Verizon Media DPA Annex 1 Part I (Co-Controllers)




ANNEX 1

 

PART I

 

THIS PART I OF ANNEX 1 SHALL APPLY WHERE THE SERVICES DESCRIPTION PAGE INDICATES THAT EACH PARTY IS A CONTROLLER

ANHANG 1

 

TEIL I

 

DIESER TEIL 1 VON ANHANG 1 FINDET ANWENDUNG, WENN GEMÄß DER LEISTUNGSBESCHREIBUNGS-SEITE JEDE PARTEI VERANTWORTLICHER IST

1.

Relationship of the Parties

Verhältnis der Parteien

1.1

Where it is indicated in the Services Description Page that each Party is a Controller, the Parties acknowledge that they are each a separate and independent Controller of the Personal Data which it discloses or receives under the Agreement for those Services. The Parties do not and will not Process Personal Data which it discloses or receives under the Agreement as joint controllers. Each Party shall be individually and separately responsible for complying with the obligations that apply to it as a Controller under Applicable Data Protection Law.

Ergibt sich aus der Leistungsbeschreibungsseite, dass jede Partei Verantwortlicher ist, erkennen die Parteien an, dass sie jeweils eigenständige und unabhängige Verantwortliche im Hinblick auf die Personenbezogenen Daten sind, die sie im Rahmen der Vereinbarung für diese Dienste offenlegen oder erhalten. Die Parteien Verarbeiten Personenbezogenen Datei, die sie gemäß der Vereinbarung offenlegen oder erhalten, nicht als gemeinsam für die Verarbeitung Verantwortliche. Jede Partei ist einzeln und gesondert für die Einhaltung der Verpflichtungen verantwortlich, die für sie als Verantwortliche nach dem Anwendbaren Datenschutzrecht gelten.

1.2

It is agreed that where either Party receives a request from a Data Subject in respect of Personal Data controlled by the other Party, where relevant, the Party receiving such request will direct the Data Subject to the other Party, as applicable, in order to enable the other Party to respond directly to the Data Subject’s request.

Erhält eine Partei eine Anfrage von einer Betroffenen Person im Hinblick auf Personenbezogene Daten, die von der anderen Partei verarbeitet werden, vereinbaren die Parteien, dass diejenige Partei, die eine solche Anfrage erhält, die Betroffene Person, soweit anwendbar, an die andere Partei verweisen wird, um es der anderen Partei zu ermöglichen, auf die Anfrage der Betroffenen Person unmittelbar zu antworten.

2.

Sharing of Personal Data

Austausch von Personenbezogenen Daten

2.1

In performing its obligations under the MSA, the Parties may provide Personal Data to the other Party. Each Party shall process Personal Data only for (i) the purposes set forth in the MSA or as (ii) otherwise agreed to in writing by the Parties, provided such processing strictly complies with (a) Applicable Data Protection Law, (b) Relevant Privacy Requirements and (c) its obligations under this Agreement (the “Permitted Purposes”).

Im Rahmen der Erfüllung ihrer Verpflichtungen gemäß MSA können sich die Parteien gegenseitig Personenbezogene Daten zur Verfügung stellen. Jede Partei darf Personenbezogene Daten nur für (i) die im MSA genannten Zwecke oder (ii) wie anderweitig zwischen den Parteien schriftlich vereinbart, verarbeiten, weiter vorausgesetzt, dass eine solche Verarbeitung unter strikter Beachtung (a) des Anwendbaren Datenschutzrechts, (b) der Einschlägigen Bestimmungen zum Schutz der Privatsphäre und (c) ihrer Verpflichtungen aus dieser Vereinbarung erfolgt („Erlaubte Zwecke“).

2.2

Each Party agrees to receive Personal Data from the other Party provided that the Party providing the Personal Data strictly complies with (i) Applicable Data Protection Law, (ii) Relevant Privacy Requirements and (iii) its obligations under this Agreement.

Jede Partei willigt ein, von der anderen Partei Personenbezogene Daten zu erhalten, sofern die Partei, die die Personenbezogenen Daten zur Verfügung stellt (i) Anwendbares Datenschutzrecht, (ii) Einschlägige Bestimmungen zum Schutz der Privatsphäre und (iii) ihre Verpflichtungen aus dieser Vereinbarung strikt einhält.

2.3

Unless otherwise agreed to in writing by the Parties, a Party shall not share any Personal Data with the other Party (i) that allows Data Subjects to be directly identified (for example by reference to their name and e-mail address); (ii) that contains any Special Categories of Personal Data, unless explicitly agreed in writing (including specified purposes) by the Data Subject or as permitted under Applicable Data Protection Law and/or; (iii) that contains Personal Data relating to children under 16 years old.

Soweit zwischen den Parteien nicht schriftlich anderes vereinbart, darf eine Partei mit der anderen Partei keine Personenbezogenen Daten austauschen, (i) die es ermöglichen, Betroffene Personen unmittelbar zu identifizieren (z.B. anhand ihres Namens oder ihrer E-Mail-Adresse); (ii) die Besondere Kategorien Personenbezogener Daten enthalten, es sei denn, die Betroffene Person hat ausdrücklich schriftlich eingewilligt (einschließlich festgelegter Zwecke) oder soweit durch Anwendbares Datenschutzrecht erlaubt und/oder (iii) die Personenbezogene Daten von Kindern unter 16 Jahren enthalten.

2.4

Each Party will Process Personal Data that is disclosed to it by the other Party only for the Permitted Purposes in accordance with the provisions of this Agreement, save that it may further Process Personal Data for secondary purposes that are not incompatible with the Permitted Purposes, or which is otherwise agreed to by the Parties in writing, provided that such further Processing complies with Applicable Data Protection Law(s).

Jede Partei Verarbeitet Personenbezogene Daten, die ihr von der anderen Partei offengelegt werden, nur für die Erlaubten Zwecke gemäß den Bestimmungen dieser Vereinbarung, mit der Ausnahme, dass sie Personenbezogene Daten auch zu sekundären Zwecken Verarbeiten darf,  sofern dies mit den Erlaubten Zwecken vereinbar ist, weiter vorausgesetzt, dass eine solche Verarbeitung in Übereinstimmung mit dem jeweils Anwendbaren Datenschutzrecht erfolgt.

2.5

The Parties will not disclose any Personal Data provided by the respective other party to any third party without prior written consent of the other Party except: (i) as permitted or required pursuant to the MSA and this Agreement; or (ii) where required by applicable law.

Die Parteien werden Personenbezogene Daten, die von der jeweils anderen Partei zur Verfügung gestellt wurden, ohne vorherige schriftliche Zustimmung der anderen Partei nicht gegenüber Dritten offenlegen, es sei denn (i) dies ist gemäß MSA und dieser Vereinbarung zulässig oder erforderlich; oder (ii) soweit dies nach geltendem Recht erforderlich ist.

3.

Privacy Obligations

Pflichten zum Schutz der Privatsphäre

3.1

Each Party shall maintain a publicly-accessible privacy policy on its mobile applications and websites that is available via a prominent link that satisfies transparency disclosure requirements of Applicable Data Protection Law.

Jede Partei hat eine öffentlich zugängliche Datenschutzerklärung für ihre mobilen Anwendungen sowie Websites vorzuhalten, die über einen auffälligen Link zugänglich ist und die die Transparenzanforderungen des Anwendbaren Datenschutzrechts erfüllt.

3.2

Each Party warrants and undertakes that it has provided Data Subjects with appropriate transparency regarding data collection and use and all required notices and has obtained any and all consents or permissions necessary under e-Privacy Law. Where a Party is the initial Controller as between itself and the Data Subject and it relies on consent as its legal basis to Process Personal Data, it shall ensure that it obtains a proper affirmative act of consent from Data Subjects in accordance with Applicable Data Protection Law and Relevant Privacy Requirements in order for itself and the other Party to Process such Personal Data as set out herein (including, where applicable, for Cross-App Advertising). Both Parties will cooperate in good faith in order to identify the information disclosure requirements and each Party hereby permits the other Party to identify it in the other Party’s privacy policy, and to provide a link to the other Party’s privacy policy in its privacy policy.

Die Parteien gewährleisten und verpflichten sich, den Betroffenen Personen angemessene Transparenz im Hinblick auf die Datenerhebung und -nutzung zu gewähren und sämtliche erforderlichen Benachrichtigungen vorzunehmen sowie sämtliche Einwilligungen oder Genehmigungen eingeholt zu haben, die nach dem E-Privacy-Recht erforderlich sind. Soweit eine Partei im Verhältnis zur Betroffenen Person die Erst-Verantwortliche ist und sich auf die Einwilligung als Rechtsgrundlage für die Verarbeitung Personenbezogener Daten stützt, stellt diese sicher, dass sie eine ausdrückliche  zustimmende Einwilligung der Betroffenen Person in Übereistimmung mit Anwendbarem Datenschutzrecht und den Einschlägigen Bestimmungen zum Schutz der Privatsphäre einholt, damit beide Parteien die Personenbezogenen Daten wie hierin dargelegt, Verarbeiten können (einschließlich für etwaige Cross-App Werbung). Beide Parteien werden redlich zusammenarbeiten, um die Informationspflichten zu identifizieren, wobei jede Partei es der anderen Partei gestattet, diese in der Datenschutzerklärung der jeweils anderen Partei zu ermitteln und eine Verlinkung zur Datenschutzerklärung der anderen Partei einzufügen.

4.

Technical and Organisational Measures

Yahoo and Company shall implement appropriate technical and organisational measures to protect the Personal Data. In the event that Yahoo or Company suffer a confirmed Security Incident, each Party shall notify the other Party without undue delay and the Parties shall cooperate in good faith to agree and action such measures as may be necessary to mitigate or remedy the effects of the Security Incident.

Technische und organisatorische Maßnahmen

Yahoo und die Gesellschaft haben angemessene technische und organisatorische Maßnahmen zu implementieren, um die Personenbezogenen Daten zu schützen. Sollten Yahoo oder die Gesellschaft einen bestätigten Sicherheitsvorfall erleiden, hat jede Partei die andere Partei hierüber unverzüglich zu unterrichten und die Parteien werden redlich zusammenarbeiten, um Maßnahmen abzustimmen und durchzuführen, die erforderlich sind, um die Folgen des Sicherheitsvorfalls zu verringern oder zu beseitigen.

5.

Third Party Data Processors

Each Party acknowledges that in the provision of some Services, it may transfer Personal Data to and otherwise interact with third party data processors. Each Party agrees that if and to the extent such transfers occur, the transferring Party is responsible for entering into separate contractual arrangements with such third party data processors binding them to comply with obligations in accordance with Applicable Data Protection Law. For the avoidance of doubt, such third party data processors are not Subprocessors.

Externe Auftragsverarbeiter

Jede Partei erkennt an, dass sie bei der Bereitstellung bestimmter Dienste Personenbezogene Daten an externe Auftragsverarbeiter übermitteln und auch anderweitig mit diesen interagieren kann. Wenn und soweit solche Übermittlungen stattfinden, verpflichtet sich die übermittelnde Partei zum Abschluss separater Vereinbarungen mit den entsprechenden externen Auftragsverarbeitern, die diese verpflichten, die Verpflichtungen gemäß Anwendbarem Datenschutzrecht einzuhalten.

6.

Limitation on Liability & Insurance

Haftungsbeschränkungen & Versicherung

6.1

In no event shall either Party’s total liability to the other Party under this Annex 1 Part I exceed € 5,000,000.00.

Die Parteien haften einander gemäß diesem Anhang I Teil 1 mit einem Gesamtbetrag von höchstens € 5.000.000,00.

6.2

Each Party shall take out and maintain insurance policies to the value sufficient to meet their respective liabilities under or in connection with this Agreement. Upon a Party's request, the other Party will provide evidence that such insurance is in place.

Jede Partei verpflichtet sich, Versicherungen in ausreichendem Umfang abzuschließen und zu unterhalten, um ihren jeweiligen Verpflichtungen aus oder im Zusammenhang mit dieser Vereinbarung nachzukommen. Auf Verlangen einer Partei wird die andere Partei einen Nachweis über das Bestehen einer solchen Versicherung erbringen.

 

 



SCHEDULE A

 

ANNEX B

 

DESCRIPTION OF THE TRANSFER

(CONTROLLER TO CONTROLLER)

ANHANG A

 

ANNEX B

 

BESCHREIBUNG DER ÜBERMITTLUNG

(ZWISCHEN VERANTWORTLICHEN)

Data Subjects

Betroffene Personen

The Personal Data transferred concerns the following category of data subjects:

Die übermittelten Personenbezogenen Daten betreffen die folgenden Kategorien betroffener Personen:

  • end users of Services provided by an establishment of Yahoo or an Yahoo Affiliate and Company or a Company Affiliate in the EEA; or

  • Endnutzer von Diensten, die von einer Einrichtung von Yahoo oder einem mit Yahoo Verbundenen Unternehmen und der Gesellschaft oder einem Verbundenen Unternehmen der Gesellschaft im EWR erbracht werden, oder

  • end users in the EEA of Services provided by Yahoo or an Yahoo Affiliate or Company or a Company Affiliate.

  • Endnutzer im EWR von Diensten, die von Yahoo oder einem mit Yahoo verbundenen Unternehmen oder der Gesellschaft oder einem Verbundenen Unternehmen der Gesellschaft erbracht werden.

Categories of data

Kategorien von Daten

The Personal Data transferred is:

Bei den übermittelten Personenbezogenen Daten handelt es sich um:

  • the Personal Data provided by the data exporter to the data importer in connection with its use of the Services.

  • die vom Datenexporteur an den Datenimporteur übermittelten Personenbezogenen Daten im Zusammenhang mit der Verwendung der Dienste.

Special categories of data

Besondere Kategorien von Daten

N/A

N/A

Purposes of the transfer(s)

Zwecke der Übermittlung(en)

  • The transfer is intended to enable the data importer to determine the purposes and means of the processing of Personal Data obtained through data exporter’s products to support the sales, recruiting, marketing, educational, or other business practices of the data importer or to facilitate advertising to Data Subjects.

  • Die Übermittlung soll es dem Datenimporteur ermöglichen, die Zwecke und Mittel der Verarbeitung Personenbezogener Daten, die mittels Produkten des Datenexporteures erlangt wurden, zu bestimmen, um die Vertriebs-, Recruiting-, Marketing-, Bildungs- oder sonstige Geschäftspraktiken des Datenimporteurs zu optimieren oder die Werbung gegenüber Betroffenen Personen zu verbessern.

Recipients

Empfänger

The Personal Data may be disclosed only to the following recipients or categories of recipients depending on the Services:

Die Personenbezogenen Daten dürfen nur an die folgenden Kategorien von Empfängern, in Abhängigkeit von den Diensten, weitergegeben werden:

  • third parties that have, or may have, a commercial relationship with the data exporter (e.g., buyers, sellers, advertisers, customers, corporate contractors); who have a legitimate business purpose for the processing of such Personal Data and who have been bound to comply with Relevant Privacy Requirements, Applicable Data Protection Laws and other data protection obligations at least as strict as those found in this Agreement;

  • Dritte, die mit dem Datenexporteur in einer Geschäftsbeziehung stehen oder stehen könnten (z.B. Käufer, Verkäufer, Werbetreibende, Kunden, Auftragnehmer); die einen legitimen Geschäftszweck für die Verarbeitung solcher Personenbezogenen Daten haben und verpflichtet worden sind, Einschlägige Bestimmungen zum Schutz der Privatsphäre, Anwendbares Datenschutzrecht sowie andere Datenschutzverpflichtungen einzuhalten, die mindestens so streng sind wie solche in dieser Vereinbarung;

  • personnel of the data importer who are involved in sales, business operations or other customer relationship management activities (for example, customer’s business email address may be provided to the sales team to enable them to contact him or her) provided they have been bound to comply with relevant Relevant Privacy Requirements, Applicable Data Protection Laws and other data protection obligations at least as strict as those found in this Agreement with regard to the type of data involved;

  • Mitarbeiter des Datenimporteurs, die am Vertrieb, an Geschäftsvorgängen oder anderen Managementaktivitäten im Zusammenhang mit Kundenbeziehungen beteiligt sind (z.B. die Geschäfts-E-Mail des Kunden darf dem Vertriebsteam zur Verfügung gestellt werden, um mit diesem/dieser Kontakt aufzunehmen), sofern sie dazu verpflichtet worden sind, in Bezug auf die Art der betroffenen Daten die Einschlägigen Bestimmungen zum Schutz der Privatsphäre, das Anwendbare Datenschutzrecht sowie andere Datenschutzverpflichtungen einzuhalten, die mindestens so streng sind wie solche in dieser Vereinbarung;

  • third party service providers (such as CRM database administrators and IT systems and hosting service providers) who have been bound to comply with Relevant Privacy Requirements, Applicable Data Protection Laws and other data protections terms at least as strict as those found in this Agreement, including all technical security, data integrity and audit obligations relevant to the system(s) involved;

  • Drittanbieter (z.B. CRM-Datenbankadministratoren, IT Systeme und Hosting-Dienstanbieter), die verpflichtet worden sind, Einschlägige Bestimmungen zum Schutz der Privatsphäre, Anwendbares Datenschutzrecht sowie andere Datenschutzverpflichtungen einzuhalten, die mindestens so streng sind wie solche in dieser Vereinbarung, einschließlich aller technischen Sicherheits-, Datenintegritäts- und Auditverpflichtungen, die für das/die betroffene(n) System(e) relevant sind;

  • law enforcement or government authorities where necessary to comply with applicable law, to address criminal acts that have been or are committed, or to respond to lawful process or discovery requests provided that the recipient of such a request shall, to the extent legally permissible, promptly advise the other Party of the request;

  • Strafverfolgungs- oder Aufsichtsbehörden, wenn dies erforderlich ist, um geltendem Recht nachzukommen, begangene oder andauernde strafbare Handlungen zu untersuchen, auf gerichtliche Verfügungen oder Ermittlungsanträge zu reagieren, vorausgesetzt, dass der Empfänger eines solchen Ersuchens die andere Partei, soweit gesetzlich zulässig, unverzüglich hierüber informiert;

  • those recipients as necessary to respond to an emergency that poses a threat of harm to safety of a user or other individuals, or otherwise as necessary to protect the rights or property of Yahoo and Company, its data subjects and the importer provided however, that such disclosure shall be terminated immediately after the emergency has passed; and

  • solchen Empfängern, soweit erforderlich, um auf eine Notsituation zu reagieren, bei der die Sicherheit eines Nutzers oder anderer Personen gefährdet ist oder soweit sonst erforderlich, um die Rechte oder das Eigentum von Yahoo oder der Gesellschaft, der Betroffenen Personen und des Importeurs zu schützen, weiter vorausgesetzt, dass eine solche Offenlegung nach Beendigung der Notsituation unverzüglich eingestellt wird; und

  • legal counsel or other advisors subject to appropriate non-disclosure agreements or obligations.

  • Rechtsbeiständen und anderen Beratern, die angemessenen Geheimhaltungsvereinbarungen oder -verpflichtungen unterliegen.

Data protection registration information of a data exporter (where applicable)

Datenschutz-Registrierungsinformationen des Datenexporteurs (soweit anwendbar)

N/A

N/A

Additional useful information (storage limits and other relevant information):

Weitere nützliche Informationen (Begrenzungen der Speicherung und andere relevante Informationen):

The Personal Data transferred between the Parties may only be retained for the period of time permitted under this Agreement and the MSA. The Parties agree that each Party will, to the extent that it, along with the other party, acts as a data controller with respect to Personal Data, reasonably cooperate with the other Party to enable the exercise of data protection rights as set forth in the Applicable Data Protection Law.

Die zwischen den Parteien übermittelten Personenbezogenen Daten dürfen nur für den gemäß dieser Vereinbarung dem MSA zulässigen Zeitraum aufbewahrt werden. Die Parteien vereinbaren, dass jede Partei in dem Maße, in dem sie zusammen mit der anderen Partei in Bezug auf Personenbezogene Daten als für die Verarbeitung Verantwortlicher handelt, in angemessener Weise mit der anderen Partei kooperiert, um die Ausübung von Datenschutzrechten gemäß Anwendbarem Datenschutzrecht zu ermöglichen.