logo
Global Customer Data Processing Schedule

Effective February 10, 2026

ANLAGE - DATENVERARBEITUNG

Diese Anlage – Datenverarbeitung ist Teil des Hyland-Rahmenvertrages, des Bestellformulars oder einer anderen Vereinbarung zwischen dem Kunden und Hyland, die diese Anlage – Datenverarbeitung durch Verweis einbezieht (“Vertragsdokument“). Wie hierin verwendet, bedeutet "Vereinbarung" das Vertragsdokument, einschließlich dieser Anlage – Datenverarbeitung, und jede andere Vereinbarung, in die das Vertragsdokument einbezogen ist.

1.         BEGRIFFSBESTIMMUNGEN

Alle in dieser Anlage – Datenverarbeitung („Anlage“) verwendeten Begriffe mit Großbuchstaben haben die Bedeutung, die ihnen in dieser Anlage oder, falls nicht in dieser Anlage definiert, die in der Vereinbarung zugeschriebene Bedeutung. Falls ein und derselbe Begriff an zwei (2) oder mehr verschiedenen Stellen in der Vereinbarung definiert ist, erhält der Begriff die Bedeutung, die je nach Kontext erforderlich ist. 

„Angemessenheitsbeschluss“ bedeutet die endgültige Feststellung einer Aufsichtsbehörde, dass die Gesetze eines Drittlandes ein angemessenes Schutzniveau für Personenbezogene Daten bieten, wenn diese Personenbezogenen Daten aus dem Zuständigkeitsbereich der Aufsichtsbehörde in ein Drittland übermittelt werden. 

„Aufsichtsbehörde“ ist die nach geltenden Datenschutzgesetzen zuständige Aufsichtsbehörde oder Regulierungsstelle.

„Betroffene Person“ bezeichnet eine natürliche Person, deren Personenbezogene Daten verarbeitet werden. 

„Brasilianische SVK“ bezeichnet die Standardvertragsklauseln (SVK), die von der brasilianischen Datenschutzbehörde Autoridade Nacional de Proteção de Dados in Kapitel V der Resolution CD/ANPD Nr. 19/2024 genehmigt wurden.

„CPRA“ bezeichnet den California Consumer Privacy Act in der durch den California Privacy Rights Act geänderten Fassung, kodifiziert in Cal. Civ. Code §1798.100 ff., sowie dessen endgültige Durchführungsbestimmungen.

„Datenschutzgesetze“ bezeichnet alle anwendbaren Gesetze, Verordnungen oder Richtlinien, die für die Verarbeitung Personenbezogener Daten je nach Standort der Betroffenen Personen, der Verarbeitungstätigkeiten oder der Niederlassung der Parteien gelten.

„Dienstleistungen“ bedeutet technische Support-Dienstleistungen, Professionelle Dienstleistungen, Dienstleistungen in Bezug auf Hosting-Angebot von Hyland oder andere anwendbare Dienstleistungen, die von Hyland für den Kunden erbracht werden, wie in der Vereinbarung definiert.

„Drittland“ bezeichnet jedes Land, das nicht einer Angemessenheitsfeststellung gemäß den geltenden Datenschutzgesetzen durch die Aufsichtsbehörde des Landes unterliegt, in dem das Unternehmen ansässig ist, das Personenbezogene Daten übermittelt.

„EU-SVK“ bezeichnet den Durchführungsbeschluss (EU) 2021/914 der Kommission zur Festlegung von Standardvertragsklauseln für Datenübermittlungen in Drittländer. 

„HIPAA“ bezeichnet den Health Insurance Portability and Accountability Act von 1996 in seiner jeweils gültigen Fassung.

„LGPD“ bezeichnet das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados – LGPD, Gesetz Nr. 13.709/2018).

„Parteien“ bezeichnet Hyland und den Kunden, die in dieser Anlage jeweils als „Partei“ bezeichnet werden.

„Personenbezogene Daten“ sind alle individuell identifizierbaren Informationen über eine identifizierte oder identifizierbare Betroffene Person, die nach geltenden Datenschutzgesetzen geschützt sind. 

„Personenbezogene Kundendaten“ sind alle Personenbezogenen Daten, die vom oder im Namen des Kunden an Hyland für die Zurverfügungstellung von Produkten oder Erbringung von Dienstleistungen übermittelt werden. 

„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 

„Verletzung des Schutzes Personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit, die zur unbeabsichtigten oder rechtswidrigen Vernichtung, Verlust, Veränderung, oder Offenlegung von bzw. zum Zugang zu Personenbezogenen Kundendaten führt. 

„Unterauftragsverarbeiter“ bezeichnet eine Einrichtung, die Personenbezogene Daten im Auftrag von Hyland im Namen des Kunden verarbeitet. 

2.         VERARBEITUNG PERSONENBEZOGENER DATEN DURCH HYLAND.

2.1       Anweisungen für die Verarbeitung Personenbezogener Daten. Hyland verarbeitet Personenbezogene Kundendaten ausschließlich gemäß den dokumentierten Anweisungen des Kunden, darunter: (a) Verarbeitung gemäß der Vereinbarung oder dem geltenden Bestellformular, (b) Verarbeitung, die vom Kunden bei der Nutzung eines Produkts oder einer Dienstleistung initiiert wurde, und (c) Verarbeitung zur Einhaltung anderer dokumentierter Anweisungen, die vom Kunden in angemessener Weise bereitgestellt wurden, sofern diese Anweisungen mit den Bestimmungen der Vereinbarung vereinbar sind und sofern gesetzlich nichts anderes vorgeschrieben ist. Jede Partei hat die für sie geltenden Verpflichtungen gemäß den Datenschutzgesetzen zu erfüllen.

2.2       Beschreibung der Verarbeitung. Die Verarbeitung der Personenbezogenen Daten durch Hyland ist im Anhang A beschrieben. 

3.         HYLAND’S SICHERHEITSVORKEHRUNGEN FÜR PERSONENBEZOGENE DATEN.

3.1       Physische, technische und organisatorische Schutzmaßnahmen. Hyland unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen, um die Personenbezogenen Kundendaten vor versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, Weitergabe oder Zugriff zu schützen, wie im Anhang B näher beschrieben (Technische und Organisatorische Sicherheitsmaßnahmen“).

3.2       Verarbeitung durch Unterauftragsverarbeiter. Hyland wird nur die unter https://community.hyland.com/en/connect/hyland-sub-processor-list aufgeführten Unterauftragsverarbeiter beauftragen (die Liste der Unterauftragsverarbeiter kann von Hyland von Zeit zu Zeit ohne Änderung dieser Anlage aktualisiert werden). Hyland hat mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abgeschlossen, der Datenschutzverpflichtungen zum Schutz der Personenbezogenen Kundendaten enthält, die nicht weniger Schutz für die Betroffenen Personen bieten als die, die die geltenden Datenschutzgesetze vorschreiben. Hyland bleibt gegenüber dem Kunden für die Handlungen oder Unterlassungen ihrer Unterauftragsverarbeiter haftbar. Hyland benachrichtigt den Kunden über alle neuen Unterauftragsverarbeiter, die Hyland zu beauftragen beabsichtigt, indem Hyland die oben genannte Liste mit den Details des neuen Unterauftragsverarbeiters aktualisiert. Der Kunde hat die Möglichkeit, die Website mit der oben genannten Liste zu abonnieren. Soweit dieses Recht durch das geltende Datenschutzgesetz gewährt wird, kann der Kunde dem Einsatz eines solchen neuen Unterauftragsverarbeiter ausschließlich aus vernünftigen Gründen, die sich auf Datenschutzbelange beziehen, widersprechen, indem er Hyland (in Übereinstimmung mit der Vereinbarung) innerhalb von 10 Tagen nach Aktualisierung der Liste durch Hyland über seinen Widerspruch und seine Gründe informiert. Im Falle eines solchen Widerspruchs kann Hyland beschließen, einen solchen Unterauftragsverarbeiter nicht mit der Verarbeitung Personenbezogener Kundendaten zu beauftragen. Wenn Hyland die Nutzung eines solchen Unterauftragsverarbeiters nach einem begründeten Widerspruch des Kunden fortsetzt, kann der Kunde die Teile der Vereinbarung, die von der Nutzung eines solchen Unterauftragsverarbeiters betroffen sind, nach Benachrichtigung von Hyland mit sofortiger Wirkung aussetzen oder kündigen (unbeschadet aufgelaufener Gebühren oder anderer Rechte aus der Vereinbarung).

3.3       Vertraulichkeit der Personenbezogenen Daten. Hyland behandelt die Personenbezogenen Kundendaten vertraulich und stellt sicher, dass die Mitarbeiter von Hyland (einschließlich unabhängiger Auftragnehmer), die zum Zugang zu den Personenbezogenen Kundendaten berechtigt sind, (a) entsprechende vertraglich bindende Vertraulichkeitsverpflichtungen eingegangen sind oder anderweitig zur Vertraulichkeit verpflichtet sind, (b) über die Vertraulichkeit der Personenbezogenen Kundendaten informiert sind und (c) eine entsprechende Schulung in Bezug auf die Verarbeitung der Personenbezogenen Kundendaten erhalten haben.

3.4       Audits in Bezug auf Informationstechnologie. Hyland erlaubt dem Kunden Audits in Übereinstimmung mit der Vereinbarung. Sofern die Vereinbarung keine Audits durch den Kunden vorsieht, wird Hyland, sofern das geltende Datenschutzrecht solche Rechte gewährt, dem Kunden auf dessen angemessenes Verlangen, jedoch nicht mehr als einmal pro Jahr, gestatten, ein Audit der Sicherheits- und Datenschutzrichtlinien und -aufzeichnungen von Hyland in Bezug auf die Verarbeitung Personenbezogener Kundendaten durchzuführen sowie solcher weiteren Nachweise, die der Kunde angemessenerweise verlangen kann, um die Einhaltung der Anforderungen dieser Anlage durch Hyland nachzuvollziehen. Sofern sich der Kunde dafür entscheidet, ein Audit in den Räumlichkeiten von Hyland durchzuführen, beschränkt sich eine solche Prüfung auf die Bereiche, in denen Personenbezogene Kundendaten verarbeitet werden. Dem Kunden ist es untersagt, die Ergebnisse eines solchen Audits ohne die vorherige schriftliche Zustimmung von Hyland an Dritte weiterzugeben oder zu veröffentlichen (außer an eine zuständige Aufsichtsbehörde). Nach Wahl von Hyland und nach vorheriger Ankündigung erstattet der Kunde Hyland die angemessenen Kosten im Zusammenhang mit einer solchen Anfrage zu den jeweils gültigen Stundensätze für Professionelle Dienstleistungen von Hyland (Stundensätze auf Anfrage erhältlich). Alle diese Audits unterliegen der Geheimhaltungspflicht der Parteien. Sollte der Kunde einen unabhängigen Dritten mit der Durchführung eines Audits beauftragen, vereinbaren die Parteien, dass: (a) vor einem solchen Audit der unabhängige Dritte und Hyland direkt eine angemessene Vertraulichkeitsvereinbarung abschließen; (b) alle Berichte oder Hyland-Informationen, die während einer solchen Prüfung gesammelt werden, nur für den internen Gebrauch des Kunden verwendet werden können; und (c) die Bestimmungen dieses Abschnitts auch für eine solchen Dritten gelten sollen. 

3.5       Rückgabe oder Löschung von Personenbezogenen Daten. Hyland löscht oder gibt die Personenbezogenen Kundendaten in Übereinstimmung mit der Vereinbarung zurück. Wenn die Vereinbarung die Löschung oder Rückgabe der Personenbezogenen Kundendaten nicht vorsieht, sorgt Hyland auf schriftliche Anweisung des Kunden für die unverzügliche und sichere Rückgabe und/oder die sichere und dauerhafte Vernichtung aller Personenbezogenen Kundendaten, die sich im Besitz und unter der Kontrolle von Hyland befinden, zusammen mit allen Kopien (falls vorhanden) innerhalb von 30 Kalendertagen nach dieser Anweisung und bescheinigt auf Wunsch des Kunden, dass die Vernichtung stattgefunden hat. Bis zu einer solchen Rückgabe und/oder Vernichtung wird Hyland die in dieser Anlage vereinbarten Schutzmaßnahmen auf die Personenbezogenen Kundendaten, die sich unter Hyland’s Kontrolle befinden, weiterhin anwenden.

3.6       Anfragen, die an Hyland gerichtet sind. Soweit gesetzlich zulässig, benachrichtigt Hyland den Kunden unverzüglich (und in jedem Fall innerhalb von achtundvierzig (48) Stunden) nach Erhalt von: (a) einer tatsächlichen oder angeblichen Anfrage von (oder im Namen von) einer Betroffenen Person, die ihre Rechte gemäß den Datenschutzgesetzen ausübt („Anfrage der Betroffenen Person“); oder (b) einer Korrespondenz oder Mitteilung von einer Aufsichtsbehörde („Korrespondenz der Aufsichtsbehörde“). Sofern nicht anderweitig durch geltendes Recht vorgeschrieben, wird Hyland ohne vorherige schriftliche Anweisung des Kunden keine Personenbezogenen Kundendaten als Antwort auf eine solche Anfrage weitergeben.

3.7       Informationsanfragen. Auf angemessenes Verlangen des Kunden und soweit der Kunde nicht anderweitig Zugang zu den relevanten Informationen hat, wird Hyland dem Kunden in angemessenem Umfang die Zusammenarbeit und Unterstützung gewähren, die erforderlich sind, um den Kunden bei der Erfüllung seiner Verpflichtungen gemäß den Datenschutzgesetzen zur Durchführung einer Datenschutzfolgenabschätzung in Bezug auf die Verarbeitung der Personenbezogenen Kundendaten zu unterstützen. Nach Wahl von Hyland und nach vorheriger Ankündigung erstattet der Kunde Hyland die angemessenen Kosten im Zusammenhang mit einer solchen Anfrage zu den jeweils gültigen Stundensätzen für professionelle Dienstleistungen von Hyland (Stundensätze auf Anfrage erhältlich).

3.8       Meldung einer Verletzung des Schutzes Personenbezogener Daten. Hyland wird den Kunden unverzüglich nach Bekanntwerden einer Verletzung des Schutzes Personenbezogener Daten benachrichtigen. Hyland wird sich in angemessener Weise bemühen, die Ursache einer solchen Verletzung des Schutzes Personenbezogener Daten zu ermitteln und die von Hyland als notwendig und angemessen erachteten Schritte unternehmen, um die Ursache der Verletzung des Schutzes Personenbezogener Daten zu beheben. In Bezug auf eine solche Verletzung des Schutzes Personenbezogener Daten unterstützt Hyland den Kunden bei der Erfüllung der Verpflichtungen des Kunden zur Meldung einer Verletzung des Schutzes Personenbezogener Daten gemäß den Datenschutzgesetzen, unter Berücksichtigung der Hyland zur Verfügung stehenden Informationen und der Art der Verarbeitung. Eine Mitteilung von Hyland gemäß diesem Unterabschnitt ist nicht als Eingeständnis eines Verschuldens von Hyland auszulegen. 

4.         VERPFLICHTUNGEN DES KUNDEN IN BEZUG AUF PERSONENBEZOGENE DATEN.

4.1       Der Kunde verpflichtet sich, sofern dies nach geltendem Datenschutzrecht erforderlich ist, Dritte in einer objektiven Art und Weise zu benachrichtigen, die Hyland nicht absichtlich oder unangemessen in Verruf bringt oder den Ruf von Hyland anderweitig schädigt. Hyland ist eine angemessene Gelegenheit einzuräumen, jede Mitteilung zu überprüfen, in der Hyland namentlich erwähnt wird. Hyland ist berechtigt, jede Aussage in Bezug auf Hyland und die Produkte oder Dienstleistungen zu überarbeiten.

4.2       Der Kunde stellt sicher, dass er keinen Verboten oder Beschränkungen unterliegt, die: (a) ihn daran hindern oder einschränken würden, die Personenbezogenen Kundendaten an Hyland weiterzugeben oder zu übermitteln; (b) ihn daran hindern oder einschränken würden, Hyland Zugang zu den Personenbezogenen Kundendaten zu gewähren; und/oder (c) Hyland daran hindern oder einschränken würden, die Personenbezogenen Kundendaten zu verarbeiten, in jedem Fall soweit dies für die Zurverfügungstellung eines Produkt oder Erbringung der Dienstleistungen durch Hyland erforderlich ist.

4.3       Der Kunde stellt sicher, dass alle Hinweise zur fairen Verarbeitung gegeben wurden (und, falls zutreffend, Einwilligungen eingeholt wurden) und in ihrem Umfang ausreichend sind, damit Hyland die Personenbezogenen Kundendaten in Übereinstimmung mit der Vereinbarung und den Datenschutzgesetzen verarbeiten kann.

4.4       Der Kunde stellt sicher, dass alle Personenbezogenen Kundendaten, die an Hyland weitergegeben oder übertragen werden, auf das für die Zurverfügungstellung von Produkten oder Erbringung der Dienstleistungen erforderliche Minimum beschränkt sind.

4.5       Der Kunde hat angemessene technische und organisatorische Sicherheitsmaßnahmen zu ergreifen und aufrechtzuerhalten, die ausreichen, um den unbefugten Zugriff auf die Produkte oder Dienste über die Informationssysteme des Kunden zu verhindern.

4.6       Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Personenbezogenen Kundendaten, die er Hyland zur Verfügung stellt, sowie für die Mittel, mit denen er die Personenbezogenen Kundendaten erworben hat. 

5.         INTERNATIONALE BEDINGUNGEN.

5.1 Die Parteien erkennen an, dass bestimmte Rechtsordnungen von den Parteien verlangen, zusätzliche Schutzmaßnahmen für Personenbezogene Daten durch schriftliche Vertragsbestimmungen vorzusehen, soweit Personenbezogene Daten in ein Drittland übermittelt werden. Solche für die jeweiligen Rechtsordnungen Spezifische Bestimmungen sind nachfolgend aufgeführt und werden, soweit anwendbar, durch Verweis in diese Anlage aufgenommen. 

5.1.1 Spezifische Bestimmungen für EWR. Diese Bestimmungen gelten, wenn (a) der Kunde (i) im Europäischen Wirtschaftsraum oder der Schweiz (gemeinsam „EWR“) ansässig ist oder (ii) im Namen eines Mitglieds seiner Unternehmensgruppe, das im EWR ansässig ist, einen Vertrag abschließt; und (b) Hyland Personenbezogene Daten aus einem Land außerhalb des EWR verarbeitet, das keinem Angemessenheitsbeschluss unterliegt. Die Bestimmungen sind abrufbar unter: https://legal.hyland.com/jurisdiction-specific-terms-eea.

5.1.2 Spezifische Bestimmungen für Vereinigtes Königreich. Diese Bestimmungen gelten, wenn (a) der Kunde (i) im Vereinigten Königreich ansässig ist oder (ii) im Namen eines Mitglieds seiner Unternehmensgruppe, das im Vereinigten Königreich ansässig ist, einen Vertrag abschließt; und (b) Hyland Personenbezogene Daten aus einem Land außerhalb des Vereinigten Königreichs verarbeitet, das keinem Angemessenheitsbeschluss unterliegt. Die Bestimmungen sind abrufbar unter: https://legal.hyland.com/jurisdiction-specific-terms-uk.

5.1.3 Spezifische Bestimmungen für Brasilien. Diese Bestimmungen gelten, wenn (a) der Kunde in Brasilien ansässig ist und (b) Hyland Personenbezogene Daten aus einem Land außerhalb Brasiliens verarbeitet, das keinem Angemessenheitsbeschluss unterliegt. Die Bestimmungen sind abrufbar unter: https://legal.hyland.com/jurisdiction-specific-terms-brazil.

5.1.4 Spezifische Bestimmungen für Kalifornien. Diese Bedingungen gelten, wenn (a) der Kunde dem CPRA unterliegt und (b) Hyland Personenbezogene Daten von Betroffenen Personen verarbeitet, die in Kalifornien ansässig sind. Die Bestimmungen sind abrufbar unter: https://legal.hyland.com/jurisdiction-specific-terms-california.

5.1.5 Spezifische Bestimmungen für Vereinigte Staaten von Amerika. Diese Bedingungen gelten, wenn Hyland Personenbezogene Kundendaten verarbeitet, die geschützte Gesundheitsdaten im Sinne und gemäß HIPAA darstellen. Die Bestimmungen sind abrufbar unter: https://legal.hyland.com/business-associate-agreement.

Die Parteien können durch schriftliche Ergänzung dieser Anlage spezifische Bestimmungen ändern oder hinzufügen, soweit dies durch die geltenden Datenschutzgesetze vorgeschrieben ist.

6.         LAUFZEIT UND KÜNDIGUNG.

6.1       Laufzeit. Diese Anlage hat eine Laufzeit ab dem Datum des Inkrafttretens und endet automatisch mit der Kündigung oder der Beendigung der Vereinbarung. 

6.2       Auswirkung. Nach Beendigung dieser Anlage wird Hyland alle Personenbezogenen Kundendaten wie unter Ziffer 3.5 beschrieben zurückgeben oder vernichten.

7.         ALLGEMEINE BESTIMMUNGEN.

7.1       Änderungen. Die Parteien vereinbaren, diese Anlage von Zeit zu Zeit zu ändern, wenn dies erforderlich ist, damit die Parteien die geltenden Datenschutzgesetze weiterhin einhalten können.

7.2       Widersprüche. Diese Anlage ersetzt alle Bestimmungen der Vereinbarung, die mit ihr im Widerspruch stehen, und/oder anderen bestehenden Vereinbarungen zwischen Hyland und dem Kunden in Bezug auf die Verpflichtungen der Parteien zur Einhaltung der Datenschutzgesetze in Bezug auf die Personenbezogenen Kundendaten. Im Falle eines Widerspruchs zwischen dieser Anlage, der Vereinbarung und den Spezifischen Bestimmungen für internationale Bedingungen, haben die Spezifischen Bestimmungen in Bezug auf die Personenbezogenen Daten, die diesen Spezifischen Bestimmungen unterliegen, Vorrang. 

8.         MASSGEBLICHE SPRACHE. Hyland kann andere Versionen dieses Dokuments in anderen Sprachen an dieser Online-Location zur Verfügung stellen. Diese englischsprachige Version dieses Dokuments hat Vorrang vor allen anderen Versionen dieses Dokuments, die an dieser Online-Location in einer anderen Sprache verfügbar sind, wenn das Vertragsdokument in englischer Sprache verfasst ist. Wenn das Vertragsdokument in einer anderen Sprache als Englisch verfasst ist (eine solche Sprache wird als „andere Sprache“ bezeichnet), dieses Dokument jedoch nicht an dieser Online-Location in der anderen Sprache verfügbar sind, hat diese englischsprachige Version Vorrang vor allen anderen Versionen dieses Dokuments, die an dieser Online-Location in einer anderen Sprache verfügbar sind.

 

 

ANHANG A

Beschreibung der Verarbeitung und Einzelheiten der Übermittlung

Gegenstand und Dauer der Verarbeitung

Der Gegenstand der Verarbeitung ist die Zurverfügungstellung von Produkten und Erbrigung von Dienstleistungen unter der Vereinbarung. 

 

Die Dauer der Verarbeitung entspricht der Laufzeit der Vereinbarung und ggf. einer Übergangszeit. 

 

Kategorien Betroffener Personen, deren Personenbezogene Daten verarbeitet werden 

 

Jede Betroffene Person, deren Personenbezogene Daten im Rahmen der Vereinbarung an Hyland übermittelt werden, wozu die folgenden Kategorien gehören können: 

  • Mitarbeiter des Kunden (ehemalige, potenzielle, gegenwärtige und zukünftige Mitarbeiter des Kunden)

  • Zulieferer des Kunden (frühere, gegenwärtige und potenzielle Berater, Ratgeber, Zulieferer, Auftragnehmer, Unterauftragnehmer und andere vom Kunden beauftragte Fachleute sowie zugehörige Mitarbeiter)

  • Endnutzer des Kunden (frühere, gegenwärtige und potenzielle Nutzer von Dienstleistungen oder Produkten des Kunden)

Art und Zweck der Verarbeitung  

Der Zweck der Verarbeitung für Hyland ist Zurverfügungstellung von Produkten und Erbrigung von Dienstleistungen. 

 

Die Art der Verarbeitung kann unter anderem das Erheben, das Aufzeichnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Kombination, die Einschränkung, das Löschen oder die Vernichtung umfassen. 

Kategorien der übermittelten Personenbezogenen DatenAlle Personenbezogenen Daten, die der Kunde im Rahmen der Vereinbarung an Hyland übermittelt.
Kategorien von verarbeiteten sensiblen Personenbezogener Daten

Es ist nicht vorgesehen, dass Hyland sensible Personenbezogene Daten sammelt.

 

Der Kunde stellt Hyland im Rahmen der Vereinbarung die folgenden Kategorien sensibler Personenbezogener Daten zur Verfügung: 

 

NUR ZUR VERWENDUNG MIT DEN EU-SVK UND DEN BRASILIANISCHEN SVK

 

Datenexporteur

 

Kunde, wie in dieser Anlage definiert.

Datenimporteur 

 

Hyland, wie in dieser Anlage definiert. 

Häufigkeit der Übertragung

 

Kontinuierliche Basis (Dienste im Zusammenhang mit den Hosting-Angeboten oder Cloud-Diensten von Hyland).

Einmalige Basis (technische Unterstützung, Professionelle Dienstleistungen oder andere Leistungen) 

Speicherdauer

 

 

Bei Hosting- oder Cloud-Kunden werden die Daten für die Dauer der Vereinbarung bzw. des jeweiligen Produktabonnements aufbewahrt, einschließlich einer eventuellen Übergangszeit, vorbehaltlich eines kürzeren Zeitraums, den der Kunde wählen kann, indem er die Personenbezogenen Daten dauerhaft aus den Cloud Services löscht. Personenbezogene Daten, die Hyland im Rahmen des technischen Supports oder Professioneller Dienstleistungen zur Verfügung gestellt werden, werden nur so lange aufbewahrt, wie es für die Zwecke, für die die Personenbezogenen Daten übermittelt wurden, erforderlich ist, und auf keinen Fall länger, als es nach den Gesetzen des Landes des Kunden zulässig ist. 

Unterauftragsverarbeiter

 

Hyland ist berechtigt, die unter https://community.hyland.com/en/connect/hyland-sub-processor-list aufgeführten Unterauftragsverarbeiter einsetzen.
Zuständige Aufsichtsbehörde Für Kunden aus EU/EWR: die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des EU/EWR-Mitgliedstaates, in dem der Kunden niedergelassen ist.

 

 

 

NUR ZUR VERWENDUNG MIT DEN BRASILIANISCHEN SVK

 

Eigenschaften des Datenexporteurs

 

Die CNPJ-Nummer des Kunden, wie in der Vereinbarung angegeben oder wie Hyland ggü. auf Anfrage anderweitig mitgeteilt.

Eigenschaften des Datenimporteurs

 

Nicht zutreffend. 

 

 

NUR ZUR VERWENDUNG MIT DEM SPEZIFISCHEN BESTIMMUNGEN FÜR VEREINIGTES KÖNIGREICH

 

Offizielle Registrierungsnummer des Datenexporteurs

 

Die offizielle Registrierungsnummer des Kunden, wie in der Vereinbarung angegeben oder wie Hyland ggü. auf Anfrage anderweitig mitgeteilt.

Offizielle Registrierungsnummer des Datenimporteurs

 

Die offizielle Registrierungsnummer von Hyland, wie in der Vereinbarung angegeben oder wie dem Kunden ggü. auf Anfrage anderweitig mitgeteilt.

 

 

ANHANG B

Technische und Organisatorische Maßnahmen

 

Unter Berücksichtigung: 

  • des Standes der Technik,
  • der Implementierungskosten und
  • der Art, des Umfangs, der Umstände und
  • der Zwecke der Verarbeitung sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten von natürlichen Personen 

 

wird Hyland die Technischen und Organisatorischen Maßnahmen umsetzen, die in der Vereinbarung festgelegt sind. Soweit die Vereinbarung die anwendbaren Technischen und Organisatorischen Sicherheitsmaßnahmen nicht spezifiziert, wird Hyland die in diesem Anhang B aufgeführten Technischen und Organisatorischen Sicherheitsmaßnahmen wie folgt umsetzen: 

 

1.         Maßnahmen zur Verschlüsselung.

  • Verschlüsselung von mobilen Geräten wie Laptops, Tablets und Smartphones
  • Verschlüsselung von mobilen Speichermedien (CD/DVD-ROM, USB-Sticks, externe Festplatten)
  • verschlüsselte Speicherung von Passwörtern
  • Verschlüsselungsoption für sensible E-Mails und E-Mail-Anhänge
  • gesicherter Datenaustausch (z. B. SSL, FTPS, TLS)
  • gesichertes WLAN

2.         Maßnahmen zur Wahrung der Vertraulichkeit.

a.         Maßnahmen, die sicherstellen, dass Unbefugte keinen Zugang zu den Personenbezogenen Kundendaten haben:

  • Zugangskontrollsystem, Dokumentenleser (Magnet-/Chipkarte)
  • Türsicherungen (elektrischer Türöffner, Zahlenschloss, usw.)
  • Schutz der Einrichtungen, einschließlich Sicherheitspersonal in der Hyland-Zentrale.
  • Alarmanlage
  • Videoüberwachung
  • besondere Schutzmaßnahmen für den Serverraum
  • Sperrgebiete
  • Besucherregeln (z. B. Abholung am Empfang, Dokumentation der Besuchszeiten, Besucherausweis, Begleitung der Besucher zum Ausgang nach dem Besuch)

b.         Maßnahmen, die verhindern, dass Unbefugte die Systeme, die Personenbezogene Kundendaten verarbeiten, nutzen können:

  • persönlicher und individueller User-Log-In bei Anmeldung am System bzw. Unternehmensnetzwerk
  • Genehmigungsverfahren für Zugangsberechtigungen
  • Einschränkung der autorisierten Benutzer
  • Single Sign-On
  • zwei-Faktor-Authentifizierung
  • BIOS-Kennwörter für Firmen-Laptops
  • Passwortverfahren (Angabe von Passwortparametern in Bezug auf Komplexität und Aktualisierungsintervall)
  • Protokollierung von Zugriffen
  • zusätzliche Systemanmeldung für bestimmte Anwendungen
  • automatische Sperrung der Clients nach Ablauf einer bestimmten Zeit ohne Benutzeraktivität (auch passwortgeschützter Bildschirmschoner oder automatischer Stand-by)
  • Firewall

c.         Maßnahmen, die sicherstellen, dass nur befugte Personen Zugang zu den Systemen haben, die Personenbezogene Kundendaten verarbeiten, und dass Personenbezogene Kundendaten nicht unbefugt gelesen, kopiert, geändert oder entfernt werden können:

  • Auswertungen/Protokollierung der Datenverarbeitung
  • Genehmigungsverfahren für Berechtigungen
  • Genehmigungsroutinen
  • Profile/Rollen
  • Verschlüsselung im Ruhezustand und während der Übertragung für Personenbezogene Kundendaten, die über das sichere Dateiübertragungstool an Hyland übertragen werden.
  • Mobilgeräte-Management-System für unternehmenseigene mobile Geräte und genehmigte persönliche mobile Geräte (mobile Geräte sind nicht Teil der gehosteten Lösung)
  • Aufgabentrennung „Segregation of Duties“ (Trennung der Aufgaben)
  • Vernichtung von Aufzeichnungen und Speichermedien in Übereinstimmung mit NIST 800-88, soweit anwendbar
  • Cyber-bezogene Protokolle, die mindestens sechs Monate lang aufbewahrt werden

3.         Maßnahmen zur Gewährleistung der Integrität.

  • Zugangsrechte
  • systemseitige Protokollierung
  • Dokumentenmanagementsystem (DMS) mit Änderungshistorie
  • Sicherheits-/Protokollierungssoftware
  • funktionale Verantwortlichkeiten, organisatorisch festgelegte Verantwortlichkeiten
  • getunnelte Datenfernverbindungen (VPN = Virtual Private Network)
  • elektronische Unterschrift
  • Protokollierung der Datenübertragung oder des Datentransports
  • Protokollierung von Lesezugriffen

4.         Maßnahmen zur Sicherung und Wiederherstellung der Verfügbarkeit.

  • Sicherheitskonzept für Software und IT-Anwendungen
  • ggf. Back-up-Verfahren
  • Gewährleistung der Datenspeicherung in einem gesicherten Netz
  • bedarfsgerechte Installation von Sicherheitsupdates
  • Aufbau einer unterbrechungsfreien Stromversorgung
  • geeignete Archivierungsmöglichkeiten für Papierdokumente
  • Brand- und/oder Löschwasserschutz für den Serverraum
  • klimatisierter Serverraum
  • Virenschutz
  • Firewall
  • Geschäftsfortführungsplan
  • erfolgreiche Übungen zur Wiederherstellung im Katastrophenfall
  • ggf. redundante, lokal getrennte Datenspeicherung (Off-Site-Speicherung)

5.         Maßnahmen zur Gewährleistung der Ausfallsicherheit.

  • Notfallplan für den Fall eines Maschinenausfalls/Geschäftswiederherstellungsplan
  • redundante Stromversorgung
  • ausreichende Kapazität der IT-Systeme und Anlagen
  • logistisch kontrollierter Prozess zur Vermeidung von Leistungsspitzen
  • redundante Systeme/Anlagen
  • Ausfallsicherheit und Fehlermanagement

6.         Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

  • Verfahren für regelmäßige Kontrollen/Prüfungen
  • Konzept für regelmäßige Überprüfung, Bewertung und Evaluierung
  • Meldesystem
  • Penetrationstests
  • Notfalltests
  • Geltende Zertifizierungen

7.         „Kontrolle der Anweisungen/Zuweisungskontrolle“.

  • Prozess der Erteilung und/oder Befolgung von Anweisungen
  • Angabe von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
  • Kontrolle/Prüfung, dass der Auftrag weisungsgemäß ausgeführt wird
  • Schulung/Unterweisung aller zugangsberechtigten Mitarbeiter
  • unabhängige Prüfung der Einhaltung der Anweisungen
  • Verpflichtung der Mitarbeiter zur Wahrung der Vertraulichkeit
  • Vereinbarung von Sanktionen für Verstöße gegen die Anweisungen
  • Datenschutzbeauftragter/-koordinator
  • Aufzeichnungen über die Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO, soweit anwendbar
  • eine dokumentierte Politik zur Reaktion auf Sicherheitsvorfälle, die Eskalationsprozesse für Verletzungen des Schutzes Personenbezogener Daten umfasst
  • Richtlinien/Anweisungen zur Gewährleistung der technisch-organisatorischen Maßnahmen für die Sicherheit der Verarbeitung
  • Verfahren zur Weiterleitung von Anfragen betroffener Personen

 

 

Die aktuellste Version dieses Dokuments ist diejenige, die ab 12:00 Uhr EST (Eastern Standard Time) des Datums, das auf der Online-Version angegeben ist, veröffentlicht ist.