Zusatz zur Datenverarbeitung

Dieser Datenverarbeitungszusatz („DPA“) ist Teil der Vereinbarung zwischen JYV STREAM LLC („Verarbeiter“) und dem Kunden („Verantwortlicher“) für JyvGaming. Sie regelt die Verarbeitung personenbezogener Daten im Namen des Verantwortlichen und gilt nur, wenn der Verantwortliche der DSGVO, der britischen DSGVO oder vergleichbaren Datenschutzgesetzen unterliegt.

Vertreter gemäß Artikel 27: JYV STREAM LLC hat Prighter Group GmbH (Schellinggasse 3/10, 1010 Wien, Österreich) zu ihrem EU-DSGVO-Vertreter und Prighter Ltd (20 Mortlake High Street, London, SW14 8JN, Vereinigtes Königreich) zu ihrem britischen DSGVO-Vertreter gemäß Artikel 27 DSGVO bzw. Artikel 27 UK DSGVO ernannt. Betroffene Personen und Aufsichtsbehörden können diese Vertreter unter https://app.prighter.com/portal/11199242890 kontaktieren.

1. Definitionen

Großgeschriebene Begriffe, die hier verwendet, aber nicht definiert werden, haben die in der DSGVO angegebene Bedeutung. „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Unterauftragsverarbeiter“ und „personenbezogene Daten“ haben ihre DSGVO-Bedeutungen. „Vereinbarung“ bezeichnet die Nutzungsbedingungen oder andere kommerzielle Vereinbarungen zwischen den Parteien.

2. Rollen und Geltungsbereich

Der Verantwortliche ist der Verantwortliche und der Auftragsverarbeiter der Verarbeiter der im Rahmen der Vereinbarung verarbeiteten personenbezogenen Daten. Jede Partei muss ihren Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachkommen. Anhang 1 legt den Gegenstand, die Art, den Zweck, die Dauer, die Kategorien der betroffenen Personen und die Arten der personenbezogenen Daten fest.

3. Verarbeitungsanweisungen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Anweisungen des Verantwortlichen (einschließlich derjenigen in der Vereinbarung und dieser DPA), sofern nicht gesetzlich etwas anderes vorgeschrieben ist. In diesem Fall muss der Auftragsverarbeiter (sofern gesetzlich zulässig) den Verantwortlichen vor einer solchen Verarbeitung informieren.

4. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass das zur Verarbeitung personenbezogener Daten berechtigte Personal an angemessene Vertraulichkeitsverpflichtungen gebunden ist.

5. Sicherheitsmaßnahmen

Der Auftragsverarbeiter muss die in Anhang 2 beschriebenen technischen und organisatorischen Maßnahmen implementieren und aufrechterhalten, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand, Zugriffskontrollen, sicherem SDLC, Schwachstellenmanagement, Protokollierung und Reaktion auf Vorfälle.

6. Unterauftragsverarbeiter

Der Verantwortliche genehmigt die Nutzung der in der Liste der Unterauftragsverarbeiter aufgeführten Unterauftragsverarbeiter durch den Verarbeiter (durch Verweis einbezogen und veröffentlicht unter https://jyvgaming.gg/legal/subprocessors). Der Auftragsverarbeiter muss: (a) jedem Unterauftragsverarbeiter Datenschutzverpflichtungen auferlegen, die nicht weniger schützend sind als die in diesem DPA; und (b) neue Unterauftragsverarbeiter mindestens 30 Tage im Voraus benachrichtigen, damit der Verantwortliche aus angemessenen Gründen des Datenschutzes Einspruch erheben kann.

7. Besonderheiten der KI-/GPU-Verarbeitung

Für von Modal Labs, Inc. durchgeführte Audio-Inferenz: (a) Personenbezogene Daten werden vor der Übertragung anonymisiert; (b) die Schlussfolgerung erfolgt im flüchtigen Speicher und die Roheingaben werden innerhalb von zehn (10) Minuten nach Abschluss gelöscht; (c) Personenbezogene Daten aus der EU/dem Vereinigten Königreich werden an eine in der EU ansässige Infrastruktur weitergeleitet, einschließlich GPU-Verarbeitung und unterstützender Dienste. (d) Modal verwendet personenbezogene Daten nicht zum Trainieren seiner eigenen Modelle; und (e) nur betriebliche Metadaten (Zeitstempel, Anforderungs-IDs, Fehlerprotokolle) werden bis zu 30 Tage lang aufbewahrt.

8. Rechte der betroffenen Person

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen angemessen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung, auf Anfragen betroffener Personen gemäß den Artikeln 15–22 DSGVO zu reagieren.

9. Verletzung des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich (und innerhalb von 72 Stunden, sofern möglich) nachdem er Kenntnis von einem Verstoß gegen den Schutz personenbezogener Daten erlangt hat, einschließlich angemessen verfügbarer Informationen, die zur Erfüllung der Meldepflichten des Verantwortlichen gemäß den Artikeln 33–34 DSGVO erforderlich sind.

10. Audits und Inspektionen

Der Auftragsverarbeiter stellt alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser DPA erforderlich sind, und ermöglicht und leistet einen Beitrag zu Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem unabhängigen Prüfer durchgeführt werden. Audits dürfen höchstens einmal pro Jahr (außer nach einem Verstoß) mit einer Vorankündigung von mindestens 30 Tagen, während der Geschäftszeiten, unter Wahrung der Vertraulichkeit und auf Kosten des Controllers durchgeführt werden, sofern keine wesentliche Nichteinhaltung festgestellt wird.

11. Datenschutz-Folgenabschätzungen

Der Auftragsverarbeiter leistet dem Verantwortlichen angemessene Unterstützung bei DSFAs und vorherigen Konsultationen mit Aufsichtsbehörden gemäß Artikel 35–36 DSGVO.

12. Rückgabe oder Löschung

Nach Beendigung der Vereinbarung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten oder gibt sie zurück und löscht vorhandene Kopien, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben.

13. Internationale Übermittlungen

Personenbezogene Daten aus der EU/UK werden in EU-Regionen zum Zweck der Bereitstellung des Dienstes verarbeitet. Wenn eine Übermittlung außerhalb des EWR/Großbritanniens erforderlich ist, müssen sich die Parteien auf geeignete Schutzmaßnahmen stützen: die Standardvertragsklauseln der Europäischen Kommission (Modul 2: Controller-to-Processor), ergänzt durch das UK Addendum, dessen Bedingungen durch Bezugnahme einbezogen werden. Anhang 3 enthält die SCC-Details, falls diese zutreffen.

14. Haftung und Rangfolge

Im Falle eines Konflikts zwischen der Vereinbarung und dieser DPA hat diese DPA in Datenschutzfragen Vorrang. Die Haftung jeder Partei im Rahmen dieses DPA unterliegt den Haftungsbeschränkungen in der Vereinbarung.

15. Laufzeit

Diese DPA tritt am Datum des Inkrafttretens in Kraft und gilt bis zum Ende der Vereinbarung und aller geltenden Aufbewahrungsfristen.

Anhang 1 – Gegenstand und Einzelheiten

Anhang 2 – Sicherheitsmaßnahmen

• TLS 1.2+ im Transport; Gegebenenfalls AES-256 im Ruhezustand.
• Rollenbasierte Zugriffskontrolle mit geringsten Rechten; obligatorische MFA für den Produktionszugriff.
• Signierte Binärdateien; reproduzierbare Builds; Lieferkettenkontrollen (Dependabot/Snyk-Äquivalent).
• Kontinuierliches Schwachstellenscannen; dokumentiertes Patching-SLA.
• Audit-Protokollierung; 30-tägige Aufbewahrung des Betriebsprotokolls; SIEM-äquivalente Überwachung.
• Hintergrundüberprüfungen für Produktionszugangspersonal; jährliche Sicherheitsschulung.
• Dokumentierte Pläne zur Reaktion auf Vorfälle und zur Geschäftskontinuität.
• Verschlüsselung im Ruhezustand für Backups; Schlüsselverwaltung mit Rotation.

Anhang 3 – SCCs (falls zutreffend)

UK-Nachtrag: Die Tabellen 1–3 werden unter Verwendung der oben genannten Details zu Modul Zwei vervollständigt; Tabelle 4 – Der Importeur kann den Nachtrag beenden, wenn das ICO einen überarbeiteten genehmigten Nachtrag herausgibt.

Kontakt

JYV STREAM LLC

7901 4th St N, Suite 33883, St. Petersburg, FL 33702, USA

Allgemein: support@jyvstream.com

Recht: legal@jyvstream.com

Datenschutz / Datenschutzbeauftragter: Privacy@jyvstream.com / dpo@jyvstream.com

Missbrauch: Missbrauch@jyvstream.com

Website: https://jyvgaming.gg