aus dem EWR ist der Kunde an die
Controller to Controller-Standardvertragsklauseln gebunden, die in diesem Nachtrag
berücksichtigt sind und mit Beginn der betreffenden eingeschränkten Übermittlung in
Kraft treten.
ii. Für den Fall einer eingeschränkten Datenübermittlung aus dem Vereinigten Königreich
(UK) vereinbaren die Parteien, jegliche anwendbaren UK-Standardvertragsklauseln
anzuwenden, wenn das Information Commissioner Office (ICO), die im Vereinigten
Königreich für Datenschutzbelange zuständige Aufsichtsbehörde, diese Klauseln
genehmigt. Die Parteien vereinbaren, während des ICO-Genehmigungsverfahrens an
die Controller to Controller-Standardvertragsklauseln im Sinne von Artikel 3.b.i
gebunden zu sein.
iii. Für die Zwecke der Standardvertragsklauseln richten sich die übermittelten
personenbezogenen Daten nach dem Vertrag und sind in Anhang 2 Teil 1 zu diesem DPA
aufgeführt.
c. Verletzung des Schutzes personenbezogener Daten: Jede Partei wird die andere Partei
unverzüglich informieren, sobald sie Kenntnis von einer Verletzung des Schutzes
personenbezogener Daten erlangt, die sich (auch) auf Cision-spezifische personenbezogene
Daten erstreckt, oder nach Eingang einer Anfrage oder Beschwerde von einer betroffenen
Person, die sich (auch) auf Cision-spezifische personenbezogene Daten bezieht.
4.
Kundenspezifische Daten: Controller to Processor
2
-Verhältnis
a. Schriftliche Weisung: Cision wird kundenspezifische personenbezogene Daten nur auf
schriftliche Weisung des Kunden, wie in diesem DPA aufgeführt, verarbeiten. Soweit das
geltende Datenschutzrecht etwas anderes regelt, teilt Cision dem Kunden die rechtlichen
Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche
Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Einzelheiten zu
den Kategorien kundenspezifischer personenbezogener Daten, zum Zweck der
Verarbeitung durch Cision und zur Dauer der Verarbeitung sind in Anhang 1 Teil II
aufgeführt.
1
Controller = Verantwortlicher.
2
Processor = Auftragsverarbeiter.
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
b. Rechtmäßige Inanspruchnahme und Weisung: Der Kunde wird sicherstellen, dass seine
Inanspruchnahme der Dienstleistungen und seine Weisung bezüglich der Verarbeitung
personenbezogener Daten auf Grundlage dieses DPA mit dem gesamten geltenden
Datenschutzrecht vereinbar sind und dass die Verarbeitung durch Cision entsprechend der
Weisung des Kunden nicht zur Folge hat, dass Cision gegen geltendes Datenschutzrecht
verstößt. Cision wird den Kunden informieren, wenn Weisungen des Kunden nach
Auffassung von Cision gegen geltendes Recht verstoßen.
c. Besondere Kategorien von Daten: Sollten kundenspezifische personenbezogene Daten
besondere Kategorien von Daten enthalten, wird der Kunde Cision darüber informieren.
Cision kann die Verarbeitung solcher Daten verweigern oder auf Kosten des Kunden alle
Einschränkungen vornehmen, die notwendig sind, damit Cision ihren gesetzlichen und
vertraglichen Verpflichtungen nachkommen kann.
d. Internationale Datenübermittlungen:
i. Für den Fall einer Übermittlung von dem Kunden (als Verantwortlicher (Controller)) im
EWR an Cision (als Auftragsverarbeiter (Processor)) in ein beliebiges Drittland
vereinbaren die Parteien, an die Controller to Processor-Standardvertragsklauseln
gebunden zu sein, die in diesem DPA berücksichtigt sind und im Falle einer
eingeschränkten Übermittlung in Kraft treten.
ii. Für den Fall einer eingeschränkten Datenübermittlung aus dem Vereinigten Königreich
(UK) vereinbaren die Parteien, jegliche anwendbaren UK-Standardvertragsklauseln
anzuwenden, wenn das Information Commissioner Office (ICO), die im Vereinigten
Königreich für Datenschutzbelange zuständige Aufsichtsbehörde, diese Klauseln
genehmigt. Die Parteien vereinbaren, während des ICO-Genehmigungsverfahrens die
Controller to Processor-Standardvertragsklauseln im Sinne von Artikel 4.d.i
anzuwenden.
iii. Für die Zwecke der Standardvertragsklauseln richten sich die übermittelten
personenbezogenen Daten nach dem Vertrag und sind in Anhang 2 Teil II zu diesem
DPA aufgeführt.
iv. Soweit Cision einen beliebigen Unterauftragsverarbeiter im Einklang mit Artikel 4.g
einsetzt und diese Einsetzung eine eingeschränkte Übermittlung beinhaltet, kann sich
Cision zur Legitimierung der Übermittlung kundenspezifischer personenbezogener
Daten auf Standardvertragsklauseln berufen.
e. Nachweis der Compliance: Um nachzuweisen, dass sie sich an diesen Nachtrag hält, wird
Cision vollständige und genaue Unterlagen und Informationen vorhalten.
f. Überprüfung: Cision wird Überprüfungen, die der Kunde (selbst oder über einen externen
Prüfer) durchführt, auf Kosten des Kunden unterstützen. Jede auf Grundlage dieses DPA
durchgeführte Überprüfung unterliegt den folgenden Bedingungen:
i. Der Kunde wird jede Überprüfung mindestens 60 Tage im Voraus schriftlich
ankündigen.
ii. Überprüfungen dürfen nur während der normalen Geschäftszeiten von Cision
durchgeführt werden.
iii. Der Kunde wird bei der Überprüfung den normalen Geschäftsbetrieb bei Cision
möglichst gar nicht oder allenfalls nur minimal stören.
iv. Jeder externe Prüfer wird direkt gegenüber Cision Geheimhaltungsverpflichtungen
übernehmen, die für Cision nach vertretbarer Betrachtung akzeptabel sind.
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
v. Überprüfungen werden sich auf die Verarbeitungstätigkeiten von Cision als
Auftragsverarbeiter und auf die Informationen beschränken, die der Kunde nach
vertretbarer Betrachtung benötigt, um prüfen zu können, ob sich Cision an die
Bestimmungen dieses DPA hält.
vi. Der Kunde (oder ein externer Prüfer) wird im Rahmen der Überprüfung keinen Zugang
zu vertraulichen Informationen von Cision haben.
vii. Der Kunde wird Cision alle mit einer Überprüfung verbundenen angemessenen und
belegbaren Kosten und Aufwendungen erstatten.
viii. Der Kunde erklärt sich bereit, anstelle einer eigenen Überprüfung einen durch Cision
bereitgestellten Prüfbericht zu akzeptieren:
1. wenn der Umfang der gewünschten Überprüfung in einer Überprüfung festgelegt
wurde, die durch einen anerkannten, unabhängigen, externen Prüfer innerhalb von
zwölf (12) Monaten ab der Anfrage des Kunden durchgeführt worden ist, und das
Unternehmen schriftlich bestätigt, dass in den zu prüfenden Kontrollen und
Systemen keine wesentlichen Änderungen eingetreten sind, oder
2. wenn beabsichtigt ist, dass eine solche Überprüfung innerhalb von sechs Monaten
ab der Anfrage durchgeführt wird, und das Unternehmen dem Kunden den
entsprechenden Bericht bei Fertigstellung zuleitet.
g. Unterauftragsverarbeiter: Der Kunde gestattet Cision, im Zusammenhang mit der
Erbringung der Dienstleistungen Unterauftragsverarbeiter einzusetzen. Eine Liste der
aktuellen Unterauftragsverarbeiter von Cision steht auf der folgenden Website zur
Verfügung: https://gdpr.cision.de/Subunternehmer
i. Cision wird den Kunden über jede geplante Aufnahme eines neuen
Unterauftragsverarbeiters und jeden geplanten Austausch eines gebilligten
Unterauftragsverarbeiters gegen einen neuen Unterauftragsverarbeiter informieren
und dem Kunden die Gelegenheit bieten, solchen Änderungen zu widersprechen.
Jeder Unterauftragsverarbeiter, den Cision einsetzt, ist Datenschutzbedingungen
unterworfen, die mit denen, denen Cision gemäß diesem DPA unterworfen ist,
materiell gleichwertig sind.
ii. Soweit ein Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht
nachkommt, bleibt Cision für die Erfüllung der Verpflichtungen des
Unterauftragsverarbeiters vorbehaltlich der im Vertrag geregelten Beschränkungen
und Ausschlüsse haftbar.
h. Verletzung des Schutzes von Daten: Im Falle einer Verletzung des Schutzes
kundenspezifischer personenbezogener Daten:
i. wird Cision in gutem Glauben mit dem Kunden zusammenarbeiten, um dem Kunden
zu ermöglichen, seinen Verpflichtungen aus dem geltenden Datenschutzrecht
nachzukommen.
ii. wird Cision den Kunden innerhalb von 36 Stunden nach Kenntnisnahme über jede
Verletzung des Schutzes personenbezogener Daten (im Sinne des geltenden
Datenschutzrechts) informieren.
iii. wird Cision den Kunden dabei unterstützen, jeder Verpflichtung zur Unterrichtung
einer Aufsichtsbehörde von einer Verletzung des Schutzes von Daten nachzukommen.
i. Rechte betroffener Personen: Je nach Art der Verarbeitung und der verfügbaren
Informationen wird Cision den Kunden (gegen Bezahlung angemessener belegbarer Kosten
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
und Aufwendungen von Cision), soweit möglich, bei der Erfüllung seiner Verpflichtungen
im Zusammenhang mit der Beantwortung von Anfragen in Bezug auf die Ausübung von
Rechten natürlicher Personen nach dem geltenden Datenschutzrecht unterstützen, soweit
Cision personenbezogene Daten solcher Personen auf Grundlage dieses DPA verarbeitet.
j. Kündigung:
i. Sollte Cision irgendeine ihrer Verpflichtungen aus diesem DPA verletzen, kann der
Kunde Cision anweisen, die Verarbeitung kundenspezifischer personenbezogener
Daten für die Dauer der Behebung dieser Verletzung vorübergehend zu unterbrechen,
und Cision anweisen, die Verarbeitung kundenspezifischer personenbezogener Daten
endgültig einzustellen, wenn diese Verletzung nicht behoben wird.
ii. Entsprechend den Anforderungen der Richtlinie von Cision über die Aufbewahrung
von Unterlagen oder auf schriftliche Anweisung des Kunden wird Cision
kundenspezifische personenbezogene Daten löschen, es sei denn, Cision ist nach dem
geltenden Datenschutzrecht verpflichtet, die kundenspezifischen personenbezogenen
Daten aufzubewahren.
5.
Verschiedenes
a. Haftung: Die Haftung jeder Partei auf Grundlage dieses DPA unterliegt den im Vertrag
aufgeführten Beschränkungen und Ausschlüssen.
b. Geltendes Recht: Das auf den Vertrag anwendbare Recht gilt auch für diesen DPA, mit der
Maßgabe jedoch, dass die Controller to Processor-Standardvertragsklauseln und Controller
to Controller-Standardvertragsklauseln dem Recht des Landes unterliegen, in dem der
betreffende Datenexporteur niedergelassen ist.
Runtime Collective Limited
Crimson Hexagon, Inc.
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
Cision US Inc.
CNW Group Limited
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
Dylan Marvin
Dylan Marvin
4/8/2022
4/8/2022
Chief Legal Officer
Chief Legal Officer
Matt Royack
Matt Royack
General Counsel
General Counsel
Datum:
Datum:
Cision Canada Inc.
Cision France SA
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
Prime Research AG
Cision Portugal SL
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
Cision
Germany GmbH
Cision Group Limited
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
Matt Royack
Matt Royack
Matt Royack
Matt Royack
Matt Royack
Matt Royack
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
General Counsel
General Counsel
General Counsel
General Counsel
General Counsel
General Counsel
PR Newswire Asia
Limited
Prime Brazil
Pes. De
Midia Ltda.
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
PR Newswire Ltda.
Unmetric Tech.
Private Ltd.
Signature:
Signature:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
Falcon.io ApS
Falcon.io US, Inc.
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
Matt Royack
Matt Royack
Matt Royack
Matt Royack
Matt Royack
Matt Royack
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
General Counsel
General Counsel
General Counsel
General Counsel
General Counsel
General Counsel
Bulletin Intelligence
LLC
Bulletin Healthcare
LLC
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
Bulletin Media LLC
Prime Research LLC
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
Cision Sverge AB
Cision Norge AS
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
Cision Finland OY
Prime Research
International GmbH
& Co. KG
Unterschrift:
Unterschrift:
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
Matt Royack
Matt Royack
Matt Royack
Matt Royack
Matt Royack
Matt Royack
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
General Counsel
General Counsel
General Counsel
General Counsel
General Counsel
General Counsel
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
PRN
Business Consulting
(Shanghai) Co., Ltd.,
Beijing Branch
PRN Business
Consulting
(Shanghai) Co., Ltd.
Unterschrift:
Unterschrift:
Name:
Name:
Anrede:
Anrede:
Datum:
Datum:
PR Newswire
International
Communication
(Shenzhen) Co., Ltd.
Unterschrift:
Name:
Anrede:
Datum:
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
Matt Royack
Matt Royack
Matt Royack
Matt Royack
Matt Royack
4/8/2022
4/8/2022
4/8/2022
4/8/2022
4/8/2022
General Counsel
General Counsel
General Counsel
General Counsel
General Counsel
Name des Kunden:
Adresse des Kunden:
Unterschrift:
Name:
Anrede
:
Datum:
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
Anhang 1 - Verarbeitungsinformationen
Verarbeitung, personenbezogene Daten und betroffene Personen
Teil 1: Cision-spezifische personenbezogene Daten (Cision als Verantwortlicher)
Art und Zweck der
Verarbeitung
Der Kunde darf Cision-spezifische Daten verarbeiten, soweit dies notwendig ist,
um die Dienstleistungen in Anspruch nehmen und den Verpflichtungen aus
dem Vertrag nachkommen zu können.
Dauer der
Verarbeitung
Wenn nicht zwischen den Parteien anders vereinbart, kann der Kunde für die
Dauer des Vertrags Cision-spezifische Daten verarbeiten.
Arten
personenbezogener
Daten
Name, Anrede, Position, E-Mail-Adresse, geschäftliche Telefonnummer,
Mobilfunknummer, Arbeitgeber, Social Media-Benutzernamen, Informationen,
die die betroffenen Personen selbst veröffentlicht haben, wie etwa
Identifikationsdaten (z. B. Name, Benutzername (auch Social Media-
Benutzername), Standort) und Daten zu Medien (z. B. Bilder, Audio und
Videos).
Kategorien
betroffener Personen
Einzelne Medienkontaktpersonen einschließlich Journalisten und anderer
Medien-„Influencer“ und Personen, die Informationen im Internet
veröffentlichen, darin inbegriffen Social Media-Nutzer, Blogger und
Webcontent-Urheber.
Für die französische institutionelle Datenbank: Kontakte wie politische und
gewählte Vertreter; Kontakte innerhalb der öffentlichen Verwaltungen,
Akteure aus dem Vereinswesen, Finanzanalysten, Gesellschafter und Berater.
Teil 2: Kundenspezifische personenbezogene Daten (Cision als Auftragsverarbeiter)
Art und Zweck der
Verarbeitung
Cision darf kundenspezifische personenbezogene Daten verarbeiten, soweit
dies notwendig ist, um die Dienstleistungen erbringen und den Verpflichtungen
aus dem Vertrag nachkommen zu können.
Dauer der
Verarbeitung
Wenn nicht zwischen den Parteien anders vereinbart, kann Cision für die Dauer
des Vertrags kundenspezifische Daten verarbeiten.
Arten
personenbezogener
Daten
Name, Anrede, Position, Arbeitgeber, E-Mail-Adresse, geschäftliche
Telefonnummer, Mobilfunknummer, Social Media-Benutzernamen, Daten zum
Berufsleben (wozu auch Daten zu früheren Beschäftigungsverhältnissen, Daten
zu Fähigkeiten, Auszeichnungen oder Interessen oder andere Daten zum
Berufsleben gehören können), Daten zum Privatleben (wozu auch Daten zu
Interessen, Hobbys, Abneigungen oder andere Daten zum Privatleben gehören
können) Standortdaten und Daten zu Medien (z. B. Bilder, Audio und Videos).
Kategorien
betroffener
Personen
Potenzielle Kunden des Kunden, Kunden, Partner oder
Lieferant/Zwischenhändler; einzelne Medien oder behördlich bezogene
Kontakte (einschließlich Personal von öffentlichen Verwaltungen und Akteure
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
aus dem Vereinswesen), die vom Kunden zur Verfügung gestellt werden;
Mitarbeiter oder Kontaktpersonen des Kunden
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
Anhang 2 - Übermittlungsinformationen
Teil 1 – Cision-spezifische personenbezogene Daten
Der Datenexporteur
Cision oder jegliche andere Konzerngesellschaft von Cision, die auf
Grundlage des Vertrags Daten exportiert.
Der Datenimporteur
Kunde
Betroffene Personen
Die betroffenen Personen sind die natürlichen Personen, deren
personenbezogene Daten in den Cision-spezifischen
personenbezogenen Daten, die der Kunde im Rahmen der
Inanspruchnahme der Dienstleistungen verarbeitet, enthalten sind.
Zwecke der Übermittlung
Die Übermittlung hat den Zweck, dem Kunden zu erlauben, die Cision-
spezifischen personenbezogenen Daten im Einklang mit dem Vertrag
zu verarbeiten.
Kategorien von Daten
Die Kategorien personenbezogener Daten sind in Anhang 1 Teil II zu
diesem DPA aufgeführt.
Empfänger
Die Empfänger der personenbezogenen Daten sind im Vertrag
aufgeführt und schließen üblicherweise die Arbeitnehmer,
Auftragnehmer, Berater und Kunden des Kunden ein.
Besondere Kategorien von
Daten
Die besonderen Kategorien personenbezogener Daten sind in Anhang
1 Teil II zu diesem DPA aufgeführt (Hinweis: Besondere Kategorien
werden bewusst nicht erhoben)
Anwendbares Recht
Das Recht des Landes, in dem der Datenexporteur niedergelassen ist.
Technische Maßnahmen
des Unternehmens (Anlage
2)
Technische und organisatorische Maßnahmen, die im Vertrag
geregelt oder anderenfalls auf der folgenden Website angegeben
sind: https://gdpr.cision.de/TECHNISCHE-UND-ORGANISATORISCHE-
MAssNAHMEN.
Anlaufstelle bei Cision für
Datenschutzanfragen
Anlaufstelle bei dem
Kunden für
Datenschutzanfragen
Wie im Vertrag angegeben.
Teil 2 – Kundenspezifische personenbezogene Daten
Der Datenexporteur
Kunde
Der Datenimporteur
Cision oder jegliche andere Konzerngesellschaft von Cision, die auf
Grundlage des Vertrags Daten importiert.
Betroffene Personen
Die Kategorien betroffener Personen sind in Anhang 1 Teil I zu diesem
DPA aufgeführt. Der Kunde in seiner Eigenschaft als Datenexporteur
bestimmt Art und Umfang der personenbezogenen Daten, die Cision
verarbeitet.
Zwecke der Übermittlung
Cision zu erlauben, die kundenspezifischen personenbezogenen Daten
im Einklang mit dem Vertrag zu verarbeiten
Kategorien von Daten
Die Kategorien personenbezogener Daten sind in Anhang 1 Teil I zu
diesem DPA aufgeführt. Der Kunde erkennt an, dass er als
Verantwortlicher und Exporteur die Art und den Umfang der
personenbezogenen Daten, die möglicherweise an Cision als
Auftragsverarbeiter übermittelt werden, kontrolliert.
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25
Empfänger
Die Empfänger der personenbezogenen Daten sind im Vertrag
aufgeführt und schließen üblicherweise Cision und jegliche
Konzerngesellschaften
von
Cision
und
jegliche
Unterauftragsverarbeiter von Cision ein.
Besondere Kategorien von
Daten
Der Datenexporteur kann Cision besondere Kategorien
personenbezogener Daten übermitteln; den Umfang bestimmt und
legt der Datenexporteur nach freiem Ermessen fest. Jegliche
besonderen Kategorien personenbezogener Daten sind in Anhang 1
Teil I zu diesem DPA aufgeführt.
Anwendbares Recht
Das Recht des Landes, in dem der Datenexporteur niedergelassen ist.
Technische Maßnahmen
von Cision
Technische und organisatorische Maßnahmen, die im Vertrag
geregelt oder anderenfalls auf der folgenden Website angegeben
sind: https://gdpr.cision.de/TECHNISCHE-UND-ORGANISATORISCHE-
MAssNAHMEN.
Anlaufstelle bei Cision für
Datenschutzanfragen
Anlaufstelle bei dem
Kunden für
Datenschutzanfragen
Wie im Vertrag angegeben.
DocuSign Envelope ID: 77DC420C-3EED-494B-963E-C4E68FF7AF25