Zusatz zur Datenverarbeitung​

Zuletzt aktualisiert: 7. Mai 2024

DIESER DATENVERARBEITUNGSZUSATZ („ DPA “) GILT ZWISCHEN WEIGHTS AND BIASES, INC., EINEM UNTERNEHMEN AUS DELAWARE MIT HAUPTSITZ IN 400 ALABAMA STREET, SUITE 202, SAN FRANCISCO, CA 94110 („ W&B “), UND DEM KUNDEN (UNTEN DEFINIERT), WENN DER KUNDE EIN KÄSTCHEN ANKLICKT, UM SEINE ZUSTIMMUNG ZU ZEIGEN, PERSONENBEZOGENE DATEN AN W&B ZUR VERARBEITUNG DURCH EIN W&B-VERMÖGEN ÜBERTRAGT ODER AUF ANDERE WEISE BESTÄTIGT SEINE ZUSTIMMUNG ZU DIESEM DPA ZEIGT. INDEM SIE DIES TUN: (A) STIMMEN SIE DIESER DPA (EINSCHLIESSLICH DER STANDARDVERTRAGSKLAUSELN ZUR KLARHEIT) ENTWEDER IN IHREM SELBST ODER IM NAMEN DER ORGANISATION, DES UNTERNEHMENS ODER EINER ANDEREN JURISTISCHEN PERSON, FÜR DIE SIE HANDELN (JEWEILS EIN „ KUNDE “), ZU ; UND (B) ERKLÄREN SIE, DASS SIE DIE BEFUGNIS HABEN, DEN KUNDEN UND SEINE VERBUNDENEN UNTERNEHMEN AN DIESE DPA ZU BINDEN. WENN SIE NICHT ÜBER DIESE BEFUGNIS VERFÜGEN ODER WENN SIE DIESER DPA NICHT ZUSTIMMEN, DÜRFEN SIE PERSÖNLICHE DATEN WEDER DIREKT NOCH INDIREKT AN W&B ÜBERTRAGEN. W&B BEHÄLT SICH DAS RECHT VOR, DIE BEDINGUNGEN DIESER DPA NACH EIGENEM ERMESSEN ZU ÄNDERN ODER AKTUALISIEREN. DAS DATUM DES INKRAFTTRETENS IST (I) 30 TAGE AB DEM DATUM EINER SOLCHEN AKTUALISIERUNG ODER ÄNDERUNG UND (II) DER FORTGESETZTEN ÜBERTRAGUNG PERSÖNLICHER DATEN DURCH DEN KUNDEN, JE NACHDEM, WELCHER ZEITPUNKT FRÜHER IST.

Diese DPA ist Teil des Master Service Agreement von W&B (verfügbar unter: https://wandb.ai/site/terms ), es sei denn, W&B und der Kunde haben eine separate schriftliche Vereinbarung zur Nutzung des Dienstes geschlossen, nämlich diese andere Vereinbarung Maßgebend ist („ Vereinbarung “) zwischen den Parteien, unter der W&B dem Kunden die W&B-Assets bereitstellt, was die Verarbeitung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen beinhaltet. Der Zweck dieser DPA besteht darin, die Bedingungen festzulegen, unter denen W&B personenbezogene Daten im Auftrag des Kunden verarbeitet.

Diese DPA besteht aus dem Hauptteil und den Anhängen 1 bis 4. Die Annahme dieser DPA umfasst die Annahme der Standardvertragsklauseln (unten definiert) und ihrer Anhänge (siehe Anhang 2 unten).

1. Begriffsbestimmungen

Großgeschriebene Begriffe, die in dieser DPA verwendet werden, aber nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung. Die Begriffe „Verantwortlicher“, „betroffene Person“, „Auftragsverarbeiter“ und „Aufsichtsbehörde“ haben die in den geltenden Datenschutzgesetzen festgelegte Bedeutung.

  1. Anwendbare Datenschutzgesetze “ bezeichnet die Gesetze und Vorschriften zu Privatsphäre, Datenschutz und Datensicherheit aller Rechtsgebiete, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten, einschließlich, aber nicht beschränkt auf europäische Datenschutzgesetze, die britische DSGVO und das CCPA.
  2. CCPA “ bezeichnet den California Consumer Privacy Act von 2018 und alle dazu erlassenen Verordnungen, jeweils in der von Zeit zu Zeit geänderten Fassung, einschließlich des California Privacy Rights Act von 2020 und aller dazu erlassenen Verordnungen. 
  3. EWR “ bezeichnet den Europäischen Wirtschaftsraum. 
  4. Europäische Datenschutzgesetze “ bezeichnet die DSGVO und andere Datenschutzgesetze und -vorschriften des EWR und der Europäischen Union sowie der jeweiligen Mitgliedstaaten, soweit sie auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar sind.
  5. DSGVO “ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Tarifs vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). ). 
  6. Informationssicherheitsvorfall “ bezeichnet einen bestätigten Verstoß gegen die Sicherheit des Unternehmens, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten im Besitz, in der Obhut oder unter der Kontrolle des Unternehmens führt. Nicht als Informationssicherheitsvorfall gelten erfolglose Versuche oder Aktivitäten, die Sicherheit personenbezogener Daten nicht gefährden, darunter erfolglose Anmeldeversuche, Pings, Portscans, Denial-of-Service-Angriffe oder andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme. 
  7. Personenbezogene Daten “ bezeichnet Kundendaten, die „persönliche Daten“, „persönliche Informationen“ oder „persönlich identifizierbare Informationen“ gemäß der Definition der geltenden Datenschutzgesetze darstellen, oder Informationen ähnlicher Art, die dort geregelt sind, vorausgesetzt, dass es sich bei diesen Daten um Es handelt sich um elektronische Daten und Informationen, die vom Kunden oder für den Kunden an die Dienste übermittelt werden. 
  8. Öffentliche Behörde “ bezeichnet eine Regierungsbehörde oder Strafverfolgungsbehörde, einschließlich Justizbehörden. 
  9. Verarbeitung “ oder „ verarbeiten “ bezeichnet jeden mit oder ohne Hilfe automatisierten Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung Veränderung oder, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. 
  10. Sicherheitsmaßnahmen “ sind die Sicherheitsmaßnahmen des Unternehmens, die als administrative, technische und physische Schutzmaßnahmen implementiert und angewendet werden, um die Sicherheit und Integrität personenbezogener Daten zu schützen und Informationssicherheitsvorfälle zu verhindern. Sie werden in Anhang III dieses Dokuments näher beschrieben und umfassen alle weiteren Maßnahmen, die gemäß den geltenden Datenschutzgesetzen erforderlich sind. 
  11. Standardvertragsklauseln “ bezeichnet Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländern gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Tarifs, genehmigt durch den Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021, derzeit zu finden hier: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.
  12. Unterverarbeiter “ oder „ Unterverarbeiter “ bezeichnet jeden Drittverarbeiter, den das Unternehmen mit der Verarbeitung personenbezogener Daten im Zusammenhang mit den Diensten beauftragt. 
  13. UK DSGVO “ bezeichnet das britische Datenschutzgesetz 2018, ergänzt durch Anhang 21, den Keeling Schedule.

2. Dauer und Umfang der DPA

Diese DPA bleibt in Kraft, solange das Unternehmen personenbezogene Daten verarbeitet, ungeachtet des Ablaufs oder der Kündigung der Vereinbarung. Die Anhänge 1 und 2 dieser DPA gelten ausschließlich für Verarbeitungen, die den europäischen Datenschutzgesetzen unterliegen. Anhang 3 dieser DPA gilt ausschließlich für Verarbeitungen, die der britischen DSGVO unterliegen. Anhang 4 dieser DPA gilt ausschließlich für Verarbeitungen, die der CCPA unterliegen, sofern der Kunde in Bezug auf diese Verarbeitung ein „Unternehmen“ (wie in der CCPA definiert) ist.

3. Anweisungen des Kunden

Das Unternehmen verarbeitet personenbezogene Daten nur gemäß den Anweisungen des Kunden an das Unternehmen. Diese DPA ist eine vollständige Fassung dieser Anweisungen, und zusätzliche Anweisungen des Kunden sind für das Unternehmen nur gemäß einer von beiden Parteien unterzeichneten Änderung dieser DPA bindend. Der Kunde weist das Unternehmen an, personenbezogene Daten über die Dienste und wie im Vertrag autorisiert zu verarbeiten. Das Unternehmen informiert den Kunden unverzüglich: (a) wenn seiner Meinung nach eine Anweisung des Kunden einen Verstoß gegen geltende Datenschutzgesetze darstellt; (b) wenn das Unternehmen nicht in der Lage ist, den Anweisungen des Kunden zur Verarbeitung personenbezogener Daten zu folgen; oder (c) wenn das Unternehmen Grund zu der Annahme hat, dass das Unternehmen Änderungen der geltenden Datenschutzgesetze unterliegt, die den Anweisungen des Kunden oder den Bedingungen bzw. Anforderungen dieser DPA entgegenstehen.

4. Sicherheit personenbezogener Daten

  1. Sicherheitsmaßnahmen des Unternehmens . Das Unternehmen kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren, solange die aktualisierten Maßnahmen den allgemeinen Schutz personenbezogener Daten nicht wesentlich verringern.
  2. Informationssicherheitsvorfälle . Das Unternehmen wird den Kunden unverzüglich über alle Informationssicherheitsvorfälle informieren, von denen das Unternehmen Kenntnis erlangt. In solchen Benachrichtigungen werden die verfügbaren Details des Informationssicherheitsvorfalls beschrieben, einschließlich der Schritte, die zur Minderung der potenziellen Risiken unternommen wurden, und der Schritte, die das Unternehmen dem Kunden zur Behebung des Informationssicherheitsvorfalls empfiehlt. Die Benachrichtigung oder Reaktion des Unternehmens über einen Informationssicherheitsvorfall gilt nicht als Anerkennung eines Verschuldens oder einer Haftung des Unternehmens in Bezug auf den Informationssicherheitsvorfall.
  3. Compliance-Audits und Datenschutz-Folgenabschätzungen.

    1. Der Kunde darf die Einhaltung der Verpflichtungen des Unternehmens gemäß dieser DPA höchstens einmal pro Kalenderjahr und bei allen anderen Gelegenheiten, die gemäß den europäischen Datenschutzgesetzen erforderlich sind, einschließlich wenn dies von der Aufsichtsbehörde des Kunden angeordnet wird, auf alleinige Kosten des Kunden und mit einer schriftlichen Vorankündigung von mindestens 15 Tagen prüfen. Eine solche Prüfung muss am Hauptgeschäftssitz des Unternehmens während der regulären Geschäftszeiten durchgeführt werden und darf die Geschäftstätigkeit des Unternehmens nicht unangemessen beeinträchtigen.
    2. Das Unternehmen wird zu jeder Prüfung beitragen, indem es dem Kunden oder der Aufsichtsbehörde des Kunden die Informationen und Unterstützung zur Verfügung stellt, die für die Durchführung der Prüfung angemessen erforderlich sind. Wenn die Prüfung von einem Dritten durchgeführt werden soll, kann das Unternehmen Einwände gegen den Prüfer erheben, wenn dieser nach angemessener Auffassung des Unternehmens nicht unabhängig, ein Konkurrent des Unternehmens oder anderweitig offensichtlich ungeeignet ist. Ein solcher Einwand des Unternehmens erfordert, dass der Kunde einen anderen Prüfer beauftragt oder die Prüfung selbst durchführt.
    3. Wenn die Kontrollen oder Maßnahmen, die in der angeforderten Prüfung bewertet werden sollen, in einem Prüfbericht des Unternehmens gemäß SOC 2 Typ 2, ISO, NIST oder einem ähnlichen Standard behandelt werden, der von einem qualifizierten externen Prüfer innerhalb von zwölf (12) Monaten nach der Prüfungsanforderung des Kunden erstellt wurde, und das Unternehmen bestätigt hat, dass es seit dem Datum eines solchen Berichts keine bekannten wesentlichen Änderungen bei den geprüften Kontrollen gegeben hat, erklärt sich der Kunde damit einverstanden, einen solchen Bericht zu akzeptieren, anstatt eine Prüfung dieser Kontrollen oder Maßnahmen anzufordern.
    4. Der Kunde wird das Unternehmen unverzüglich über alle im Laufe einer Prüfung festgestellten Verstöße informieren und dem Unternehmen alle im Zusammenhang mit einer Prüfung gemäß diesem Abschnitt 4(c) erstellten Prüfberichte zur Verfügung stellen, sofern dies nicht durch europäische Datenschutzgesetze verboten ist oder eine Aufsichtsbehörde dies nicht anderweitig anordnet. Der Kunde darf die Prüfberichte nur verwenden, um seine behördlichen Prüfanforderungen zu erfüllen und/oder die Einhaltung der Anforderungen dieser DPA zu bestätigen.
    5. Der Kunde erstattet dem Unternehmen den Zeitaufwand des Unternehmens und Dritter im Zusammenhang mit Prüfungen oder Inspektionen gemäß diesem Abschnitt 4(c) zu den jeweils aktuellen Tarifen des Unternehmens für professionelle Dienstleistungen, die dem Kunden auf Anfrage zur Verfügung gestellt werden. Der Klarheit halber sei darauf hingewiesen, dass der Kunde für alle Gebühren verantwortlich ist, die von einem vom Kunden mit der Durchführung einer solchen Prüfung beauftragten Prüfer erhoben werden.
  4. Datenschutz-Folgenabschätzungen (DPIAs) . Auf schriftliche Anfrage des Kunden wird das Unternehmen mit dem Kunden in angemessenem Umfang kooperieren und ihn unterstützen, um seiner Verpflichtung gemäß den geltenden Datenschutzgesetzen nachzukommen, eine Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Dienste durch den Kunden durchzuführen, sofern der Kunde nicht anderweitig auf die relevanten Informationen zugreifen kann und sofern diese Informationen dem Unternehmen zur Verfügung stehen.

5. Pflichten des Kunden

  1. Pflichten des Kunden . Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und für die Mittel, mit denen er die personenbezogenen Daten erworben hat. Der Kunde erkennt ausdrücklich an und erklärt sich damit einverstanden, dass seine Nutzung der Dienste nicht die Rechte von betroffenen Personen verletzt, einschließlich derjenigen, die dem Verkauf oder sonstigen Weitergabe personenbezogener Daten widersprochen haben, soweit dies nach den geltenden Datenschutzgesetzen zulässig ist. Unbeschadet der Pflichten des Kunden gemäß der Vereinbarung: (a) erklärt sich der Kunde damit einverstanden, dass er allein für seine Nutzung der Dienste verantwortlich ist, einschließlich (1) der angemessenen Nutzung der Dienste, um ein dem Risiko in Bezug auf die personenbezogenen Daten angemessenes Sicherheitsniveau zu gewährleisten, (2) der Sicherung der Kontoauthentifizierungsdaten, Systeme und Geräte, die der Kunde für den Zugriff auf die Dienste verwendet, (3) der Sicherung der Systeme und Geräte des Kunden, die das Unternehmen zur Bereitstellung der Dienste verwendet, und (4) der Sicherung personenbezogener Daten; (b) hat sämtliche Mitteilungen an die Personen, auf die sich die personenbezogenen Daten beziehen, sowie an alle anderen Parteien gerichtet und von diesen sämtliche Einwilligungen eingeholt, einschließlich wenn der Kunde ein Auftragsverarbeiter ist, indem er sicherstellt, dass der letztendliche Verantwortliche dies tut, sowie an alle anderen Parteien, wie es gemäß den geltenden Gesetzen oder Vorschriften für das Unternehmen zur Verarbeitung personenbezogener Daten gemäß der Vereinbarung erforderlich ist.
  2. Verbotene Daten . Der Kunde sichert dem Unternehmen zu und gewährleistet, dass die Kundendaten ohne die vorherige schriftliche Zustimmung des Unternehmens keine Sozialversicherungsnummern oder andere von Behörden ausgestellte Identifikationsnummern, geschützte Gesundheitsinformationen, die dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen, oder andere Informationen bezüglich der Krankengeschichte, des geistigen oder körperlichen Zustands einer Person oder einer medizinischen Behandlung oder Diagnose durch einen Arzt enthalten und dies auch nicht werden; außerdem keine Krankenversicherungsdaten, biometrische Daten, Passwörter für Online-Konten, Zugangsdaten zu Bankkonten, Steuererklärungsdaten, Kreditauskünfte oder Verbraucherberichte; Zahlungskartendaten, die dem Payment Card Industry Data Security Standard unterliegen; Informationen, die dem Gramm-Leach-Bliley Act, dem Fair Credit Reporting Act oder den im Rahmen dieser Gesetze erlassenen Regelungen unterliegen; Informationen, die Beschränkungen gemäß den geltenden Datenschutzgesetzen für personenbezogene Daten von Kindern unterliegen, einschließlich und ohne Einschränkung alle Daten über Kinder unter 16 Jahren; oder Informationen, die unter besondere Datenkategorien (wie in der DSGVO definiert) fallen.

6. Einhaltung von Gesetzen und Rechte der betroffenen Person

  1. Einhaltung von Gesetzen . Jede Partei wird alle geltenden Datenschutzgesetze einhalten. Insbesondere wird der Kunde seinen Pflichten als Verantwortlicher (oder im Auftrag eines Verantwortlichen) nachkommen und das Unternehmen wird seinen Pflichten als Auftragsverarbeiter nachkommen.
  2. Offenlegung personenbezogener Daten und behördliche Anfragen . Das Unternehmen wird personenbezogene Daten nicht an Dritte weitergeben, einschließlich Behörden, außer: (i) wie anderweitig gemäß der Vereinbarung, einschließlich dieser DPA, gestattet; oder (ii) wie erforderlich, um geltende Datenschutzgesetze einzuhalten, einschließlich im Hinblick auf gültige und/oder bindende Gerichtsbeschlüsse einer Behörde (z. B. Vorladungen von Strafverfolgungsbehörden). Wenn das Unternehmen eine bindende Anordnung einer Behörde erhält, in der es um Zugriff auf oder die Offenlegung personenbezogener Daten bittet, wird das Unternehmen den Kunden über die Anfrage informieren, sofern dies nicht anderweitig gesetzlich verboten ist.
  3. Unterstützung bei Anfragen betroffener Personen . Das Unternehmen wird (unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten) dem Kunden die Unterstützung gewähren, die der Kunde in angemessenem Umfang benötigt, um seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nachzukommen und Anfragen betroffener Personen nachzukommen, ihre Rechte gemäß den geltenden Datenschutzgesetzen („ Anfragen betroffener Personen “) in Bezug auf personenbezogene Daten im Besitz oder unter der Kontrolle des Unternehmens auszuüben. Sofern gemäß den geltenden Datenschutzgesetzen zulässig, wird der Kunde dem Unternehmen für jegliche derartige Unterstützung eine Entschädigung gemäß den jeweils aktuellen Tarifen für professionelle Dienstleistungen des Unternehmens zahlen, die dem Kunden auf Anfrage zur Verfügung gestellt werden.
  4. Verantwortung des Kunden für Anfragen . Das Unternehmen wird nicht selbst auf Anfragen von betroffenen Personen antworten, es sei denn, der Kunde ermächtigt das Unternehmen, die Anfrage der betroffenen Person nach Bedarf umzuleiten, damit der Kunde direkt antworten kann. Wenn das Unternehmen eine Anfrage einer betroffenen Person erhält, wird das Unternehmen die betroffene Person anweisen, die Anfrage an den Kunden zu senden, und der Kunde ist für die Beantwortung der Anfrage verantwortlich.

7. Europäische und britische Datenschutzgesetze, besondere Bestimmungen; Gesetzesänderungen.

  1. DSGVO . Das Unternehmen verarbeitet personenbezogene Daten gemäß der DSGVO, die unmittelbar auf die Bereitstellung der Dienste des Unternehmens anwendbar ist und in den Anhängen 1 und 2 hierzu vorgesehen ist.
  2. Britische DSGVO . Das Unternehmen verarbeitet personenbezogene Daten gemäß der britischen DSGVO, die unmittelbar auf die Bereitstellung der Dienste des Unternehmens anwendbar ist und in Anhang 3 hierzu vorgesehen ist.

8. Unterauftragsverarbeiter

  1. Zustimmung zur Einschaltung von Unterauftragsverarbeitern . Der Kunde autorisiert die folgenden Unterauftragsverarbeiter, personenbezogene Daten zu verarbeiten: (i) verbundene Unternehmen des Unternehmens; und (ii) die in Anhang III dieses Dokuments aufgeführten Unterauftragsverarbeiter (ebenfalls zu finden hier: https://security.wandb.ai/?itemUid=e3fae2ca-94a9-416b-b577-5c90e382df57 ), in der vom Unternehmen von Zeit zu Zeit aktualisierten Fassung, oder unter einer anderen Website-Adresse, die das Unternehmen dem Kunden von Zeit zu Zeit zur Verfügung stellt) („ Site des Unterauftragsverarbeiters “).
  2. Anforderungen für die Beauftragung von Unterauftragsverarbeitern . Bei der Beauftragung eines Unterauftragsverarbeiters schließt das Unternehmen mit diesem einen schriftlichen Vertrag ab, der Datenschutzverpflichtungen enthält, die in Bezug auf personenbezogene Daten nicht weniger streng sind als die in dieser DPA, soweit dies auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft. Das Unternehmen haftet für alle Verpflichtungen aus der an den Unterauftragsverarbeiter vergebenen Vereinbarung oder dessen damit verbundenen Handlungen und Unterlassungen.
  3. Änderungen beim Unterauftragsverarbeiter. Wenn das Unternehmen nach dem Inkrafttreten der Vereinbarung einen neuen Unterauftragsverarbeiter beauftragt, aktualisiert das Unternehmen den Unterauftragsverarbeiterstandort (einschließlich des Namens und Standorts des betreffenden Unterauftragsverarbeiters und der von ihm ausgeführten Aktivitäten). Dieser Abschnitt 8(c) gilt nicht in Bezug auf die DSGVO, sondern wird durch die Anforderungen der Standardvertragsklauseln ersetzt, die in Abschnitt 4(g) und 4(h) von Anhang 1 dieser Vereinbarung dargelegt sind.
  4. Möglichkeit, Einspruch gegen Änderungen des Unterauftragsverarbeiters einzulegen . Wenn der Kunde in einer schriftlichen Mitteilung an das Unternehmen aus triftigen Gründen im Zusammenhang mit dem Schutz personenbezogener Daten Einspruch gegen eine solche Einbindung erhebt, werden Kunde und Unternehmen in gutem Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung für diesen Einspruch zu finden. Wenn die Parteien innerhalb eines angemessenen Zeitrahmens keine für beide Seiten akzeptable Lösung erzielen können, kann der Kunde als einziges und ausschließliches Rechtsmittel die Vereinbarung durch schriftliche Mitteilung an das Unternehmen kündigen.

9. Rückgabe oder Löschung personenbezogener Daten

Auf schriftliche Anfrage des Kunden oder nach Kündigung oder Ablauf der Vereinbarung löscht oder gibt das Unternehmen personenbezogene Daten gemäß der Vereinbarung zurück. Diese Anforderung gilt nicht, soweit das Unternehmen nach geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren, oder für personenbezogene Daten, die es auf Sicherungssystemen archiviert hat, die das Unternehmen sicher isolieren und vor weiterer Verarbeitung schützen und schließlich gemäß den Löschrichtlinien des Unternehmens löschen muss. Nach Kündigung oder Ablauf der Vereinbarung erkennt der Kunde an und stimmt zu, dass das Unternehmen gemäß den Standardrichtlinien des Unternehmens automatisch die Löschung aller in seinem Besitz oder unter seiner Kontrolle befindlichen personenbezogenen Daten veranlassen kann.

10. Sonstiges

Sofern nicht ausdrücklich durch die DPA geändert, bleiben die Bedingungen der Vereinbarung in vollem Umfang in Kraft. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen dieser DPA und den anderen Bedingungen der Vereinbarung ist diese DPA maßgebend. Ungeachtet anderslautender Bestimmungen in der Vereinbarung oder einem damit in Verbindung stehenden Bestellformular erkennen die Parteien an und vereinbaren, dass der Zugriff des Unternehmens auf personenbezogene Daten nicht Teil der von den Parteien in Bezug auf die Vereinbarung ausgetauschten Gegenleistung darstellt. Ungeachtet anderslautender Bestimmungen in der Vereinbarung dürfen alle Mitteilungen, die das Unternehmen dem Kunden im Rahmen dieser DPA geben muss oder darf, wie folgt erfolgen: (a) gemäß einer Mitteilungsklausel der Vereinbarung; (b) an die primären Kontaktstellen des Unternehmens mit dem Kunden; oder (c) an jede vom Kunden bereitgestellte E-Mail-Adresse, um ihm dienstbezogene Mitteilungen oder Warnmeldungen zukommen zu lassen. Der Kunde ist allein dafür verantwortlich, sicherzustellen, dass diese E-Mail-Adressen gültig sind.

Anhang 1 - Übertragungsmechanismen für Datenübertragungen auf Grundlage von Standardvertragsklauseln

1. Begriffsbestimmungen

Für die Zwecke dieser Anhänge 1 und 2 werden diese Begriffe wie folgt definiert:

  1. EU-C-to-P-Übertragungsklauseln “ bezeichnet die Abschnitte I, II, III und IV der Standardvertragsklauseln (soweit zutreffend), soweit sie sich auf Modul Zwei (Controller-to-Processor) beziehen.
  2. EU-P-to-P-Übertragungsklauseln “ bezeichnet die Abschnitte I, II, III und IV der Standardvertragsklauseln (soweit zutreffend), soweit sie auf Modul Drei (Auftragsverarbeiter-zu-Auftragsverarbeiter) verweisen.

2. Internationale Transfermechanismen

  1. Die EU-C-to-P-Übertragungsklauseln . Wenn der Kunde und/oder sein verbundenes Unternehmen ein Verantwortlicher und ein Datenexporteur personenbezogener Daten ist und das Unternehmen ein Verarbeiter und Datenimporteur dieser personenbezogenen Daten ist, dann müssen die Parteien die EU-C-to-P-Übertragungsklauseln einhalten, vorbehaltlich der zusätzlichen Bedingungen in Anhang 1; und/oder
  2. Die EU-P-to-P-Übertragungsklauseln . Wenn der Kunde und/oder sein verbundenes Unternehmen ein im Auftrag eines Verantwortlichen handelnder Verarbeiter und Datenexporteur personenbezogener Daten ist und das Unternehmen in Bezug auf diese personenbezogenen Daten ein Verarbeiter und Datenimporteur ist, müssen die Parteien die Bedingungen der EU-P-to-P-Übertragungsklauseln vorbehaltlich der zusätzlichen Bedingungen in Anhang 1 einhalten. Wenn bei der Erbringung der Dienstleistungen personenbezogene Daten, die der DSGVO oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Personen gemäß den europäischen Datenschutzgesetzen unterliegen, in Länder übertragen werden, die kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzgesetze gewährleisten, gelten für derartige Übertragungen die unten aufgeführten Übertragungsmechanismen und können von den Parteien direkt durchgesetzt werden, soweit derartige Übertragungen den europäischen Datenschutzgesetzen unterliegen.

3. Rollen

Für die Zwecke der EU-C-to-P-Übertragungsklauseln und der EU-P-to-P-Übertragungsklauseln ist der Kunde der Datenexporteur und das Unternehmen der Datenimporteur. Die Parteien vereinbaren Folgendes. Wenn und soweit sich ein verbundenes Unternehmen für die Übertragung personenbezogener Daten auf die EU-C-to-P-Übertragungsklauseln oder die EU-P-to-P-Übertragungsklauseln verlässt, beziehen sich alle Verweise auf den Kunden in diesem Anhang auf das verbundene Unternehmen. Wo in diesem Anhang 1 die EU-C-to-P-Übertragungsklauseln oder die EU-P-to-P-Übertragungsklauseln nicht ausdrücklich erwähnt werden, gelten beide.

4. Standardvertragsklauseln, operative Bestimmungen und zusätzliche Bedingungen

  1. Verweis auf die Standardvertragsklauseln . Die in den Standardvertragsklauseln enthaltenen relevanten Bestimmungen werden durch Verweis einbezogen und sind integraler Bestandteil dieser DPA. Die für die Zwecke der Anhänge zu den Standardvertragsklauseln erforderlichen Informationen sind in Anhang 2 aufgeführt.
  2. Dockingklausel . Die Option gemäß Klausel 7 findet keine Anwendung.
  3. Anweisungen . Diese DPA und die Vereinbarung sind die vollständigen und endgültigen dokumentierten Anweisungen des Kunden zum Zeitpunkt der Unterzeichnung der Vereinbarung mit dem Unternehmen zur Verarbeitung personenbezogener Daten. Alle zusätzlichen oder alternativen Anweisungen müssen mit den Bedingungen dieser DPA und der Vereinbarung übereinstimmen. Im Sinne von Klausel 8.1(a) umfassen die Anweisungen des Kunden zur Verarbeitung personenbezogener Daten auch die Weiterübermittlung an einen Dritten außerhalb des EWR zum Zweck der Erbringung der Dienste.
  4. Bescheinigung der Löschung . Die Parteien vereinbaren, dass die Bescheinigung über die Löschung personenbezogener Daten, die in den Klauseln 8.5 und 16(d) der Standardvertragsklauseln beschrieben ist, dem Kunden vom Unternehmen nur auf schriftliche Anfrage des Kunden zur Verfügung gestellt wird.
  5. Sicherheit der Verarbeitung. Für die Zwecke von Klausel 8.6(a) ist der Kunde allein dafür verantwortlich, eine unabhängige Entscheidung darüber zu treffen, ob die hierin dargelegten technischen und organisatorischen Maßnahmen den Anforderungen des Kunden entsprechen, und stimmt zu, dass (unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung seiner personenbezogenen Daten sowie der Risiken für Einzelpersonen) die vom Unternehmen implementierten und aufrechterhaltenen Sicherheitsmaßnahmen und -richtlinien ein dem Risiko in Bezug auf seine personenbezogenen Daten angemessenes Sicherheitsniveau bieten. Für die Zwecke von Klausel 8.6(c) werden Verstöße gegen den Schutz personenbezogener Daten (d. h. Informationssicherheitsvorfälle) gemäß Abschnitt 4(b) dieser DPA behandelt.
  6. Prüfungen der SCCs . Die Parteien vereinbaren, dass die in Klausel 8.9 der Standardvertragsklauseln beschriebenen Prüfungen gemäß Abschnitt 4(c) dieser DPA durchgeführt werden.
  7. Allgemeine Genehmigung für die Nutzung von Unterauftragsverarbeitern . Option 2 unter Abschnitt 9 findet Anwendung. Der Datenimporteur verfügt über die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus den in Anhang III aufgeführten (siehe Anhang 2 unten). Der Datenimporteur informiert den Datenexporteur schriftlich über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann. Wenn das Unternehmen im Zusammenhang mit der Bereitstellung der Dienste die EU-P-to-P-Übertragungsklauseln mit einem Unterauftragsverarbeiter abschließt, erteilt der Kunde dem Unternehmen und den verbundenen Unternehmen des Unternehmens hiermit die Befugnis, im Namen des Verantwortlichen eine allgemeine Genehmigung für die Beauftragung von Unterauftragsverarbeitern durch Unterauftragsverarbeiter zu erteilen, die an der Bereitstellung der Dienste beteiligt sind, sowie die Entscheidungs- und Genehmigungsbefugnis für das Hinzufügen oder Ersetzen solcher Unterauftragsverarbeiter.
  8. Benachrichtigung über neue Unterauftragsverarbeiter und Widerspruchsrecht . Gemäß Klausel 9(a) erkennt der Kunde an und stimmt ausdrücklich zu, dass das Unternehmen neue Unterauftragsverarbeiter beauftragen kann, wie in Abschnitt 4(g) oben beschrieben. Das Unternehmen informiert den Kunden über alle Änderungen bei den Unterauftragsverarbeitern gemäß dem in Abschnitt 4(g) oben vorgesehenen Verfahren. Der Kunde kann Einspruch gegen neue Unterauftragsverarbeiter erheben, wie in Abschnitt 8(d) der DPA beschrieben.
  9. Rechtsbehelfe. Die Option gemäß Klausel 11 findet keine Anwendung. Das Unternehmen informiert den Kunden, wenn es eine Anfrage einer betroffenen Person in Bezug auf personenbezogene Daten erhält, und teilt dem Kunden die Beschwerde oder den Streitfall unverzüglich mit. Das Unternehmen ist ansonsten nicht verpflichtet, die Anfrage zu bearbeiten (sofern mit dem Kunden nichts anderes vereinbart wurde).
  10. Haftung . Die Haftung des Unternehmens gemäß Klausel 12(b) ist auf jegliche Schäden beschränkt, die durch die Datenverarbeitung verursacht werden, wenn das Unternehmen seinen Verpflichtungen gemäß der DSGVO, die sich speziell an die Verarbeiter richten, nicht nachgekommen ist oder wenn es außerhalb oder entgegen den rechtmäßigen Anweisungen des Kunden gehandelt hat, wie in Artikel 82 der DSGVO festgelegt.
  11. Aufsicht . Ziffer 13 gilt wie folgt:
    1. Wenn der Kunde in einem EU-Mitgliedstaat ansässig ist, fungiert die Aufsichtsbehörde, die für die Sicherstellung der Einhaltung der Verordnung (EU) 2016/679 durch den Kunden in Bezug auf die Datenübertragung verantwortlich ist, als zuständige Aufsichtsbehörde.
    2. Sofern der Kunde nicht in einem EU-Mitgliedstaat niedergelassen ist, jedoch gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat, fungiert die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, als zuständige Aufsichtsbehörde.
    3. Wenn der Kunde seinen Sitz im Vereinigten Königreich hat oder in den räumlichen Anwendungsbereich der UK-DSGVO fällt, fungiert das Information Commissioner’s Office als zuständige Aufsichtsbehörde.
  12. Benachrichtigung über behördliche Zugriffsanfragen. Im Sinne von Klausel 15(1)(a) benachrichtigt das Unternehmen im Falle behördlicher Zugriffsanfragen (nur) den Kunden und nicht die betroffene(n) Person(en). Der Kunde ist allein dafür verantwortlich, die betroffene Person bei Bedarf umgehend zu benachrichtigen. 
  13. Geltendes Recht. Das geltende Recht im Sinne von Klausel 17 ist das Recht, das in dem Abschnitt der Vereinbarung angegeben ist. Wenn die Vereinbarung nicht dem Recht eines EU-Mitgliedstaates unterliegt, unterliegen die Standardvertragsklauseln entweder (i) den Gesetzen Irlands; oder (ii) wenn die Vereinbarung den Gesetzen des Vereinigten Königreichs unterliegt, den Gesetzen des Vereinigten Königreichs.
  14. Wahl des Forums und Gerichtsstand . Die Gerichte gemäß Klausel 18 sind diejenigen, die im Vertrag benannt sind. Wenn im Vertrag kein Gericht eines EU-Mitgliedstaats als ausschließlich zuständig für die Beilegung von Streitigkeiten oder Rechtsstreitigkeiten benannt ist, die sich aus diesem Vertrag ergeben oder im Zusammenhang mit diesem Vertrag stehen, vereinbaren die Parteien, dass die Gerichte entweder (i) Irlands oder (ii) wenn im Vertrag das Vereinigte Königreich als ausschließlich zuständig benannt ist, des Vereinigten Königreichs die ausschließliche Zuständigkeit für die Beilegung von Streitigkeiten haben, die sich aus den Standardvertragsklauseln ergeben.
  15. Datenexporte aus dem Vereinigten Königreich gemäß den Standardvertragsklauseln . Im Falle einer Übertragung personenbezogener Daten aus dem Vereinigten Königreich, die ausschließlich der UK GDRP unterliegt, gilt Folgendes: (i) Allgemeine und spezifische Verweise in den Standardvertragsklauseln auf die GDPR oder das Recht der EU oder der Mitgliedstaaten haben dieselbe Bedeutung wie die entsprechenden Verweise in den geltenden Datenschutzgesetzen des Vereinigten Königreichs (d. h. UK GDPR); und (ii) alle anderen Verpflichtungen in den Standardvertragsklauseln, die von dem Mitgliedstaat festgelegt werden, in dem der Datenexporteur oder die betroffene Person niedergelassen ist, beziehen sich auf eine Verpflichtung gemäß der UK GDPR.
  16. Konflikt.  Die Standardvertragsklauseln unterliegen dieser DPA und den darin festgelegten zusätzlichen Schutzbestimmungen. Die durch die Standardvertragsklauseln gewährten Rechte und Pflichten werden gemäß dieser DPA ausgeübt, sofern nicht anders angegeben. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen dem Inhalt dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang.

5. Zusätzliche Bedingungen für die EU-P-to-P-Übertragungsklauseln.

Für die Zwecke (ausschließlich) der EU-P-to-P-Übertragungsklauseln vereinbaren die Parteien Folgendes:

  1. Anweisungen und Benachrichtigungen. Für die Zwecke von Klausel 8.1(a) informiert der Kunde das Unternehmen hiermit darüber, dass er in Bezug auf personenbezogene Daten als Verarbeiter gemäß den Anweisungen des jeweiligen Verantwortlichen handelt. Der Kunde garantiert, dass seine Verarbeitungsanweisungen gemäß der Vereinbarung und dieser DPA, einschließlich seiner Ermächtigungen gegenüber dem Unternehmen zur Ernennung von Unterverarbeitern gemäß dieser DPA, vom jeweiligen Verantwortlichen autorisiert wurden. Der Kunde ist allein dafür verantwortlich, alle vom Unternehmen erhaltenen Benachrichtigungen gegebenenfalls an den jeweiligen Verantwortlichen weiterzuleiten.
  2. Sicherheit der Verarbeitung. Für die Zwecke von Klausel 8.6(c) und (d) benachrichtigt das Unternehmen den Kunden über eine Verletzung des Schutzes personenbezogener Daten (d. h. einen Informationssicherheitsvorfall) in Bezug auf vom Unternehmen verarbeitete personenbezogene Daten.
  3. Dokumentation und Compliance . Für die Zwecke von Klausel 8.9 werden alle Anfragen des jeweiligen Controllers vom Kunden an das Unternehmen weitergeleitet. Wenn das Unternehmen eine Anfrage direkt von einem Controller erhält, leitet es die Anfrage an den Kunden weiter und der Kunde ist allein dafür verantwortlich, auf eine solche Anfrage des jeweiligen Controllers gegebenenfalls zu antworten.
  4. Rechte der betroffenen Person . Für die Zwecke von Klausel 10 und vorbehaltlich Abschnitt 3 dieser DPA benachrichtigt das Unternehmen den Kunden über jede Anfrage, die es direkt von einer betroffenen Person erhalten hat, ohne verpflichtet zu sein, diese zu bearbeiten (sofern nicht anders vereinbart), benachrichtigt jedoch nicht den entsprechenden Verantwortlichen. Der Kunde ist allein dafür verantwortlich, mit dem entsprechenden Verantwortlichen bei der Erfüllung der entsprechenden Verpflichtungen zur Beantwortung solcher Anfragen zusammenzuarbeiten.

Anhang 2 - Anhänge I bis III zu den Standardvertragsklauseln

Dieser Anhang 2 enthält die Anhänge I bis III der Standardvertragsklauseln und muss von jeder der unten aufgeführten Parteien an der angegebenen Stelle ausgefüllt und unterzeichnet werden.

Anhang I

A. Liste der Parteien

Datenexporteur(e) / Verantwortlicher : Kunde
Datenimporteur(e):

Name: Weights and Biases, Inc.
Adresse: 400 Alabama Street, Suite 202, San Francisco, CA 94110
Name, Position und Kontaktdaten der Kontaktperson: Cameron Kinloch, CFO
Rolle: Verarbeiter (oder Unterverarbeiter, je nach Sachlage)
Für die im Rahmen dieser Klauseln übertragenen Daten relevante Aktivitäten: Verarbeitung personenbezogener Daten gemäß der Vereinbarung und dieser DPA

B. Beschreibung der Übertragung

Die vom Unternehmen im Rahmen der Vereinbarung durchgeführten Verarbeitungsaktivitäten können wie folgt beschrieben werden:

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden

‍Personenbezogene Daten von Endnutzern der Software und Dienste des Auftragsverarbeiters, einschließlich der personenbezogenen Daten der betroffenen Endkunden, die vom Auftragsverarbeiter an den Auftragsverarbeiter übermittelt werden

Kategorien der übermittelten personenbezogenen Daten

‍Wie vom Verantwortlichen von Zeit zu Zeit gewählt

Übertragen sensibler

‍Nur in dem Umfang, in dem der Verantwortliche sich dazu entscheidet, solche Daten über die Software oder Dienste zu übermitteln

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).

‍Für die Software- und Serviceangebote „Multi-Tenant Cloud“ und „W&B Dedicated Cloud“ des Verarbeiters auf kontinuierlicher Basis, wie von einem Verantwortlichen bestimmt, wie im Vertrag gestattet

Für die Softwareangebote des Verarbeiters „Customer-Managed Single-Tenant Cloud“, „On-Premise“ und/oder „W&B Dedicated Cloud“ (BYOB, bei dem der Controller die kontinuierliche gemeinsame Nutzung deaktiviert) gilt dies nur, wenn der Controller die Software und/oder Dienste so konfiguriert, dass während der Bereitstellung des vom Controller angeforderten technischen Supports personenbezogene Daten an den Verarbeiter übermittelt werden.

Art der Verarbeitung

Für die Software- und Serviceangebote „Multi-Tenant Cloud“ und „W&B Dedicated Cloud“ des Verarbeiters erfolgt die Verarbeitung personenbezogener Daten für die Software und Services wie in der Vereinbarung beschrieben.

Für die Softwareangebote „Customer-Managed Single-Tenant Cloud“, „On-Premise“ und/oder „W&B Dedicated Cloud“ (BYOB, bei dem der Controller die kontinuierliche gemeinsame Nutzung deaktiviert) des Verarbeiters während der Bereitstellung von technischem Support auf Anfrage des Controllers, jedoch nur in dem Umfang, in dem der Controller die Software und/oder Dienste so konfiguriert, dass personenbezogene Daten an den Verarbeiter übermittelt werden.

Zweck (e) der Datenübermittlung und Weiterverarbeitung

Für die Software- und Serviceangebote „Multi-Tenant Cloud“ und „W&B Dedicated Cloud“ des Verarbeiters, damit der Verarbeiter die Services einem Controller gemäß der Vereinbarung bereitstellen kann

Für die Softwareangebote „Customer-Managed Single-Tenant Cloud“, „On-Premise“ und/oder „W&B Dedicated Cloud“ (BYOB, bei dem der Controller die kontinuierliche gemeinsame Nutzung deaktiviert) des Verarbeiters während der Bereitstellung von technischem Support auf Anfrage des Controllers, jedoch nur in dem Umfang, in dem der Controller die Software und/oder Dienste so konfiguriert, dass personenbezogene Daten an den Verarbeiter übermittelt werden.

die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

‍Für die Dauer der Vereinbarung

Bei Übermittlungen an (Unter-)Auftragsverarbeiter geben Sie auch Gegenstand, Art und Dauer der Verarbeitung an

‍Für die Dauer der Vereinbarung

C. Zuständige Aufsichtsbehörde

Die zuständige Aufsichtsbehörde gemäß Klausel 13 der Standardvertragsklauseln, wie in Anhang 1 Abschnitt 4(k) dieser DPA genannt.

Anhang II - Technische und organisatorische Maßnahmen Einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit

Das Unternehmen verarbeitet alle personenbezogenen Daten, die es im Rahmen dieser Datenverarbeitungsvereinbarung vom Verantwortlichen erhält, in Übereinstimmung mit den folgenden technischen und organisatorischen Maßnahmen:

Weights and Biases, Inc. hat die entsprechenden administrativen, technischen, physischen und verfahrenstechnischen Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten ergriffen und wird diese aufrechterhalten. Dazu gehören die unten aufgeführten Maßnahmen oder solche, die Weights and Biases, Inc. anderweitig in angemessenem Umfang zur Verfügung stellt.

Betriebssicherheit

  • Die Informationssicherheitsrichtlinie von Weights and Biases, Inc. legt einen Rahmen interner Standards fest.
  • Ein eigenes Sicherheitsteam ist für die Entwicklung, Implementierung und Verwaltung von Richtlinien, Standards, Basiswerten, Verfahren, Leitlinien und Schulungsprogrammen zum Datenschutz und zur Informationssicherheit für das Personal verantwortlich.
  • Weights and Biases, Inc. autorisiert den Zugriff auf Informationsressourcen, einschließlich Produktionssysteme und Kundendaten, nach dem Prinzip der geringsten Privilegien und führt jährliche Zugriffskontrollüberprüfungen durch.
  • Weights and Biases, Inc. erfordert eine Zwei-Faktor-Authentifizierung für den Zugriff auf vertrauliche Systeme und Anwendungen, einschließlich Benutzer-ID, Kennwort, OTP und/oder Zertifikat, für Authentifizierung, Versionskontrollsysteme und Infrastrukturkonsole, und erfordert eine kontextbezogene Zugriffskontrolle für den Administratorzugriff.
  • Das Personal muss die Sicherheitsrichtlinien, darunter den Verhaltenskodex und die Nutzungsrichtlinie von Weights and Biases, Inc., akzeptieren und vor Arbeitsbeginn eine Zuverlässigkeitsüberprüfung bestehen.
  • Weights and Biases, Inc. hat formelle Richtlinien für Mitarbeiterpasswörter erstellt, um die Verwaltung und Verwendung von Authentifizierungsmechanismen zu regeln, und verlangt die Verwendung von Passwortmanagern, automatischen Bildschirmschonersperren, Festplattenverschlüsselung und anderen Endpunkt-Sicherheitsmaßnahmen.
  • Ein Versionskontrollsystem hilft bei der Verwaltung von Quellcode, Dokumentation, Release-Kennzeichnung und anderen Aufgaben des Änderungsmanagements. Der Zugriff auf das System muss von einem Systemadministrator genehmigt werden.
  • Weights and Biases, Inc. verfügt über Geschäftskontinuitäts- und Vorfallreaktionspläne, um effektiv auf Geschäftsunterbrechungen oder Sicherheitsvorfälle reagieren zu können und die Auswirkungen auf die Kunden zu minimieren.
  • Formale Risikomanagementprozesse legen Risikotoleranzen und den Prozess zur Bewertung von Risiken auf der Grundlage identifizierter Bedrohungen und der festgelegten Toleranzen fest. Weights and Biases, Inc. beauftragt mindestens einmal jährlich einen Dritten mit der Durchführung einer Risikobewertung.
  • Weights and Biases, Inc. führt täglich Backups durch und bewahrt sie gemäß einem in der Backup-Richtlinie vordefinierten Zeitplan auf.


Infrastruktursicherheit

  • Verschlüsselung
    • Weights and Biases, Inc. stellt sicher, dass alle Verbindungen seiner Benutzer zu seiner Webanwendung mithilfe zertifizierter SSL- und TLS-Konfigurationen verschlüsselt sind. Sowohl die Website als auch die Anwendung sind ausschließlich über HTTPS erreichbar.
    • Weights and Biases, Inc. speichert Kunden-/Partnerdaten in Datenbanken, die im Ruhezustand verschlüsselt sind.
    • Ein Schlüsselverwaltungsprozess (derzeit über die Google Cloud Platform) unterstützt die Verwendung kryptografischer Techniken durch die Organisation.
  • Netzwerksicherheit
    • Produktionsumgebungen werden in einem isolierten Virtual Private Cloud-Netzwerk ausgeführt, in dem nur die erforderlichen Dienste aktiviert sind. Der externe Verwaltungszugriff wird über kontextsensitive Zugriffskontroll-Proxys vermittelt.
    • Weights and Biases, Inc. verwendet einen Lastenausgleich, um eingehenden Anwendungsverkehr automatisch auf mehrere Instanzen und Verfügbarkeitszonen zu verteilen.
    • Weights and Biases, Inc. verwendet Konfigurationen, die sicherstellen, dass nur genehmigte Netzwerkports und -protokolle implementiert werden. Eine Web Application Firewall schützt Anwendungen vor externen Bedrohungen.
    • Die Tools von Weights and Biases, Inc. überwachen die CPU-Auslastung des Servers, den freien Speicherplatz, das Nachrichtenalter und die Lese-E/A in den Datenbanken, Servern und Nachrichtenwarteschlangen von Weights and Biases, Inc. und benachrichtigen das zuständige Personal anhand vorgegebener Kriterien über alle Ereignisse oder Vorfälle. Vorfälle werden gemäß den Richtlinien eskaliert.


Produktsicherheit

  • Weights and Biases, Inc. verwendet rollenbasierte Zugriffskontrolle (RBAC) auf Unternehmensniveau, Single-Sign-On-Authentifizierung (SSO) und produktintegrierten Datenschutz.
  • Weights and Biases, Inc. löscht Kundendaten innerhalb von 30 Tagen, nachdem ein Kunde die Löschung beantragt hat.

Kontinuierliche Innovation

  • Das Sicherheitsteam wertet Kontrollen kontinuierlich aus und überwacht Mitarbeitergeräte, Cloud-Umgebungen und Netzwerke auf böswillige Aktivitäten.
  • Mindestens einmal jährlich führt Weights and Biases, Inc. einen Drittanbieter-Schwachstellenscan der Produktionsumgebung durch. – Weights and Biases, Inc. stellt Prozesse bereit, mit denen externe Benutzer und Mitarbeiter Fehler, Vorfälle und Bedenken melden können.
  • Weights and Biases, Inc. entspricht AICPA SOC 2 Typ II und eine Kopie unseres aktuellsten SOC 2-Audits kann auf Anfrage zur Verfügung gestellt werden.

Anhang III – Liste der Unterauftragsverarbeiter

Der Verantwortliche hat die Verwendung der folgenden Unterauftragsverarbeiter autorisiert: https://wandb.ai/site/wb-subprocessors

Anhang 3 – Übertragungsmechanismen für die UK-DSGVO

A. Begriffsbestimmungen

  1. UK GDPR IDTA “  bezeichnet die Bedingungen des „International Data Transfer Agreement“ (zu finden hier:  https://ico.org.uk/media/for-organisations/documents/4019538/international-data-transfer-agreement.pdf ) und wird gemäß Abschnitt 119A des Data Protection Act 2018 herausgegeben.
  2. UK GDPR Addendum“  oder  „UK Addendum“  bezeichnet  die Bedingungen des „International Data Transfer Addendum zu den Standardvertragsklauseln der Europäischen Kommission für internationale Datenübertragungen“ (zu finden hier:  https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) und herausgegeben gemäß Abschnitt 119A des Data Protection Act 2018.

B. Internationale Transfermechanismen

Für die Zwecke dieses Anhangs 3 werden diese Begriffe wie folgt definiert:

Wenn bei der Erbringung der Dienste personenbezogene Daten, die der UK GDPR oder einem anderen Gesetz zum Schutz oder zur Privatsphäre von Personen unterliegen, das im Vereinigten Königreich gilt, aus dem Vereinigten Königreich in Länder übermittelt werden, die kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzgesetze gewährleisten, gelten für derartige Übermittlungen das UK GDPR IDTA und/oder der UK Addendum und können von den Parteien direkt durchgesetzt werden, soweit derartige Übermittlungen der UK GDPR unterliegen.

C. Informationen zum Anhang

Die in Anhang 2 dieser DPA aufgeführten Anhänge I bis III enthalten Anhanginformationen zur UK IDTA und zum UK Addendum und sind durch Verweis darin aufgenommen.

Anhang 4 – Kalifornien-Anhang

A. Für die Zwecke dieses Anhangs 4 haben die Begriffe „Geschäft“, „Geschäftszweck“, „verkaufen“, „teilen“ und „Dienstanbieter“ die jeweiligen Bedeutungen, die ihnen im CCPA zugewiesen werden, und „persönliche Informationen“ bezeichnet personenbezogene Daten, die personenbezogene Informationen darstellen, deren Verarbeitung durch das CCPA geregelt ist.

B. Die Parteien beabsichtigen, dass das Unternehmen in Bezug auf alle personenbezogenen Daten als Dienstleister fungiert. Das Unternehmen darf keine personenbezogenen Daten (i) „verkaufen“ oder „weitergeben“ (wie im CCPA definiert); (ii) keine personenbezogenen Daten für andere Zwecke als den spezifischen Geschäftszweck der Bereitstellung der im Vertrag angegebenen Dienste aufbewahren, verwenden oder offenlegen; (iii) keine personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung zwischen dem Unternehmen und dem Kunden aufbewahren, verwenden oder offenlegen, es sei denn, dies ist nach geltendem Datenschutzrecht zulässig; oder (iv) die vom Kunden erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombinieren, die es von oder im Auftrag von Dritten sammelt oder erhält, es sei denn, dies ist nach geltendem Datenschutzrecht zulässig.

C. Die Parteien erkennen an, dass die Speicherung, Nutzung und Weitergabe personenbezogener Daten durch das Unternehmen gemäß den im DPA dokumentierten Anweisungen des Kunden ein wesentlicher Bestandteil der Bereitstellung der Dienste durch das Unternehmen und der Geschäftsbeziehung zwischen den Parteien ist.