Der Kunde, der Messdienste einsetzt und diesen Bedingungen zustimmt (Kunde), ist entweder mit Google oder mit einem Drittanbieter-Reseller eine Vereinbarung bezüglich der Bereitstellung der Messdienste eingegangen (Vereinbarung, kann gelegentlich geändert werden) und hat über die Benutzeroberfläche dieser Dienste die Einstellung für die Datenweitergabe aktiviert.

Diese Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google (die Datenverarbeitungsbedingungen) werden zwischen Google und dem Kunden abgeschlossen. Wenn der Kunde und Google die Vereinbarung eingegangen sind, ergänzen diese Datenverarbeitungsbedingungen die Vereinbarung. Ist der Kunde die Vereinbarung hingegen mit einem Drittanbieter-Reseller eingegangen, stellen diese Datenverarbeitungsbedingungen eine separate Vereinbarung zwischen Google und dem Kunden dar.

Zur Klarstellung wird festgehalten, dass die Bereitstellung der Messdienste der Vereinbarung unterliegt. Diese Datenverarbeitungsbedingungen regeln ausschließlich die Datenschutzbestimmungen für die Datenfreigabeeinstellung. Sie gelten nicht für die Bereitstellung der Messdienste.

Gemäß Paragraf 6.2 (Keine Auswirkungen auf die Bedingungen für Auftragsverarbeiter) gelten diese Datenverarbeitungsbedingungen ab dem Datum des Inkrafttretens der Bedingungen und ersetzen alle vorherigen anwendbaren Bedingungen in Bezug auf deren Gegenstand.

Wenn Sie diese Datenverarbeitungsbedingungen stellvertretend für den Kunden akzeptieren, gewährleisten Sie, dass Sie (a) rechtlich vollumfänglich befugt sind, den Kunden an diese Datenverarbeitungsbedingungen zu binden, (b) die Datenverarbeitungsbedingungen gelesen und verstanden haben und (c) diesen Datenverarbeitungsbedingungen im Namen des Kunden zustimmen. Falls Sie rechtlich nicht dazu befugt sind, den Kunden zu binden, akzeptieren Sie diese Datenverarbeitungsbedingungen bitte nicht.

Bitte stimmen Sie diesen Datenverarbeitungsbedingungen nicht zu, wenn Sie ein Reseller sind. Diese Datenverarbeitungsbedingungen regeln die Rechte und Verpflichtungen, die für die Nutzer der Messdienste und Google gelten.

Themen in diesem Hilfeartikel

• Einführung
• Begriffsbestimmungen und Auslegung
• Anwendbarkeit dieser Datenverarbeitungsbedingungen
• Rollenverteilung und Beschränkungen der Verarbeitung
• Haftung
• Auswirkungen der Datenverarbeitungsbedingungen
• Änderungen an diesen Datenverarbeitungsbedingungen
• Zusätzliche Bestimmungen
• Anhang 1: Zusatzbedingungen für anwendbare Datenschutzgesetze

---

1. Einführung

Diese Datenverarbeitungsbedingungen legen die Vereinbarung der Parteien zur Verarbeitung personenbezogener Daten eines Verantwortlichen gemäß der Datenfreigabeeinstellung dar.

---

2. Begriffsbestimmungen und Auslegung

2.1

In diesen Datenverarbeitungsbedingungen gilt Folgendes:

Zusatzbedingungen sind die in Anhang 1 genannten zusätzlichen Bedingungen. Sie stellen die Vereinbarung zwischen den Parteien über die Bedingungen dar, die für die Verarbeitung personenbezogener Daten eines Verantwortlichen im Zusammenhang mit bestimmten anwendbaren Datenschutzvorschriften gelten.

Zweigunternehmen bezeichnet jedes Rechtssubjekt, das eine Partei direkt oder indirekt kontrolliert, von einer der Parteien kontrolliert wird oder unter gemeinsamer Kontrolle mit einer der Parteien steht.

Anwendbare Datenschutzgesetze bezeichnet in Bezug auf die Verarbeitung personenbezogener Daten eines Verantwortlichen alle Datenschutz- und Datensicherheitsgesetze oder Datenschutz- und Datensicherheitsverordnungen auf nationaler, Bundes- oder EU-Ebene sowie auf Ebene einzelner Bundesländer, Bundesstaaten, Provinzen oder anderer offizieller Verwaltungseinheiten. Dies schließt die europäischen Datenschutzvorschriften, das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais, LGPD) und Datenschutzgesetze von US-Bundesstaaten ein.

Vertrauliche Informationen bezeichnet diese Datenverarbeitungsbedingungen.

Betroffene Person eines Verantwortlichen bezeichnet eine betroffene Person, auf die sich personenbezogene Daten eines Verantwortlichen beziehen.

Personenbezogene Daten eines Verantwortlichen bezeichnet personenbezogene Daten, die von einer der Parteien gemäß der Einstellung für die Datenweitergabe verarbeitet werden.

Einstellung für die Datenweitergabe bezeichnet die Einstellung, die der Kunde über die Benutzeroberfläche der Messdienste aktiviert hat und die es Google und dessen Zweigunternehmen ermöglicht, personenbezogene Daten zur Verbesserung der Produkte und Dienste von Google und dessen Zweigunternehmen zu verwenden.

Endverantwortlicher bezeichnet bei jeder Partei die Person, die letztendlich für die personenbezogenen Daten eines Verantwortlichen verantwortlich ist.

EU-DSGVO (EU-Datenschutz-Grundverordnung) bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

Europäische Datenschutzvorschriften bezeichnet, je nach Anwendungsfall, (a) die DSGVO und/oder (b) das Schweizer Datenschutzgesetz (DSG).

DSGVO bezeichnet, je nach Anwendungsfall, (a) die DSGVO der EU und/oder (b) die DSGVO des Vereinigten Königreichs.

Google steht für Folgendes:

• (a) Wenn ein Google-Rechtssubjekt Partei der Vereinbarung ist: dieses Google-Rechtssubjekt.
• (b) Wenn der Kunde die Vereinbarung mit einem Drittanbieter-Reseller eingegangen ist und:
  • (i) der Drittanbieter-Reseller in Nordamerika oder einer anderen Region außerhalb Europas, des Nahen Ostens, Afrikas, Asiens und Ozeaniens ansässig ist: Google LLC (ehemals Google Inc.);
  • (ii) der Drittanbieter-Reseller in Europa, im Nahen Osten oder in Afrika ansässig ist: Google Ireland Limited;
  • (iii) der Drittanbieter-Reseller in Asien oder Ozeanien ansässig ist: Google Asia Pacific Pte. Ltd.

Google-Rechtssubjekt bezeichnet Google LLC, Google Ireland Limited oder andere Zweigunternehmen von Google LLC.

LGPD bezeichnet das brasilianische Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais).

Messdienste bezeichnet Google Analytics, Google Analytics 360, Google Analytics for Firebase, Google Optimize oder Google Optimize 360, je nachdem für welchen Dienst die Parteien diese Datenverarbeitungsbedingungen für die Einstellung für die Datenweitergabe vereinbart haben.

Richtlinien bezeichnet die Richtlinie zur Einwilligung der Nutzer in der EU, die unter www.google.com/intl/de/about/company/user-consent-policy/ verfügbar ist.

Bedingungen für Auftragsverarbeiter steht für Folgendes:

• (a) Wenn Google eine Partei der Vereinbarung ist: die Bedingungen für Auftragsverarbeiter unter https://business.safety.google/adsprocessorterms oder
• (b) wenn der Kunde die Vereinbarung mit einem Drittanbieter-Reseller eingegangen ist: die Bedingungen, die eine Beziehung zwischen einem Verantwortlichen und einem Auftragsverarbeiter darlegen (sofern vorhanden) und die der Kunde und der Drittanbieter-Reseller vereinbart haben.

Schweizer Datenschutzgesetz bezeichnet das Bundesgesetz über den Datenschutz vom 19. Juni 1992 der Schweiz.

Datum des Inkrafttretens der Bedingungen bezeichnet das Datum, an dem der Kunde die Datenverarbeitungsbedingungen per Klick akzeptiert hat oder die Parteien diese Datenverarbeitungsbedingungen auf andere Weise vereinbart haben.

Personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich bezeichnet personenbezogene Daten eines Verantwortlichen, wenn die betroffenen Personen im Vereinigten Königreich ansässig sind.

UK-DSGVO bezeichnet die EU-DSGVO in der geänderten und in das britische Recht übernommenen Fassung gemäß dem UK European Union (Withdrawal) Act 2018 sowie anwendbare sekundäre Vorschriften dieses Gesetzes.

Datenschutzgesetze von US-Bundesstaaten wird im Sinne dieser Definition verwendet.

2.2

Die Begriffe Verantwortlicher, betroffene Person, personenbezogene Daten, Verarbeitung und Auftragsverarbeiter haben in diesen Datenverarbeitungsbedingungen entweder (a) die in den anwendbaren Datenschutzgesetzen festgelegte Bedeutung oder (b) die in der DSGVO festgelegte Bedeutung, wenn keine entsprechende Begriffsbestimmung oder kein entsprechendes Gesetz existiert.

2.3

In diesen Datenverarbeitungsbedingungen genannte Beispiele dienen nur der Veranschaulichung und sind nicht als ausschließliche Beispiele für ein bestimmtes Konzept gedacht.

2.4

Verweise auf Gesetze oder gesetzliche Regelungen beziehen sich jeweils auf deren zum jeweiligen Zeitpunkt gültige (gelegentlich geänderte oder überarbeitete) Fassung.

2.5

Soweit eine übersetzte Fassung dieser Vereinbarung nicht mit der englischen Fassung übereinstimmt, hat die englische Fassung Vorrang.

2.6

Verweise in den Standardvertragsklauseln für Datenverantwortliche auf die Datenverarbeitungsbedingungen zwischen Verantwortlichen für Google-Werbeprodukte sind als Verweise auf die Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google zu verstehen.

---

3. Anwendbarkeit dieser Datenverarbeitungsbedingungen

3.1 Allgemein

Diese Datenverarbeitungsbedingungen gelten nur für die Datenfreigabeeinstellung, für die die Parteien diese Datenverarbeitungsbedingungen vereinbart haben (z. B. die Datenfreigabeeinstellung, bei der der Kunde diese Datenverarbeitungsbedingungen per Klick akzeptiert hat).

3.2 Dauer

Diese Datenverarbeitungsbedingungen gelten ab dem Datum des Inkrafttretens der Bedingungen und während personenbezogene Daten eines Verantwortlichen von Google oder vom Kunden verarbeitet werden. Danach sind diese Datenverarbeitungsbedingungen automatisch beendet.

---

4. Rollenverteilung und Beschränkungen der Verarbeitung

4.1 Unabhängige Verantwortliche

Gemäß Paragraf 4.4 (Endverantwortliche) gilt: Jeder Endverantwortliche…

• (a) ist ein unabhängiger Verantwortlicher für personenbezogene Daten eines Verantwortlichen,
• (b) legt individuell die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten eines Verantwortlichen fest und
• (c) muss den Verpflichtungen nachkommen, die für ihn gemäß den anwendbaren Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten eines Verantwortlichen gelten.

4.2 Beschränkungen der Verarbeitung

Paragraf 4.1 (Unabhängige Verantwortliche) hat keine Auswirkungen auf etwaige Einschränkungen der Rechte der jeweiligen Partei, die personenbezogenen Daten eines Verantwortlichen gemäß der Vereinbarung zu nutzen oder anderweitig zu verarbeiten.

4.3 Einwilligung des Endnutzers

Der Kunde befolgt die Richtlinien für die personenbezogenen Daten eines Verantwortlichen, die gemäß Datenfreigabeeinstellung geteilt werden, und trägt zu jeder Zeit die Beweislast für die Einhaltung der Richtlinien.

4.4 Endverantwortliche

Ohne dadurch die Verpflichtungen der einzelnen Parteien im Rahmen dieser Datenverarbeitungsbedingungen zu schmälern, erkennt jede der Parteien an, dass (a) die Zweigunternehmen und Kunden der jeweils anderen Partei Endverantwortliche sein können und (b) die andere Partei im Namen ihrer Endverantwortlichen als Auftragsverarbeiter auftreten kann. Jede Partei sorgt dafür, dass sich ihre Endverantwortlichen an die Datenverarbeitungsbedingungen halten.

4.5 Transparenz

Dem Kunden ist bekannt, dass Google unter https://business.safety.google/privacy/ beschreibt, wie Google Informationen von Websites, Apps oder anderen Properties verwendet, die Google-Dienste nutzen. Unbeschadet seiner Verpflichtungen gemäß Paragraf 4.1 (c) kann der Kunde betroffene Personen eines Verantwortlichen mithilfe eines Links zu dieser Seite darüber aufklären, wie Google personenbezogene Daten eines Verantwortlichen verarbeitet.

---

5. Haftung

5.1

Wenn Google:

• (a) eine Partei der Vereinbarung ist und die Vereinbarung:
  • (i) den Gesetzen eines Bundesstaates der USA unterliegt, dann gilt, ungeachtet einer etwaigen anderen Regelung in der Vereinbarung, für die Gesamthaftung der Parteien untereinander im Rahmen oder in Verbindung mit diesen Datenverarbeitungsbedingungen der Höchstbetrag, auf den die Haftung der jeweiligen Partei gemäß der Vereinbarung begrenzt ist (daher gilt jeglicher Ausschluss von Ansprüchen zur Haftungsfreistellung auf Grundlage der Haftungsbeschränkung der Vereinbarung nicht für Ansprüche zur Haftungsfreistellung gemäß der Vereinbarung in Zusammenhang mit den anwendbaren Datenschutzgesetzen).
  • (ii) nicht den Gesetzen eines Bundesstaates der USA unterliegt, sondern denen eines anderen Landes, richtet sich die Haftung der Parteien im Rahmen oder in Verbindung mit diesen Datenverarbeitungsbedingungen nach den Haftungsbeschränkungen und ‑ausschlüssen in der Vereinbarung.
• (b) keine Partei der Vereinbarung ist, haftet Google, soweit dies nach anwendbarem Recht zulässig ist, nicht für entgangene Umsätze oder indirekte Schäden, spezielle Schäden, Nebenschäden, Folgeschäden, exemplarische Schäden oder Schadenersatz des Kunden, selbst wenn Google oder dessen Zweigunternehmen davon in Kenntnis gesetzt wurden oder wussten oder hätten wissen müssen, dass solche Schäden einen Rechtsbehelf nicht rechtfertigen. Die kumulative Gesamthaftung von Google und dessen Zweigunternehmen gegenüber dem Kunden oder einer anderen Partei für jegliche Verluste oder Schäden, die durch Forderungen, Schäden oder Handlungen entstehen, die sich aus diesen Datenverarbeitungsbedingungen ergeben oder Bezug dazu haben, liegt bei höchstens 500 $.

---

6. Auswirkungen der Datenverarbeitungsbedingungen

6.1 Rangfolge

Im Falle von Konflikten oder Widersprüchen zwischen den Zusatzbedingungen, den übrigen Bestimmungen dieser Datenverarbeitungsbedingungen und/oder den übrigen Bestimmungen der Vereinbarung gilt gemäß Paragraf 4.2 (Beschränkungen der Verarbeitung) und 6.2 (Keine Auswirkungen auf die Bedingungen für Auftragsverarbeiter) folgende Rangfolge für die Anwendbarkeit: (a) die Zusatzbedingungen (falls anwendbar), (b) übrige Bestimmungen dieser Datenverarbeitungsbedingungen und (c) übrige Bestimmungen der Vereinbarung. Mit Ausnahme von Änderungsvereinbarungen zu diesen Datenverarbeitungsbedingungen bleibt die Vereinbarung zwischen Google und dem Kunden bindend.

6.2 Keine Auswirkungen auf die Bedingungen für Auftragsverarbeiter

Diese Datenverarbeitungsbedingungen ersetzen die Bedingungen für Auftragsverarbeiter nicht und haben auch keine Auswirkungen darauf. Zur Klarstellung: Wenn der Kunde eine Partei ist, die den Bedingungen für Auftragsverarbeiter in Verbindung mit den Messdiensten unterliegt, gelten die Bedingungen für Auftragsverarbeiter weiterhin für die Messdienste, unbeschadet dessen, dass diese Datenverarbeitungsbedingungen für personenbezogene Daten eines Verantwortlichen gelten, die gemäß der Datenfreigabeeinstellung verarbeitet werden.

---

7. Änderungen an diesen Datenverarbeitungsbedingungen

7.1 Änderungen an den Datenverarbeitungsbedingungen

Google kann diese Datenverarbeitungsbedingungen ändern, wenn eine solche Änderung:

• (a) einer Änderung des Namens oder der Rechtsform eines Rechtssubjekts Rechnung trägt,
• (a) erforderlich ist, um anwendbares Recht, anwendbare Verordnungen, Gerichtsentscheidungen oder Vorgaben einer staatlichen Regulierungs- oder Aufsichtsbehörde einzuhalten, oder der Einführung einer alternativen Übertragungslösung (im Sinne von Anhang 1A) durch Google Rechnung trägt,
• (c) gemäß Paragraf 7.2 (Änderungen bei URLs) erfolgt oder
• (d) (i) nicht anderweitig die Definition der Parteien als Verantwortliche für personenbezogene Daten eines Verantwortlichen gemäß den anwendbaren Datenschutzgesetzen ändert, (ii) nicht den Umfang der Rechte einer Partei hinsichtlich der Nutzung oder anderweitigen Verarbeitung von personenbezogenen Daten eines Verantwortlichen erweitert oder Beschränkungen dieser Rechte aufhebt oder (iii) nach billigem Ermessen von Google keine wesentlichen nachteiligen Auswirkungen für den Kunden hat.

7.2 Änderungen bei URLs

Google kann gelegentlich Änderungen an den in diesen Datenverarbeitungsbedingungen erwähnten URLs sowie den unter diesen URLs verfügbaren Inhalten vornehmen.

7.3 Benachrichtigung über Änderungen

Wenn Google beabsichtigt, diese Datenverarbeitungsbedingungen gemäß Paragraf 7.1(b) zu ändern, und diese Änderung nach billigem Ermessen von Google wesentliche nachteilige Auswirkungen für den Kunden hat, unternimmt Google wirtschaftlich vernünftige Anstrengungen, um den Kunden mindestens 30 Tage vor dem Inkrafttreten der Änderung zu informieren (oder innerhalb einer kürzeren Frist, falls dies nach anwendbarem Recht, anwendbaren Verordnungen, aufgrund einer Gerichtsentscheidung oder aufgrund von Vorgaben einer staatlichen Regulierungs- oder Aufsichtsbehörde erforderlich ist). Wenn der Kunde mit einer solchen Änderung nicht einverstanden ist, kann er die Datenfreigabeeinstellung deaktivieren.

---

8. Zusätzliche Bestimmungen

8.1

Dieser Paragraf 8 (Zusätzliche Bestimmungen) ist nur wirksam, wenn Google keine Partei der Vereinbarung ist.

8.2

Alle Parteien kommen ihren Verpflichtungen im Rahmen dieser Datenverarbeitungsbedingungen mit angemessener Sachkenntnis und Sorgfalt nach.

8.3

Keine der Parteien wird die vertraulichen Informationen der jeweils anderen Partei ohne vorherige schriftliche Einwilligung der anderen Partei nutzen oder offenlegen, es sei denn, dies geschieht zur Ausübung von Rechten oder zur Erfüllung der Verpflichtungen aus diesen Datenverarbeitungsbedingungen oder ist aufgrund von Gesetzen, einer Verordnung oder einer Gerichtsentscheidung erforderlich. In diesen Fällen setzt die zur Offenlegung vertraulicher Informationen verpflichtete Partei die jeweils andere Partei hierüber so früh wie möglich vor der Offenlegung der vertraulichen Informationen in Kenntnis.

8.4

Soweit gemäß anwendbarem Recht zulässig und sofern in diesen Datenverarbeitungsbedingungen nicht ausdrücklich anders angegeben, übernimmt Google keine sonstige Garantie, weder ausdrücklich noch stillschweigend, gesetzlich oder anderweitig. Dies gilt ohne Begrenzung für Gewährleistungen hinsichtlich der Gebrauchstauglichkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten.

8.5

Keine Partei ist haftbar für die Nichterfüllung oder für Verzögerungen bei der Erfüllung, soweit dies durch Umstände verursacht wird, die außerhalb ihrer angemessenen Kontrolle liegen.

8.6

Sollten Bestimmungen dieser Datenverarbeitungsbedingungen ganz oder teilweise unwirksam, rechtswidrig oder nicht durchsetzbar sein, bleiben die übrigen Bestimmungen dieser Datenverarbeitungsbedingungen wirksam.

8.7

(a) Mit Ausnahme des unten in Absatz (b) Genannten unterliegen diese Datenverarbeitungsbedingungen dem Recht des US-Bundesstaats Kalifornien und sind in Übereinstimmung damit auszulegen; Kollisionsregeln finden keine Anwendung. Sollten ausländische Gesetze, Verordnungen und Vorgaben nicht mit denen des US-Bundesstaats Kalifornien vereinbar sein, gelten die kalifornischen Gesetze, Verordnungen und Vorgaben. Die Parteien erkennen die ausschließliche Gerichtsbarkeit und Personenzuständigkeit der Gerichte von Santa Clara County, Kalifornien, an. Für diese Datenverarbeitungsbedingungen gelten nicht die Bestimmungen des UN-Kaufrechts (CISG) sowie des Uniform Computer Information Transactions Act.

(b) Wenn der Kunde die Vereinbarung mit einem Drittanbieter-Reseller eingegangen und der Drittanbieter-Reseller in Europa, im Nahen Osten oder in Afrika ansässig ist, unterliegen diese Datenverarbeitungsbedingungen dem englischen Recht. Alle Parteien unterwerfen sich im Falle von vertraglichen und außervertraglichen Anfechtungen, die sich aufgrund von oder in Verbindung mit diesen Datenverarbeitungsbedingungen ergeben, der ausschließlichen Gerichtsbarkeit der englischen Gerichte.

(c) Falls die Standardvertragsklauseln für Datenverantwortliche Anwendung finden und sich das geltende Recht somit von dem oben in Absatz (a) und (b) Genannten unterscheidet, gilt hinsichtlich der Standardvertragsklauseln für Datenverantwortliche ausschließlich das darin genannte geltende Recht.

(d) Für diese Datenverarbeitungsbedingungen gelten nicht die Bestimmungen des UN-Kaufrechts (CISG) sowie des Uniform Computer Information Transactions Act.

8.8

Alle Mitteilungen zur Kündigung oder zu Verletzungen müssen auf Englisch und schriftlich an die Rechtsabteilung der anderen Partei gerichtet werden. Die Adresse für Mitteilungen an die Rechtsabteilung von Google lautet legal-notices@google.com. Mitteilungen gelten als eingegangen, sofern bzw. sobald sie mit einer schriftlichen oder automatischen Eingangsbestätigung oder mit einem elektronischen Protokoll bestätigt werden (je nach zutreffendem Fall).

8.9

Keine Partei wird so behandelt, als habe sie auf irgendwelche Rechte verzichtet, wenn sie irgendein Recht im Rahmen dieser Datenverarbeitungsbedingungen nicht oder verzögert ausübt. Keine Partei kann irgendeinen Teil dieser Datenverarbeitungsbedingungen ohne die schriftliche Einwilligung der anderen Partei übertragen, außer an ein Zweigunternehmen, wobei: (a) der Rechtsnachfolger diesen Datenverarbeitungsbedingungen schriftlich zugestimmt haben muss, (b) die übertragende Partei für die Einhaltung der Verpflichtungen gemäß diesen Datenverarbeitungsbedingungen haftbar bleibt, wenn der Rechtsnachfolger sie nicht erfüllt, (c) die übertragende Partei (sofern es sich um einen Kunden handelt) dem Rechtsnachfolger ihre Konten für die Messdienste überlassen haben muss und (d) die übertragende Partei die andere Partei von der Übertragung in Kenntnis gesetzt haben muss. Jeder andere Versuch einer Übertragung ist ungültig.

8.10

Die Parteien sind selbständige Unternehmer. Durch diese Datenverarbeitungsbedingungen entsteht kein Agenturverhältnis, keine Partnerschaft und kein Joint Venture zwischen den Parteien. Diese Datenverarbeitungsbedingungen gewähren Dritten keine Vorteile, es sei denn, dies wird ausdrücklich erwähnt.

8.11

Soweit dies nach anwendbarem Recht zulässig ist, enthalten diese Datenverarbeitungsbedingungen sämtliche Bestimmungen, auf die sich die Parteien geeinigt haben. Beim Abschluss dieser Datenverarbeitungsbedingungen hat sich keine Partei auf Erklärungen, Zusicherungen oder Garantien (ob fahrlässig oder arglos) verlassen und keine Partei hat diesbezüglich Rechte oder Rechtsbehelfe mit Ausnahme derjenigen, die ausdrücklich in diesen Datenverarbeitungsbedingungen angegeben sind.

---

Anhang 1: Zusatzbedingungen für anwendbare Datenschutzgesetze

TEIL A: ZUSATZBEDINGUNGEN FÜR EUROPÄISCHE DATENSCHUTZVORSCHRIFTEN

1. Einführung

Dieser Anhang 1A gilt nur, soweit die europäischen Datenschutzvorschriften auf die Verarbeitung personenbezogener Daten eines Verantwortlichen Anwendung finden.

2. Begriffsbestimmungen

2.1 In diesem Anhang 1A gilt:

Land mit angemessenem Datenschutzniveau bezeichnet:

• (a) bei Datenverarbeitung, die der EU-DSGVO unterliegt: den EWR oder ein Land oder Gebiet, das gemäß der EU-DSGVO einen angemessenen Datenschutz gewährleistet.
• (b) bei Datenverarbeitung, die der UK GDPR unterliegt: das Vereinigte Königreich oder ein Land oder Gebiet, das gemäß der UK GDPR und dem Data Protection Act 2018 einen angemessenen Schutz gewährleistet.
• (c) bei Datenverarbeitung, die dem Schweizer Datenschutzgesetz unterliegt: die Schweiz oder ein Land oder Gebiet, das (i) in der vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten veröffentlichten Liste der Staaten aufgeführt ist, deren Gesetzgebung ein angemessenes Schutzniveau gewährleistet, oder das (ii) vom Bundesrat der Schweiz anerkannt ein angemessenes Schutzniveau gemäß Schweizer Datenschutzgesetz gewährleistet. In beiden Fällen darf der Datenschutz nicht nur auf Grundlage eines optionalen Datenschutzsystems gewährleistet sein.

Alternative Übertragungslösung bezeichnet eine andere Lösung als die Standardvertragsklauseln für Datenverantwortliche, die die rechtmäßige Übermittlung personenbezogener Daten in ein Drittland gemäß europäischen Datenschutzvorschriften ermöglicht, z. B. ein Datenschutzsystem, das anerkanntermaßen dafür sorgt, dass teilnehmende Rechtssubjekte einen angemessenen Schutz gewährleisten.

Standardvertragsklauseln für Datenverantwortliche bezeichnet die Bedingungen unter business.safety.google/adscontrollerterms/sccs/c2c.

EWR bezeichnet den Europäischen Wirtschaftsraum.

Europäischer Verantwortlicher für die Verarbeitung von personenbezogenen Daten bezeichnet den Verantwortlichen für die Verarbeitung von personenbezogenen Daten, der im Europäischen Wirtschaftsraum oder der Schweiz ansässig ist.

Europäisches Recht bezeichnet, soweit anwendbar: (a) das Recht der EU oder der EU-Mitgliedstaaten (wenn die EU-DSGVO für die Verarbeitung von personenbezogenen Daten eines Verantwortlichen gilt), (b) das Recht des Vereinigten Königreichs oder eines Teils des Vereinigten Königreichs (wenn die UK GDPR für die Verarbeitung von personenbezogenen Daten eines Verantwortlichen gilt) und (c) das Recht der Schweiz (wenn das Schweizer Datenschutzgesetz für die Verarbeitung von personenbezogenen Daten eines Verantwortlichen gilt).

Google-Endverantwortliche bezeichnet die Personen, die letztendlich für die personenbezogenen Daten eines Verantwortlichen verantwortlich sind, welche von Google verarbeitet werden.

Zulässige europäische Übermittlungen bezeichnet die Verarbeitung personenbezogener Daten eines Verantwortlichen in einem Land mit angemessenem Datenschutzniveau oder die Übermittlung dieser Daten in ein solches Land.

Eingeschränkte europäische Übermittlungen bezeichnet Übermittlungen personenbezogener Daten eines Verantwortlichen, die (a) den europäischen Datenschutzvorschriften unterliegen und (b) keine zulässigen europäischen Übermittlungen sind.

Personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich bezeichnet personenbezogene Daten eines Verantwortlichen, wenn die betroffenen Personen im Vereinigten Königreich ansässig sind.

2.2 Die Begriffe Datenimporteur und Datenexporteur haben die in den Standardvertragsklauseln für Datenverantwortliche festgelegte Bedeutung.

3. Google-Endverantwortliche

Google-Endverantwortlicher ist (i) bei personenbezogenen Daten eines europäischen Verantwortlichen, die von Google verarbeitet werden, Google Ireland Limited bzw. (ii) bei personenbezogenen Daten eines Verantwortlichen aus dem Vereinigten Königreich, die von Google verarbeitet werden, Google LLC. Jede Partei sorgt dafür, dass sich ihre Endverantwortlichen an die Standardvertragsklauseln für Datenverantwortliche halten (sofern anwendbar).

4. Datenübermittlungen

4.1 Eingeschränkte europäische Übermittlungen. Jede Partei kann eingeschränkte europäische Übermittlungen durchführen, sofern sie die Bestimmungen für eingeschränkte europäische Übermittlungen in den europäischen Datenschutzvorschriften einhält.

4.2 Alternative Übertragungslösung.

• (a) Wenn Google eine alternative Übertragungsslösung für eingeschränkte europäische Übermittlungen anbietet, dann (i) gewährleistet Google, dass solche eingeschränkten europäischen Übermittlungen gemäß dieser alternativen Übertragungslösung erfolgen, und (ii) gilt Paragraf 5 (Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A für solche eingeschränkten europäischen Übermittlungen nicht.
• (b) Wenn Google keine alternative Übertragungslösung für eingeschränkte europäische Übermittlungen anbietet oder den Kunden darüber informiert, dass eine solche Lösung nicht mehr zur Verfügung gestellt wird, dann gilt Paragraf 5 (Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A für solche eingeschränkten europäischen Übermittlungen.

4.3 Bestimmungen für die Weiterübermittlung.

• (a) Anwendbarkeit von Paragraf 4.3. Die Paragrafen 4.3 (b) (Verwendung von personenbezogenen Daten eines Datenanbieters) und 4.3 (c) (Schutz von personenbezogenen Daten eines Datenanbieters) in diesem Anhang 1A gelten nur, soweit:
  • (i) eine Partei (der Datenempfänger) personenbezogene Daten eines Verantwortlichen verarbeitet, die von der anderen Partei (dem Datenanbieter) im Zusammenhang mit der Vereinbarung zur Verfügung gestellt werden (solche personenbezogenen Daten eines Verantwortlichen werden im Folgenden als personenbezogene Daten eines Datenanbieters bezeichnet),
  • (ii) der Datenanbieter oder dessen Zweigunternehmen im Rahmen einer alternativen Übertragungslösung zertifiziert sind und
  • (iii) der Datenanbieter den Datenempfänger schriftlich über die Zertifizierung im Rahmen einer alternativen Übertragungslösung in Kenntnis setzt.
• (b) Verwendung von personenbezogenen Daten eines Datenanbieters
  • (i) Soweit eine anwendbare alternative Übertragungslösung Grundsätze für eine Weiterübermittlung einschließt, verwendet der Datenempfänger gemäß diesen im Rahmen der alternativen Übertragungslösung geltenden Grundsätzen für eine Weiterübermittlung die personenbezogenen Daten eines Datenanbieters nur wie in der Einwilligung der entsprechenden betroffenen Personen des Verantwortlichen vorgesehen.
  • (ii) Sollte der Datenanbieter die Einwilligung der entsprechenden betroffenen Personen eines Datenverantwortlichen nicht wie in der Vereinbarung vorgeschrieben einholen, gilt das seitens des Datenempfängers nicht als Verstoß gegen Paragraf 4.3 (b)(i), wenn der Datenempfänger die personenbezogenen Daten des Datenanbieters in Übereinstimmung mit der erforderlichen Einwilligung verwendet.
• (c) Schutz von personenbezogenen Daten eines Datenanbieters
  • (i) Der Datenempfänger gewährleistet für personenbezogene Daten eines Datenanbieters ein Schutzniveau, das mindestens den in der anwendbaren alternativen Übertragungslösung formulierten Anforderungen entspricht.
  • (ii) Sollte der Datenempfänger feststellen, dass er die Einhaltung von Paragraf 4.3 (c)(i) nicht gewährleisten kann, wird er (A) den Datenanbieter schriftlich darüber informieren und (B) entweder die Verarbeitung personenbezogener Daten des Datenanbieters einstellen oder angemessene und geeignete Maßnahmen ergreifen, damit die Anforderunges des Paragrafen erfüllt werden.
• (d) Einführung und Zertifizierung von alternativen Übertragungslösungen. Informationen zur Einführung alternativer Übertragungslösungen durch Google und/oder dessen Zweigunternehmen sowie zur Zertifizierung im Rahmen solcher Lösungen finden Sie unter https://policies.google.com/privacy/frameworks. Dieser Paragraf 4.3 (d) gilt als schriftliche Mitteilung im Sinne von Paragraf 4.3 (a)(iii) bezüglich der Zertifizierungen von Google und/oder dessen Zweigunternehmen zum Zeitpunkt des Inkrafttretens der Bedingungen.

5. Standardvertragsklauseln für Datenverantwortliche

5.1 Übermittlung personenbezogener Daten eines europäischen Verantwortlichen an den Kunden. Wenn:

• (a) Google personenbezogene Daten eines europäischen Verantwortlichen an den Kunden übermittelt und
• (b) die Übermittlung eine eingeschränkte europäische Übermittlung ist, wird vorausgesetzt, dass der Kunde als Datenimporteur die Standardvertragsklauseln für Datenverantwortliche mit Google Ireland Limited (dem zuständigen Google-Endverantwortlichen) als Datenexporteur akzeptiert hat und die Übermittlungen diesen Standardvertragsklauseln unterliegen.

5.2 Übermittlung personenbezogener Daten eines Verantwortlichen aus dem Vereinigten Königreich an den Kunden. Wenn:

• (a) Google personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich an den Kunden übermittelt und
• (b) die Übermittlung eine eingeschränkte europäische Übermittlung ist, wird vorausgesetzt, dass der Kunde als Datenimporteur die Standardvertragsklauseln für Datenverantwortliche mit Google LLC (dem zuständigen Google-Endverantwortlichen) als Datenexporteur akzeptiert hat und die Übermittlungen diesen Standardvertragsklauseln unterliegen.

5.3 Übermittlung personenbezogener Daten eines europäischen Verantwortlichen an Google. Die Parteien erkennen Folgendes an: Wenn der Kunde personenbezogene Daten eines europäischen Verantwortlichen an Google übermittelt, sind keine Standardvertragsklauseln für Datenverantwortliche erforderlich, weil Google Ireland Limited (der zuständige Google-Endverantwortliche) in einem Land mit angemessenem Datenschutzniveau ansässig ist und solche Übermittlungen zulässige europäische Übermittlungen sind. Die Verpflichtungen von Google gemäß Paragraf 4.1 (Eingeschränkte europäische Übermittlungen) dieses Anhangs 1A bleiben hiervon unberührt.

5.4 Übermittlung personenbezogener Daten eines Verantwortlichen aus dem Vereinigten Königreich an Google. Wenn der Kunde personenbezogene Daten eines Verantwortlichen aus dem Vereinigten Königreich an Google übermittelt, wird vorausgesetzt, dass der Kunde als Datenexporteur die Standardvertragsklauseln für Datenverantwortliche mit Google LLC (dem zuständigen Google-Endverantwortlichen) als Datenimporteur akzeptiert und die Übermittlungen diesen Standardvertragsklauseln unterliegen. Grund hierfür ist, dass Google LLC nicht in einem Land mit angemessenem Datenschutzniveau ansässig ist.

5.5 Kontaktaufnahme mit Google; Kundendaten.

• (a) Der Kunde kann Google Ireland Limited und/oder Google LLC bezüglich der Standardvertragsklauseln für Datenverantwortliche unter https://support.google.com/policies/troubleshooter/9009584 oder über andere von Google gelegentlich dafür bereitgestellte Möglichkeiten kontaktieren.
• (b) Der Kunde erkennt an, dass Google gemäß den Standardvertragsklauseln für Datenverantwortliche verpflichtet ist, bestimmte Informationen zu speichern. Dazu gehören (i) die Identität und die Kontaktdaten des Datenimporteurs (einschließlich jedes Ansprechpartners, der für den Datenschutz verantwortlich ist) und (ii) die vom Datenimporteur veranlassten technischen und organisatorischen Maßnahmen. Dementsprechend muss der Kunde Google diese Daten nach Aufforderung – und soweit das auf den Kunden anwendbar ist – über von Google eventuell dafür bereitgestellte Möglichkeiten an Google übermitteln. Er muss außerdem dafür sorgen, dass diese Daten jederzeit aktuell und korrekt sind.

5.6 Beantwortung von Anfragen betroffener Personen. Der zuständige Datenimporteur ist für die Beantwortung von Anfragen betroffener Personen und der Aufsichtsbehörde in Bezug auf die Verarbeitung relevanter personenbezogener Daten eines Verantwortlichen durch den Datenimporteur verantwortlich.

5.7 Löschung von Daten bei Kündigung. Wenn:

• (a) Google LLC als Datenimporteur und der Kunde als Datenexporteur gemäß den Standardvertragsklauseln für Datenverantwortliche agiert und
• (b) der Kunde die Vereinbarung gemäß Klausel 16(c) der Standardvertragsklauseln für Datenverantwortliche kündigt, weist der Kunde im Sinne von Klausel 16(d) der Standardvertragsklauseln für Datenverantwortliche Google an, personenbezogene Daten eines Verantwortlichen zu löschen. Wenn das europäische Recht keine Speicherung vorschreibt, ermöglicht Google die Löschung so schnell wie möglich und soweit dies im angemessenen Rahmen durchführbar ist. Dabei ist zu berücksichtigen, dass Google ein unabhängiger Verantwortlicher für diese Daten ist. Außerdem sind Art und Funktionen der Messdienste zu beachten.

6. Haftung bei Anwendbarkeit der Standardvertragsklauseln für Datenverantwortliche

Wenn die Standardvertragsklauseln für Datenverantwortliche gemäß Paragraf 5 (Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A Anwendung finden, dann unterliegt die gemeinsame Gesamthaftung:

• (a) von Google, Google LLC und Google Ireland Limited gegenüber dem Kunden und
• (b) des Kunden gegenüber Google, Google LLC und Google Ireland Limited im Rahmen oder in Verbindung mit der Vereinbarung und den Standardvertragsklauseln für Datenverantwortliche Paragraf 5 (Haftung). Klausel 12 der Standardvertragsklauseln für Datenverantwortliche hat keinen Einfluss auf den vorstehenden Satz.

7. Begünstigte Dritte

Sind Google LLC und/oder Google Ireland Limited keine Partei der Vereinbarung, aber eine Partei der anwendbaren Standardvertragsklauseln für Datenverantwortliche gemäß Paragraf 5 (Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A, gelten Google LLC und/oder Google Ireland Limited (je nach Anwendungsfall) als begünstigte Dritte im Hinblick auf Paragraf 4.4 (Endverantwortliche) sowie Paragraf 3 (Google-Endverantwortliche), Paragraf 5 (Standardvertragsklauseln für Datenverantwortliche) und Paragraf 6 (Haftung bei Anwendbarkeit der Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A. Sollte Paragraf 7 (Begünstigte Dritte) einer anderen Klausel in der Vereinbarung widersprechen oder damit in Konflikt stehen, findet Paragraf 7 (Begünstigte Dritte) Anwendung.

8. Vorrang

8.1 Im Falle von Konflikten oder Widersprüchen zwischen den Standardvertragsklauseln für Datenverantwortliche, diesem Anhang 1A, den übrigen Bestimmungen dieser Datenverarbeitungsbedingungen und/oder den übrigen Bestimmungen der Vereinbarung haben die Standardvertragsklauseln für Datenverantwortliche Vorrang.

8.2 Zusätzliche Wirtschaftsklauseln. Mit Ausnahme von Änderungsvereinbarungen zu diesen Datenverarbeitungsbedingungen bleibt die Vereinbarung bindend. Die Paragrafen 5.5 (Kontaktaufnahme mit Google) bis 5.7 (Löschung von Daten bei Kündigung) und Paragraf 6 (Haftung bei Anwendbarkeit der Standardvertragsklauseln für Datenverantwortliche) dieses Anhangs 1A sind zusätzliche Wirtschaftsklauseln in Bezug auf die Standardvertragsklauseln für Datenverantwortliche, die gemäß Klausel 2 (a) (Auswirkungen und Unveränderlichkeit der Klauseln) der Standardvertragsklauseln für Datenverantwortliche zulässig sind.

8.3 Keine Änderung der Standardvertragsklauseln für Datenverantwortliche. Keine Bestimmung der Vereinbarung (einschließlich dieser Datenverarbeitungsbedingungen) ändert die Standardvertragsklauseln für Datenverantwortliche oder widerspricht ihnen. Außerdem werden durch diese Bestimmungen nicht die grundlegenden Rechte oder Freiheiten betroffener Personen gemäß den europäischen Datenschutzvorschriften beeinträchtigt.

TEIL B: ZUSATZBEDINGUNGEN FÜR US-BUNDESSTAATLICHE DATENSCHUTZGESETZE

1. Einführung

Google bietet unter Umständen bestimmte produktinterne Einstellungen, Konfigurationen oder andere Funktionen in Messdiensten an, die vom Kunden aktiviert werden können und bei denen eventuell die eingeschränkte Datenverarbeitung zum Tragen kommt, wie in den gelegentlich aktualisierten begleitenden Dokumenten unter business.safety.google/rdp beschrieben (eingeschränkte Datenverarbeitung). Anhang 1B enthält die Vereinbarungen der Parteien in Bezug auf die Verarbeitung personenbezogener Kundendaten und de-identifizierter Daten (wie unten definiert) gemäß der Vereinbarung und in Verbindung mit den Datenschutzgesetzen von US-Bundesstaaten. Dieser Anhang ist nur insoweit wirksam, wie das Datenschutzgesetz des jeweiligen US-Bundesstaats Anwendung findet.

2. Zusätzliche Begriffsbestimmungen und Auslegung

In diesem Anhang 1B gilt:

• (a) Personenbezogene Kundendaten bezeichnet personenbezogene Daten, die im Auftrag des Kunden durch Google im Rahmen der Bereitstellung von Messdiensten verarbeitet werden.
• (b) De-identifizierte Daten bezeichnet Daten, die „de-identifiziert“ – wie durch das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act, CCPA) und andere Datenschutzgesetze von US-Bundesstaaten definiert – sind, wenn sie von einer Partei für die andere Partei offengelegt werden.
• (c) Weisungen bezeichnet alle Weisungen, mit denen der Kunde Google anweist, personenbezogene Kundendaten nur in Übereinstimmung mit US-bundesstaatlichen Datenschutzgesetzen zu verarbeiten, (a) um Dienste mit eingeschränkter Datenverarbeitung und entsprechenden technischen Support bereitzustellen, (b) wie näher spezifiziert durch die Nutzung von Diensten mit eingeschränkter Datenverarbeitung durch den Kunden (einschließlich deren Einstellungen und anderer Funktionen) und die Inanspruchnahme entsprechenden technischen Supports durch den Kunden, (c) wie in Form der Vereinbarung dokumentiert (einschließlich dieses Anhangs 1B), (d) wie weiter in anderen schriftlichen Weisungen des Kunden dokumentiert, die von Google als Weisungen für die Zwecke dieses Anhangs 1B anerkannt werden, und (e) um personenbezogene Kundendaten gemäß US-bundesstaatlicher Datenschutzgesetze für Dienstanbieter und Auftragsverarbeiter zu verarbeiten.
• (d) Dienste mit eingeschränkter Datenverarbeitung bezeichnet Verantwortlichendienste im Rahmen der eingeschränkten Datenverarbeitung.
• (e) Laufzeit bezeichnet den Zeitraum zwischen dem Datum des Inkrafttretens der Bedingungen und dem Ende der Bereitstellung der Messdienste durch Google gemäß der Vereinbarung.
• (f) Die Begriffe Unternehmen, Verbraucher, personenbezogene Daten, Verkauf, verkaufen, Dienstanbieter und weitergeben haben in diesem Anhang 1B die in den Datenschutzgesetzen von US-Bundesstaaten festgelegte Bedeutung.
• (g) Der Kunde ist allein dafür verantwortlich, bei der Nutzung von Google-Diensten (einschließlich der eingeschränkten Datenverarbeitung) die Datenschutzgesetze von US-Bundesstaaten einzuhalten.

3. Bestimmungen der Datenschutzgesetze von US-Bundesstaaten (im Rahmen der eingeschränkten Datenverarbeitung)

3.1 Verarbeitung von Daten.

3.1.1

• (a) Verantwortlichkeiten des Auftragsverarbeiters und des Verantwortlichen. Die Parteien bestätigen und erklären sich damit einverstanden, dass:
  • (i) Paragraf 7 (Gegenstand und Details der Datenverarbeitung gemäß US-bundesstaatlichen Datenschutzgesetzen) dieses Anhangs 1B den Gegenstand und die Details der Verarbeitung von personenbezogenen Kundendaten beschreibt,
  • (ii) Google ein Dienstanbieter und Auftragsverarbeiter von personenbezogenen Kundendaten gemäß den US-bundesstaatlichen Datenschutzgesetzen ist und
  • (iii) der Kunde, je nach Anwendungsfall, Verantwortlicher für personenbezogene Kundendaten oder Auftragsverarbeiter von personenbezogenen Kundendaten gemäß den US-bundesstaatlichen Datenschutzgesetzen ist.
• (b) Kunden als Auftragsverarbeiter. Wenn der Kunde ein Auftragsverarbeiter ist, gilt:
  • (i) Der Kunde gewährleistet, dass der jeweilige Verantwortliche Folgendes genehmigt hat: (A) die Weisungen, (B) die Ernennung von Google zum weiteren Auftragsverarbeiter durch den Kunden und (C) die Beauftragung von Unterauftragnehmern durch Google wie in Paragraf 3.6 (Unterauftragnehmer) dieses Anhangs 1B beschrieben.
  • (ii) Der Kunde leitet jede Mitteilung, die Google gemäß den Paragrafen 3.3.2 (a) (Meldung eines Vorfalls) und 3.6 (Unterauftragnehmer) zur Verfügung stellt, unverzüglich an den zuständigen Verantwortlichen weiter.
  • (iii) Der Kunde kann dem zuständigen Verantwortlichen alle Informationen weiterleiten, die Google gemäß den Paragrafen 3.3.3 (c) (Auditrechte des Kunden) und 3.6 (Unterauftragnehmer) zur Verfügung stellt.

3.2.1 Weisungen des Kunden. Durch Zustimmung zu diesem Anhang 1B weist der Kunde Google an, personenbezogene Kundendaten nur in Übereinstimmung mit den Weisungen zu verarbeiten.

3.1.3 Einhaltung der Weisungen durch Google. Google wird die Weisungen befolgen, es sei denn, dies ist durch US-bundesstaatliche Datenschutzgesetze untersagt.

3.1.4 Zusätzliche Produkte. Wenn der Kunde von Google oder einem Drittanbieter bereitgestellte Produkte, Dienste oder Anwendungen nutzt, die: (a) nicht zu den Diensten mit eingeschränkter Datenverarbeitung gehören und (b) über die Benutzeroberfläche der Dienste mit eingeschränkter Datenverarbeitung zugänglich oder auf andere Weise in die Dienste mit eingeschränkter Datenverarbeitung integriert sind („zusätzliche Produkte“), gewähren die Dienste mit eingeschränkter Datenverarbeitung diesen zusätzlichen Produkten möglicherweise Zugriff auf personenbezogene Kundendaten, falls dies für die Interoperabilität zwischen den zusätzlichen Produkten und den Diensten mit eingeschränkter Datenverarbeitung erforderlich ist. Zur Klarstellung: Dieser Anhang 1B gilt nicht für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung von zusätzlichen Produkten, die vom Kunden verwendet werden, einschließlich personenbezogener Daten, die an solche oder von solchen zusätzlichen Produkten übertragen werden.

3.2 Datenlöschung nach Ablauf der Laufzeit. Der Kunde weist Google an, am Ende der Laufzeit alle verbliebenen personenbezogenen Kundendaten (einschließlich vorhandener Kopien) gemäß dem anwendbaren Recht aus den Systemen von Google zu löschen. Google wird dieser Weisung so bald wie möglich und innerhalb von maximal 180 Tagen nachkommen, sofern anwendbares Recht keine Speicherung vorschreibt.

3.3 Datensicherheit.

3.3.1 Sicherheitsmaßnahmen und Unterstützung von Google.

• (a) Sicherheitsmaßnahmen von Google. Google implementiert und unterhält technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Kundendaten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff (Sicherheitsmaßnahmen). Die Sicherheitsmaßnahmen umfassen Maßnahmen (i) zur Verschlüsselung personenbezogener Daten, (ii) zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste von Google, (iii) zur zeitnahen Wiederherstellung des Zugriffs auf personenbezogene Daten nach einem Vorfall sowie (iv) zur regelmäßigen Wirksamkeitsprüfung. Google kann die Sicherheitsmaßnahmen gelegentlich aktualisieren oder ändern, sofern solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der Gesamtsicherheit der personenbezogenen Kundendaten führen.
• (b) Zugriff und Einhaltung. Google gewährleistet, dass alle Personen, die zur Verarbeitung personenbezogener Kundendaten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
• (c) Sicherheitsunterstützung von Google. Google wird (unter Berücksichtigung der Art der Verarbeitung personenbezogener Kundendaten und der Google zur Verfügung stehenden Informationen) den Kunden bei der Einhaltung von dessen Verpflichtungen (oder, wenn der Kunde ein Auftragsverarbeiter ist, der Verpflichtungen des entsprechenden Verantwortlichen) im Hinblick auf die Sicherheit personenbezogener Daten und Verletzungen des Schutzes personenbezogener Daten unterstützen. Dies gilt auch für Verpflichtungen des Kunden (oder, wenn der Kunde ein Auftragsverarbeiter ist, für Verpflichtungen des entsprechenden Verantwortlichen) im Hinblick auf die Sicherheit personenbezogener Daten und Verletzungen des Schutzes personenbezogener Daten gemäß US-bundesstaatlichen Datenschutzgesetzen. Die Unterstützung erfolgt in Form der folgenden Maßnahmen:
  • (i) Implementierung und Aufrechterhaltung der Sicherheitsmaßnahmen gemäß Paragraf 3.3.1 (a) (Sicherheitsmaßnahmen von Google),
  • (ii) Einhaltung der Bestimmungen von Paragraf 3.3.2 (Datenvorfälle) und
  • (iii) Gewährung der Kundenrechte gemäß Paragraf 3.3.3 (c) (Auditrechte des Kunden).

3.3.2 Datenvorfälle

• (a) Benachrichtigung über Vorfälle. Wenn Google von einem Datenvorfall (wie unten definiert) erfährt, wird Google: (i) den Kunden unverzüglich über den Datenvorfall informieren und (ii) unverzüglich angemessene Schritte ergreifen, um Schäden zu minimieren und personenbezogene Kundendaten zu schützen. In diesem Anhang 1B bezeichnet Datenvorfall eine Verletzung der Sicherheit von Google, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf personenbezogene Kundendaten in Systemen führt, die von Google verwaltet oder anderweitig kontrolliert werden. Nicht als Datenvorfälle gelten erfolglose Versuche oder Aktivitäten, die die Sicherheit von personenbezogenen Kundendaten nicht beeinträchtigen, einschließlich fehlgeschlagener Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
• (b) Zustellung der Benachrichtigung. Google stellt Benachrichtigungen über Datenvorfälle an die E-Mail-Adresse zu, die der Kunde über die Benutzeroberfläche der Dienste mit eingeschränkter Datenverarbeitung oder über andere von Google bereitgestellte Möglichkeiten als Empfangsadresse für bestimmte Benachrichtigungen von Google im Rahmen dieses Anhangs 1B angegeben hat (Benachrichtigungs-E-Mail-Adresse). Solche Benachrichtigungen können nach freiem Ermessen von Google (einschließlich in Fällen, wenn der Kunde keine Benachrichtigungs-E-Mail-Adresse angegeben hat) auch auf anderen direkten Kommunikationswegen zugestellt werden (zum Beispiel per Telefon, E-Mail oder persönlich). Der Kunde ist allein dafür verantwortlich, die Benachrichtigungs-E-Mail-Adresse anzugeben und zu gewährleisten, dass die Benachrichtigungs-E-Mail-Adresse aktuell und gültig ist.
• (c) Benachrichtigung Dritter. Der Kunde ist allein dafür verantwortlich, für ihn geltende Gesetze hinsichtlich der Benachrichtigung über Vorfälle einzuhalten und bei Datenvorfällen Benachrichtigungsverpflichtungen gegenüber Dritten nachzukommen.
• (d) Keine Anerkennung eines Verschuldens durch Google. Benachrichtigungen von Google über oder Reaktionen von Google auf einen Datenvorfall gemäß diesem Paragrafen 3.3.2 (Datenvorfälle) gelten nicht als Anerkennung eines Verschuldens oder einer Haftung durch Google in Bezug auf den Datenvorfall.

3.3.3. Sicherheitsverantwortung und Sicherheitsbewertung des Kunden

• (a) Sicherheitsverantwortung des Kunden. Vorbehaltlich der Verpflichtungen von Google gemäß den Paragrafen 3.3.1 (Sicherheitsmaßnahmen und Unterstützung von Google) und 3.3.2 (Datenvorfälle) stimmt der Kunde Folgendem zu:
  • (i) Der Kunde ist für seine Nutzung der Dienste mit eingeschränkter Datenverarbeitung verantwortlich. Dies schließt Folgendes ein: (1) Nutzung der Dienste mit eingeschränkter Datenverarbeitung auf eine angemessene Weise, die ein in Bezug auf die personenbezogenen Kundendaten angemessenes Sicherheitsniveau gewährleistet, und (2) Absicherung der Anmeldedaten zur Kontoauthentifizierung, der Systeme und der Geräte, die der Kunde für den Zugriff auf die Dienste mit eingeschränkter Datenverarbeitung verwendet.
  • (ii) Google ist nicht zum Schutz von personenbezogenen Kundendaten verpflichtet, die der Kunde außerhalb der Systeme von Google und dessen Unterauftragnehmern speichert oder die der Kunde an solche Systeme überträgt.
• (b) Sicherheitsbewertung des Kunden. Der Kunde erkennt an und stimmt zu, dass die von Google implementierten und aufrechterhaltenen Sicherheitsmaßnahmen gemäß Paragraf 3.3.1 (a) (Sicherheitsmaßnahmen von Google) ein dem Risiko in Bezug auf personenbezogene Kundendaten angemessenes Maß an Sicherheit bieten (unter Berücksichtigung des Stands der Technik, der Kosten der Implementierung und der Art des Umfangs, des Kontexts und der Zwecke der Verarbeitung von personenbezogenen Kundendaten sowie der Risiken für natürliche Personen).
• (c) Auditrechte des Kunden.
  • (i) Der Kunde kann einen Audit durchführen, um sich zu vergewissern, dass Google seinen Verpflichtungen aus diesem Anhang 1B nachkommt, indem er (1) ein Zertifikat anfordert und überprüft, das als Sicherheitsnachweis ausgestellt wurde und das Ergebnis eines Audits dokumentiert, der innerhalb von 12 Monaten nach der Anfrage durch den Kunden von einem externen Auditor durchgeführt wurde (z. B. eine Zertifizierung nach SOC 2 Typ II oder ISO/IEC 27001, eine vergleichbare Zertifizierung oder eine andere Sicherheitszertifizierung im Rahmen eines Audits, der von einem durch den Kunden und Google zugelassenen externen Auditor durchgeführt wurde), und (2) alle anderen Informationen anfordert und überprüft, die laut Google angemessenerweise notwendig sind, damit der Kunde sich vergewissern kann, dass Google seinen Verpflichtungen nachkommt.
  • (ii) Google kann auch nach eigenem Ermessen und aufgrund einer Anfrage eines Kunden einen externen Auditor damit beauftragen, zu überprüfen, ob Google seinen Verpflichtungen aus diesem Anhang 1B nachkommt. Im Rahmen eines solchen Audits stellt Google dem externen Auditor alle Informationen zur Verfügung, die für einen entsprechenden Nachweis erforderlich sind. Wenn der Kunde einen solchen Audit anfordert, kann Google eine Gebühr (basierend auf den angemessenen Kosten von Google) für den Audit erheben. Google wird dem Kunden vor einem solchen Audit weitere Einzelheiten zu allen anfallenden Gebühren und deren Berechnungsgrundlage mitteilen. Der Kunde ist für alle Gebühren verantwortlich, die von einem vom Kunden benannten externen Auditor für die Durchführung eines solchen Audits berechnet werden.
  • (iii) Nichts in diesem Anhang 1B verpflichtet Google dazu, gegenüber dem Kunden oder einem externen Auditor folgende Informationen offenzulegen oder dem Kunden oder einem externen Auditor den Zugriff auf folgende Informationen zu gewähren:
    • (1) Daten eines anderen Kunden eines Google-Rechtssubjekts,
    • (2) interne Buchhaltungs- oder Finanzdaten eines Google-Rechtssubjekts,
    • (3) Betriebsgeheimnisse eines Google-Rechtssubjekts,
    • (4) jegliche Informationen, die nach angemessener Einschätzung von Google (A) die Sicherheit von Systemen oder Betriebsstätten eines Google-Rechtssubjekts gefährden oder (B) dazu führen könnten, dass ein Google-Rechtssubjekt seine Verpflichtungen gemäß den US-bundesstaatlichen Datenschutzgesetzen verletzt oder gegen seine Sicherheits- bzw. Datenschutzverpflichtungen gegenüber dem Kunden oder Dritten verstößt, oder
    • (5) jegliche Informationen, auf die der Kunde oder der von ihm beauftragte externe Auditor aus Gründen zugreifen möchte, die nicht damit zusammenhängen, die Verpflichtungen des Kunden gemäß den US-bundesstaatlichen Datenschutzgesetzen nach Treu und Glauben zu erfüllen.

3.4 Unterstützung bei Folgenabschätzungen. Google wird (unter Berücksichtigung der Art der Verarbeitung und der Google zur Verfügung stehenden Informationen) den Kunden mit folgenden Maßnahmen bei der Einhaltung der Verpflichtungen des Kunden (oder, wenn der Kunde ein Auftragsverarbeiter ist, der Verpflichtungen des entsprechenden Verantwortlichen) in Zusammenhang mit Datenschutz-Folgenabschätzungen und vorherigen Konsultationen der Aufsichtsbehörde unterstützen, soweit dies im Rahmen der US-bundesstaatlichen Datenschutzgesetze erforderlich ist:

• (a) Bereitstellung der Sicherheitsdokumentation,
• (b) Bereitstellung der in der Vereinbarung enthaltenen Informationen (einschließlich dieses Anhangs 1B) und
• (c) Bereitstellung oder anderweitiges Verfügbarmachen anderer Materialien zu der Art der Dienste mit eingeschränkter Datenverarbeitung und der Datenverarbeitung von personenbezogenen Kundendaten (zum Beispiel Hilfematerialien), jeweils gemäß den Standardverfahren von Google.

3.5 Rechte betroffener Personen.

3.5.1 Beantwortung von Anfragen betroffener Personen. Für den Fall, dass Google von einer betroffenen Person eine Anfrage in Bezug auf personenbezogene Kundendaten erhält, autorisiert der Kunde Google zu dem nachfolgend Genannten und wird hiermit darüber informiert, dass Google in solchen Fällen das nachfolgend Genannte tun wird:

• (a) die Anfrage der betroffenen Person direkt beantworten, gegebenenfalls mithilfe der Standardfunktion eines Tools (Tool für betroffene Personen), das von einem Google-Rechtssubjekt für betroffene Personen zur Verfügung gestellt wird und es Google ermöglicht, bestimmte Anfragen von betroffenen Personen in Bezug auf personenbezogene Kundendaten direkt und in standardisierter Form (zum Beispiel über Einstellungen für Onlinewerbung oder ein Browser-Plug-in zum Deaktivieren von Werbung) zu beantworten (wenn die Anfrage über ein Tool für betroffene Personen erfolgt), oder
• (b) die betroffene Person bitten, ihre Anfrage an den Kunden zu richten, und der Kunde dann für die Beantwortung der Anfrage verantwortlich ist (im Fall, dass die Anfrage nicht über ein Tool für betroffene Personen erfolgt).

3.5.2 Unterstützung durch Google bei Anfragen betroffener Personen. Google wird den Kunden unter Berücksichtigung der Art der Verarbeitung der personenbezogenen Kundendaten bei der Erfüllung seiner Verpflichtungen (oder, wenn der Kunde ein Auftragsverarbeiter ist, den Verpflichtungen des entsprechenden Verantwortlichen) gemäß den US-bundesstaatlichen Datenschutzgesetzen zur Beantwortung von Anfragen unterstützen, mit denen betroffene Personen ihre Rechte ausüben. Die Unterstützung erfolgt durch folgende Maßnahmen:

• (a) Bereitstellung der Funktionen der Dienste mit eingeschränkter Datenverarbeitung,
• (b) Erfüllung der Verpflichtungen aus Paragraf 3.5.1 (Beantwortung von Anfragen betroffener Personen) und
• (c) soweit anwendbar auf die Dienste mit eingeschränkter Datenverarbeitung, Bereitstellung von Tools für betroffene Personen.

3.5.3 Berichtigung. Wenn der Kunde feststellt, dass personenbezogene Kundendaten falsch oder nicht mehr auf dem aktuellen Stand sind, ist er für die Berichtigung oder Löschung dieser Daten verantwortlich, falls dies laut den Datenschutzgesetzen von US-Bundesstaaten vorgeschrieben ist. Hierzu sind gegebenenfalls (sofern verfügbar) die Funktionen der Dienste mit eingeschränkter Datenverarbeitung zu nutzen.

3.6 Unterauftragnehmer.

• (a) Der Kunde gestattet Google grundsätzlich, in Verbindung mit der Bereitstellung der Dienste mit eingeschränkter Datenverarbeitung andere Rechtssubjekte als Unterauftragnehmer zu beauftragen. Bei der Beauftragung eines Unterauftragnehmers wird Google:
  • (i) durch einen schriftlichen Vertrag gewährleisten, dass: (1) der Unterauftragnehmer auf personenbezogene Kundendaten nur in dem Umfang zugreift und sie nur in dem Umfang nutzt, der zur Erfüllung der ihm übertragenen Verpflichtungen erforderlich ist, und dies in Übereinstimmung mit der Vereinbarung (einschließlich dieses Anhangs 1B) tut und (2) dem Unterauftragnehmer die in diesem Anhang 1B beschriebenen Datenschutzverpflichtungen auferlegt werden, wenn für die Verarbeitung personenbezogener Kundendaten die US-bundesstaatlichen Datenschutzgesetze gelten.
  • (ii) den Kunden bei der Beauftragung neuer Unterauftragnehmer über diese Unterauftragnehmer informieren, sofern US-bundesstaatliche Datenschutzgesetze dies vorschreiben, und dem Kunden die Möglichkeit geben, die Unterauftragnehmer abzulehnen, sofern dies von US-bundesstaatlichen Datenschutzgesetze gefordert wird.
  • (iii) voll für alle Verpflichtungen haften, die an den Unterauftragnehmer weitergegeben werden, sowie für alle Handlungen und Unterlassungen von ihm.
• (b) Der Kunde kann den neuen Unterauftragnehmer ablehnen, indem er die Vereinbarung mit sofortiger Wirkung ordentlich kündigt. Diese Kündigung muss innerhalb von 90 Tagen nach der gemäß Paragraf 3.6(a)(ii) erfolgten Benachrichtigung über die Beauftragung des neuen Unterauftragnehmers erfolgen.

3.7 Kontaktaufnahme mit Google. Der Kunde kann Google kontaktieren, um seine Rechte gemäß diesem Anhang 1B auszuüben, entweder über die unter privacy.google.com/businesses/processorsupport beschriebenen Möglichkeiten oder über andere gelegentlich von Google bereitgestellte Möglichkeiten.

4. Bestimmungen der Datenschutzgesetze von US-Bundesstaaten

4.1 De-identifizierte Daten. Wenn personenbezogene Kundendaten verarbeitet werden (mit oder ohne Aktivierung der eingeschränkten Datenverarbeitung) und für die Verarbeitung der personenbezogenen Kundendaten ein oder mehrere Datenschutzgesetze von US-Bundesstaaten gelten, halten alle Parteien die Vorgaben für die Verarbeitung de-identifizierter Daten ein, die in Datenschutzgesetzen von US-Bundesstaaten festgelegt sind. Das gilt für alle de-identifizierten Daten, die die Parteien gemäß der Vereinbarung von der jeweils anderen Partei erhalten. Im Sinne dieses Paragrafen 4.1 (De-identifizierte Daten) bezeichnet „personenbezogene Kundendaten“ alle personenbezogenen Daten, die eine Partei im Rahmen der Vereinbarung im Zusammenhang mit der Bereitstellung oder Nutzung der Messdienste verarbeitet.

5. CCPA-Verpflichtungen von Google

5.1 Wenn personenbezogene Kundendaten bei aktivierter eingeschränkter Datenverarbeitung verarbeitet werden und die Verarbeitung der personenbezogenen Kundendaten unter das CCPA fällt, agiert Google als Dienstanbieter des Kunden, sofern diese Handlungen nicht anderweitig laut CCPA für Dienstanbieter zulässig sind. Dabei gilt nach billigem Ermessen von Google Folgendes:

• (a) Google wird keine personenbezogenen Kundendaten verkaufen oder weitergeben, die Google im Zusammenhang mit der Vereinbarung vom Kunden erhält.
• (b) Google wird keine personenbezogenen Kundendaten aufbewahren, verwenden oder offenlegen (auch nicht außerhalb der direkten Geschäftsbeziehung zwischen Google und dem Kunden), es sei denn, dies geschieht zu CCPA-konformen Geschäftszwecken im Namen des Kunden oder spezifisch zum Zwecke der Bereitstellung der Dienste mit eingeschränkter Datenverarbeitung, wie in der gelegentlich aktualisierten Begleitdokumentation unter business.safety.google/rdp beschrieben.
• (c) Google kombiniert personenbezogene Kundendaten, die Google vom Kunden oder im Namen des Kunden erhält, nicht mit (i) personenbezogenen Daten, die Google von oder im Namen von anderen Personen erhält, oder (ii) personenbezogenen Daten, die bei Interaktionen zwischen Google und Verbrauchern erhoben werden, wie in der Begleitdokumentation unter business.safety.google/rdp näher beschrieben, es sei denn, dies erfolgt in einem laut CCPA gestatteten Rahmen.
• (d) Google verarbeitet solche personenbezogenen Kundendaten spezifisch zum Zwecke der Bereitstellung der Dienste mit eingeschränkter Datenverarbeitung wie in der Vereinbarung und der Begleitdokumentation (z. B. Hilfeartikel) näher beschrieben oder wie anderweitig gemäß CCPA zulässig. Die Parteien stimmen zu, dass der Kunde Google personenbezogene Kundendaten für diese Zwecke zur Verfügung stellt.
• (e) Google gestattet Audits zur Überprüfung der Einhaltung seiner Verpflichtungen aus diesem Anhang 1B gemäß Paragraf 3.3.3 (c) (Auditrechte des Kunden).
• (f) Google informiert den Kunden, sollte festgestellt werden, dass Google die Verpflichtungen gemäß CCPA nicht mehr erfüllen kann. Dieser Paragraf 5.1(f) schränkt nicht die Rechte und Verpflichtungen der beiden Parteien an anderer Stelle der Vereinbarung ein.
• (g) Wenn der Kunde angemessenen Grund zu der Annahme hat, dass Google personenbezogene Kundendaten auf unzulässige Weise verarbeitet, hat er das Recht, Google, wie unter privacy.google.com/businesses/processorsupport beschrieben, zu informieren. Die Parteien arbeiten dann nach Treu und Glauben zusammen, um ggf. eine Lösung für die vermeintlich gegen die Verpflichtungen verstoßenden Verarbeitungsaktivitäten zu finden.
• (h) Google hält die geltenden Verpflichtungen gemäß CCPA ein und bietet das Maß an Datenschutz, das gemäß CCPA vorgeschrieben ist.

5.2 Wenn personenbezogene Kundendaten bei deaktivierter eingeschränkter Datenverarbeitung verarbeitet werden und die Verarbeitung der personenbezogenen Kundendaten unter das CCPA fällt, gilt Folgendes:

• (a) Google verarbeitet personenbezogene Kundendaten zum speziellen Zweck der Ausführung der Messdienste, wie in der Vereinbarung und in begleitenden Dokumenten (z. B. in Hilfeartikeln) näher beschrieben oder wie anderweitig gemäß dem CCPA zulässig. Die Parteien vereinbaren, dass personenbezogene Kundendaten Google für entsprechende Zwecke zur Verfügung gestellt werden.
• (b) Google gestattet Audits zur Überprüfung der Einhaltung seiner Verpflichtungen aus diesem Anhang 1B gemäß Paragraf 3.3.3(c) (Auditrechte des Kunden).
• (c) Google informiert den Kunden, sollte festgestellt werden, dass Google die Verpflichtungen gemäß CCPA nicht mehr erfüllen kann.
• (d) Wenn der Kunde angemessenen Grund zu der Annahme hat, dass Google personenbezogene Kundendaten auf unzulässige Weise verarbeitet, hat er das Recht, Google, wie unter privacy.google.com/businesses/processorsupport beschrieben, zu informieren. Die Parteien arbeiten dann nach Treu und Glauben zusammen, um ggf. eine Lösung für die vermeintlich gegen die Verpflichtungen verstoßenden Verarbeitungsaktivitäten zu finden.
• (e) Google hält die geltenden Verpflichtungen gemäß CCPA ein und bietet das Maß an Datenschutz, das gemäß CCPA vorgeschrieben ist.

6. Änderungen an diesem Anhang 1B

Zusätzlich zu Paragraf 7 der Datenverarbeitungsbedingungen (Änderungen an diesen Datenverarbeitungsbedingungen), sofern anwendbar, kann Google diesen Anhang 1B ohne Vorankündigung ändern, wenn die Änderung (a) auf anwendbarem Recht, anwendbaren Verordnungen, einer Gerichtsentscheidung oder Vorgaben einer staatlichen Regulierungs- oder Aufsichtsbehörde basiert oder (b) nach billigem Ermessen von Google gemäß den Datenschutzgesetzen von US-Bundesstaaten keine wesentlichen nachteiligen Auswirkungen für den Kunden hat.

7. Gegenstand und Details der Datenverarbeitung gemäß Datenschutzgesetzen von US-Bundesstaaten

Google stellt dem Kunden die Dienste mit eingeschränkter Datenverarbeitung sowie entsprechenden technischen Support bereit.

Dauer der Verarbeitung

Die Laufzeit zuzüglich des Zeitraums vom Ende der Laufzeit bis zur Löschung aller personenbezogenen Kundendaten durch Google gemäß Anhang 1B.

Art und Zweck der Verarbeitung

Google wird personenbezogene Kundendaten verarbeiten (sowie, falls im Rahmen der Dienste mit eingeschränkter Datenverarbeitung und der Weisungen erforderlich, erheben, aufzeichnen, organisieren, strukturieren, speichern, verändern, abrufen, verwenden, offenlegen, kombinieren, löschen und zerstören), um dem Kunden die Dienste mit eingeschränkter Datenverarbeitung und entsprechenden technischen Support gemäß Anhang 1B bereitzustellen, oder zu anderweitig gemäß US-bundesstaatlichen Datenschutzgesetzen zulässigen Zwecken.

Arten von personenbezogenen Daten

Personenbezogene Kundendaten können die in den US-bundesstaatlichen Datenschutzgesetzen beschriebenen Arten von personenbezogenen Daten umfassen.

Kategorien betroffener Personen

Personenbezogene Kundendaten betreffen die folgenden Kategorien betroffener Personen:

• Betroffene Personen, über die Google während seiner Bereitstellung der Dienste mit eingeschränkter Datenverarbeitung personenbezogene Daten erhebt, und/oder
• betroffene Personen, über die in Verbindung mit den Diensten mit eingeschränkter Datenverarbeitung auf Weisung oder im Namen des Kunden personenbezogene Daten an Google übertragen werden.

Je nach Art der Dienste mit eingeschränkter Datenverarbeitung können diese betroffenen Personen natürliche Personen umfassen: (a) auf die Onlinewerbung ausgerichtet wurde oder ausgerichtet werden wird, (b) die bestimmte Websites besucht oder bestimmte Anwendungen verwendet haben, für die Google Dienste mit eingeschränkter Datenverarbeitung anbietet, und/oder (c) die Kunden oder Nutzer von Produkten oder Diensten des Kunden sind.

Datenverarbeitungsbedingungen zwischen Verantwortlichen für Messdienste von Google – Version 4.0

Frühere Versionen

1. Januar 2023

21. September 2022

27. September 2021

16. August 2020

12. August 2020

4. November 2019