Catalate Preisgestaltung als Servicevereinbarung
Zuletzt aktualisiert: November 17, 2022
Diese Catalate Pricing as a Services-Vereinbarung (diese “Vereinbarung”) wird zum Datum des ersten Bestellformulars des Partners oder zum Datum der ersten Nutzung der Dienste durch den Partner, je nachdem, was früher eintritt (das “Datum des Inkrafttretens”), zwischen Catalate Commerce, Inc. einer Gesellschaft aus Delaware (“Catalate”) und dem Kunden, der die Dienste nutzt (“Partner”) (jeweils eine “Partei”, zusammen die “Parteien”), geschlossen und regelt die Bereitstellung der hier beschriebenen Online-Dienste durch Catalate.
1. Definitionen.
1.1 “Verbundenes Unternehmen” ist eine natürliche oder juristische Person, die direkt oder indirekt von einer Vertragspartei kontrolliert wird, diese kontrolliert oder unter gemeinsamer Kontrolle mit ihr steht.
1.2 “API” bezeichnet die API(s) von Catalate, über die Partner auf den Ticketbestand und die Preise zugreifen können.
1.3 “Margenprozentsatz” bezeichnet die Gebühren von Catalatefür die Erbringung der Dienstleistungen, berechnet als Prozentsatz des Verkaufspreises. Im Bestellformular sind die Margenprozentsätze für die über die API verkauften Tickets aufgeführt.
1.4 “Bestellformular” bezeichnet dieses Deckblatt und jedes weitere Bestellformular für zusätzliche Produkte oder Dienstleistungen, das von beiden Parteien ausgefertigt wurde.
1.5 “Verkaufspreis” ist der tatsächliche Preis, den ein Endnutzer für ein über die API erworbenes Ticket bezahlt.
1.6 “Dienstleistungen” sind die professionellen Beratungs-, Marketing-, Werbe- und Online-Einzelhandelsdienstleistungen von Catalateund die dazugehörige Software, die es dem Partner ermöglichen, seine Produkte online an potenzielle Endkunden zu bewerben und zu verkaufen, einschließlich der API.
1.7 “Software” bezeichnet Software und andere Quellcodes, Objektcodes oder zugrunde liegende Strukturen, Ideen, Know-how oder Algorithmen, die zur Bereitstellung der API und anderer Teile der Dienste verwendet werden.
1.8 “Tickets” sind Eintritts- oder Benutzerkarten für das Eigentum des Partners und andere damit verbundene Produkte, die der Partner über die Dienste verkaufen möchte;
2. Dienstleistungen; Lizenzerteilung.
2.1 Der Partner beauftragt hiermit Catalate mit der Erbringung der Dienstleistungen in Übereinstimmung mit und gemäß den Bedingungen in Anhang A.
2.2 Während der Laufzeit und vorbehaltlich der Bedingungen dieses Vertrags gewährt Catalate dem Partner eine begrenzte, widerrufliche, nicht exklusive und nicht übertragbare Lizenz für den Zugriff auf und die Integration der API, um das Ticketinventar gemäß Anhang A verfügbar zu machen.
3. Entschädigung. Der Partner bezahlt Catalate wie in Anhang A und jedem Bestellformular angegeben. Die Einzelhandelspreise enthalten alle anwendbaren Steuern, Abgaben, Zölle, Mehrwertsteuer und ähnliche staatliche Veranlagungen auf lokaler, bundesstaatlicher, provinzieller, föderaler oder ausländischer Ebene (zusammenfassend “Steuern”). Der Partner ist allein für die Zahlung aller mit dem Ticketverkauf verbundenen Steuern verantwortlich. Wenn eine zuständige Steuerbehörde Catalate zur Zahlung von Steuern auffordert, die vom Partner hätten gezahlt werden müssen, wird Catalate den Partner schriftlich davon in Kenntnis setzen, und der Partner wird Catalate die gezahlten Beträge unverzüglich erstatten.
4. Nutzung von geistigem Eigentum.
4.1 Catalate behält alle Rechte, Titel und Interessen, einschließlich aller geistigen Eigentumsrechte, die in den Diensten und den Catalate verkörpert oder mit ihnen verbunden sind.
4.2 Beschränkungen. Der Partner wird es seinen Nutzern nicht erlauben (ohne Einschränkung):
(A) die Dienste Dritten für Service-Bureau- oder Time-Sharing-Zwecke zur Verfügung zu stellen oder Dritten in irgendeiner anderen Weise die Nutzung der Dienste zu ermöglichen;
(B) Dritten zu gestatten, auf die Dienste zuzugreifen oder sie in anderer Weise zu nutzen;
(C) die Dienste zu verkaufen, weiterzuverkaufen, zu übertragen, abzutreten, zu rahmen, zu spiegeln oder zu verbreiten;
(D) Software oder automatisierte Agenten oder Skripte in die Dienste einzuführen, um mehrere Konten zu erstellen, automatisierte Suchvorgänge, Anfragen oder Abfragen zu generieren oder Daten aus den Diensten zu entfernen, auszuschöpfen oder abzubauen;
(E) die Software, das Preismodell oder die Preisstrategien, die für die Erbringung der Dienstleistungen verwendet werden, aus irgendeinem Grund zu kopieren oder zurückzuentwickeln; oder
(F) auf die Dienste zuzugreifen, um ein konkurrierendes Produkt oder eine konkurrierende Dienstleistung zu erstellen, um ein Produkt zu erstellen, das ähnliche Ideen, Merkmale, Funktionen oder Grafiken der Dienste verwendet, oder um Ideen, Merkmale, Funktionen oder Grafiken der Dienste zu kopieren.
5. Sicherheitsstandards. Die Netzwerke, Betriebssysteme, Webserver, Router und Computersysteme des Partners müssen entsprechend den Industriestandards konfiguriert sein, um jegliches Eindringen oder unbefugte Offenlegung oder Verlust von Daten zu verhindern. Im Falle eines Sicherheitsverstoßes, der die API oder andere Dienste betrifft, muss der Partner Catalate unverzüglich benachrichtigen und sorgfältig daran arbeiten, diesen Sicherheitsverstoß so schnell wie möglich zu beheben.
6. Annehmbare Nutzung. Der Partner erklärt sich damit einverstanden, dass er und seine Mitarbeiter und Vertreter die Dienste nicht nutzen werden, um:
6.1 jegliches Material zu übermitteln, das Adware, Malware, Spyware, Softwareviren oder andere Computercodes, Dateien oder Programme enthält, die dazu bestimmt sind, die Funktionalität von Computersoftware oder -hardware oder Telekommunikationsgeräten zu unterbrechen, zu zerstören oder einzuschränken;
6.2 die Server von Catalate oder mit Catalate verbundene Netzwerke zu stören oder zu unterbrechen oder Anforderungen, Verfahren, Richtlinien oder Vorschriften von mit Catalate verbundenen Netzwerken zu missachten;
6.3 versuchen, auf andere Catalate zuzugreifen, die nicht Teil der Dienste sind; oder
6.4 gegen Gesetze, Rechte Dritter oder Verpflichtungen aus dieser Vereinbarung verstoßen.
7. Partnerberichte. Der Partner wird alle Aufzeichnungen im Zusammenhang mit seinen über die API verarbeiteten Bestellungen aufbewahren, wie dies in dieser Vereinbarung und nach geltendem Recht vorgeschrieben ist. Der Partner sendet wöchentlich einen Bericht über alle über die API verarbeiteten Bestellungen an Catalate in einem von Catalate vorgegebenen Format. Wenn es eine Abweichung von mehr als 5 % zwischen den vom Partner in einem von Catalate bereitgestellten Format übermittelten Buchungen und den Systemen von Catalategibt, hat der Partner zwei Wochen nach der Mitteilung von Catalateüber diese Abweichung Zeit, die API-Konfiguration so zu ändern, dass die Abweichung auf weniger als 5 % reduziert wird. Wenn das Problem nicht innerhalb von zwei Wochen behoben wird, kehrt Catalate zu einer statischen Preisgestaltung zurück, bis das Problem gelöst ist. Um die Richtigkeit dieser Berichte zu überprüfen, kann Catalate die Unterlagen und Materialien des Partners im Zusammenhang mit diesem Vertrag einsehen. Solche Prüfungen werden während der normalen Geschäftszeiten des Partners nach schriftlicher Ankündigung mindestens fünf Tage im Voraus durchgeführt. Catalate ist für die Prüfungskosten verantwortlich, es sei denn, die Prüfung ergibt eine Unterzahlung von 5 % oder mehr; in diesem Fall zahlt der Partner die angemessenen Prüfungskosten von Catalatezusätzlich zu allen fälligen Gebühren.
8. Vertraulichkeit.
8.1 Vorbehaltlich der in Abschnitt 8.2 dargelegten Einschränkungen gelten alle Informationen, die eine Partei der anderen Partei während der Laufzeit dieser Vereinbarung in mündlicher, schriftlicher, grafischer oder elektronischer Form offenbart, als “vertrauliche Informationen”. Zu den vertraulichen Informationen gehören unter anderem die für die Erbringung von Dienstleistungen verwendete Catalate, die zugehörige Dokumentation, Spezifikationen, Preise, Offenlegungen im Zusammenhang mit der Erbringung von Dienstleistungen, Offenlegungen des Partners über seine Betriebsabläufe, Ticketverkäufe und andere nicht-öffentliche Kennzahlen sowie die Bedingungen dieses Vertrags. Vertrauliche Informationen bleiben das alleinige Eigentum der offenlegenden Partei oder ihrer Lizenzgeber.
8.2 Ausnahmen. Informationen gelten nicht als vertrauliche Informationen, wenn die empfangende Partei anhand von Dokumenten nachweisen kann, dass die Informationen vertraulich sind oder waren: (A) der Öffentlichkeit rechtmäßig zur Verfügung stehen, ohne dass die empfangende Partei etwas getan oder unterlassen hat; (B) sich vor der Offenlegung durch die offenlegende Partei im rechtmäßigen Besitz der empfangenden Partei befinden und weder direkt noch indirekt von der offenlegenden Partei erlangt wurden; (C) der empfangenden Partei von einem Dritten rechtmäßig und ohne Einschränkung der Offenlegung offengelegt werden; oder (D) von der empfangenden Partei unabhängig entwickelt werden.
8.3 Verschwiegenheitspflicht. Die Parteien verpflichten sich, während der Laufzeit und nach Beendigung dieser Vereinbarung die vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und diese Informationen ohne die ausdrückliche schriftliche Zustimmung der offenlegenden Partei in keiner Form an Dritte weiterzugeben, mit Ausnahme von Mitarbeitern und Beratern, die Dienstleistungen zugunsten der empfangenden Partei erbringen und einer schriftlichen Geheimhaltungsvereinbarung unterliegen, die die betreffenden vertraulichen Informationen in einer nicht weniger restriktiven Weise schützt als diese Vereinbarung. Jede Partei verpflichtet sich, alle angemessenen Maßnahmen zu ergreifen, um sicherzustellen, dass vertrauliche Informationen von ihren Mitarbeitern oder Vertretern nicht unter Verletzung dieser Vereinbarung offengelegt oder verbreitet werden. Eine empfangende Partei, die mit rechtlichen Schritten zur Offenlegung vertraulicher Informationen der offenlegenden Partei konfrontiert ist, hat die offenlegende Partei unverzüglich zu benachrichtigen und ihr Gelegenheit zu geben, sich einer solchen Offenlegung zu widersetzen oder eine Schutzanordnung zu erwirken, und hat diese Informationen weiterhin als vertrauliche Informationen zu behandeln. Dieser Abschnitt 9 ist nicht so auszulegen, dass einer der Parteien ausdrücklich oder stillschweigend irgendwelche Rechte an vertraulichen Informationen durch Lizenz oder auf andere Weise eingeräumt oder übertragen werden.
8.4 Zulässige Dritte. Um Zweifel auszuschließen, erkennt der Partner an und stimmt zu, dass seine Preisinformationen mit dem Betriebssystem des Partners und anderen Technologiepartnern zum Zweck der Bereitstellung der Dienste geteilt werden.
9. Begriff. Sofern nicht früher gekündigt oder im Bestellformular anders angegeben, beträgt die ursprüngliche Laufzeit dieser Vereinbarung ein Jahr. Danach verlängert sich dieses Abkommen automatisch um jeweils ein Jahr, es sei denn, eine der Vertragsparteien teilt der anderen Partei mindestens 30 Tage vor Ablauf der jeweiligen Laufzeit die Nichtverlängerung des Abkommens mit.
10. Beendigung.
10.1 Catalate ist berechtigt, den Vertrag, den Zugang zu allen oder einem Teil der Dienste und/oder die hierin gewährten Lizenzen mit sofortiger Wirkung auszusetzen oder zu kündigen, wenn der Partner die Dienste für einen unzulässigen oder illegalen oder durch diesen Vertrag nicht genehmigten Zweck nutzt oder die Nutzung gestattet.
10.2 Jede der Parteien kann diese Vereinbarung (einschließlich aller zugehörigen Bestellformulare) kündigen, wenn die andere Partei: (A) eine wesentliche Verletzung dieses Abkommens nicht innerhalb von 30 Tagen nach schriftlicher Benachrichtigung über eine solche Verletzung behebt; (B) den Betrieb ohne einen Nachfolger einstellt; oder (C) Schutz im Rahmen eines Konkurses, einer Zwangsverwaltung, eines Treuhandvertrags, eines Vergleichs oder eines vergleichbaren Verfahrens beantragt oder wenn ein solches Verfahren gegen die betreffende Partei eingeleitet (und nicht innerhalb von 60 Tagen eingestellt) wird.)
10.3 Die Kündigung ist kein ausschließlicher Rechtsbehelf, und die Ausübung eines Rechtsbehelfs durch eine der Parteien im Rahmen dieser Vereinbarung lässt alle anderen Rechtsbehelfe, die ihr im Rahmen dieser Vereinbarung, nach dem Gesetz oder anderweitig zustehen, unberührt.
11. Zusicherungen und Garantien. Jede Partei sichert zu und gewährleistet, dass sie das Recht, die Macht und die Befugnis hat, diesen Vertrag abzuschließen und alle ihre jeweiligen Verpflichtungen im Rahmen dieses Vertrags zu erfüllen, dass die Person, die jedes Bestellformular im Namen einer Partei ausführt oder ihm zustimmt, von dieser Partei dazu bevollmächtigt wurde und dass die Erfüllung dieser Verpflichtungen nicht im Widerspruch zu einer Vereinbarung steht, an die sie als Partei gebunden ist, oder zu einer Verletzung dieser Vereinbarung führt. Catalate sichert zu und gewährleistet, dass die Dienste Kredit- oder Debitkarten-Zahlungsinformationen in Übereinstimmung mit den Payment Card Industry Data Security Standards (PCI-DSS) verarbeiten und speichern.
12. Ausschluss von Garantien. SOFERN HIER NICHT ANDERS ANGEGEBEN, LEHNT CATALATE HIERMIT AUSDRÜCKLICH ALLE GARANTIEN, ZUSICHERUNGEN UND BEDINGUNGEN IM ZUSAMMENHANG MIT DIESER VEREINBARUNG AB, UNABHÄNGIG DAVON, OB ES SICH UM AUSDRÜCKLICHE, STILLSCHWEIGENDE, GESETZLICHE ODER SONSTIGE GARANTIEN HANDELT, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF GARANTIEN DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK, DER NICHTVERLETZUNG VON RECHTEN DRITTER ODER DES EIGENTUMS. CATALATE ÜBERNIMMT KEINE GEWÄHR DAFÜR, DASS DIE DIENSTE STÄNDIG VERFÜGBAR, FEHLERFREI ODER VOLLKOMMEN SICHER SIND ODER DASS ETWAIGE MÄNGEL BEHOBEN WERDEN.
13. Entschädigung.
13.1 Der Partner erklärt sich damit einverstanden, Catalate, seine verbundenen Unternehmen, Rechtsnachfolger, Abtretungsempfänger, Mitglieder, Anteilseigner, leitenden Angestellten, Direktoren und Vertreter (“vonCatalate freigestellte Parteien”) zu verteidigen, freizustellen und schadlos zu halten gegen alle Ansprüche, Haftungen, Schäden, Verluste, Kosten, Ausgaben und Gebühren (einschließlich angemessener Anwaltsgebühren) (“Ansprüche”), die gegen Catalate wegen Schäden geltend gemacht werden, die auf eine tatsächliche oder angebliche unsachgemäße Nutzung oder Anwendung der Dienste zurückzuführen sind.
13.2 Catalate erklärt sich damit einverstanden, den Partner, seine verbundenen Unternehmen, Rechtsnachfolger, Bevollmächtigten, Mitglieder, Aktionäre, leitenden Angestellten, Direktoren und Vertreter (die von der Haftung freigestellten Parteien”) zu verteidigen, freizustellen und schadlos zu halten gegen alle Ansprüche, die gegen den Partner wegen Schäden geltend gemacht werden, soweit diese auf tatsächliche oder angebliche Schäden zurückzuführen sind: (A) die Behauptung, dass die von Catalate für den Betrieb der Dienste genutzte Plattform die geistigen Eigentumsrechte oder die Rechte auf Privatsphäre oder Öffentlichkeit eines Dritten verletzt oder missbraucht; oder (B) Verstoß von Catalate gegen ein anwendbares Gesetz, eine Regel oder Vorschrift bei der Erbringung der Dienstleistungen.
13.3 Die entschädigte Vertragspartei muss die andere Vertragspartei unverzüglich schriftlich von einem Anspruch aus diesem Vertrag in Kenntnis setzen und auf Kosten der anderen Vertragspartei alle nach vernünftigem Ermessen erforderliche Unterstützung, Informationen und Befugnisse bereitstellen, damit die andere Vertragspartei die Verteidigung und Beilegung eines solchen Anspruchs kontrollieren kann. Jede Partei behält sich das Recht vor, auf eigene Kosten die ausschließliche Verteidigung und Kontrolle über jede Angelegenheit zu übernehmen, die gemäß diesem Abschnitt 13 der Entschädigung durch die jeweilige Partei unterliegt. Die hierin enthaltenen Entschädigungsverpflichtungen bestehen auch nach Beendigung dieses Abkommens fort.
14. Beschränkung der Haftung.
14.1 IN KEINEM FALL HAFTET EINE PARTEI GEGENÜBER DER ANDEREN PARTEI FÜR BESONDERE, INDIREKTE SCHÄDEN, FOLGESCHÄDEN ODER STRAFSCHADENSERSATZ JEGLICHER ART, WIE Z.B. ENTGANGENE EINNAHMEN ODER ERWARTETE GEWINNE, ENTGANGENE GEWINNE, DATEN- ODER NUTZUNGSVERLUSTE, AUCH WENN DIE PARTEI AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. DAS VORSTEHENDE GILT UNABHÄNGIG VON DER FAHRLÄSSIGKEIT ODER EINEM ANDEREN VERSCHULDEN EINER PARTEI UND UNABHÄNGIG DAVON, OB EINE SOLCHE HAFTUNG AUS VERTRAG, FAHRLÄSSIGKEIT, UNERLAUBTER HANDLUNG, VERSCHULDENSUNABHÄNGIGER HAFTUNG ODER EINER ANDEREN HAFTUNGSTHEORIE RESULTIERT.
14.2 IN KEINEM FALL ÜBERSTEIGT DER HÖCHSTBETRAG DES SCHADENSERSATZES, DER VON EINER DER PARTEIEN FÜR EINE VERLETZUNG DIESER VEREINBARUNG ODER FÜR EINEN SCHADEN ODER EINE VERLETZUNG, DIE AUS DER ERBRINGUNG DER DIENSTLEISTUNGEN DURCH CATALATE RESULTIEREN, ZU ZAHLEN IST, DIE GEBÜHREN, DIE DER PARTNER IM RAHMEN DIESER VEREINBARUNG WÄHREND DER LETZTEN ZWÖLF MONATE VOR EINER SOLCHEN FORDERUNG AN CATALATE GEZAHLT HAT.
15. Änderung der Reservierungsservice-Programme. Catalate ist berechtigt, Dienste hinzuzufügen, zu löschen oder anderweitig zu ändern, vorausgesetzt, dass Catalate den Partner über jede wesentliche Änderung, die zu einer Verschlechterung der Dienste führt, informiert.
16. Höhere Gewalt. Weder Catalate noch der Partner haften für Verzögerungen oder Ausfälle bei der Erfüllung dieses Vertrags aufgrund von Ursachen, die außerhalb ihrer Kontrolle liegen.
17. Geltendes Recht, Gerichtsbarkeit und Gerichtsstand. Diese Vereinbarung und alle Angelegenheiten oder Fragen im Zusammenhang mit dieser Vereinbarung unterliegen den Gesetzen des Staates Kalifornien und werden nach diesen ausgelegt, ohne Anwendung der Grundsätze des Kollisionsrechts. Jede der Parteien erklärt sich unwiderruflich und bedingungslos damit einverstanden, dass jedes Gerichtsverfahren, das sich aus oder im Zusammenhang mit dieser Vereinbarung ergibt, vor dem United States District Court for the Northern District of California oder, falls dieses Gericht nicht zuständig ist, vor einem anderen zuständigen Gericht im Bezirk San Francisco eingeleitet werden kann; und (b) erklärt sich mit der Zuständigkeit jedes dieser Gerichte in jedem Verfahren einverstanden. Im Falle einer Klage, eines Rechtsstreits oder eines Verfahrens im Zusammenhang mit dieser Vereinbarung hat die obsiegende Partei zusätzlich zu den ihr sonst zustehenden Rechten und Rechtsbehelfen Anspruch auf Erstattung angemessener Anwaltsgebühren und -kosten sowie der Gerichtskosten.
18. Zuweisung. Der Partner darf diesen Vertrag oder irgendwelche Pflichten, Rechte oder Verpflichtungen aus diesem Vertrag ohne die vorherige schriftliche Zustimmung von Catalateweder kraft Gesetzes noch auf andere Weise abtreten oder unterlizenzieren, mit der Maßgabe, dass jede Partei diesen Vertrag an ihr verbundenes Unternehmen oder ihren Nachfolger im Falle einer Fusion, eines Erwerbs oder eines Verkaufs aller oder im Wesentlichen aller Vermögenswerte dieser Partei abtreten darf. Jede andere angebliche Abtretung ist unwirksam. Vorbehaltlich des Vorstehenden ist diese Vereinbarung für die Parteien und ihre jeweiligen Rechtsnachfolger und zulässigen Abtretungsempfänger verbindlich und kommt ihnen zugute.
19. Trennbarkeit; kein Verzicht. Sollte eine Bestimmung dieser Vereinbarung von einem zuständigen Gericht für ungültig befunden werden, so ist diese Bestimmung so weit wie möglich so auszulegen, dass sie den Absichten der Vertragsparteien entspricht, wobei die übrigen Bestimmungen ihre volle Gültigkeit behalten. Das Versäumnis einer Vertragspartei, ein Recht oder eine Bestimmung dieses Abkommens auszuüben oder durchzusetzen, stellt keinen Verzicht auf dieses Recht oder diese Bestimmung dar, es sei denn, der Verzicht erfolgt schriftlich und wird von der Vertragspartei, gegen die der Verzicht geltend gemacht wird, unterzeichnet.
20. Bekanntmachungen. Alle nach diesem Abkommen erforderlichen oder zulässigen Mitteilungen bedürfen der Schriftform und gelten als zugestellt, wenn: (A) durch eine schriftliche Empfangsbestätigung, wenn sie durch einen persönlichen Kurier, einen Nachtkurier oder per Post versandt wurde; oder (B) vom Empfänger bestätigt oder beantwortet werden, wenn sie per E-Mail gesendet werden. Die Mitteilungen sind den Vertragsparteien an die in diesem Abkommen angegebene Anschrift oder an die von der jeweiligen Vertragspartei durch schriftliche Mitteilung an die andere Vertragspartei angegebene Anschrift zuzustellen.
21. Keine Agentur oder Drittbegünstigte. Partner und Catalate sind unabhängige Vertragspartner, und nichts in dieser Vereinbarung (einschließlich der Verwendung des definierten Begriffs “Partner”) darf so ausgelegt werden, dass eine Partnerschaft, ein Joint Venture, eine Franchise- oder Agenturbeziehung zwischen Partner und Catalate entsteht. Keine der Vertragsparteien ist befugt, im Namen der anderen Vertragspartei Vereinbarungen jeglicher Art zu treffen. Catalate und der Partner stimmen darin überein, dass es keinen Drittbegünstigten für diese Vereinbarung geben soll, einschließlich, aber nicht beschränkt auf Endbenutzer.
22. Sonstiges. Diese Vereinbarung stellt zusammen mit den beigefügten Anlagen die gesamte Vereinbarung der Parteien in Bezug auf ihren Gegenstand dar und ersetzt alle früheren oder gleichzeitigen mündlichen und schriftlichen Mitteilungen, Vorschläge, Verhandlungen, Zusicherungen, Absprachen, Geschäftsabläufe, Vereinbarungen, Verträge und dergleichen zwischen den Parteien in dieser Hinsicht, mit der Ausnahme, dass Bestimmungen auf einem Bestellformular vergleichbare Bestimmungen in dieser Vereinbarung für den im Bestellformular angegebenen Zeitraum ersetzen. Die Überschriften der Abschnitte in dieser Vereinbarung dienen nur der Übersichtlichkeit und haben keine rechtliche oder vertragliche Wirkung. Dieses Abkommen: (A) kann in einer beliebigen Anzahl von Ausfertigungen ausgefertigt werden, wobei jede dieser Ausfertigungen, wenn sie von beiden Vertragsparteien dieses Abkommens ausgefertigt wurde, als Original gilt und alle Ausfertigungen zusammen ein und dieselbe Urkunde darstellen; und (B) kann vom Partner nur dann ergänzt oder geändert werden, wenn eine solche Ergänzung oder Änderung von beiden Parteien schriftlich unterzeichnet wurde. Die Bestimmungen aller Abschnitte, die ihrer Natur nach über die Beendigung hinausgehen sollen, gelten auch nach Beendigung dieses Abkommens, gleich aus welchem Grund.
API
Die API ermöglicht es Dritten, auf den Ticketbestand zuzugreifen und ihn in anderen Umgebungen zu verkaufen (z. B. in einer anderen E-Commerce-Engine, in der Umgebung von Unterkünften, in nativen mobilen Anwendungen, in anderen Vertriebskanälen von Dritten usw.). Über die API kann ein Partner auf Ticketpreise, Bestandsmengen und Verfügbarkeit zugreifen und Bestellungen im Catalate erstellen. Die Bestandsverwaltung und -analyse erfolgt über das System von Catalate.
Endbenutzer-Transaktionen. Catalate stellt die Ticketpreise nur über die API zur Verfügung und ist nicht für den Ticketverkauf, die Zahlungsabwicklung, die Ticketabwicklung oder andere Aspekte der verkauften Tickets verantwortlich, es sei denn, die Parteien haben etwas anderes schriftlich vereinbart. Der Partner ist für die Interaktionen mit seinen Kunden nach dem Kauf verantwortlich. Catalate übernimmt keine Haftung für die Handlungen oder Unterlassungen des Partners in Bezug auf solche Interaktionen.
Bezahlung. Die Gebühren von Catalatefür die Nutzung der API werden auf jedem Bestellformular angegeben. Sofern hierin nichts anderes bestimmt ist, sind alle Gebühren unkündbar und nicht erstattungsfähig, und der Partner wird alle Gebühren innerhalb von 30 Tagen nach Erhalt der Rechnung von Catalatebezahlen. Für unbezahlte Beträge wird eine Finanzierungsgebühr in Höhe von 1,5 % pro Monat auf den ausstehenden Betrag oder den gesetzlich zulässigen Höchstbetrag erhoben, je nachdem, welcher Betrag niedriger ist, zuzüglich aller Inkassokosten. Ohne seine anderen Rechtsmittel einzuschränken, kann Catalate die Dienste bei Nichtbezahlung der Gebühren aussetzen.
Wenn Catalate Marketing- und Ticketabwicklungsdienste für Partner anbietet, steht Catalate in einigen Fällen in direkter Beziehung zu den Endnutzern und ist der für die Verarbeitung der von ihnen bereitgestellten persönlichen Daten Verantwortliche. In anderen Fällen fungiert Catalate als Auftragsverarbeiter und verarbeitet personenbezogene Daten im Namen des Partners. Dieser Nachtrag gilt für Situationen, in denen der Partner der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter von personenbezogenen Daten ist und Catalate der Auftragsverarbeiter ist. Die Parteien kommen überein, dass dieser Nachtrag in das Abkommen aufgenommen wird und Teil desselben ist und den darin enthaltenen Bestimmungen, einschließlich der Haftungsbeschränkungen, unterliegt.
1 Definitionen und Auslegung. Für die Zwecke dieses Nachtrags:
“Verbundenes Unternehmen” bedeutet jedes Unternehmen, das direkt oder indirekt eine Partei kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht.
“Vertrag” bezeichnet den Vertrag zwischen dem Partner und Catalate, dem dieser Nachtrag beigefügt ist.
“Verletzung” bedeutet eine Verletzung der Sicherheit durch Catalate, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf personenbezogene Daten führt, die durch die Dienste verarbeitet werden.
“Verantwortlicher”, “Auftragsverarbeiter” und “betroffene Person” (unabhängig davon, ob sie großgeschrieben werden oder nicht) haben die in der DSGVO und in anderen Datenschutzgesetzen vorgesehene Bedeutung.
“Datenschutzgesetze” bezeichnet die Allgemeine Datenschutzverordnung 2016/679 (“GDPR”), den United Kingdom Data Protection Act 2018 und die GDPR in der Fassung, die durch Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs in das Recht des Vereinigten Königreichs übernommen wurde (“UK GDPR”), den California Consumer Privacy Act in der Fassung des California Privacy Rights Act, die zugehörigen Verordnungen und ihre Nachfolger (“CPRA”) sowie alle anderen Datenschutzgesetze und -verordnungen der Vereinigten Staaten, des Vereinigten Königreichs und des EWR, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags anwendbar sind.
“EWR” bezeichnet den Europäischen Wirtschaftsraum, zu dem die Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein, Norwegen und die Schweiz gehören.
“Personenbezogene Daten” bezieht sich auf Daten, die von den Diensten im Auftrag des Partners verarbeitet werden und die den folgenden Bedingungen und Datenschutzgesetzen entsprechen: (A) personenbezogene Daten gemäß der Definition in der DSGVO in Bezug auf Einwohner des Europäischen Wirtschaftsraums und des Vereinigten Königreichs, und (B) Persönliche Informationen gemäß der Definition im CPRA in Bezug auf Einwohner Kaliforniens und (C) äquivalente Begriffe nach anderen auf die Dienste anwendbaren Gesetzen in Bezug auf Einwohner dieser Rechtsordnungen.
“SCC” oder “Standardvertragsklauseln” sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern gemäß der DSGVO in der jeweils gültigen Fassung. (i) durch den Durchführungsbeschluss 2021/914 der Europäischen Kommission genehmigt, und (ii) gemäß dem International Data Transfer Addendum (IDTA), das vom UK Information Commissioner’s Office (ICO) herausgegeben und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegt wurde, an britisches Recht angepasst.
Andere hier verwendete Begriffe in Großbuchstaben haben die in der Vereinbarung festgelegte Bedeutung.
2 Globale Verarbeitungsbedingungen.
2.1 Allgemeine Verarbeitungsbedingungen. Catalate verarbeitet personenbezogene Daten im Namen des Partners für die in der Vereinbarung festgelegten Zwecke und nur in Übereinstimmung mit den rechtmäßigen, dokumentierten Anweisungen des Partners, es sei denn, das geltende Recht schreibt etwas anderes vor. Catalate kann ein gesondertes Recht zur Verarbeitung bestimmter personenbezogener Daten haben: (A) wenn Catalate dieselben personenbezogenen Daten des Gastes aus mehreren Quellen erhält, und (B) wenn Catalate in einer direkten Beziehung zu einer betroffenen Person steht und für die Verarbeitung dieser personenbezogenen Daten verantwortlich ist. Catalate wird den Partner unverzüglich informieren, wenn es feststellt, dass die vom Partner beantragte Verarbeitung gegen Datenschutzgesetze verstößt.
2.2 Einhaltung. Der Partner ist dafür verantwortlich, dass: (A) seine Nutzung der Dienste mit den Datenschutzgesetzen und allen anderen geltenden Gesetzen zum Schutz der Privatsphäre und zum Datenschutz übereinstimmt; und (B) er das Recht hat und weiterhin haben wird, die personenbezogenen Daten an Catalate zu übertragen oder Zugang zu ihnen zu gewähren, damit sie in Übereinstimmung mit dem Vertrag und dieser DSGVO verarbeitet werden. Der Partner muss Catalate darüber informieren, wenn die von ihm vorgeschlagene Nutzung der Dienste Catalate Verpflichtungen zum Datenschutz oder zum Schutz der Privatsphäre nach anderen Gesetzen oder Vorschriften als den Datenschutzgesetzen auferlegen würde. Falls in einer solchen Situation erforderlich, können die Parteien einen lokalen Durchführungszusatz zur Regelung der Bestimmungen dieser Gesetze vereinbaren.
2.3 Ausbildung. Catalate stellt sicher, dass seine relevanten Mitarbeiter, Vertreter und Auftragnehmer eine angemessene Schulung hinsichtlich ihrer Verantwortlichkeiten und Verpflichtungen in Bezug auf die Verarbeitung, den Schutz und die Vertraulichkeit personenbezogener Daten erhalten.
2.4 Sicherheitsvorfälle. Catalate wird den Partner unverzüglich nach Bekanntwerden eines Verstoßes benachrichtigen, indem es eine E-Mail an den Hauptansprechpartner des Partners für die Beziehung zu Catalate sendet. Darüber hinaus verpflichtet sich Catalate, alle angemessenen Schritte zu unternehmen, um die Auswirkungen eines solchen Verstoßes abzumildern und in angemessener Weise mit dem Partner zusammenzuarbeiten, damit dieser seinen Verpflichtungen gemäß den Datenschutzgesetzen nachkommen kann, einschließlich der Unterstützung des Partners bei der Benachrichtigung der betroffenen Personen oder der Aufsichtsbehörden über einen Verstoß. Catalate darf eine solche Mitteilung nicht ohne die vorherige schriftliche Zustimmung des Partners machen.
2.5 Verpflichtung zur Berichtigung, Aktualisierung und Einschränkung der Verarbeitung personenbezogener Daten von Partnern. Während der Laufzeit des Vertrages wird Catalate: (A) dafür zu sorgen, dass die personenbezogenen Daten gemäß den Anweisungen des Partners korrekt sind und, falls erforderlich, auf dem neuesten Stand gehalten werden, und (B) die Verarbeitung der vom Partner identifizierten personenbezogenen Daten einschränken.
2.6 Verpflichtung zur Löschung und Rückgabe personenbezogener Daten. Nach Erfüllung seiner Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags oder auf Verlangen des Partners zu einem beliebigen Zeitpunkt während der Laufzeit des Vertrags wird Catalate nach Wahl des Partners entweder: (A) alle oder einen Teil der persönlichen Daten, die sich unter der Kontrolle von Catalatebefinden, an den Partner zurückgeben; oder (B) die personenbezogenen Daten endgültig zu löschen oder unlesbar zu machen. Ungeachtet des Vorangegangenen: Catalate kann persönliche Daten aufbewahren: (x) in dem Maße, in dem sie dazu rechtlich berechtigt oder verpflichtet ist; und (y) in Sicherungssystemen, bis die Sicherungen in Übereinstimmung mit den Sicherungsrichtlinien von Catalateüberschrieben oder gelöscht worden sind.
2.7 Prüfungsrechte.
(A) Auf schriftliche Anfrage des Partners stellt Catalate dem Partner eine Zusammenfassung seines jeweils aktuellen Informationssicherheitsprogramms zur Verfügung, das für die Sicherheit und Vertraulichkeit der im Rahmen des Vertrags ausgetauschten personenbezogenen Daten relevant ist.
(B) Darüber hinaus kann sich der Partner an Catalate wenden, um eine Prüfung der für den Schutz personenbezogener Daten relevanten Verfahren vor Ort zu beantragen, und zwar nicht öfter als einmal pro Jahr. Vor Beginn einer solchen Vor-Ort-Prüfung vereinbaren der Partner und Catalate einvernehmlich den Umfang, den Zeitpunkt und die Dauer der Prüfung sowie den Erstattungssatz für alle Reisekosten und sonstigen Ausgaben, die Catalate im Zuge einer solchen Prüfung entstehen. Alle Erstattungssätze müssen unter Berücksichtigung der von Catalate aufgewendeten Mittel angemessen sein.
(C) Catalate akzeptiert und stimmt zu, dass Aufsichtsbehörden von Catalate Informationen anfordern und Untersuchungen in Form von Datenschutzaudits bei Catalate in Übereinstimmung mit den Datenschutzgesetzen durchführen können.
3 EWR- und UK-spezifische Verarbeitungsbedingungen
3.1 Unterauftragsverarbeiter. Der Partner ermächtigt Catalateim Allgemeinen, bestimmte Drittverarbeiter personenbezogener Daten im Rahmen dieser Vereinbarung zu beauftragen (Unterverarbeiter”). Catalate bestätigt, dass es: (A) einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter abgeschlossen hat (oder für künftige Bestellungen abschließen wird), dessen Bedingungen im Wesentlichen denen dieses Nachtrags entsprechen; und (B) wird den Partner über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch anderer Unterauftragsverarbeiter informieren und ihm so die Möglichkeit geben, diesen Änderungen zu widersprechen.
3.2 Übertragungen außerhalb des EWR oder des Vereinigten Königreichs. Catalate darf personenbezogene Daten nur mit vorheriger schriftlicher Zustimmung des Partners an einen Ort außerhalb des EWR oder des Vereinigten Königreichs (je nach Sachlage) übertragen oder dort verarbeiten (in jedem Fall eine Übertragung”). Unbeschadet des Vorstehenden stimmt der Partner Übertragungen zu, bei denen Catalate eine mit den Datenschutzgesetzen konforme Übertragungslösung implementiert hat, die zum Beispiel Folgendes umfassen kann: (A) wenn eine solche Übermittlung Gegenstand einer Angemessenheitsentscheidung der zuständigen Behörden ist; (B) Privacy Shield oder ein gleichwertiger gültiger Transferrahmen; (C) die Standardvertragsklauseln; (D) eine andere geeignete Schutzmaßnahme gemäß Artikel 46 der Datenschutz-Grundverordnung; oder (E) eine Ausnahmeregelung gemäß Artikel 49 der Datenschutz-Grundverordnung.
4 Kalifornien-spezifische Verarbeitungsbedingungen
4.1 Verarbeitung nach kalifornischem Recht. Catalate wird im Sinne des CPRA und in Bezug auf personenbezogene Daten, auf die das CPRA Anwendung findet, keine (A) Persönliche Daten zu verkaufen oder weiterzugeben; (B) personenbezogene Daten für andere Zwecke als die Erbringung der Dienstleistungen zu speichern, zu verwenden oder offenzulegen; (C) personenbezogene Daten für einen anderen kommerziellen Zweck als die Bereitstellung der Dienste zu speichern, zu verwenden oder offenzulegen; oder (D) personenbezogene Daten außerhalb der direkten Geschäftsbeziehung zwischen dem Partner und Catalate zu speichern, zu verwenden oder offenzulegen; oder (E) Persönliche Daten mit persönlichen Daten zu kombinieren, die Catalate aus anderen Quellen erhält, auch von den betroffenen Personen selbst, außer für geschäftliche Zwecke, die durch das CPRA erlaubt sind, aber in keinem Fall darf Catalate persönliche Daten für Werbe- oder Marketingzwecke von Catalateverwenden.
5 Geltendes Recht
Diese DPA unterliegt den Gesetzen des Landes, in dem die Vereinbarung geschlossen wurde, und ist entsprechend auszulegen, es sei denn, die DSGVO schreibt etwas anderes vor; in diesem Fall unterliegt diese DPA den Gesetzen Frankreichs.
6 Einbindung von Standardvertragsklauseln
Die Parteien vereinbaren, dass die Standardvertragsklauseln hiermit durch Verweis in diese DPA wie folgt aufgenommen werden:
6.1 Modul Eins gilt für solche Übermittlungen, bei denen der Partner der für die Datenverarbeitung Verantwortliche ist und Catalate der für die Datenverarbeitung Verantwortliche für begrenzte geschäftliche Kontaktinformationen über einzelne Vertreter des Partners ist, die Catalate Anweisungen erteilen.
6.2 Modul Zwei gilt für Übermittlungen, bei denen der Partner der für die Datenverarbeitung Verantwortliche und Catalate der Datenverarbeiter ist.
6.3 Modul Drei gilt für die Übermittlungen, bei denen der Partner der Datenverarbeiter und Catalate der Unterverarbeiter ist.
6.4 Klausel 7 (Andockklausel) entfällt;
6.5 Für die Klauseln 8.9(b) und 8.9(e) gelten die Überprüfungs- und Auditbestimmungen in Abschnitt 2.7.
6.6 In Klausel 9(A) (Einsatz von Unterauftragsverarbeitern) gilt Option 2 (Allgemeine schriftliche Genehmigung) gemäß Abschnitt 3.1 oben;
6.7 In Klausel 11(A) (Rechtsbehelf) – gilt die fakultative Bestimmung NICHT;
6.8 In Klausel 16(B) (Aussetzung von Übermittlungen) wird Catalate, wenn sie der Datenexporteur ist, die Übermittlung personenbezogener Daten nur dann aussetzen, wenn dies gesetzlich vorgeschrieben ist, und den Kunden so schnell wie möglich (wenn möglich vor der Aussetzung) benachrichtigen, damit der Kunde den Zustand, der die Aussetzung erfordert, beheben kann;
6.9 In Klausel 17 (Anwendbares Recht) ist das Recht der Französischen Republik maßgebend; und
6.10 In Artikel 18 (Wahl des Gerichtsstandes und der Gerichtsbarkeit) ist die Zuständigkeit der Gerichte der Republik Frankreich festgelegt.
6.11 Die in Anhang I (Beschreibung der Verarbeitung) geforderten Angaben sind in der beigefügten Anlage 1 enthalten.
6.12 Die in Anhang II (Technische und organisatorische Sicherheitsmaßnahmen) geforderten Angaben sind in der beigefügten Anlage 2 enthalten.
7 Anwendung der SCCs auf Überweisungen aus der Schweiz
7.1 Für die Übermittlung personenbezogener Daten aus der Schweiz gelten die SCC, die dem Schweizer Recht wie folgt entsprechen:
(A) Verweise auf die EU, die Mitgliedstaaten und die DSGVO in den SCC werden entsprechend geändert und beziehen sich auf die Schweiz, das Schweizerische Bundesgesetz über den Datenschutz und den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten; und
(B) Für Klausel 17 (Anwendbares Recht) gilt das Recht der Schweiz, und für Klausel 18 (Gerichtsstand) sind die Gerichte der Schweiz zuständig.
8 Anwendung der SCCs auf Verbringungen aus dem Vereinigten Königreich
8.1 Die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich unterliegt den SCCs, die von der IDTA an das britische GDPR-Recht angepasst wurden. Die in den einzelnen Tabellen der IDTA geforderten Informationen werden wie folgt angegeben:
(A) Tabelle 1 (Identifizierung der Parteien): wie in der Vereinbarung und in den Abschnitten 6.1 bis 6.3 beschrieben.
(B) Tabelle 2 (Auswahl von SCC, Modulen und ausgewählten Klauseln): Die Parteien vereinbaren, dass die IDTA den SCC in der durch Abschnitt 6 geänderten Fassung beigefügt wird. oben. Oben (Aufnahme von Standardvertragsklauseln).
(C) Tabelle 3:
(1) Anhang 1A (Identifizierung der Vertragsparteien): wie im Abkommen vorgesehen;
(2) Anhang 1B (Beschreibung der Übertragung): Anhang 1 in der Anlage zu diesem Dokument;
(3) Anhang II (Technische und organisatorische Sicherheitsmaßnahmen): Anhang 2 im Anhang;
(4) Anhang III (Liste der Unterverarbeiter): Wie in Abschnitt 3.1 oben beschrieben.
(d) Tabelle 4 (Auswirkung von Änderungen des IDTA): Wenn sich die IDTA ändert, kann keine Partei diese DPA oder die SCC beenden, es sei denn, das Abkommen wird gleichzeitig gekündigt.
(e) Für Klausel 17 der SCC (Anwendbares Recht) gilt das Recht von England und Wales, und für Klausel 18 (Wahl des Gerichtsstands und der Gerichtsbarkeit) sind die Gerichte in London, England, zuständig.
Die von Catalate im Rahmen des Abkommens durchgeführten Datenverarbeitungsaktivitäten können wie folgt beschrieben werden:
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden
Die Verarbeitung durch Catalatebetrifft Mitarbeiter von Partnern und Endnutzer.
Kategorien der übermittelten personenbezogenen Daten
Catalate verarbeitet die folgenden Kategorien personenbezogener Daten über die betroffenen Personen: Vor- und Nachname, E-Mail-Adresse, Telefonnummer und andere Informationen zur Identifizierung von Endnutzern sowie deren Zahlungsinformationen, wenn sie Tickets kaufen.
Übermittlung sensibler Daten (falls zutreffend) und Anwendung von Beschränkungen oder Garantien, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.
Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
Kontinuierlich
Art der Verarbeitung
Catalate wird personenbezogene Daten verarbeiten, um die in der Vereinbarung genannten Dienstleistungen zu erbringen.
Zweck(e) der Datenübermittlung und Weiterverarbeitung
Catalate wird persönliche Daten übertragen, um die in der Vereinbarung genannten Dienstleistungen zu erbringen.
den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird
Während der Laufzeit des Abkommens
Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben
Die in Abschnitt 3.1 genannten Unterauftragsverarbeiter stellen Teile der von Catalate für die Erbringung der Dienste verwendeten Plattform bereit.
Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die von Catalate in Übereinstimmung mit dem Datenschutzgesetz durchgeführt werden:
Politische Kontrolle
Catalate unterhält eine dokumentierte Informationssicherheitspolitik, die mindestens dem neuesten Standard der NIST 800-Serie für Informationssicherheitsmanagementsysteme entspricht. Catalate stellt sicher, dass alle Mitarbeiter, die direkt oder indirekt an der Erbringung des genehmigten Zwecks beteiligt sind, ihre Informationssicherheitspolitik und alle entsprechenden Schulungen erhalten. Catalate muss Kontrollen einführen, um die Einhaltung der Informationssicherheitspolitik laufend zu überwachen.
Zugangskontrolle im physischen Sinne
Catalate ergreift angemessene Maßnahmen, um zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen für die Verarbeitung und/oder Nutzung personenbezogener Daten erhalten, indem es physische Kontrollen durchführt:
- ein Zugangskontrollsystem (ID-Leser, Magnetkarte, Chipkarte);
- Tasten;
- Sicherheitspersonal, Hausmeister; und
- Überwachungseinrichtungen (Alarmanlage, CCTV-Monitor)
Zugangskontrolle zum IT-System
Catalate ergreift angemessene Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden, indem es sie einsetzt:
- Passwortverfahren (inkl. Sonderzeichen, Mindestlänge, häufige Änderung von Passwörtern);
- Schlüssel zur Benutzerauthentifizierung
- Segmentierung der Ressourcen nach Rollen
- automatische Sperrung (z. B. Passwort oder Zeitüberschreitung); und
- unternehmensweite Nutzung der Anwendung 1Password.
Zugangskontrolle zu den Daten Controller Data
Catalate stellt sicher, dass Personen, die zur Nutzung des Datenverarbeitungssystems berechtigt sind, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben, und dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung durch die Implementierung nicht unbefugt gelesen, kopiert, verändert und/oder entfernt werden können:
- differenzierte Zugriffsrechte (Profile, Rollen, Transaktionen und Objekte);
- Berichte über den verwendeten Zugang;
- Zugangsebenen und Zugangskontrollen;
- Verfahren zur Änderungskontrolle; und
- Prüfpfade.
Kontrolle der Übertragung
Catalate stellt sicher, dass persönliche Daten während der elektronischen Übertragung oder des Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Zu diesem Zweck wird Catalate die Maßnahmen umsetzen:
- Verschlüsselung/Tunneling (VPN = Virtual Private Network);
- Login/Passwort-Zugangskontrolle;
- Protokollierung; und
- tls-Transportsicherheit.
Eingabekontrolle
Catalate stellt sicher, dass es möglich ist, im Nachhinein zu überprüfen und festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder aus diesen entfernt wurden:
- Protokollierungs- und Berichterstattungssysteme; und
- rollengerechter Zugang und Berechtigungen.
Auftragskontrolle
Catalate stellt sicher, dass personenbezogene Daten, die im Auftrag des Partners verarbeitet werden, unter strikter Einhaltung der Anweisungen des Partners verarbeitet werden und verpflichtet seine Mitarbeiter, die Anweisungen des Partners zu befolgen und personenbezogene Daten ausschließlich gemäß den Anweisungen des Partners zu verarbeiten.
Verfügbarkeitskontrolle
Catalate stellt sicher, dass personenbezogene Daten in angemessener Weise gegen zufällige Zerstörung oder Verlust geschützt werden, indem es sie implementiert:
- Sicherungsverfahren;
- Spiegelung von Festplatten, z.B. RAID-Technologie;
- Unterbrechungsfreie Stromversorgung (USV);
- Fernspeicherung;
- Firewall-Systeme; und
- Plan zur Wiederherstellung im Katastrophenfall.
Trennungskontrolle
Catalate stellt sicher, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurden, durch Umsetzung getrennt verarbeitet werden können:
- Funktionstrennung (Produktion/Prüfung);
- Aufzeichnung der Zustimmung der Partner und des Umfangs der Zustimmung für alle Daten, die Catalate direkt zur Verfügung gestellt werden
Management von Sicherheitsvorfällen
Catalate muss einen angemessenen Prozess für das Management von Sicherheitsvorfällen einführen, der sich an den besten Praktiken der Branche orientiert und mindestens Folgendes erfordert
- unverzügliche Untersuchung aller Sicherheitsvorfälle;
- Benachrichtigung des Partners innerhalb des in diesem Nachtrag angegebenen Zeitrahmens; und
- dem Partner und/oder dem von ihm benannten Vertreter jeden angemessenen Zugang zu den Systemen, Daten und Protokollen von Catalatezu gewähren, der für das Verständnis der Umstände des Sicherheitsvorfalls erforderlich ist.
Zugangskontrollen:
Das Büro Catalate ist durch einen Wachmann am Gebäudeeingang und durch Schlüsselkarten an der Tür zum Gebäude und an der Tür zum Büro gesichert.
Die Catalate werden auf AWS gehostet. Der gesamte Zugang zu AWS erfolgt über eine Mehrfaktor-Authentifizierung. Catalate ermöglicht auch MFA, wo immer dies möglich ist, um auf andere genutzte Cloud-Ressourcen zuzugreifen.