Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google
Der Kunde, der Messdienste einsetzt und diesen Bedingungen zustimmt (im Folgenden als Kunde bezeichnet), hat entweder mit Google oder mit einem Drittanbieter-Reseller eine Vereinbarung bezüglich der Bereitstellung der Messdienste getroffen (die Vereinbarung, kann gelegentlich geändert werden), über deren Benutzeroberfläche der Kunde die Datenfreigabeeinstellung aktiviert hat.
Diese Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google (die Datenverarbeitungsbedingungen) werden zwischen Google und dem Kunden abgeschlossen. Wenn der Kunde und Google die Vereinbarung eingegangen sind, ergänzen diese Datenverarbeitungsbedingungen die Vereinbarung. Ist der Kunde die Vereinbarung hingegen mit einem Drittanbieter-Reseller eingegangen, stellen diese Datenverarbeitungsbedingungen eine separate Vereinbarung zwischen Google und dem Kunden dar.
Zur Klarstellung wird festgehalten, dass die Bereitstellung der Messdienste der Vereinbarung unterliegt. Diese Datenverarbeitungsbedingungen regeln ausschließlich die Datenschutzbestimmungen für die Datenfreigabeeinstellung. Sie gelten nicht für die Bereitstellung der Messdienste.
Gemäß Abschnitt 6.2 (Keine Auswirkungen auf die Bedingungen für Auftragsverarbeiter) gelten diese Datenverarbeitungsbedingungen ab dem Datum des Inkrafttretens der Bedingungen und ersetzen alle vorherigen anwendbaren Bedingungen in Bezug auf deren Gegenstand.
Wenn Sie diese Datenverarbeitungsbedingungen stellvertretend für den Kunden akzeptieren, bestätigen Sie, dass Sie (a) rechtlich vollumfänglich befugt sind, den Kunden an diese Datenverarbeitungsbedingungen zu binden, (b) die Datenverarbeitungsbedingungen gelesen und verstanden haben und (c) diesen Datenverarbeitungsbedingungen im Namen des Kunden zustimmen. Falls Sie rechtlich nicht dazu befugt sind, den Kunden zu binden, akzeptieren Sie diese Datenverarbeitungsbedingungen bitte nicht.
Bitte stimmen Sie diesen Datenverarbeitungsbedingungen nicht zu, wenn Sie ein Reseller sind. Diese Datenverarbeitungsbedingungen regeln die Rechte und Verpflichtungen, die für die Nutzer der Messdienste und Google gelten.
1. Einführung
Diese Datenverarbeitungsbedingungen legen die Vereinbarung der Parteien zur Verarbeitung personenbezogener Daten eines Verantwortlichen gemäß der Datenfreigabeeinstellung dar.
2. Begriffsbestimmungen und Auslegung
2.1
In diesen Datenverarbeitungsbedingungen gilt Folgendes:
„Zusatzbedingungen“ sind die in Anhang 1 genannten zusätzlichen Bedingungen. Sie stellen die Vereinbarung zwischen den Parteien über die Bedingungen dar, die für die Verarbeitung personenbezogener Daten eines Verantwortlichen im Zusammenhang mit bestimmten anwendbaren Datenschutzvorschriften gelten.
„Zweigunternehmen“ bezeichnet jedes Rechtssubjekt, das eine Partei direkt oder indirekt kontrolliert, von einer der Parteien kontrolliert wird oder unter gemeinsamer Kontrolle mit einer der Parteien steht.
„Anwendbare Datenschutzvorschriften“ bezeichnet in Bezug auf die Verarbeitung personenbezogener Daten eines Verantwortlichen alle Gesetze oder Vorschriften zum Schutz von Daten, der Privatsphäre und der Datensicherheit, die auf nationaler, Bundes-, EU-, Bundesländer-, Provinz- oder sonstiger Ebene gelten, einschließlich der europäischen Datenschutzvorschriften, des LGPD und der Datenschutzgesetze von US-Bundesstaaten.
„Vertrauliche Informationen“ bezeichnet diese Datenverarbeitungsbedingungen.
„Betroffene Person eines Verantwortlichen“ bezeichnet eine betroffene Person, auf die sich personenbezogene Daten eines Verantwortlichen beziehen.
„Personenbezogene Daten eines Verantwortlichen“ bezeichnet personenbezogene Daten, die durch eine der Parteien gemäß der Datenfreigabeeinstellung verarbeitet werden.
„Datenfreigabeeinstellung“ bezeichnet die Einstellung, die der Kunde über die Benutzeroberfläche der Messdienste aktiviert hat und die es Google und dessen Zweigunternehmen ermöglicht, personenbezogene Daten zur Verbesserung der Produkte und Dienste von Google und seiner Zweigunternehmen zu verwenden.
„Endverantwortlicher“ bezeichnet bei jeder Partei die Person, die letztendlich für die personenbezogenen Daten eines Verantwortlichen verantwortlich ist.
„EU-DSGVO“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
„Europäische Datenschutzvorschriften“ bezeichnet, je nach Anwendungsfall, (a) die DSGVO und/oder (b) das Schweizer Datenschutzgesetz.
„DSGVO“ bezeichnet, je nach Anwendungsfall, (a) die EU-DSGVO und/oder (b) die DSGVO (Vereinigtes Königreich).
„Google“ steht für Folgendes:
- (a) Wenn ein Rechtssubjekt von Google Partei der Vereinbarung ist: dieses Rechtssubjekt von Google.
- (b) Wenn der Kunde die Vereinbarung mit einem Drittanbieter-Reseller eingegangen ist und:
- (i) der Drittanbieter-Reseller in Nordamerika oder einer anderen Region außerhalb Europas, des Nahen Ostens, Afrikas, Asiens und Ozeaniens ansässig ist: Google LLC (ehemals Google Inc.);
- (ii) der Drittanbieter-Reseller in Europa, im Nahen Osten oder in Afrika ansässig ist: Google Ireland Limited;
- (iii) der Drittanbieter-Reseller in Asien oder Ozeanien ansässig ist: Google Asia Pacific Pte. Ltd.
„Rechtssubjekt von Google“ steht für Google LLC, Google Ireland Limited oder andere Zweigunternehmen von Google LLC.
„LGPD“ bezeichnet das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais).
„Messdienste“ steht für Google Analytics, Google Analytics 360, Google Analytics for Firebase, Google Optimize oder Google Optimize 360, je nach Anwendungsfall gemäß der Datenfreigabeeinstellung, für die die Parteien diese Datenverarbeitungsbedingungen vereinbart haben.
„Richtlinien“ bezeichnet die Richtlinie zur Einwilligung der Nutzer in der EU: www.google.com/intl/de/about/company/user-consent-policy/.
„Bedingungen für Auftragsverarbeiter“ steht für Folgendes:
- (a) Wenn Google eine Partei der Vereinbarung ist: die Bedingungen der Auftragsverarbeitung unter https://business.safety.google/adsprocessorterms oder
- (b) wenn der Kunde die Vereinbarung mit einem Drittanbieter-Reseller getroffen hat: die Bedingungen, die eine Beziehung zwischen einem Verantwortlichen und einem Auftragsverarbeiter darstellen (sofern vorhanden) und die der Kunde und der Drittanbieter-Reseller vereinbart haben.
„Schweizer Datenschutzgesetz“ bezeichnet das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992.
„Datum des Inkrafttretens der Bedingungen“ ist das Datum, an dem der Kunde diese Datenverarbeitungsbedingungen per Klick akzeptiert hat oder die Parteien ihnen anderweitig zugestimmt haben.
„Personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich“ bezeichnet die personenbezogenen Daten eines Verantwortlichen, wenn die betroffene Person im Vereinigten Königreich ansässig ist.
„UK GDPR“ bezeichnet die an die Gesetzgebung des Vereinigten Königreichs angepasste und darin integrierte EU-DSGVO unter Berücksichtigung des UK European Union (Withdrawal) Act 2018 sowie anwendbare sekundäre Vorschriften dieses Gesetzes.
„Datenschutzgesetze von US-Bundesstaaten“ bezeichnet je nach Anwendungsfall (i) das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act) von 2018, einschließlich der Fassung, die durch den California Privacy Rights Act (Kalifornisches Gesetz zum Schutz der Privatsphäre von Verbrauchern) von 2020 geändert wurde, und aller Durchführungsbestimmungen (im Folgenden „CCPA“ genannt), (ii) das Gesetz von Virginia zum Schutz der Daten von Verbrauchern (Virginia Consumer Data Protection Act, Va. Code Ann. § 59.1-571 et seq.), (iii) das Datenschutzgesetz von Colorado (Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 et seq.) und (iv) das Gesetz von Connecticut zum Datenschutz und zur Onlineüberwachung (Connecticut’s Act Concerning Data Privacy and Online Monitoring, Pub. Act. No. 22015) oder (v) das Gesetz von Utah zum Schutz der Privatsphäre von Verbrauchern (Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 et seq.).
2.2
Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verarbeitung“ und „Auftragsverarbeiter“ haben in diesen Datenverarbeitungsbedingungen (a) die in den anwendbaren Datenschutzvorschriften festgelegten Bedeutungen oder (b) – falls es keine solchen Begriffsfestlegungen oder Datenschutzvorschriften gibt – die in der DSGVO genannten Bedeutungen.
2.3
In diesen Datenverarbeitungsbedingungen genannte Beispiele dienen nur der Veranschaulichung und sind nicht als ausschließliche Beispiele für ein bestimmtes Konzept gedacht.
2.4
Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren zum jeweiligen Zeitpunkt gültige (gelegentlich geänderte oder überarbeitete) Fassung.
2.5
Soweit eine übersetzte Fassung dieser Vereinbarung nicht mit der englischen Fassung übereinstimmt, hat die englische Fassung Vorrang.
2.6
Verweise in den Standardvertragsklauseln für Datenverantwortliche auf die Datenverarbeitungsbedingungen zwischen Verantwortlichen für Google Werbeprodukte sind als Verweise auf die Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google zu verstehen.
3. Anwendbarkeit dieser Datenverarbeitungsbedingungen
3.1 Allgemein
Diese Datenverarbeitungsbedingungen gelten nur für die Datenfreigabeeinstellung, für die die Parteien diese Datenverarbeitungsbedingungen vereinbart haben (z. B. die Datenfreigabeeinstellung, bei der der Nutzer diese Datenverarbeitungsbedingungen per Klick akzeptiert hat).
3.2 Dauer
Diese Datenverarbeitungsbedingungen gelten ab dem Datum des Inkrafttretens der Bedingungen und während personenbezogene Daten eines Verantwortlichen von Google oder vom Kunden verarbeitet werden. Danach sind diese Datenverarbeitungsbedingungen automatisch beendet.
4. Rollenverteilung und Beschränkungen der Verarbeitung
4.1 Unabhängige Verantwortliche
Gemäß Abschnitt 4.4 (Endverantwortliche) gilt Folgendes: Jeder Endverantwortliche
- (a) ist ein unabhängiger Verantwortlicher für personenbezogene Daten eines Verantwortlichen,
- (b) legt individuell die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten eines Verantwortlichen fest und
- (c) muss den Verpflichtungen nachkommen, die für ihn gemäß den anwendbaren Datenschutzvorschriften in Bezug auf die Verarbeitung personenbezogener Daten eines Verantwortlichen gelten.
4.2 Beschränkungen der Verarbeitung
Abschnitt 4.1 (Unabhängige Verantwortliche) hat keine Auswirkungen auf die Rechte der jeweiligen Partei, die personenbezogenen Daten eines Verantwortlichen gemäß der Vereinbarung zu nutzen oder anderweitig zu verarbeiten.
4.3 Einwilligung des Endnutzers
Der Kunde befolgt die Richtlinien für die personenbezogenen Daten eines Verantwortlichen, die gemäß Datenfreigabeeinstellung geteilt werden, und trägt zu jeder Zeit die Beweislast für die Einhaltung der Richtlinien.
4.4 Endverantwortliche
Ohne dadurch die Verpflichtungen der einzelnen Parteien dieser Datenverarbeitungsbedingungen zu schmälern, erkennt jede der Parteien an, dass (a) die Zweigunternehmen und Kunden der jeweils anderen Partei Endverantwortliche sein können und (b) die andere Partei im Namen ihrer Endverantwortlichen als Auftragsverarbeiter auftreten kann. Jede Partei sorgt dafür, dass sich ihre Endverantwortlichen an die Datenverarbeitungsbedingungen halten.
4.5 Transparenz
Der Kunde bestätigt, dass Google unter https://business.safety.google/privacy/ Informationen darüber veröffentlicht hat, wie Google Informationen von Websites, Apps oder anderen Properties verwendet, die die Dienste von Google nutzen. Unbeschadet seiner Verpflichtungen gemäß Abschnitt 4.1(c) kann der Kunde einen Link zu dieser Seite einfügen, um den betroffenen Personen Informationen über die Verarbeitung personenbezogener Daten eines Verantwortlichen zur Verfügung zu stellen.
5. Haftung
5.1
Wenn Google
- (a) eine Partei der Vereinbarung ist und die Vereinbarung
- (i) den Gesetzen eines Bundesstaates der Vereinigten Staaten unterliegt, dann gilt, ungeachtet einer etwaigen anderen Regelung in der Vereinbarung, für die Gesamthaftung der Parteien untereinander im Rahmen oder in Verbindung mit diesen Datenverarbeitungsbedingungen der Höchstbetrag, auf den die Haftung der jeweiligen Partei gemäß der Vereinbarung begrenzt ist (daher gilt jeglicher Ausschluss von Ansprüchen zur Haftungsfreistellung auf Grundlage der Haftungsbeschränkung der Vereinbarung nicht für Ansprüche zur Haftungsfreistellung gemäß der Vereinbarung in Zusammenhang mit den anwendbaren Datenschutzvorschriften), oder
- (ii) den Gesetzen eines anderen Landes als dem eines Bundesstaates der Vereinigten Staaten unterliegt, richtet sich die Haftung der Parteien gemäß oder in Zusammenhang mit diesen Datenverarbeitungsbedingungen nach den Haftungsbeschränkungen und ‑ausschlüssen in der Vereinbarung, oder
- (b) keine Partei der Vereinbarung ist, haftet Google, soweit dies nach anwendbarem Recht zulässig ist, nicht für entgangene Umsätze oder indirekte Schäden, spezielle Schäden, Nebenschäden, Folgeschäden, exemplarische Schäden oder Schadenersatz, selbst wenn Google oder dessen Zweigunternehmen davon in Kenntnis gesetzt wurden oder wussten oder wissen hätten müssen, dass solche Schäden einen Rechtsbehelf nicht rechtfertigen. Die kumulative Gesamthaftung von Google und dessen Zweigunternehmen gegenüber dem Kunden oder einer anderen Partei für jegliche Verluste oder Schäden, die durch Forderungen, Schäden oder Handlungen entstehen, die sich aus diesen Datenverarbeitungsbedingungen ergeben oder Bezug dazu haben, liegt bei höchstens 500 $.
6. Auswirkungen der Datenverarbeitungsbedingungen
6.1 Rangfolge
Im Falle von Konflikten oder Widersprüchen zwischen den Zusatzbedingungen, den übrigen Bestimmungen dieser Datenverarbeitungsbedingungen und/oder der Vereinbarung gilt gemäß Abschnitt 4.2 (Beschränkungen der Verarbeitung) und 6.2 (Keine Auswirkungen auf die Bedingungen für Auftragsverarbeiter) die folgende Rangfolge für die Anwendbarkeit: (a) Zusatzbedingungen (sofern zutreffend); (b) übrige Bestimmungen dieser Datenverarbeitungsbedingungen und (c) übrige Bestimmungen der Vereinbarung. Mit Ausnahme der Änderungsvereinbarungen in diesen Datenverarbeitungsbedingungen bleibt die Vereinbarung zwischen Google und dem Kunden bindend.
6.2 Keine Auswirkungen auf die Bedingungen für Auftragsverarbeiter
Diese Datenverarbeitungsbedingungen ersetzen die Bedingungen für Auftragsverarbeiter nicht und haben auch keine Auswirkungen darauf. Zur Klarstellung: Wenn der Kunde eine Vertragspartei der Bedingungen für Auftragsverarbeiter in Verbindung mit den Messdiensten ist, gelten die Bedingungen für Auftragsverarbeiter weiterhin für diese Dienste, unbeschadet dessen, dass die vorliegenden Datenverarbeitungsbedingungen für personenbezogene Daten eines Verantwortlichen gelten, die gemäß der Datenfreigabeeinstellung verarbeitet werden.
7. Änderungen an diesen Datenverarbeitungsbedingungen
7.1 Änderungen an den Datenverarbeitungsbedingungen
Google kann diese Datenverarbeitungsbedingungen ändern, wenn dies
- (a) einer Änderung des Namens des Rechtssubjekts oder der Rechtsform Rechnung trägt;
- (b) erforderlich ist, um anwendbares Recht, anwendbare Vorschriften, Gerichtsentscheidungen oder Vorgaben einzuhalten, die von einer staatlichen Regulierungsbehörde oder staatlichen Stelle erlassen wurden, oder um der Einführung einer alternativen Übertragungslösung durch Google gemäß Anhang 1A Rechnung zu tragen;
- (c) so erfolgt, wie es in Abschnitt 7.2 (Änderungen bei URLs) beschrieben ist, oder
- (d) (i) nicht anderweitig die Definition der Parteien als Verantwortliche von personenbezogenen Daten eines Verantwortlichen gemäß den anwendbaren Datenschutzvorschriften ändert; (ii) nicht den Umfang der Rechte einer Partei hinsichtlich der Nutzung oder sonstigen Verarbeitung von personenbezogenen Daten eines Verantwortlichen durch eine Partei erweitert oder Beschränkungen aufhebt oder (iii) nach billigem Ermessen von Google auch sonst keine wesentlichen nachteiligen Auswirkungen auf den Kunden hat.
7.2 Änderungen bei URLs
Google kann gelegentlich URLs, auf die in diesen Bedingungen verwiesen wird, und die Inhalte unter solchen URLs ändern.
7.3 Benachrichtigung über Änderungen
Wenn Google beabsichtigt, diese Datenverarbeitungsbedingungen gemäß Abschnitt 7.1(b) zu ändern, und dies nach billigem Ermessen von Google erhebliche Nachteile für den Kunden hat, unternimmt Google in wirtschaftlich angemessener Weise Anstrengungen, um den Kunden mindestens 30 Tage vor dem Inkrafttreten der Änderung zu informieren (oder innerhalb einer kürzeren Frist, falls dies nach anwendbarem Recht, anwendbaren Vorschriften, aufgrund einer Gerichtsentscheidung oder Vorgabe einer staatlichen Regulierungsbehörde oder staatlichen Stelle erforderlich ist). Wenn der Kunde mit einer solchen Änderung nicht einverstanden ist, kann er die Datenfreigabeeinstellung deaktivieren.
8. Zusätzliche Bestimmungen
8.1
Dieser Abschnitt 8 (Zusätzliche Bestimmungen) ist nur wirksam, wenn Google keine Partei der Vereinbarung ist.
8.2
Alle Parteien kommen ihren Verpflichtungen im Rahmen dieser Datenverarbeitungsbedingungen mit angemessener Sachkenntnis und Sorgfalt nach.
8.3
Keine der Parteien wird die vertraulichen Informationen der jeweils anderen Partei ohne vorherige schriftliche Einwilligung der anderen Partei nutzen oder offenlegen, es sei denn, dies geschieht zur Ausübung von Rechten oder zur Erfüllung der Verpflichtungen aus diesen Datenverarbeitungsbedingungen oder wenn dies aufgrund von Gesetzen, einer Vorschrift oder einer Gerichtsentscheidung erforderlich ist. Die zur Offenlegung vertraulicher Informationen verpflichtete Partei setzt die jeweils andere Partei hierüber so früh wie möglich vor der Offenlegung der vertraulichen Informationen in Kenntnis.
8.4
Soweit gemäß anwendbarem Recht zulässig und sofern in diesen Datenverarbeitungsbedingungen nicht ausdrücklich anders angegeben, übernimmt Google keine sonstige Garantie, weder ausdrücklich noch stillschweigend, gesetzlich oder anderweitig. Dies gilt ohne Begrenzung für Garantien hinsichtlich Gebrauchstauglichkeit, Eignung (für den vertragsgemäßen Gebrauch) und Nichtverletzung.
8.5
Keine Partei ist haftbar für die Nichterfüllung oder für Verzögerungen bei der Erfüllung einer Verpflichtung, wenn diese Nichterfüllung oder Verzögerung durch Umstände verursacht wird, die außerhalb ihrer Kontrolle liegen.
8.6
Sollten Bestimmungen dieser Datenverarbeitungsbedingungen ganz oder teilweise ungültig, rechtswidrig oder nicht durchsetzbar sein, bleiben die übrigen Datenverarbeitungsbedingungen dennoch weiterhin in Kraft.
8.7
(a) Mit Ausnahme des unten in Abschnitt (b) Genannten unterliegen die Datenverarbeitungsbedingungen dem Recht des US-Bundesstaats Kalifornien und sind in Übereinstimmung damit auszulegen; Kollisionsregeln finden keine Anwendung. Sollten ausländische Gesetze, Verordnungen und Vorgaben nicht mit denen des US-Bundesstaats Kalifornien vereinbar sein, gelten die kalifornischen Gesetze, Verordnungen und Vorgaben. Die Parteien erkennen die ausschließliche und Personenzuständigkeit der Gerichte von Santa Clara County, Kalifornien, an. Für diese Datenverarbeitungsbedingungen gelten nicht die Bestimmungen des UN-Kaufrechts vom 11. April 1980 (CISG) sowie des Uniform Computer Information Transactions Act.
(b) Wenn der Kunde die Vereinbarung mit einem Drittanbieter-Reseller eingegangen und der Drittanbieter-Reseller in Europa, im Nahen Osten oder in Afrika ansässig ist, unterliegen diese Datenverarbeitungsbedingungen dem englischen Recht. Alle Parteien unterwerfen sich im Falle von vertraglichen und außervertraglichen Anfechtungen, die sich aufgrund von oder in Verbindung mit diesen Datenverarbeitungsbedingungen ergeben, der ausschließlichen Rechtsprechung der englischen Gerichte.
(c) Falls die Standardvertragsklauseln für Datenverantwortliche Anwendung finden und sich das geltende Recht somit von dem oben in Abschnitt (a) und (b) Genannten unterscheidet, gilt hinsichtlich der Standardvertragsklauseln für Datenverantwortliche ausschließlich das darin genannte geltende Recht.
(d) Für diese Datenverarbeitungsbedingungen gelten nicht die Bestimmungen des UN-Kaufrechts vom 11. April 1980 (CISG) sowie des Uniform Computer Information Transactions Act.
8.8
Alle Mitteilungen zur Kündigung oder zu Verletzungen müssen auf Englisch und schriftlich an die Rechtsabteilung der anderen Partei gerichtet werden. Die Adresse für Mitteilungen an die Rechtsabteilung von Google lautet legal-notices@google.com. Mitteilungen gelten als eingegangen, sofern bzw. sobald sie mit einer schriftlichen oder automatischen Eingangsbestätigung oder mit einem elektronischen Protokoll bestätigt werden (je nach zutreffendem Fall).
8.9
Keine Partei wird so behandelt, als habe sie auf irgendwelche Rechte verzichtet, wenn sie irgendein Recht im Rahmen dieser Datenverarbeitungsbedingungen nicht oder verzögert ausübt. Keine Partei kann irgendeinen Teil dieser Datenverarbeitungsbedingungen ohne die schriftliche Einwilligung der anderen Partei übertragen, außer an ein Zweigunternehmen, wobei: (a) der Rechtsnachfolger diesen Datenverarbeitungsbedingungen schriftlich zugestimmt haben muss, (b) die übertragende Partei für die Einhaltung der Verpflichtungen gemäß diesen Datenverarbeitungsbedingungen haftbar bleibt, wenn der Rechtsnachfolger sie nicht erfüllt, (c) die übertragende Partei (sofern es sich um einen Kunden handelt) dem Rechtsnachfolger ein oder mehrere Konten für die Messdienste überlassen haben muss und (d) die übertragende Partei die andere Partei von der Übertragung in Kenntnis gesetzt haben muss. Jeder andere Versuch einer Übertragung ist ungültig.
8.10
Die Parteien sind selbständige Unternehmer. Durch diese Datenverarbeitungsbedingungen entsteht kein Agenturverhältnis, keine Partnerschaft und kein Joint Venture zwischen den Parteien. Diese Datenverarbeitungsbedingungen gewähren Dritten keine Vorteile, es sei denn, dies wird ausdrücklich erwähnt.
8.11
Soweit dies nach anwendbarem Recht zulässig ist, enthalten diese Datenverarbeitungsbedingungen sämtliche Bestimmungen, auf die sich die Parteien geeinigt haben. Beim Abschluss dieser Datenverarbeitungsbedingungen hat sich keine Partei auf Erklärungen, Zusicherungen oder Garantien (ob fahrlässig oder arglos) verlassen und keine Partei hat diesbezüglich Rechte oder Rechtsbehelfe mit Ausnahme derjenigen, die ausdrücklich in diesen Datenverarbeitungsbedingungen angegeben sind.
Anhang 1: Zusatzbedingungen für anwendbare Datenschutzvorschriften
TEIL A – ZUSATZBEDINGUNGEN FÜR EUROPÄISCHE DATENSCHUTZVORSCHRIFTEN
1. Einführung
Dieser Anhang 1A gilt nur, soweit die europäischen Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten eines Verantwortlichen Anwendung finden.
2. Definitionen
2.1 Im Anhang 1A gelten die folgenden Begriffsbestimmungen.
Land mit angemessenem Datenschutzniveau steht für Folgendes:
- (a) Bei Datenverarbeitung, die der EU-DSGVO unterliegt: EWR oder ein Land bzw. Gebiet, das gemäß der EU-DSGVO einen angemessenen Datenschutz gewährleistet;
- (b) Bei Datenverarbeitung, die der UK GDPR unterliegt: das Vereinigte Königreich oder ein Land bzw. Gebiet, das gemäß der UK GDPR und dem Data Protection Act 2018 einen angemessenen Datenschutz gewährleistet, und/oder
- (c) Bei Datenverarbeitung, die dem Schweizer Datenschutzgesetz unterliegt: die Schweiz oder ein Land bzw. Gebiet, das (i) in der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten Liste der Staaten aufgeführt ist, deren Gesetzgebung ein angemessenes Schutzniveau gewährleistet, oder das (ii) vom Bundesrat der Schweiz anerkannt ein angemessenes Schutzniveau gemäß Schweizer Datenschutzgesetz gewährleistet. In beiden Fällen darf der Datenschutz nicht nur auf Grundlage eines optionalen Datenschutzsystems gewährleistet sein.
Alternative Übertragungslösung bezeichnet eine andere Lösung als die Standardvertragsklauseln für Datenverantwortliche, die die rechtmäßige Übertragung personenbezogener Daten in ein Drittland gemäß europäischen Datenschutzvorschriften ermöglicht, z. B. ein Datenschutzsystem, das anerkanntermaßen dafür sorgt, dass teilnehmende Rechtssubjekte einen angemessenen Schutz gewährleisten.
Standardvertragsklauseln für Datenverantwortliche bezeichnet die Bedingungen unter business.safety.google/adscontrollerterms/sccs/c2c.
EWR bezeichnet den Europäischen Wirtschaftsraum.
Personenbezogene Daten eines europäischen Verantwortlichen bezeichnet die personenbezogenen Daten eines Verantwortlichen, wenn die betroffene Person im EWR oder in der Schweiz ansässig ist.
Europäisches Recht bedeutet je nach Anwendungsfall: (a) das Recht der EU oder der EU-Mitgliedstaaten (wenn für die Verarbeitung von personenbezogenen Daten eines Verantwortlichen die EU-DSGVO gilt); (b) das Recht des Vereinigten Königreichs oder eines seiner Landesteile (wenn für die Verarbeitung personenbezogener Daten eines Verantwortlichen die UK GDPR gilt); und (c) das schweizerische Recht (wenn für die Verarbeitung personenbezogener Daten eines Verantwortlichen das Schweizer Datenschutzgesetz gilt).
Google-Endverantwortliche bezeichnet die Personen, die letztendlich für die personenbezogenen Daten verantwortlich sind, die von Google verarbeitet werden.
Zulässige europäische Übertragungen bezeichnet die Verarbeitung personenbezogener Daten eines Verantwortlichen in einem Land mit angemessenem Datenschutzniveau oder die Übertragung dieser Daten in ein solches Land.
Eingeschränkte europäische Übertragung(en) bezeichnet Übertragungen personenbezogener Daten eines Verantwortlichen, die (a) den europäischen Datenschutzvorschriften unterliegen und (b) keine zulässigen europäischen Übertragungen sind.
Personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich bezeichnet die personenbezogenen Daten eines Verantwortlichen, wenn die betroffene Person im Vereinigten Königreich ansässig ist.
2.2 Die Begriffe Datenimporteur und Datenexporteur haben die in den Standardvertragsklauseln für Datenverantwortliche festgelegte Bedeutung.
3. Google-Endverantwortliche
Google-Endverantwortliche sind (i) bei personenbezogenen Daten eines europäischen Verantwortlichen, die von Google verarbeitet werden, Google Ireland Limited bzw. (ii) bei personenbezogenen Daten eines Verantwortlichen aus dem Vereinigten Königreich, die von Google verarbeitet werden, Google LLC. Jede Vertragspartei sorgt dafür, dass sich ihre Endverantwortlichen (soweit anwendbar) an die Standardvertragsklauseln für Datenverantwortliche halten.
4. Datenübertragungen
4.1 Eingeschränkte europäische Übertragungen: Jede Partei kann eingeschränkte europäische Übertragungen durchführen, sofern sie die diesbezüglichen Bestimmungen in den europäischen Datenschutzvorschriften einhält.
4.2 Alternative Übertragungslösung
- (a) Wenn Google eine alternative Übertragungslösung für eingeschränkte europäische Übertragungen eingeführt hat, gilt Folgendes: (i) Google sorgt dafür, dass diese eingeschränkten europäischen Übertragungen gemäß dieser alternativen Übertragungslösung erfolgen; (ii) Abschnitt 5 (Standardvertragsklauseln für Datenverantwortliche) von Anhang 1A findet auf solche eingeschränkten europäischen Übertragungen keine Anwendung.
- (b) Wenn Google keine alternative Übertragungslösung für eingeschränkte europäische Übertragungen eingeführt hat oder den Kunden darüber informiert, dass Google keine solche Lösung mehr zur Verfügung stellt, gilt für eingeschränkte europäische Übertragungen Abschnitt 5 (Standardvertragsklauseln für Datenverantwortliche) von Anhang 1A.
4.3 Weiterübertragungen
- (a) Anwendung von Abschnitt 4.3. Die Abschnitte 4.3(b) (Nutzung personenbezogener Daten des Datenanbieters) und 4.3(c) (Schutz personenbezogener Daten des Datenanbieters) von Anhang 1A finden nur Anwendung, sofern:
- (i) eine Partei (der Datenempfänger) die personenbezogenen Daten eines Verantwortlichen verarbeitet, die von der anderen Partei (dem Datenanbieter) im Zusammenhang mit der Vereinbarung zur Verfügung gestellt werden (solche personenbezogenen Daten eines Verantwortlichen werden im Folgenden als personenbezogene Daten des Datenanbieters bezeichnet);
- (ii) der Datenanbieter oder dessen Zweigunternehmen im Rahmen einer alternativen Übertragungslösung zertifiziert ist und
- (iii) der Datenanbieter den Datenempfänger über eine solche Zertifizierung für alternative Übertragungslösungen schriftlich informiert.
- (b) Nutzung personenbezogener Daten des Datenanbieters
- (i) Soweit eine anwendbare alternative Übertragungslösung Grundsätze für eine Weiterübertragung einschließt, verwendet der Datenempfänger gemäß diesen im Rahmen der alternativen Übertragungslösung geltenden Grundsätzen für eine Weiterübertragung die personenbezogenen Daten eines Datenübermittlers nur wie in der Einwilligung der entsprechenden betroffenen Personen des Verantwortlichen vorgesehen.
- (ii) Falls der Datenanbieter es unterlässt, eine Einwilligung von den betroffenen Personen einzuholen, wie es in der Vereinbarung vorgesehen ist, verstößt der Datenempfänger nicht gegen Abschnitt 4.3(b)(i), wenn er die personenbezogenen Daten des Datenanbieters in Übereinstimmung mit der erforderlichen Einwilligung nutzt.
- (c) Schutz personenbezogener Daten des Datenanbieters
- (i) Der Datenempfänger gewährleistet für personenbezogene Daten eines Datenübermittlers ein Schutzniveau, das mindestens den in der anwendbaren alternativen Übertragungslösung formulierten Anforderungen entspricht.
- (ii) Falls der Datenempfänger feststellen sollte, dass er Abschnitt 4.3(c)(i) nicht einhalten kann, muss er (A) den Datenanbieter schriftlich benachrichtigen und (B) entweder die Verarbeitung personenbezogener Daten des Datenanbieters einstellen oder angemessene und geeignete Schritte unternehmen, um diesen Zustand abzustellen.
- (d) Einführung und Zertifizierung einer alternativen Übertragungslösung: Informationen zur Einführung alternativer Übertragungslösungen durch Google und/oder dessen Zweigunternehmen sowie zur Zertifizierung von Google und/oder dessen Zweigunternehmen im Rahmen solcher Lösungen finden Sie unter https://policies.google.com/privacy/frameworks. Dieser Abschnitt 4.3(d) stellt eine schriftliche Mitteilung im Sinne von Abschnitt 4.3(a)(iii) über die aktuellen Zertifizierungen von Google und/oder dessen Zweigunternehmen zum Datum des Inkrafttretens dieser Bedingungen dar.
5. Standardvertragsklauseln für Datenverantwortliche
5.1 Übertragung personenbezogener Daten eines europäischen Verantwortlichen an den Kunden. Im Fall, dass
- (a) Google personenbezogene Daten eines europäischen Verantwortlichen an den Kunden überträgt und
- (b) die Übertragung eine eingeschränkte europäische Übertragung ist, wird vorausgesetzt, dass der Kunde als Datenimporteur die Standardvertragsklauseln für Datenverantwortliche mit Google Ireland Limited (dem Google-Endverantwortlichen) als Datenexporteur akzeptiert hat und die Übertragungen diesen Standardvertragsklauseln unterliegen.
5.2 Übertragung personenbezogener Daten eines Verantwortlichen aus dem Vereinigten Königreich an den Kunden. Im Fall, dass
- (a) Google personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich an den Kunden überträgt und
- (b) die Übertragung eine eingeschränkte europäische Übertragung ist, wird vorausgesetzt, dass der Kunde als Datenimporteur die Standardvertragsklauseln für Datenverantwortliche mit Google LLC (dem Google-Endverantwortlichen) als Datenexporteur akzeptiert hat und die Übertragungen diesen Standardvertragsklauseln unterliegen.
5.3 Übertragung personenbezogener Daten eines europäischen Verantwortlichen an Google. Die Parteien bestätigen Folgendes: Überträgt der Kunde personenbezogene Daten eines europäischen Verantwortlichen an Google, sind die Standardvertragsklauseln für Datenverantwortliche nicht erforderlich, weil Google Ireland Limited (der Google-Endverantwortliche) in einem Land mit angemessenem Datenschutzniveau ansässig ist und solche Übertragungen zulässige europäische Übertragungen sind. Dies hat keine Auswirkungen auf die Verpflichtungen von Google gemäß Abschnitt 4.1 (Eingeschränkte europäische Übertragungen) dieses Anhangs 1A.
5.4 Übertragung personenbezogener Daten eines Verantwortlichen aus dem Vereinigten Königreich an Google: Sofern der Kunde personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich an Google überträgt, wird vorausgesetzt, dass der Kunde als Datenexporteur die Standardvertragsklauseln für Datenverantwortliche mit Google LLC (dem Google-Endverantwortlichen) als Datenimporteur akzeptiert hat und die Übertragungen diesen Standardvertragsklauseln unterliegen. weil Google LLC nicht in einem Land mit angemessenem Datenschutzniveau ansässig ist.
5.5 Kontaktaufnahme mit Google; Kundendaten
- (a) Der Kunde kann Google Ireland Limited und/oder Google LLC bezüglich der Standardvertragsklauseln für Datenverantwortliche unter https://support.google.com/policies/troubleshooter/9009584 oder über andere von Google dafür gelegentlich bereitgestellte Möglichkeiten kontaktieren.
- (b) Der Kunde erkennt an, dass Google gemäß den Standardvertragsklauseln für Datenverantwortliche verpflichtet ist, bestimmte Informationen zu speichern. Dazu gehören (i) die Identität und die Kontaktdaten des Datenimporteurs (einschließlich jeder Person, die für den Datenschutz verantwortlich ist) und (ii) die technischen und organisatorischen Maßnahmen des Datenimporteurs. Dementsprechend muss der Kunde Google diese Daten nach Aufforderung – und soweit das auf den Kunden anwendbar ist – über von Google eventuell dafür bereitgestellte Möglichkeiten an Google übermitteln. Er muss außerdem dafür sorgen, dass diese Daten jederzeit aktuell und korrekt sind.
5.6 Beantwortung von Anfragen betroffener Personen: Der zuständige Datenimporteur ist für die Beantwortung von Anfragen betroffener Personen und der Aufsichtsbehörde in Bezug auf die Verarbeitung relevanter personenbezogener Daten des Verantwortlichen durch den Datenimporteur verantwortlich.
5.7 Löschen von Daten bei Kündigung. Im Fall, dass
- (a) Google LLC als Datenimporteur agiert und der Kunde als Datenexporteur gemäß den Standardvertragsklauseln für Datenverantwortliche; und
- (b) der Kunde die Vereinbarung gemäß Klausel 16(c) der Standardvertragsklauseln für Datenverantwortliche kündigt, weist der Kunde im Sinne von Klausel 16(d) der Standardvertragsklauseln für Datenverantwortliche Google an, personenbezogene Daten eines Verantwortlichen zu löschen. Wenn das europäische Recht keine Speicherung vorschreibt, ermöglicht Google die Löschung so schnell wie möglich und soweit dies im angemessenen Rahmen durchführbar ist. Dabei ist zu berücksichtigen, dass Google ein unabhängiger Verantwortlicher für diese Daten ist. Außerdem sind Art und Funktionen der Messdienste zu beachten.
6. Haftung bei Anwendbarkeit der Standardvertragsklauseln für Datenverantwortliche.
Wenn die Standardvertragsklauseln für Datenverantwortliche gemäß Abschnitt 5 (Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A Anwendung finden, unterliegt die Gesamthaftung
- (a) von Google, Google LLC und Google Ireland Limited gegenüber dem Kunden und
- (b) des Kunden gegenüber Google, Google LLC und Google Ireland Limited im Rahmen oder in Verbindung mit der Vereinbarung und den Standardvertragsklauseln für Datenverantwortliche dem Abschnitt 5 (Haftung). Klausel 12 der Standardvertragsklauseln für Datenverantwortliche hat keinen Einfluss auf den vorstehenden Satz.
7. Begünstigte Dritte
Wenn Google LLC und/oder Google Ireland Limited keine Partei der Vereinbarung ist, sondern Partei der anwendbaren Standardvertragsklauseln für Datenverantwortliche gemäß Abschnitt 5 (Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A, ist Google LLC und/oder (gegebenenfalls) Google Ireland Limited begünstigter Dritter der Abschnitte 4.4 (Endverantwortliche), 3 (Google-Endverantwortliche), 5 (Standardvertragsklauseln für Datenverantwortliche) und 6 (Haftung bei Anwendung der Standardvertragsklauseln für Verantwortliche) von Anhang 1A. Sollte der vorliegende Abschnitt 7 einer anderen Klausel in der Vereinbarung widersprechen oder damit in Konflikt stehen, findet Abschnitt 7 (Begünstigte Dritte) Anwendung.
8. Vorrang
8.1 Im Falle von Konflikten oder Widersprüchen zwischen den Standardvertragsklauseln für Datenverantwortliche, Anhang 1A, den übrigen Bestimmungen der Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung haben die Standardvertragsklauseln für Verantwortliche Vorrang.
8.2 Zusätzliche Wirtschaftsklauseln: Mit Ausnahme der Änderungsvereinbarungen in diesen Datenverarbeitungsbedingungen bleibt die Vereinbarung bindend. Die Abschnitte 5.5 (Kontaktaufnahme mit Google) bis 5.7 (Löschen von Daten bei Kündigung) und Abschnitt 6 (Haftung bei Anwendbarkeit der Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A sind zusätzliche Wirtschaftsklauseln in Bezug auf die Standardvertragsklauseln für Datenverantwortliche, die gemäß Klausel 2(a) (Auswirkungen und Unveränderlichkeit der Klauseln) der Standardvertragsklauseln für Datenverantwortliche zulässig sind.
8.3 Keine Änderung der Standardvertragsklauseln für Datenverantwortliche: Keine Bestimmung der Vereinbarung (einschließlich dieser Datenverarbeitungsbedingungen) ändert die Standardvertragsklauseln für Datenverantwortliche oder widerspricht ihnen. Außerdem werden durch diese Bestimmungen nicht die grundlegenden Rechte oder Freiheiten betroffener Personen gemäß den europäischen Datenschutzvorschriften beeinträchtigt.
TEIL B – ZUSATZBEDINGUNGEN FÜR DATENSCHUTZGESETZE VON US-BUNDESSTAATEN
1. Einführung
Google bietet unter Umständen bestimmte produktinterne Einstellungen, Konfigurationen oder andere Funktionen in Messdiensten an, die vom Kunden aktiviert werden können und bei denen eventuell die eingeschränkte Datenverarbeitung zum Tragen kommt, wie in den gelegentlich aktualisierten begleitenden Dokumenten unter business.safety.google/rdp beschrieben (eingeschränkte Datenverarbeitung). Anhang 1B enthält die Vereinbarungen der Parteien in Bezug auf die Verarbeitung personenbezogener Kundendaten und de-identifizierter Daten (wie unten definiert) gemäß der Vereinbarung und in Verbindung mit den Datenschutzgesetzen von US-Bundesstaaten. Dieser Anhang ist nur insoweit wirksam, wie das Datenschutzrecht des jeweiligen US-Bundesstaats Anwendung findet.
2. Zusätzliche Begriffsbestimmungen sowie Auslegung
Im Anhang 1B gelten die folgenden Begriffsbestimmungen.
- (a) Personenbezogene Kundendaten bezeichnet personenbezogene Daten, die im Auftrag des Kunden durch Google im Rahmen der Bereitstellung von Messdiensten verarbeitet werden.
- (b) De-identifizierte Daten bezeichnet Daten, die „de-identifiziert“ (wie durch den CCPA und Datenschutzgesetze anderer US-Bundesstaaten definiert) sind, wenn sie von einer Partei für die andere Partei offengelegt werden.
- (c) Anweisungen bezeichnet zusammenfassend die Anweisungen des Kunden an Google, personenbezogene Kundendaten nur in Übereinstimmung mit den Datenschutzgesetzen von US-Bundesstaaten und nach folgenden Maßgaben zu verarbeiten: (a) um die eingeschränkten Datenverarbeitungsdienste und den damit verbundenen technischen Support bereitzustellen; (b) wie durch den Kunden im Rahmen der Nutzung der eingeschränkten Datenverarbeitungsdienste und des zugehörigen technischen Supports näher festgelegt (z. B. in den Einstellungen und anderen Funktionen der eingeschränkten Datenverarbeitungsdienste); (c) wie in der Vereinbarung dokumentiert (einschließlich Anhang 1B); (d) wie weiter in anderen schriftlichen Anweisungen des Kunden dokumentiert, die von Google als grundlegende Anweisungen für die Zwecke von Anhang 1B anerkannt sind; und (e) um personenbezogene Kundendaten gemäß den Datenschutzgesetzen von US-Bundesstaaten für Dienstanbieter und Auftragsverarbeiter zu verarbeiten.
- (d) Eingeschränkte Datenverarbeitungsdienste bezeichnet Verantwortlichendienste im Rahmen der eingeschränkten Datenverarbeitung.
- (e) Laufzeit bezeichnet den Zeitraum zwischen dem Wirksamkeitsdatum und dem Ende der Erbringung der Messdienste durch Google gemäß der Vereinbarung.
- (f) Die Begriffe Unternehmen, Verbraucher, personenbezogene Daten, Verkauf, verkaufen, Dienstanbieter und weitergeben haben in diesem Anhang 1B die in den Datenschutzgesetzen von US-Bundesstaaten festgelegte Bedeutung.
- (g) Der Kunde ist allein dafür verantwortlich, bei der Nutzung von Google-Diensten (einschließlich der eingeschränkten Datenverarbeitung) die Datenschutzgesetze von US-Bundesstaaten einzuhalten.
3. Datenschutzgesetze von US-Bundesstaaten (im Rahmen der eingeschränkten Datenverarbeitung)
3.1 Verarbeitung von Daten
3.1.1
- (a) Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Vertragsparteien vereinbaren und bestätigen Folgendes:
- (i) Abschnitt 7 (Gegenstand und Details der Datenverarbeitung im Rahmen der Datenschutzgesetze von US-Bundesstaaten) dieses Anhangs 1B beschreibt den Gegenstand und die Details der Verarbeitung von personenbezogenen Kundendaten.
- (ii) Google ist ein Dienstanbieter und ein Auftragsverarbeiter von personenbezogenen Kundendaten gemäß den Datenschutzgesetzen von US-Bundesstaaten.
- (iii) Der Kunde ist ein Verantwortlicher bzw. ein Auftragsverarbeiter von personenbezogenen Kundendaten gemäß den Datenschutzgesetzen von US-Bundesstaaten.
- (b) Der Kunde als Auftragsverarbeiter: Wenn der Kunde ein Auftragsverarbeiter ist,
- (i) garantiert er, dass der jeweilige Verantwortliche Folgendes genehmigt hat: (A) die Anweisungen, (B) die Ernennung von Google als weiterer Auftragsverarbeiter durch den Kunden und (C) die Beauftragung von Unterauftragnehmern durch Google wie in Abschnitt 3.6 (Unterauftragnehmer) von Anhang 1B beschrieben;
- (ii) leitet er unverzüglich jede Mitteilung, die Google gemäß den Abschnitten 3.3.2(a) (Meldung eines Vorfalls) und 3.6 (Unterauftragnehmer) zur Verfügung stellt, an den entsprechenden Verantwortlichen weiter und
- (iii) kann er dem entsprechenden Verantwortlichen etwaige Informationen bereitstellen, die von Google gemäß den Abschnitten 3.3.3(c) (Prüfrechte des Kunden) und 3.6 (Unterauftragnehmer) zur Verfügung gestellt werden.
3.1.2. Anweisungen des Kunden: Durch Zustimmung zu Anhang 1B weist der Kunde Google an, personenbezogene Kundendaten nur entsprechend den Anweisungen zu verarbeiten.
3.1.3 Einhaltung der Anweisungen durch Google: Google befolgt die Anweisungen, es sei denn, dies ist durch die Datenschutzgesetze von US-Bundesstaaten untersagt.
3.1.4 Zusatzprodukte: Wenn der Kunde Produkte, Dienste oder Anwendungen von Google oder einem Dritten nutzt, die (a) nicht Bestandteil der eingeschränkten Datenverarbeitungsdienste sind und (b) über die Oberfläche dieser Datenverarbeitungsdienste genutzt werden können oder anderweitig mit diesen Diensten verknüpft sind („Zusatzprodukt“), kann diesen Zusatzprodukten von den eingeschränkten Datenverarbeitungsdiensten der Zugriff auf personenbezogene Kundendaten gestattet werden, soweit dies für das Zusammenspiel der Zusatzprodukte mit diesen Diensten erforderlich ist. Zur Klarstellung sei gesagt: Der vorliegende Anhang 1B gilt nicht für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung von Zusatzprodukten, die durch den Kunden genutzt werden, einschließlich personenbezogener Daten, die von oder zu diesen Zusatzprodukten übertragen werden.
3.2 Löschen von Daten nach Ablauf der Laufzeit: Der Kunde weist Google am Ende der Laufzeit an, alle personenbezogenen Kundendaten (einschließlich vorhandener Kopien) gemäß dem anwendbarem Recht aus den Google-Systemen zu löschen. Google wird dieser Anweisung so schnell wie möglich und auf jeden Fall innerhalb von 180 Tagen nachkommen, sofern nach anwendbarem Recht keine Speicherung erforderlich ist.
3.3 Datensicherheit:
3.3.1 Sicherheitsmaßnahmen und ‑unterstützung von Google
- (a) Sicherheitsmaßnahmen von Google: Google implementiert und unterhält technische und organisatorische Maßnahmen zum Schutz personenbezogener Kundendaten vor versehentlicher oder unrechtmäßiger Löschung, Verlust, Änderung, unbefugter Offenlegung oder unberechtigtem Zugriff (Sicherheitsmaßnahmen). Die Sicherheitsmaßnahmen umfassen Maßnahmen, um (i) personenbezogene Daten zu verschlüsseln, (ii) die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste von Google sicherzustellen, (iii) nach einem Vorfall den Zugriff auf personenbezogene Daten zeitnah wiederherzustellen und (iv) die Wirksamkeit regelmäßig zu testen. Google kann gelegentlich die Sicherheitsmaßnahmen aktualisieren oder anpassen, sofern dies nicht zur Verschlechterung der Gesamtsicherheit der personenbezogenen Kundendaten führt.
- (b) Zugriff und Compliance: Google stellt sicher, dass alle zur Verarbeitung personenbezogener Kundendaten berechtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Schweigepflicht unterliegen.
- (c) Sicherheitsunterstützung von Google. Google unterstützt den Kunden (unter Berücksichtigung der Art der Verarbeitung personenbezogener Kundendaten und der Google zur Verfügung stehenden Informationen) durch die nachfolgend aufgeführten Maßnahmen dabei, seine Verpflichtungen (oder, wenn der Kunde ein Auftragsverarbeiter ist, die Verpflichtungen des entsprechenden Verantwortlichen) im Zusammenhang mit der Sicherheit personenbezogener Daten und der Verletzung ihres Schutzes einzuhalten, einschließlich der entsprechenden Verpflichtungen gemäß den Datenschutzgesetzen von US-Bundesstaaten:
- (i) Implementierung und Unterhaltung der Sicherheitsmaßnahmen gemäß Abschnitt 3.3.1(a) (Sicherheitsmaßnahmen von Google),
- (ii) Einhaltung der Bestimmungen von Abschnitt 3.3.2 (Datenvorfälle) und
- (iii) Gewährung der dem Kunden gemäß Abschnitt 3.3.3(c) (Audit-Rechte des Kunden) zustehenden Rechte.
3.3.2 Datenvorfälle.
- (a) Benachrichtigung über Vorfälle: Wenn Google auf einen Datenvorfall (wie unten definiert) aufmerksam wird, dann wird Google (i) den Kunden ohne ungebührliche Verzögerung darüber informieren und (ii) unverzüglich angemessene Schritte unternehmen, um Schäden zu minimieren und personenbezogene Kundendaten zu schützen. In Anhang 1B bezeichnet Datenvorfall eine Verletzung der Sicherheit von Google, die zur versehentlichen oder rechtswidrigen Vernichtung, zu Verlust, Änderung, unberechtigter Offenlegung von oder unberechtigtem Zugriff auf personenbezogenen Kundendaten in Systemen führt, die von Google verwaltet oder anderweitig kontrolliert werden. „Datenvorfälle“ umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit der personenbezogenen Kundendaten nicht beeinträchtigen, einschließlich fehlgeschlagener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
- (b) Zustellung der Benachrichtigungen: Google sendet die Benachrichtigungen zu Datenvorfällen an die vom Kunden hierfür angegebene E-Mail-Adresse, über die Benutzeroberfläche der eingeschränkten Datenverarbeitungsdienste oder auf anderen Wegen, die Google bereitstellt, um bestimmte, Anhang 1B betreffende Benachrichtigungen von Google zu erhalten (E-Mail-Adresse für Benachrichtigungen). Außerdem hat Google die Möglichkeit, solche Benachrichtigungen nach eigenem Ermessen über andere direkte Kommunikationskanäle (etwa Telefon, E-Mail oder persönliche Besprechung) zu übermitteln (z. B., wenn der Kunde keine E-Mail-Adresse für Benachrichtigungen angegeben hat). Der Kunde ist allein dafür verantwortlich, eine E-Mail-Adresse für Benachrichtigungen zur Verfügung zu stellen und sicherzustellen, dass sie aktuell und gültig ist.
- (c) Benachrichtigungen von Dritten: Der Kunde ist allein dafür verantwortlich, die für ihn geltenden gesetzlichen Vorgaben für Benachrichtigungen bei Datenvorfällen einzuhalten und entsprechenden Meldepflichten gegenüber Dritten nachzukommen.
- (d) Keine Anerkennung eines Verschuldens durch Google: Die Benachrichtigung durch Google über oder die Reaktion auf einen Datenvorfall gemäß diesem Abschnitt 3.3.2 (Datenvorfälle) gilt nicht als Anerkennung eines Verschuldens oder einer Haftung durch Google in Bezug auf den Datenvorfall.
3.3.3 Sicherheitspflichten und ‑bewertung des Kunden
- (a) Sicherheitspflichten des Kunden: Unbeschadet der Verpflichtungen von Google gemäß Abschnitt 3.3.1 (Sicherheitsmaßnahmen und -unterstützung von Google) und 3.3.2 (Datenvorfälle) erklärt sich der Kunde mit Folgendem einverstanden:
- (i) Der Kunde ist für seine Nutzung der eingeschränkten Datenverarbeitungsdienste verantwortlich, insbesondere auch dafür, dass er (1) diese Dienste so nutzt, dass ein dem Risiko für personenbezogene Kundendaten angemessenes Sicherheitsniveau gewährleistet ist, und (2) die Anmeldedaten, Systeme und Geräte zur Kontoauthentifizierung schützt, die er für den Zugriff auf die Dienste verwendet.
- (ii) Google ist nicht verpflichtet, personenbezogene Kundendaten zu schützen, die der Kunde außerhalb der Systeme von Google und dessen Unterauftragnehmern speichert oder überträgt.
- (b) Sicherheitsbewertung des Kunden: Der Kunde erkennt an und stimmt zu, dass die von Google implementierten und unterhaltenen Sicherheitsmaßnahmen, die in Abschnitt 3.3.1(a) (Sicherheitsmaßnahmen von Google) dargelegt sind, ein dem Risiko angemessenes Sicherheitsniveau für personenbezogene Kundendaten bieten (unter Berücksichtigung des Stands der Technik, der Kosten der Implementierung sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung personenbezogener Kundendaten und der Risiken für natürliche Personen).
- (c) Audit-Rechte des Kunden:
- (i) Der Kunde kann prüfen, ob Google den Verpflichtungen aus Anhang 1B nachkommt: (1) indem er ein Zertifikat anfordert und prüft, das zur Sicherheitsprüfung ausgestellt wurde und das Ergebnis eines Audits zeigt, das innerhalb von 12 Monaten nach der Anforderung durch den Kunden von einem externen Auditor durchgeführt wurde (z. B. eine Zertifizierung nach SOC 2 Typ II oder ISO/IEC 27001 bzw. ein vergleichbares Zertifikat oder eine andere Sicherheitszertifizierung anhand eines Audits, das von einem vom Kunden und von Google akzeptierten externen Auditor durchgeführt wurde), und (2) indem der Kunde andere Informationen anfordert und prüft, die nach Auffassung von Google angemessen sind, um die Einhaltung der Verpflichtungen überprüfen zu können.
- (ii) Alternativ kann Google nach eigenem Ermessen auf Anfrage des Kunden ein externes Audit veranlassen, um zu überprüfen, ob Google den Verpflichtungen aus diesem Anhang 1B nachkommt. Im Rahmen dieses Audits stellt Google dem externen Auditor alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen nachzuweisen. Wenn der Kunde einen solchen Audit anfordert, kann Google eine Gebühr (basierend auf den angemessenen Kosten von Google) für den Audit erheben. Google teilt dem Kunden vor dem Audit weitere Einzelheiten zu allen anfallenden Gebühren und deren Berechnungsgrundlage mit. Der Kunde hat alle Gebühren zu tragen, die von einem externen Auditor erhoben werden, der vom Kunden mit der Durchführung eines Audits beauftragt wurde.
- (iii) Google ist durch nichts in diesem Anhang 1B dazu verpflichtet, dem Kunden oder seinem externen Auditor folgende Informationen offenzulegen oder ihm bzw. dem externen Auditor Zugriff darauf zu gewähren:
- (1) Daten eines anderen Kunden eines Rechtssubjekts von Google,
- (2) interne Buchhaltungs- oder Finanzdaten des Google-Rechtssubjekts,
- (3) Geschäftsgeheimnisse eines Rechtssubjekts von Google,
- (4) jegliche Informationen, die nach angemessener Einschätzung von Google (A) die Sicherheit von Systemen oder Betriebsstätten eines Rechtssubjekts von Google gefährden oder (B) dazu führen könnten, dass ein Rechtssubjekt von Google seine Verpflichtungen gemäß den Datenschutzgesetzen von US-Bundesstaaten verletzt oder gegen seine Sicherheits- und/oder Datenschutzverpflichtungen gegenüber dem Kunden oder Dritten verstößt, oder
- (5) jegliche Informationen, auf die der Kunde oder sein externer Auditor aus einem anderen Motiv zugreifen möchte als dem, die Verpflichtungen des Kunden gemäß den Datenschutzgesetzen von US-Bundesstaaten nach Treu und Glauben zu erfüllen.
3.4 Unterstützung bei Folgenabschätzungen. Google unterstützt (unter Berücksichtigung der Art der Verarbeitung und der Google zur Verfügung stehenden Informationen) den Kunden dabei, seine Verpflichtungen (oder, wenn der Kunde ein Auftragsverarbeiter ist, die Verpflichtungen des entsprechenden Verantwortlichen) im Zusammenhang mit Datenschutz-Folgenabschätzungen und vorausgehenden aufsichtsrechtlichen Beratungen einzuhalten, soweit diese nach den Datenschutzgesetzen von US-Bundesstaaten vorgeschrieben sind. Hierzu stellt Google folgende Dokumente und Informationen zur Verfügung:
- (a) die Sicherheitsdokumentation,
- (b) die in der Vereinbarung enthaltenen Informationen (einschließlich Anhang 1B) und
- (c) Bereitstellung oder anderweitige Zugänglichmachung (entsprechend den Google-Standardverfahren) von sonstigen Materialien zum Wesen der eingeschränkten Datenverarbeitungsdienste und zur Verarbeitung personenbezogener Kundendaten (z. B. Hilfeartikel).
3.5 Rechte betroffener Personen
3.5.1 Beantwortung von Anfragen betroffener Personen. Wenn Google eine Anfrage einer betroffenen Person zu personenbezogenen Kundendaten erhält, ermächtigt der Kunde Google, sie direkt zu beantworten, und Google benachrichtigt ihn, dass Google
- (a) die Anfrage der betroffenen Person mithilfe der Standardfunktionalität eines Tools direkt beantworten wird, das betroffenen Personen von einem Rechtssubjekt von Google zur Verfügung gestellt wird (Tool für betroffene Personen) und es Google ermöglicht, direkt und standardisiert auf bestimmte, über ein solches Tool erfolgte Anfragen von betroffenen Personen zu personenbezogenen Kundendaten zu antworten (z. B. Einstellungen für Onlinewerbung oder Browser-Plug-in zur Deaktivierung), oder
- (b) die betroffene Person anweisen wird, ihre Anfrage an den Kunden zu richten, und der Kunde dann für die Beantwortung der Anfrage verantwortlich ist (im Fall, dass die Anfrage nicht über ein Tool für betroffene Personen erfolgt).
3.5.2 Unterstützung durch Google bei Anfragen von betroffenen Personen: Google unterstützt den Kunden dabei, seine Verpflichtungen (oder, wenn der Kunde ein Auftragsverarbeiter ist, die Verpflichtungen des entsprechenden Verantwortlichen) gemäß den Datenschutzgesetzen von US-Bundesstaaten einzuhalten und Anfragen zur Ausübung der Rechte der betroffenen Person zu beantworten (wobei immer die Art der Verarbeitung personenbezogener Kundendaten berücksichtigt wird). Dies geschieht
- (a) durch Bereitstellung der Funktionen der eingeschränkten Datenverarbeitungsdienste,
- (b) durch Einhaltung der in Abschnitt 3.5.1 (Beantwortung von Anfragen betroffener Personen) dargelegten Verpflichtungen und
- (c) – sofern auf die eingeschränkten Datenverarbeitungsdienste anwendbar – durch Bereitstellung von Tools für betroffene Personen.
3.5.3 Berichtigung: Wenn der Kunde feststellt, dass personenbezogene Kundendaten falsch oder nicht mehr aktuell sind, ist er dafür verantwortlich, diese Daten – gegebenenfalls über die Funktionen der eingeschränkten Datenverarbeitungsdienste – zu berichtigen oder zu löschen, sofern dies nach den Datenschutzgesetzen von US-Bundesstaaten erforderlich ist.
3.6 Unterauftragnehmer
- (a) Der Kunde gestattet Google im Allgemeinen, im Zusammenhang mit der Bereitstellung der eingeschränkten Datenverarbeitungsdienste andere Rechtssubjekte als Unterauftragnehmer zu beauftragen. Bei der Beauftragung von Unterauftragnehmern gilt Folgendes:
- (i) Google stellt durch einen schriftlichen Vertrag sicher, (1) dass der Unterauftragnehmer nur im Einklang mit der Vereinbarung (einschließlich Anhang 1B) sowie in dem Umfang auf personenbezogene Kundendaten zugreift und sie nutzt, wie es zur Erfüllung der ihm übertragenen Pflichten erforderlich ist, und (2) dass dem Unterauftragnehmer die Datenschutzpflichten gemäß diesem Anhang 1B auferlegt werden, wenn die Verarbeitung personenbezogener Kundendaten den Datenschutzgesetzen von US-Bundesstaaten unterliegt.
- (ii) Wenn Google einen neuen Unterauftragnehmer beauftragt, wird der Kunde von Google darüber benachrichtigt, sofern dies nach Datenschutzgesetzen von US-Bundesstaaten erforderlich ist. Außerdem ist dem Kunden die Möglichkeit einzuräumen, diesen Unterauftragnehmer abzulehnen, falls Datenschutzgesetze von US-Bundesstaaten dies vorschreiben.
- (iii) Google haftet uneingeschränkt für alle Verpflichtungen, die dem Unterauftragnehmer übertragen werden, sowie für alle Handlungen und Unterlassungen von ihm.
- (b) Der Kunde kann den neuen Unterauftragnehmer ablehnen, indem er die Vereinbarung mit sofortiger Wirkung ordentlich kündigt. Diese Kündigung muss innerhalb von 90 Tagen nach der gemäß Abschnitt 3.6(a)(ii) erfolgten Benachrichtigung über die Beauftragung des neuen Unterauftragnehmers erfolgen.
3.7 Kontaktaufnahme mit Google: Der Kunde kann Google über die unter privacy.google.com/businesses/processorsupport aufgeführten Wege oder über andere von Google gelegentlich dafür bereitgestellte Möglichkeiten kontaktieren, um seine Rechte gemäß diesem Anhang 1B auszuüben.
4. Bestimmungen im Hinblick auf Datenschutzgesetze von US-Bundesstaaten
4.1 De-identifizierte Daten: Sofern für die Verarbeitung personenbezogener Kundendaten mindestens eines der Datenschutzgesetze von US-Bundesstaaten gilt, halten sich die Parteien im Hinblick auf personenbezogene Kundendaten, die bei aktivierter oder deaktivierter eingeschränkter Datenverarbeitung verarbeitet werden, an die Anforderungen für die Verarbeitung de-identifizierter Daten, wie in den entsprechenden Datenschutzgesetzen festgelegt. Das gilt für alle de-identifizierten Daten, die eine Partei gemäß der Vereinbarung von der anderen Partei erhält. Im Sinne dieses Abschnitts 4.1 (De-identifizierte Daten) bezeichnet „personenbezogene Kundendaten“ alle personenbezogenen Daten, die eine Partei im Rahmen der Vereinbarung im Zusammenhang mit der Bereitstellung oder Nutzung der Messdienste verarbeitet.
5. Verpflichtungen von Google gemäß CCPA
5.1 Hinsichtlich von im Rahmen der eingeschränkten Datenverarbeitung verarbeiteten personenbezogenen Kundendaten, für deren Verarbeitung der CCPA gilt, fungiert Google als Dienstanbieter des Kunden. In dieser Eigenschaft und sofern für Dienstanbieter durch den CCPA nicht anderweitig bestimmt, wird Google nach billigem Ermessen Folgendes tun bzw. unterlassen:
- (a) Personenbezogene Kundendaten, die Google vom Kunden im Zusammenhang mit der Vereinbarung erhält, werden von Google nicht verkauft oder weitergegeben.
- (b) Google wird personenbezogene Kundendaten (auch außerhalb der direkten Geschäftsbeziehung zwischen Google und dem Kunden) nur zu folgenden Zwecken aufbewahren, verwenden oder offenlegen: zu einem im CCPA vorgesehenen Geschäftszweck im Auftrag des Kunden sowie zu dem speziellen Zweck der Ausführung der eingeschränkten Datenverarbeitungsdienste, wie in den gelegentlich aktualisierten begleitenden Dokumenten unter business.safety.google/rdp beschrieben.
- (c) Google kombiniert keine personenbezogenen Kundendaten, die Google von oder im Namen des Kunden erhält, mit (i) personenbezogenen Daten, die Google von oder im Namen einer anderen Person erhält, oder mit (ii) personenbezogenen Daten, die aus eigenen Interaktionen von Google mit Nutzern stammen, wie in den begleitenden Dokumenten unter business.safety.google/rdp näher beschrieben – außer, soweit dies im Rahmen des CCPA zulässig ist.
- (d) Google verarbeitet personenbezogene Kundendaten zum speziellen Zweck der Ausführung der eingeschränkten Datenverarbeitungsdienste, wie in der Vereinbarung und in begleitenden Dokumenten (z. B. in Hilfeartikeln) näher beschrieben oder wie anderweitig gemäß dem CCPA zulässig. Die Parteien vereinbaren, dass personenbezogene Kundendaten Google für entsprechende Zwecke zur Verfügung gestellt werden.
- (e) Google gestattet Audits gemäß Abschnitt 3.3.3(c) (Audit-Rechte des Kunden), um zu prüfen, ob Google die Verpflichtungen aus Anhang 1B einhält.
- (f) Sollte festgestellt werden, dass Google die Verpflichtungen gemäß dem CCPA nicht mehr erfüllen kann, informiert Google den Kunden darüber. Dieser Abschnitt 5.1(f) schränkt nicht die Rechte und Pflichten der beiden Parteien an anderer Stelle der Vereinbarung ein.
- (g) Wenn der Kunde angemessenen Grund zu der Annahme hat, dass Google personenbezogene Kundendaten auf unzulässige Weise verarbeitet, hat er das Recht, Google, wie unter privacy.google.com/businesses/processorsupport beschrieben, zu informieren. Die Parteien arbeiten dann nach Treu und Glauben zusammen, um gegebenenfalls eine Lösung für die vermeintlich gegen die Verpflichtungen verstoßenden Verarbeitungsaktivitäten zu finden.
- (h) Google hält die geltenden Verpflichtungen gemäß CCPA ein und bietet das vom CCPA vorgeschriebene Maß an Datenschutz.
5.2 Im Hinblick auf personenbezogene Kundendaten, die bei deaktivierter eingeschränkter Datenverarbeitung verarbeitet werden und deren Verarbeitung dem CCPA unterliegt, gilt:
- (a) Google verarbeitet personenbezogene Kundendaten zum speziellen Zweck der Ausführung der Messdienste, wie in der Vereinbarung und in begleitenden Dokumenten (z. B. in Hilfeartikeln) näher beschrieben oder wie anderweitig gemäß dem CCPA zulässig. Die Parteien vereinbaren, dass personenbezogene Kundendaten Google für entsprechende Zwecke zur Verfügung gestellt werden.
- (b) Google gestattet Audits gemäß Abschnitt 3.3.3(c) (Audit-Rechte des Kunden), um zu prüfen, ob Google die Verpflichtungen aus Anhang 1B einhält.
- (c) Sollte festgestellt werden, dass Google die Verpflichtungen gemäß dem CCPA nicht mehr erfüllen kann, informiert Google den Kunden darüber.
- (d) Wenn der Kunde angemessenen Grund zu der Annahme hat, dass Google personenbezogene Kundendaten auf unzulässige Weise verarbeitet, hat er das Recht, Google, wie unter privacy.google.com/businesses/processorsupport beschrieben, zu informieren. Die Parteien arbeiten dann nach Treu und Glauben zusammen, um ggf. eine Lösung für die vermeintlich gegen die Verpflichtungen verstoßenden Verarbeitungsaktivitäten zu finden.
- (e) Google hält die geltenden Verpflichtungen gemäß CCPA ein und bietet das vom CCPA vorgeschriebene Maß an Datenschutz.
6. Änderungen an diesem Anhang 1B
Ergänzend zu Abschnitt 7 der Datenverarbeitungsbedingungen (Änderungen an diesen Datenverarbeitungsbedingungen) gilt, dass Google diesen Anhang 1B gegebenenfalls ohne Vorankündigung ändern kann, wenn die Änderung (a) auf anwendbarem Recht, anwendbaren Vorschriften, Gerichtsentscheidungen oder Vorgaben einer staatlichen Regulierungsbehörde oder staatlichen Stelle basiert oder (b) nach billigem Ermessen von Google gemäß den Datenschutzgesetzen von US-Bundesstaaten keine wesentlichen nachteiligen Auswirkungen auf den Kunden hat.
7. Gegenstand und Details der Datenverarbeitung gemäß Datenschutzgesetzen von US-Bundesstaaten
Google stellt für den Kunden die eingeschränkten Datenverarbeitungsdienste und den dazugehörigen technischen Support bereit.
Dauer der Verarbeitung
Die Laufzeit zuzüglich des Zeitraums vom Ende der Laufzeit bis zum Löschen aller personenbezogenen Kundendaten durch Google gemäß Anhang 1B.
Art und Zweck der Verarbeitung
Google verarbeitet zur Bereitstellung der eingeschränkten Datenverarbeitungsdienste und damit verbundener Supportleistungen für den Kunden personenbezogene Kundendaten gemäß Anhang 1B oder wie anderweitig von Auftragsverarbeitern nach Datenschutzgesetzen von US-Bundesstaaten gestattet. Die Verarbeitung umfasst – soweit auf die eingeschränkten Datenerfassungsdienste und die Anweisungen des Kunden anwendbar – das Erheben, Aufzeichnen, Organisieren, Strukturieren, Speichern, Ändern, Abrufen, Nutzen, Offenlegen, Verknüpfen, Löschen und Vernichten von Daten.
Arten personenbezogener Daten
Personenbezogene Kundendaten können die Arten von personenbezogenen Daten umfassen, die in den Datenschutzgesetzen von US-Bundesstaaten aufgeführt sind.
Kategorien betroffener Personen
Personenbezogene Kundendaten betreffen die folgenden Kategorien betroffener Personen:
- Betroffene Personen, über die Google im Rahmen der Bereitstellung der eingeschränkten Datenverarbeitungsdienste personenbezogene Daten erhebt, und/oder
- betroffene Personen, über die im Zusammenhang mit den eingeschränkten Datenverarbeitungsdiensten personenbezogene Daten durch den Kunden bzw. auf Anweisung oder im Namen des Kunden an Google übertragen werden.
Je nach Art der eingeschränkten Datenverarbeitungsdienste kann es sich bei den betroffenen Personen um folgende natürliche Personen handeln: (a) solche, an die Onlinewerbung gerichtet wurde oder werden wird, (b) Personen, die bestimmte Websites oder Apps aufgerufen haben, für die Google die Auftragsverarbeiterdienste bereitstellt, und/oder (c) Kunden bzw. Nutzer von Produkten oder Dienstleistungen des Kunden.
Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google – Version 4.0