Datenschutzbedingungen für digitale Eigentümer

Last Update: October 10, 2024

Gültigkeitsdatum: 10. Oktober 2024

Diese Datenschutzbedingungen von Taboola für digitale Eigentümer („Verleger-Datenschutzbedingungen“) gelten für die digitalen Werbedienste von Taboola, wie z.B. wenn Taboola Inhalte von Werbetreibenden auf den Eigenschaften von Verlegern platziert, einschließlich, aber nicht beschränkt auf, Produkte und Dienstleistungen von Verlegern wie Taboola Newsroom, Header Bidding, Taboola Startseite 4 You, Taboola News und Taboola Push, gemäß einer Vereinbarung zwischen Taboola und einem Verleger („Vereinbarung“), und diese Verleger-Datenschutzbedingungen gelten als in jede solche Vereinbarung integriert und bilden einen integralen Bestandteil davon. Diese Verleger-Datenschutzbedingungen identifizieren die Rollen und Verantwortlichkeiten von Taboola und dem Verleger in Bezug auf personenbezogene Daten.

Sollte es einen Konflikt zwischen den Datenschutzbedingungen des Herausgebers und dem Vertrag geben, so gelten die Datenschutzbedingungen des Herausgebers, es sei denn, die widersprüchliche Bestimmung im Vertrag verweist ausdrücklich auf die widersprüchliche Bestimmung dieser Datenschutzbedingungen des Herausgebers und gibt an, dass sie die widersprüchliche Bestimmung ersetzt.

Begriffe, die in diesem Abschnitt definiert sind, haben die nachstehend angegebenen Bedeutungen, und verwandte Begriffe sind entsprechend auszulegen. Die in den Datenschutzbedingungen des Herausgebers verwendeten, aber nicht definierten Begriffe haben die in dem Vertrag definierten Bedeutungen.

      1. Anwendbare Datenschutzgesetze“ bezeichnet alle anwendbaren bundesstaatlichen, nationalen, staatlichen oder anderen Datenschutz- und Datenschutzgesetze, die auf die Verarbeitung anwendbar sind, die Gegenstand des Vertrags und dieser Datenschutzbedingungen des Herausgebers ist, wie sie von Zeit zu Zeit geändert oder ersetzt werden können.
      2. Kalifornisches Datenschutzgesetz“ bezeichnet das kalifornische Gesetz über den Datenschutz von Verbrauchern von 2018, Cal. Zivilgesetzbuch § 1798.100 ff. (auch „CCPA“), in der geänderten Fassung (einschließlich des kalifornischen Gesetzes über Datenschutzrechte) sowie alle untergeordneten Gesetze und Durchführungsverordnungen.
      3. Verantwortlicher“ bezeichnet: (i) eine Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, und (ii) jede Person oder Stelle, die unter den Begriff „Verantwortlicher“ oder „Unternehmen“ (oder einen wesentlich ähnlichen Begriff) fällt, wie er unter den anwendbaren Datenschutzgesetzen definiert ist.
      4. Betroffene Person“ bezeichnet: (i) eine identifizierte oder identifizierbare natürliche Person (und für diese Zwecke ist eine identifizierbare natürliche Person eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online-Identifikator oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind), und (ii) jede Person, die unter den Begriff „Betroffene Person“, „Verbraucher“ (oder einen wesentlich ähnlichen Begriff) fällt, wie er unter den Datenschutzgesetzen definiert ist.
      5. EU-Datenschutzgesetz“ bezeichnet: (i) die EU-Datenschutz-Grundverordnung (Verordnung 2016/679) („EU-DSGVO“); (ii) die EU-Richtlinie über die Privatsphäre in der elektronischen Kommunikation (Richtlinie 2002/58/EG); und (iii) alle nationalen Datenschutzgesetze, die auf Grundlage von (i) oder (ii) erlassen wurden, jeweils in der von Zeit zu Zeit geänderten oder ersetzten Fassung.
      6. Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (und dieser Begriff umfasst, wo es das anwendbare Datenschutzgesetz erfordert, eindeutige Browser- oder Gerätekennungen), wie in Anhang A, Teil B, dargelegt.
        1. Interaktions-Personenbezogene Daten“ bezeichnet alle personenbezogenen Daten, die von Verbrauchern zum Zeitpunkt oder nach einer absichtlichen Interaktion eines Verbrauchers mit Taboola, den Produkten von Taboola, den Eigenschaften von Taboola und den von Taboola geschalteten Anzeigen gesammelt werden.
        2. Passive-Interaktions-Personenbezogene Daten“ bezeichnet alle personenbezogenen Daten, die passiv von den Eigenschaften des Herausgebers gesammelt werden, einschließlich, aber nicht beschränkt auf, IP-Adresse, Seiten-URL und Benutzeragenten-String, die von Taboola vor oder ohne eine absichtliche Interaktion eines Verbrauchers mit Taboola, den Produkten von Taboola, den Eigenschaften von Taboola und den von Taboola geschalteten Anzeigen gesammelt werden.
      7. Verarbeitung“ bezeichnet jeden Vorgang oder eine Reihe von Vorgängen, die an personenbezogenen Daten oder an Mengen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob dies automatisiert erfolgt, wie z. B. Sammlung, Empfang, Aufzeichnung, Organisation, Strukturierung, Nutzung, Übertragung, Zugriff, Teilen, Offenlegung, Übertragung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Aggregation, Ableitung, Analyse, Einschränkung, Löschung, Zerstörung oder Entsorgung oder andere Handhabung personenbezogener Daten, einschließlich der Definition dieses Begriffs unter dem anwendbaren Datenschutzgesetz.
      8. Auftragsverarbeiter“ bezeichnet eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, und umfasst, wie dieser Begriff und/oder der Begriff „Datenverarbeiter“ (oder ein wesentlich ähnlicher Begriff) unter dem anwendbaren Datenschutzgesetz definiert ist.
      9. Eingeschränkter Transfer“ bezeichnet: (i) wo die EU-DSGVO Anwendung findet, einen Transfer personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht Gegenstand einer Angemessenheitsentscheidung der Europäischen Kommission ist (ein “EU-eingeschränkter Transfer“); und (ii) wo die UK-DSGVO Anwendung findet, einen Transfer personenbezogener Daten vom Vereinigten Königreich in ein anderes Land, das nicht Gegenstand oder Grundlage von Angemessenheitsvorschriften gemäß Abschnitt 17A des britischen Datenschutzgesetzes von 2018 ist (ein “UK-eingeschränkter Transfer“).
      10. Services“ bedeutet Dienstleistungen, die Taboola gemäß dem Vertrag mit dem Publisher bereitstellt.
      11. Security Incident“ bedeutet einen Sicherheitsvorfall, der zu einer unbeabsichtigten oder rechtswidrigen Zerstörung, Verlust, Änderung, unbefugten Offenlegung oder Zugriff auf personenbezogene Daten führt.
      12. Standard Contractual Clauses“ bedeutet: (i) wo die EU-DSGVO gilt, die vertraglichen Klauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates angehängt sind („EU SCCs“); und (ii) wo die UK-DSGVO gilt, das “Internationale Datenübertragungszusatz zu den Standardvertragsklauseln der EU-Kommission”, das vom Informationskommissar gemäß § 119A(1) des DPA 2018 herausgegeben wurde („UK Addendum“).
      13. Third Party“ bedeutet ein Unternehmen, das als Verantwortlicher in Bezug auf personenbezogene Daten handelt und das nicht das Unternehmen ist, mit dem die betroffene Person, deren personenbezogene Daten verarbeitet werden, absichtlich interagiert hat; der Begriff umfasst, wie dieser Begriff unter dem anwendbaren Datenschutzrecht definiert ist.
      14. UK Data Protection Law“ bedeutet: (i) das UK Data Protection Act 2018, (ii) die UK-DSGVO (wie in § 3(10) des UK Data Protection Act 2018 definiert) („UK GDPR“), (iii) die UK Privacy and Electronic Communications (EC Directive) Regulations 2003 und (iv) alle anderen britischen Gesetze, die unter oder gemäß (i), (ii) oder (iii) erlassen wurden, jeweils wie sie von Zeit zu Zeit geändert oder ersetzt werden können.

Für personenbezogene Daten, die im Zusammenhang mit den Dienstleistungen verarbeitet werden, stimmen die Parteien zu, dass sie die personenbezogenen Daten, die sie sammeln, nur für die in Anhang A, Teil B beschriebenen Zwecke (die „Permitted Purposes“) und wie in diesen Datenschutzbedingungen für Publisher, dem Vertrag und den anwendbaren Datenschutzgesetzen erlaubt, verarbeiten, wobei jede dieser Bestimmungen von Zeit zu Zeit aktualisiert werden kann. Taboola kann auch die personenbezogenen Daten aus passiven Interaktionen verarbeiten, wie es in der Datenschutzrichtlinie von Taboola erlaubt ist und wie sie von Zeit zu Zeit aktualisiert werden kann.

Jede Partei verarbeitet die personenbezogenen Daten aus passiven Interaktionen, die sie als Verantwortlicher oder Dritte, je nach Fall, sammelt. Jede Partei verarbeitet die personenbezogenen Daten aus Interaktionen, die sie als Verantwortlicher oder Unternehmen, je nach Fall, sammelt. Offenlegungen (ob direkt oder über eine Partei, die Daten der anderen Partei zur Verfügung stellt) von personenbezogenen Daten von einer Partei an die andere sind Offenlegungen an Dritte.

      1. Wenn das US-amerikanische oder das US-Bundesstaat Datenschutzrecht auf personenbezogene Daten anwendbar ist, einschließlich, aber nicht beschränkt auf das kalifornische Datenschutzgesetz, soweit Taboola personenbezogene Daten aus passiven Interaktionen im Zusammenhang mit den Dienstleistungen verarbeitet, handelt Taboola als Dritte für den Publisher in Bezug auf solche personenbezogenen Daten aus passiven Interaktionen. Taboola wird solche personenbezogenen Daten aus passiven Interaktionen für die in Anhang A, Teil B beschriebenen Zwecke und wie in diesen Datenschutzbedingungen für Publisher, dem Vertrag, dem anwendbaren Datenschutzrecht und der Datenschutzrichtlinie von Taboola erlaubt, verarbeiten, wobei jede Bestimmung von Zeit zu Zeit aktualisiert werden kann. Solche personenbezogenen Daten aus passiven Interaktionen werden Taboola nur für diese Zwecke zur Verfügung gestellt. Taboola wird das gleiche Maß an Datenschutz gewährleisten, das von Unternehmen durch die anwendbaren US-Datenschutzgesetze gefordert wird, einschließlich, falls anwendbar, der kalifornischen Datenschutzgesetze. Der Publisher hat das Recht sicherzustellen, dass Taboola personenbezogene Daten aus passiven Interaktionen in einer Weise verwendet, die mit den Verpflichtungen des Publishers übereinstimmt. Nach Benachrichtigung von Taboola hat der Publisher das Recht, angemessene und geeignete Schritte zu unternehmen, um die unbefugte Nutzung personenbezogener Daten, die er Taboola zur Verfügung stellt, zu stoppen und zu beheben. Taboola wird den Publisher innerhalb des von den anwendbaren Datenschutzgesetzen geforderten Zeitraums informieren, wenn Taboola feststellt, dass es seinen Verpflichtungen gemäß den anwendbaren Datenschutzgesetzen nicht mehr nachkommen kann. Soweit Taboola personenbezogene Daten aus Interaktionen im Zusammenhang mit den Dienstleistungen sammelt, wird dies als separates Unternehmen erfolgen.

Die Parteien erkennen an, dass sie personenbezogene Daten verarbeiten können und dass die anwendbaren Datenschutzgesetze auf die Verarbeitung personenbezogener Daten durch jede Partei anwendbar sein können. In diesem Fall hat jede Partei die anwendbaren Datenschutzgesetze in Bezug auf ihre Verarbeitung personenbezogener Daten einzuhalten. In diesem Fall und vorbehaltlich Abschnitt 7 ist jede Partei individuell für die Einhaltung der anwendbaren Datenschutzgesetze verantwortlich, einschließlich aller anwendbaren Anforderungen, um: (i) Transparenz gegenüber den betroffenen Personen zu gewährleisten, (ii) eine Einwilligung oder eine andere rechtmäßige Grundlage für die Verarbeitung zu haben, und (iii) einen Kontaktpunkt bereitzustellen, über den die betroffenen Personen ihre Datenschutzrechte ausüben können. Der Herausgeber hat Taboola unverzüglich zu benachrichtigen, wenn und soweit er eine Anfrage zu Datenschutzrechten bezüglich der Verarbeitung personenbezogener Daten durch Taboola als Verantwortlichen erhält, damit Taboola die Anfrage gemäß seinen Verpflichtungen nach dem anwendbaren Datenschutzrecht erfüllen kann.

  1. Der Herausgeber hat alle Anfragen von betroffenen Personen bezüglich der Dienste von Taboola an Taboolas Global Data Subject Access Request Portal oder U.S. weiterzuleiten. Verbraucherrechte Opt-Out-Portal, falls zutreffend.

Wenn eine der Parteien eine Anfrage, Beschwerde oder Korrespondenz (eine „Benachrichtigung Dritter“) von einer Person, einem Regulierungsbehörde oder einem anderen Dritten bezüglich der Verarbeitung personenbezogener Daten des Betroffenen im Zusammenhang mit den Diensten erhält, hat sie die andere Partei unverzüglich zu informieren, und die Parteien werden in gutem Glauben und nach vernünftigem Ermessen zusammenarbeiten, um die Anforderungen dieser Benachrichtigung Dritter zu erfüllen.

Im Falle einer eingeschränkten Übertragung personenbezogener Daten von einer Partei an die andere gelten die Bestimmungen von Anhang C.

Soweit Taboola personenbezogene Daten von den Eigenschaften des Herausgebers unter Verwendung von Taboola-Code, Pixeln und anderer Tracking-Technologie erhebt, hat der Herausgeber: (i) alle erforderlichen Transparenzhinweise an die betroffenen Personen über die Verwendung des Taboola-Codes zur Erhebung personenbezogener Daten von den Eigenschaften des Herausgebers für die zulässigen Zwecke bereitzustellen und (ii) die Einwilligung der betroffenen Personen zu dieser Verwendung des Taboola-Codes für die zulässigen Zwecke zu erhalten (und auf Anfrage von Taboola jederzeit geeignete Nachweise bereitzustellen), jeweils in Übereinstimmung mit den Anforderungen der anwendbaren Datenschutzgesetze. Die Verpflichtungen des Herausgebers in dieser Hinsicht umfassen die Identifizierung von Taboola und dessen Verwendung des Taboola-Codes für die zulässigen Zwecke ausdrücklich in den Transparenzhinweisen und Einwilligungsaufforderungen, die der Herausgeber den betroffenen Personen bereitstellt, sowie alle anderen Informationen, die von den anwendbaren Datenschutzgesetzen gefordert werden, damit Taboola seine Dienste rechtmäßig über solche Eigenschaften bereitstellen und personenbezogene Daten für die zulässigen Zwecke verarbeiten kann. Auf schriftliche Anfrage wird Taboola dem Herausgeber die Informationen bereitstellen, die der Herausgeber vernünftigerweise über den Taboola-Code und die Verarbeitung personenbezogener Daten durch Taboola über die Eigenschaften des Herausgebers benötigt, damit der Herausgeber sicherstellen kann, dass seine Hinweise und Einwilligungsmechanismen den anwendbaren Datenschutzgesetzen entsprechen. Der Herausgeber stimmt ausdrücklich zu, dass:

  1. was seine webbasierten Eigenschaften betrifft, die Datenschutzrichtlinie des Herausgebers die Verwendung von Cookies, eindeutigen Identifikatoren und Technologien ohne Cookies durch Dritte (d.h. Taboola) für interessenbasierte Werbung und Analysen (auf und außerhalb der Eigenschaften) beschreibt und einen Link zur Opt-out-Seite der NAI unter http://www.networkadvertising.org, zur Opt-out-Seite der DAA unter http://www.aboutads.info oder (was europäische webbasierte Medien und Datenerhebung betrifft) einen Link zum Opt-out-Link der EDAA unter http://www.youronlinechoices.eu bereitstellt, in einer Weise, die den Anforderungen des anwendbaren Datenschutzrechts entspricht; und
  2. was mobile app-basierte Eigenschaften betrifft, die Datenschutzrichtlinie des Herausgebers die Verwendung von SDKs und die Erhebung von mobilen Anzeigenidentifikatoren für interessenbasierte oder plattformübergreifende Werbung und Analysen (auf und außerhalb der Eigenschaften) beschreibt; und eine Beschreibung bereitstellt, wie Benutzer und Besucher die Erhebung mobiler Daten für plattformübergreifende Werbung über die Geräteeinstellungen ablehnen können.
  3. für seine EU-ausgerichteten Eigenschaften hat der Herausgeber sicherzustellen, dass er die frei gegebene, spezifische, informierte und eindeutige Einwilligung der Besucher gemäß dem EU-Datenschutzrecht einholt, hinsichtlich des Setzens oder Zugriffs auf Cookies von Taboola oder andere eindeutige Identifikatoren auf den Geräten der Besucher. Der Herausgeber hat seinen Besuchern Kontaktdaten bereitzustellen (die auch über die Datenschutzrichtlinie verfügbar gemacht werden können), damit sie den Herausgeber kontaktieren können, um ihre Datenschutzrechte auszuüben (einschließlich in Bezug auf personenbezogene Daten, die im Zusammenhang mit den Diensten verarbeitet werden). Die vorstehenden Verpflichtungen gelten, wenn die Publisher-Eigenschaften Besucher in Rechtsordnungen anziehen, die Zustimmungsmechanismen in Bezug auf die Dienste erfordern.

Während der Laufzeit kann Taboola empfohlene Datenschutzrichtlinien oder Offenlegungstexte an den Publisher bereitstellen. Der Publisher erkennt an, dass er sich nicht auf solche empfohlenen Texte als rechtliche Beratung oder als Ersatz dafür verlassen darf und dass der Publisher oder das Unternehmen selbst allein verantwortlich ist für alle Offenlegungen in seiner Datenschutzrichtlinie oder auf seiner Website.

Der Publisher darf die Dienste nicht bereitstellen oder konfigurieren, um Taboola besondere Kategorien personenbezogener Daten oder sensible persönliche Informationen oder sensible Daten (wie sie im geltenden Datenschutzrecht definiert sind) zur Verarbeitung zur Verfügung zu stellen oder anderweitig offenzulegen. Darüber hinaus muss der Publisher sicherstellen, dass keine Seiten-URLs, die Taboola zur Verfügung gestellt werden, Videotitelinformationen enthalten. Taboola behält sich das Recht vor, die Dienste auszusetzen, wenn der Publisher gegen diesen Absatz verstößt, es sei denn, dieser Verstoß wird behoben.

Jede Partei muss angemessene technische und organisatorische Sicherheitsmaßnahmen umsetzen, um die personenbezogenen Daten der Besucher vor einem Sicherheitsvorfall zu schützen. Diese Maßnahmen umfassen die in Anhang B aufgeführten Maßnahmen.

Wenn eine der Parteien einen Sicherheitsvorfall in Bezug auf personenbezogene Daten erleidet, die sie verarbeitet und die Gegenstand des Vertrags und dieser Datenschutzbedingungen für Publisher sind, hat diese Partei: (i) die Verantwortung, (auf eigene Kosten) alle Berichtspflichten zu erfüllen, die ihr gemäß den geltenden Datenschutzgesetzen gegenüber den Datenschutzbehörden und/oder betroffenen betroffenen Personen obliegen, (ii) die andere Partei unverzüglich zu benachrichtigen und der anderen Partei die Informationen über den Sicherheitsvorfall bereitzustellen, die von der anderen Partei angemessen angefordert werden können oder die anderweitig erforderlich sind, damit die andere Partei feststellen kann, ob sie ebenfalls Berichtspflichten gemäß den geltenden Datenschutzgesetzen in Bezug auf den Sicherheitsvorfall hat, und (iii) alle erforderlichen Maßnahmen und Schritte ohne unangemessene Verzögerung zu ergreifen, um die Auswirkungen des Sicherheitsvorfalls zu beheben und/oder zu mindern.

Soweit und insoweit dies von den geltenden Datenschutzgesetzen, denen jede Partei unterliegt, gefordert wird, hat jede Partei eine Datenschutz-Folgenabschätzung in Bezug auf ihre Verarbeitung personenbezogener Daten für die zulässigen Zwecke durchzuführen und/oder sich, falls erforderlich, mit den zuständigen Datenschutzbehörden zu beraten. Jede Partei muss der anderen Partei alle angemessene Zusammenarbeit und Informationen bereitstellen, die von der anderen Partei angemessen angefordert werden, wenn dies erforderlich ist, um der anderen Partei zu ermöglichen, eine Datenschutz-Folgenabschätzung durchzuführen und/oder sich gemäß den Verpflichtungen der anderen Partei in diesem Abschnitt mit den zuständigen Datenschutzbehörden zu beraten.

A. LISTE DER PARTEIEN

Jede Partei ist:

  • ein Datenverantwortlicher (und Datenexporteur) der gesammelten Daten, die sie offenlegt oder der anderen Partei zur Verfügung stellt, und
  • ein Datenverantwortlicher (und Datenimporteur) der gesammelten Daten, die sie von der anderen Partei erhält oder auf die der Zugang von der anderen Partei bereitgestellt wird.

Die Einzelheiten jeder Partei sind unten aufgeführt.

Name: Siehe die Einzelheiten des Werbetreibenden, die in der Vereinbarung festgelegt sind.

Adresse: Siehe die Einzelheiten des Werbetreibenden, die in der Vereinbarung festgelegt sind.

Name, Position und Kontaktdaten der Kontaktperson: Siehe die Einzelheiten des Werbetreibenden, die in der Vereinbarung festgelegt sind oder anderweitig schriftlich zwischen den Parteien vereinbart wurden.

Aktivitäten, die für die unter diesen Klauseln übertragenen Daten relevant sind: Der Erhalt der Dienstleistungen, wie in der Vereinbarung festgelegt.

Unterschrift und Datum: Diese Anlage A gilt als ausgeführt, sobald der Werbetreibende diese Datenschutzbedingungen akzeptiert.

Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher (wo es ein Datenexporteur ist) und Verantwortlicher (wo es ein Datenimporteur ist)

 

Name: Siehe die Details von Taboola, die in der Einleitung des Vertrags dargelegt sind.

Adresse: Siehe die Details von Taboola, die in der Einleitung des Vertrags dargelegt sind.

Name, Position und Kontaktdaten der Kontaktperson: Taboolas Datenschutzteam, privacy@taboola.com.

Aktivitäten, die für die unter diesen Klauseln übertragenen Daten relevant sind: Die Bereitstellung der Dienstleistungen, wie im Vertrag dargelegt.

Unterschrift und Datum: Dieser Anhang A gilt als ausgeführt, sobald Taboola diese Datenschutzbedingungen für Werbetreibende akzeptiert.

Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher (wo es ein Datenexporteur ist) und Verantwortlicher (wo es ein Datenimporteur ist)

 

B. BESCHREIBUNG DER VERARBEITUNG UND ÜBERTRAGUNG 

Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet und/oder übertragen werden: Nutzer

Kategorien von personenbezogenen Daten, die verarbeitet und/oder übertragen werden:

Gerätedaten: Betriebssystem, Browsertyp, Browserversion, IP-Adresse (innerhalb von 30 Tagen gekürzt) der Erfassung, Postleitzahl (abgeleitet von der IP-Adresse), gehashte Taboola-Benutzer-ID, gehashte E-Mails, erste und nachfolgende Seitenbesuche auf der Website des Werbetreibenden, Geschlecht des Nutzers (abgeleitet aus Interessen), Engagement-Signale (Zeit auf der Seite, Scrolltiefe, Sitzungsdauer), Konversionsdaten.

Daten über digitale Eigenschaften, die vom Nutzer besucht wurden: Die URL der besuchten Seite, die verweisende Website

Übertragene sensible Daten (sofern zutreffend) und angewandte Einschränkungen oder Schutzmaßnahmen, die die Natur der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie zum Beispiel strenge Zweckbeschränkungen, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), das Führen eines Zugriffsprotokolls auf die Daten, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen: Nicht zutreffend.

Die Häufigkeit der Verarbeitung und/oder Übertragungen (z. B. ob die Daten einmalig oder kontinuierlich verarbeitet und/oder übertragen werden): Kontinuierlich für die Dauer des Vertrags.

Art der Verarbeitung: Verarbeitung personenbezogener Daten, die für die Bereitstellung der Dienstleistungen erforderlich sind, wie im Vertrag festgelegt.

Zweck(e) der Datenverarbeitung / -übertragung und weiterer Verarbeitung: Die Bereitstellung der Dienstleistungen, wie im Vertrag dargelegt. Um Zweifel auszuschließen, umfassen die zulässigen Zwecke: (i) Informationen auf einem Gerät speichern und/oder darauf zugreifen; (ii) grundlegende Werbung auswählen; (iii) ein personalisiertes Anzeigenprofil erstellen; (iv) personalisierte Anzeigen auswählen; (v) ein personalisiertes Inhaltsprofil erstellen; (vi) personalisierte Inhalte auswählen; (vii) die Leistung von Werbung messen; (viii) die Leistung von Inhalten messen; (ix) Produkte entwickeln und verbessern; (x) Sicherheit gewährleisten, Betrug verhindern und Fehlerbehebung; (xi) Werbung oder Inhalte technisch bereitstellen; (xii) offline Datenquellen abgleichen und kombinieren; (xiii) verschiedene Geräte verknüpfen; (xiv) automatisch gesendete Gerätemerkmale zur Identifizierung empfangen und verwenden; (xv) eingeschränkte Daten verwenden, um Inhalte auszuwählen, und (xvi) Zielgruppen durch Statistiken verstehen.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:

  • Taboola: Rohdaten werden maximal 13 Monate lang gespeichert.
  • Werbetreibender: So lange wie nötig, um die Dienstleistungen zu erhalten oder wie im Vertrag anders angegeben.

Für Übertragungen an (Unter-)Auftragsverarbeiter, auch den Gegenstand, die Art und die Dauer der Verarbeitung angeben: Nicht zutreffend.

 

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Zuständige Aufsichtsbehörde, wo die EU-DSGVO Anwendung findet: Die zuständige Aufsichtsbehörde für jede Partei ist wie unten beschrieben:

  • Taboola: Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU-Standardvertragsklauseln bestimmt.
  • Werbetreibender: Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU-Standardvertragsklauseln bestimmt.

Zuständige Aufsichtsbehörde, wenn die UK GDPR Anwendung findet: Das Informationskommissariat

Beschreibung der technischen und organisatorischen Maßnahmen, die von jeder Partei umgesetzt wurden (einschließlich aller relevanten Zertifizierungen), um ein angemessenes Sicherheitsniveau zu gewährleisten, wobei die Art, der Umfang, der Kontext und der Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden.

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten:  Taboola sammelt nur pseudonymisierte Daten, was bedeutet, dass wir nicht wissen, wer Sie sind, da wir den Namen, die E-Mail-Adresse oder andere identifizierbare Daten des Nutzers nicht kennen oder verarbeiten. Die Benutzerinformationen, die wir sammeln, umfassen, sind aber nicht beschränkt auf, Informationen über das Gerät und das Betriebssystem eines Nutzers, die IP-Adresse, die von Nutzern auf den Websites unserer Kunden aufgerufenen Webseiten, den Link, der einen Nutzer auf die Website eines Kunden geführt hat, die Daten und Zeiten, zu denen ein Nutzer auf die Website eines Kunden zugreift, und andere Web-Browsing-Daten. Die CookieID wird anonymisiert, indem Bcrypt verwendet wird und die IP-Adresse gekürzt wird.

Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten: Taboola verwendet mehrere Ebenen elektronischer Sicherheit (z. B. Endpunktsicherheit, serverseitige Sicherheit, Erkennungstracking, regelmäßige Penetrationstests und tiefgehende Intelligenzsammlung zur Überprüfung von Nachereignissen).

Maßnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen: Taboola betreibt 9 Rechenzentren weltweit. Jedes Rechenzentrum wird als Replikation eines anderen verwendet, sodass, wenn eines ausfällt, die Daten aus einem anderen Rechenzentrum extrahiert werden können.

Prozesse zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung: Taboola hat strenge Prozesse zur Prüfung der Wirksamkeit seiner Kontrollen (sowohl technischer als auch organisatorischer Art). Wir haben Systemprotokollierung und -überwachung eingerichtet, monatliche (mindestens) DR-Tests, vierteljährliche Penetrationstests, Firewalls, die das Web schützen, und Honeypots, die im Netzwerk verteilt sind, um böswillige Aktivitäten zu finden. Darüber hinaus haben wir ein Belohnungsprogramm eingerichtet, das uns hilft, unser Netzwerk ständig zu überwachen.

Maßnahmen zur Benutzeridentifikation und -autorisierung: Jeder Benutzer bei Taboola ist mit einem speziellen Benutzernamen und Passwort verbunden. Jeder Zugriff auf das interne Netzwerk von Taboola erfolgt mit 2FA unter Verwendung der Google-Authentifizierung. Benutzer werden nur von der IT-Abteilung während des Onboarding-Prozesses erstellt und nur nach Erhalt aller Details und des unterzeichneten Vertrags von der Personalabteilung.

Maßnahmen zum Schutz von Daten während der Übertragung: Taboola unterstützt jede Datenübertragung über sichere Übertragungsprotokolle (mindestens HTTPS und TLS v1.2). Darüber hinaus sind Systeme, die möglicherweise PII enthalten, gesichert und die Daten werden gehasht und anonymisiert aufbewahrt.

Maßnahmen zum Schutz von Daten während der Speicherung: Daten, die in unseren Datenbanken gespeichert sind, werden anonymisiert und mit Bcrypt gehasht. Der Zugriff auf die DB ist minimiert und basiert auf dem Prinzip des ‚geschäftlichen Bedarfs zu wissen‘.

Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden: Jedes von Taboola betriebene globale Rechenzentrum (in den USA, Europa und Asien) hat alle seine Server in verschlossenen Schränken, die ausschließlich für die Nutzung durch Taboola vorgesehen sind. Diese Schränke werden von Unternehmen gewartet, die entweder SOC2-zertifiziert sind oder deren Sicherheitsmaßnahmen von Taboola überprüft wurden. Darüber hinaus erfordert jeder Zugriff auf die Server eine schriftliche, protokollierte Genehmigung. Alle Büros von Taboola sind ebenfalls kontrolliert und erfordern, dass Mitarbeiter Zugangskarten verwenden, um einzutreten. Darüber hinaus haben nur eine begrenzte Anzahl von Mitarbeitern Zugang zu den Servern von Taboola, und jeder Zugriff erfordert ebenfalls eine schriftliche, protokollierte Genehmigung.

Maßnahmen zur Gewährleistung der Ereignisprotokollierung: Taboola implementiert Überwachungstools, und Protokolle werden in unser SIEM-System gesammelt, das uns bei verdächtigen Ereignissen alarmiert und auch vom NOC-Team überwacht wird.

Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration: Server werden sowohl auf Konfigurationsabweichungen als auch auf Patch-Level gescannt. Berichterstattung und/oder Alarmierung sind auf beiden eingestellt, und das relevante Patch-Level wird bestätigt. Neue Patches werden mit Puppet verteilt. Alle technischen Überprüfungen werden über die R&D-Anwendung verwaltet und durch einen formalen Überprüfungsprozess (QA) nach der Implementierung von Codierung und CI/CD-Prozessen erhalten.

Maßnahmen für die interne IT- und IT-Sicherheitsgovernance und -verwaltung: Taboola ist nach ISO 27001:2013 und 27701 zertifiziert. Taboola hat eine Informationssicherheitspolitik, die besagt, dass der Vorstand und das Management von Taboola sich verpflichtet haben, die Vertraulichkeit, Integrität und Verfügbarkeit aller physischen und elektronischen Informationsressourcen in der gesamten Organisation zu wahren. Taboola führt Sicherheitsschulungen für alle neuen Mitarbeiter, Phishing-Schulungen für alle Mitarbeiter weltweit und regelmäßige Sicherheitsschulungen für alle Mitarbeiter durch und widmet auch spezielle Sitzungen für R&D-Gruppen.

Maßnahmen zur Zertifizierung/Gewährleistung von Prozessen und Produkten: Vierteljährliche / halbjährliche / jährliche interne Audits zu mehreren Prozessen und Systemen, um zu validieren, dass Taboola seine Sicherheitsziele und definierten Maßnahmen einhält.

Maßnahmen zur Gewährleistung der Datenminimierung: Taboola beschränkt absichtlich die Daten, die wir im Rahmen der globalen Prinzipien zur Datenminimierung von Taboola sammeln, auf die begrenzten Daten, die für unsere spezifischen Geschäftszwecke erforderlich sind. Darüber hinaus hat Taboola nicht die Fähigkeit, noch ein geschäftliches Bedürfnis, um irgendeinen der Datenpunkte, die in unserem Algorithmus verwendet werden, “rückgängig zu machen”, um unsere Dienste bereitzustellen. Genauer gesagt sind die Datenpunkte, die Taboola sammelt, niemals ein Hinweis auf die Identität eines Nutzers – da Taboola keine Informationen wie den Namen, die Telefonnummer, die E-Mail oder physische Adressen des Nutzers sammelt oder verarbeitet. Stattdessen sammelt Taboola nur pseudonyme Identifikatoren, die lediglich Merkmale über das Gerät eines Nutzers identifizieren. Dazu gehören IP-Adressen (die bei der Erfassung gekürzt werden und nur den allgemeinen Standort des Geräts anhand der Postleitzahl identifizieren können, jedoch niemals eine präzise Geolokalisierung) und in einigen begrenzten Fällen gehashte E-Mail-Adressen (die von Natur aus irreversibel sind und nicht entschlüsselt werden können, um die ursprüngliche E-Mail-Adresse offenzulegen). Darüber hinaus kann die von uns gesammelte Datenmenge selbst dann, wenn sie kollektiv verwendet wird, niemals den Namen, die Telefonnummer, die E-Mail oder die physische Adresse einer Person ergeben, und unsere Ingenieure arbeiten in keiner Weise daran, dieses Ziel zu erreichen. Zusätzlich erstellt und dokumentiert Taboola Datenschutz-Folgenabschätzungen, um die Datenschutzrisiken unserer Dienste, Prozesse und Richtlinien zu minimieren.

Maßnahmen zur Sicherstellung der Datenqualität: Die Daten werden direkt vom Nutzer gesammelt, und der Nutzer hat die Möglichkeit, alle mit seiner CookieID verbundenen Daten über das Taboola-Portal für Anfragen zur Datenverarbeitung zu korrigieren: https://accessrequest.taboola.com/access

Maßnahmen zur Sicherstellung einer begrenzten Datenspeicherung: Wir bewahren Benutzerinformationen, die direkt zum Zweck der Bereitstellung von Werbung gesammelt werden, maximal dreizehn (13) Monate nach der letzten Interaktion des Nutzers mit unseren Diensten auf (oft für einen kürzeren Zeitraum), nach dem wir die Daten anonymisieren, indem wir eindeutige Identifikatoren entfernen oder die Daten aggregieren. Dieser Prozess erfolgt automatisch.

Maßnahmen zur Sicherstellung der Verantwortlichkeit: Taboola führt mehrere Sicherheitsprüfungen und Penetrationstests durch (aber nicht für alle Systeme). Taboola nutzt auch Cloud-Anbieter, die ISO-zertifiziert sind und die anderen cloud-relevanten Zertifizierungen zur Aufrechterhaltung der physischen Sicherheitsvorkehrungen eines Servers entsprechen.

Maßnahmen zur Ermöglichung der Datenportabilität und zur Sicherstellung der Löschung: Taboola behandelt die Entsorgung von Medien für alle Arten von Medien gleich, da sie möglicherweise personenbezogene Daten enthalten. Alle Medien müssen vollständig gelöscht werden, bevor sie wiederverwendet oder entsorgt werden. Jede Medienentsorgung wird dokumentiert. Mitarbeiter werden angewiesen, kein Papier zu drucken, das möglicherweise persönliche Informationen enthalten könnte.

  1. Soweit eine Partei einen eingeschränkten Transfer von gesammelten Daten an die andere Partei vornimmt, werden die Standardvertragsklauseln in diese Datenschutzbedingungen für Publisher aufgenommen und gelten wie folgt:

a. wenn der eingeschränkte Transfer ein EU-eingeschränkter Transfer ist, gelten die EU-SCCs zwischen den Parteien wie folgt:

  1. (i) Modul Eins wird angewendet;
  2. (ii) in Klausel 7 wird die optionale Docking-Klausel angewendet;
  3. (iv) in Klausel 11 wird die optionale Sprache nicht angewendet;
  4. (v) in Klausel 17 wird Option 1 angewendet, und die EU-SCCs unterliegen dem irischen Recht;
  5. (vi) in Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands entschieden;
  6. (vii) Teile A, B und C von Anhang I gelten als ausgefüllt mit den Informationen, die in den Teilen A, B und C von Anhang A zu diesen Datenschutzbedingungen für Publisher festgelegt sind; und
  7. (vii) Anhang II gilt als ausgefüllt mit den Sicherheitsmaßnahmen, die in Anhang B zu diesen Datenschutzbedingungen für Publisher festgelegt sind;

b. wenn der eingeschränkte Transfer ein UK-eingeschränkter Transfer ist, wird der UK-Zusatz zwischen den Parteien wie folgt angewendet:

(i) die EU-SCCs, die wie oben beschrieben ausgefüllt sind, gelten zwischen den Parteien und werden durch den UK-Zusatz (wie in Unterklausel (ii) unten beschrieben) geändert; und

(ii) die Tabellen 1 bis 3 des UK-Zusatzes gelten als ausgefüllt mit relevanten Informationen aus den EU-SCCs, die wie oben beschrieben ausgefüllt sind, und die Optionen “Exporter” und “Importer” gelten als in Tabelle 4 angekreuzt. Das Startdatum des UK-Zusatzes (wie in Tabelle 1 angegeben) ist das Inkrafttretungsdatum dieser Datenschutzbedingungen für Publisher.

2. Fortlaufende eingeschränkte Transfers: Keine der Parteien wird einen fortlaufenden eingeschränkten Transfer von gesammelten Daten vornehmen, die sie von der anderen Partei erhalten hat, es sei denn, sie hat alle notwendigen Maßnahmen ergriffen, um sicherzustellen, dass der fortlaufende eingeschränkte Transfer den geltenden Datenschutzgesetzen und den Standardvertragsklauseln, die sie mit der anderen Partei vereinbart hat, entspricht.