Datenschutzbedingungen für Eigentümer digitaler Vermögenswerte

Last Update: October 10, 2024

Gültigkeitsdatum: 10. Oktober 2024

Diese Datenschutzbedingungen von Taboola für Eigentümer digitaler Vermögenswerte („Datenschutzbedingungen für Publisher“) gelten für die digitalen Werbedienste von Taboola, wie z. B. wenn Taboola Inhalte von Werbetreibenden auf den Eigenschaften von Publishern platziert, einschließlich, aber nicht beschränkt auf, Produkte und Dienstleistungen von Publishern wie Taboola Newsroom, Header Bidding, Taboola Home Page 4 You, Taboola News und Taboola Push, gemäß einer Vereinbarung zwischen Taboola und einem Publisher („Vereinbarung“), und diese Datenschutzbedingungen für Publisher gelten als in jede solche Vereinbarung integriert und bilden einen integralen Bestandteil davon. Diese Datenschutzbedingungen für Publisher identifizieren die Rollen und Verantwortlichkeiten von Taboola und dem Publisher in Bezug auf personenbezogene Daten.

Sollte es einen Konflikt zwischen den Datenschutzbedingungen des Publishers und dem Vertrag geben, so gelten die Datenschutzbedingungen des Publishers, es sei denn, die widersprüchliche Bestimmung im Vertrag verweist ausdrücklich auf die widersprüchliche Bestimmung dieser Datenschutzbedingungen des Publishers und gibt an, dass sie die widersprüchliche Bestimmung ersetzt.

Begriffe, die in diesem Abschnitt definiert sind, haben die nachstehend angegebenen Bedeutungen, und verwandte Begriffe sind entsprechend auszulegen. Die in den Datenschutzbedingungen des Publishers verwendeten, aber nicht definierten Begriffe haben die in dem Vertrag definierten Bedeutungen.

      1. Anwendbare Datenschutzgesetze“ bezeichnet alle anwendbaren bundesstaatlichen, nationalen, staatlichen oder anderen Datenschutz- und Datenschutzgesetze, die auf die Verarbeitung anwendbar sind, die Gegenstand des Vertrags und dieser Datenschutzbedingungen des Publishers ist, wie sie von Zeit zu Zeit geändert oder ersetzt werden können.
      2. Kalifornisches Datenschutzgesetz“ bezeichnet das kalifornische Datenschutzgesetz von 2018, Cal. Zivilgesetzbuch § 1798.100 ff. (auch „CCPA“), in der geänderten Fassung (einschließlich des kalifornischen Datenschutzrechtsgesetzes) sowie alle untergeordneten Gesetze und Durchführungsverordnungen.
      3. Verantwortlicher“ bezeichnet: (i) eine Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, und (ii) jede Person oder Stelle, die unter den Begriff „Verantwortlicher“ oder „Unternehmen“ (oder einen wesentlich ähnlichen Begriff) fällt, wie er in den anwendbaren Datenschutzgesetzen definiert ist.
      4. Betroffene Person“ bezeichnet: (i) eine identifizierte oder identifizierbare natürliche Person (und für diese Zwecke ist eine identifizierbare natürliche Person eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Identifikator oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind), und (ii) jede Person, die unter den Begriff „Betroffene Person“, „Verbraucher“ (oder einen wesentlich ähnlichen Begriff) fällt, wie er in den Datenschutzgesetzen definiert ist.
      5. EU-Datenschutzgesetz“ bezeichnet: (i) die EU-Datenschutz-Grundverordnung (Verordnung 2016/679) („EU GDPR“); (ii) die EU-Richtlinie über die Privatsphäre in der elektronischen Kommunikation (Richtlinie 2002/58/EG); und (iii) alle nationalen Datenschutzgesetze, die aufgrund von (i) oder (ii) erlassen wurden, jeweils in der von Zeit zu Zeit geänderten oder ersetzten Fassung.
      6. Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (und dieser Begriff umfasst, wo es das anwendbare Datenschutzgesetz erfordert, eindeutige Browser- oder Gerätekennungen), wie in Anhang A, Teil B, dargelegt.
        1. Interaktions-Personenbezogene Daten“ bezeichnet alle personenbezogenen Daten, die von Verbrauchern zum Zeitpunkt oder nach einer absichtlichen Interaktion eines Verbrauchers mit Taboola, den Produkten von Taboola, den Eigenschaften von Taboola und den von Taboola geschalteten Anzeigen gesammelt werden.
        2. Passive-Interaktions-Personenbezogene Daten“ bezeichnet alle personenbezogenen Daten, die passiv von Publisher-Eigenschaften gesammelt werden, einschließlich, aber nicht beschränkt auf, IP-Adresse, Seiten-URL und User Agent String, die von Taboola vor oder ohne eine absichtliche Interaktion eines Verbrauchers mit Taboola, den Produkten von Taboola, den Eigenschaften von Taboola und den von Taboola geschalteten Anzeigen gesammelt werden.
      7. Verarbeitung“ bezeichnet jede Operation oder eine Reihe von Operationen, die an personenbezogenen Daten oder an Mengen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisiert erfolgt, wie z.B. Sammlung, Empfang, Aufzeichnung, Organisation, Strukturierung, Nutzung, Übertragung, Zugriff, Teilen, Offenlegung, Übertragung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Aggregation, Ableitung, Analyse, Einschränkung, Löschung, Zerstörung oder Entsorgung oder andere Handhabung personenbezogener Daten, einschließlich der Definition dieses Begriffs gemäß dem anwendbaren Datenschutzgesetz.
      8. Auftragsverarbeiter“ bezeichnet eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, und umfasst, wie dieser Begriff und/oder der Begriff „Datenverarbeiter“ (oder ein wesentlich ähnlicher Begriff) im anwendbaren Datenschutzgesetz definiert ist.
      9. Eingeschränkter Transfer“ bezeichnet: (i) wo die EU GDPR Anwendung findet, einen Transfer personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht einer Angemessenheitsentscheidung der Europäischen Kommission unterliegt (ein “EU-Eingeschränkter Transfer“); und (ii) wo die UK GDPR Anwendung findet, einen Transfer personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht den Angemessenheitsvorschriften gemäß Abschnitt 17A des Datenschutzgesetzes des Vereinigten Königreichs von 2018 unterliegt oder darauf basiert (ein “UK-Eingeschränkter Transfer“).
      10. Services““ bedeutet Dienstleistungen, die von Taboola im Rahmen der Vereinbarung mit dem Publisher bereitgestellt werden.
      11. „Security Incident“ bedeutet einen Sicherheitsvorfall, der zu einer unbeabsichtigten oder unrechtmäßigen Zerstörung, Verlust, Änderung, unbefugten Offenlegung oder dem Zugriff auf personenbezogene Daten führt.
      12. „Standard Contractual Clauses“ bedeutet: (i) wo die EU-DSGVO gilt, die vertraglichen Klauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standard Contractual Clauses für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates angehängt sind („EU SCCs“); und (ii) wo die UK-DSGVO gilt, das “Internationale Datenübertragungs-Addendum zu den Standard Contractual Clauses der EU-Kommission”, das vom Informationsbeauftragten gemäß § 119A(1) des DPA 2018 herausgegeben wurde („UK Addendum“).
      13. Third Party“ bedeutet ein Unternehmen, das als Verantwortlicher in Bezug auf personenbezogene Daten handelt und das nicht das Unternehmen ist, mit dem die betroffene Person, deren personenbezogene Daten verarbeitet werden, absichtlich interagiert hat; der Begriff umfasst, wie dieser Begriff unter dem anwendbaren Datenschutzrecht definiert ist.
      14. UK Data Protection Law“ bedeutet: (i) das UK Data Protection Act 2018, (ii) die UK-DSGVO (wie in § 3(10) des UK Data Protection Act 2018 definiert) („UK GDPR“), (iii) die UK Datenschutz- und Elektronikkommunikations (EG-Richtlinie) Vorschriften 2003 und (iv) alle anderen britischen Gesetze, die unter oder gemäß (i), (ii) oder (iii) erlassen wurden, jeweils wie sie von Zeit zu Zeit geändert oder ersetzt werden können.

Für personenbezogene Daten, die im Zusammenhang mit den Dienstleistungen verarbeitet werden, stimmen die Parteien zu, dass sie die personenbezogenen Daten, die sie erheben, nur für die in Anhang A, Teil B (die „Erlaubten Zwecke“) beschriebenen Zwecke und wie in diesen Datenschutzbedingungen für Publisher, der Vereinbarung und den anwendbaren Datenschutzgesetzen erlaubt, verarbeiten, wobei jede dieser Bestimmungen von Zeit zu Zeit aktualisiert werden kann. Taboola kann auch die personenbezogenen Daten aus passiven Interaktionen gemäß der Datenschutzrichtlinie von Taboola verarbeiten, die von Zeit zu Zeit aktualisiert werden kann.

Jede Partei verarbeitet die personenbezogenen Daten aus passiven Interaktionen, die sie erhebt, als Verantwortlicher oder Dritte, je nach Fall. Jede Partei verarbeitet die personenbezogenen Daten aus Interaktionen, die sie erhebt, als Verantwortlicher oder Unternehmen, je nach Fall. Offenlegungen (ob direkt oder über eine Partei, die Daten der anderen Partei zur Verfügung stellt) von personenbezogenen Daten von einer Partei an die andere sind Offenlegungen an Dritte.

      1. Wenn US- oder US-Bundesstaat Datenschutzrecht auf personenbezogene Daten anwendbar ist, einschließlich, aber nicht beschränkt auf das kalifornische Datenschutzgesetz, soweit Taboola personenbezogene Daten aus passiven Interaktionen im Zusammenhang mit den Dienstleistungen verarbeitet, handelt Taboola als Dritte für den Publisher in Bezug auf solche personenbezogenen Daten aus passiven Interaktionen. Taboola wird solche personenbezogenen Daten aus passiven Interaktionen für die in Anhang A, Teil B beschriebenen Zwecke und wie in diesen Datenschutzbedingungen für Publisher, der Vereinbarung, dem anwendbaren Datenschutzrecht und der Datenschutzrichtlinie von Taboola erlaubt, verarbeiten, wobei jede von Zeit zu Zeit aktualisiert werden kann. Solche personenbezogenen Daten aus passiven Interaktionen werden Taboola nur für diese Zwecke zur Verfügung gestellt. Taboola wird das gleiche Maß an Datenschutz gewährleisten, das von Unternehmen durch die anwendbaren US-Datenschutzgesetze gefordert wird, einschließlich, falls zutreffend, der kalifornischen Datenschutzgesetze. Der Publisher hat das Recht sicherzustellen, dass Taboola personenbezogene Daten aus passiven Interaktionen in einer Weise verwendet, die mit den Verpflichtungen des Publishers übereinstimmt. Nach Benachrichtigung an Taboola hat der Publisher das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um die unbefugte Nutzung personenbezogener Daten, die er Taboola zur Verfügung stellt, zu stoppen und zu beheben. Taboola wird den Publisher innerhalb des von den anwendbaren Datenschutzgesetzen geforderten Zeitraums informieren, wenn Taboola feststellt, dass sie ihren Verpflichtungen gemäß den anwendbaren Datenschutzgesetzen nicht mehr nachkommen kann. Soweit Taboola personenbezogene Daten aus Interaktionen im Zusammenhang mit den Dienstleistungen erhebt, wird sie dies als separates Unternehmen tun.

Die Parteien erkennen an, dass sie personenbezogene Daten verarbeiten können und dass die geltenden Datenschutzgesetze auf die Verarbeitung personenbezogener Daten durch jede Partei anwendbar sein können. In diesem Fall hat jede Partei die geltenden Datenschutzgesetze in Bezug auf ihre Verarbeitung personenbezogener Daten einzuhalten. In diesem Fall und vorbehaltlich Abschnitt 7 ist jede Partei individuell für die Einhaltung der geltenden Datenschutzgesetze verantwortlich, einschließlich aller anwendbaren Anforderungen, um: (i) Transparenz gegenüber den betroffenen Personen zu gewährleisten, (ii) eine Einwilligung oder eine andere rechtmäßige Grundlage für die Verarbeitung zu haben und (iii) einen Kontaktpunkt bereitzustellen, über den betroffene Personen ihre Datenschutzrechte ausüben können. Der Publisher hat Taboola unverzüglich zu benachrichtigen, wenn und soweit er eine Anfrage zu Datenschutzrechten bezüglich der Verarbeitung personenbezogener Daten durch Taboola als Verantwortlichen erhält, damit Taboola die Anfrage gemäß seinen Verpflichtungen nach dem geltenden Datenschutzrecht erfüllen kann.

  1. Der Publisher hat alle Anfragen von betroffenen Personen bezüglich der Dienste von Taboola an Taboolas globales Portal für Anfragen von betroffenen Personen oder U.S. zu richten. Portal für Verbraucherrechte Opt-Out, sofern zutreffend.

Wenn eine der Parteien eine Anfrage, Beschwerde oder Korrespondenz (eine „Drittanbieter-Benachrichtigung“) von einer Person, einem Regulierungsbehörde oder einem anderen Dritten bezüglich der Verarbeitung personenbezogener Daten von betroffenen Personen im Zusammenhang mit den Diensten erhält, hat sie die andere Partei unverzüglich zu informieren, und die Parteien werden in gutem Glauben und nach vernünftigem Ermessen zusammenarbeiten, um die Anforderungen dieser Drittanbieter-Benachrichtigung zu erfüllen.

Im Falle einer eingeschränkten Übertragung personenbezogener Daten von einer Partei an die andere gelten die Bestimmungen von Anhang C.

Soweit Taboola personenbezogene Daten von den Eigenschaften des Publishers unter Verwendung des Taboola-Codes, Pixels und anderer Tracking-Technologien erhebt, hat der Publisher: (i) alle erforderlichen Transparenzhinweise an die betroffenen Personen über die Verwendung des Taboola-Codes zur Erhebung personenbezogener Daten von den Eigenschaften des Publishers für die zulässigen Zwecke bereitzustellen und (ii) die Einwilligung der betroffenen Personen für die Verwendung des Taboola-Codes für die zulässigen Zwecke zu erhalten (und auf Anfrage von Taboola jederzeit geeignete Nachweise zu erbringen), jeweils in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze. Die Verpflichtungen des Publishers in dieser Hinsicht umfassen die Identifizierung von Taboola und dessen Verwendung des Taboola-Codes für die zulässigen Zwecke ausdrücklich in den Transparenzhinweisen und Einwilligungsaufforderungen, die der Publisher den betroffenen Personen bereitstellt, sowie alle anderen Informationen, die von den geltenden Datenschutzgesetzen gefordert werden, damit Taboola seine Dienste rechtmäßig über diese Eigenschaften bereitstellen und personenbezogene Daten für die zulässigen Zwecke verarbeiten kann. Auf schriftliche Anfrage wird Taboola dem Publisher die Informationen zur Verfügung stellen, die der Publisher vernünftigerweise über den Taboola-Code und die Verarbeitung personenbezogener Daten durch Taboola über die Eigenschaften des Publishers benötigt, damit der Publisher sicherstellen kann, dass seine Hinweise und Einwilligungsmechanismen den geltenden Datenschutzgesetzen entsprechen. Der Publisher stimmt ausdrücklich zu, dass:

  1. in Bezug auf seine webbasierten Eigenschaften die Datenschutzrichtlinie des Publishers die Verwendung von Cookies, eindeutigen Identifikatoren und Technologien ohne Cookies durch Dritte (d.h. Taboola) für interessenbasierte Werbung und Analysen (auf und außerhalb der Eigenschaften) beschreibt und einen Link zur Opt-out-Seite der NAI unter http://www.networkadvertising.org, zur Opt-out-Seite der DAA unter http://www.aboutads.info oder (in Bezug auf europäische webbasierte Medien und Datenerhebung) einen Link zum Opt-out-Link der EDAA unter http://www.youronlinechoices.eu bereitstellt, in einer Weise, die den Anforderungen des geltenden Datenschutzrechts entspricht; und
  2. in Bezug auf mobile app-basierte Eigenschaften die Datenschutzrichtlinie des Publishers die Verwendung von SDKs und die Erhebung von mobilen Anzeigenidentifikatoren für interessenbasierte oder plattformübergreifende Werbung und Analysen (auf und außerhalb der Eigenschaften) beschreibt; und eine Beschreibung bereitstellt, wie Benutzer und Besucher sich über die Geräteeinstellungen von der Erhebung mobiler Daten für plattformübergreifende Werbung abmelden können.
  3. für seine EU-ausgerichteten Eigenschaften hat der Publisher sicherzustellen, dass er die frei gegebene, spezifische, informierte und eindeutige Einwilligung der Besucher gemäß dem EU-Datenschutzrecht einholt, hinsichtlich des Setzens oder Zugriffs auf Cookies von Taboola oder andere eindeutige Identifikatoren auf den Geräten der Besucher. Der Publisher hat seinen Besuchern Kontaktdaten bereitzustellen (die auch über die Datenschutzrichtlinie verfügbar gemacht werden können), damit sie den Publisher kontaktieren können, um ihre Datenschutzrechte auszuüben (einschließlich in Bezug auf personenbezogene Daten, die im Zusammenhang mit den Diensten verarbeitet werden). Die vorstehenden Verpflichtungen gelten, wenn die Publisher-Eigenschaften Besucher in Rechtsordnungen anziehen, die Zustimmungsmechanismen in Bezug auf die Dienste erfordern.

Während der Laufzeit kann Taboola dem Publisher empfohlene Datenschutzrichtlinien oder Offenlegungstexte zur Verfügung stellen. Der Publisher erkennt an, dass er sich nicht auf solche empfohlenen Texte als rechtliche Beratung oder als Ersatz dafür verlassen darf und dass der Publisher oder das Unternehmen selbst allein verantwortlich ist für alle Offenlegungen in seiner Datenschutzrichtlinie oder auf seiner Website.

Der Publisher darf die Dienste nicht bereitstellen oder konfigurieren, um Taboola besondere Kategorien personenbezogener Daten oder sensible persönliche Informationen oder sensible Daten (wie sie im anwendbaren Datenschutzrecht definiert sind) zur Verarbeitung zur Verfügung zu stellen oder offenzulegen. Darüber hinaus muss der Publisher sicherstellen, dass keine Seiten-URLs, die Taboola zur Verfügung gestellt werden, Videotitelinformationen enthalten. Taboola behält sich das Recht vor, die Dienste auszusetzen, wenn der Publisher gegen diesen Absatz verstößt, es sei denn, dieser Verstoß wird behoben.

Jede Partei muss angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen, um die personenbezogenen Daten der Besucher vor einem Sicherheitsvorfall zu schützen. Diese Maßnahmen umfassen die in Anhang B festgelegten Maßnahmen.

Wenn eine der Parteien einen Sicherheitsvorfall in Bezug auf personenbezogene Daten erleidet, die sie verarbeitet und die Gegenstand des Vertrags und dieser Datenschutzbedingungen für Publisher sind, hat diese Partei: (i) die Verantwortung, (auf eigene Kosten) alle Berichtspflichten zu erfüllen, die ihr gemäß den anwendbaren Datenschutzgesetzen gegenüber den Datenschutzbehörden und/oder betroffenen betroffenen Personen obliegen, (ii) die andere Partei ohne unangemessene Verzögerung zu benachrichtigen und der anderen Partei die Informationen über den Sicherheitsvorfall bereitzustellen, die von der anderen Partei angemessen angefordert werden können oder die anderweitig erforderlich sind, damit die andere Partei feststellen kann, ob sie ebenfalls Berichtspflichten gemäß den anwendbaren Datenschutzgesetzen in Bezug auf den Sicherheitsvorfall hat, und (iii) alle erforderlichen Maßnahmen zu ergreifen, ohne unangemessene Verzögerung, um die Auswirkungen des Sicherheitsvorfalls zu beheben und/oder zu mindern.

Soweit und insoweit dies von den anwendbaren Datenschutzgesetzen, denen jede Partei unterliegt, gefordert wird, hat jede Partei eine Datenschutz-Folgenabschätzung in Bezug auf ihre Verarbeitung personenbezogener Daten für die zulässigen Zwecke durchzuführen und/oder sich bei den zuständigen Datenschutzbehörden zu beraten, wenn dies erforderlich ist. Jede Partei muss alle angemessene Zusammenarbeit und Informationen bereitstellen, die von der anderen Partei angemessen angefordert werden, wenn dies erforderlich ist, um der anderen Partei zu ermöglichen, eine Datenschutz-Folgenabschätzung durchzuführen und/oder sich gemäß den Verpflichtungen der anderen Partei in diesem Abschnitt bei den zuständigen Datenschutzbehörden zu beraten.

A. LISTE DER PARTEIEN

Jede Partei ist:

  • ein Datenverantwortlicher (und Datenexporteur) der gesammelten Daten, die sie der anderen Partei offenlegt oder zur Verfügung stellt, und
  • ein Datenverantwortlicher (und Datenimporteur) der gesammelten Daten, die sie von der anderen Partei erhält oder auf die der Zugang von der anderen Partei bereitgestellt wird.

Die Einzelheiten jeder Partei sind unten aufgeführt.

Name: Siehe die Angaben des Herausgebers, die im Vertrag festgelegt sind.

Adresse: Siehe die Angaben des Herausgebers, die im Vertrag festgelegt sind.

Name, Position und Kontaktdaten der Kontaktperson: Siehe die Angaben des Herausgebers, die im Vertrag festgelegt sind, oder anderweitig schriftlich zwischen den Parteien vereinbart.

Aktivitäten, die für die unter diesen Klauseln übertragenen Daten relevant sind: Der Erhalt der Dienstleistungen, wie im Vertrag festgelegt.

Unterschrift und Datum: Dieser Anhang A gilt als ausgeführt, sobald der Publisher diese Datenschutzbedingungen akzeptiert hat.

Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher (wenn er ein Datenexporteur ist) und Verantwortlicher (wenn er ein Datenimporteur ist)

 

Name: Siehe die Details von Taboola, die in der Einleitung des Vertrags aufgeführt sind.

Adresse: Siehe die Details von Taboola, die in der Einleitung des Vertrags aufgeführt sind.

Name, Position und Kontaktdaten der Kontaktperson: Das Datenschutzteam von Taboola: privacy@taboola.com.

Aktivitäten, die für die unter diesen Klauseln übertragenen Daten relevant sind: Die Bereitstellung der Dienstleistungen, wie im Vertrag festgelegt.

Unterschrift und Datum: Dieser Anhang A gilt als ausgeführt, sobald Taboola diese Datenschutzbedingungen akzeptiert hat.

Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher (wenn er ein Datenexporteur ist) und Verantwortlicher (wenn er ein Datenimporteur ist)

 

B. BESCHREIBUNG DER VERARBEITUNG UND ÜBERTRAGUNG 

Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet und/oder übertragen werden: Nutzer

Kategorien von personenbezogenen Daten, die verarbeitet und/oder übertragen werden:

Gerätedaten: Gerät des Nutzers, Browser und Betriebssystem; Informationen zum mobilen Gerät (alle mobilen IDs sind gehasht), einschließlich IDFAs und AAIDs; Cookie-Daten, die von Taboola gelesen oder bereitgestellt werden können (alle Cookie-IDs/Nutzer-IDs sind gehasht); IP-Adressen; gehashte E-Mails; verweisende Website; Sprache des Nutzers; Land / Region / Stadt. Wenn mobile Apps Teil der Dienste sind, umfassen zusätzliche Datenelemente verkürzte und ungenaue Breiten-/Längengrade, Verbindungstyp und Bildschirmabmessungen.

Daten über digitale Eigenschaften, die vom Nutzer besucht wurden: wie die Plattform angezeigt wurde und ob der Nutzer mit der Plattform interagiert hat; Verhalten im Web oder in der App.

Soweit Header Bidding Teil der Dienste ist, gilt Folgendes:

  • Bid Request / Bid Response: Eindeutige ID der Bid Request, IMP object, das den angebotenen Eindruck darstellt, Publisher-Website oder -App, die dargestellt wird, App, Gerät, Auktionstyp, maximale Zeit, Währung, blockierte Kategorien, Geräte-ID, Taboola-Nutzer-ID, aufrufende Tag-Partner: URL.

In Bezug auf Taboola Newsroom gilt Folgendes:

  • Ereignisse von der Website des Publishers: Konversionsdaten
  • Informationen über den Browser des Nutzers, die aus dem User-Agent gelesen werden: Die URL der besuchten Seite, die verweisende Website, Betriebssystem, Browsertyp und Browserversion, zugehörige gehashte Taboola-Nutzer-ID, die aus dem Cookie gelesen wird, zugehörige IP-Adresse (nach 30 Tagen verkürzt).

Übertragene sensible Daten (sofern zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strenge Zweckbeschränkungen, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), das Führen eines Zugriffsprotokolls auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen: Nicht zutreffend.

Die Häufigkeit der Verarbeitung und/oder Übertragungen (z. B. ob die Daten einmalig oder kontinuierlich verarbeitet und/oder übertragen werden): Kontinuierlich für die Dauer des Vertrags.

Art der Verarbeitung: Verarbeitung personenbezogener Daten, die für die Bereitstellung der Dienstleistungen erforderlich sind, wie im Vertrag festgelegt.

Zweck(e) der Datenverarbeitung / -übertragung und weiterer Verarbeitung: Die Bereitstellung der Dienstleistungen, wie im Vertrag dargelegt. Um Zweifel auszuschließen, umfassen die zulässigen Zwecke: (i) Speichern und/oder Zugreifen auf Informationen auf einem Gerät; (ii) Auswahl grundlegender Anzeigen; (iii) Erstellen eines personalisierten Anzeigenprofils; (iv) Auswahl personalisierter Anzeigen; (v) Erstellen eines personalisierten Inhaltsprofils; (vi) Auswahl personalisierter Inhalte; (vii) Messung der Anzeigenleistung; (viii) Messung der Inhaltsleistung; (ix) Entwicklung und Verbesserung von Produkten; (x) Gewährleistung der Sicherheit, Betrugsprävention und Fehlersuche; (xi) Technische Bereitstellung von Anzeigen oder Inhalten; (xii) Abgleich und Kombination von Offline-Datenquellen; (xiii) Verknüpfung verschiedener Geräte; (xiv) Empfang und Nutzung automatisch gesendeter Gerätemerkmale zur Identifizierung; (xv) Verwendung begrenzter Daten zur Auswahl von Inhalten und (xvi) Speichern und Kommunizieren von Datenschutzentscheidungen.

In Bezug auf Taboola Newsroom gilt Folgendes: (i) Verfolgung von Abonnement-Konversionsereignissen.

In Bezug auf Taboola Push gilt der folgende zusätzliche Zweck: (i) Senden von Benachrichtigungen an das Gerät eines Nutzers.

In dem Maße, in dem Header Bidding Teil der Dienste ist, gilt der folgende zusätzliche Zweck: (i) Bestimmung, ob auf einen Platz geboten werden soll und Bereitstellung personalisierter Empfehlungen.

In dem Maße, in dem Home Page 4 You Teil der Dienste ist, gilt der folgende zusätzliche Zweck: (i) Automatisierung und Kuratierung von Verlegerinhalten innerhalb der festgelegten digitalen Eigentumshomepages.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:

  • Taboola: Rohdaten werden maximal 13 Monate lang gespeichert.
  • Werbetreibender: So lange, wie es erforderlich ist, um die Dienstleistungen zu erhalten oder wie im Vertrag anders angegeben.

Für Übertragungen an (Unter-)Auftragsverarbeiter, auch den Gegenstand, die Art und die Dauer der Verarbeitung angeben: Nicht zutreffend.

 

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Zuständige Aufsichtsbehörde, wo die EU-DSGVO Anwendung findet: Die zuständige Aufsichtsbehörde für jede Partei ist wie unten beschrieben:

  • Taboola: Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU SCCs bestimmt.
  • Werbetreibender: Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU SCCs bestimmt.

Zuständige Aufsichtsbehörde, wenn die UK GDPR Anwendung findet: Das Informationskommissariat

Beschreibung der technischen und organisatorischen Maßnahmen, die von jeder Partei umgesetzt wurden (einschließlich aller relevanten Zertifizierungen), um ein angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten:  Taboola sammelt nur pseudonymisierte Daten, was bedeutet, dass wir nicht wissen, wer Sie sind, da wir den Namen, die E-Mail-Adresse oder andere identifizierbare Daten des Nutzers nicht kennen oder verarbeiten. Die Benutzerinformationen, die wir sammeln, umfassen, sind aber nicht beschränkt auf, Informationen über das Gerät und das Betriebssystem eines Nutzers, die IP-Adresse, die von Nutzern innerhalb der Websites unserer Kunden aufgerufenen Webseiten, den Link, der einen Nutzer zur Website eines Kunden geführt hat, die Daten und Zeiten, zu denen ein Nutzer auf die Website eines Kunden zugreift, und andere Web-Browsing-Daten. Die CookieID wird anonymisiert, indem Bcrypt verwendet wird, und die IP-Adresse wird gekürzt.

Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten: Taboola verwendet mehrere Ebenen elektronischer Sicherheit (z. B. Endpunktsicherheit, serverseitige Sicherheit, Überwachung von Erkennungen, regelmäßige Penetrationstests und umfassende Intelligenzsammlung zur Überprüfung von Nachbearbeitungsereignissen).

Maßnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen: Taboola betreibt weltweit 9 Rechenzentren. Jedes Rechenzentrum wird als Replikation eines anderen verwendet, sodass, wenn eines ausfällt, die Daten aus einem anderen Rechenzentrum extrahiert werden können.

Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Taboola hat strenge Prozesse zur Prüfung der Wirksamkeit seiner Kontrollen (sowohl technischer als auch organisatorischer Art) etabliert. Wir haben Systemprotokollierung und -überwachung eingerichtet, monatliche (mindestens) DR-Tests, vierteljährliche Penetrationstests, Firewalls, die das Web schützen, und Honeypots, die im Netzwerk verteilt sind, um böswillige Aktivitäten zu finden. Darüber hinaus haben wir ein Belohnungsprogramm eingerichtet, das uns hilft, unser Netzwerk ständig zu überwachen.

Maßnahmen zur Benutzeridentifikation und -autorisierung: Jeder Benutzer bei Taboola ist mit einem speziellen Benutzernamen und Passwort verbunden. Jeder Zugriff auf das interne Netzwerk von Taboola erfolgt mit 2FA unter Verwendung der Google-Authentifizierung. Benutzer werden nur von der IT-Abteilung während des Onboarding-Prozesses erstellt und nur nach Erhalt aller Details und des unterzeichneten Vertrags von der Personalabteilung.

Maßnahmen zum Schutz von Daten während der Übertragung: Taboola unterstützt jede Datenübertragung über sichere Übertragungsprotokolle (HTTPS und TLS v1.2 mindestens). Darüber hinaus sind Systeme, die möglicherweise personenbezogene Informationen enthalten, gesichert und die Daten werden gehasht und anonymisiert aufbewahrt.

Maßnahmen zum Schutz von Daten während der Speicherung: Daten, die in unseren Datenbanken gespeichert sind, werden anonymisiert und mit Bcrypt gehasht. Der Zugriff auf die DB ist minimiert und erfolgt nach dem Prinzip des ‚geschäftlichen Bedarfs zu wissen‘.

Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden: Jedes der globalen Rechenzentren von Taboola (in den USA, Europa und Asien) hat alle seine Server in verschlossenen Schränken, die ausschließlich für die Nutzung von Taboola gewartet werden. Diese Schränke werden von Unternehmen gewartet, die entweder SOC2-certified sind oder deren Sicherheitsmaßnahmen von Taboola überprüft wurden. Darüber hinaus erfordert der Zugang zu den Servern eine schriftliche, protokollierte Genehmigung. Alle Büros von Taboola sind ebenfalls kontrolliert und erfordern, dass Mitarbeiter Zugangskarten verwenden, um einzutreten. Darüber hinaus haben nur eine begrenzte Anzahl von Mitarbeitern Zugang zu den Servern von Taboola, und jeder Zugang erfordert ebenfalls eine schriftliche, protokollierte Genehmigung.

Maßnahmen zur Sicherstellung der Ereignisprotokollierung: Taboola implementiert Überwachungstools und Protokolle werden in unser SIEM-System gesammelt, das uns bei verdächtigen Ereignissen alarmiert und auch vom NOC-Team überwacht wird.

Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration: Server werden sowohl auf Konfigurationsabweichungen als auch auf Patch-Level gescannt. Berichterstattung und/oder Alarmierung sind auf beiden eingestellt, und das relevante Patch-Level wird bestätigt. Neue Patches werden mit Puppet verteilt. Alle technischen Überprüfungen werden über die R&D-Anwendung verwaltet und durch einen formalen Überprüfungsprozess (QA) nach der Codierung und den CI/CD processes ebenfalls durchgeführt.

Maßnahmen für die interne IT- und IT-Sicherheitsgovernance und -management: Taboola ist nach ISO 27001:2013 und 27701 zertifiziert. Taboola hat eine Informationssicherheitspolitik, die besagt, dass der Vorstand und das Management von Taboola sich verpflichtet haben, die Vertraulichkeit, Integrität und Verfügbarkeit aller physischen und elektronischen Informationsressourcen in der gesamten Organisation zu wahren. Taboola führt Sicherheitsschulungen für alle neuen Mitarbeiter, Phishing-Schulungen für alle Mitarbeiter weltweit und regelmäßige Sicherheitsschulungen für alle Mitarbeiter durch und widmet auch spezielle Sitzungen für R&D-Gruppen.

Maßnahmen zur Zertifizierung/Gewährleistung von Prozessen und Produkten: Vierteljährliche / halbjährliche / jährliche interne Audits zu mehreren Prozessen und Systemen, um zu validieren, dass Taboola seine Sicherheitsziele und definierten Maßnahmen einhält.

Maßnahmen zur Sicherstellung der Datenminimierung: Taboola beschränkt absichtlich die Daten, die wir im Rahmen der globalen Datenminimierungsprinzipien von Taboola sammeln, indem wir nur die begrenzten Daten verarbeiten, die für unsere spezifischen Geschäftszwecke erforderlich sind. Darüber hinaus hat Taboola nicht die Fähigkeit und auch keinen geschäftlichen Bedarf, um Datenpunkte, die in unserem Algorithmus verwendet werden, “rückgängig zu machen”, um unsere Dienste bereitzustellen. Genauer gesagt sind die Datenpunkte, die Taboola sammelt, niemals ein Hinweis auf die Identität eines Nutzers – da Taboola keine Informationen wie den Namen, die Telefonnummer, die E-Mail oder physische Adressen des Nutzers sammelt oder verarbeitet. Stattdessen sammelt Taboola nur pseudonyme Identifikatoren, die lediglich Merkmale des Geräts eines Nutzers identifizieren. Dies umfasst IP-Adressen (die bei der Erfassung gekürzt werden und nur den allgemeinen Standort des Geräts in Bezug auf die Postleitzahl identifizieren können, jedoch niemals eine präzise Geolokalisierung) und in einigen begrenzten Fällen gehashte E-Mail-Adressen (die von Natur aus irreversibel sind und nicht entschlüsselt werden können, um die ursprüngliche E-Mail-Adresse offenzulegen). Darüber hinaus kann die von uns gesammelte Datenmenge, selbst wenn sie kollektiv verwendet wird, niemals den Namen, die Telefonnummer, die E-Mail oder die physische Adresse einer Person ergeben, und unsere Ingenieure arbeiten in keiner Weise daran, dieses Ziel zu erreichen. Zusätzlich erstellt und dokumentiert Taboola Datenschutz-Folgenabschätzungen, um die Datenschutzrisiken unserer Dienste, Prozesse und Richtlinien zu minimieren.

Maßnahmen zur Sicherstellung der Datenqualität: Die Daten werden direkt vom Nutzer erfasst, und der Nutzer hat die Möglichkeit, alle mit seiner Cookie-ID verbundenen Daten über das Taboola-Portal für Anfragen zur Datenzugänglichkeit zu korrigieren: https://accessrequest.taboola.com/access

Maßnahmen zur Sicherstellung einer begrenzten Datenspeicherung: Wir speichern Nutzerdaten, die direkt zu Werbezwecken erfasst werden, maximal dreizehn (13) Monate nach der letzten Interaktion des Nutzers mit unseren Diensten (oft für einen kürzeren Zeitraum), nach dem wir die Daten anonymisieren, indem wir eindeutige Identifikatoren entfernen oder die Daten aggregieren. Dieser Prozess erfolgt automatisch.

Maßnahmen zur Sicherstellung der Verantwortlichkeit: Taboola führt mehrere Sicherheitsprüfungen und Penetrationstests durch (aber nicht für alle Systeme). Taboola nutzt auch Cloud-Anbieter, die ISO-zertifiziert sind und die anderen cloud-relevanten Zertifizierungen zur Aufrechterhaltung der physischen Sicherheitsvorkehrungen eines Servers entsprechen.

Maßnahmen zur Ermöglichung der Datenportabilität und zur Sicherstellung der Löschung: Taboola behandelt die Entsorgung von Medien für alle Arten von Medien gleich, da sie personenbezogene Daten enthalten könnte. Alle Medien müssen vollständig gelöscht werden, bevor sie wiederverwendet oder entsorgt werden. Jede Medienentsorgung wird dokumentiert. Mitarbeiter werden angewiesen, keine Papiere zu drucken, die persönliche Informationen enthalten könnten.

  1. Soweit eine Partei eine eingeschränkte Übertragung gesammelter Daten an die andere Partei vornimmt, werden die Standardvertragsklauseln in diese Datenschutzbedingungen für Publisher aufgenommen und gelten wie folgt:

a. Wenn die eingeschränkte Übertragung eine EU-eingeschränkte Übertragung ist, gelten die EU SCCs zwischen den Parteien wie folgt:

  1. (i) Modul Eins wird angewendet;
  2. (ii) In Klausel 7 gilt die optionale Docking-Klausel;
  3. (iv) In Klausel 11 gilt die optionale Sprache nicht;
  4. (v) In Klausel 17 gilt Option 1, und die EU SCCs unterliegen dem irischen Recht;
  5. (vi) In Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands entschieden;
  6. (vii) Die Teile A, B und C von Anhang I gelten als mit den Informationen in den Teilen A, B und C von Anhang A zu diesen Datenschutzbedingungen des Herausgebers ausgefüllt; und
  7. (vii) Anhang II gilt als mit den Sicherheitsmaßnahmen in Anhang B zu diesen Datenschutzbedingungen des Herausgebers ausgefüllt;

b. Wenn die eingeschränkte Übertragung eine UK-eingeschränkte Übertragung ist, gilt das UK-Addendum zwischen den Parteien wie folgt:

(i) Die EU SCCs, die wie oben ausgefüllt sind, gelten zwischen den Parteien und werden durch das UK-Addendum (wie in Unterklausel (ii) unten ausgefüllt) geändert; und

(ii) Die Tabellen 1 bis 3 des UK-Addendums gelten als mit relevanten Informationen aus den EU SCCs ausgefüllt, die wie oben ausgefüllt sind, und die Optionen “Exporter” und “Importer” gelten als in Tabelle 4 angekreuzt. Das Startdatum des UK-Addendums (wie in Tabelle 1 angegeben) ist das Inkrafttretungsdatum dieser Datenschutzbedingungen des Herausgebers.

2. Weitergeleitete eingeschränkte Übertragungen: Keine der Parteien wird eine weitergeleitete eingeschränkte Übertragung von gesammelten Daten, die sie von der anderen Partei erhalten hat, vornehmen, es sei denn, sie hat alle erforderlichen Maßnahmen ergriffen, um sicherzustellen, dass die solche weitergeleitete eingeschränkte Übertragung den geltenden Datenschutzgesetzen und den Standardvertragsklauseln, die sie mit der anderen Partei vereinbart hat, entspricht.