Anhang zu Drittanbieter-Tools und Datenanbietern

1. Zweck und Umfang

Diese Anlage identifiziert die Kategorien von Drittanbieterdiensten, -tools und -datenanbietern, die im Soufiane Boudarraja-Ökosystem (das "Ökosystem") verwendet werden können. Ihr Zweck ist es, Transparenz zu schaffen und die Einhaltung der DSGVO zu unterstützen, einschließlich Artikel 28, in dem Soufiane Boudarraja als Auftragsverarbeiter im Rahmen eines Datenverarbeitungsvertrags ("DPA") handelt.

Dieser Anhang verwendet einen kategorie-basierten Ansatz, damit er auch dann genau bleibt, wenn sich bestimmte Anbieter im Laufe der Zeit ändern. Eine aktuelle, engagement-spezifische Liste der spezifischen Entitäten, die zur Verarbeitung personenbezogener Daten für einen bestimmten Kunden verwendet werden, kann auf schriftliche Anfrage bereitgestellt werden.

2. Allgemeine Grundsätze

Die Inanspruchnahme von Drittanbieterdiensten unterliegt den folgenden Grundsätzen:

• Tool-Neutralität: Wir wählen Werkzeuge basierend auf dem Dienstkontext und, wo relevant, dem bestehenden Stack und den Anweisungen des Kunden aus.

• Durchlaufverwendung: In einigen Fällen ist der Kunde der direkte vertragliche Partner eines Anbieters. Wir können die Konten des Kunden als autorisierter Benutzer betreiben, um die Dienste bereitzustellen.

• Subprozessrollen: Dritte, die Kundendaten in unserem Auftrag im Zusammenhang mit Dienstleistungen unter einem DPA verarbeiten, werden als Subprozessoren behandelt. Wir verlangen schriftliche Vereinbarungen, die Datenschutzverpflichtungen auferlegen, die mindestens so schützend sind wie das DPA.

• Datentrennung: Kundendaten werden nicht mit anderen Kunden geteilt oder wiederverwendet. Eine logische Trennung wird aufrechterhalten, selbst wenn dasselbe Werkzeug für mehrere Engagements verwendet wird.

• Datenminimierung: Wir streben an, die Verarbeitung personenbezogener Daten auf das Notwendige für die Bereitstellung von Dienstleistungen, Sicherheit und Unterstützung zu beschränken.

3. Rollen und Anwendbarkeit

Diese Anlage umfasst Dritte, die in verschiedenen rechtlichen Rollen eingesetzt werden:

• Prozessor-Kontext (B2B-Dienste unter einem DPA): Dritte, die Kundendaten in unserem Auftrag verarbeiten, sind Unterauftragsverarbeiter.

• Controller-Kontext (unsere eigenen Geschäftsabläufe): zum Beispiel Besucher unserer Webseites, direkte Kunden, die digitale Produkte oder POD-Artikel kaufen, oder Rundbrief-Abonnenten. In diesen Fällen gilt unsere Datenschutzrichtlinie, und Dritte agieren je nach Tool als unsere Auftragsverarbeiter oder unabhängige Verantwortliche.

• Kundenkontrollierte Tools: wo der Kunde ein      Werkzeug auswählt und steuert, bleibt der Kunde verantwortlich für dessen Konfiguration, die Annahme der Bedingungen und die rechtliche Grundlage, wobei unsere Unterstützung auf die Ausführung      dokumentierter Anweisungen beschränkt ist.

4. Kategorien von Drittanbieter-Tools und Datenanbietern

Die folgende Tabelle beschreibt die Hauptkategorien von Drittanbieter-Tools und -Anbietern, die im gesamten Ökosystem verwendet werden können. Bestimmte Tools können je nach Region, Produkt und Engagement variieren.

Kategorie

Funktion

Typische verarbeiteten Daten

Typische Rolle

Webseite   Plattform, Hosting und Inhaltsbereitstellung

Webseites, Seiten und herunterladbare Ressourcen hosten und bereitstellen; die Webseite-Leistung   und Sicherheit verwalten.

IP-Adresse,   Gerät-/Browserdaten, Seiteninteraktionen, Protokolle zum Konto-/Admin-Zugriff, Formularübermittlungen, wo verwendet.

Prozessor für   uns (Controller-Kontext) oder Unterprozessor (Prozessor-Kontext), abhängig von   Daten und Engagement.

Domain-, DNS-   und Zertifikatsdienste

Betrieb   von Domains, DNS-Routing und Sicherheitszertifikaten.

Domain-   Registrierungsdaten, DNS-Protokolle, Sicherheitsmetadaten.

Prozessor oder   unabhängiger Controller, abhängig vom Anbieter.

Analytik und   Messung

Nutzung und Leistung der Seite/App messen; Einblicke in das Publikum; Conversion-Tracking.

Online-Identifikatoren, Geräte-/Browserdaten, Ereignisdaten, ungefähre Standortangaben,   aggregierte Kennzahlen; kann den Zustimmungsstatus enthalten.

Verarbeiter für   uns (Controller-Kontext); kann Subverarbeiter sein, wenn Analysen innerhalb einer   Kundeninteraktion durchgeführt werden.

Zustimmungsmanagement und Datenschutzkontrollen

Cookie-Zustimmung   Banner, Präferenzspeicherung, Zustimmungsprotokolle, Tag-Kontrolle.

Zustimmungs   entscheidungen, Zeitstempel, Geräte-/Browserdaten, anonymisierte Identifikatoren.

Verarbeiter für   uns (Controller-Kontext).

E-Mail,   Messaging und Kommunikationsinfrastruktur.

Transaktionale und geschäftliche Kommunikation senden und   empfangen; Rundbrief; Unterstützung   Kommunikation.

Namen, E-Mail-Adressen, Nachrichteninhalt, Metadaten, Zustellprotokolle.

Prozessor oder Subprozessor, je nachdem, ob er für unsere Operationen oder ein Kundenengagement verwendet wird.

Planungs- und Meeting-Tools

Buchungslinks, Kalenderplanung, Meeting-Einladungen, Konferenzen.

Namen, E-Mail-Adressen, Zeitzone, Meeting-Metadaten, Anrufdetails, falls vom Kunden aufgezeichnet.

Verantwortlicher oder Unterverantwortlicher je nach Kontext; Konferenzanbieter können unabhängige Verantwortliche für bestimmte Daten sein.

Zahlungsabwicklung und Rechnungsstellung

Zahlungen, Rückerstattungen, Rechnungen, Betrugsprävention verarbeiten.

Zahlungsidentifikatoren, Rechnungsadresse, Transaktionsmetadaten; wir speichern keine vollständigen Kartendetails, wenn diese von Zahlungsanbietern verarbeitet werden.

Unabhängiger Verantwortlicher oder Verarbeiter je nach Anbieter; typischerweise ein unabhängiger Verantwortlicher für die Zahlungsabwicklung.

E-Commerce,   Bestellverwaltung und Fulfillment (einschließlich POD)

Bestellungen,   Versand und Produktion über Fulfillment-Partner verwalten.

Bestelldetails,   Versandadresse, Kontaktdaten, Produktkonfiguration; begrenzte Kundendienstdaten.

Verarbeiter für   uns oder unabhängiger Verantwortlicher je nach Fulfillment-Modell.

Kundenbeziehungsmanagement und Pipeline-Tools

Verwalten Sie B2B   Leads, Kontakte, Chancen und Engagement-Historie.

Geschäfts-   Kontaktdaten, Kommunikationsprotokolle, Notizen, Aufgabenhistorie.

Prozessor für   uns (Controller-Kontext) oder Subprozessor in Kundenengagements, wenn   angegeben.

Datenanreicherung und externe API-Dienste

Externe Datensätze abrufen, um die von Kunden bereitgestellten   Eingaben anzureichern, zu validieren oder zu kontextualisieren (zum Beispiel Unternehmensdaten, öffentliche Geschäftssignale).

Geschäfts- und Kontaktdaten oder Unternehmensdaten wie angewiesen; API-Anforderungsmetadaten; können je nach Anwendungsfall persönliche Daten enthalten.

Subunternehmer, wo in Kundenengagements verwendet; andernfalls Verarbeiter für uns.

Dateispeicherung, Zusammenarbeit und Dokumentenwerkzeuge

Dokumente, Berichte, Ergebnisse und Konfigurationsdateien speichern und zusammenarbeiten.

Kundendaten, die in Dokumenten enthalten sind; Zugriffsprotokolle; Versionsverlauf.

Subunternehmer   (Verarbeitungskontext) oder Verarbeiter (Verantwortlicher Kontext).

Anwendungs-   leistungsüberwachung (APM), Protokollierung und Telemetrie

Überwachung   der Stabilität, Fehlerprotokollierung, Sicherheit und Dienstleistungsleistung.

Fehlerprotokolle,   Geräte-/App-Metadaten, IP-Adresse, Zeitstempel; können eingeschränkte Identifikatoren enthalten.

Subunternehmer   wo für kundenorientierte Dienste verwendet; andernfalls Verarbeiter für uns.

KI- und maschinelles Lernen Plattformen

Prozessinputs und generiere Ausgaben für spezifische Funktionen (Zusammenfassungen, Entwürfe, Analysen), wo aktiviert.

Eingabeaufforderungen, Inhaltsausschnitte, Metadaten, die zur Generierung von Ausgaben erforderlich sind; können persönliche Daten enthalten, wenn sie vom Kunden/Nutzer bereitgestellt werden.

Prozessor oder Unterprozessor je nach Kontext; die Nutzung unterliegt der KI-Erklärung und den geltenden Vereinbarungen.

Medien- und Vertriebsplattformen

Audio-/Video-Inhalte (Podcasts, Videos, Einbettungen) hosten und verteilen.

Wiedergabedaten, Geräte-/Browserdaten, IP-Adresse, Analytik- und Engagementsignale; Konten-/Admin-Daten.

Typischerweise unabhängige Steuerungen für Plattformanalysen; können Prozessoren für eingeschränkte Funktionen sein.

Professionelle Berater und Verwaltungsdienste

Rechtliche, buchhalterische, Compliance- und administrative Unterstützung.

Begrenzte persönliche Daten, die im Zusammenhang mit Rechnungsstellung, Prüfungen, Streitigkeiten oder Compliance-Aufgaben anfallen.

Unabhängige Verantwortliche oder Auftragsverarbeiter, abhängig von der Engagement.

5. Verwaltung und Aktualisierung von Subauftragsverarbeitern

Wir führen ein internes Protokoll der spezifischen Anbieter, die für jedes Engagement verwendet werden, bei dem wir als Auftragsverarbeiter agieren. Der Prozess umfasst:

• Führung einer engagement-spezifischen Liste von Subauftragsverarbeitern, einschließlich der bereitgestellten Dienste, der Verarbeitungsstandorte, wo bekannt, und der Hauptübertragungsmaßnahme, die, falls zutreffend, verwendet wird.

• Bereitstellung einer aktuellen Liste von spezifischen      Subverarbeitern, die auf schriftliche Anfrage für ein Kundenengagement verwendet werden.

• Bereitstellung einer angemessenen Vorankündigung über      geplante Änderungen bezüglich der Hinzufügung oder Ersetzung von Subverarbeitern      für laufende Engagements, wo dies praktikabel ist.

• Ermöglichung von Einwänden durch Kunden aus angemessenen      datenschutzrechtlichen Gründen, gemäß dem Einwandverfahren im DPA.

6. Weltweite Datenübertragungen

Wenn ein Drittanbieter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet, streben wir an, einen angemessenen Schutz gemäß Kapitel V der DSGVO sicherzustellen. Schutzmaßnahmen können eine Angemessenheitsentscheidung, Standardvertragsklauseln (SCCs), verbindliche Unternehmensregeln (BCRs) oder andere rechtmäßige Übertragungsmechanismen umfassen.

Wo SCCs erforderlich sind, werden in der Regel die von der Kommission beschlossenen SCCs gemäß der Durchführungsentscheidung (EU) 2021/914 verwendet, wobei die entsprechenden Module je nach Beziehung ausgewählt werden.

7. Verantwortlichkeiten des Kunden

Wenn der Kunde uns anweist, spezifische Tools, Datenquellen oder Drittanbieterdienste zu verwenden, oder wenn der Kunde der direkte vertragliche Partner eines Anbieters ist, bleibt der Kunde verantwortlich für:

• Die Bedingungen und Datenschutzhinweise des      Anbieters zu akzeptieren und einzuhalten, einschließlich aller erforderlichen Endbenutzer      hinweise.

• Sicherzustellen, dass die Anweisungen rechtmäßig und      konform mit den Anforderungen an den Datenschutz und die E-Privacy sind.

• Die Aufbewahrung, Zugriffssteuerungen und Berechtigungen angemessen innerhalb der vom Kunden gesteuerten Tools konfigurieren.

• Uns über alle Einschränkungen oder verbotenen Konfigurationen zu informieren, die für die Konten oder Tools des Kunden gelten.

8. Wie man die aktuelle Anbieterliste anfordert

Kunden können die aktuelle Liste der spezifischen Unterauftragsverarbeiter, die für ihr Engagement verwendet werden, anfordern, indem sie eine Anfrage über unsere Kontaktseite einreichen (https://www.soufianeboudarraja.com/contact) mit dem Betreff "Anfrage zur Unterauftragsverarbeiterliste". Um die Anfrage effizient zu bearbeiten, fügen Sie den Engagementnamen, die Bestellreferenz oder die Referenz des Arbeitsauftrags hinzu.

9. Änderungen zu diesem Anhang

Wir können diesen Anhang aktualisieren, um Änderungen in den Werkzeugkategorien, Lieferanten- und Plattformänderungen, gesetzlichen Anforderungen oder der Entwicklung des Ökosystems widerzuspiegeln. Wesentliche Änderungen, die die Verarbeitung unter einem aktiven DPA betreffen, werden gemäß den Benachrichtigungsverfahren des DPA kommuniziert.

10. Kontakt

Fragen zu diesem Anhang können an Soufiane Boudarraja gesendet werden. Um eine Frage einzureichen, nutzen Sie unsere Kontaktseite: https://www.soufianeboudarraja.com/contact.

Für gesetzliche Angaben zur juristischen Person und zur Adresse siehe das Impressum / die rechtlichen Hinweise auf unserer Webseite.