Geben Sie Ihren Begriff in der Suchleiste ein und drücken Sie die Enter. Um die Suche abzubrechen drücken Sie ESC.
Auftragsverarbeitungsvertrag
Auftragsverarbeitungsvertrag
Letzte Aktualisierung: 29. September 2022
1. Über diesen Vertrag
a) Der vorliegende Auftragsverarbeitungsvertrag (nachfolgend „AV-Vertrag“ genannt) ist ein rechtsverbindlicher Vertrag und integraler Bestandteil des bestehenden Lightspeed Service Vertrags, Channel Partner Agreements, Reseller Partner Agreements oder einer anderen schriftlichen oder elektronischen Vereinbarung zwischen den Parteien (je nach Fall) (nachfolgend „Service Vertrag“ genannt), der zwischen dem Kunden (im Sinne des Service Vertrags) als dem Verantwortlichen und der Lightspeed Commerce Inc. sowie des vertragsschließenden Lightspeed Tochterunternehmens (im Sinne des Service Vertrags) (in diesem AV-Vertrag gemeinsam „Lightspeed“ genannt) als Verarbeiter im Zusammenhang mit der Erbringung von Dienstleistungen abgeschlossen wird, der verschiedene Datenverarbeitungsdienstleistungen gegenüber dem Kunden umfasst (nachfolgend „Dienstleistungen“ genannt) und ergänzend dazu gilt. Durch Unterzeichnung des Service Vertrags gilt auch dieser AV-Vertrag als unterzeichnet und akzeptiert. Dieser ist als Bezugsdokument hierin enthalten.
b) Dieser AV-Vertrag besteht aus:
● dem Hauptteil des AV-Vertrags
● Anhang 1. Beschreibung der Sicherheitsmaßnahmen von Lightspeed
● Anhang 2. Ausschließlich für Kunden mit Sitz im Europäischen Wirtschaftsraum (EWR), in der Schweiz oder im Vereinigten Königreich (VK) sind die EU-Standardvertragsklauseln für Verantwortlichen an Auftragsverarbeiter (2021) als Bezugsdokument in diesem AV-Vertrag aufgenommen („SCCs“). Für weitere Angaben zum internationalen Datentransfer siehe Abschnitt 10.
● Anhang 3. Ausschließlich für Kunden mit Sitz im Vereinigten Königreich (VK) wird das Addendum für internationale Datenübermittlung zu den Standardvertragsklauseln der EU-Kommission (International Data Transfer Addendum to the EU Commission Standard Contractual Clauses) (Version B1.0) durch Verweis in diesen AV-Vertrag aufgenommen (“VK-Addendum”) (nur in englischer Sprache verfügbar).
2. Begriffsbestimmungen.
Die in diesem AV-Vertrag verwendeten Begriffe haben die gleiche Bedeutung wie im Service Vertrag, sofern nicht ausdrücklich anders angegeben. Bei Konflikten oder Diskrepanzen zwischen dem Service Vertrag und diesem AV-Vertrag hat dieser AV-Vertrag Vorrang.
3. Beschreibung der personenbezogenen Daten.
Bei der Ausführung der Dienstleistungen kann Lightspeed Zugriff auf Daten identifizierter oder identifizierbarer Personen haben oder diese anderweitig erhalten oder verarbeiten, (nachfolgend „personenbezogene Daten“ genannt).
a) Arten personenbezogener Daten, die verarbeitet werden. In Abhängigkeit dessen, wie der Kunde die Dienstleistungen nutzen möchte, kann Lightspeed die folgenden Arten personenbezogener Daten verarbeiten:
Vorname, Zuname; Kontaktinformationen (E-Mail-Adresse, Hausanschrift, Telefonnummer); Sprache; Geburtsdatum; IP-Adresse; Lokalisierungsdaten; von Behörden vergebene Identifikationsnummern; Finanzinformationen; Bankverbindungen; Bonitätsauskünfte (wenn sich der Kunde bei Lightspeed Payments angemeldet hat).
Lightspeed kann auch andere Arten personenbezogener Daten verarbeiten, wenn der Kunde sich dafür entschieden hat, diese personenbezogenen Daten zu erheben und in unsere Dienstleistungen einzupflegen. Für den reibungslosen Ablauf dieser Dienstleistungen sind keine anderen Arten von personenbezogenen Daten erforderlich. Lightspeed schließt jegliche Haftung für Schäden oder Ansprüche im Zusammenhang mit der Wahl des Kunden, nicht zwingend notwendige personenbezogene Daten in die Dienstleistungen einzubringen, aus.
b) Betroffene Personen. Es werden personenbezogene Daten der folgenden Kategorien von Personen verarbeitet:
● Inhaber eines Geschäfts, das die Dienstleistungen von Lightspeed abonniert.
● Mitarbeiter und andere, vom Kunden autorisierte Personen, die Zugang zu den Dienstleistungen haben und diese nutzen (Endnutzer).
● Personen, deren personenbezogene Daten im Rahmen der Nutzung der Dienstleistungen verarbeitet werden, einschließlich der Kunden und Lieferanten unserer Kunden.
4. Zweck der Verarbeitung.
Lightspeed ist ein Anbieter von Software as a Service für Point-of-Sale-Lösungen für den Einzelhandel, den Golfsport und das Gastgewerbe, ein Online-Lieferantennetzwerk sowie eine Online-Plattform, die für eCommerce und verwandte Zwecke genutzt werden kann. Lightspeed verarbeitet personenbezogene Daten im Namen des Kunden, um dem Kunden diese Dienstleistungen entsprechend dem Service Vertrag und allen weiteren Zwecken, die der Kunde bei der Nutzung der Dienstleistung angibt, zur Verfügung zu stellen. Wenn Lightspeed als Verarbeiter personenbezogener Daten handelt, so darf Lightspeed personenbezogene Daten nur im Namen des Kunden und ausschließlich zu den in diesem AV-Vertrag und dem Service Vertrag genannten Zwecken verarbeiten.
5. Verantwortlichkeiten bei der Datenverarbeitung
a) Verantwortlicher. Der Kunde ist der Verantwortliche für alle personenbezogenen Daten, die er im Zusammenhang mit den Dienstleistungen erhebt. Der Kunde bestätigt, dass er zur Verarbeitung und Weiterleitung der personenbezogenen Daten an Lightspeed berechtigt ist und dass Lightspeed die personenbezogenen Daten im Namen des Kunden im Sinne dieses AV-Vertrags rechtmäßig verarbeiten darf.
b) Verarbeiter. Lightspeed handelt als Verarbeiter der personenbezogenen Daten, die der Kunde im Rahmen seiner Nutzung der Dienstleistungen erhoben hat.
c) Subauftragsverarbeiter. Der Kunde bestätigt und gewährt hiermit schriftlich seine ausdrückliche Genehmigung, dass (i) die mit Lightspeed verbundenen Unternehmen als Subauftragsverarbeiter von Lightspeed handeln können, und (ii) Lightspeed bei Bedarf Subauftragsverarbeiter beauftragen kann, wenn dies zur Erbringung der Dienstleistungen erforderlich ist. Die Liste der autorisierten Subauftragsverarbeiter Lightspeeds befindet sich auf dieser Webseite, und der Kunde erkennt an, dass diese Subauftragsverarbeiter für die Erbringung der Dienste unerlässlich sind. Lightspeed setzt den Kunden in Kenntnis, falls Lightspeed Subauftragsverarbeiter hinzufügt, ersetzt oder ändert; dazu soll die vorgenannte Liste aktualisiert werden. Der Kunde kann innerhalb von 30 Kalendertagen nach der Änderung aus legitimen Gründen in Übereinstimmung mit den Grundsätzen von Treu und Glauben, Angemessenheit und Fairness gegen diese Änderungen vorbringen. Der Kunde erkennt an, dass Lightspeed bei Einwänden gegen den Einsatz eines Subauftragsverarbeiters durch Lightspeed nicht dazu verpflichtet ist, dem Kunden die Dienstleistungen weiterhin zur Verfügung zu stellen, für die Lightspeed diesen Subauftragsverarbeiter eingesetzt hat.
6. Datenverarbeitung.
Lightspeed sorgt dafür, dass jede Verarbeitung fair, gesetzeskonform und im Einklang mit den sich für Lightspeed aus diesem AV-Vertrag ergebenden Verpflichtungen und den geltenden Datenschutzgesetzen erfolgt. Dies gilt insbesondere für:
a) Anweisungen des Verantwortlichen. Lightspeed verarbeitet personenbezogene Daten nur nach den dokumentierten Anweisungen des Kunden; wenn Lightspeed verpflichtet ist, zusätzlich personenbezogene Daten in Übereinstimmung mit einem geltenden Gesetz bzw. einer geltenden Verordnung, dem bzw. der Lightspeed unterliegt, zu verarbeiten, informiert Lightspeed den Kunden vor der Verarbeitung über diese gesetzliche Anforderung, es sei denn, dass ein geltendes Gesetz bzw. eine geltende Verordnung dies untersagt.
b) Gewährleistung eines angemessenen Schutzniveaus. Lightspeed gewährleistet einen angemessenen Schutz personenbezogener Daten vor versehentlicher oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unberechtigter Offenlegung oder unberechtigtem Zugriff, insbesondere wenn die Verarbeitung eine Übertragung personenbezogener Daten über ein Netzwerk beinhaltet, sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung.
c) Sicherheitsmaßnahmen. Lightspeed erfüllt die in Anhang 1 dargelegten Sicherheitsanforderungen, wobei der Stand der Technik, die Kosten der Durchführung sowie Art, Umfang, Kontext und Zweck der Verarbeitung berücksichtigt werden.
d) Offenlegung. Lightspeed gibt keine personenbezogenen Daten an Dritte oder unbefugte Personen weiter, es sei denn, der Kunde hat zuvor seine schriftliche Zustimmung zu einer solchen Weitergabe gegeben, und die Weitergabe erfolgt in Übereinstimmung der unter Ziffer 6 dieses AV-Vertrags festgelegten Bedingungen.
e) Vertraulichkeit. Lightspeed behandelt personenbezogene Daten streng vertraulich und verlangt, dass sich Mitarbeiter und andere Personen unter ihrer Aufsicht, die Zugang zu personenbezogenen Daten erhalten oder diese anderweitig verarbeiten, in Übereinstimmung mit den Anforderungen des AV-Vertrags (einschließlich während der Dauer ihrer Beschäftigung oder ihres Einsatzes und danach) an das gleiche Vertraulichkeitsniveau halten.
f) Anfragen von betroffenen Personen. Lightspeed ergreift angemessene Maßnahmen, soweit dies möglich ist, zur Unterstützung des Kunden bei der Erfüllung seiner Verpflichtungen als Verantwortlicher, wenn betroffene Personen Anspruch darauf erheben, ihre Rechte, die ihnen gemäß den geltenden Datenschutzgesetzen oder Vorschriften zustehen, auszuüben. Darüber hinaus benachrichtigt Lightspeed Kunden unverzüglich, wenn Lightspeed eine Anfrage von einer Person in Bezug auf personenbezogene Daten erhält, unter anderem aber nicht beschränkt auf Anträge auf Zugang zu Informationen, Anträge auf Berichtigung von Informationen und Anträge auf Sperrung, Löschung oder Übertragbarkeit personenbezogener Daten, ohne auf solche Anträge zu antworten, es sei denn, dass der Kunde dies ausdrücklich genehmigt hat oder dass Lightspeed nach einem geltenden Datenschutzgesetz oder einem Gesetz der Europäischen Union oder eines Mitgliedstaates, dem Lightspeed unterliegt, dazu verpflichtet ist; außerdem sorgt Lightspeed dafür, dass Lightspeed technische und organisatorische Maßnahmen getroffen hat, die den Kunden bei der Erfüllung seiner Verpflichtungen unterstützen, auf jegliche Anträge seitens einer Person im Hinblick auf verarbeitete personenbezogene Daten reagieren. Lightspeed bearbeitet Anfragen und Anträge seitens des Kunden im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieses AV-Vertrags unverzüglich und ordnungsgemäß.
g) Unterstützung bei der Compliance des Kunden. Unter Berücksichtigung der Art der Verarbeitung und der Lightspeed zur Verfügung stehenden Informationen unterstützt Lightspeed den Kunden dabei, die Einhaltung aller Verpflichtungen in Bezug auf Sicherheitsmaßnahmen und die Durchführung von Datenschutzverträglichkeitsprüfungen, soweit dies gemäß Artikel 32-36 der Datenschutzgrundverordnung (DSGVO) erforderlich ist, sicherzustellen.
Lightspeed ist dem Kunden im Falle einer Untersuchung durch eine Datenschutzbehörde oder eine ähnliche Behörde behilflich und unterstützt ihn, wenn und soweit sich eine solche Untersuchung auf die Verarbeitung personenbezogener Daten im Rahmen dieses AV-Vertrags bezieht.
Lightspeed benachrichtigt den Kunden unverzüglich, wenn nach Ansicht von Lightspeed eine vom Kunden erteilte Anweisung gegen geltende Gesetze und Vorschriften, einschließlich Datenschutzgesetzen, verstößt oder eine Änderung der geltenden Gesetze und Vorschriften die Möglichkeit, seinen Verpflichtungen aus diesem AV-Vertrag nachzukommen, wahrscheinlich erheblich nachteilig beeinflussen wird; Lightspeed ist berechtigt, die Umsetzung der betreffenden Anweisung so lange auszusetzen, bis der Kunde diese bestätigt oder geändert hat. Lightspeed kann die Durchführung einer Anweisung, die offensichtlich gesetzeswidrig ist, verweigern.
h) Anfragen zur Offenlegung. Lightspeed setzt den Kunden, soweit nach geltenden Gesetzen zulässig, über jede Anfrage in Kenntnis, die bei Lightspeed seitens einer Behörde eingeht und nach der von Lightspeed die Offenlegung von personenbezogenen Daten, die im Rahmen des Service Vertrags verarbeitet wurden, oder die Teilnahme an einer Untersuchung in Bezug auf diese personenbezogenen Daten verlangt wird. Lightspeed wird sich nach Kräften bemühen, den Umfang einer solchen eingegangenen Anfrage einzugrenzen und nur die personenbezogenen Daten offenlegen, die ausdrücklich angefordert wurden.
i) Datenschutzverletzung. Lightspeed informiert den Kunden unverzüglich (und auf jeden Fall innerhalb von achtundvierzig (48) Stunden) nach Kenntnisnahme von allen Lightspeed bekannten Tatsachen bezüglich eines vorliegenden versehentlichen oder unbefugten Zugriffs, Offenlegung oder Nutzung oder eines versehentlichen oder unbefugten Verlustes, Beschädigung oder Zerstörung von personenbezogenen Daten durch einen (ehemaligen) Mitarbeiter, Auftragnehmer oder Vertreter von Lightspeed oder durch eine andere Person oder einen Dritten.
Lightspeed kooperiert umfassend im Falle eines jeglichen versehentlichen oder unbefugten Zugriffs, Offenlegung oder Nutzung oder eines versehentlichen oder unbefugten Verlustes, Beschädigung oder Zerstörung von personenbezogenen Daten durch einen (ehemaligen) Mitarbeiter, Auftragnehmer oder Vertreter von Lightspeed oder durch eine andere Person oder einen Dritten, um eine unbefugte Offenlegung oder Nutzung zu begrenzen, eine Wiederherstellung der personenbezogenen Daten zu ersuchen und, auf Wunsch des Kunden, die zuständigen Aufsichtsbehörden und betroffenen Personen zu benachrichtigen.
7. Weiterleitung von Daten zur Verarbeitung.
Lightspeed darf einen Teil der Dienstleistungen nur dann an Dritte als Subauftragsverarbeiter (auch an verbundene Unternehmen von Lightspeed außerhalb des EWR, Schweiz und VK) weitervergeben, wenn Lightspeed sicherstellt, dass diese Subauftragsverarbeiter an Verpflichtungen gebunden sind, die nicht weniger schwer sind als die in diesem AV-Vertrag festgelegten.
8. Aufbewahrung und Löschung.
a) Lightspeed verarbeitet personenbezogenen Daten, solange dies für die Erbringung der Dienstleistungen vernünftigerweise erforderlich ist. Die Aufbewahrungsfrist kann länger sein, wenn Lightspeed personenbezogene Daten nach geltendem Gesetz oder zur Verwaltung seines Unternehmens länger aufbewahren muss.
b) Lightspeed stellt auf Anfrage des Kunden die Verarbeitung personenbezogener Daten unverzüglich ein und gibt alle diese personenbezogenen Daten gemäß den Anweisungen, die der Kunde zu diesem Zeitpunkt erteilt hat, unverzüglich zurück oder löscht sie, es sei denn, dass die personenbezogenen Daten nach einem geltenden Gesetz oder einer geltenden Verordnung, dem bzw. Lightspeed unterliegt, gespeichert werden müssen oder wenn mit dem Kunden ausdrücklich etwas anderes vereinbart worden ist. Die in diesem Abschnitt aufgeführten Verpflichtungen bleiben ungeachtet der Kündigung oder des Ablaufs dieses AV-Vertrags in Kraft.
9. Audit und Compliance.
a) Lightspeed stellt dem Kunden alle notwendigen Informationen zur Verfügung, welche Lightspeed in seiner Rolle als Datenverarbeiter bereitgestellt wurden, um die Einhaltung der Verpflichtungen bezüglich der Verarbeitung der personenbezogenen Daten nachzuweisen.
b) Lightspeed stellt die für die Verarbeitung personenbezogener Daten relevanten Verarbeitungssysteme, Einrichtungen und unterstützenden Unterlagen für ein Audit durch den Kunden oder einen vom Kunden ausgewählten qualifizierten unabhängigen Gutachter zur Verfügung und leistet sämtliche Unterstützung, die der Kunde für das Audit, das höchstens alle 12 Monate durchgeführt wird, benötigt. Sollte das Audit ergeben, dass Lightspeed gegen eine sich aus dem AV-Vertrag ergebende Verpflichtung verstoßen hat, wird Lightspeed diesen Verstoß unverzüglich beheben.
c) Im Falle von Inspektionen oder Audits seitens einer zuständigen Regierungsbehörde im Zusammenhang mit der Verarbeitung personenbezogener Daten stellt Lightspeed die entsprechenden Verarbeitungssysteme, Einrichtungen und Unterlagen der zuständigen Behörde für eine Inspektion oder ein Audit zur Verfügung, wenn dies zur Einhaltung der geltenden Gesetze erforderlich ist. Im Falle einer Inspektion oder eines Audits leistet jede Vertragspartei der anderen gegenüber jegliche angemessene Unterstützung bei der Reaktion auf diese Inspektion oder dieses Audit. Wenn eine zuständige Behörde die Verarbeitung personenbezogener Daten im Rahmen dieses AV-Vertrags für rechtswidrig hält, ergreifen die Vertragsparteien unverzüglich Maßnahmen, um die künftige Einhaltung des geltenden Datenschutzrechts zu gewährleisten. Anstelle von Inspektionen und Kontrollen vor Ort kann Lightspeed den Kunden auf eine gleichwertige Prüfung durch unabhängige Dritte (wie neutrale Datenschutzauditoren), die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gemäß Art. 42 DSGVO verweisen. Dies gilt insbesondere für den Fall, dass Unternehmens- und Betriebsgeheimnisse Lightspeeds, oder personenbezogene Daten Dritter durch die Kontrollen gefährdet werden könnten.
d) Der Kunde erstattet Lightspeed alle angemessenen Kosten, die Lightspeed im Zusammenhang mit einer Prüfung oder Inspektion durch den Kunden (oder im Namen des Kunden) oder eine zuständige Regierungsbehörde entstehen, es sei denn, eine solche Prüfung oder Inspektion ergibt, dass Lightspeed gegen eine seiner Verpflichtungen aus dem AV-Vertrag verstoßen hat.
e) Ausgenommen wenn es Lightspeed gesetzlich untersagt ist, eine solche Offenlegung vorzunehmen, informiert Lightspeed den Kunden unverzüglich, wenn: (i) von einer zuständigen Behörde eine Anfrage, eine Vorladung oder ein Antrag auf Einsichtnahme oder Audit im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen dieses AV-Vertrags eingeht, soweit es sich dabei auf Daten des Kunden bezieht; oder (ii) Lightspeed beabsichtigt, personenbezogene Daten an eine zuständige Behörde weiterzugeben.
f) Lightspeed sorgt dafür, dass jeder Mitarbeiter, Agent, unabhängiger Auftragnehmer oder jede andere Person, die an der Erbringung der Dienstleistungen beteiligt ist und Zugang zu personenbezogenen Daten des Kunden hat, alle für Lightspeed geltenden Datenschutzgesetze und -vorschriften (einschließlich aller gesetzlichen und/oder behördlichen Änderungen oder der diesbezüglichen Folgedokumente) einhält.
10. Datenübermittlung (ausschließlich für Kunden mit Sitz im EWR, in der Schweiz oder im VK).
a) Der Kunde autorisiert Lightspeed, die Datenverarbeitung in einem Drittland durchführen zu lassen, auch durch Subauftragsverarbeiter, unter der Voraussetzung, dass die Anforderungen gemäß den Artikeln 44 bis 49 DSGVO eingehalten werden. Die Genehmigung des Kunden für die Datenverarbeitung in einem Drittland in Bezug auf die Verarbeitungsvorgänge von Lightspeed und den autorisierten Subauftragsverarbeitern wie hier aufgeführt, gilt ausdrücklich als erteilt.
b) Lightspeed Commerce Inc. ist ein Unternehmen mit Sitz in Kanada. Vor diesem Hintergrund erfolgt der Großteil der Datenübermittlung von Kunden mit Sitz im Europäischen Wirtschaftsraum (EWR), in der Schweiz und im Vereinigten Königreich (VK) an Lightspeed entsprechend dem Angemessenheitsbeschluss der Europäischen Kommission für Kanada.
c) Soweit der Angemessenheitsbeschluss keine Anwendung findet, stützt sich Lightspeed auf die beigefügten Standardvertragsklauseln („SCCs“), die als Anhang 2 beigefügt sind, als genehmigten Übermittlungsmechanismus für internationale Übermittlungen personenbezogener Daten. In diesen SCCs ist der Kunde der Datenexporteur und Lightspeed Commerce Inc. der Datenimporteur.
d) Durch Unterzeichnung des Service Vertrags gelten auch die SCCs als unterzeichnet und akzeptiert. Wenn der Kunde zusätzlich ein Exemplar der SCCs auszufertigen wünscht, kann er eine vorunterzeichnete Fassung, die hier als Anhang 2 beigefügt ist, ausfüllen und gegenzeichnen und sie per E-Mail an Lightspeed senden ([email protected]). Dabei ist, sofern zutreffend, die juristische Person des Kunden und/oder die Kundennummer anzugeben (diese findet sich auf dem zutreffenden Lightspeed Bestellformular oder auf der Rechnung).
e) In Abwesenheit der vorgenannten angemessenen Sicherheitsmaßnahmen kann sich Lightspeed – sofern nach den geltenden Datenschutzgesetzen (darunter die DSGVO) zulässig und damit im Einklang stehend – auf eine Ausnahmeregelung berufen, die für die jeweilige Situation gilt (z.B. die ausdrückliche Einwilligung der betroffenen Personen, die Notwendigkeit für die Erfüllung eines Vertrags, die Notwendigkeit für die Feststellung, die Ausübung oder Verteidigung von Rechtsansprüchen).
f) In Bezug auf die Übermittlung personenbezogener Daten, die durch das Datenschutzgesetz von 2018 im Vereinigten Königreich (UK Data Protection Act 2018) geschützt sind, gelten die SCCs und gelten als geändert, wie im VK-Addendum festgelegt, das als von den Parteien ausgeführt und durch Verweis in diesen AV-Vertrag aufgenommen gilt. Etwaige Widersprüche zwischen den Bestimmungen der SCCs und dem VK-Addendum werden gemäß Abschnitt 10 und Abschnitt 11 des VK-Addendums beigelegt.
11. Datenanfragen.
Jeder Kunde kann sich jederzeit mit allen Fragen und Anregungen bezüglich des Datenschutzes an Lightspeed wenden ([email protected]).
Nur für Kunden mit Sitz in Deutschland: Kunden können sich an die Datenschutzbeauftragte von Lightspeed wenden:
Karina Filusch
Friedrichstraße 95
D-10117 Berlin
Deutschland
E-Mail: [email protected]
Mit einer Kopie an: [email protected]
12. Allgemeine Bestimmungen.
a) Änderungen. Änderungen oder Ergänzungen dieses AV-Vertrags bedürfen der Schriftform. Gleiches gilt für jeglichen Verzicht auf ein Recht oder eine Verpflichtung im Rahmen dieses AV-Vertrags. Die Rangfolge der einzelvertraglichen Vereinbarungen bleibt davon unberührt. Lightspeed behält sich das Recht vor, diesen AV-Vertrag jederzeit mit Wirkung für die Zukunft zu ändern. Änderungen werden nur vorgenommen, wenn die folgenden objektiven Gründe vorliegen:
● wenn die Änderung dazu beiträgt, den AV-Vertrag an geltende Gesetze anzugleichen, insbesondere dann, wenn sich die geltende Gesetzeslage ändert;
● wenn die Änderung Lightspeed in die Lage versetzt, verbindliche Gerichts- oder Verwaltungsentscheidungen einzuhalten;
● wenn die Änderung Einzelheiten einer neuen oder aktualisierten Lightspeed-Dienstleistung oder neuer oder aktualisierter technischer oder organisatorischer Abläufe reflektiert und die mit dem Kunden bestehende Vertragsbeziehung dadurch nicht für den Kunden nachteilig beeinflusst wird;
● wenn die Änderung ausschließlich zum Vorteil des Kunden ist.
b) Salvatorische Klausel. Sollte eine Bestimmung dieses Vertrags teilweise oder vollständig ungültig oder nicht durchsetzbar sein oder werden, so berührt dies nicht die Gültigkeit der restlichen Bestimmungen.
c) Laufzeit. Dieser AV-Vertrag gilt für die gesamte Laufzeit (wie im Service Vertrag definiert) und endet an dem Datum, an dem der Service Vertrag abläuft oder gekündigt wird.
Anhang 1. Beschreibung der Sicherheitsmaßnahmen von Lightspeed
Lightspeed hat angemessene und ausreichende technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung oder versehentlichem Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff ergriffen, insbesondere wenn die Verarbeitung die Übermittlung personenbezogener Daten über ein Netzwerk miteinschließt, sowie gegen sämtliche andere unrechtmäßige Formen der Verarbeitung.
Lightspeed verfügt über eine bewährte Datensicherheitsorganisation, die vom Lightspeed Security Team verwaltet wird und unter der Führung des stellvertretenden Vorstandsvorsitzenden (Vice-President) für Information Security steht. Lightspeed Security hat Leitlinien und Verfahren zur Aufstellung von Standards für den logischen Zugriff auf die Lightspeed Produktionsumgebungen erstellt und pflegt diese. In diesen Leitlinien werden auch die funktionalen Zuständigkeiten für die Verwaltung des logischen Zugriffs und der Sicherheit definiert. Die Leitlinien von Lightspeed für die Datensicherheit werden jährlich von der Führung des Security Teams überprüft und freigegeben und dienen dazu, Lightspeed bei der Erfüllung der Leistungszusagen an den Kunden zu unterstützen.
Die folgende Beschreibung bietet einen Überblick der implementierten technischen und organisatorischen Sicherheitsmaßnahmen. Diese Maßnahmen umfassen unter anderem Folgendes. Für weitere Einzelheiten zu den aktuellen Maßnahmen können Sie sich jederzeit direkt an uns wenden.
Datenschutz
Lightspeed verarbeitet die personenbezogenen Daten als Datenverarbeiter ausschließlich zu dem Zweck, die Dienstleistungen im Sinne der dokumentierten Anweisungen des Kunden (sofern solche Anweisungen den Funktionalitäten der Dienstleistungen angemessen sind) und im Sinne eventueller Vereinbarungen mit dem Kunden zu erbringen.
Lightspeed implementiert und behält geeignete technische und organisatorische Maßnahmen bei, um personenbezogene Daten vor unbefugter oder rechtswidriger Verarbeitung und vor versehentlichem Verlust, versehentlicher Zerstörung, Beschädigung, Diebstahl, Änderung oder Offenlegung zu schützen.
Lightspeed unterhält einen Rahmen für das Risikomanagement und überprüft diesen mindestens vierteljährlich, um Änderungen in der Umgebung, den Systemen und der Bedrohungslage zu ermitteln und alle mit dem Betrieb und der Verarbeitung personenbezogener Daten verbundenen Risiken zu bewältigen.
Lightspeed stellt sicher, dass Mitarbeiter, die auf personenbezogene Daten zugreifen, Vertraulichkeitsverpflichtungen unterliegen, die ihre Fähigkeit zur Offenlegung personenbezogener Daten limitieren, und dass sie jährlich eine Schulung zum Thema Informationssicherheit absolvieren.
Lightspeed arbeitet nach den Konzepten „Geringste Rechte“ (Englisch: „least privilege“) und „Kenntnis nur bei Bedarf“ (Englisch: „need-to-know“). Dabei haben die Nutzer nur Zugriff auf die Daten, die zur Erfüllung ihrer Aufgabe notwendig sind. Nutzerkonten werden so angelegt, dass sie nur minimalen Zugriff zulassen. Für einen Zugriff, der über das Geringste-Rechte-Prinzip hinausgeht, muss eine angemessene und gesonderte Autorisierung eingeholt werden.
Lightspeed wendet für alle kritischen Anwendungen und Infrastrukturen die Multi-FaktorAuthentifizierung an.
In-Transit: Lightspeed implementiert die HTTPS-Verschlüsselungen auf allen seiner Login-Schnittstellen und auf jeder Kundenseite, die auf den Lightspeed-Lösungen gehostet werden. Die HTTPS-Implementierung von Lightspeed verwendet Algorithmen und Zertifikate nach Industriestandard.
At-Rest: Lightspeed implementiert Verschlüsselung im Ruhezustand zum Schutz vor Datenverlust.
Zugangskontrolle
1. Verhinderung des nicht autorisierten Zugriffs auf das Produkt
Ausgelagerte Verarbeitung: Lightspeed hostet seine Dienste auf Hosting-Infrastrukturen von Drittanbietern in Form von Rechenzentren und Infrastructure-as-a-Service (IaaS). Darüber hinaus unterhält Lightspeed vertragliche Beziehungen zu Anbietern, um den Service gemäß unserer Datenverarbeitungsvereinbarung zu erbringen. Lightspeed setzt vertragliche Vereinbarungen, Datenschutzrichtlinien und Hersteller-Compliance-Programme ein, um die von diesen Anbietern verarbeiteten oder gespeicherten Daten zu schützen.
Physische und ökologische Sicherheit: Lightspeed hostet seine Produktinfrastruktur mit mandantenfähigen externen Infrastrukturanbietern. Die physischen und ökologischen Sicherheitskontrollen werden unter anderem für SOC 2 Typ II, ISO 27001 und PCI DSS geprüft.
Authentifizierung: Lightspeed hat einen starken Authentifizierungsmechanismus für Lightspeed–Benutzer implementiert, die auf seine Kundenprodukte zugreifen. Alle Lightspeed-Benutzer, die über eine Schnittstelle mit den Produkten interagieren, müssen sich mit einer Multi-Faktor-Authentifizierung authentifizieren, um auf nicht öffentliche Daten von Kunden zugreifen zu können.
Autorisierung: Daten von Kunden werden in mandantenfähigen Speichersystemen gelagert, auf die Kunden nur über Anwendungsbenutzerschnittstellen und Anwendungsprogrammierschnittstellen zugreifen können. Kunden haben keinen direkten Zugriff auf die zugrunde liegende Anwendungsinfrastruktur. Das Autorisierungsmodell in jedem Produkt von Lightspeed ist so konzipiert, dass nur die entsprechend zugewiesenen Personen auf relevante Funktionen, Ansichten und Anpassungsoptionen zugreifen können. Die Autorisierung für Datensätze erfolgt durch Validierung der Berechtigungen des Benutzers anhand der Attribute, die jedem Datensatz zugeordnet sind.
2. Verhinderung des nicht autorisierten Gebrauchs des Produkts
Zugriffskontrollen: Netzwerkzugriffskontrollmechanismen sollen verhindern, dass Netzwerkverkehr mit nicht autorisierten Protokollen die Produktinfrastruktur erreichen kann. Die implementierten technischen Maßnahmen unterscheiden sich zwischen Infrastrukturanbietern und umfassen Virtual Private Cloud (VPC) -Implementierungen, Sicherheitsgruppenzuweisungen und herkömmliche Firewall-Regeln.
Intrusion Erkennung und Prävention: Lightspeed hat eine Web Application Firewall (WAF)-Lösung implementiert, um gehostete Kundenwebsites und andere internetfähige Anwendungen zu schützen. Die WAF wurde entwickelt, um Angriffe auf öffentlich verfügbare Dienste zu erkennen und verhindern.
Überprüfung auf Sicherheitsrisiken: Lightspeed führt regelmäßige Überprüfungen seines Verhaltenscodex, seiner Infrastruktur und seiner Web-Dienste nach bekannten Sicherheitsrisiken durch und behebt diese zeitnah. Lightspeed hat Newsfeeds für entsprechende Herstellerschwachstellen abonniert und überwacht proaktiv die Websites der Hersteller sowie anderer relevanter Stellen auf neue Patches.
3. Einschränkungen der Berechtigungen und Autorisierungsanforderungen
Zugriff auf das Produkt: Bestimmte Mitarbeiter von Lightspeed haben über geprüfte Schnittstellen Zugriff auf die Produkte und die Daten von Kunden. Der Zugriff durch diese Mitarbeiter ist notwendig, um einen effektiven Support zu gewährleisten, eventuelle Probleme zu beheben, Sicherheitsvorfälle zu erfassen und darauf zu reagieren und die Datensicherheit zu implementieren. Die Mitarbeiter erhalten diesen Zugriff je nach ihrer Rolle und nach einer entsprechenden genehmigten Anfrage. Jeder Login in die Datenspeicher- oder -verarbeitungssysteme wird dokumentiert.
Datenbankzugriff: Daten von Kunden sind nur für eine begrenzte Anzahl von autorisierten Mitarbeitern zugänglich und verwaltbar. Der Zugriff auf die Daten wird durch eine Netzwerksegmentierung der Produktions-, Staging-, Qualitätssicherungs- und Entwicklungsumgebungen eingeschränkt. Der direkte Zugriff auf Datenbankabfragen ist eingeschränkt, und es werden Zugriffsrechte für Anwendungen festgelegt und durchgesetzt.
Kontrolle des Vorfallmanagements
Erkennung: Lightspeed hat seine Infrastruktur so konzipiert, dass umfangreiche Informationen zum Systemverhalten, zum empfangenen Datenverkehr, zur Systemauthentifizierung und zu anderen Anwendungsanforderungen protokolliert werden. Interne Systeme aggregieren Protokolldaten und warnen befugte Mitarbeiter vor böswilligen, zufälligen oder anomalen Aktivitäten. Lightspeed-Mitarbeiter, einschließlich Sicherheits-, Betriebs- und Supportpersonal, reagieren auf bekannte Vorfälle.
Reaktion und Nachverfolgung: Lightspeed führt Protokoll über bekannte Sicherheitsvorfälle, die Beschreibungen, Daten und Zeiten relevanter Aktivitäten sowie Vorfallsbehebung enthalten. Mutmaßliche und bestätigte Sicherheitsvorfälle werden von Sicherheits-, Betriebs- oder Supportmitarbeitern untersucht, und geeignete Lösungsschritte werden identifiziert und dokumentiert. Für alle bestätigten Vorfälle unternimmt Lightspeed angemessene Schritte, um den Schaden an Produkten und Kunden oder die unbefugte Offenlegung zu minimieren.
Kommunikation: Wenn Lightspeed von einem rechtswidrigen Zugriff auf Daten von Kunden erfährt, die in seinen Produkten gespeichert sind, wird Lightspeed: die betroffenen Kunden über den Vorfall informieren; eine Beschreibung der nötigen Schritte angeben, die Lightspeed zur Behebung des Vorfalls unternimmt. Statusaktualisierungen werden bereitgestellt, wenn Lightspeed dies für erforderlich erachtet oder dies gesetzlich vorgeschrieben ist. Eventuelle Benachrichtigungen werden an einen oder mehrere Kontakte des Kunden in einem Formular gesendet, welches Lightspeed auswählt. Dies kann per E-Mail oder Telefon erfolgen.