YANDEX.METRICA DATENVERARBEITUNGSVEREINBARUNG (DPA) 


Vereinbarung über die Auftragsdatenverarbeitung für Kunden zwischen der Intertech Services AG, Werftestrasse 4, 6005 Luzern, Schweiz („Yandex“). Durch die Nutzung des Opt-In-Kontrollkästchens erklären Sie, dass Sie den folgenden Bestimmungen zustimmen. Durch das Fortfahren bestätigen Sie, dass Sie ein Unternehmen im Gebiet eines Mitgliedstaates des Europäischen Wirtschaftsraums, der Schweiz oder des Vereinigten Königreichs haben, oder dass Sie aus anderen Gründen dem territorialen Anwendungsbereich der nationalen Implementierungen der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung, im Folgenden „DSGVO“) oder den Datenschutzgesetzen der Schweiz oder des Vereinigten Königreichs unterliegen. Sie stimmen ferner zu, dass, falls dies nicht der Fall ist, diese DPA zwischen Ihnen und Yandex ungültig ist.

Diese DPA tritt am 25. Mai 2018 in Kraft, wenn Sie der DPA vor oder an diesem Datum zugestimmt haben, oder an dem Datum, an dem Sie der DPA zugestimmt haben, falls dieses Datum nach dem 25. Mai 2018 liegt.

Diese DPA ist eine Ergänzung zu den Nutzungsbedingungen von Yandex.Metrica (https://yandex.com/legal/metrica_termsofuse). Im Falle eines Widerspruchs zwischen diesen Klauseln und den Nutzungsbedingungen von Yandex.Metrica haben die Bestimmungen dieser DPA Vorrang.


  1. DEFINITIONEN 

„Kundendaten“ bezeichnet alle Arten von Daten, die vom Kunden bereitgestellt oder im Zusammenhang mit dem Kunden erhoben werden. Kundendaten können personenbezogene Daten enthalten.

„Personenbezogene Kundendaten“ bezeichnet alle Arten von Kundendaten, die personenbezogene Daten sind und die von Yandex im Rahmen der DPA verarbeitet werden. „Anweisung“ bezeichnet alle dokumentierten Anweisungen, die Sie Yandex geben und die Yandex auffordern, eine bestimmte Handlung im Zusammenhang mit personenbezogenen Kundendaten durchzuführen.

„IP-Anonymisierung“ bezeichnet die Funktionalität, mit der Sie Yandex anweisen können, das letzte Oktett der IP-Adressen Ihrer Website- oder mobilen App-Nutzer zu löschen.

„Personenbezogene Daten“, „Verarbeitung“, „Datenverantwortlicher“, „Auftragsverarbeiter“ haben die in der DSGVO definierten Bedeutungen.

  1. ALLGEMEINES 2.1 Gegenstand der Vereinbarung: Yandex stellt Ihnen den Dienst gemäß dieser DPA und den Nutzungsbedingungen von Yandex.Metrica zur Verfügung und verarbeitet Kundendaten im Rahmen der Erbringung der Dienstleistungen gemäß dieser DPA und den Nutzungsbedingungen von Yandex.Metrica.

2.2 Gegenstand, Art und Zweck der Datenverarbeitung: Der Dienst dient dem Zweck der Analyse der Nutzung Ihrer Website oder mobilen App durch deren Nutzer. Zu diesem Zweck wird Yandex Kundendaten über technische Eigenschaften und Aktivitäten der Nutzer Ihrer Website oder mobilen App auf Basis von Seitenaufrufen oder mobiler App-Nutzung erheben. Kundendaten werden durch die Verarbeitungssoftware ausgewertet, um Berichte zu erstellen, die unter anderem Informationen über die auf der Website oder in der mobilen App verbrachte Zeit, ungefähre geografische Herkunft, Herkunft des Benutzerverkehrs, Ausstiegsseiten und Nutzungskurse enthalten.

2.3 Gruppe betroffener Personen: Nutzer Ihrer Website oder mobilen App.

2.4 Art der Daten: Daten über das Gerät, einschließlich der Version seines Betriebssystems und des Standorts; anonymisierte IP-Adresse, Werbe-IDs GAID (für Android) und IDFA (für iOS), Informationen über das Nutzerverhalten in Ihrer mobilen Anwendung/Website, andere Daten, die Sie Yandex auf eigene Initiative zur Verfügung stellen.

2.5 Dauer und Datenlöschung: Die Dauer der Verarbeitung ist in den Nutzungsbedingungen von Yandex.Metrica beschrieben. Diese DPA ist gültig, bis Sie die Nutzung des Dienstes über die Löschfunktion in der Dienstschnittstelle beenden, wie unter: https://yandex.com/support/metrica/general/my-counters.html#delete-counter angegeben. Die Rechte, Vorteile und Pflichten dieser DPA beginnen mit der Initiierung des Dienstes und enden mit der Beendigung der vereinbarten Dienstleistungen gemäß den Nutzungsbedingungen von Yandex.Metrica.

2.6 Im Hinblick auf die Verarbeitung personenbezogener Kundendaten im Rahmen dieser DPA sind Sie der Verantwortliche (oder Auftragsverarbeiter) und Yandex ist der Auftragsverarbeiter (oder Unterauftragsverarbeiter) im Sinne der DSGVO. Sie sind verantwortlich für die Einhaltung der DSGVO.

2.7 Yandex kann die vertraglich vereinbarte Verarbeitung personenbezogener Kundendaten durch Subunternehmer durchführen, für die Yandex ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, einschließlich durch den Abschluss von Standardvertragsklauseln, die von der Europäischen Kommission angenommen wurden.

2.8 Yandex wird personenbezogene Kundendaten in Ihrem Namen und gemäß Ihren Anweisungen wie folgt verarbeiten: (a) soweit erforderlich in Bezug auf den Umfang und die Art zum Zwecke der Erbringung der Dienstleistungen und zur Erfüllung der Verpflichtungen aus dieser DPA oder den Nutzungsbedingungen von Yandex.Metrica, (b) gemäß Ihren folgenden Anweisungen, (c) soweit erforderlich durch Unionsrecht oder Mitgliedstaatengesetz.

  1. IHRE RECHTE UND PFLICHTEN UND DER UMFANG DER BEFUGNIS ZUR ERTEILUNG VON ANWEISUNGEN 3.1 Sie sind verantwortlich für die Zulässigkeit der Verarbeitung personenbezogener Kundendaten sowie den Schutz der Rechte der betroffenen Person.

3.2 Sie können Anweisungen erteilen, die Yandex verpflichten, eine bestimmte Handlung in Bezug auf die personenbezogenen Kundendaten durchzuführen. Sie können solche Anweisungen über die Benutzeroberfläche des Dienstes erteilen. Dies umfasst insbesondere die Funktionalität der IP-Anonymisierung, mit der Sie Yandex anweisen, das letzte Oktett der IP-Adressen der Nutzer Ihrer Website oder mobilen App zu löschen. Sollte eine Anweisung nicht über die Benutzeroberfläche des Yandex.Metrica-Dienstes möglich sein und über die in der DPA vereinbarten Anweisungen hinausgehen („Einzelanweisung“), wird Yandex Sie über die für die Durchführung der Einzelanweisung anfallenden Kosten informieren. Soweit Sie die Anweisung nach einer solchen Benachrichtigung aufrechterhalten, erstatten Sie die mit der Durchführung verbundenen Kosten an Yandex. Yandex wird Sie unverzüglich informieren, falls eine Anweisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt und kann innerhalb von 30 Tagen nach Erhalt der Anweisung Einspruch erheben („Einspruch“), wenn Yandex berechtigte Zweifel an der Rechtmäßigkeit der Anweisung hat (z.B. hinsichtlich der Vereinbarkeit mit dem geltenden Datenschutzrecht). Der Einspruch hat zur Folge, dass Yandex die jeweilige Einzelanweisung nicht ausführen muss. In einem solchen Fall sind Sie berechtigt, die DPA außerordentlich und ohne Vorankündigung gemäß den Bestimmungen der DPA zu kündigen.

3.3 Sie erklären, dass Sie personenbezogene Kundendaten (falls vorhanden) ausschließlich zum Zweck der Verfolgung der Nutzungsweise Ihrer Website oder mobilen App durch die Nutzer und zur Erstellung von Berichten über die Website-Aktivitäten verarbeiten.

  1. PFLICHTEN VON YANDEX 4.1 Löschung, Berichtigung und Sperrung von Daten, Löschung nach Beendigung des Auftrags: Nach Ihrer Anweisung wird Yandex personenbezogene Kundendaten anonymisieren, indem es das letzte Oktett der IP-Adressen der Nutzer Ihrer Website oder mobilen App löscht. Diese Löschung wird vor der weiteren Analyse der IP-Adressen im Rahmen der Dienstleistungen abgeschlossen.

4.2 Nach Ihrer Wahl wird Yandex alle personenbezogenen Kundendaten nach Ihrer Anweisung löschen oder an Sie zurückgeben und spätestens nach Beendigung der Erbringung der Dienstleistungen im Zusammenhang mit der Verarbeitung vorhandene Kopien löschen, es sei denn, Unionsrecht oder Mitgliedstaatengesetz erfordert eine fortgesetzte Speicherung der personenbezogenen Kundendaten.

4.3 Technische und organisatorische Maßnahmen: Yandex wird alle technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 DSGVO umsetzen. Im Rahmen der DPA werden Sie Yandex keine Datenträger zur Datenspeicherung zur Verfügung stellen.

4.4 Yandex kann (a) die technischen und organisatorischen Maßnahmen nach eigenem pflichtgemäßen Ermessen und im Einklang mit dem technischen Fortschritt zur Erhöhung der Sicherheit weiterentwickeln, sofern der Standard gemäß Art. 32 DSGVO eingehalten wird, und (b) Kopien von Kundendaten, insbesondere Sicherungskopien, aggregierte Daten und zwischengespeicherte Kopien nach der abgeschlossenen IP-Anonymisierung zur Erbringung des Dienstes erforderlich sind. Yandex ist berechtigt, andere geeignete Maßnahmen zu ergreifen. Dabei darf das Sicherheitsniveau insgesamt nicht unter das Sicherheitsniveau der festgelegten Maßnahmen fallen. Yandex wird wesentliche Änderungen dokumentieren.

4.5 Datenvertraulichkeit: Yandex wird nur Personal mit der Verarbeitung personenbezogener Kundendaten betrauen, das sich zur Vertraulichkeit verpflichtet hat oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegt.

4.6 Weitere Verpflichtungen: Neben der allgemeinen Einhaltung der Bestimmungen dieser DPA hat Yandex folgende Verpflichtungen:

Ernennung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben. Durchführung von Auftragskontrollen durch regelmäßige Überprüfungen durch Yandex in Bezug auf die Durchführung und/oder Umsetzung der DPA, insbesondere die Einhaltung und, falls erforderlich, die Umsetzung erforderlicher Anpassungen von Vorschriften und Maßnahmen zur Durchführung des Auftrags. 4.7 Yandex wird Sie unverzüglich über relevante Verstöße gegen Datenschutzbestimmungen oder die in dieser DPA festgelegten Bestimmungen durch Yandex oder eine für Yandex tätige Person informieren, soweit der Verstoß im Zusammenhang mit der Verarbeitung personenbezogener Kundendaten gemäß dieser DPA steht.

4.8 Unterstützung: Unter Berücksichtigung der Art der Verarbeitung wird Yandex Ihnen mit geeigneten technischen und organisatorischen Maßnahmen, soweit dies möglich ist, bei der Erfüllung Ihrer Verpflichtung zur Beantwortung von Anfragen zur Ausübung der in Kapitel III DSGVO festgelegten Rechte der betroffenen Person behilflich sein. Yandex wird Sie bei der Einhaltung der Verpflichtungen gemäß Art. 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der Yandex zur Verfügung stehenden Informationen unterstützen.

  1. KONTROLLRECHTE UND ÜBERPRÜFUNG DER TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN 5.1 Yandex wird Ihnen alle Informationen zur Verfügung stellen, die notwendig sind, um die Einhaltung der in der DSGVO festgelegten Verpflichtungen nachzuweisen, und Ihnen und/oder einem von Ihnen beauftragten Prüfer die Durchführung von Audits, einschließlich Inspektionen, ermöglichen und dazu beitragen. Die folgenden Anforderungen gelten für jede Prüfung: (i) Sie müssen mindestens dreißig (30) Tage im Voraus Ihre Absicht zur Prüfung ankündigen; (ii) Sie dürfen das Prüfungsrecht nicht mehr als einmal in einem Kalenderjahr ausüben; (iii) der Beginn der Prüfung unterliegt einer Vereinbarung mit Yandex über den Prüfungsumfang mindestens zehn (10) Tage im Voraus; (iv) Yandex kann den Zugang zu bestimmten Teilen seiner Einrichtungen und bestimmten Aufzeichnungen einschränken, wenn eine solche Einschränkung aus Gründen der kommerziellen Vertraulichkeit erforderlich ist; (v) die Prüfung umfasst nicht Penetrationstests, Schwachstellenscans oder andere Sicherheitstests; (vi) das Prüfungsrecht umfasst das Recht zur Einsichtnahme, jedoch nicht zum Kopieren oder anderweitigen Entfernen von Aufzeichnungen, außer solchen, die sich spezifisch und ausschließlich auf Sie beziehen; (vii) jeder unabhängige Prüfer muss eine von Yandex angemessen verlangte Vertraulichkeitsvereinbarung vor der Prüfung unterzeichnen; und (viii) Sie müssen Yandex die angemessenen Kosten (einschließlich der Zeit seines Personals, außer Ihres Beziehungsmana-gers) erstatten, die durch die Unterstützung der Prüfung entstehen.
  2. UNTERAUFTRAGSVERARBEITER 6.1 Vorbehaltlich der folgenden Bestimmungen darf Yandex keine Dritten mit der Verarbeitung personenbezogener Kundendaten ohne Ihre Zustimmung („Unterauftragsverarbeiter“) beauftragen, außer wie in Klausel 6.2 vorgesehen.

6.2 Yandex kann einen Unterauftragsverarbeiter für die Datenverarbeitung beauftragen, wenn der Unterauftragsverarbeiter ein verbundenes Unternehmen („verbundene Unterauftragsverarbeiter“) ist und eine Datenverarbeitungsvereinbarung gemäß den Anforderungen dieses Abschnitts abgeschlossen wird. Ein rechtlich getrenntes Unternehmen, das im Verhältnis zu Yandex ein Tochter- und Mutterunternehmen, ein kontrolliertes oder kontrollierendes Unternehmen, ein Mitglied einer Unternehmensgruppe, Unternehmen mit wechselseitigen Beteiligungen oder Partei eines Unternehmensvertrags ist, gilt als verbundenes Unternehmen. Eine Unterauftragsverarbeitungsvereinbarung erfordert, dass Yandex (a) sicherstellt, dass die verbundenen Unterauftragsverarbeiter die Pflichten von Yandex erfüllen, und (b) die Haftung gegenüber den Kunden für Handlungen und/oder Unterlassungen der betreffenden verbundenen Unterauftragsverarbeiter übernimmt, als ob diese Handlungen von Yandex selbst vorgenommen wurden. In diesem Zusammenhang dürfen verbundene Unterauftragnehmer ihren Sitz auch außerhalb der Mitgliedstaaten der Europäischen Union oder anderer Vertragsparteien des Abkommens über den Europäischen Wirtschaftsraum haben, wenn Yandex angemessene Garantien gemäß Art. 46 DSGVO übernimmt und seine eigenen Verarbeitungsverpflichtungen aus dieser Vereinbarung an den Unterauftragsverarbeiter weitergibt.

6.3 Wenn der Unterauftragsverarbeiter die vereinbarten Leistungen außerhalb der Mitgliedstaaten der Europäischen Union oder anderer Vertragsparteien des Abkommens über den Europäischen Wirtschaftsraum erbringt, wird Yandex angemessene Garantien gemäß Art. 46 DSGVO übernehmen und seine eigenen Verarbeitungsverpflichtungen aus dieser DPA an den Unterauftragsverarbeiter weitergeben.

6.4 Wenn Yandex einen Unterauftragsverarbeiter zur Durchführung spezifischer Verarbeitungsaktivitäten in Ihrem Auftrag einsetzt, werden die gleichen Datenschutzverpflichtungen wie in diesem Vertrag auf den Unterauftragsverarbeiter durch eine Datenverarbeitungsvereinbarung auferlegt, die insbesondere ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen vorsieht, um sicherzustellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht. Wenn der Unterauftragsverarbeiter seine Datenschutzpflichten nicht erfüllt, bleibt Yandex Ihnen gegenüber vollständig haftbar für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters.

6.5 Soweit Unternehmen, die Nebenleistungen für Yandex im Zusammenhang mit der Erbringung von Dienstleistungen erbringen, keine Unterauftragsverarbeiter sind, wird Yandex angemessene Anstrengungen unternehmen, um einen angemessenen vertraglichen Schutz gegenüber solchen Anbietern von Nebenleistungen in Bezug auf die Datensicherheit zu gewährleisten. Im Allgemeinen gilt dies für die Bereitstellung von Telekommunikationsleitungen, Strom, Kühlung, Wartung, Reinigung, Überprüfung oder Anmietung von Immobilien. Abschnitt 6.4 gilt entsprechend.

  1. STANDARDVERTRAGSKLAUSELN 7.1. Wenn Sie sich in einem Land befinden, das kein angemessenes Datenschutzniveau gemäß der DSGVO und/oder den Datenschutzgesetzen der Schweiz oder des Vereinigten Königreichs bietet, wird die Übermittlung personenbezogener Kundendaten von Yandex an Sie durch diesen Abschnitt geregelt.

Sie und Yandex (im Folgenden – Parteien) schließen hiermit die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021) (Modul vier) („SCC“).

7.2. Die Parteien stimmen zu, Klausel 7 (Docking-Klausel) in die SCC aufzunehmen.

7.3. Für die Zwecke von Klausel 17 der SCC wählen die Parteien Option 1 und legen fest, dass diese Klauseln dem Recht der Schweiz unterliegen.

7.4. Die Parteien vereinbaren, Klausel 18(b) der SCC wie folgt festzulegen:

Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten der Schweiz entschieden.

7.5. Der Begriff „Mitgliedstaat“, der in den SCC verwendet wird, wird von den Parteien nicht so ausgelegt, dass Daten-subjekte in der Schweiz von der Möglichkeit ausgeschlossen sind, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Klausel 18(c) der SCC einzuklagen.

7.6. Die Parteien vereinbaren, dass die SCC auch den Schutz der Daten juristischer Personen bis zum Inkrafttreten des überarbeiteten DSG gewährleisten.

7.7. Anhang I ist dieser DPA beigefügt.

  1. ÄNDERUNGEN DER DPA Yandex hat das Recht, diese DPA von Zeit zu Zeit zu ändern, und ist verpflichtet, Sie über wesentliche Änderungen dieser DPA zu informieren, es sei denn, die Änderungen sind notwendig, um den Anforderungen der geltenden Datenschutzgesetze zu entsprechen. Die Wesentlichkeit der Änderungen wird nach alleinigem Ermessen von Yandex bestimmt.

Anhang I

A. Liste der Parteien

Datenexporteur:

Name: Intertech Services AG Adresse: Werftestrasse 4, 6005 Luzern, Schweiz Name, Position und Kontaktdaten der Kontaktperson: Alfred Alexander De Cuba, Bevollmächtigter Vertreter, alexdecuba@yandex-team.ru Aktivitäten im Zusammenhang mit den gemäß diesen Klauseln übertragenen Daten: Erbringung von Yandex.Metriсa- und/oder AppMetrica-Diensten Unterschrift und Datum: N/A Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter Datenimporteur:

Name: Die relevante Partei zu den Nutzungsbedingungen von Yandex.Metrica Adresse: N/A Name, Position und Kontaktdaten der Kontaktperson: N/A Aktivitäten im Zusammenhang mit den gemäß diesen Klauseln übertragenen Daten: Erbringung von Yandex.Metriсa- und AppMetrica-Diensten Unterschrift und Datum: N/A Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher B. Beschreibung der Übertragung

Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden: Endnutzer des Datenimporteurs, deren Daten nach Ermessen des Datenimporteurs verarbeitet werden.

Kategorien personenbezogener Daten, die übertragen werden:

Personenbezogene Daten von Endnutzern: Daten über das Gerät, einschließlich der Version des Betriebssystems und des Standorts; anonymisierte IP-Adresse, Werbe-IDs GAID (für Android) und IDFA (für iOS), Informationen über das Nutzerverhalten in der mobilen Anwendung/Website des Datenimporteurs, andere Daten, die der Datenimporteur oder auf seine Initiative dem Datenexporteur zur Verfügung stellt.

Übertragene sensible Daten (falls zutreffend) und angewendete Einschränkungen oder Schutzmaßnahmen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugang nur für Mitarbeiter mit spezialisierter Schulung), Protokollierung des Zugriffs auf die Daten, Weitergabebeschränkungen oder zusätzliche Sicherheitsmaßnahmen: N/A.

Die Häufigkeit der Übertragung (z.B. ob die Daten einmalig oder kontinuierlich übertragen werden): Die Daten werden kontinuierlich übertragen.

Art der Verarbeitung: Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung und Vernichtung.

Zweck(e) der Datenübertragung und der weiteren Verarbeitung: Der Datenexporteur überträgt personenbezogene Daten an den Datenimporteur zum Zweck der Bereitstellung der Yandex.Metriсa- und/oder AppMetrica-Dienste gemäß den Nutzungsbedingungen von Yandex.Metrica.

Die Dauer, für die die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieser Dauer: Die Dauer der Bereitstellung der Yandex.Metriсa- und/oder AppMetrica-Dienste an den Datenimporteur zuzüglich der Zeit für die Löschung personenbezogener Daten gemäß den geltenden gesetzlichen Bestimmungen.

Für Übertragungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben: Der Datenexporteur führt alle erforderlichen Maßnahmen zur Bereitstellung der Yandex.Metriсa- und/oder AppMetrica-Dienste an den Datenimporteur durch. Der Datenimporteur verarbeitet die personenbezogenen Daten, bis die DPA und die Nutzungsbedingungen von Yandex.Metrica gültig sind und bis die Verarbeitung zur Bereitstellung der Yandex.Metriсa- und/oder AppMetrica-Dienste erforderlich ist.