optilyz Partner
Die optilyz GmbH ("optilyz") beauftragt Unterauftragsverarbeiter (einschließlich Dritter, wie nachfolgend aufgeführt), um sie bei der Bereitstellung des in den Allgemeinen Geschäftsbedingungen ("AGB") beschriebenen optilyz-Dienstes zu unterstützen. Definierte Begriffe, die hier verwendet werden, haben die gleiche Bedeutung wie in den AGB.
Was ist ein Unterauftragsverarbeiter
Ein Unterauftragsverarbeiter ist ein von optilyz beauftragter Dritter-Datenverarbeiter, der Zugriff auf Service-Daten (die personenbezogene Daten enthalten können) hat oder möglicherweise haben wird oder diese verarbeitet. optilyz beauftragt verschiedene Arten von Unterauftragsverarbeitern, um diverse Funktionen auszuführen, wie sie in den folgenden Tabellen erläutert sind.
Due Diligence
optilyz verpflichtet sich, ein wirtschaftlich sinnvolles Auswahlverfahren zu nutzen, mit dem sich Sicherheits-, Privatsphäre- und Vertraulichkeits-Praktiken der vorgeschlagenen Unterauftragsverarbeitern bewerten lassen, welche Zugriff auf Service-Daten haben oder haben werden oder diese verarbeiten.
Beauftragungsprozess neuer Unterauftragsverarbeiter
Alle Kunden, die die Standard-Datenschutzvereinbarung von optilyz unterschrieben haben, werden von optilyz anhand dieser Aktualisierungs-Richtlinie über die Liste der Unterauftragsverarbeiter informiert, die beauftragt sind oder die optilyz beabsichtigt zur Bereitstellung ihrer Dienste zu beauftragen. optilyz verpflichtet sich, diese Liste regelmäßig zu aktualisieren, um es den Kunden zu ermöglichen, über den Umfang der Unterverarbeitung in Bezug auf den optilyz-Dienst fortgehend informiert zu bleiben. Gemäß der Datenschutzrichtlinie kann ein Kunde der Verarbeitung seiner persönlichen Daten durch einen neuen Unterauftragsverarbeiter innerhalb von dreißig (30) Tagen, nach dem Update dieser Richtlinien, schriftlich widersprechen und muss dazu seine berechtigten Einwände darlegen. Wenn ein Kunde nicht innerhalb dieser Frist widerspricht, gilt der neue Unterauftragsverarbeiter als akzeptiert.
Wenn ein Kunde der Beauftragung des Unterauftragsverarbeiters gemäß der Datenschutzrichtlinien widerspricht, hat optilyz das Recht, den Widerspruch durch eine dieser Möglichkeiten aufzuheben (nach alleinigem Ermessen von optilyz ausgewählt):
optilyz wird die Beauftragung des Unterauftragsverarbeiters in Bezug auf personenbezogene Daten einstellen;
optilyz wird die vom Kunden angeforderten Korrekturmaßnahmen vornehmen, die der Kunde in seinem Widerspruch verlangt (und somit den Kundenwiderspruch aufheben) und wird weiterhin den Unterauftragsverarbeiter beauftragen, um persönliche Daten zu verarbeiten; oder
optilyz kann die Dienstleistung einstellen oder der Kunde kann zustimmen, denjenigen Aspekt des optilyz-Dienstes nicht zu nutzen (vorübergehend oder dauerhaft), der die Beauftragung des Unterauftragsverarbeiters zur Verarbeitung personenbezogener Daten beinhalten würde.
Kündigungsrechte sind, je nach Anwendbarkeit und Vereinbarung, ausschließlich in den Dateschutzrichtlinien festgelegt.
Im Folgenden wird eine aktuelle Liste (ab Datum dieser Richtlinie) der Namen und Standorte der optilyz-Unterauftragsverarbeiter und Content Delivery Netzwerke (einschließlich Dritter) dargestellt:
Infrastruktur-Unterauftragsverarbeiter - Service-Datenspeicherung
optilyz besitzt oder kontrolliert den Zugang zur Infrastruktur, die optilyz verwendet, um die an die Dienste übermittelten Service-Daten bereitzustellen, mit Ausnahme der unten aufgeführten. Derzeit befinden sich die optilyz Produktionssysteme in Co-Location-Standorten in Europa. Die Service-Daten des Kunden verbleiben anschließend in dieser Region, sofern nichts anderes zwischen dem Kunden und optilyz vereinbart wurde, können jedoch zwischen Rechenzentren innerhalb einer Region verschoben werden, um die Leistung und Verfügbarkeit der Dienste sicherzustellen. Die folgende Tabelle zeigt die Länder und Rechtspersonen, die mit der Speicherung der Service-Daten von optilyz beauftragt sind.
| Unternehmensname | Unternehmenstyp | Land | Adresse |
|---|---|---|---|
| Amazon Web Services EMEA Sàrl * | Cloud Service Anbieter | Luxemburg | 5 rue Plaetis, 2338 Luxembourg |
| MongoDB, Inc. ** | Datenbank Anbieter | USA | 229 W. 43rd Street, New York, NY 10036 |
*) Das Hosting der Daten erfolgt auf Servern bei Amazon Web Services in Frankfurt am Main (Deutschland). Es gibt keine Übertragung von Daten auf Server außerhalb Deutschlands. Rechtlicher Vertragspartner ist jedoch die Gesellschaft in Luxemburg
**) Es erfolgt keine Übertragung von Daten in die USA. Das Hosting der Datenbank erfolgt auf Servern bei Amazon Web Services in Frankfurt am Main (Deutschland) unter Einsatz der Technologie von MongoDB. Es gibt keine Übertragung von Daten auf Server außerhalb Deutschlands. Rechtlicher Vertragspartner ist jedoch die Gesellschaft in New York
Datenfluss und Verschlüsselung bei optilyz
Sowohl mit AWS als auch mit MongoDB arbeiten wir auf Basis der SCC (standard contractual clauses):
- Virtual Private Cloud (VPC) – Logisch isolierter Bereich der AWS-Cloud, in dem AWS-Ressourcen in einem von optilyz definierten virtuellen Netzwerk ausführen können. Siehe auch https://aws.amazon.com/de/vpc/
- Isolated and fully self-managed virtual environment – Virtualisierte Server-Umgebung, in der ein von optilyz installiertes Betriebssystem läuft. Durch entsprechende Konfiguration dieses System ist sichergestellt, dass sich kein Dritter Zugang zu diesem Server verschaffen kann und die Verarbeitungsprozesse auf diesem System nicht belauscht werden können (auch nicht AWS).
- Document-based encryption using account-specific secrets – Alle Daten (Dateien bzw. Datenbank-Einträge) werden mithilfe eines symmetrischen Verfahrens verschlüsselt (beim Schreiben) bzw. entschlüsselt (beim Lesen). Diese Ver- und Entschlüsselung geschieht innerhalb der Virtualisierte Server-Umgebung und der dazu notwendige Schlüssel ist für jeden optilyz-Kunden unterschiedlich und nur dem Kunden sowie optilyz bekannt. Die verwendeten Kundenspezifischen Schlüssel werden ebenfalls verschlüsselt in der VPC gespeichert.
Druck- und Post-Unterauftragsverarbeiter
optilyz arbeitet mit bestimmten Dritten zusammen, um Druck- und Postdienstleistungen anzubieten. Diese Anbieter sind die unten angegebenen Unterauftragsverarbeiter. Um relevante Funktionalitäten bereitzustellen, greifen diese Unterauftragsverarbeiter auf personenbezogene Daten zu.
| Name | Typ | Land | Adresse |
|---|---|---|---|
| Asendia Germany GmbH | Postdienstleister | Deutschland | Redcarstraße 3, 53842 Troisdorf |
| Borek media GmbH | Druckerei und Lettershop | Deutschland | Lüttgenröder Str. 4, 38835 Osterwieck |
| Central Mailing Services Ltd.* | Druckerei und Lettershop | Vereinigtes Königreich | Unit 59-60, Gravelly Industrial Park Tyburn Rd, Birmingham B24 8TQ, UK |
| dataform dialogservices GmbH | Druckerei und Lettershop | Deutschland | Wiesenstraße 1, 90614 Ammerndorf |
| direct services Gütersloh GmbH | Druckerei und Lettershop | Deutschland | An der Autobahn 300, 33333 Gütersloh |
| Deutsche Post Direkt GmbH | Adressdienstleister | Deutschland | Junkersring 57, 53844 Troisdorf |
| Funke Lettershop AG | Druckerei und Lettershop | Schweiz | Bernstrasse 217/223, 3052 Zollikofen |
| G.A. Service GmbH | Druckerei und Lettershop | Österreich | Siezenheimer Straße 39, 5020 Salzburg |
| Jetmail BV | Druckerei und Lettershop | Niederlande | Amperestraat 5, 2181 HB Hillegom |
| MMS Melter Mail Service GmbH | Druckerei und Lettershop | Deutschland | Lugwaldstraße 10, 75417 Mühlacker |
| NOVO-Organisationsmittel GmbH | Druckerei und Lettershop | Deutschland | Lievelingsweg 102-104, 53119 Bonn |
| OMS Online Mailing Service GmbH | Druckerei und Lettershop | Deutschland | Keplerstraße 5A, 41564 Kaarst |
| Ottweiler Druckerei und Verlag GmbH | Druckerei und Lettershop | Deutschland | Johannes-Gutenberg-Straße 14, 66564 Ottweiler |
| QUBUS media GmbH | Druckerei und Lettershop | Deutschland | Beckstraße 10, 30457 Hannover |
| Sattler Direct Mail GmbH & Co. KG | Druckerei und Lettershop | Deutschland | Daimlerring 2, 31135 Hildesheim |
| UNITED PRODUCTS GmbH | Druckerei und Lettershop | Deutschland | Schmidmühlener Str. 53, 93133 Burglengenfeld |
| WIRmachenDRUCK GmbH | Druckerei und Lettershop | Deutschland | Mühlbachstr. 7, 71522 Backnang |
*) Eine Übertragung von Daten nach Großbritannien erfolgt nur, wenn der Kunde explizit eine Kampagne für den Druck & Versand in Großbritannien bucht. In keinem anderen Fall überträgt optilyz personenbezogene Daten jedweder Art ohne vorherige Zustimmung des Kunden nach Großbritannien.
Content Delivery Netzwerke
Wie oben erläutert, können optilyz-Dienste Content Delivery Netzwerke (“CDNs”) nutzen, um diese Dienste anzubieten, aus Sicherheitsgründen, und um die Bereitstellung des Inhalts zu optimieren. CDNs haben keinen Zugriff auf Service-Daten, sondern sind üblicherweise genutzte Systeme, die Inhalte, basierend auf dem geografischen Standort der zugreifenden Person und der Herkunft des Inhalts-Anbieters bereitstellen. Webseiteninhalte, die Besuchern angezeigt werden und Informationen zum Domain-Namen können in einem CDN gespeichert werden, um die Übertragung zu beschleunigen. Und Informationen, die innerhalb eines CDN übertragen werden, können von diesem CDN abgerufen werden, um ihre Funktionen zu gewährleisten. Im Folgenden wird die Verwendung von CDNs durch die optilyz-Dienste beschrieben.
| CDN Dienstleister | Dienste, die CDN verwenden | CDN Ort | Beschreibung der CDN-Dienste |
|---|---|---|---|
| Amazon Web Services, Inc. | Alle optilyz Dienstleistungen | Global | Öffentliche Webseiten-Inhalte, die Webseiten-Besuchern zur Verfügung gestellt werden, können bei Amazon Web Services, Inc. gespeichert und von Amazon Web Services, Inc. an Webseiten-Besucher übertragen werden, um die Übertragung zu beschleunigen. |