DPA Annex 1 Part III (Yahoo as a Processor)
|
THIS PART III OF ANNEX 1 SHALL APPLY WHERE THE SERVICES DESCRIPTION PAGE INDICATES THAT YAHOO IS COMPANY’S PROCESSOR OR SUBPROCESSOR (THE “YAHOO PROCESSOR SERVICES”) |
DIESER TEIL III VON ANNEX 1 FINDET ANWENDUNG, WENN YAHOO GEMÄSS LEISTUNGSBESCHREIBUNGSSEITE ALS AUFTRAGSVERARBEITER ODER UNTERAUFTRAGSVERARBEITER TÄTIG WIRD (DIE „YAHOO AUFTRAGSVERARBEITUNGSLEISTUNGEN“) |
|
|
1. |
Relationship of the Parties |
Verhältnis der Parteien |
|
1.1 |
In relation to all Company Data, Yahoo acknowledges that, as between the Parties, Company is either (a) the Controller of Company Data, and that Yahoo, in providing or using the Services is acting as a Processor on behalf of the Controller; (b) or Company is a Processor of Company Data, and that Yahoo, in providing or using the Services is acting as a Subprocessor on behalf of Company. “Company Data” means any and all Personal Data (as that term is defined in EU Data Protection Law) that is processed by Yahoo or its subprocessors on behalf of Company in the performance of the Yahoo Processor Services and its other obligations under the MSA. |
Yahoo bestätigt, dass die Gesellschaft im Innenverhältnis im Hinblick auf sämtliche Daten der Gesellschaft entweder (a) Verantwortlicher für die Daten der Gesellschaft ist und Yahoo durch das Erbringen oder Nutzen der Leistungen als Auftragsverarbeiter im Auftrag der Gesellschaft handelt; (b) oder die Gesellschaft Auftragsverarbeiter für die Daten der Gesellschaft ist und Yahoo durch das Erbringen oder Nutzen der Leistungen als Unterauftragsverarbeiter im Auftrag der Gesellschaft handelt. „Daten der Gesellschaft“ bedeutet sämtliche Personenbezogenen Daten (wie im EU-Datenschutzrecht definiert), die von Yahoo oder den Unterauftragsverarbeitern von Yahoo im Auftrag der Gesellschaft im Rahmen der Yahoo Auftragsverarbeitungsleistungen und anderer auf Grundlage des MSA von Yahoo zu erbringenden Leistungen verarbeitet werden. |
|
1.2 |
The subject-matter and duration of the Processing carried out by the Processor on behalf of the Controller, the nature and purpose of the Processing, the type of Personal Data and categories of Data Subjects are described in Exhibit 1 to this Annex 1 Part III. |
Gegenstand und Dauer der Verarbeitung durch den Auftragsverarbeiter im Auftrag des Verantwortlichen, Art und Zweck der Verarbeitung, Art der Personenbezogenen Daten und Kategorien von Betroffenen Personen sind in Anlage 1 dieses Annexes 1 Teil III beschrieben. |
|
1.3 |
Company represents and warrants that: (a) its Processing instructions comply with all Applicable Data Protection Laws; and (b) it has obtained and maintains all legally required notices, consents and permissions for the Processing and transfer of all Personal Data provided to Yahoo. Company acknowledges that, taking into account the nature of the Processing, Yahoo is not in a position to determine whether Company’s instructions infringe Applicable Data Protection Laws. |
Die Gesellschaft gewährleistet und steht dafür ein, dass (a) ihre Weisungen im Hinblick auf die Verarbeitungen sämtlichen Vorgaben des Anwendbaren Datenschutzrechts entsprechen und (b) ihr alle gesetzlich erforderlichen Erlaubnisse, Zustimmungen und Genehmigungen für die Verarbeitung und die Übermittlung der Yahoo zur Verfügung gestellten Personenbezogenen Daten erteilt wurden und diese nach wie vor bestehen. Die Gesellschaft bestätigt, dass Yahoo angesichts der Art der Verarbeitung nicht in der Lage ist, zu beurteilen, ob die Weisungen der Gesellschaft gegen Anwendbares Datenschutzrecht verstoßen. |
|
2. |
Protection of Personal Data |
Schutz Personenbezogener Daten |
|
2.1 |
In respect of the Processing of Personal Data by Yahoo in connection with the Yahoo Processor Services where EU Data Protection Law applies, Yahoo is responsible for and shall comply with Applicable Data Protection Law and agrees that it shall: |
Im Hinblick auf die Verarbeitung Personenbezogener Daten durch Yahoo im Zusammenhang mit den Yahoo Auftragsverarbeitungsleistungen ist Yahoo dafür verantwortlich, dass das Anwendbare Datenschutzrecht befolgt wird, wenn EU-Datenschutzrecht anwendbar ist. Yahoo verpflichtet sich: |
|
(a) |
process the Company Data only on written instructions from Company (which may, in particular, be given electronically or through the functionality of the Services), including with regard to transfers of Personal Data to a third country or an international organisation, unless required to do so by European Union or Member State law to which Yahoo is subject; in such a case, Yahoo shall inform Company of that legal requirement before Processing, unless that law prohibits such information on important grounds of public interest; |
die Daten der Gesellschaft nur auf Grundlage schriftlicher Weisungen der Gesellschaft zu verarbeiten (die insbesondere auf elektronischem Wege oder durch die Funktionalität der Leistungen erteilt werden kann), auch in Bezug auf die Übermittlung Personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern Yahoo nicht durch das Recht der Union oder der Mitgliedstaaten, dem Yahoo unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt Yahoo der Gesellschaft diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; |
|
(b) |
implement and maintain the technical and organisational measures set out in Exhibit 3 and take all measures required pursuant to Article 32 of the GDPR including all organisational and technical security measures necessary to protect against unauthorised or accidental access, loss, alteration, disclosure or destruction of Company Data, in particular where the Processing involves the transmission of data over a network, and against all other unlawful forms of Processing; |
die in Anlage 3 aufgeführten technischen und organisatorischen Maßnahmen umzusetzen und aufrecht zu erhalten und alle Maßnahmen zu ergreifen, die nach Art. 32 der DSGV erforderlich sind, einschließlich aller organisatorischer und technischer Maßnahmen zum Schutz gegen unrechtmäßigen oder unbeabsichtigten Zugang, Verlust, Veränderung, Offenlegung oder Zerstörung von Daten der Gesellschaft, insbesondere in Fällen, in denen die Verarbeitung die Übermittlung von Daten in einem Netzwerk erfordert, sowie gegen alle sonstigen Arten der rechtswidrigen Verarbeitung; |
|
(c) |
treat all Company Data processed by it on behalf of Company as confidential and ensure that persons authorised to Process the Personal Data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality, even after the end of their employment contract or at the end of their assignment or engagement; |
sämtliche von ihr im Auftrag der Gesellschaft verarbeitete Daten der Gesellschaft vertraulich zu behandeln und sicherzustellen, dass die Personen, die für die Verarbeitung der Personenbezogenen Daten zuständig sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen, und diese auch nach dem Ende ihres Anstellungsvertrages, Auftrages oder Einsatzes gilt; |
|
(d) |
cooperate as reasonably requested by Company and implement appropriate technical and organisational measures to enable Company to comply with any exercise of rights by a Data Subject under Applicable Data Protection Law in respect of Personal Data processed by Yahoo under the MSA (including, without limitation, in relation to the retrieval and/or deletion of a Data Subject’s Personal Data); |
mit der Gesellschaft auf Verlangen angemessen zusammenzuwirken und geeignete technische und organisatorische Maßnahmen umzusetzen, damit die Gesellschaft in der Lage ist, die ihr obliegenden Pflichten zu erfüllen, wenn Betroffene Personen die ihnen nach dem Anwendbaren Datenschutzrecht zustehenden Rechte im Hinblick auf Personenbezogene Daten ausüben, die Yahoo im Rahmen des MSA verarbeitet (insbesondere im Hinblick auf das Auslesen und/oder das Löschen von Personenbezogenen Daten einer Betroffenen Person); |
|
(e) |
without prejudice to Section 3 of the Terms and Conditions (International Transfers) of this Agreement, not access or transfer outside the European Economic Area (“EEA”) any Personal Data without the prior written consent of Company unless in accordance with EU Data Protection Law; |
unbeschadet Ziffer 3 der Allgemeinen Geschäftsbedingungen (Internationale Datenübermittlungen) dieser Vereinbarung nicht ohne vorherige schriftliche Genehmigung der Gesellschaft Personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums („EWR“) zu übermitteln oder dort auf diese zuzugreifen, es sei denn, dies geschieht in Übereinstimmung mit EU-Datenschutzrecht; |
|
(f) |
provide (at no additional cost to Company) Company with all resources and assistance as are reasonably required by Company in connection with the Services performed by Yahoo under the MSA for Company to discharge its duties pursuant to Articles 32 to 36 of the GDPR including, but not limited to, promptly at the request of Company provide information in respect of any data protection impact assessment which Company conducts and assist Company with any prior consultations with any supervisory authority; |
die Gesellschaft (ohne zusätzliche Kosten für die Gesellschaft) angemessen zu unterstützen und ihr die Mittel zur Verfügung zu stellen, die sie im Zusammenhang mit der Erbringung der Leistungen durch Yahoo auf Grundlage des MSA angemessenerweise benötigt, um ihre Pflichten gemäß Artikel 32 bis 36 der DSGV zu erfüllen, insbesondere auf Anfrage der Gesellschaft dieser zeitnah Informationen für die Durchführung von Datenschutz-Folgenabschätzungen durch die Gesellschaft zur Verfügung zu stellen und die Gesellschaft bei vorher stattfindenden Beratungen mit Aufsichtsbehörden zu unterstützen; |
|
(g) |
at the choice of Company, delete or return all the Company Data to Company after the end of the provision of the Yahoo Processor Services, and delete existing copies unless European Union or Member State law requires storage of the Company Data; |
nach Wahl der Gesellschaft nach Beendigung der Yahoo Auftragsverarbeitungsleistungen die Daten der Gesellschaft zu löschen oder der Gesellschaft zurückzugeben und vorhandene Kopien zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten der Gesellschaft besteht; |
|
(h) |
make available to Company at its request all information necessary to demonstrate compliance with the obligations laid down in this Agreement and Article 28 of the GDPR including without limitation a detailed written description of the technical and organisational methods employed by Yahoo and its Subprocessors (if any) for the Processing of Personal Data; and |
der Gesellschaft auf Verlangen sämtliche Informationen zur Verfügung zu stellen, damit diese die Übereinstimmung mit den Verpflichtungen nach dieser Vereinbarung und Artikel 28 der DSGV nachweisen kann, insbesondere eine ausführliche schriftliche Beschreibung der von Yahoo und ihren Unterauftragsverarbeitern (soweit vorhanden) eingesetzten technischen und organisatorischen Maßnahmen für die Verarbeitung Personenbezogener Daten; und |
|
(i) |
immediately inform the Controller if, in the Processor’s opinion, an instruction from the Controller infringes Applicable Data Protection Law. |
umgehend den Verantwortlichen zu informieren, wenn aus Sicht des Auftragsverarbeiters eine Weisung des Verantwortlichen gegen Anwendbares Datenschutzrecht verstößt. |
|
2.2 |
Company may exercise its audit right under the Applicable Data Protection Laws in relation to Company Data through a request that Yahoo initially provide Company with a summary copy of Yahoo’s audit report(s) related to Yahoo’s technical and organizational security measures. For the avoidance of doubt, such reports shall be subject to the confidentiality provisions of the MSA. If following Yahoo’s delivery of such reports, Company wishes further information necessary for Yahoo to demonstrate its compliance with its security obligations herein, then Yahoo agrees at the request of Company to submit its data processing facilities (including all equipment, documents and electronic data relating to the Processing of Company Data) and/or any location from which Company Data can be accessed by Processor for audit to ascertain and/or monitor compliance with this Agreement and Applicable Data Protection Law. Such audit shall be carried out, with reasonable notice and during regular business hours and under a duty of confidentiality, by Company and/or by a third party appointed by Company. |
Die Gesellschaft kann das ihr nach dem Anwendbaren Datenschutzrecht zustehende Überprüfungsrecht im Hinblick auf die Daten der Gesellschaft auf die Weise ausüben, dass sie von Yahoo zunächst eine Zusammenfassung des Prüfungsberichts/der Prüfungsberichte von Yahoo zu den technischen und organisatorischen Maßnahmen verlangt. Zur Klarstellung wird darauf hingewiesen, dass diese Prüfungsberichte unter die Vertraulichkeitsklausel des MSA fallen. Wünscht die Gesellschaft nach Übergabe der Berichte durch Yahoo weitere Informationen dazu, dass Yahoo die in dieser Vereinbarung niedergelegten Sicherungspflichten befolgt, wird Yahoo auf Verlangen der Gesellschaft ihre Datenverarbeitungseinrichtungen zugänglich machen (einschließlich sämtlicher Betriebsmittel, Dokumente und elektronischer Daten, die mit der Auftragsverarbeitung der Daten der Gesellschaft in Verbindung stehen) und/oder jeden Standort, von dem aus der Auftragsverarbeiter Zugriff auf die Daten der Gesellschaft hat, damit überprüft und kontrolliert werden kann, dass diese Vereinbarung und das Anwendbare Datenschutzrecht befolgt wird. Eine solche Überprüfung hat nach einer angemessenen Ankündigung und während der üblichen Geschäftszeiten stattzufinden und unterliegt der Geheimhaltung. Dies gilt sowohl für die Gesellschaft, als auch für Dritte, die die Überprüfung für die Gesellschaft durchführen. |
|
3. |
Notification of Security Incident |
Mitteilung von Sicherheitsvorfällen |
|
3.1 |
Yahoo will notify Company without undue delay (and, in any event within forty-eight (48) hours) upon becoming aware that an actual Security Incident involving the Company Data in Yahoo’s possession or control has occurred, as Yahoo determines in its sole discretion. Yahoo’s notification of or response to a Security Incident under this Section 3 (Notification of Security Incident) shall not be construed as an acknowledgment by Yahoo of any fault or liability with respect to the Security Incident. |
Wenn Yahoo Kenntnis vom Eintritt eines Sicherheitsvorfalls erlangt, bei dem Daten der Gesellschaft betroffen sind, die sich im Besitz oder unter der Kontrolle von Yahoo befinden, so wird Yahoo dies der Gesellschaft ohne schuldhaftes Zögern (und in jedem Fall innerhalb von achtundvierzig (48) Stunden) anzeigen. Die Anzeige oder Reaktion von Yahoo auf einen Sicherheitsvorfall nach dieser Ziffer 3 (Anzeige Sicherheitsvorfall) gilt nicht als Schuldeingeständnis von Yahoo im Hinblick auf den Sicherheitsvorfall. |
|
3.2 |
Yahoo will, as soon as reasonably possible, provide Company with at least the following information with respect to the Security Incident affecting Company Data: (i) a description of the cause and nature of the Security Incident including the categories and approximate numbers of Data Subjects (including the number of Company Data Subjects) concerned and the categories and approximate number of Personal Data records concerned; (ii) the measures being taken to contain, investigate and remediate the Security Incident; (iii) the likely consequences and risks for Company and its Data Subjects as a result of the Security Incident; (iv) any mitigating actions taken; and (v) a proposed plan to mitigate any risks for Data Subjects and/or Company as a result of the Security Incident. |
Yahoo wird der Gesellschaft sobald wie möglich mindestens die folgenden Informationen zu dem Sicherheitsvorfall zur Verfügung stellen, wenn dieser die Daten der Gesellschaft betrifft: (i) Beschreibung des Grundes und der Art des Sicherheitsvorfalls einschließlich der Kategorien und der ungefähren Zahl von Betroffenen Personen (einschließlich der Zahl von Betroffenen Personen der Gesellschaft) und der Kategorien und der ungefähren Zahl von betroffenen Datensätzen mit Personenbezogenen Daten; (ii) Maßnahmen, die ergriffen werden, um den Sicherheitsvorfall einzudämmen, zu beseitigen und zu untersuchen; (iii) die wahrscheinlichen Auswirkungen und Risiken des Sicherheitsvorfalls für die Gesellschaft und ihre Betroffenen Personen; (iv) getroffene Maßnahmen zur Schadensminderung; und (v) geplantes Vorgehen, um die aus dem Sicherheitsvorfall resultierenden Risiken für die Betroffenen Personen und/oder die Gesellschaft zu minimieren. |
|
3.3 |
Yahoo will, in connection with any Security Incident affecting Company Data: (i) quickly and without delay, take such steps as are necessary to contain, remediate, minimise any effects of and investigate any Security Incident (and without destroying any evidence) and to identify its cause (ii) co-operate with Company and provide Company with such assistance and information as it may reasonably require in connection with the containment, investigation, remediation and/or mitigation of the Security Incident; and (iii) immediately notify Company in writing of any request, inspection, audit or investigation by a supervisory authority or other authority. |
Yahoo wird im Zusammenhang mit einem Sicherheitsvorfall, der die Daten der Gesellschaft betrifft: (i) schnellstmöglich und ohne Verzögerung die erforderlichen Maßnahmen ergreifen, um den Sicherheitsvorfall einzudämmen, zu beseitigen und seine Auswirkungen zu minimieren, diesen zu untersuchen (jedoch ohne dabei Beweise zu zerstören) und seinen Grund festzustellen; (ii) mit der Gesellschaft kooperieren, sie unterstützen und ihr solche Informationen zukommen zu lassen, die sie für die Eindämmung, Untersuchung, Beseitigung und/oder Minimierung des Sicherheitsvorfalls angemessenerweise benötigt und (iii) jede Anfrage, Untersuchung, Überprüfung oder Ermittlung einer Aufsichtsbehörde oder einer anderen Behörde der Gesellschaft unmittelbar schriftlich anzeigen. |
|
3.4 |
Yahoo agrees that it will not communicate with any third party, including but not limited to the media, vendors, consumers and affected individuals regarding any Security Incident involving Company Data without the express written consent and direction of Company. |
Yahoo wird Sicherheitsvorfälle, die die Daten der Gesellschaft betreffen, nicht ohne die ausdrückliche schriftliche Zustimmung und entsprechende Anweisung der Gesellschaft gegenüber Dritten, insbesondere Medien, Verkäufern, Konsumenten und betroffenen Individuen, kommunizieren. |
|
4. |
Subprocessing |
Unterauftragsverarbeitung |
|
4.1 |
Yahoo may, subject to compliance with Section 4.2, continue to use those Subprocessors already engaged by Yahoo and as identified to Company prior to commencement of the Agreement to process any Company Data. Yahoo may, subject to compliance with Section 4.2, engage an additional or replace an existing Subprocessor to process Personal Data provided that it notifies Company of any intended use or replacement of a Subprocessor by email to emea-legal@yahooinc.com (“email notification”) thirty (30) days in advance of, as applicable, the engagement or replacement of the Subprocessor concerned, unless Company objects in writing to the proposed use or replacement of the relevant Subprocessor within thirty (30) days of receipt of the email notification (in which case Yahoo shall not, as applicable, use or replace the Subprocessor concerned). |
Vorbehaltlich Ziffer 4.2 ist Yahoo berechtigt, die bereits vor Abschluss dieser Vereinbarung beauftragten und gegenüber der Gesellschaft identifizierten Subauftragsverarbeiter weiterhin bei der Datenverarbeitung einzusetzen. Vorbehaltlich Ziffer 4.2 ist Yahoo berechtigt, zusätzliche Unterauftragsverarbeiter mit der Verarbeitung von Personenbezogenen Daten zu beauftragen oder existierende Unterauftragsbearbeiter auszuwechseln, wenn Yahoo der Gesellschaft die beabsichtigte Beauftragung oder Auswechslung von Unterauftragsverarbeitern dreißig (30) Tage vor der Beauftragung bzw. Auswechslung des betroffenen Unterauftragsverarbeiters per E-Mail an emea-legal@yahooinc.com („E-Mail-Anzeige“) anzeigt und die Gesellschaft der vorgeschlagenen Beauftragung oder Auswechslung des jeweiligen Unterauftragsverarbeiters nicht innerhalb von dreißig (30) Tagen ab Empfang der E-Mail-Anzeige schriftlich widerspricht (in diesem Fall wird Yahoo den Unterauftragsverarbeiter nicht beauftragen bzw. auswechseln). |
|
4.2 |
Yahoo shall, where it engages any Subprocessor in accordance with Section 4.1: (i) only use a Subprocessor that has provided sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of the GDPR and the Agreement and ensure the protection of the rights of Data Subjects; and (ii) impose, through a legally binding contract between Yahoo and Subprocessor, data protection obligations no less onerous than those set out in the Agreement (including those that apply pursuant to the Controller to Processor Standard Clauses) on the Subprocessor, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of the GDPR. Yahoo acknowledges and agrees that if any Subprocessor fails to fulfil its obligations in the contract between Yahoo and Subprocessor, Yahoo shall remain fully liable to Company for the performance of the Subprocessor’s obligations. |
Bei der Beauftragung von Unterauftragsverarbeitern gemäß Ziffer 4.1 ist Yahoo dazu verpflichtet: (i) nur solche Unterauftragsverarbeiter zu beauftragen, die in ausreichender Weise dafür garantieren, dass sie geeignete technische und organisatorische Maßnahmen umsetzen, um bei der Verarbeitung die Voraussetzungen der DSGV und der Vereinbarung einzuhalten und den Schutz der Rechte der Betroffenen Personen sicherzustellen; und (ii) durch einen bindenden Vertrag zwischen Yahoo und dem Unterauftragsverarbeiter diesem Verpflichtungen zum Datenschutz aufzuerlegen, die denen in dieser Vereinbarung entsprechen (einschließlich der Verpflichtungen gemäß der Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern), insbesondere ausreichende Garantien zur Umsetzung von technischen und organisatorischen Maßnahmen zur Einhaltung der Vorgaben der DSGV vorzusehen. Yahoo bestätigt und erkennt an, dass Yahoo gegenüber der Gesellschaft vollumfänglich für die Erfüllung der Pflichten des Unterauftragsverarbeiters haftet, wenn dieser gegen den Vertrag zwischen ihm und Yahoo verstoßen sollte. |
|
5. |
Liability and Payment of Compensation Without prejudice to the provisions of the MSA, Yahoo shall defend, indemnify and hold Company harmless and keep Company indemnified, on demand from and against any and all damages (including non-material damage) incurred by Company as a result of Yahoo’s and/or its employees or representatives unauthorised and/or unlawful Processing, or accidental loss, disclosure, destruction or damage to any Company Data obtained from (or held by Yahoo or its personnel on behalf of) Company, save where such loss, disclosure, destruction or damage was carried out or incurred at the Company’s request. Yahoo shall be liable for and shall indemnify Company and its employees and agents from and against all damages (including non-material damage) which Company may suffer consequent upon breach of Applicable Data Protection Law, recklessness or wilful default of Yahoo, its employees or agents. In no event shall Yahoo’s total liability to Company under this Annex 1 Part III exceed € 5,000,000.00. |
Haftung und Zahlung von Schadenersatz Unbeschadet der Regelungen des MSA hat Yahoo die Gesellschaft auf Anforderung von allen Schäden (einschließlich immaterieller Schäden) schadlos zu halten und freizustellen, wenn der Gesellschaft diese Schäden infolge unberechtigter und/oder rechtswidriger Verarbeitung, unbeabsichtigten Verlusts, Offenlegung, Zerstörung oder Beschädigung von Daten der Gesellschaft durch Yahoo und/oder Angestellte oder Vertreter von Yahoo entstanden sind, es sei denn, der Verlust, die Offenlegung, die Zerstörung oder die Beschädigung erfolgte auf Verlangen der Gesellschaft. Yahoo haftet der Gesellschaft und den Angestellten der Gesellschaft und ihren Beauftragten für alle Schäden (einschließlich immaterieller Schäden), die die Gesellschaft aufgrund eines fahrlässigen oder vorsätzlichen Verstoßes gegen Anwendbares Datenschutzrecht durch Yahoo, den Angestellten oder Beauftragten von Yahoo erleidet. Die Haftung von Yahoo gegenüber der Gesellschaft nach diesem Annex 1 Teil III ist jedoch in jedem Fall auf die Summe von € 5.000.000,00 begrenzt. |
|
|
|
||
|
|
|
||
|
Subject Matter
Gegenstand |
Processing carried out in connection with the provision of the Services (as defined in the MSA). |
||
|
Verarbeitung im Zusammenhang mit der Erbringung von Leistungen (wie im MSA definiert). |
|||
|
Duration
Dauer |
The Term plus the period from the expiration of the Term until deletion of Company Data by Yahoo in accordance with the terms of this Agreement. |
||
|
Die Laufzeit zuzüglich des Zeitraums vom Ende der Laufzeit bis zur Löschung der Daten der Gesellschaft durch Yahoo gemäß der Bestimmungen dieser Vereinbarung. |
|||
|
Nature & Purpose of the Processing
Art & Zweck der Verarbeitung |
Yahoo will process, including as applicable to the Processor Services the instructions set forth in Section II of this Annex 1 Part III, Company Data for the purpose of providing the Processor Services and any related technical support to Company in accordance with this Agreement. |
||
|
Yahoo wird die Daten der Gesellschaft zum Zweck der Erbringung der Verarbeitungsleistungen sowie damit zusammenhängender technischer Unterstützungsleistungen an die Gesellschaft auf Grundlage dieser Vereinbarung, einschließlich der auf die Verarbeitungsleistungen anwendbaren Weisungen gemäß Ziffer II dieses Annexes 1 Teil III, soweit anwendbar, verarbeiten. |
|||
|
Categories of Data Subjects
Kategorien von Betroffenen Personen |
Data Subjects about whom Yahoo collects Personal Data in its provision of the Processor Services; and Data Subjects about whom Personal Data is transferred to Yahoo in connection with the Processor Services by, at the direction of, or on behalf of Company. |
||
|
Betroffene Personen, deren Personenbezogene Daten Yahoo bei der Erbringung der Verarbeitungsleistungen erhebt; und Betroffene, deren Personenbezogene Daten Yahoo im Zusammenhang mit den Verarbeitungsleistungen durch die Gesellschaft, auf deren Weisung oder in deren Auftrag übermittelt werden. |
|||
|
Other |
|||
|
Andere |
|||
|
If Other, Please Specify: |
|||
|
Falls Andere, bitte angeben: |
|||
|
Types of Personal Data
Art der Personenbezogene Daten |
The Company Data may include, but shall not be limited to, the following types of Personal Data depending on the Processor Services: IP addresses and similar unique IDs such as cookie IDs and device IDs. |
||
|
Die Daten der Gesellschaft können, abhängig von den Verarbeitungsleistungen, insbesondere die folgenden Arten von Personenbezogenen Daten enthalten: IP Adressen und ähnliche eindeutige IDs wie Cookie IDs und Geräte IDs. |
|||
|
Other |
|||
|
Andere |
|||
|
If Other, Please Specify: |
|||
|
Falls Andere, bitte angeben: |
|||
|
|
|
|
|
|
|
This Appendix forms part of the Clauses and must be completed and signed by the parties. The Member States may complete or specify, according to their national procedures, any additional necessary information to be contained in this Appendix. |
Dieser Appendix ist Teil der Bestimmungen und muss von den Parteien ergänzt und unterschrieben werden. Die Mitgliedstaaten können entsprechend ihrer nationalen Verfahren weitere erforderliche Information vorsehen, die in diesem Appendix aufzunehmen ist. |
|
Data exporter |
Datenexporteur |
|
The data exporter is (please specify briefly your activities relevant to the transfer): The legal entity of Company that has executed the Standard Contractual Clauses as a Data Exporter and all Affiliates established in the EEA. |
Der Datenexporteur ist (bitte geben Sie kurz Ihre für die Übermittlung relevanten Tätigkeiten an): Der Rechtsträger der Gesellschaft, der die Standardvertragsklauseln als Datenexporteur ausführt, sowie alle Verbundenen Unternehmen im EWR. |
|
Data importer |
Datenimporteur |
|
The data importer is (please specify briefly activities relevant to the transfer): Yahoo EMEA Limited on behalf of itself and Yahoo Affiliates, as defined in this Agreement. |
Der Datenimporteur ist (bitte geben Sie kurz Ihre für die Übermittlung relevanten Tätigkeiten an): Yahoo EMEA Limited im eigenen Namen und im Namen der Verbundenen Unternehmen von Yahoo, wie in dieser Vereinbarung definiert. |
|
Data subjects |
Betroffene Personen |
|
The personal data transferred concern the following categories of data subjects (please specify): Data Subjects about whom Yahoo collects Personal Data in its provision of the Processor Services; and Data Subjects about whom Personal Data is transferred to Yahoo in connection with the Processor Services by, at the direction of, or on behalf of Company. |
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von Betroffenen Personen (bitte angeben): Betroffene Personen, deren Personenbezogene Daten Yahoo bei der Erbringung der Verarbeitungsleistungen erhebt; und Betroffene Personen, deren Personenbezogene Daten Yahoo im Zusammenhang mit den Verarbeitungsleistungen durch die Gesellschaft, auf deren Weisung oder in deren Auftrag übermittelt werden. |
|
Categories of data |
Datenkategorien |
|
The personal data transferred concern the following categories of data (please specify): The Company Data provided by Company to Yahoo in connection with its use of the Services. The Company Data may include, but shall not be limited to, the following types of Personal Data depending on the Processor Services: IP addresses and similar unique IDs such as cookie IDs and device IDs. |
Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben): Die Yahoo von der Gesellschaft in Verbindung mit der Nutzung der Leistungen zur Verfügung gestellten Daten der Gesellschaft. Die Daten der Gesellschaft können, abhängig von den Verarbeitungsleistungen, insbesondere die folgenden Arten von Personenbezogenen Daten enthalten: IP Adressen und ähnliche eindeutige IDs wie Cookie IDs und Geräte IDs. |
|
Special categories of data (if appropriate) |
Besondere Kategorien Personenbezogener Daten (falls einschlägig) |
|
The personal data transferred concern the following special categories of data (please specify): N/A |
Die übermittelten personenbezogenen Daten betreffen die folgenden besonderen Kategorien personenbezogener Daten (bitte angeben): Nicht anwendbar |
|
Processing operations |
Verarbeitungsvorgänge |
|
The personal data transferred will be subject to the following basic processing activities (please specify): The objective of Processing of Personal Data by Yahoo is the performance of the Services under the MSA. |
Die übermittelten personenbezogenen Daten sind Gegenstand der folgenden wesentlichen Verarbeitungsvorgänge (bitte angeben). Gegenstand der Verarbeitung der Personenbezogenen Daten durch Yahoo ist die Erbringung von Leistungen auf Grundlage des MSA. |
|
|
|
|
This Appendix forms part of the Clauses and must be completed and signed by the parties. |
Dieser Appendix ist Teil der Bestimmungen und muss von den Parteien ergänzt und unterschrieben werden. |
|
Description of the technical and organisational security measures implemented by the data importer in accordance with Clauses 4(d) and 5(c) (or document/legislation attached): |
Beschreibung der vom Datenimporteur gemäß Bestimmung 4(d) und 5(c) umgesetzten technischen und organisatorischen Maßnahmen (oder beigefügte/s Dokument/Gesetzgebung): |
|
|
|
|
Yahoo will implement and maintain the following technical and organisational security measures, in particular: |
Yahoo wird die folgenden technischen und organisatorischen Sicherheitsmaßnahmen umsetzen, insbesondere: |
|
Yahoo Information Security Overview |
Überblick Informationssicherheit Yahoo |
|
Yahoo takes information security seriously. This information security overview applies to Yahoo’s corporate controls for safeguarding personal data which is processed in connection with delivery of our services. Yahoo’s information security program enables the workforce to understand their responsibilities. Some customer solutions may have alternate safeguards outlined in the statement of work as agreed with each customer. |
Yahoo nimmt die Informationssicherheit ernst. Dieser Überblick zur Informationssicherheit findet Anwendung bei der Unternehmenskontrolle von Yahoo im Hinblick auf den Schutz personenbezogener Daten, die im Zusammenhang mit der Erbringung unserer Dienstleistungen verarbeitet werden. Das Informationssicherheitsprogramm von Yahoo ermöglicht es den Beschäftigten von Yahoo, ihre Verantwortung zu verstehen. Für manche Kundenanwendungen können entsprechend den Vereinbarungen mit dem jeweiligen Kunden alternative Schutzvorkehrungen in der Leistungsbeschreibung vorgesehen sein. |
|
Security Practices |
Sicherheitsverfahren |
|
Yahoo has established a comprehensive information and cyber security program with an industry standard security governance framework. Yahoo’s Information Security organization is responsible for implementing controls and ensuring adherence to security policies and standards in conjunction with evolving business requirements, compliance guidance and an emerging threat landscape. Information Security risks are managed in accordance with ISO 27001/lSO 27005 and NIST CSF. Yahoo’s Information Security Policy defines the fundamentals for Information Security (lS) management and the core principles of IS risk management. Yahoo’s core IS documents are reviewed annually. |
Yahoo hat ein umfassendes Informations- und Cyber Security-Programm mit zeitgemäßen Steuerungsfunktionen aufgebaut. Die Informationssicherheitsabteilung von Yahoo ist verantwortlich für die Umsetzung von Kontrollen und stellt sicher, dass Sicherheitsrichtlinien und Standards vor dem Hintergrund sich weiterentwickelnder Anforderungen an Unternehmen, Compliance-Richtlinien und neuartiger Bedrohungen eingehalten werden. Informationssicherheitsrisiken werden nach Maßgabe von ISO 27001/ISO 27005 und NIST CSF behandelt. Die Informationssicherheitspolitik von Yahoo definiert Grundsätze für das Informationssicherheits-(IS) Management und Kernprinzipien für das IS Risikomanagement. Die wesentlichen IS-Dokumente von Yahoo werden jährlich überprüft. |
|
Organizational Security |
Organisatorische Maßnahmen zur Sicherheit |
|
It is the responsibility of the individuals across the organization to comply with these practices and standards. To facilitate the corporate adherence to these practices and standards, the function of information security provides:
|
Es liegt in der Verantwortung der Einzelnen innerhalb der Organisation, diese Praktiken und Standards einzuhalten. Um die Einhaltung dieser Praktiken und Standards im Unternehmen zu vereinfachen, stellt die Funktion Informationssicherheit Folgendes zur Verfügung:
|
|
Asset Classification and Control |
Klassifizierung von IT Assets und Kontrolle |
|
Yahoo’s practice is to track and manage physical and logical assets. Examples of the assets that Yahoo IT might track include:
The assets are classified based on business criticality to determine confidentiality requirements. Technical, organizational and physical safeguards may include controls such as access management, encryption and monitoring. |
Bei Yahoo werden physische und logische IT Assets getrackt und gemanagt. Beispiele für IT Assets, die von der IT von Yahoo getrackt werden, können sein:
Die IT Assets werden auf Grundlage ihres geschäftlichen Gefahrenpotentials klassifiziert, um Vertraulichkeitsanforderungen zu bestimmen. Technische, organisatorische und physische Schutzvorkehrungen können Kontrollen wie Zugangsverwaltung, Verschlüsselung und Überwachung umfassen. |
|
Personnel Security and Training |
Mitarbeitersicherheit und Training |
|
As part of the employment process, employees undergo a screening process applicable per regional law. Employees are bound to follow Yahoo’s policies and procedures and breaking or not following these will result in disciplinary actions up to and including termination based on local law. Yahoo’s annual compliance training includes a requirement for employees to complete an online course and pass an assessment covering information security and data privacy. The security awareness program may also provide materials specific to certain job functions. Additionally Yahoo service providers with access to data or systems, undergo a screening process applicable per regional law. Also they are contractually bound to adhere to the same policies and procedures as full time employees. |
Mitarbeiter werden als Teil des Anstellungsprozesses einem Screening nach Maßgabe des anwendbaren regionalen Rechts unterworfen. Die Mitarbeiter sind an die Politik und die Verfahren von Yahoo gebunden. Verstöße werden mit Disziplinarmaßnahmen bis hin zur Kündigung nach dem jeweiligen anwendbaren lokalen Recht geahndet. Teil des jährlichen Compliancetrainings von Yahoo ist die Teilnahme der Mitarbeiter an einem Onlinekurs, einschließlich einer Prüfung zu Informationssicherheit und Datenschutz. Im Rahmen des Programms zum Sicherheitsbewusstsein kann zusätzliches Material zur Verfügung gestellt werden, das sich auf bestimmte Arbeitsaufgaben bezieht. Zusätzlich werden Dienstleister von Yahoo einem Screeningverfahren nach Maßgabe des anwendbaren regionalen Rechts unterzogen. Sie werden zudem vertraglich dazu verpflichtet, die gleiche Politik und die gleichen Verfahren zu beachten wie die Vollzeitmitarbeiter. |
|
Physical and Environmental Security |
Physische Sicherheit und Umgebungssicherheit |
|
Yahoo uses a number of technological and operational approaches in its physical security program in regards to risk mitigation. Their security team works closely with each site to determine appropriate measures are in place and continually monitor any changes to the physical infrastructure, business, and known threats. Yahoo balances its approach towards physical security by considering elements of control that include architecture, operations, systems, performance, compatibility and interoperability. |
Im Rahmen des Programms zur physischen Sicherheit nutzt Yahoo eine Reihe technischer und organisatorischer Konzepte zur Risikominimierung. Das Sicherheitsteam von Yahoo arbeitet eng mit sämtlichen Standorten zusammen, um feststellen zu können, dass angemessene Maßnahmen implementiert sind. Veränderungen der physikalischen Infrastruktur, des Betriebs und bekannte Bedrohungen werden laufend überwacht. Berücksichtigt werden bei dem Konzept zur physikalischen Sicherheit Kontrollelemente im Hinblick auf Architektur, Vorgänge, Systeme, Performance, Komptabilität und Interoperabilität. |
|
Operations Management |
Betriebsführung |
|
The IT organization manages changes to the corporate infrastructure, systems and applications through a centralized change management program, which may include, testing, business impact analysis and management approval where appropriate. To protect against malicious use of assets and malicious software, additional controls may be implemented based on risk. Common controls may include, but are not limited to, additional information security policies and standards, restricted access, designated development and test environments, virus detection on endpoints, email attachment scanning, system compliance scans, information handling options for the data exporter based on data type, network security, and system and application vulnerability scanning. |
Die IT-Organisation steuert Änderungen der Unternehmensinfrastruktur, der Systeme und der Anwendungen mittels eines zentralisierten Änderungsverwaltungsprogramms, das Testverfahren, die Analyse von Auswirkungen der Geschäftstätigkeit und, soweit angemessen, Zustimmungsvorbehalte des Managements umfassen kann. Abhängig vom Risiko können weitere Kontrollmechanismen zum Schutz gegen den schädlichen Gebrauch von IT Assets und schädliche Software implementiert werden. Übliche Kontrollen können insbesondere zusätzliche Informationssicherheitsrichtlinien und -standards umfassen, sowie Zugangsbeschränkungen, Entwicklungs- und Testumgebungen, Viruserkennung an Endpunkten, Scannen von E-Mail-Anhängen, Scannen im Hinblick auf Systemcompliance, Optionen für den Datenexporteur beim Umgang mit Informationen, abhängig von der Art der Daten, Netzwerksicherheit und Scannen von Systemen und Anwendungen auf Schwachstellen. |
|
Encryption |
Verschlüsselung |
|
Industry standard hashing algorithms are being used throughout the environment. Yahoo requires that any TLS stacks must support, offer, and prefer TLS version 1.2 or higher. Any versions that do not comply with standards must be reviewed and approved by the security department, supporting additional compensating security controls. |
In der ganzen Umgebung werden zeitgemäße Hashing-Algorhythmen verwendet. Yahoo verlangt, dass alle TLS Stacks TLS Version 1.2 oder eine höhere Version unterstützen, anbieten und bevorzugen müssen. Jede Version, die nicht den Standards entspricht, wird überprüft und muss von der Sicherheitsabteilung gesondert freigegeben werden. Als Ausgleich werden zusätzliche Sicherheitskontrollen eingesetzt. |
|
Incident Response |
Reaktion auf Vorfälle |
|
Yahoo maintains a security operations center that is staffed 24/7 which monitors and reports on potential security related events. Yahoo utilizes multiple scanning, investigation, and protection technologies across the enterprise to identify, track, block, and remediate vulnerabilities and potential breaches. Additionally, there is an established policy and process for incident response, as well as mandated annual security training for all employees and an internal web page with instructions for easy reference. Additionally, Yahoo has dedicated personnel to investigate new and emerging attack intelligence. Security-related incidents are logged and tracked, to include the validation of the supporting documentation following internal standards and procedures. |
Yahoo unterhält ein Security Operations Center, das rund um die Uhr besetzt ist und potentielle sicherheitsrelevante Vorfälle meldet. Yahoo nutzt vielfältige Scanning-, Untersuchungs- und Schutztechnologien im ganzen Unternehmen, um Schwachstellen und potentielle Verstöße zu identifizieren, zu tracken, zu blockieren und zu beseitigen. Ferner sind Richtlinien und Verfahren für die Reaktion auf Vorfälle etabliert und jährliche Sicherheitsfortbildungen für alle Angestellten vorgesehen. Des Weiteren ist eine interne Webseite mit einfach zu verstehenden Anweisungen eingerichtet. Zudem setzt Yahoo Personal zur Erforschung der Bedrohungen durch neue Arten von Angriffen ein. Sicherheitsrelevante Vorfälle werden protokolliert und getrackt, was auch die Bewertung der Begleitunterlagen nach internationalen Standards und Verfahren umfasst. |
|
Access Controls |
Zugangskontrollen |
|
Access to corporate systems is restricted, based on procedures to ensure appropriate approvals. In addition, remote access and wireless computing capabilities are restricted and require that both user and system safeguards are in place. |
Der Zugang zu den Systemen des Unternehmens ist beschränkt und erfolgt nur nach entsprechender Genehmigung. Fernzugriff und drahtloser Zugang sind ebenfalls beschränkt und setzen voraus, dass die entsprechenden Sicherheitsvorkehrungen bei Nutzer und System vorhanden sind. |
|
System Development and Maintenance |
Systementwicklung und -wartung |
|
Publicly released third party vulnerabilities are reviewed for applicability in the Yahoo environment. Based on risk to Yahoo’s business and customers, there are predetermined time frames for remediation. In addition, vulnerability scanning and assessments are performed on new and key applications and the infrastructure based on risk. Code reviews are used in the development environment prior to production. These processes enable proactive identification of vulnerabilities as well as compliance. Additionally, a public bug bounty program is available and supplements the research performed by internal security. |
Veröffentlichte Schwachstellen Dritter werden daraufhin überprüft, ob sie in der Umgebung von Yahoo relevant sind. Abhängig vom Risiko für den Betrieb und die Kunden von Yahoo gibt es festgelegte Zeitrahmen für die Beseitigung. Des Weiteren werden neue Anwendungen und Schlüsselanwendungen sowie die Infrastruktur risikoabhängig auf Schwachstellen gescannt und entsprechend beurteilt. Der Code wird in der Entwicklungsumgebung vor der Produktion überprüft. Diese Verfahren ermöglichen eine proaktive Identifikation von Schwachstellen, ebenso wie die Überprüfung der Compliance. Des Weiteren läuft ein öffentliches Programm zur Fehlermeldung, das die Ermittlungen der internen Sicherheitsabteilung ergänzt. |
|
Compliance |
Compliance |
|
The information security, legal, privacy and compliance departments work to identify regional laws, regulations applicable to Yahoo compliance. Mechanisms such as the information security program, Privacy council, internal and external review/assessments, internal and external legal counsel consultation, internal controls assessment, internal penetration testing and vulnerability assessments, contract management, security awareness, security consulting, policy exception reviews and risk management combine to drive compliance with these requirements. |
Die Informationssicherheitsabteilung, die Rechtsabteilung und die Datenschutz- und Complianceabteilung identifizieren die einschlägigen landesspezifischen Gesetze und Bestimmungen, die für die Compliance bei Yahoo relevant sind. Verfahren wie das Informationssicherheitsprogramm, der Datenschutzbeirat, interne und externe Prüfungen/Bewertungen, interner und externer Rechtsrat, interne Überprüfung im Hinblick auf Angriffsflächen und die Beurteilung von Schwachstellen, Contract Management, Sicherheitsbewusstsein, Sicherheitsberatung, Überprüfung von Ausnahmen von den Unternehmensrichtlinien und Risikomanagement werden eingesetzten, um die Vorgaben einzuhalten. |
|
|
|
|
|
|
|
Yahoo will implement and maintain the following technical and organisational security measures, in particular: |
Yahoo wird die folgenden technischen und organisatorischen Maßnahmen umsetzen und aufrechterhalten, insbesondere: |
|
Yahoo Information Security Overview |
Überblick Informationssicherheit Yahoo |
|
Yahoo takes information security seriously. This information security overview applies to Yahoo’s corporate controls for safeguarding personal data which is processed in connection with delivery of our services. Yahoo’s information security program enables the workforce to understand their responsibilities. Some customer solutions may have alternate safeguards outlined in the statement of work as agreed with each customer. |
Yahoo nimmt die Informationssicherheit ernst. Dieser Überblick zur Informationssicherheit findet Anwendung bei internen Kontrolle von Yahoo im Hinblick auf den Schutz personenbezogener Daten, die im Zusammenhang mit der Erbringung unserer Dienstleistungen verarbeitet werden. Das Informationssicherheitsprogramm von Yahoo ermöglicht es den Beschäftigten von Yahoo, ihre Verantwortung zu verstehen. Für manche Kundenanwendungen können entsprechend den Vereinbarungen mit dem jeweiligen Kunden alternative Schutzvorkehrungen in der Leistungsbeschreibung vorgesehen sein. |
|
Security Practices |
Sicherheitsverfahren |
|
Yahoo has established a comprehensive information and cyber security program with an industry standard security governance framework. Yahoo’s Information Security organization is responsible for implementing controls and ensuring adherence to security policies and standards in conjunction with evolving business requirements, compliance guidance and an emerging threat landscape. Information Security risks are managed in accordance with ISO 27001/lSO 27005 and NIST CSF. Yahoo’s Information Security Policy defines the fundamentals for Information Security (lS) management and the core principles of IS risk management. Yahoo’s core IS documents are reviewed annually. |
Yahoo hat ein umfassendes Informations- und Cyber Security-Programm mit zeitgemäßen Steuerungsfunktionen aufgebaut. Die Informationssicherheitsabteilung von Yahoo ist verantwortlich für die Umsetzung von Kontrollen und stellt sicher, dass Sicherheitsrichtlinien und Standards vor dem Hintergrund sich weiterentwickelnder Anforderungen an Unternehmen, Compliance-Richtlinien und neuartiger Bedrohungen eingehalten werden. Informationssicherheitsrisiken werden nach Maßgabe von ISO 27001/ISO 27005 und NIST CSF behandelt. Die Informationssicherheitspolitik von Yahoo definiert Grundsätze für das Informationssicherheits-(IS) Management und Kernprinzipien für das IS Risikomanagement. Die wesentlichen IS-Dokumente von Yahoo werden jährlich überprüft. |
|
Organizational Security |
Organisatorische Maßnahmen zur Sicherheit |
|
It is the responsibility of the individuals across the organization to comply with these practices and standards. To facilitate the corporate adherence to these practices and standards, the function of information security provides:
|
Es liegt in der Verantwortung der Einzelnen innerhalb der Organisation, diese Praktiken und Standards einzuhalten. Um die Einhaltung dieser Praktiken und Standards im Unternehmen zu vereinfachen, stellt die Funktion Informationssicherheit Folgendes zur Verfügung:
Überwachung der Sicherheitsvorgänge umgesetzter Sicherheitslösungen, des Umfeld und der IT Assets und Management der Reaktion auf Vorfälle. |
|
Asset Classification and Control |
Klassifizierung von IT Assets und Kontrolle |
|
Yahoo’s practice is to track and manage physical and logical assets. Examples of the assets that Yahoo IT might track include:
The assets are classified based on business criticality to determine confidentiality requirements. Technical, organizational and physical safeguards may include controls such as access management, encryption and monitoring. |
Bei Yahoo werden physische und logische IT Assets getrackt und gemanagt. Beispiele für IT Assets, die von der IT von Yahoo getrackt werden, können sein:
Die IT Assets werden auf Grundlage ihres geschäftlichen Gefahrenpotentials klassifiziert, um Vertraulichkeitsanforderungen zu bestimmen. Technische, organisatorische und physische Schutzvorkehrungen können Kontrollen wie Zugangsverwaltung, Verschlüsselung und Überwachung umfassen. |
|
Personnel Security and Training |
Mitarbeitersicherheit und Training |
|
As part of the employment process, employees undergo a screening process applicable per regional law. Employees are bound to follow Yahoo’s policies and procedures and breaking or not following these will result in disciplinary actions up to and including termination based on local law. Yahoo’s annual compliance training includes a requirement for employees to complete an online course and pass an assessment covering information security and data privacy. The security awareness program may also provide materials specific to certain job functions. Additionally Yahoo service providers with access to data or systems, undergo a screening process applicable per regional law. Also they are contractually bound to adhere to the same policies and procedures as full time employees. |
Mitarbeiter werden als Teil des Anstellungsprozesses einem Screening nach Maßgabe des anwendbaren regionalen Rechts unterworfen. Die Mitarbeiter sind an die Politik und die Verfahren von Yahoo gebunden. Verstöße werden mit Disziplinarmaßnahmen bis hin zur Kündigung nach dem jeweiligen anwendbaren lokalen Recht geahndet. Teil des jährlichen Compliancetrainings von Yahoo ist die Teilnahme der Mitarbeiter an einem Onlinekurs, einschließlich einer Prüfung zu Informationssicherheit und Datenschutz. Im Rahmen des Programms zum Sicherheitsbewusstsein kann zusätzliches Material zur Verfügung gestellt werden, das sich auf bestimmte Arbeitsaufgaben bezieht. Zusätzlich werden Dienstleister von Yahoo einem Screeningverfahren nach Maßgabe des anwendbaren regionalen Rechts unterzogen. Sie werden zudem vertraglich dazu verpflichtet, die gleiche Politik und die gleichen Verfahren zu beachten wie die Vollzeitmitarbeiter. |
|
Physical and Environmental Security |
Physische Sicherheit und Umgebungssicherheit |
|
Yahoo uses a number of technological and operational approaches in its physical security program in regards to risk mitigation. Their security team works closely with each site to determine appropriate measures are in place and continually monitor any changes to the physical infrastructure, business, and known threats. Yahoo balances its approach towards physical security by considering elements of control that include architecture, operations, systems, performance, compatibility and interoperability. |
Im Rahmen des Programms zur physischen Sicherheit nutzt Yahoo eine Reihe technischer und organisatorischer Konzepte zur Risikominimierung. Das Sicherheitsteam von Yahoo arbeitet eng mit sämtlichen Standorten zusammen, um feststellen zu können, dass angemessene Maßnahmen implementiert sind. Veränderungen der physikalischen Infrastruktur, des Betriebs und bekannte Bedrohungen werden laufend überwacht. Berücksichtigt werden bei dem Konzept zur physikalischen Sicherheit Kontrollelemente im Hinblick auf Architektur, Vorgänge, Systeme, Performance, Komptabilität und Interoperabilität. |
|
Operations Management |
Betriebsführung |
|
The IT organization manages changes to the corporate infrastructure, systems and applications through a centralized change management program, which may include, testing, business impact analysis and management approval where appropriate. To protect against malicious use of assets and malicious software, additional controls may be implemented based on risk. Common controls may include, but are not limited to, additional information security policies and standards, restricted access, designated development and test environments, virus detection on endpoints, email attachment scanning, system compliance scans, information handling options for the data exporter based on data type, network security, and system and application vulnerability scanning. |
Die IT-Organisation steuert Änderungen der Unternehmensinfrastruktur, der Systeme und der Anwendungen mittels eines zentralisierten Änderungsverwaltungsprogramms, das Testverfahren, die Analyse von Auswirkungen der Geschäftstätigkeit und, soweit angemessen, Zustimmungsvorbehalte des Managements umfassen kann. Abhängig vom Risiko können weitere Kontrollmechanismen zum Schutz gegen den schädlichen Gebrauch von IT Assets und schädliche Software implementiert werden. Übliche Kontrollen können insbesondere zusätzliche Informationssicherheitsrichtlinien und -standards umfassen, sowie Zugangsbeschränkungen, Entwicklungs- und Testumgebungen, Viruserkennung an Endpunkten, Scannen von E-Mail-Anhängen, Scannen im Hinblick auf Systemcompliance, Optionen für den Datenexporteur beim Umgang mit Informationen, abhängig von der Art der Daten, Netzwerksicherheit und Scannen von Systemen und Anwendungen auf Schwachstellen. |
|
Encryption |
Verschlüsselung |
|
Industry standard hashing algorithms are being used throughout the environment. Yahoo requires that any TLS stacks must support, offer, and prefer TLS version 1.2 or higher. Any versions that do not comply with standards must be reviewed and approved by the security department, supporting additional compensating security controls. |
In der ganzen Umgebung werden zeitgemäße Hashing-Algorhythmen verwendet. Yahoo verlangt, dass alle TLS Stacks TLS Version 1.2 oder eine höhere Version unterstützen, anbieten und bevorzugen müssen. Jede Version, die nicht den Standards entspricht, wird überprüft und muss von der Sicherheitsabteilung gesondert freigegeben werden. Als Ausgleich werden zusätzliche Sicherheitskontrollen eingesetzt. |
|
Incident Response |
Reaktion auf Vorfälle |
|
Yahoo maintains a security operations center that is staffed 24/7 which monitors and reports on potential security related events. Yahoo utilizes multiple scanning, investigation, and protection technologies across the enterprise to identify, track, block, and remediate vulnerabilities and potential breaches. Additionally, there is an established policy and process for incident response, as well as mandated annual security training for all employees and an internal web page with instructions for easy reference. Additionally, Yahoo has dedicated personnel to investigate new and emerging attack intelligence. Security-related incidents are logged and tracked, to include the validation of the supporting documentation following internal standards and procedures. |
Yahoo unterhält ein Security Operations Center, das rund um die Uhr besetzt ist und potentielle sicherheitsrelevante Vorfälle meldet. Yahoo nutzt vielfältige Scanning-, Untersuchungs- und Schutztechnologien im ganzen Unternehmen, um Schwachstellen und potentielle Verstöße zu identifizieren, zu tracken, zu blockieren und zu beseitigen. Ferner sind Richtlinien und Verfahren für die Reaktion auf Vorfälle etabliert und jährliche Sicherheitsfortbildungen für alle Angestellten vorgesehen. Des Weiteren ist eine interne Webseite mit einfach zu verstehenden Anweisungen eingerichtet. Zudem setzt Yahoo Personal zur Erforschung der Bedrohungen durch neue Arten von Angriffen ein. Sicherheitsrelevante Vorfälle werden protokolliert und getrackt, was auch die Bewertung der Begleitunterlagen nach internationalen Standards und Verfahren umfasst. |
|
Access Controls |
Zugangskontrollen |
|
Access to corporate systems is restricted, based on procedures to ensure appropriate approvals. In addition, remote access and wireless computing capabilities are restricted and require that both user and system safeguards are in place. |
Der Zugang zu den Systemen des Unternehmens ist beschränkt und erfolgt nur nach entsprechender Genehmigung. Fernzugriff und drahtloser Zugang sind ebenfalls beschränkt und setzen voraus, dass die entsprechenden Sicherheitsvorkehrungen bei Nutzer und System vorhanden sind. |
|
System Development and Maintenance |
Systementwicklung und -wartung |
|
Publicly released third party vulnerabilities are reviewed for applicability in the Yahoo environment. Based on risk to Yahoo’s business and customers, there are predetermined time frames for remediation. In addition, vulnerability scanning and assessments are performed on new and key applications and the infrastructure based on risk. Code reviews are used in the development environment prior to production. These processes enable proactive identification of vulnerabilities as well as compliance. Additionally, a public bug bounty program is available and supplements the research performed by internal security. |
Veröffentlichte Schwachstellen Dritter werden daraufhin überprüft, ob sie in der Umgebung von Yahoo relevant sind. Abhängig vom Risiko für den Betrieb und die Kunden von Yahoo gibt es festgelegte Zeitrahmen für die Beseitigung. Des Weiteren werden neue Anwendungen und Schlüsselanwendungen sowie die Infrastruktur risikoabhängig auf Schwachstellen gescannt und entsprechend beurteilt. Der Code wird in der Entwicklungsumgebung vor der Produktion überprüft. Diese Verfahren ermöglichen eine proaktive Identifikation von Schwachstellen, ebenso wie die Überprüfung der Compliance. Des Weiteren läuft ein öffentliches Programm zur Fehlermeldung, das die Ermittlungen der internen Sicherheitsabteilung ergänzt. |
|
Compliance |
Compliance |
|
The information security, legal, privacy and compliance departments work to identify regional laws, regulations applicable to Yahoo compliance. Mechanisms such as the information security program, Privacy council, internal and external review/assessments, internal and external legal counsel consultation, internal controls assessment, internal penetration testing and vulnerability assessments, contract management, security awareness, security consulting, policy exception reviews and risk management combine to drive compliance with these requirements. |
Die Informationssicherheitsabteilung, die Rechtsabteilung und die Datenschutz- und Complianceabteilung identifizieren die einschlägigen landesspezifischen Gesetze und Bestimmungen, die für die Compliance bei Yahoo relevant sind. Verfahren wie das Informationssicherheitsprogramm, der Datenschutzbeirat, interne und externe Prüfungen/Bewertungen, interner und externer Rechtsrat, interne Überprüfung im Hinblick auf Angriffsflächen und die Beurteilung von Schwachstellen, Contract Management, Sicherheitsbewusstsein, Sicherheitsberatung, Überprüfung von Ausnahmen von den Unternehmensrichtlinien und Risikomanagement werden eingesetzten, um die Vorgaben einzuhalten. |