Produkte

SurveyMonkey eignet sich für alle Zwecke und Bedürfnisse. Testen Sie unser Produkt, um zu sehen, wie SurveyMonkey für Sie funktionieren kann.

Erhalten Sie datengestützte Erkenntnisse vom einem weltweit führenden Anbieter von Online-Umfragen.

Erledigen Sie mehr dank über 100 Apps und Plugins.

Erstellen Sie passgenaue Formulare zur Erfassung von Daten und Zahlungen.

Mit der integrierten KI erstellen Sie bessere Umfragen und bekommen schnelle Erkenntnisse.

Maßgeschneiderte Lösungen für Ihre gesamte Marktforschung

Vorlagen

Messen Sie Kundenzufriedenheit und Loyalität für Ihr Business.

Erfahren Sie, wie Sie Ihre Kunden begeistern und sie zu Fürsprechenden machen.

Erhalten Sie umsetzbare Erkenntnisse und verbessern Sie die Customer Experience.

Erfassen Sie Kontaktinformationen von Interessenten und Eingeladenen.

Erfassen Sie mühelos Zu- und Absagen für Ihr nächstes Event.

Finden Sie heraus, was die Teilnehmenden wollen, damit Sie Ihr nächstes Event optimieren können.

Verbessern Sie mit fundierten Erkenntnissen das Engagement und Ihre Ergebnisse.

Erhalten Sie Feedback von Ihren Teilnehmenden, um bessere Meetings zu gestalten.

Nutzen Sie Feedback von Kolleg:innen, um die Mitarbeiterleistung zu verbessern.

Erstellen Sie bessere Kurse und optimieren Sie die Lehrmethoden.

Erfahren Sie, wie Studierende das Lehrmaterial und die Präsentation bewerten.

Erfahren Sie, was Kunden von Ihren neuen Produktideen halten.

Ressourcen

Best Practices für Umfragen und Umfragedaten

Unser Blog, u. a. mit Tipps zu Umfragen und Business

FAQs und Tutorials für die Verwendung von SurveyMonkey

Wie Top-Marken mit SurveyMonkey das Wachstum steigern.

Vertrieb kontaktierenAnmelden
Vertrieb kontaktierenAnmelden

63% of people consider a company's privacy and security history before using their products or services.

Legal sidebar stats

Laden Sie hier eine Kopie der Datenverarbeitungsvereinbarung für Kunden von SurveyMonkey herunter.

Standardvertragsklauseln

Wir haben diese Datenschutzvereinbarung (DPA) so formuliert, dass sie alle möglichen Standardvertragsklausel-Konfigurationen abdeckt. Es ist davon auszugehen, dass nicht alle auf Sie zutreffen. Zur Erläuterung:  

  • Wenn Sie ein Kunde aus der EU oder dem Vereinigten Königreich sind, benötigen Sie keine Standardvertragsklauseln, da Sie den Vertrag mit der irischen Niederlassung von SurveyMonkey abschließen und zwischen den Niederlassungen in der EU und im Vereinigten Königreich keine Standardvertragsklauseln erforderlich sind
  • Wenn Sie ein Kunde aus den USA sind und sich als Datenverantwortlicher einstufen, gilt Abschnitt 9.2(a) für Sie. Sie sind der Verantwortliche und Exporteur, und SurveyMonkey ist der Auftragsverarbeiter und Importeur. Standardvertragsklausel-Modul 2 gilt für Ihren Vertrag. 
  • Wenn Sie ein Kunde aus den USA sind und sich als Auftragsverarbeiter einstufen, gilt Abschnitt 9.2(b) für Sie. Sie sind der Auftragsverarbeiter und Exporteur, und SurveyMonkey ist der (Unter)Auftragsverarbeiter und Importeur. Standardvertragsklausel-Modul 3 gilt für Ihren Vertrag. 
  • Wenn Sie sich nicht in den USA, der EU oder im Vereinigten Königreich befinden, aber unseren EU-Datenspeicher nutzen möchten, gilt Abschnitt 9.2(c) für Sie. Sie sind der Verantwortliche und Importeur, und SurveyMonkey ist der Auftragsverarbeiter und Exporteur. Standardvertragsklausel-Modul 4 gilt für Ihren Vertrag. 
  • Wenn Sie nicht in den USA, der EU oder im Vereinigten Königreich ansässig sind und unseren EU-Datenspeicher nicht nutzen, sind keine Standardvertragsklauseln erforderlich, da personenbezogene Daten an SurveyMonkey Europe UC (mit Sitz in Irland) übertragen werden. Für die Übermittlung in die EU ist kein Übermittlungsmechanismus erforderlich.

Diese SurveyMonkey-Datenschutzvereinbarung ist Teil Ihrer Vereinbarung mit SurveyMonkey und enthält bestimmte Bedingungen in Bezug auf Datenschutz, Privatsphäre und Sicherheit in Übereinstimmung mit den Datenschutzgesetzen, sofern anwendbar. In dem Fall (und nur in dem entsprechenden Ausmaß), dass ein Konflikt zwischen verschiedenen Datenschutzgesetzen und -vorgaben besteht, vereinbaren die Parteien, sich an die strikteren Anforderungen bzw. den höheren Standard zu halten, deren/dessen Festlegung im Fall eines diesbezüglichen Rechtsstreits im alleinigen Ermessen von SurveyMonkey liegt. 

Diese Datenverarbeitungsvereinbarung (DPA) wird zwischen dem Kunden und der jeweiligen SurveyMonkey-Entität abgeschlossen, die wie folgt bestimmt wird: 

(i) Für Kunden in einem anderen Land als den USA ist SurveyMonkey Europe UC die Vertragsentität. 

(ii)  Für Kunden in den USA ist SurveyMonkey Inc. die Vertragsentität. 

Dies ist die neueste Version des Datenverarbeitungsnachtrags (vom 15. Februar 2024). 

In dieser DPA haben die folgenden Begriffe die folgenden Bedeutungen, außer der jeweilige Kontext erfordert eine anderweitige Bedeutung: 

Vereinbarung“ bedeutet jegliche Vereinbarung zwischen SurveyMonkey Inc. oder SurveyMonkey Europe und einem Kunden in Bezug auf die Services. Eine solche Vereinbarung kann verschiedene Namen haben, z. B. „Bestellformular“, „Kundenauftrag“, „Bestellung“, „Nutzungsbedingungen“ oder „Rahmenvertrag“.

Artikel 28“ bezieht sich auf Artikel 28 der DSGVO und der UK GDPR in Bezug auf die Verarbeitung von personenbezogenen Kundendaten. 

Kunde“ oder „Sie“ bezeichnet den Kunden, der in der Vereinbarung angegeben ist bzw. eine Partei der Vereinbarung darstellt.  

Kundendaten“ bezieht sich auf alle Daten (einschließlich personenbezogener Kundendaten), die SurveyMonkey von oder durch die Nutzung der Services durch den Kunden bereitgestellt werden, und alle Daten, die Dritte über die Services beim Kunden einreichen. 

Personenbezogene Kundendaten“ bezieht sich auf alle personenbezogenen Daten, die von den Services durch oder für den Kunden eingereicht werden und von SurveyMonkey für den Zweck der Bereitstellung der Services an den Kunden verarbeitet werden, einschließlich der in Anhang 2 dieser Datenschutzvereinbarung aufgeführten personenbezogenen Daten. 

Datenschutzgesetz“ bezeichnet alle obligatorischen Gesetze zum Datenschutz oder zur Privatsphäre, die in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung direkt auf SurveyMonkey in seiner Eigenschaft als Auftragsverarbeiter bzw. Dienstleister gelten, darunter:
(i) die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) („ DSGVO“) und alle anderen anwendbaren Gesetze und Verordnungen der EU, des EWR oder des Europäischen einheitlichen Marktes sowie alle Aktualisierungen, Änderungen oder Ersetzungen dieser, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten;

(ii) das neue Schweizer Bundesgesetz über den Datenschutz („nDSG“);

(ii) alle US-Gesetze und -Vorschriften, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich u. a. des California Consumer Privacy Act von 2018 (Cal. Civ. Code §§ 1798.100–1798.199) („CCPA“). 

(iv) alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung von Zeit zu Zeit im Vereinigten Königreich gelten (einschließlich UK GDPR); und

(v) der „Personal Information Protection and Electronic Documents Act“ („PIPEDA“) bzw. jede Aktualisierung, Ergänzung oder jeden Ersatz desselben, die für die Verarbeitung personenbezogener Daten in Kanada gelten.

Die Begriffe „Verantwortlicher“, „Datenschutz-Folgenabschätzung“, „verarbeiten“, „Verarbeitung“, „Auftragsverarbeiter“, „Aufsichtsbehörde“ haben die gleichen Bedeutungen wie in der DSGVO oder in der UK GDPR.

Die englischen Begriffe, die den Begriffen „Unternehmen“, „Geschäftszweck(e)“, „kommerzielle(r) Zweck(e)“, „personenbezogene Daten“, „Dienstanbieter“, „verkaufen“ und „teilen“ äquivalent sind, haben die gleichen Bedeutungen wie in der CCPA-Definition. 

SurveyMonkey“ oder „wir/uns“ bedeutet im Fall von Kunden in den USA SurveyMonkey Inc. und im Fall von Kunden außerhalb der USA SurveyMonkey Europe.  

SurveyMonkey Europe“ bedeutet SurveyMonkey Europe UC, ein irisches Unternehmen mit dem Sitz 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irland.  

SurveyMonkey Inc.“ bedeutet SurveyMonkey Inc., ein Unternehmen mit Sitz im US-Bundesstaat Delaware und der Adresse One Curiosity Way, San Mateo, CA 94403, USA.    

SurveyMonkey Datenschutzerklärung“ steht für die Datenschutzerklärung von SurveyMonkey unter https://de.surveymonkey.com/mp/legal/privacy/.

Personenbezogene Daten“ bezieht sich auf Informationen in Bezug auf eine lebende Einzelperson, die anhand von Informationen entweder allein oder in Verbindung mit anderen Informationen angemessen identifiziert wird oder werden kann (eine „betroffene Person“).

Services“ bezieht sich auf die vom Kunden bei SurveyMonkey im Rahmen der Vereinbarung bestellten Services. 

SVK“ steht für „Standardvertragsklauseln gemäß Anhang der Entscheidung der Europäischen Kommission vom  i) 4. Juni 2021 zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß DSGVO oder ii) (bis zum Zeitpunkt, an dem SurveyMonkey die in i) umrissenen Standardvertragsklauseln angenommen hat) 5. Februar 2010 für die Übermittlung von personenbezogenen Daten von Kunden an Verarbeiter in Drittländern gemäß Richtlinie 95/46/EG. Wo das nDSG Anwendung findet, sind alle in den SVK enthaltenen Bezugnahmen als entsprechende Bezugnahmen auf das nDSG zu verstehen. Alle in diesem Kontext verwendeten Begriffe erhalten daher die Definition im nDSG.

UK-Nachtrag“ bedeutet (i) vom UK Information Commissioner's Office herausgestellten und dem britischen Parlament vorgelegten Vorlagennachtrag gemäß Abschnitt 119A des UK Data Protection Act 2018 am 2. Februar 2022 und gemäß Revision unter Abschnitt 18 der Mandatory Clauses von Zeit zu Zeit. Dabei steht der in dieser Definition genannte Vorlagennachtrag für das Dokument mit dem Titel: International Data Transfer Addendum to the EU Commission Standard Contractual, Version B1.0, in Kraft getreten am 21. März 2022; oder (ii) (bis zum Zeitpunkt, an dem SurveyMonkey den in i) umrissenen UK-Nachtrag angenommen hat), Entscheidung der Europäischen Kommission vom 5. Februar 2010 zur Übermittlung personenbezogenen Daten an Verarbeiter in Drittländern gemäß Richtlinie 95/46/EU.

UK GDPR“ steht für die EU-DSGVO, wie sie Teil der Gesetze von England und Wales, Schottland und Nordirland betrifft, mittels Abschnitt 3 des European Union (Withdrawal) Act von 2018 und Ergänzungen durch die Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 und 2020 sowie jegliche Gesetze, die im Vereinigten Königreich in Kraft sind und von Zeit zu Zeit die UK GDPR ergänzen oder ersetzen können.

Bei der Bereitstellung von Services an den Kunden ist SurveyMonkey für die Zwecke der DSGVO ein Auftragsverarbeiter personenbezogener Daten des Kunden. SurveyMonkey und der Kunde vereinbaren hiermit, dass SurveyMonkey ein „Dienstanbieter“ und der Kunde das „Unternehmen“ gemäß CCPA und in Bezug auf personenbezogene Informationen ist.

Diese DPA bleibt bis zur Kündigung der Vereinbarung (ihren Bedingungen entsprechend) oder bis zu deren Ablauf in Kraft. 

Der Kunde muss sicherstellen und garantiert hiermit, dass er berechtigt ist, die Kundendaten an SurveyMonkey zu übertragen, sodass SurveyMonkey die personenbezogenen Daten in Übereinstimmung mit dieser DPA rechtmäßig verarbeiten und übermitteln kann. Der Kunde hat sicherzustellen, dass alle relevanten betroffenen Personen über eine solche Nutzung, Verarbeitung und Übermittlung informiert wurden, wie von den Datenschutzgesetzen vorgegeben, und dass rechtmäßige Zustimmungen eingeholt wurden (sofern angemessen). Der Kunde hat sicherzustellen, dass alle personenbezogenen Daten, die von SurveyMonkey verarbeitet oder an SurveyMonkey übermittelt werden, rechtmäßig sind und dabei rechtmäßig vorgegangen wird. Der Kunde verpflichtet sich dazu, sich an alle geltenden Datenschutzgesetze zu halten.

Wenn SurveyMonkey personenbezogene Daten des Kunden für den Kunden als Auftragsverarbeiter verarbeitet, wird SurveyMonkey:

(a) dies nur auf dokumentierte Kundenanweisung hin und in Übereinstimmung mit den Datenschutzgesetzen tun, einschließlich in Bezug auf Übermittlungen personenbezogener Kundendaten in andere Rechtsgebiete oder an eine internationale Organisation, und die Parteien stimmen zu, dass die Vereinbarung solche dokumentierte Anweisungen des Kunden an SurveyMonkey zur Verarbeitung von personenbezogenen Kundendaten (einschließlich von Standorten außerhalb des EWR) darstellt, zusammen mit anderen angemessenen Anweisungen, die SurveyMonkey vom Kunden bereitgestellt werden (z. B. per E-Mail), wenn diese Anweisungen der Vereinbarung entsprechen; 

(b) sicherstellen, dass alle Mitarbeiter von SurveyMonkey, die an der Verarbeitung von personenbezogenen Daten des Kunden beteiligt sind, den Vertraulichkeitsverpflichtungen in Bezug auf die personenbezogenen Daten entsprechen; 

(c) Informationen zur Verfügung stellen, die notwendig sind, damit der Kunde seine Konformität mit seinen Verpflichtungen gemäß Artikel 28 (falls für den Kunden zutreffend) nachweisen kann, wenn diese Informationen von SurveyMonkey geführt werden, dem Kunden aber nicht auf andere Weise über seine Konto- und Benutzerbereiche oder auf SurveyMonkey-Websites zur Verfügung stehen, vorausgesetzt, dass der Kunde SurveyMonkey mindestens 14 Tage im Voraus schriftlich über eine solche Informationsanfrage informiert;

(d) wie vom Kunden angefordert angemessen kooperieren, damit der Kunde der Ausübung aller Rechte von betroffenen Personen nachkommen kann, die der jeweiligen betroffenen Person durch die Datenschutzgesetze in Bezug auf die von SurveyMonkey bei der Bereitstellung der Services verarbeiteten personenbezogenen Daten gewährt wurden; 

(e) auf Anfrage vom Kunden Unterstützung in Bezug auf Anfragen bereitstellen, die direkt von einer betroffenen Person in Bezug auf die über die Services eingereichten personenbezogenen Daten der betroffenen Person eingehen;

(f) nach Löschen durch Sie keine personenbezogenen Kundendaten aus Ihrem Konto speichern, außer zur Einhaltung geltender Gesetze und Vorschriften und wie sie ansonsten in routinemäßigen Backup-Kopien geführt werden, die zu Zwecken der Disaster Recovery und Geschäftskontinuität unseren Datenaufbewahrungsrichtlinien entsprechend aufbewahrt werden; 

(g) mit allen Aufsichtsbehörden oder deren Ersatz oder Nachfolgekörperschaften (oder in dem vom Kunden oder allen anderen Datenschutzbehörden im Rahmen der Datenschutzgesetze angeforderten Ausmaß erforderlich) bei der Ausführung solcher aufsichtsbehördlicher Aufgaben kooperieren, sofern erforderlich; 

(h) den Kunden unterstützen wie im angemessenen Umfang erforderlich, wenn der Kunde: 

(i) eine Datenschutz-Folgenabschätzung durchführt in Bezug auf die Services (dies kann die Bereitstellung von Dokumentation umfassen, damit der Kunde seine eigene Folgenabschätzung durchführen kann) oder

(ii) einen Sicherheitsvorfall (wie unten definiert) einer Aufsichtsbehörde oder der relevanten betroffenen Person melden muss

(i) personenbezogene Daten nicht verkaufen oder teilen darf

(j) personenbezogene Daten nur zu den folgenden spezifischen Geschäfts- und kommerziellen Zwecken erfassen, speichern, verwenden, offenlegen oder auf sonstige Weise verarbeiten darf: (1) Bereitstellung unserer Services, wie in dieser Vereinbarung beschrieben; (2) Verbesserung unserer bestehenden Services und Entwicklung neuer Services (z. B. durch Forschung zur Entwicklung neuer Produkte oder Features); (3) Für unsere operativen Zwecke sowie für die operativen Zwecke unserer Anbieter und Integrationspartner; (4) Sicherstellung der Sicherheit und Integrität in dem Maß, wie die Nutzung der personenbezogenen Daten der betroffenen Person für diese Zwecke erforderlich und angemessen ist; (5) Debugging zur Identifizierung und Behebung von Fehlern, die die bestehende Funktionalität beeinträchtigen; (6) Kurzfristige, vorübergehende Nutzung, z. B. Anpassung von Inhalten, die wir oder unsere Anbieter auf den Services anzeigen, und (7) weitere Nutzungen, über die wir Sie in Kenntnis setzen, wie im Rahmen der Datenschutzgesetze zulässig;

(k) die personenbezogenen Daten, die gemäß der Vereinbarung erfasst wurden, nicht außerhalb der direkten Geschäftsbeziehung zwischen SurveyMonkey und dem Kunden aufbewahren, nutzen, kombinieren oder offenlegen, außer dies wird durch den CCPA ausdrücklich zugelassen;  

(l) Sofern aufgrund der Datenschutzgesetze erforderlich, informiert SurveyMonkey den Kunden, wenn SurveyMonkey bemerkt, dass vom Kunden erhaltene Informationen die Bedingungen der Datenschutzgesetze verletzen. Ungeachtet des Vorgenannten ist SurveyMonkey in keiner Weise verpflichtet, alle vom Kunden erhaltenen Anweisungen auf Recht- oder Gesetzesmäßigkeit zu überprüfen. Stellt SurveyMonkey fest, dass SurveyMonkey seine Verpflichtungen im Rahmen des CCPA nicht mehr einhalten kann, wird SurveyMonkey den Kunden informieren und

(m) SurveyMonkey zertifiziert, dass es mit den in dieser Datenschutzvereinbarung dargelegten Beschränkungen und Verpflichtungen und allen geltenden Datenschutzgesetzen vertraut ist und diese Vorgaben einhalten wird. 

6.1 Unterauftragsverarbeitung. Der Kunde erteilt SurveyMonkey eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern, sofern die Anforderungen in diesem Abschnitt 6 eingehalten werden.

6.2 Liste der Unterauftragsverarbeiter. SurveyMonkey wird gemäß den Vertraulichkeitsklauseln in dieser Vereinbarung oder anderweitig durch SurveyMonkey auferlegt:

(a) Dem Kunden wird eine Liste der SurveyMonkey-Auftragnehmer zur Verfügung gestellt, die an der Verarbeitung oder Auftragsbearbeitung personenbezogener Daten des Kunden in Verbindung mit der Bereitstellung der Services beteiligt sind („Auftragsverarbeiter“) sowie eine Beschreibung der Art der Services, die von jedem Auftragsverarbeiter bereitgestellt werden („Auftragsverarbeiterliste“). Ein Exemplar dieser Auftragsverarbeiterliste kann hier angefordert werden. 

(b) sicherstellen, dass alle Unterauftragsverarbeiter auf der Unterauftragsverarbeiterliste durch die vertraglichen Bedingungen gebunden sind, die in allen wesentlichen Aspekten nicht weniger strikt als die in dieser DPA enthaltenen sind und 

(c) für die Handlungen und Auslassungen seiner Unterauftragsverarbeiter im gleichen Ausmaß haften, wie SurveyMonkey haften würde, wenn es die Services durchführen würde, die jeder dieser Unterauftragsverarbeiter im Rahmen dieser DPA ausführt, außer wie anderweitig in der Vereinbarung angegeben. 

6.3 Neue/Ersatz-Auftragsverarbeiter.  SurveyMonkey wird dem Kunden schriftlich mitteilen, wenn neue Auftragsverarbeiter während der Laufzeit der Vereinbarung hinzugefügt oder vorhandene ersetzt werden („Mitteilung zu neuem Auftragsverarbeiter“). Der Kunde wird eine Mailingliste abonnieren, die von SurveyMonkey hier zur Verfügung gestellt wird, über die solche Mitteilungen per E-Mail zugestellt werden, oder wird alternativ hier auf entsprechende Listenaktualisierungen prüfen. Hat der Kunde einen angemessenen Grund, der Nutzung eines neuen oder Ersatz-Auftragsverarbeiters durch SurveyMonkey nicht zuzustimmen, wird der Kunde SurveyMonkey unverzüglich und in jedem Fall innerhalb von 30 Tagen nach Erhalt einer Mitteilung zu einem neuen Auftragsverarbeiter benachrichtigen. Im Falle eines angemessenen Widerspruchs kann der Kunde oder SurveyMonkey den Teil jeder Vereinbarung mit sofortiger Wirkung kündigen, der sich auf die Services bezieht, die ohne den neuen Auftragsverarbeiter nicht angemessen bereitgestellt werden können, dem der Kunde widerspricht (dies kann nach alleinigem Ermessen von SurveyMonkey die Kündigung der gesamten Vereinbarung bedeuten). Die Kündigung erfolgt durch schriftliche Mitteilung an die jeweils andere Vertragspartei. Eine solche Kündigung erfolgt ohne ein Recht auf Rückerstattung von Gebühren, die der Kunde für den Zeitraum nach der Kündigung im Voraus entrichtet hat.

7.1 Sicherheitsmaßnahmen. SurveyMonkey hat unter Berücksichtigung des aktuellen Stands der Dinge, der Kosten der Implementierung und der Natur, des Umfangs, Kontexts und der Zwecke der Services und des Risikoniveaus angemessene technische und organisatorische Maßnahmen (entsprechend Anhang 1) implementiert, um einen Grad an Sicherheit zu bieten, der für das Risiko einer nicht autorisierten oder illegalen Verarbeitung, versehentlichen Verlusts von bzw. Beschädigung von Kundendaten angemessen ist. SurveyMonkey testet und evaluiert in angemessenen Zeitintervallen die Effektivität dieser technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung sicherzustellen.

7.2 Benachrichtigung über Sicherheitsvorfälle und Sicherheitsverletzungen. Wenn SurveyMonkey von Zugriff auf oder von Erwerb, Nutzen, Veränderung, Offenlegung oder Vernichtung personenbezogener Daten (Definition gemäß unserer Vereinbarung zur Datenverarbeitung) in Bezug auf Ihr Konto, die auf unbefugte oder widerrechtliche Weise erfolgen, Kenntnis erhält („Sicherheitsvorfall“), ergreift SurveyMonkey angemessene Maßnahmen, um Sie unverzüglich davon zu unterrichten. Ein Sicherheitsvorfall umfasst keine erfolglosen Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe oder anderen Netzwerkangriffe auf Firewalls oder vernetzte Systeme. Eine Benachrichtigung an den Kunden über einen Sicherheitsvorfall bedeutet nicht, dass  SurveyMonkey sich dafür verantwortlich oder haftbar hält.

7.3 SurveyMonkey wird auch im angemessenen Umfang mit dem Kunden bei allen Untersuchungen in Bezug auf einen Sicherheitsvorfall zusammenarbeiten und alle erforderlichen Mitteilungen erstellen und Informationen im angemessenen, vom Kunden angeforderten Umfang in Bezug auf jeden Sicherheitsvorfall bereitstellen.  

8.1 Überprüfungen. Wenn SurveyMonkey personenbezogene Kundendaten für den Kunden (nur) als Auftragsverarbeiter verarbeitet, wird der Kunde SurveyMonkey mindestens einen Monat im Voraus schriftlich über alle Überprüfungen informieren, die vom Kunden oder einer vom Kunden ernannten unabhängigen Prüfstelle (sofern keine die Überprüfung durchführende Person ein Mitbewerber von SurveyMonkey ist oder in dessen Auftrag arbeitet) („Prüfer“) durchgeführt werden können. Der Umfang einer Überprüfung lautet wie folgt:

(a) Der Kunde ist nur berechtigt, eine Überprüfung pro Abonnementjahr durchzuführen, außer er ist anderweitig gesetzlich oder durch Vorgaben einer Stelle mit ausreichender Autorität über den Kunden verpflichtet, mehr als 1 Überprüfung im gleichen Jahr durchzuführen oder zu unterstützen (unter diesen Umständen werden der Kunde und SurveyMonkey im Voraus vor solchen Überprüfungen eine angemessene Vergütungsrate für die SurveyMonkey entstehenden Überprüfungskosten vereinbaren).

(b) SurveyMonkey stimmt zu, allen angemessenen und angebrachten Vertraulichkeitsbeschränkungen gemäß Nachweise für alle Zertifizierungen und Compliance-Standards bereitzustellen, die SurveyMonkey führt, und wird dem Kunden auf Anfrage eine Zusammenfassung der jüngsten jährlichen Penetrationstests von SurveyMonkey bereitstellen. Diese Zusammenfassung muss die von SurveyMonkey als Resultat dieser Penetrationstests getroffenen Abhilfemaßnahmen umfassen. 

(c) Der Umfang eines Audits wird durch SurveyMonkey-Systeme, Prozesse und Dokumentation beschränkt, die für die Verarbeitung und den Schutz personenbezogener Kundendaten erforderlich sind, und Prüfer werden die Überprüfungen allen von SurveyMonkey geforderten angemessenen und angebrachten Vertraulichkeitsbeschränkungen gemäß durchführen.

(d) Der Kunde wird SurveyMonkey umgehend benachrichtigen und auf vertraulicher Basis die vollständigen Details in Bezug auf alle wahrgenommenen Nichtkonformitäten oder Sicherheitsbedenken bereitstellen, die im Verlauf einer Überprüfung festgestellt wurden.

8.2 Die Parteien vereinbaren, dass außer wenn anderweitig durch Anordnung oder sonstige bindende Vorgabe einer Aufsichtsbehörde oder regulatorischen Stelle mit Autorität über den Kunden gefordert, dieser Abschnitt 8 den gesamten Umfang der Überprüfungsrechte des Kunden gegenüber SurveyMonkey umfasst.

9.1 Im angemessenen Umfang beruft sich SurveyMonkey für Übermittlungen von personenbezogenen Kundendaten von Kunden aus dem Europäischen Wirtschaftsraum („EWR“), der Schweiz oder dem Vereinigten Königreich an Orte außerhalb des EWR, der Schweiz und des Vereinigten Königreichs (ob direkt oder per Weiterleitung), die keine angemessenen Datenschutzstandards gemäß der Datenschutzgesetze der Europäischen Kommission oder relevanten Datenschutzgesetze haben, auf Folgendes:

(a) die Standardvertragsklauseln (SVK) und

(b) für Übermittlungen, die der UK GDPR unterliegen, dem UK-Nachtrag oder

(c) die jeweiligen sonstigen angemessenen Garantien und Ausnahmen (im jeweils geltenden beschränkten Umfang), die den Datenschutzgesetzen entsprechen. 

9.2 Wenn erforderlich, bestätigen die Parteien hiermit ihre Einhaltung der SVK (von denen ein Exemplar hier zugänglich ist) und des UK-Nachtrags (Anhang 3). Die SVK sind durch Bezugnahme automatisch in diese Vereinbarung integriert und gelten wie folgt: 

(a) Der Kunde geht einen Vertrag mit SurveyMonkey Inc. in den USA im Rahmen der Service-Vereinbarung ein und ist der Datenverantwortliche der personenbezogenen Kundendaten und übermittelt diese durch Nutzung der Services aus dem EWR an Orte, von denen bestimmt wurde, dass sie kein angemessenes Schutzniveau für personenbezogene Daten gemäß der Europäischen Kommission bieten. In diesem Fall ist SurveyMonkey als Datenimporteur an die SVK gebunden und es gilt nur Modul 2 der SVK; und/oder

(b) Der Kunde geht einen Vertrag mit SurveyMonkey Inc. in den USA im Rahmen der Service-Vereinbarung ein und ist ein Datenverarbeiter der personenbezogenen Kundendaten und übermittelt diese durch Nutzung der Services aus dem EWR an Orte, von denen bestimmt wurde, dass sie kein angemessenes Schutzniveau für personenbezogene Daten gemäß der Europäischen Kommission bieten. In diesem Fall ist SurveyMonkey als Datenimporteur an die SVK gebunden und es gilt nur Modul 3 der SVK; und/oder

(c) Der Kunde hat seinen Wohnsitz nicht im EWR und geht einen Vertrag mit SurveyMonkey Europe UC zur Speicherung personenbezogener Kundendaten innerhalb des EWR im Rahmen der Vereinbarung ein und ist Datenverantwortlicher der personenbezogenen Kundendaten und übermittelt diese durch Nutzung der Services aus dem EWR an Orte, von denen bestimmt wurde, dass sie kein angemessenes Schutzniveau für personenbezogene Daten gemäß der Europäischen Kommission bieten. In diesem Fall ist SurveyMonkey als Datenexporteur an die SVK gebunden und es gilt nur Modul 4 der SVK und

(d) in Klausel 7 gilt die optionale Docking-Klausel;

(e) in Klausel 11 gilt der optionale Text nicht;

(f) in Klausel 17 unterliegen die SVK irischem Recht;

(g) in Klausel 18 werden Streitfälle vor den Gerichten Irlands verhandelt und

(h) Anlage I und II der SVK gelten als mit den in der Vereinbarung festgelegten Informationen und den in den Anhängen dieser DPA angegebenen Details vervollständigt.

9.3 Für Übermittlungen, die durch das nDSG geschützt sind, gelten die SVK gemäß Abschnitt 9.2; Ausnahmen: 

(a) Alle Verweise in den SVK auf die DSGVO sind als Verweise auf das nDSG auszulegen;  

(b) alle Verweise auf „EU“, „Union“ und „Gesetz des Mitgliedstaats“ sind als Verweise auf die Schweiz und das Schweizer Recht zu verstehen; und  

(c) Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ sind als Verweise auf die entsprechenden Datenschutzbehörden und Gerichte in der Schweiz auszulegen, es sei denn, die wie oben beschrieben umgesetzten SVK können nicht verwendet werden, um solche personenbezogenen Kundendaten im Einklang mit dem nDSG rechtmäßig zu übermitteln; in diesem Fall sind stattdessen die Schweizer Standardvertragsklauseln in Form eines Verweises zu nennen, die dann einen integralen Bestandteil dieser Datenverarbeitungsvereinbarung bilden und für die genannten Übermittlungen gelten. Für die Zwecke der Schweizer Standardvertragsklauseln werden die entsprechenden Anhänge der Schweizer Standardvertragsklauseln mit den Informationen in den Anhängen I und II zu dieser Datenverarbeitungsvereinbarung (soweit zutreffend) vervollständigt. Es gelten die auslegenden Bestimmungen des Abschnitts 9.3 (soweit zutreffend und für die Zwecke der Einhaltung des nDSG erforderlich).

9.4 Auf schriftliche Aufforderung und in Übereinstimmung mit den Bedingungen der Standardvertragsklauseln oder des UK-Nachtrags (je nachdem, was gilt) wird SurveyMonkey dem Kunden Kopien der Standardvertragsklauseln oder des UK-Nachtrags bereitstellen, die das Unternehmen mit Datenimporteuren in seiner Kapazität als Verarbeiter für den Kunden abgeschlossen hat.

10.1 Haftung für Datenverarbeitung. Die Gesamthaftung jeder Partei in Bezug auf alle Ansprüche, ob vertragsbedingt oder aus unerlaubten Handlungen (einschließlich Fahrlässigkeit), Verletzung einer gesetzlich vorgeschriebenen Pflicht oder anderweitig aus oder in Verbindung mit dieser DPA entstehen, werden in der vorliegenden Vereinbarung festgesetzt, sofern nichts anderes schriftlich vereinbart wurde.

10.2 Konflikt. Im Falle eines Konflikts oder einer Mehrdeutigkeit zwischen: (i) den Bedingungen dieser DPA und den Bedingungen der Vereinbarung hinsichtlich des Betreffs dieser DPA, haben die Bedingungen dieser DPA Vorrang; (ii) den Bedingungen jeglicher in dieser DPA enthaltenen Bestimmungen und jeglicher in den Standardvertragsklauseln enthaltenen Bestimmungen hat die Bestimmung in den Standardvertragsklauseln Vorrang.

10.3 Unabhängige Verarbeitung.Der Kunde haftet allein für seine eigene Einhaltung von Datenschutzgesetzen hinsichtlich der unabhängigen Erfassung und Verarbeitung personenbezogener Daten, die nicht mit den Services zusammenhängen. Der Kunde wird seine eigenen klaren, auffälligen Datenschutzerklärungen bereitstellen, die genau beschreiben, wie er dabei vorgeht, und SurveyMonkey haftet unter diesen Umständen nicht für jegliche Behandlung von personenbezogenen Daten durch den Kunden. Der Kunde hält SurveyMonkey hiermit von allen Ansprüchen oder jeglicher Haftung schadlos, die als Ergebnis einer solchen Erfassung und Nutzung personenbezogener Daten durch SurveyMonkey unter diesen Umständen entstehen könnten.

10.4 Gesamtvereinbarung. Die Vereinbarung (einschließlich dieser DPA) und jedes Bestellformular stellen die gesamte Vereinbarung zwischen den Parteien dar und treten an die Stelle sämtlicher früher oder gleichzeitig mündlich oder schriftlich abgeschlossenen Vereinbarungen oder Geschäftsbedingungen, die den Gegenstand dieser Angelegenheit betreffen. Jede der Parteien bestätigt, sich nicht auf Bestimmungen gestützt zu haben, die nicht in der Vereinbarung aufgezeichnet sind, die sie dazu geführt haben, diese Vereinbarung einzugehen.

10.5 Salvatorische Klausel. Wird ein Teil dieser DPA von einem zuständigen Gericht als nicht durchsetzbar bestimmt, wird dieser Teil abgetrennt. Der Rest der Bedingungen bleibt voll und ganz in Kraft. Nichts in dieser DPA hat die Intention oder soll eine Partnerschaft oder ein Joint Venture zwischen den Parteien etablieren, noch eine Partei autorisieren, Verpflichtungen im Namen der jeweils anderen Partei einzugehen, außer wie hierin ausdrücklich angegeben.

10.6 Elektronische Kopie. Die DPA wird als elektronisches Dokument geliefert.

10.7 Maßgebliches Recht. Diese DPA unterliegt dem Recht von Irland und die Parteien unterstellen sich der ausschließlichen Zuständigkeit der irischen Gerichte (in Bezug auf alle vertraglichen und nichtvertraglichen Rechtsstreitigkeiten) außer im Fall einer behaupteten oder tatsächlichen Verletzung aktueller oder zukünftiger Datenschutzgesetze, Vorschriften, Normen, regulatorischer Vorgaben und selbstregulierender Richtlinien auf Bundesstaats- oder Bundesebene in den Vereinigten Staaten von Amerika, in welchem Fall das Recht des US-Bundesstaats Kalifornien maßgeblich ist.

Beschreibung der von SurveyMonkey implementierten technischen und organisatorischen Sicherheitsmaßnahmen 

SurveyMonkey wird angemessene administrative, physische und technische Sicherheitsmaßnahmen („Sicherheitsmaßnahmen“) für den Schutz der Sicherheit, Vertraulichkeit und Integrität der SurveyMonkey zur Bereitstellung der Services an den Kunden bereitgestellten personenbezogenen Daten aufrechterhalten.  

Die Sicherheitsmaßnahmen umfassen: 

(a) Domäne: Informationssicherheitsorganisation.

(i) Sicherheitsrollen und Verantwortlichkeiten. SurveyMonkey-Personal mit Zugriff auf Daten unterliegt den Vertraulichkeitsverpflichtungen.

(ii) Risikomanagement-Programm. SurveyMonkey führt vor der Verarbeitung der Daten eine Risikobeurteilung durch, sofern angemessen.

(b) Domäne: Asset Management

(i) Umgang mit Assets.

(1) SurveyMonkey hat Verfahren zur Entsorgung von Druckmaterialien, die Kundendaten enthalten.

(2) SurveyMonkey pflegt ein Inventar aller Hardware, auf der Kundendaten gespeichert sind.

(3) SurveyMonkey klassifiziert personenbezogene Daten, die es für den Kunden verarbeitet, um die Identifizierung zu erleichtern und den Zugriff auf die Daten angemessen beschränken zu können (z. B. durch Benutzernamen, Passwörter und Verschlüsselung).

(c) Domäne: Personalsicherheit.

(i) Sicherheitsschulung.

(1) SurveyMonkey informiert sein Personal über relevante Sicherheitsverfahren und seine jeweiligen Rollen. SurveyMonkey informiert sein Personal auch über mögliche Folgen der Verletzung von Sicherheitsregeln und -verfahren.

(d) Domäne: Physische und Umgebungssicherheit.

(i) Physischer Zugang zu Einrichtungen. SurveyMonkey beschränkt den Zugang zu Einrichtungen, in denen Informationssysteme Kundendaten verwalten, auf identifizierte, autorisierte Einzelpersonen.

(ii) Schutz vor Disruptionen. SurveyMonkey setzt viele verschiedene Branchenstandardsysteme ein, um Datenverlust aufgrund von Stromausfällen oder Leitungsstörungen zu verhindern.

(iii) Komponentenentsorgung. SurveyMonkey setzt Branchenstandardprozesse ein, um Kundendaten zu löschen, wenn sie nicht mehr benötigt werden.

(e) Domäne: Kommunikations- und Betriebsmanagement. 

(i) Betriebliche Richtlinien.  SurveyMonkey pflegt Sicherheitsdokumente, in denen die Sicherheitsmaßnahmen des Unternehmens und relevanten Verfahren und Verantwortlichkeiten seines Personals mit Zugriff auf Kundendaten beschrieben werden.  

(ii) Datenwiederherstellungsverfahren.  

(1) SurveyMonkey erstellt auf regelmäßiger und kontinuierlicher Basis Backup-Kopien der Kundendaten, mit denen die Kundendaten im Falle eines Verlusts der Originalkopie wiederhergestellt werden können.  

(2) SurveyMonkey speichert Kopien der Kundendaten und Datenwiederherstellungs-Verfahren an einem anderen Ort als dem Ort der primären Computerausrüstung, mit der die Kundendaten verarbeitet werden.  

(3) SurveyMonkey hat spezifische Verfahren für den Zugriff auf Kopien der Kundendaten implementiert. 

(iii) Schädliche Software. SurveyMonkey verwendet Anti-Malware-Kontrollen, um zu verhindern, dass Schadsoftware unautorisierten Zugriff auf Kundendaten erhält, darunter auch Schadsoftware, die aus öffentlichen Netzen stammt.

(iv) Daten jenseits von Landesgrenzen.  

(1) SurveyMonkey verschlüsselt Kundendaten, die über öffentliche Netze übermittelt werden. 

(v) Ereignisprotokollierung.

(1) SurveyMonkey protokolliert die Verwendung seiner Datenverarbeitungssysteme.  

(2) SurveyMonkey protokolliert den Zugriff auf und die Nutzung von Informationen, die Kundendaten enthalten, registriert Zugriffs-ID, Zeitstempel und bestimmte relevante Aktivitäten.

(f) Domäne: Informationssicherheitsvorfall-Management.

(i) Vorfallreaktionsprozess. 

(1) SurveyMonkey pflegt einen Vorfallreaktionsplan.  

(2) SurveyMonkey pflegt einen Datensatz der Sicherheitsverletzungen mit einer Beschreibung der Verletzung, dem Zeitraum, den Folgen der Verletzung, dem Namen der meldenden Person und wem die Verletzung gemeldet wurde sowie ggf. den Abhilfeschritten.

(g) Domäne: Geschäftskontinuitäts-Management.

(i) Die redundante Speicherung und die Verfahren von SurveyMonkey zur Wiederherstellung von Daten haben das Ziel, Kundendaten in ihrem Originalzustand vor einem Verlust oder einer Zerstörung zu rekonstruieren.   

(h) Zugangskontrolle für Verarbeitungsbereiche. Prozesse, die verhindern, dass nicht autorisierte Personen Zugriff auf die Datenverarbeitungs-Ausrüstung (wie Telefone, Datenbank- und Anwendungsserver und damit verbundene Hardware) erhalten, auf der personenbezogene Kundendaten verwaltet oder genutzt werden, umfassen: 

(i) Etablieren sicherer Bereiche; 

(ii) Schutz und Beschränkung der Zugangswege;

(iii) Schutz von Mobiltelefonen/Handys;   

(iv) Datenverarbeitungsausrüstung und PCs;

(v) Gesamter Zugriff auf die Rechenzentren, in denen personenbezogene Kundendaten gehostet werden, wird protokolliert, überwacht und verfolgt;  

(vi) Die Rechenzentren, in denen personenbezogene Kundendaten gehostet werden, sind durch ein Sicherheitsalarmsystem und andere angemessene Sicherheitsmaßnahmen geschützt und 

(vii) Die Einrichtung ist so ausgelegt, dass sie schlechter Witterung und anderen vorhersehbaren Naturbedingungen im angemessen Umfang widerstehen kann, wird rund um die Uhr durch Wachpersonal, Schlüsselkarten- bzw. Biometrie-Zugang (wie nach Risikoniveau angemessen), Screening und begleitetem Zugang gesichert und wird auch durch Backup-Generatoren vor Ort für den Fall eines Stromausfalls unterstützt.

(i) Zugangskontrolle für Datenverarbeitungssysteme.  Prozesse, die verhindern, dass Datenverarbeitungssysteme von nicht autorisierten Personen verwendet werden, die Folgendes umfassen:  

(i) Identifizierung des Terminals bzw. Terminal-Benutzers bei den Datenverarbeitungssystemen; 

(ii) Automatischer Timeout nach maximal 30 Minuten ohne Eingabe am Terminal, zum Wiederöffnen sind Identifizierung und Passwort erforderlich;

(iii) Ausgabe und Schutz von Identifizierungscodes;  

(iv) Passwort-Komplexitätsanforderungen (Mindestlänge, Ablauf von Passwörtern usw.) und

(v) Schutz vor externem Zugriff mittels einer Branchenstandard-Firewall.  

(j) Zugriffskontrolle zur Nutzung spezifischer Bereiche der Datenverarbeitungssysteme.  Maßnahmen, um sicherzustellen, dass Personen, die zur Nutzung der Datenverarbeitungssysteme berechtigt sind, nur auf die Daten zugreifen können innerhalb des Umfangs und in dem Ausmaß, der/das von der jeweiligen Zugriffsberechtigung (Autorisierung) abgedeckt wird, und dass personenbezogene Kundendaten nicht gelesen, kopiert, geändert oder entfernt werden können; dies wird erzielt durch:

(i) Implementierung bindender Mitarbeiterrichtlinien und Bereitstellung von Schulungen hinsichtlich der Zugriffsrechte jedes Mitarbeiters für die personenbezogenen Kundendaten;

(ii) effektive und angemessene Disziplinarmaßnahmen gegenüber Personen, die ohne Autorisierung auf personenbezogene Kundendaten zugreifen;  

(iii) Freigabe von Daten nur an autorisierte Personen;  

(iv) Implementierung von Least-Privileged-Access-Prinzipien, bei denen der Zugriff auf personenbezogene Kundendaten strikt den „Wissensbedarf“-Anforderungen entsprechend erfolgt;

(v) Produktionsnetzwerk und Datenzugriffsmanagement per VPN, Zwei-Faktor-Authentifizierung und rollenbasierte Zugriffskontrollen reguliert;

(vi) Anwendungs- und Infrastruktursysteme protokollieren Informationen in einer zentral verwalteten Protokolleinrichtung für Fehlerbehebung, Sicherheitsüberprüfungen und Analyse und 

(vii) Richtlinien zur Steuerung der Aufbewahrung von Backup-Kopien, die geltenden Gesetzen entsprechen und für die Natur der jeweiligen Daten und das entsprechende Risiko angemessen sind.

(k) Übermittlungskontrolle. Verfahren, die verhindern, dass personenbezogene Kundendaten während ihrer Übermittlung oder des Transports der Datenträger von nicht autorisierten Personen gelesen, kopiert, geändert oder gelöscht werden können, und sicherstellen, dass es möglich ist, zu prüfen und festzustellen, welchen Körperschaften personenbezogene Kundendaten mittels Datenübermittlungseinrichtungen übermittelt werden, darunter: 

(i) Nutzung von Firewalls und Verschlüsselungstechnologien, um die Gateways und Pipelines zu schützen, über die die Daten übertragen werden;

(ii) Implementierung von VPN-Verbindungen zum Schutz der Verbindung mit dem internen Unternehmensnetzwerk;

(iii) konstante Überwachung der Infrastruktur (z. B. ICMP-Ping auf Netzwerkebene, Festplattenspeicherprüfung auf Systemebene, erfolgreiche Lieferung angegebener Testseiten auf Anwendungsebene) und

(iv) Überwachung der Vollständigkeit und Korrektheit der Datenübermittlung (End-to-End-Prüfung). 

(l) Speicherkontrolle. Beim Speichern von personenbezogenen Kundendaten gilt: Sie werden als Teil eines designierten Backup- und Wiederherstellungsprozesses in verschlüsselter Form und unter Verwendung einer kommerziell unterstützten Verschlüsselungslösung per Backup gesichert und alle als personenbezogene Kundendaten definierte Daten, die auf einem tragbaren Gerät oder Laptop oder einem portablen Speichermedium gespeichert werden, werden ebenfalls verschlüsselt. Verschlüsselungslösungen werden mit mindestens einem 128-Bit-Schlüssel für symmetrische Verschlüsselung und mindestens 1024-Bit-Schlüssellänge für asymmetrische Verschlüsselung verschlüsselt;

(m) Eingabekontrolle. Maßnahmen zur Sicherstellung, dass es möglich ist, zu prüfen und festzustellen, ob und von wem personenbezogene Kundendaten in Datenverarbeitungssysteme eingegeben oder daraus entfernt wurden, einschließlich:

(i) Authentifizierung des autorisierten Personals;

(ii) Schutzmaßnahmen für die Dateneingabe in den Speicher sowie für das Lesen, Ändern und Löschen der gespeicherten Daten;

(iii) Verwendung von Benutzercodes (Passwörtern);

(iv) Innerhalb der Organisation des Datenimporteurs gibt es einen Nachweis der Eingabeautorisierung und

(v) Sicherstellung, dass der Zugang zu Datenverarbeitungseinrichtungen (Räumen, in denen Computerhardware und damit verbundene Ausrüstung untergebracht ist) gesperrt ist.

(n) Verfügbarkeitskontrolle. Maßnahmen zur Sicherstellung, dass personenbezogene Kundendaten vor versehentlicher Zerstörung oder Verlust geschützt werden, einschließlich Infrastruktur-Redundanz und regelmäßige Backups auf Datenbankservern. 

(o) Trennung der Verarbeitung. Verfahren, die sicherstellen, dass die für die verschiedenen Zwecke erfassten Daten separat verarbeitet werden können, einschließlich:

(i) Trennung der Daten durch Anwendungssicherheit für die jeweiligen Benutzer;

(ii) Speichern von Daten auf Datenbankebene in verschiedenen Tabellen, getrennt nach Modul oder Funktion, das/die sie unterstützen;

(iii) Design von Schnittstellen, Batch-Prozessen und Berichten nur für spezifische Zwecke und Funktionen, damit die für bestimmte Zwecke erfassten Daten separat verarbeitet werden können, und

(iv) Ausschluss von Live-Daten aus der Verwendung für Testzwecke, weil dafür nur Dummy-Daten, die für Testzwecke generiert werden, verwendet werden dürfen.

(p) Schwachstellenmanagement-Programm. Ein Programm zur Sicherstellung, dass Systeme regelmäßig auf Schwachstellen geprüft und alle festgestellten Schwachstellen sofort behoben werden. Dazu gehört:

(i) Alle Netzwerke einschließlich von Test- und Produktionsumgebungen werden regelmäßig gescannt und 

(ii) es werden regelmäßig Penetrationstests durchgeführt und Schwachstellen umgehend beseitigt.

(q) Datenvernichtung. Im Fall des Ablaufs oder der Kündigung der Vereinbarung durch eine der beiden Parteien oder auf Anfrage des Kunden nach Eingang einer Anfrage von einer betroffenen Person oder Aufsichtsbehörde gilt: 

(i) Alle Kundendaten sind innerhalb von 3 Monaten zu vernichten und

(ii) alle Kundendaten werden innerhalb von 6 Monaten nach Kündigung oder Eingang einer Anfrage vom Kunden von allen SurveyMonkey-Speichergeräten bzw. Speichergeräten Dritter entfernt (einschließlich Backups), außer SurveyMonkey ist anderweitig gesetzlich verpflichtet, eine Datenkategorie länger aufzubewahren. SurveyMonkey wird sicherstellen, dass alle derartigen Daten, die nicht mehr benötigt werden, auf einer Ebene vernichtet werden, auf der sichergestellt ist, dass sie nicht wiederhergestellt werden können.

(r) Normen und Zertifizierungen. Datenspeicherlösungen bzw. -orte weisen mindestens SOC 1 (SSAE 16) oder SOC 2 Reports oder äquivalente oder ähnliche Zertifizierungen oder Sicherheitsstufen auf, die je nach Einzelfallbasis überprüft werden.

(s) Vor-Ort-Kontrolle. Alle Mitarbeiter und Subunternehmer (sofern zutreffend), die sich beim Kunden befinden, werden alle allgemein vom Kunden vorgeschriebenen angemessenen Regeln, Verordnungen, Praktiken und Verfahren (insbesondere sicherheitsbezogene Vorkehrungen) einhalten und Eigentum des Kunden nur entsprechend der Zwecke, die in einem Vertrag festgelegt sind, nutzen und es dem Kunden nach Abschluss der entsprechenden Services zurückgeben.

(t) Datenqualitätsstrategie. SurveyMonkey implementiert eine Datenqualitätsstrategie, die mit dem Ziel entwickelt wurde, die Datenqualität auf einem angemessenen Standard zu halten, und korrigiert die Daten, wenn uns fehlerhafte oder unvollständige Daten bekannt sind.  SurveyMonkey pflegt kryptografische Hashes bestimmter Produktionsdaten und Änderungsprotokolle von Domänendaten, damit wir Änderungen überwachen und nachverfolgen können.  Wir haben Prozesse eingerichtet, mit denen Benutzer die Verarbeitung ihrer personenbezogenen Daten und auch Datenprobleme im System korrigieren oder widerrufen können.

(i) SurveyMonkey erfasst genaue, relevante und vollständige Informationen von Kunden, um deren Geschäftstätigkeit zu ermöglichen. 

(ii) SurveyMonkey pflegt die Daten gemäß Lebenszyklusrichtlinien in einer zeitgerechten Weise, um einen konsistenten Zugriff auf die Daten zu ermöglichen. 

(iii) Der Standard für die Datenqualität kann von Kunde zu Kunde je nach Anwendungsfall variieren. 

(u) Privacy by Design (Datenschutz durch Technik). SurveyMonkey wendet Richtlinien und Verfahren zur Implementierung von Privacy by Design an.  Alle Daten im System sind dem entsprechenden Zugriff (durch Richtlinien) zugeordnet und ihr Lebenszyklus wird durch eine Richtlinie geregelt.  Alle mit der Produktionsumgebung verbundenen Systeme verfügen standardmäßig über Datenminimierung und Schein-Anonymisierung, sodass Datenschutz- und Sicherheitsprobleme von vornherein vermieden werden und keine späteren Korrekturen erforderlich sind.  

(i) Wir betrachten Datenschutzfragen als Teil des Designs und der Implementierung von Systemen, Services, Produkten und Geschäftspraktiken und behandeln Datenschutz als eine Kernfunktion unseres Services. 

(ii) Wir prognostizieren Risiken und Ereignisse, die in die Privatsphäre eingreifen, bevor sie eintreten und ergreifen Maßnahmen, um Schaden für Einzelne abzuwenden.

(iii) Wir verarbeiten nur personenbezogene Daten, die wir für unsere Zwecke benötigen, und wir nutzen die Daten auch nur für diese Zwecke. 

(iv) Wir stellen sicher, dass personenbezogene Daten in allen IT-Systemen, Services, Produkten und/oder Geschäftspraktiken automatisch geschützt sind, sodass Einzelpersonen nicht spezielle Maßnahmen zum Schutz ihrer Privatsphäre ergreifen müssen.

(v) Wir bieten starke Datenschutzstandards, benutzerfreundliche Optionen und Kontrollen und respektieren die Einstellungen des Benutzers.

(vi) Wir setzen Auftragsverarbeiter ein, die ausreichende Gewährleistungen für ihre technischen und organisatorischen Maßnahmen bieten, um einen Datenschutz per Design zu ermöglichen. 

(vii) Wenn wir im Rahmen unserer Verarbeitungsaktivitäten andere Systeme, Services oder Produkte nutzen, stellen wir sicher, dass wir nur solche einsetzen, deren Entwickler und Hersteller den Datenschutz berücksichtigt haben. 

(v) Testen des Sicherheitsstands der Daten. SurveyMonkey überprüft mindestens jährlich den Stand der Datensicherheit durch Penetrationstests mit einem Branchenstandardtool (z. B. Burp Scanner) oder alternativ durch einen zertifizierten Drittanbieter oder Berater. 

(x) Strategie zur Verhinderung von Datenverlusten. SurveyMonkey setzt Schulungen und Fortbildungen als Strategie zur Vorbeugung von Datenverlusten ein.  Der Zugriff auf die Daten im System ist begrenzt und wird minimiert, um zu verhindern, dass Benutzer unnötig auf Daten zugreifen.  Alle Benutzer sind verpflichtet, Richtlinien für den angemessenen Zugriff auf Kundendaten zu unterzeichnen. Dies ist Teil des jährlichen Sicherheits-Auffrischtrainings. 

(y) Technische Sicherheitsmaßnahmen. SurveyMonkey ist ein stark verteiltes Unternehmen. Daher verfügt SurveyMonkey über keine unternehmensinternen Firewalls oder Angriffserkennung für das interne Netzwerk.  Jeder Zugriff auf Unternehmensressourcen muss über verschlüsselte Kanäle erfolgen.  Alle Unternehmensressourcen müssen in MFA-fähigen Systemen gespeichert sein. 

Zwecke und Art der Verarbeitung personenbezogener Daten, Kategorien personenbezogener Daten, betroffene Personen 

Zweck und Art der VerarbeitungSurveyMonkey kann personenbezogene Daten des Kunden verarbeiten, um die Services technisch durchzuführen, darunter ggf.: 
•     
Hosting und Speicherung;
•      Backup und Disaster Recovery;
•      Technische Verbesserung des Service;
•      Service-Änderungsmanagement;
•      Problemlösung;•
      Bereitstellung sicherer, verschlüsselter Services;
•      Anwendung neuer Produkt- oder Systemversionen, Patches, Updates oder Upgrades;
•      Überwachung und Testen der Systemnutzung und -leistung;
•      Proaktive Erfassung und Entfernung von Programmfehlern;
•      IT-Sicherheitszwecke einschließlich Vorfallmanagement;
•      Wartung und Ausführung von technischen Unterstützungssystemen und IT-Infrastruktur;
•      Migration, Implementierung, Konfiguration und Leistungstests;
•      Aussprechen von Produktempfehlungen;•      Bereitstellung von Kundensupport; Übermittlung von Daten und
•      Unterstützung von Anfragen betroffener Personen (wie erforderlich).
Kategorien personenbezogener DatenDer Kunde kann über die Services personenbezogene Kundendaten einreichen und von den Befragten evtl. fordern, dass sie personenbezogene Daten über die Services einreichen. Der Ausmaß wird dabei vom Kunden nach seinem alleinigem Ermessen bestimmt und kontrolliert. Dies kann u. a. Folgendes und mehr umfassen: 

•      Personenbezogene Daten jedes Typs, die von den Befragten des Kunden über Benutzer der Services beim Kunden eingereicht werden (z. B. über Umfragen oder andere Feedback-Tools). Beispiele: Name, geografischer Ort, Alter, Kontaktinformationen, IP-Adresse, Beruf, Geschlecht, Finanzstatus, persönliche Präferenzen, persönliche Einkaufs- oder Verbrauchergewohnheiten und andere Präferenzen bzw. persönliche Details, nach denen der Kunde fragt oder die er von den von ihm Befragten erfassen möchte. 

•      Personenbezogene Daten jeden Typs, die in Formularen und Umfragen enthalten sein können, die in den Services für den Kunden gehostet werden (und in den Fragen der Umfrage enthalten sein können). 

•  Kontakt- und Abrechnungsdetails zu den Mitarbeitern des Kunden, autorisierten Endbenutzern und anderen Geschäftskontakten. Beispiele: Name, Titel, Arbeitgeber, Kontaktinformationen (Unternehmen, E-Mail-Adresse, Telefon, Anschrift usw.), Zahlungsinformationen und andere kontobezogene Daten.

•      Die vom Kunden Befragten können spezielle Kategorien personenbezogener Daten beim Kunden über die Services einreichen, deren Ausmaß und Umfang vom Kunden bestimmt und kontrolliert werden. Zur Klarheit können diese besonderen Kategorien personenbezogener Daten Informationen enthalten, die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Anschauungen, Gewerkschaftsmitgliedschaft offenlegen und bei denen Daten in Bezug auf die Gesundheit oder das Geschlechtsleben verarbeitet werden.
Betroffene Personen Zu den betroffenen Personen gehören:
•      natürliche Personen, die personenbezogene Daten über Services an SurveyMonkey übermitteln (einschließlich über Online-Umfragen und -Formulare, die von SurveyMonkey im Auftrag des Kunden bereitgestellt werden);
•      natürliche Personen, deren personenbezogene Daten über Services von Befragten an den Kunden übermittelt werden können;
•      natürliche Personen, die Angestellte, Vertreter oder andere Geschäftskontakte des Kunden sind;
•      Benutzer des Kunden, die vom Kunden autorisiert wurden, auf die Services zuzugreifen und diese zu nutzen.

ANLAGEN FÜR Standardvertragsklauseln

ANLAGE I –

A. LISTE DER PARTEIEN

MODUL 2: Übermittlung vom Verantwortlichen zum Verarbeiter

MODUL 3: Übermittlung von Verarbeiter zu Verarbeiter

MODUL 4: Übermittlung vom Verarbeiter an den Verantwortlichen

Datenexporteur(e): Wie in der Vereinbarung angegeben

Name, Position und Kontaktdetails der Kontaktperson: Wie in der Vereinbarung angegeben

Aktivitäten, die für die im Rahmen dieser Klauseln übermittelten Daten relevant sind: Wie in Anhang 2 der DPA angegeben

Datenimporteur(e): Wie in der Vereinbarung angegeben

Name: Wie in der Vereinbarung angegeben

Name, Position und Kontaktdetails der Kontaktperson: Wie in der Vereinbarung angegeben

Aktivitäten, die für die im Rahmen dieser Klauseln übermittelten Daten relevant sind: Wie in Anhang 2 der DPA angegeben

B. BESCHREIBUNG DER ÜBERMITTLUNG

MODUL 2: Übermittlung vom Verantwortlichen zum Verarbeiter

MODUL 3: Übermittlung von Verarbeiter zu Verarbeiter

MODUL 4: Übermittlung vom Verarbeiter an den Verantwortlichen

Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden: Wie in Anhang 2 der DPA angegeben

Kategorien der übermittelten personenbezogenen Daten: Wie in Anhang 2 der DPA angegeben

(Ggf.) übermittelte sensible Daten, für die Beschränkungen oder Schutzmaßnahmen getroffen werden, die die Art der Daten und die beteiligten Risiken voll und ganz berücksichtigen, wie z. B. strikte Begrenzung auf den vorgesehenen Zweck, Zugriffsbeschränkungen (einschließlich Zugriff nur durch Personal mit besonderer Schulung), Dokumentation des Zugriffs auf die Daten, Beschränkungen von Weiterleitungen oder zusätzliche Sicherheitsmaßnahmen: Wie in Anhang 1 und 2 der DPA angegeben

Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder auf kontinuierlicher Basis übermittelt werden): einmalig und kontinuierlich (je nach Nutzung der Services)

Art der Verarbeitung: Wie in Anhang 2 der DPA angegeben

Zweck(e) der Datenübermittlung und weiteren Verarbeitung: Wie in Anhang 2 der DPA angegeben

Der Zeitraum, den die personenbezogenen Daten aufbewahrt werden, oder falls dies nicht möglich ist, die zur Bestimmung dieses Zeitraum verwendeten Kriterien: Wie in der Vereinbarung und hier angegeben

Für Übermittlungen an (Auftrags)verarbeiter müssen auch Angelegenheit, Art und Dauer der Verarbeitung angegeben werden: Siehe hier.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Geben Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13 an: Irland

ANLAGE II – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, WIE IN ANHANG 1 DER DPA ANGEGEBEN

ANLAGE III – LISTE DER AUFTRAGSVERARRBEITER

MODUL 2: Übermittlung vom Verantwortlichen zum Verarbeiter

MODUL 3: Übermittlung von Verarbeiter zu Verarbeiter

MODUL 4: Übermittlung von Verarbeiter an Verantwortlichen: Der Kunde hat die Nutzung der folgenden Auftragsverarbeiter autorisiert: Siehe hier.

UK-NACHTRAG 

1. In Bezug auf Datenübermittlungen, die der UK GDPR unterliegen, stimmen die Parteien hiermit dem UK-Nachtrag (Kopie ist hier zugänglich) zu und der UK-Nachtrag wird durch Bezugnahme in diese Vereinbarung integriert. Bei Datenübermittlungen, die der UK GDPR unterliegen, sind alle Verweise auf die „zuständige Aufsichtsbehörde“ und die „zuständigen Gerichte“ als Verweise auf die entsprechende Datenschutzbehörde und die entsprechenden Gerichte im Vereinigten Königreich zu verstehen. 

2. Die Parteien stimmen zu, dass das Format und der Inhalt der Tabellen in Teil 1 des UK-Nachtrags durch die Tabelle unten ergänzt und ersetzt werden.

UK-Nachtrag – TabellenreferenzInformationen zur Fertigstellung der Tabelle
Tabelle 1: AnfangsdatumGültig ab dem Datum des Inkrafttretens der Vereinbarung.
Tabelle 1: Details zu den ParteienGilt als mit den Informationen in Anhang 2 dieser Vereinbarung angegebenen Informationen als abgeschlossen.
Tabelle 2: Nachtrag EU-SVKDie Parteien wählen die folgende Option aus Tabelle 2:

„Genehmigte EU-SVK einschließlich Anhanginformationen, wobei nur die folgenden Module, Klauseln oder optionalen Bedingungen der genehmigten EU-SVK für die Zwecke dieses Anhangs in Kraft treten.“

Details der „Module“, „Klauseln“ und „optionalen Bereitstellungen“ der SVK, die für die Zwecke des UK-Nachtrags gemäß Abschnitt 9.2 dieser Vereinbarung in Kraft treten.
Tabelle 3: Anlage 1A – Liste der ParteienGilt als mit den Informationen in Anhang 2 dieser Vereinbarung angegebenen Informationen als abgeschlossen.
Tabelle 3: Anlage 1B – Beschreibung der ÜbermittlungGilt als mit den Informationen in Anhang 2 dieser Vereinbarung angegebenen Informationen als abgeschlossen.
Tabelle 3: Anlage II – Technische und organisatorische MaßnahmenGilt als mit den Informationen in Anhang 1 dieser Vereinbarung angegebenen Informationen als abgeschlossen.
Tabelle 3: Anlage III: Liste der Auftragsverarbeiter (Modul 2)Eine Liste der Auftragsverarbeiter ist den Auftragsverarbeiter-Klauseln der Vereinbarung entsprechend enthalten.
Tabelle 4: Beendigung dieses NachtragsDie Parteien bestätigen, dass keine der Parteien den UK-Nachtrag gemäß Integration in die Vereinbarung kündigen kann.

3. Im Falle eines Konflikts oder einer Nichtentsprechung zwischen dieser Vereinbarung und dem UK-Nachtrag hat der UK-Nachtrag in Bezug auf einen solchen Konflikt oder eine solche Nichtentsprechung Vorrang.