Einführung in die Datenverarbeitungsvereinbarung von Uber

Uber verlangt, dass die Lieferanten von Uber den in der Datenverarbeitungsvereinbarung („DVV“) festgelegten Bedingungen zustimmen, die die Verarbeitung vertraulicher Informationen von Uber, einschließlich personenbezogener Daten von Uber, regeln.

Diese Bestimmungen dienen dem Schutz der Vertraulichkeit und Sicherheit von vertraulichen Informationen von Uber und ermöglichen es Uber, seine Verpflichtungen nach den globalen Datenschutzgesetzen zu erfüllen, einschließlich – soweit zutreffend (auf Grundlage der Verarbeitung personenbezogener Daten von Uber durch Lieferanten) – der Datenschutz-Grundverordnung der Europäischen Union („DSGVO“), des brasilianischen Datenschutzgesetzes Lei Geral de Proteção de Dados Pessoais („LGPD“), des australischen Datenschutzgesetzes (Privacy Act), des indischen Digital Personal Data Protection Act sowie der Datenschutzgesetze einzelner US-Bundesstaaten, einschließlich des kalifornischen Verbraucherdatenschutzgesetzes (California Consumer Privacy Act, „CCPA“)

Die DVV behandelt insbesondere Folgendes:

1. Allgemeine Anforderungen und Beschränkungen in Bezug auf die Verarbeitung vertraulicher Informationen von Uber durch Lieferanten, einschließlich solcher in Bezug auf Datensicherheit, Sicherheitsvorfälle, Risikobewertungen und Audits, Datenaufbewahrung und -löschung sowie den Einsatz von Unterauftragsverarbeitern.
   
2. Bezeichnung der Rollen von Uber den Lieferanten von Uber bei der Verarbeitung der personenbezogenen Daten von Uber.
   1. Die DVV verlangt ausdrücklich, dass die Parteien angeben, ob jede der Parteien folgende Rollen ausübt:
      1. „für die Verarbeitung Verantwortlicher“ oder „Auftragsverarbeiter“
      2. „Unternehmen“, „Dienstleister“, „Auftraggeber“ oder „Dritte“, wie diese Begriffe im CCPA definiert sind.
   2. Die DVV legt auch die Verantwortlichkeiten jeder Partei auf der Grundlage der oben genannten Bezeichnungen fest.

Bitte wenden Sie sich bei Fragen zur DVV von Uber an Ihren Ansprechpartner bzw. Ansprechpartnerin bei Uber.

UBER DATENVERARBEITUNGSVEREINBARUNG

Diese Datenverarbeitungsvereinbarung („Vereinbarung“) legt die Anforderungen fest, die für die Verarbeitung von folgenden Daten gelten: (1) Vertrauliche Informationen von Uber, einschließlich personenbezogener Daten von Uber (siehe Abschnitt 2 unten); und (2) personenbezogene Daten von Uber (siehe Abschnitt 3 unten).

Diese Vereinbarung ist Teil der Hauptvereinbarung(en) zwischen Uber und dem Unternehmen oder der juristischen Person („Lieferant“) (jeweils einzeln als Partei und gemeinsam als „ Parteien “ bezeichnet) und aller weiteren im Rahmen dieser Vereinbarung abgeschlossenen Vereinbarungen (gemeinsam als „ Hauptvereinbarung“ bezeichnet).

ABSCHNITT 1: DEFINITIONEN

Zusätzlich zu den unten definierten Begriffen, „Unternehmen“, „Auftraggeber“, „Verkauf“, „Verkaufen“, „Dienstleister“ und „Teilen“ haben die in CCPA/CPRA aufgeführten Bedeutungen.

1. Für die Verarbeitung Verantwortlicher: eine natürliche oder juristische Person, die allein oder gemeinsam mit anderen den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmt.
2. Datenschutzgesetze: Alle Gesetze und Vorschriften, die für die Verarbeitung der personenbezogenen Daten von Uber gemäß dieser DVV gelten.
   
3. Datensubjekt bzw. betroffene Person: eine natürliche Person, auf die sich personenbezogene Daten beziehen.
4. Datensicherheitsvorfall: jeder tatsächliche oder begründet vermutete unbefugte Zugriff auf vertrauliche Informationen von Uber, deren unbefugte Erlangung oder unrechtmäßige Verarbeitung, oder jede Beeinträchtigung der Sicherheit oder Integrität solcher vertraulichen Informationen von Uber oder eines Systems, das vom Lieferanten oder dessen Unterauftragsverarbeitern zur Verarbeitung dieser Daten verwendet wird.
   
5. Löschen: das physische oder logische Vernichten vertraulicher Informationen von Uber, sodass eine Wiederherstellung nicht mehr möglich ist.
   
6. Entdeckung: jeder Fall, in dem der Lieferant einen Datensicherheitsvorfall entdeckt, über einen Datensicherheitsvorfall benachrichtigt wird oder einen Datensicherheitsvorfall entdeckt hätte, wenn er die gebotene Sorgfalt angewendet hätte.
   
7. Personenbezogene Daten: alle Informationen, die sich auf ein identifiziertes oder identifizierbares Datensubjekt beziehen.
   
8. Prozess: jeder Vorgang oder jede Reihe von Vorgängen, die im Zusammenhang mit personenbezogenen Daten oder Datensätzen personenbezogener Daten durchgeführt werden, unabhängig davon, ob dies mittels automatisierter Verfahren erfolgt oder nicht, wie etwa das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
   
9. Auftragsverarbeiter: eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet.
   
10. Unterauftragsverarbeiter: ein Auftragsverarbeiter, der vom Lieferanten beauftragt wird, vertrauliche Informationen von Uber zu verarbeiten.
    
11. System: jedes Dateisystem, Computersystem, jede Datenbank, Vorrichtung, Ausrüstung, jeder Server, jede Website, Anwendung, Software, jedes Speichermedium, Netzwerk, jede Infrastruktur, vernetzte Umgebung oder Domäne – einschließlich, aber nicht beschränkt auf Entwicklungs-, Qualitätssicherungs-, Test- (Staging-) und Produktionsumgebungen.
    
12. Uber: Uber Technologies, Inc. und alle Tochtergesellschaften oder verbundenen Unternehmen von Uber.
    
13. Uber Datensubjekt bzw. Datensubjekt von Uber: Jede betroffene Person (Datensubjekt), deren personenbezogene Daten von Uber durch den Lieferanten verarbeitet werden oder künftig verarbeitet werden.
    
14. Personenbezogene Daten von Uber: personenbezogene Daten betroffener Personen von Uber, die vom Lieferanten zum Zweck der Erfüllung dieser Vereinbarung verarbeitet werden.
    
    Für Zwecke dieser Vereinbarung umfassen die personenbezogenen Daten von Uber nicht den Namen und die Kontaktdaten derjenigen Uber Mitarbeitenden, die für die Interaktion mit dem Lieferanten im Zusammenhang mit der Hauptvereinbarung verantwortlich sind, sowie personenbezogene Daten, die der Lieferant lediglich zufällig im Rahmen dieser Interaktionen erhält.
    
15. Vertrauliche Informationen von Uber: alle Daten, Aufzeichnungen oder Informationen, einschließlich personenbezogener Daten von Uber, die im Eigentum von Uber stehen oder von Uber kontrolliert werden und dem Lieferanten von Uber oder im Auftrag von Uber offengelegt, bereitgestellt oder zugänglich gemacht werden, oder die vom Lieferanten im Auftrag von Uber im Zusammenhang mit den Leistungen erhoben, erstellt, gepflegt oder verwendet werden, wie dies gegebenenfalls in der Vereinbarung weiter beschrieben ist.
    
16. Uber System: jedes System, das sich im Besitz von Uber befindet, lizenziert, betrieben oder kontrolliert wird oder zu dem Uber dem Lieferanten Zugriff gewährt hat.

ABSCHNITT 2: ANFORDERUNGEN: VERTRAULICHE INFORMATIONEN VON UBER

1. Datensicherheit: Der Lieferant hat angemessene physische, administrative, organisatorische und technische Schutzmaßnahmen sowie sonstige Sicherheitsvorkehrungen zu treffen, um die Integrität, Sicherheit und Vertraulichkeit der vertraulichen Informationen von Uber zu gewährleisten. Diese Maßnahmen müssen mindestens die in Anhang 1 zu dieser Vereinbarung festgelegten Maßnahmen umfassen.
2. Sicherheitsbeauftragter: Der Lieferant hat eine Person zu benennen, die für die Verwaltung und Koordination der Erfüllung der Verpflichtungen des Lieferanten aus dieser Vereinbarung verantwortlich ist und diese während der Laufzeit der Hauptvereinbarung Uber zur Verfügung stellt.
3. Datensicherheitsvorfälle
   1. Untersuchung Der Lieferant hat nach der Entdeckung eines Datensicherheitsvorfalls alle zumutbaren Maßnahmen zu ergreifen, um die Ursache, Art und das Ausmaß des Datensicherheitsvorfalls vollständig und gründlich auf eigene Kosten zu untersuchen; die Auswirkungen des Datensicherheitsvorfalls zu beheben und zu mindern; sowie Uber alle Informationen zur Verfügung zu stellen, die erforderlich oder angefordert sind, damit Uber die geltenden gesetzlichen Bestimmungen und internen Verfahren zur Reaktion auf Datensicherheitsvorfälle einhalten kann. Auf Anfrage von Uber hat der Lieferant detaillierte ergänzende Berichte über seine Untersuchungen und Ergebnisse zur Verfügung zu stellen. Der Lieferant hat auf eigene Kosten uneingeschränkt mit Uber bei der Untersuchung und Bewältigung jedes Datensicherheitsvorfalls zusammenzuarbeiten, einschließlich der Gewährung eines unverzüglichen Zugangs zu seinen Systemen und/oder Einrichtungen für Uber und/oder den von Uber beauftragten Prüfer*innen.
      
   2. Hinweis an Uber Der Lieferant hat Uber innerhalb von achtundvierzig (48) Stunden nach der Entdeckung über die im Rahmen der Hauptvereinbarung benannten Personen oder Teams zur Entgegennahme von Mitteilungen und per E-Mail an vendorsecurity@uber.com zu benachrichtigen. Der Lieferant hat Folgendes in eine solche Mitteilung aufzunehmen und danach bei Bedarf zu ergänzen:
      1. eine Beschreibung des Datensicherheitsvorfalls, einschließlich der Ursache (sofern feststellbar), des Ortes, des Datums/Uhrzeit des Datensicherheitsvorfalls sowie seiner Entdeckung;
         
      2. eine Beschreibung der Maßnahmen, die der Lieferant ergriffen hat oder ergreifen wird, um den Datensicherheitsvorfall zu untersuchen und dessen Auswirkungen zu mindern;
         
      3. die Art und der Umfang der betroffenen vertraulichen Informationen von Uber, einschließlich der Angabe, ob die Daten verschlüsselt oder unkenntlich gemacht waren;
         
      4. die Anzahl, der Standort (Bundesstaat/Land) und die Identität aller Uber Datensubjekte (sofern zutreffend), einschließlich – sofern dies nach den geltenden Datenschutzgesetzen erforderlich ist – der Anzahl der betroffenen Kinder, Jugendlichen oder älteren Datensubjekten von Uber;
         
      5. die voraussichtlichen Konsequenzen des Datensicherheitsvorfalls;
         
      6. eine Beschreibung der Maßnahmen, die der Lieferant ergriffen hat oder ergreifen will, um solche Folgen abzumildern und die vertraulichen Informationen von Uber weiter zu sichern; und
         
      7. Pläne des Lieferanten für Korrekturmaßnahmen als Reaktion auf den Datensicherheitsvorfall.
   3. Hinweise von Dritten Der Lieferant hat Uber bei der Bereitstellung jeglicher gesetzlich vorgeschriebener Mitteilungen an betroffene Personen, Aufsichtsbehörden oder sonstige Dritte („Erforderliche Mitteilung“) zu unterstützen. In einem solchen Fall gilt Folgendes: (i) Uber hat die alleinige Kontrolle über den Inhalt, den Zeitpunkt und die Art der Verteilung einer solchen Mitteilung, sofern nicht gesetzlich anders vorgeschrieben; (ii) der Lieferant darf eine erforderliche Mitteilung nur nach vorheriger schriftlicher Genehmigung und Anweisung von Uber kommunizieren, sofern nicht nach geltendem Recht anders erforderlich (in diesem Fall hat der Lieferant Uber unverzüglich – und in jedem Fall vor der Kommunikation – eine Kopie dieser Mitteilung zur Verfügung zu stellen, sofern gesetzlich nicht anders vorgeschrieben); und (iii) der Lieferant erstattet Uber alle angemessenen Kosten, die Uber im Zusammenhang mit einer solchen Mitteilung entstehen, soweit der Lieferant ganz oder teilweise für den Datensicherheitsvorfall verantwortlich ist.
      
   4. Geheimhaltung Der Lieferant hat es zu unterlassen, die Existenz oder Informationen über den Datensicherheitsvorfall in Bezug auf Uber oder vertrauliche Informationen von Uber, betroffene Personen von Uber oder Systeme von Uber, einschließlich gegenüber Behörden, ohne vorherige schriftliche Zustimmung von Uber offenzulegen.
      
   5. Minderung und Behebung Der Lieferant hat unverzüglich und ohne unangemessene Verzögerung (i) alle Sicherheitslücken, Aktivitäten und sonstigen Umstände zu identifizieren und zu beschreiben, die den Datensicherheitsvorfall verursacht haben oder zu ihm geführt haben; und (ii) alle erforderlichen und angemessenen Korrekturmaßnahmen zu ergreifen sowie in geeigneter Weise mit Uber zusammenzuarbeiten, um den Datensicherheitsvorfall zu mindern und zu beheben.
      
   6. Öffentliche Anfragen Der Lieferant ist verantwortlich für die Verwaltung und Beantwortung von Anfragen, Fragen oder sonstigen Ersuchen der Medien, Presse oder anderer Mitglieder der Öffentlichkeit („öffentliche Anfragen“) im Zusammenhang mit einem Datensicherheitsvorfall. Der Lieferant hat eine oder mehrere Personen zu benennen, die für die Verwaltung und Beantwortung öffentlicher Anfragen verantwortlich sind, und Uber auf Anfrage die Namen und Kontaktdaten dieser Personen zur Verfügung zu stellen.
      
4. Speichern und Löschen von Daten: Der Lieferant hat unverzüglich alle vertraulichen Informationen von Uber, die sich in seinem Besitz, seiner Verwahrung oder unter seiner Kontrolle befinden, zu löschen oder an Uber zurückzugeben (nach Wahl von Uber): (i) bei Beendigung oder Ablauf der Hauptvereinbarung; (ii) bei Abwicklung oder Insolvenz des Unternehmens des Lieferanten; (iii) sobald diese nicht mehr erforderlich sind, um die Verpflichtungen aus der Hauptvereinbarung zu erfüllen; oder (iv) auf Aufforderung von Uber.
   
5. Risikobewertungen
   1. Der Lieferant hat vor dem Wirksamkeitsdatum eine von Uber durchgeführte Informationssicherheits-Risikobewertung („Risikobewertung“) vollständig zu absolvieren und erfolgreich zu bestehen.
      
      Nach der ersten Risikobewertung hat der Lieferant Risikobewertungen auf Anforderung von Uber durchzuführen, höchstens einmal pro Jahr, oder in folgenden Fällen: (i) wenn Lieferant beginnt, zusätzliche Produkte oder Dienstleistungen für Uber zu erbringen oder zusätzliche vertrauliche Informationen von Uber zu verarbeiten, die im Rahmen der ersten oder letzten Bewertung nicht berücksichtigt wurden; (ii) wenn sich die Art oder der Zweck der Verarbeitung vertraulicher Informationen von Uber ändert; (iii) wenn der Lieferant beginnt, personenbezogene Daten von Uber betroffenen Personen im Europäischen Wirtschaftsraum („EWR“) außerhalb des EWR zu übermitteln oder personenbezogene Daten von Uber in ein anderes Drittland zu übermitteln, das im Rahmen der ersten oder letzten Bewertung nicht berücksichtigt wurde; (iv) wenn der Lieferant eine wesentliche Änderung an der Verarbeitung vertraulicher Informationen von Uber vornimmt, die die Sicherheit dieser Daten oder die Fähigkeit des Lieferanten, diese Vereinbarung einzuhalten, beeinträchtigen könnte; (v) wenn eine Bewertung für Uber zur Einhaltung von Datenschutzgesetzen oder sonstigen Verpflichtungen zur Datensicherheit angemessen erforderlich ist; (vi) wenn eine Bewertung für Uber zur Einhaltung einer Anforderung, Anordnung oder Vereinbarung mit einer Aufsichtsbehörde oder sonstigen gesetzlichen Verpflichtung angemessen erforderlich ist; oder (vii) wenn ein Datensicherheitsvorfall eintritt.
      
   2. Anforderungen Der Lieferant hat Uber alle Informationen zur Verfügung zu stellen, die zur Durchführung der Risikobewertung nach vernünftigem Ermessen erforderlich sind. Solche Informationen können unter anderem, aber nicht ausschließlich, Fragebögen zur Risikobewertung; Informationssicherheitsrichtlinien und -verfahren; Richtlinien und Verfahren zur Klassifizierung und Handhabung von Daten; Berichte über Datenschutz-Compliance oder Audits, die die Wirksamkeit des Informationssicherheitsprogramms, der Systeme, internen Kontrollen und Verfahren des Lieferanten in Bezug auf die Verarbeitung personenbezogener Daten von Uber anhand eines branchenüblichen Rahmens wie ISO, SSAE16, SOC oder NIST bewerten; sowie weitere von Uber angeforderte Informationen zur Beurteilung des Informationssicherheitsprogramms, der Kontrollen und der Verarbeitung vertraulicher Informationen von Uber durch den Lieferanten umfassen. Solche Informationen umfassen außerdem Angaben zur Verarbeitung personenbezogener Daten von Uber durch den Lieferanten, einschließlich der Datentypen, der Zwecke der Verarbeitung, der Art und Anzahl der Uber Datensubjekte, des Orts der Verarbeitung, der Unterauftragsverarbeiter sowie der Datenaufbewahrung. Kopien der Richtlinien, Verfahren oder sonstiger Dokumente des Lieferanten können Uber zur Verfügung gestellt oder über eine einvernehmlich vereinbarte Bildschirmfreigabe-Anwendung präsentiert werden.
      
   3. Audit-Logs Der Lieferant hat Audit-Protokolle und Aufzeichnungen von Informationssystemen zu führen, einschließlich Anwendungsprotokollen, Zugriffprotokollen, Authentifizierungsprotokollen, Netzwerkprotokollen, Protokollen von Endgeräten und Sicherheitsprotokollen, soweit dies erforderlich ist, um die Überwachung, Analyse, Untersuchung und Berichterstattung über unrechtmäßige, unbefugte oder unangemessene Systemaktivitäten zu ermöglichen, sicherzustellen, dass die Handlungen einzelner Benutzer von Informationssystemen eindeutig diesen Benutzern zugeordnet werden können, sodass sie für ihr Handeln verantwortlich gemacht werden können, und um angemessene Untersuchungen von Datensicherheitsvorfällen zu ermöglichen.
6. Audits
   1. Audits Der Lieferant hat Uber – nach angemessener vorheriger schriftlicher Ankündigung und während der üblichen Geschäftszeiten – auf eigene Kosten die Möglichkeit zu gewähren, die Einrichtungen, Netzwerke, Systeme, Verfahren, die Verarbeitung vertraulicher Informationen von Uber sowie die Einhaltung dieser Vereinbarung durch den Lieferanten zu prüfen (Audit). Uber darf dieses Recht höchstens einmal pro Jahr ausüben, außer im Falle eines Datensicherheitsvorfalls oder wenn dies zur Einhaltung von Datenschutzgesetzen oder sonstigen gesetzlichen Verpflichtungen erforderlich ist.
   2. Audit-Anforderungen Der Lieferant hat im Rahmen der in dem vorherigen Absatz beschriebenen Audits in angemessenem Umfang mitzuwirken, indem er Zugang zu sachkundigem Personal, den physischen Räumlichkeiten, der Dokumentation, der Infrastruktur und jeglicher Anwendungssoftware gewährt, die vertrauliche Informationen von Uber verarbeitet oder anderweitig Zugriff auf die Einrichtungen, Netzwerke, Systeme und Verfahren von Uber hat. Uber trägt die Kosten und Aufwendungen für ein solches Audit (einschließlich der Gebühren und Kosten eines Dritten, der das Audit durchführt), es sei denn, das Audit deckt eine wesentliche Verletzung der Hauptvereinbarung einschließlich dieser Vereinbarung auf oder wird aus diesem Grund eingeleitet. In diesem Fall erstattet der Lieferant Uber die entsprechenden Kosten und Aufwendungen. Der Lieferant hat alle in einem solchen Audit festgestellten Mängel unverzüglich zu beheben und zu korrigieren.
7. Unterauftragsverarbeiter
   1. Zulässige Unterauftragsverarbeiter Der Lieferant darf KEINEM Unterauftragsverarbeiter die Verarbeitung vertraulicher Informationen von Uber gestatten, außer solchen, die im Rahmen einer Risikobewertung benannt wurden. Wenn der Lieferant beabsichtigt, einen anderen Unterauftragsverarbeiter einzusetzen, hat er Uber mindestens 30 Tage vor Beginn einer solchen Verarbeitung zu benachrichtigen, unter Angabe der Zwecke, für die der Unterauftragsverarbeiter vertrauliche Informationen von Uber verarbeiten wird. Wenn Uber keinen Einspruch gegen eine solche Beauftragung erhebt, gilt, dass Uber dieser Beauftragung zugestimmt hat.
      
   2. Verpflichtungen des Unterauftragsverarbeiters Der Lieferant hat mit jedem Unterauftragsverarbeiter vor Beginn der Verarbeitung vertraulicher Informationen von Uber eine Vereinbarung abzuschließen, die Verpflichtungen auferlegt, die nicht weniger restriktiv und mindestens ebenso schützend für die vertraulichen Informationen von Uber sind wie die dem Lieferanten aus dieser Vereinbarung auferlegten Verpflichtungen. Uber kann eine Kopie einer solchen Vereinbarung anfordern und die Zustimmung zur Nutzung eines Unterauftragsverarbeiters verweigern, wenn der Lieferant eine solche Vereinbarung nicht vorlegt oder die Vereinbarung keinen hinreichenden Schutz der vertraulichen Informationen von Uber enthält. Der Lieferant darf eine solche Vereinbarung vor der Weitergabe an Uber schwärzen, soweit dies erforderlich ist, um seine Geschäftsgeheimnisse oder vertraulichen Informationen zu schützen.
      
   3. Einhaltung der Datenschutzgesetze durch Unterauftragsverarbeiter Der Lieferant ist dafür verantwortlich sicherzustellen, dass Unterauftragsverarbeiter die geltenden Datenschutzgesetze im Zusammenhang mit der Verarbeitung personenbezogener Daten von Uber durch die Unterauftragsverarbeiter einhalten.
      
   4. Haftung. Die Nutzung von Unterauftragsverarbeitern durch den Lieferanten berührt oder beschränkt nicht die Haftung des Lieferanten aus dieser Vereinbarung.
8. Schadensersatz: Sofern in der Hauptvereinbarung nicht anders festgelegt, verpflichtet sich das Unternehmen, Uber sowie dessen Direktor*innen, leitende Angestellte, Mitarbeitende und Beauftragte vollständig schadlos zu halten, zu verteidigen und von jeglichen Verlusten, Schäden, Gebühren und Aufwendungen freizustellen, die aus Ansprüchen aufgrund, im Zusammenhang mit oder in irgendeiner Weise im Zusammenhang mit dem Verlust, der Veränderung oder dem Missbrauch personenbezogener Daten von Uber durch das Unternehmen, unbefugtem Zugriff auf oder Zerstörung oder Offenlegung personenbezogener Daten von Uber oder der Verletzung von Abschnitt 4 dieser DVV durch das Unternehmen entstehen.
9. Einschränkung der Übermittlung von umfangreichen sensiblen personenbezogenen Daten aus den USA
   1. Definitionen: Für Zwecke dieses Abschnitts 2.8
      1. haben die Begriffe „Access“ (Zugriff), „Bulk“ (umfangreich), „Bulk U.S. Sensitive Personal Data“ (umfangreiche sensible personenbezogene Daten aus den USA), „Country of Concern“ (Land von Interesse), „Covered Data Transaction“ (betroffene Datenübertragung), „Covered Person“ (betroffene Person), „Data Brokerage“ (Datenvermittlung), „Government-related Data“ (regierungsspezifische Daten), „Sensitive Personal Data“ (sensible personenbezogene Daten) und „U.S. person“ (US-Person) die Bedeutungen, die ihnen in der Vorschrift des Justizministeriums zu sensiblen Daten, 28 C.F.R. Teil 202 zugeordnet sind.
         
      2. „Geschützte Daten“ („Covered Data“ bezeichnet die „umfangreichen sensiblen personenbezogenen Daten aus den USA“ und/oder „regierungsspezifischen Daten“.
         
      3. „Geschützte Stelle“ („Covered Entity“) bezeichnet jede „betroffene Person“ oder jedes „Land von Interesse“.
   2. Für den Fall, dass dem Lieferanten im Zusammenhang mit der Hauptvereinbarung Zugriff auf geschützte Daten gewährt wird, erklärt und gewährleistet der Lieferant, dass er:
      1. keine geschützte Stelle ist;
         
      2. keine geschützte Datenübertragung unter Beteiligung von Datenvermittlung dieser Daten mit einer geschützten Stelle durchführen wird,
         
      3. es sei denn, dies ist ausdrücklich von Uber erlaubt oder nach 28 C.F.R. Part 202 anderweitig gestattet; (A) keiner geschützten Stelle den Zugriff auf solche geschützten Daten gestatten wird; und (B) jedem Unterauftragsverarbeiter untersagen wird, einer geschützte Stelle Zugriff auf geschützte Daten zu gewähren;
         
      4. keine Maßnahmen ergreifen oder versuchen wird, Maßnahmen zu umgehen, die die Verschlüsselung, Maskierung, De-Identifizierung oder andere datenschutzfördernde Strategien bzw. Sicherheitskontrollen betreffen, die von Uber im Zusammenhang mit 28 C.F.R. Part 202 implementiert wurden.
         
      5. Uber alle Informationen zur Verfügung stellen wird, die von Uber im Zusammenhang mit der Einhaltung dieses Abschnitts 2.8 oder von 28 C.F.R. Part 202 nach vernünftigem Ermessen angefordert werden, einschließlich im Zusammenhang mit etwaigen von Uber durchgeführten Untersuchungen.
         

ABSCHNITT 3: ANFORDERUNGEN: PERSÖNLICHE DATEN VON UBER

1. Rolle der Parteien: Sofern in der Hauptvereinbarung nicht anders festgelegt, erkennen die Parteien an und stimmen überein, dass Uber der für die Verarbeitung Verantwortliche der im Zusammenhang mit der Hauptvereinbarung^[1] verarbeiteten personenbezogenen Daten von Uber ist und dass der Lieferant in Bezug auf diese Verarbeitung als Auftragsverarbeiter und/oder Dienstleister tätig ist.
2. Allgemeine Anforderungen: Der Lieferant erkennt an und stimmt zu, dass er:
   1. die Anforderungen aller anwendbaren Datenschutzgesetze im Zusammenhang mit der Verarbeitung personenbezogener Daten von Uber versteht und einhält;
   2. Uber benachrichtigen wird, falls er feststellen sollte, dass er seine Verpflichtungen nach den anwendbaren Datenschutzgesetzen nicht mehr erfüllen kann, sofern dies nicht gesetzlich anders vorgeschrieben ist. Nach Erhalt einer solchen Mitteilung kann Uber angemessene und geeignete Maßnahmen ergreifen, um die Verarbeitung personenbezogener Daten von Uber durch den Lieferanten einzustellen und etwaige Risiken für betroffene Personen von Uber, die sich aus dieser Verarbeitung ergeben, zu beheben. Der Lieferant wird Uber im Zusammenhang mit solchen Maßnahmen angemessen unterstützen (einschließlich, sofern zutreffend, der Einstellung dieser Verarbeitung).
      
   3. personenbezogene Daten von Uber nicht vermieten, verkaufen, weitergeben, offenlegen, mit anderen Daten kombinieren oder anderweitig verarbeiten wird, außer soweit dies zur Erfüllung seiner Verpflichtungen aus der Hauptvereinbarung erforderlich ist, sofern nicht anderweitig schriftlich zwischen den Parteien vereinbart;
      
   4. nicht versuchen wird, eine betroffene Person von Uber anhand von jeglichen vom Lieferanten erhaltenen oder gesammelten de-identifizierten Daten wieder zu identifizieren;
      
   5. keinen Mitarbeitenden des Lieferanten die Verarbeitung personenbezogener Daten von Uber gestatten wird, außer wenn solche Mitarbeitende sich verpflichtet haben, die Vertraulichkeit der personenbezogenen Daten von Uber zu wahren oder gesetzlich verpflichtet sind, die Vertraulichkeit der personenbezogenen Daten von Uber zu wahren.
3. Anforderungen an Auftragsverarbeiter/Dienstleister/Auftragnehmer: Wenn der Lieferant in der Hauptvereinbarung als Auftragsverarbeiter, Dienstleister oder Auftragnehmer benannt ist, hat er im Zusammenhang mit jeglichen personenbezogenen Daten von Uber, die gemäß dieser Benennung verarbeitet werden, Folgendes zu beachten:
   
   1. Wenn als Auftragsverarbeiter und/oder Dienstleister benannt, hat der Lieferant (a) personenbezogene Daten von Uber nur in dieser Funktion gemäß den schriftlichen Anweisungen von Uber zu verarbeiten, sofern nicht gesetzlich anders vorgeschrieben; und (b) personenbezogene Daten von Uber weder für eigene Zwecke noch für Zwecke eines Unterauftragsverarbeiters oder sonstiger Dritter zu kopieren oder zu reproduzieren, einschließlich zum Zweck des Trainings, der Entwicklung oder Verfeinerung von Machine-Learning-Modellen, Systemen künstlicher Intelligenz oder ähnlichen Technologien.
      
   2. In dieser Rolle hat der Lieferant Uber im Rahmen der Verarbeitung personenbezogener Daten durch den Lieferanten nach Maßgabe von Angemessenheit und Erforderlichkeit zu unterstützen, um:
      1. die Erfüllung der Verpflichtungen von Uber gemäß den Artikeln 32 bis 36 der DSGVO, soweit anwendbar, oder entsprechender Verpflichtungen nach sonstigen geltenden Datenschutzgesetzen sicherzustellen; und
         
      2. nachzuweisen, dass die geltenden Datenschutzgesetze eingehalten werden, einschließlich Artikel 28 der DSGVO,
         
   3. Uber zu ermöglichen, angemessene und geeignete Maßnahmen zu ergreifen, um sicherzustellen, dass der Lieferant personenbezogene Daten von Uber in einer Weise verwendet, die mit seinen Verpflichtungen nach den geltenden Datenschutzgesetzen übereinstimmt, und um die unbefugte Nutzung personenbezogener Daten von Uber zu stoppen und zu beheben.
      
   4. Sofern gesetzlich nicht anders vorgeschrieben, hat der Lieferant Uber unverzüglich über jegliche Anfragen eines Datensubjekts von Uber oder einer Regierungs- oder Aufsichtsbehörde, die für den Lieferanten oder Uber zuständig ist, im Zusammenhang mit der Verarbeitung personenbezogener Daten von Uber durch den Lieferanten zu informieren und Uber im Zusammenhang mit jeglicher Reaktion auf eine solche Anfrage oder Aufforderung zu unterstützen.
4. Anforderungen für Verantwortliche: Wenn der Lieferant in der Hauptvereinbarung als Verantwortlicher benannt ist, nimmt er zur Kenntnis und stimmt zu, dass er:
   1. ein unabhängiger Verantwortlicher für personenbezogene Daten von Uber gemäß den Datenschutzgesetzen ist,
      
   2. die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten von Uber festlegen wird,
      
   3. für die Einhaltung der geltenden Datenschutzgesetze selbst verantwortlich ist, unter anderem in Bezug auf die Benachrichtigung der betroffenen Personen (Datensubjekte) über die Verarbeitung ihrer personenbezogenen Daten und die Art und Weise, wie diese ihre Rechte ausüben können, sowie die Einholung erforderlicher Einwilligungen,
      
   4. die auf ihn nach den Datenschutzgesetzen anwendbaren Verpflichtungen im Zusammenhang mit der Verarbeitung personenbezogener Daten von Uber einhalten wird.
5. Grenzüberschreitende Übermittlungen: Wenn die Verarbeitung personenbezogener Daten durch den Lieferanten die Übermittlung personenbezogener Daten von betroffenen Personen von Uber umfasst,
   1. hat der Lieferant alle auf solche Übermittlungen anwendbaren Datenschutzgesetze einzuhalten, und
      
   2. soweit zutreffend, basierend auf dem Standort der Datensubjekte von Uber, deren personenbezogene Daten übermittelt werden, die Anforderungen gemäß Anhang 2 zu dieser Vereinbarung einzuhalten.

ABSCHNITT 4: SONSTIGES

1. Datum des Inkrafttretens: Diese Vereinbarung gilt ab dem Datum der Unterzeichnung der Hauptvereinbarung.
2. Beendigung und Fortbestand: Ungeachtet gegenteiliger Bestimmungen in der Hauptvereinbarung bleibt diese Vereinbarung und alle hierin enthaltenen Bestimmungen so lange in Kraft, und soweit der Lieferant vertrauliche Informationen von Uber verarbeitet oder aufbewahrt.
   
3. Nichteinhaltung Der Lieferant hat Uber unverzüglich zu informieren, falls er nicht in der Lage ist, diese Vereinbarung einzuhalten. Wenn der Lieferant innerhalb einer angemessenen Frist nicht in der Lage ist, diese Vereinbarung einzuhalten, oder der Lieferant die Vereinbarung oder seine Verpflichtungen aus dieser Vereinbarung wesentlich oder fortdauernd verletzt, ist Uber berechtigt, diese Vereinbarung und die Hauptvereinbarung insoweit zu kündigen, als sie die Verarbeitung vertraulicher Informationen von Uber betrifft; wobei jedoch jede Verletzung von Abschnitt 2.9 als wesentliche Vertragsverletzung gilt und Uber das Recht hat, die Hauptvereinbarung sofort zu kündigen.
4. Salvatorische Klausel Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien werden die unwirksame Klausel durch eine rechtlich zulässige Klausel ersetzen, die die beabsichtigte kommerzielle Wirkung so genau wie möglich erreicht.
   
5. Streitfälle Im Streitfall gilt Folgendes: (i) zwischen dieser Vereinbarung und der Hauptvereinbarung hat diese Vereinbarung Vorrang; und (ii) zwischen dieser Vereinbarung und einer Vereinbarung zur Geschäftsassoziation („Business Associate Agreement“, „BAA“) gemäß HIPAA zwischen Uber und dem Lieferanten hat die BAA Vorrang.
   
6. Geltendes Recht und Gerichtsstand Für diese Vereinbarung gelten das geltende Recht und der Gerichtsstand gemäß der Hauptvereinbarung.

ANHANG 1
Organisatorische/verwaltungsmäßige, Physische und Technische Maßnahmen

1. Organisatorische/verwaltungsmäßige Sicherheitsmaßnahmen: Der Lieferant hat Maßnahmen umgesetzt und wird diese im Verlauf seiner Verarbeitung vertraulicher Informationen von Uber entsprechend pflegen und aktualisieren (wobei solche Aktualisierungen die zum Schutz vertraulicher Informationen von Uber eingesetzten Sicherheitsvorkehrungen nicht verringern oder verschlechtern dürfen):
   1. Ein umfassendes Informations- und Netzwerksicherheitsprogramm, bestehend aus Richtlinien, Praktiken und Verfahren, die die Dienstleistungen regeln (zusammenfassend das „Datensicherheitsprogramm“), das (i) den aktuellen Best Practices entspricht; (ii) alle anwendbaren Datenschutzgesetze einhält; (iii) soweit zutreffend, die Standards des Payment Card Industry Data Security Standards (PCI DSS) erfüllt; (iv) den ISO-27000-, NIST-800-53-, CIS-Top-20- oder HITRUST-Sicherheitsstandard einhält oder sich daran orientiert; und (v) soweit zutreffend, die Anforderungen der Sensitive Data Rule des U.S. Department of Justice, 28 C.F.R. Part 202, erfüllt, Der Lieferant hat die Dokumentation seines Datensicherheitsprogramms auf Anfrage Uber zur Verfügung zu stellen.
   2. Ein dokumentiertes Data-Loss-Prevention-Programm (DLP-Programm), das darauf ausgelegt ist, das Risiko von Datensicherheitsvorfällen zu erkennen, zu verhindern und zu mindern, und das mindestens Folgendes umfasst:
      1. geeignete Richtlinien und technische Kontrollen, die darauf ausgelegt sind, den Verlust vertraulicher Informationen von Uber zu verhindern; und
      2. einen Notfall- und Geschäftskontinuitätsplan, der den fortlaufenden Zugriff, die Pflege und Speicherung vertraulicher Informationen von Uber sowie die Sicherheitsanforderungen für Backup-Standorte und alternative Kommunikationsnetzwerke berücksichtigt,
   3. Richtlinien und Verfahren, die den Zugriff auf vertrauliche Informationen von Uber auf diejenigen beschränken, die einen solchen Zugriff benötigen, um ihre Aufgaben und Verantwortlichkeiten im Zusammenhang mit der Hauptvereinbarung wahrzunehmen,
   4. Verfahren zur Überprüfung aller Zugriffsrechte mittels wirksamer Authentifizierungsmethoden,
   5. Ein Verfahren zur Durchführung von Informationssicherheits-Risikobewertungen mindestens alle zwei Jahre für alle Auftragsverarbeiter oder Unterauftragsverarbeiter des Lieferanten, die Zugriff auf vertrauliche Informationen von Uber haben Solche Auftragsverarbeiter/Unterauftragsverarbeiter müssen über Informationssicherheitskontrollen verfügen, die den Schutz vertraulicher Informationen von Uber nicht weniger gewährleisten als die Anforderungen dieser Vereinbarung. Uber kann eine Kopie einer solchen Risikobewertung anfordern, die der Lieferant für einen Unterauftragsverarbeiter durchgeführt hat, und die Zustimmung zur Nutzung eines solchen Unterauftragsverarbeiters verweigern, wenn die Bewertung ergibt, dass der Unterauftragsverarbeiter nicht über ausreichende Informationssicherheitskontrollen verfügt, um vertrauliche Informationen von Uber zu schützen.
   6. Ein Sicherheitsbewusstseinsprogramm für die Belegschaft des Lieferanten, das regelmäßige Schulungen zu Informationssicherheitsthemen umfasst, wie z. B. sichere Datenverarbeitung, Schutz von Passwörtern und Zugangsdaten, Social Engineering sowie die Erkennung und Meldung potenzieller Sicherheitsvorfälle
   7. Ein kontinuierliches Schwachstellenmanagement-Programm unter Verwendung eines branchenüblichen Risiko-Bewertungsverfahrens, um die Behebung entdeckter Schwachstellen zu priorisieren Wenn eine Schwachstelle festgestellt wird, die die Vertraulichkeit, Verfügbarkeit oder Integrität vertraulicher Informationen von Uber beeinträchtigen könnte, hat der Lieferant auf Anfrage hin hinreichende Nachweise zu erbringen, die belegen, dass die Schwachstelle behoben wurde, und Uber die Möglichkeit zu geben zu bestimmen, ob ein Datensicherheitsvorfall eingetreten ist.
   8. Ein sicheres Asset-Management-Programm, das einen branchenüblichen Sicherheitsstandard durchsetzt, einschließlich der Klassifizierung von Assets und der Inventarisierung von Geräten/Systemen, auf denen vertrauliche Informationen von Uber verarbeitet werden
   9. Formelle, schriftliche Verfahren, um Datensicherheitsvorfälle zeitnah zu erkennen, zu identifizieren, zu melden, darauf zu reagieren, deren Auswirkungen zu mindern und sie zu beheben; diese Verfahren umfassen auch Prozesse für die Belegschaft des Lieferanten, einschließlich Systemadministratoren, um anomale Ereignisse an das Team für die Bearbeitung von Vorfällen zu melden, sowie die Verpflichtung des Lieferanten, betroffene Personen und Stellen, Aufsichtsbehörden und ggf. weitere Mitglieder der Öffentlichkeit zu benachrichtigen, soweit erforderlich oder vorgeschrieben
   10. Vorfallsimulationen, wie z. B. Tabletop- oder Red-Team-Übungen, die routinemäßig geplant und durchgeführt werden
   11. Ein etabliertes Programm für Penetrationstests, das eine vollständige Bandbreite an kombinierten Angriffen umfasst, wie z. B. clientbasierte und Webanwendungsangriffe
   12. Ein Governance- und Risikomanagementprogramm für Cloud-Dienste, damit grundlegende Sicherheitskonfigurationen und Schutzmaßnahmen aktiviert werden
   13. Sichere Codierungspraktiken, die für die verwendete Programmsprache geeignet sind, und Schulung des gesamten Personals im Schreiben von sicherem Code
   14. Eine Datenzugriffsrichtlinie einer Regierungsbehörde, die den Zugriff des Regierung auf Daten verweigert, es sei denn, dieser Zugriff ist gesetzlich vorgeschrieben oder es besteht die unmittelbare Gefahr einer schwerwiegenden Schädigung von Personen
   15. Richtlinien und Verfahren zur Bewertung der Rechtsgrundlage und Beantwortung von Anfragen von Regierungsbehörden nach Daten
   16. Spezifische Schulung des Personals, das für die Bearbeitung von Anfragen staatlicher Stellen auf Zugang zu Daten zuständig ist, was auch Anforderungen gemäß den geltenden Datenschutzgesetzen umfassen kann
   17. Verfahren zur Dokumentation und Aufzeichnung von Anfragen von Regierungsbehörden nach Daten, der erbrachten Antworten und der beteiligten Regierungsstellen
   18. Verfahren zur Benachrichtigung von Uber über Anfragen oder Anforderungen von Regierungsbehörden hinsichtlich des Zugriffs auf Daten, sofern dies nicht gesetzlich verboten ist
2. Physische Sicherheitsmaßnahmen
   1. Der Lieferant hat für alle Standorte, die für die Verarbeitung vertraulicher Informationen von Uber genutzt werden, geeignete physische Sicherheitsmaßnahmen eingeführt und wird diese gegebenenfalls aktualisieren, während er vertrauliche Informationen von Uber verarbeitet, und überwacht kontinuierlich sämtliche Änderungen der physischen Infrastruktur, des Geschäfts und bekannter Bedrohungen.
3. Technische Sicherheitsmaßnahmen: Der Lieferant hat während der Verarbeitung vertraulicher Informationen von Uber folgende Pflichten:
   1. Durchführung von Schwachstellenscans und -bewertungen für Anwendungen und Infrastrukturen, die zur Verarbeitung vertraulicher Informationen von Uber verwendet werden
   2. Schutz der eigenen Computernetzwerke durch mehrschichtige Zugangskontrollen, einschließlich einer mehrstufigen Authentifizierung, vor unbefugtem Zugriff
   3. Beschränkung des Zugangs durch Mechanismen wie z. B. Genehmigungen durch das Management, robuste Kontrollen, Protokollierung und Überwachung von Zugangsereignissen und anschließende Audits
   4. Implementierung und Pflege von Ereignisprotokollen auf allen Systemen, die vertrauliche Informationen von Uber verarbeiten, die hinreichend detailliert sind, um dem Lieferanten die Bestimmung zu ermöglichen, ob ein Datensicherheitsvorfall eingetreten ist, sowie die voraussichtlichen Folgen des Datensicherheitsvorfalls, einschließlich, aber nicht beschränkt darauf, ob vertrauliche Informationen von Uber zugegriffen, erworben, verändert oder gelöscht wurden Diese Ereignisprotokolle müssen mindestens dreizehn (13) Monate lang aufbewahrt und Uber auf Anfrage innerhalb von sieben (7) Kalendertagen nach der Anfrage zur Verfügung gestellt werden. Enthalten die Protokolle Ereignisinformationen, die sich auf andere Unternehmen oder Kund*innen beziehen, muss der Lieferant in der Lage sein, die Uber Ereignisprotokolldaten auf Anfrage zu trennen.
   5. Identifizierung weiterer Computersysteme und Anwendungen, die eine Überwachung und Protokollierung von Sicherheitsereignissen erfordern, sowie die angemessene Pflege von Protokolldateien
   6. Überprüfung und Analyse von Ereignisprotokollen unter Verwendung kontinuierlicher, automatisierter Überwachungs- und Alarmierungsprozesse, um anomale Ereignisse und Aktivitäten zu erkennen, darauf zu reagieren und diese zu untersuchen
   7. Verwendung aktueller, branchenüblicher kommerzieller Virus-/Malware-Scansoftware, die schädlichen Code auf allen Systemen erkennt, die vertrauliche Informationen von Uber verarbeiten
   8. Durchsetzung von Schutzmaßnahmen an den Netzgrenzen und zwischen den Netzen
   9. Verschlüsselung vertraulicher Informationen von Uber während der Übertragung.
   10. Verschlüsselung vertraulicher Informationen von Uber im Ruhezustand und alleinige Verwaltung sowie Sicherung aller Verschlüsselungsschlüssel durch den Lieferanten (d. h. kein anderer Dritter, einschließlich Auftragsverarbeiter oder Unterauftragsverarbeiter, darf Zugriff auf diese Verschlüsselungsschlüssel haben)

ANHANG 2
Grenzüberschreitende Übermittlungen

Sofern nicht anderweitig zwischen den Parteien vereinbart, legt dieser Anhang 2 die Mechanismen fest, die die Parteien verwenden werden, um grenzüberschreitende Übermittlungen personenbezogener Daten zu ermöglichen, soweit dies nach den Datenschutzgesetzen erforderlich ist. Insbesondere, soweit die Dienstleistungen die Übermittlung personenbezogener Daten von betroffenen Personen von Uber in den folgenden Ländern erfordern, stimmen die Parteien Folgendem zu:

1. EWR oder Schweiz Wenn die Dienstleistungen des Lieferanten die Übermittlung personenbezogener Daten von betroffenen Personen von Uber im EWR oder in der Schweiz in ein Land oder Gebiet außerhalb dieser Regionen betreffen, das von der Europäischen Kommission nicht als ein angemessenes Datenschutzniveau anerkannt wurde, werden die Parteien die Standardvertragsklauseln vom 4. Juni 2021 („SCC“) in diese Vereinbarung aufnehmen und deren Einhaltung vereinbaren, sofern in dieser Vereinbarung nicht anderweitig zwischen den Parteien vereinbart. Wenn die SCC auf diese Weise integriert sind:
   1. Modul 1 (Verantwortlicher zu Verantwortlichem) findet Anwendung, wenn der Lieferant als Verantwortlicher benannt ist;
   2. Modul 2 (Verantwortlicher zu Auftragsverarbeiter) findet Anwendung, wenn der Lieferant als Auftragsverarbeiter benannt ist;
   3. Die optionale Docking-Klausel (Klausel 7) findet keine Anwendung;
   4. Die in Klausel 11 (Rechtsbehelf) enthaltene fakultative Formulierung findet keine Anwendung;
   5. Das geltende Recht für die Zwecke von Klausel 17 (anwendbares Recht) ist das Recht der Niederlande;
   6. Die Gerichte gemäß Klausel 18 (Wahl des Gerichtsstands und der Gerichtsbarkeit) sind die Gerichte der Niederlande, sofern die Parteien in der Hauptvereinbarung nichts anderes vereinbart haben; und
   7. Die zuständige Aufsichtsbehörde im Sinne von Klausel 13 (Aufsicht) der SCC ist die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens), sofern von den Parteien in der Hauptvereinbarung nichts anderes vereinbart wurde.
   8. Die Parteien erklären, dass sie nicht davon ausgehen, dass die Gesetze und Praktiken in einem Land, in das personenbezogene Daten von Uber im Rahmen der Hauptvereinbarung übermittelt werden, den Lieferanten daran hindern werden, seine Verpflichtungen aus den SCC zu erfüllen.
   9. Anstelle von Anhang 1 der SCC vereinbaren die Parteien Folgendes:
      1. Die Identität und Kontaktdaten von Uber als Datenexporteur und des Lieferanten als Datenimporteur sind in der Hauptvereinbarung und dieser Vereinbarung festgelegt.
         
      2. Die Art und der Zweck bzw. die Zwecke der Verarbeitung erfolgen im Rahmen der Dienstleistungen oder wie anderweitig in der Hauptvereinbarung oder dieser Vereinbarung angegeben.
      3. Die übermittelten personenbezogenen Daten von Uber werden vom Anbieter gemäß der Hauptvereinbarung oder dieser Vereinbarung gespeichert.
      4. Die Kategorien der Datensubjekte von Uber und der übermittelten personenbezogenen Daten von Uber sind solche, die in der vor der Verarbeitung der personenbezogenen Daten von Uber durchgeführten Risikobewertung dokumentiert wurden.
      5. Anstelle von Anhang 2 zu den SCC vereinbaren die Parteien, Anhang 1 dieser Vereinbarung einzuhalten.
      6. Anstelle von Anhang 3 der SCC (sofern zutreffend) vereinbaren die Parteien, dass die autorisierten Unterauftragsverarbeiter personenbezogener Daten von Uber diejenigen sind, die in der Risikobewertung identifiziert wurden, die vor der Verarbeitung personenbezogener Daten von Uber durchgeführt wurde, oder wie anderweitig in dieser Vereinbarung oder der Hauptvereinbarung angegeben.
2. Vereinigtes Königreich: Sollten die Services des Anbieters die Übermittlung personenbezogener Daten von Datensubjekten von Uber im Vereinigten Königreich in ein Land beinhalten, das kein angemessenes Datenschutzniveau gewährleistet, dann gelten die SCC gemäß den Bedingungen des „UK-Nachtrags zu den EU-Standardvertragsklauseln“. ” herausgegeben vom Information Commissioner's Office gemäß S.119A des Datenschutzgesetzes des Vereinigten Königreichs von 2018 („UK-Nachtrag“). Dieser UK-Nachtrag gilt vorbehaltlich Abschnitt 3.5(b) dieser Vereinbarung als zwischen dem Lieferanten und Uber unterzeichnet.
3. Brasilien: Wenn die Verarbeitung personenbezogener Daten durch den Lieferanten die grenzüberschreitende Übermittlung personenbezogener Daten von betroffenen Personen von Uber in Brasilien umfasst, sei es zwischen den Parteien oder an Dritte, hat der Lieferant die Einhaltung aller anwendbaren Datenschutzgesetze sicherzustellen, einschließlich der Anwendung geeigneter rechtlicher Mechanismen, wie Standardvertragsklauseln oder anderer gesetzlich vorgeschriebener Instrumente, und sicherzustellen, dass die Verarbeitung mindestens das gleiche Schutzniveau und die gleichen Sicherheitsmaßnahmen für die personenbezogenen Daten bietet, wie in dieser Vereinbarung festgelegt.
   1. Grenzüberschreitende Übermittlungen personenbezogener Daten von Datensubjekten von Uber in Brasilien Wenn die Verarbeitung personenbezogener Daten die grenzüberschreitende Übermittlung personenbezogener Daten von betroffenen Personen von Uber in Brasilien zwischen den Parteien in ein Land oder Gebiet umfasst, das von der zuständigen Behörde nicht als ein angemessenes Datenschutzniveau anerkannt wurde, nehmen die Parteien hiermit die brasilianischen Standardvertragsklauseln, die in Anhang II der Resolution Nr. 19 von 2024 der brasilianischen Datenschutzbehörde („SCC für Brasilien“) enthalten sind, so auf, als wären sie vollständig hierin niedergelegt, und verpflichten sich, diese einzuhalten, verfügbar unter: Brasilianische Standardvertragsklauseln. In solchen Fällen gilt Folgendes:
      1. Für Zwecke jeder grenzüberschreitenden Übermittlung personenbezogener Daten gilt Uber oder eines seiner verbundenen Unternehmen als Datenverarbeitungsbeauftragter.
      2. Die Informationsübersichten in Klausel 1.1 der SCC für Brasilien werden durch die Qualifikation und Kontaktdaten von Uber und dem Lieferanten ersetzt, wie in der Hauptvereinbarung, dieser Vereinbarung und der jeweiligen Datenschutzerklärung der Parteien festgelegt.
      3. Für die Zwecke der in Klausel 1.1 der SCC für Brasilien vorgesehenen Kontrollkästchen bezüglich der Rollen der Parteien gilt das Kontrollkästchen „Exporter/Controller“ als für Uber ausgewählt. Für den Lieferanten gilt das Kontrollkästchen „Importer“, das der Klassifizierung des Lieferanten gemäß Klausel 3.1 dieser Vereinbarung („Rolle der Parteien“) oder wie in der Hauptvereinbarung festgelegt entspricht, als ausgewählt.
      4. Die Parteien vereinbaren, dass: (i) der primäre Zweck der grenzüberschreitenden Übermittlung personenbezogener Daten von Uber die Erbringung der in der Hauptvereinbarung oder dieser Vereinbarung festgelegten Dienstleistungen ist; (ii) die übermittelten personenbezogenen Daten von Uber gemäß der Hauptvereinbarung oder dieser Vereinbarung, in Übereinstimmung mit den anwendbaren Datenschutzgesetzen und der Datenschutzerklärung jeder Partei, aufbewahrt werden; und (iii) die Kategorien der betroffenen Personen von Uber und die jeweiligen übermittelten personenbezogenen Daten von Uber diejenigen sind, die in der vor der Verarbeitung dieser personenbezogenen Daten durchgeführten Risikobewertung dokumentiert wurden. Diese Informationen ersetzen die Tabelle mit der Beschreibung der Datenübermittlung in Abschnitt 2.1 der SCC für Brasilien.
      5. Für die Zwecke von Klausel 3.1 der SCC für Brasilien, die Weiterübermittlungen behandelt, vereinbaren die Parteien, dass Option A gilt, wenn beide Parteien als Verantwortliche handeln. Wenn der Lieferant als Auftragsverarbeiter handelt, gilt Option B, und die in Klausel 3.1 enthaltene Beschreibungsübersicht wird durch die Risikobewertung ersetzt, die vor der Verarbeitung personenbezogener Daten von Uber durch den Lieferanten durchgeführt wurde oder wie in der Hauptvereinbarung festgelegt.
      6. Für die Zwecke von Klausel 4.1 der SCC für Brasilien, die die Verantwortlichkeiten der Parteien behandelt, vereinbaren die Parteien, dass Option A gilt und dass sowohl der Exporteur als auch der Importeur für die Erfüllung der in den Punkten „a“, „b“ und „c“ festgelegten Verpflichtungen verantwortlich sind, wenn beide Parteien als Verantwortliche handeln. Wenn der Lieferant als Auftragsverarbeiter handelt, liegen diese Verpflichtungen ausschließlich bei Uber.
      7. Die Tabelle in Abschnitt III der SCC für Brasilien wird durch Anhang 1 dieser Vereinbarung ersetzt.
   2. Saudi-Arabien Wenn die Verarbeitung personenbezogener Daten durch den Lieferanten die Übermittlung personenbezogener Daten von betroffenen Personen von Uber in Saudi-Arabien in ein Land oder Gebiet betrifft, das von der zuständigen Behörde nicht als angemessenes Datenschutzniveau anerkannt wurde, nehmen die Parteien hiermit die Standardvertragsklauseln für die Übermittlung personenbezogener Daten, Version 1.0 vom September 2024 („KSA-SCC“), die von der Saudi Data & AI Authority (SDAIA) genehmigt wurden, in diese Vereinbarung auf und verpflichten sich zur ihrer Einhaltung, sofern in dieser Vereinbarung nicht anderweitig zwischen den Parteien vereinbart. Wenn die SCC auf diese Weise integriert sind:
      1. Vorlage 1: (Verantwortlicher zu Verantwortlichem) findet Anwendung, wenn der Lieferant als Verantwortlicher benannt ist;
      2. Vorlage 2: (Verantwortlicher zum Auftragsverarbeiter) findet Anwendung, wenn der Lieferant als Auftragsverarbeiter benannt ist;
      3. ist das geltende Recht für die Zwecke von Klausel 8 (anwendbares Recht und Gerichtsstand) das Recht des Königreichs Saudi-Arabien. Jegliche sich aus der Anwendung der Bestimmungen dieser Klauseln ergebenden Streitigkeiten unterliegen der Gerichtsbarkeit des Königreichs und sind vor dessen Gerichten zu verhandeln.
      4. Die zuständige Behörde für die Zwecke von Klausel 9 (Einhaltung von Anforderungen der zuständigen Behörde) ist die Saudi Data & AI Authority (SDAIA).
      5. Die Parteien erklären, dass sie nicht davon ausgehen, dass die Gesetze und Praktiken in einem Land, in das personenbezogene Daten von Uber im Rahmen der Hauptvereinbarung übermittelt werden, den Lieferanten („den Importeur personenbezogener Daten“) daran hindern werden, seine Verpflichtungen aus den KSA-SCC einzuhalten und zu erfüllen.
      6. Für die Zwecke von Anhang 1 gelten die Informationen der Parteien wie in dieser Vereinbarung und der Hauptvereinbarung dargelegt. Uber ist als Datenexporteur und Verantwortlicher für die personenbezogenen Daten von betroffenen Personen von Uber benannt, während der Lieferant als Datenimporteur der personenbezogenen Daten von Datensubjekten von Uber benannt ist und die in Klausel 3.1 „Rolle der Parteien“ dieser Vereinbarung festgelegte Rolle ausführt.
      7. Für die Zwecke von Anhang 2 vereinbaren die Parteien Folgendes:
         1. Die Kategorien der Datensubjekte von Uber und der übermittelten personenbezogenen Daten von Uber sind solche, die in der vor der Verarbeitung der personenbezogenen Daten von Uber durchgeführten Risikobewertung dokumentiert wurden.
         2. Der Zweck/die Zwecke der Übermittlung erfolgt/erfolgen im Rahmen der Dienstleistungen oder wie anderweitig in der Hauptvereinbarung oder dieser Vereinbarung angegeben.
         3. Die übermittelten personenbezogenen Daten von Uber werden vom Lieferanten gemäß der Hauptvereinbarung oder dieser Vereinbarung aufbewahrt.
         4. Anstelle von Anhang 3 der KSA-SCC vereinbaren die Parteien, die Bestimmungen von Anhang 1 dieser Vereinbarung einzuhalten.

1. Bitte beziehen Sie sich auf die Datenschutzerklärung von Uber, um die für Ihre Region zuständigen Verantwortlichen für vertrauliche Informationen von Uber zu bestimmen. Wenn eine andere Stelle als der benannte Verantwortliche diese Vereinbarung im Namen von Uber abschließt, ist sie durch die jeweiligen für die Verarbeitung Verantwortlichen hierzu autorisiert. Uber behält sich das Recht vor, ein anderes verbundenes Unternehmen von Uber für die Zwecke dieser Vereinbarung als für die Verarbeitung Verantwortlichen zu bestimmen. ↑