Datenschutzbestimmungen für Werbetreibende

Last Update: November 14, 2025

Datum des Inkrafttretens:  14. August 2023

Diese Datenschutzbestimmungen für Werbetreibende von Taboola („Datenschutzbestimmungen für Werbetreibende“) gelten für die digitalen Werbedienste von Taboola, z. B. wenn Taboola gemäß einer Vereinbarung zwischen Taboola und einem Werbetreibenden („Vereinbarung“) Inhalte von Werbetreibenden über seine Vertriebsplattform verteilt. Diese Datenschutzbestimmungen für Werbetreibende gelten als Bestandteil einer solchen Vereinbarung.  Diese Datenschutzbestimmungen für Werbetreibende legen die Rollen und Verantwortlichkeiten von Taboola und dem Advertiser in Bezug auf personenbezogene Daten fest.

Sollte es einen Konflikt zwischen den Datenschutzbestimmungen für Werbetreibende und der Vereinbarung geben, gelten die Datenschutzbestimmungen für Werbetreibende im Umfang dieses Konflikts, es sei denn, die widersprüchliche Bestimmung in der Vereinbarung verweist ausdrücklich auf die widersprüchliche Bestimmung dieser Datenschutzbestimmungen für Werbetreibende und gibt an, dass sie Vorrang vor dieser widersprüchlichen Bestimmung hat.

Die in diesem Abschnitt definierten Begriffe haben die unten angegebenen Bedeutungen, und verwandte Begriffe sind entsprechend auszulegen. Großgeschriebene Begriffe, die in den Datenschutzbestimmungen für Werbetreibende verwendet, aber nicht definiert sind, haben die in der Vereinbarung definierte Bedeutung.

      1. Anwendbare Datenschutzgesetze“ sind alle Bundes-, Landes- oder sonstigen Datenschutz- und Datenschutzgesetze, die für die Verarbeitung gelten, die Gegenstand der Vereinbarung und dieser Nutzungsbedingungen für Werbetreibende ist und die von Zeit zu Zeit geändert oder ersetzt werden können.
      2. Gesammelte Daten“ sind die personenbezogenen Daten, die jede Partei von betroffenen Personen auf oder über ihre Server oder Netzwerke erhebt (einschließlich aller passiv gesammelten oder maschinenlesbaren Daten, wie Daten, die auf Browsertyp und Gerätekennungen basieren) im Zusammenhang mit der Bereitstellung oder dem Empfang der Dienste.
      3. Verantwortlicher“ bedeutet: (i) ein Unternehmen, das die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt, und (ii) jede Person, die in den Anwendungsbereich des Begriffs „Verantwortlicher“ (oder eines im Wesentlichen ähnlichen Begriffs) fällt, wie er in den geltenden Datenschutzgesetzen definiert ist.
      4. Kalifornisches Datenschutzgesetz“ bezeichnet den California Consumer Privacy Act von 2018, Cal. Bürgerliches Gesetzbuch § 1798.100 ff. („CCPA“) in der jeweils gültigen Fassung (einschließlich des California Privacy Rights Act) sowie alle untergeordneten Gesetze und Durchführungsbestimmungen.
      5. Betroffene Person“ ist: (i) eine identifizierte oder identifizierbare natürliche Person (und für diese Zwecke ist eine identifizierbare natürliche Person eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere spezifische Faktoren, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind), und (ii) jede Person, die fällt in den Geltungsbereich der Begriffe „betroffene Person“, „Verbraucher“ (oder im Wesentlichen analoger Begriff), wie in den Datenschutzgesetzen definiert.
      6. EU-Datenschutzrecht“ bedeutet: (i) die EU-Datenschutzgrundverordnung (Verordnung 2016/679) („EU-DSGVO“); (ii) die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG); und (iii) alle nationalen Datenschutzgesetze, die unter oder gemäß (i) oder (ii) erlassen wurden und jeweils von Zeit zu Zeit geändert oder ersetzt werden können.
      7. Erlaubte Zwecke“ hat die in Abschnitt 3 angegebene Bedeutung.
      8. Personenbezogene Daten“ sind alle Informationen, die sich auf eine betroffene Person beziehen (einschließlich, sofern dies nach geltendem Datenschutzrecht erforderlich ist, eindeutigen Browser- oder Gerätekennungen), wie in Anhang A, Teil B dargelegt.
      9. Prozess“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Sätzen personenbezogener Daten ausgeführt werden, unabhängig davon, ob mit automatisierten Mitteln, wie Erfassung, Empfang, Aufzeichnung, Organisation, Strukturierung, Verwendung, Übertragung, Zugriff, Weitergabe, Offenlegung, Übertragung, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Aggregation, Ableitung, Analyse, Löschung, Zerstörung oder Beseitigung oder sonstiger Umgang mit personenbezogenen Daten, einschließlich wie ein solcher Begriff nach geltendem Datenschutzrecht definiert ist.
      10. Verarbeiter“ bedeutet: (i) ein Unternehmen, das personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet, und (ii) jede Person, die in den Anwendungsbereich des Begriffs „Verarbeiter“ (oder einen im Wesentlichen ähnlichen Begriff) fällt, wie er in den geltenden Datenschutzgesetzen definiert ist.
      11. Eingeschränkte Übertragung“ bedeutet: (i) wenn die EU-DSGVO gilt, eine Übertragung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das keiner Angemessenheitsfeststellung der Europäischen Kommission unterliegt (eine „eingeschränkte EU-Übertragung“); und (ii) wenn die britische DSGVO gilt, eine Übertragung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das keinen Angemessenheitsvorschriften gemäß Abschnitt 17A des Vereinigten Königreichs unterliegt oder auf diesen basiert Datenschutzgesetz von 2018 (a), eingeschränkt im Vereinigten Königreich Übertragung „).
      12. Verkauf“ und „Verkauf“ bedeuten den Austausch personenbezogener Daten gegen eine finanzielle oder andere wertvolle Gegenleistung und schließen die Definition dieser Begriffe nach geltendem Datenschutzrecht ein.
      13. Dienste“ sind Dienste, die von Taboola im Rahmen der Vereinbarung mit dem Advertiser bereitgestellt werden.
      14. Sicherheitsvorfall“ bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt.
      15. Standardvertragsklauseln“ bedeuten: (i) wenn die EU-DSGVO gilt, die Vertragsklauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates („EU SCCs“) beigefügt sind; und (ii) wenn die britische DSGVO gilt, den „Nachtrag zur internationalen Datenübertragung zu die von der Information herausgegebenen „Standardvertragsklauseln“ der EU-Kommission Beauftragter gemäß S.119a (1) des DPA 2018 („UK Addendum“).
      16. Dritter“ bezeichnet ein Unternehmen, das in Bezug auf personenbezogene Daten als für die Verarbeitung Verantwortlicher fungiert, und das ist nicht das Unternehmen, mit dem die betroffene Person, deren personenbezogene Daten verarbeitet werden, absichtlich interagiert hat; der Begriff schließt die Definition dieses Begriffs im geltenden Datenschutzrecht ein.
      17. Datenschutzgesetz des Vereinigten Königreichs“ bedeutet: (i) das britische Datenschutzgesetz 2018, (ii) die britische DSGVO (wie in § 3 (10) des britischen Datenschutzgesetzes 2018 definiert) („britische DSGVO“), (iii) die britischen Datenschutz- und elektronische Kommunikationsvorschriften (EG-Richtlinie) von 2003) und (iv) alle anderen britischen Gesetze, die unter oder gemäß (i), (ii) oder (iii) erlassen wurden, jeweils in der jeweils geltenden Fassung oder von Zeit zu Zeit ersetzt.

Jede Partei verarbeitet die erhobenen Daten, die sie von der anderen Partei erhebt oder erhält, für die in Anhang A, Teil B genannten Zwecke (die „Zulässigen Zwecke“).  Der Werbetreibende erklärt sich damit einverstanden, dass Taboola die gesammelten Daten gemäß der Taboola-Datenschutzrichtlinie verarbeitet (was, um Zweifel auszuschließen, auch ein zulässiger Zweck für Taboola ist).

Soweit die erhobenen Daten gemäß den geltenden Datenschutzgesetzen als personenbezogene Daten gelten oder solche enthalten, verarbeitet jede Partei die gesammelten Daten, die sie von der anderen Partei erhebt oder erhält, als für die Verarbeitung Verantwortliche (was, sofern das kalifornische Datenschutzgesetz gilt, gegebenenfalls auch als Dritte umfassen kann).  Offenlegungen (ob eine Übertragung oder durch eine Partei, die der anderen Partei Daten zur Verfügung stellt) gesammelter Daten oder personenbezogener Daten von einer Partei an die andere Partei sind Offenlegungen an Dritte.

      1. Wenn für erhobene Daten die Datenschutzgesetze der USA oder der US-Bundesstaaten gelten, einschließlich, aber nicht beschränkt auf das kalifornische Datenschutzrecht, in dem Realize Pixels (früher als „Taboola-Pixel“ bezeichnet), die im Zusammenhang mit den Diensten verwendet werden, personenbezogene Daten eines Besuchers verarbeiten, tritt Taboola für diese personenbezogenen Daten als Drittanbieter für Werbetreibende auf. Taboola verarbeitet diese personenbezogenen Daten für die zulässigen Zwecke. Solche personenbezogenen Daten werden Taboola nur für die erlaubten Zwecke zur Verfügung gestellt.  Taboola bietet das gleiche Datenschutzniveau, das von Unternehmen gemäß den geltenden US-Datenschutzgesetzen, einschließlich gegebenenfalls der kalifornischen Datenschutzgesetze, verlangt wird. Taboola wird den Advertiser innerhalb der vom geltenden Datenschutzrecht vorgeschriebenen Frist informieren, wenn Taboola feststellt, dass es seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nicht mehr nachkommen kann. Nach Mitteilung an Taboola hat der Advertiser das Recht, angemessene und angemessene Maßnahmen zu ergreifen, um die unbefugte Nutzung personenbezogener Daten, die er Taboola zur Verfügung stellt, zu unterbinden und zu korrigieren.

Die Parteien erkennen an, dass einige oder alle der gesammelten Daten als personenbezogene Daten gelten oder solche enthalten können und dass daher die geltenden Datenschutzgesetze für die Verarbeitung der gesammelten Daten durch jede Partei gelten können.  In diesem Fall und vorbehaltlich des Abschnitts 7 ist jede Partei individuell für die Einhaltung der geltenden Datenschutzgesetze verantwortlich, einschließlich aller geltenden Anforderungen an: (i) den betroffenen Personen Transparenz zu bieten, (ii) eine Einwilligung oder eine andere Rechtsgrundlage für die Verarbeitung einzuholen und (iii) eine Kontaktstelle zur Verfügung zu stellen, über die die betroffenen Personen ihre Datenschutzrechte ausüben können.

Für den Fall, dass eine Partei eine eingeschränkte Übertragung der gesammelten Daten an die andere Partei vornimmt, gelten die Bestimmungen von Anhang C.

Taboola verwendet Realize Pixels, um die Dienste bereitzustellen.  Ungeachtet des Abschnitts 5 muss der Werbetreibende, soweit Taboola mithilfe von Realize Pixels gesammelte Daten aus digitalen Inhalten des Werbetreibenden (wie Websites, mobilen Anwendungen oder auf andere Weise) mithilfe von Realize Pixels erhebt, den betroffenen Personen alle erforderlichen Transparenzhinweise zur Nutzung von Realize Pixels zur Erfassung gesammelter Daten aus digitalen Inhalten des Werbetreibenden für die zulässigen Zwecke zur Verfügung stellen und (ii) entsprechende Nachweise einholen (und auf Anfrage von Taboola jederzeit vorlegen) Zustimmung der betroffenen Person zu einer solchen Verwendung von Realize Pixels für die zulässigen Zwecke, in in jedem Fall gemäß den Anforderungen der geltenden Datenschutzgesetze.  Zu den diesbezüglichen Verpflichtungen des Werbetreibenden gehört die Identifizierung von Taboola und seiner Nutzung von Realize Pixels für die zulässigen Zwecke ausdrücklich in den Transparenzhinweisen und den Aufforderungen zur Einwilligung, die der Werbetreibende den betroffenen Personen zur Verfügung stellt, sowie in allen anderen Informationen, die nach den geltenden Datenschutzgesetzen erforderlich sind, sodass Taboola seine Dienste rechtmäßig über diese digitalen Inhalte bereitstellen und gesammelte Daten und personenbezogene Daten für die zulässigen Zwecke verarbeiten kann.  Auf schriftliche Anfrage stellt Taboola dem Werbetreibenden die erforderlichen Informationen über die Realize Pixels und die Verarbeitung der gesammelten Daten durch Taboola über die digitalen Inhalte des Werbetreibenden zur Verfügung, damit der Werbetreibende sicherstellen kann, dass seine Mitteilungs- und Einwilligungsmechanismen den geltenden Datenschutzgesetzen entsprechen.  Der Werbetreibende darf Realize Pixels erst dann entlassen, wenn die erforderliche Transparenz gewährleistet ist und alle nach den geltenden Datenschutzgesetzen erforderlichen Einwilligungen eingeholt wurden. Der Werbetreibende muss den betroffenen Personen ferner Informationen darüber zur Verfügung stellen, wie sie ihre Datenschutzrechte gemäß den geltenden Datenschutzgesetzen ausüben können, und eine Kontaktstelle bereitstellen, an die sich die betroffenen Personen wenden können, um ihre Rechte auszuüben. Der Werbetreibende informiert Taboola umgehend, wenn und soweit er eine Anfrage zu Datenschutzrechten bezüglich der Verarbeitung der gesammelten Daten durch Taboola als für die Verarbeitung Verantwortlicher erhält, damit Taboola der Anfrage gemäß den geltenden Datenschutzgesetzen nachkommen kann.

Wenn Taboola auf Anfrage des Werbetreibenden personenbezogene Daten an den Zuordnungspartner des Werbetreibenden oder an den Werbetreibenden zu Zuordnungszwecken weiterleitet, versichert und gewährleistet der Werbetreibende, dass: (i) sein Zuordnungspartner ein Auftragsverarbeiter im Namen des Werbetreibenden ist; (ii) der Werbetreibende und der Advertiser alle übergebenen personenbezogenen Daten löschen, sofern nicht anders unabhängig voneinander erhoben, diese personenbezogenen Daten ausschließlich zu Zuordnungszwecken verwenden; und (iii) der Attributionspartner und der Werbetreibende löschen alle übergebenen personenbezogenen Daten innerhalb von dreißig (30) Tagen nach der letzten Identifizierung des Besuchers als von Taboola stammend.

Jede Partei ergreift angemessene technische und organisatorische Sicherheitsmaßnahmen, um die gesammelten Daten und/oder personenbezogenen Daten, die sie verarbeitet, vor und vor einem Sicherheitsvorfall zu schützen.  Diese Maßnahmen umfassen die in Anhang B aufgeführten Maßnahmen.

Wenn eine Partei einen Sicherheitsvorfall in Bezug auf die gesammelten Daten und/oder personenbezogenen Daten, die sie verarbeitet und die Gegenstand der Vereinbarung und dieser Datenschutzbestimmungen für Werbetreibende sind, erleidet, muss diese Partei: (i) für die Erfüllung (auf eigene Kosten) aller Meldepflichten gegenüber Datenschutzbehörden und/oder betroffenen betroffenen Personen verantwortlich sein, (ii) die andere Partei unverzüglich benachrichtigen und die nach vernünftigem Ermessen angeforderten Informationen über den Sicherheitsvorfall bereitstellen von der anderen Partei oder wie sie ist ansonsten erforderlich, damit die andere Partei entscheidet, ob sie nach den geltenden Datenschutzgesetzen in Bezug auf den Sicherheitsvorfall ebenfalls Meldepflichten hat, und (iii) unverzüglich alle Maßnahmen und Maßnahmen ergreifen muss, die zur Behebung und/oder Abschwächung der Auswirkungen des Sicherheitsvorfalls angemessen sind

Sofern und soweit dies nach den geltenden Datenschutzgesetzen, denen jede Partei unterliegt, erforderlich ist, führt jede Partei eine Datenschutzfolgenabschätzung in Bezug auf ihre Verarbeitung der gesammelten Daten und/oder personenbezogener Daten für die zulässigen Zwecke durch und/oder konsultiert gegebenenfalls die zuständigen Datenschutzbehörden.  Jede Partei stellt jede angemessene Mitarbeit und alle Informationen zur Verfügung, die von der anderen Partei nach vernünftigem Ermessen angefordert werden, sofern dies erforderlich ist, damit die andere Partei eine Datenschutzfolgenabschätzung durchführen und/oder die zuständigen Datenschutzbehörden gemäß den Verpflichtungen der anderen Partei gemäß diesem Abschnitt 11 konsultieren kann.

 

A. LISTE DER PARTEIEN

Jede Partei ist:

      • ein Datenverantwortlicher (und Datenexporteur) der gesammelten Daten, die er der anderen Partei offenlegt oder zur Verfügung stellt, und
      • ein Datenverantwortlicher (und Datenimporteur) der gesammelten Daten, die er von der anderen Partei erhält oder zu denen der Zugriff durch die andere Partei ermöglicht wird.

Die Einzelheiten der einzelnen Parteien sind unten aufgeführt.

Name: Weitere Informationen zum Werbetreibenden finden Sie in der Vereinbarung.

Adresse: Weitere Informationen zum Werbetreibenden finden Sie in der Vereinbarung.

Name, Position und Kontaktdaten der Kontaktperson: Sehen Sie sich die Angaben des Werbetreibenden an, die in der Vereinbarung festgelegt sind oder anderweitig zwischen den Parteien schriftlich vereinbart wurden.

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Der Erhalt der Dienste, wie in der Vereinbarung festgelegt.

Unterschrift und Datum: Dieser Anhang A gilt als ausgeführt, sobald der Werbetreibende diese Datenschutzbestimmungen für Werbetreibende akzeptiert hat.

Rolle (Controller/Prozessor): Verantwortlicher (sofern es sich um einen Datenexporteur handelt) und Verantwortlicher (wenn es sich um einen Datenimporteur handelt)

 

Name: Die Einzelheiten von Taboola finden Sie in der Einleitung zur Vereinbarung.

Adresse: Die Einzelheiten von Taboola finden Sie in der Einleitung zur Vereinbarung.

Name, Position und Kontaktdaten der Kontaktperson: Das Datenschutzteam von Taboola, privacy@taboola.com.

Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: Die Bereitstellung der Dienste, wie in der Vereinbarung festgelegt.

Unterschrift und Datum: Dieser Anhang A gilt als ausgeführt, sobald Taboola diese Datenschutzbestimmungen für Werbetreibende akzeptiert hat.

Rolle (Controller/Prozessor): Verantwortlicher (sofern es sich um einen Datenexporteur handelt) und Verantwortlicher (wenn es sich um einen Datenimporteur handelt)

 

B. BESCHREIBUNG DER VERARBEITUNG UND ÜBERTRAGUNG

Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet und/oder übertragen werden: Nutzer

Kategorien der verarbeiteten und/oder übermittelten personenbezogenen Daten:

Gerätedaten: Betriebssystem, Browsertyp, Browserversion, IP-Adresse (innerhalb von 30 Tagen gekürzt) nach Erfassung, Postleitzahl (abgeleitet von der IP-Adresse), gehashte Taboola-Benutzer-ID, gehashte E-Mails, erste und nachfolgende Seitenbesuche auf der Website des Werbetreibenden, Geschlecht des Nutzers (abgeleitet aus Interessen), Engagement-Signale (Verweildauer auf der Website, Scrolltiefe, Sitzungstiefe), Konversionsdaten.

Daten über das vom Benutzer besuchte digitale Eigentum: Die URL der besuchten Seite, die verweisende Website

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strenge Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich des Zugriffs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung von Aufzeichnungen über den Zugriff auf die Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen: Nicht zutreffend.

Die Häufigkeit der Verarbeitung und/oder Übertragung (z. B. ob die Daten einmalig oder kontinuierlich verarbeitet und/oder übertragen werden): Kontinuierlich für die Dauer der Vereinbarung.

Art der Verarbeitung: Verarbeitung personenbezogener Daten, die für die Erbringung der Dienste erforderlich sind, wie in der Vereinbarung festgelegt.

Zweck (e) der Datenverarbeitung/ Weitergabe und Weiterverarbeitung: Die Bereitstellung der Dienste, wie in der Vereinbarung festgelegt. Zur Klarstellung: Zu den erlaubten Zwecken gehören: (i) Speicherung und/oder Zugriff auf Informationen auf einem Gerät; (ii) Auswahl einfacher Werbung; (iii) Erstellung eines Profils für personalisierte Werbung; (iv) Auswahl personalisierter Werbung; (v) Erstellung eines personalisierten Inhaltsprofils; (vi) Auswahl personalisierter Inhalte; (vii) Messung der Werbeleistung; (viii) Messung der Leistung von Inhalten; (ix) Entwicklung und Verbesserung von Produkten; (x) Gewährleistung der Sicherheit, Verhinderung von Betrug und Debugging Abgleich; (xi) technische Bereitstellung von Werbung oder Inhalten; (xii) Offline-Abgleich und Kombinieren Datenquellen; (xiii) Verknüpfung verschiedener Geräte; (xiv) Empfang und Verwendung automatisch gesendeter Gerätemerkmale zur Identifizierung; (xv) Verwendung begrenzter Daten zur Auswahl von Inhalten und (xvi) Verständnis der Zielgruppen anhand von Statistiken.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, anhand derer dieser Zeitraum festgelegt wurde:

      • Taboola: Rohdaten werden für höchstens 13 Monate gespeichert.
      • Werbetreibender: So lange, wie es für den Erhalt der Dienste erforderlich ist oder wie in der Vereinbarung anders angegeben.

Geben Sie bei Übertragungen an (Unter-) Auftragsverarbeiter auch den Gegenstand, die Art und die Dauer der Verarbeitung an: Nicht zutreffend.

 

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Zuständige Aufsichtsbehörde, wenn die EU-DSGVO gilt: Die zuständige Aufsichtsbehörde für jede Partei ist wie folgt beschrieben:

      • Taboola: Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU-SCCs bestimmt.
      • Werbetreibender: Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU-SCCs bestimmt.

Zuständige Aufsichtsbehörde, wenn die britische DSGVO gilt: Das Büro des Informationskommissars

 

Beschreibung der von jeder Partei ergriffenen technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifizierungen), um ein angemessenes Sicherheitsniveau zu gewährleisten, wobei Art, Umfang, Kontext und Zweck der Verarbeitung sowie die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind.

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten: Taboola sammelt nur pseudonymisierte Daten, was bedeutet, dass wir nicht wissen, wer Sie sind, da wir den Namen, die E-Mail-Adresse oder andere identifizierbare Daten des Benutzers nicht kennen oder verarbeiten. Zu den von uns gesammelten Benutzerinformationen gehören unter anderem Informationen über das Gerät und das Betriebssystem eines Benutzers, die IP-Adresse, die Webseiten, auf die Benutzer auf den Websites unserer Kunden zugreifen, den Link, der einen Benutzer zur Website eines Kunden geführt hat, die Daten und Zeiten, zu denen ein Benutzer auf die Website eines Kunden zugreift, und andere Webbrowserdaten. Die CookieID wird mit Bcrypt anonymisiert und die IP-Adresse wird gekürzt.

Maßnahmen zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste: Taboola verwendet mehrere elektronische Sicherheitsstufen (z. B. Endpunktsicherheit, serverseitige Sicherheit, Erkennungsverfolgung, regelmäßige Penetrationstests und umfassende Erfassung von Informationen zur Überprüfung von Ereignissen nach dem Tod).

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen: Taboola unterhält 9 Rechenzentren auf der ganzen Welt. Jedes Rechenzentrum wird als Replikation des anderen verwendet, sodass bei einem Ausfall eines Rechenzentrums die Daten aus einem anderen Rechenzentrum extrahiert werden können.

Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten: Taboola unterhält strenge Verfahren, um die Wirksamkeit seiner Kontrollen (sowohl technisch als auch organisatorisch) zu testen. Wir verfügen über Systemprotokollierung und Überwachung, monatliche (mindestens) DR-Tests, vierteljährliche Penetrationstests, Firewalls, die das Internet schützen, und Honeypots, die über das Netzwerk verteilt sind, um bösartige Aktivitäten zu erkennen. Darüber hinaus haben wir ein Bounty-Programm eingerichtet, das uns hilft, unser Netzwerk ständig zu überwachen.

Maßnahmen zur Benutzeridentifikation und Autorisierung: Jeder Benutzer in Taboola ist mit einem eigenen Benutzernamen und Passwort verknüpft. Jeder Zugriff auf das interne Netzwerk von Taboola erfolgt mit 2FA unter Verwendung der Google-Authentifizierung. Benutzer werden nur von der IT-Abteilung während des Onboarding-Prozesses und erst nach Erhalt aller Details und eines unterschriebenen Vertrags von der Personalabteilung erstellt.

Maßnahmen zum Schutz von Daten bei der Übertragung: Taboola unterstützt jede Datenübertragung über sichere Übertragungsprotokolle (mindestens HTTPS und TLS v1.2). Darüber hinaus sind Systeme, die PII enthalten könnten, gesichert und die Daten werden gehasht und anonymisiert aufbewahrt.

Maßnahmen zum Schutz von Daten bei der Speicherung: Daten, die in unseren Datenbanken gespeichert sind, werden mit Bcrypt anonymisiert und gehasht. Der Zugriff auf die Datenbank ist auf ein Minimum beschränkt und basiert auf dem Prinzip „Business Need to know“.

Maßnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden: In jedem der globalen Rechenzentren von Taboola (in den USA, Europa und Asien) befinden sich alle Server in verschlossenen Schränken, die ausschließlich für die Nutzung durch Taboola verwaltet werden. Diese Schränke werden von Unternehmen gewartet, die entweder SOC2-zertifiziert sind oder Taboola ihre Sicherheitsmaßnahmen überprüft hat. Darüber hinaus erfordert jeder Zugriff auf die Server eine schriftliche, protokollierte Genehmigung. Alle Taboola-Büros werden ebenfalls kontrolliert und verlangen von den Mitarbeitern, Zutritt mit Zugangskarten zu erhalten. Darüber hinaus hat nur eine begrenzte Anzahl von Mitarbeitern Zugriff auf die Server von Taboola, und jeder Zugriff bedarf ebenfalls einer schriftlichen, protokollierten Genehmigung.

Maßnahmen zur Sicherstellung der Protokollierung von Ereignissen: Taboola implementiert Überwachungstools und Protokolle werden in unserem SIEM-System gesammelt, das uns bei jedem verdächtigen Ereignis warnt und auch vom NOC-Team überwacht wird.

Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration: Server werden sowohl auf Konfigurationsabweichungen als auch auf Patch-Level gescannt. Für beide sind Reporting und/oder Alerting eingerichtet und die entsprechende Patch-Ebene wird bestätigt. Neue Patches werden mit Puppet verteilt. Alle technischen Prüfungen werden über die Forschungs- und Entwicklungsanwendung verwaltet und nach der Implementierung der Codierungs- und CI/CD-Prozesse in einem formellen Überprüfungsprozess (QA) durchgeführt.

Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und -verwaltung: Taboola ist nach ISO 27001:2013 und 27701 zertifiziert. Taboola hat eine Informationssicherheitsrichtlinie eingeführt, die besagt, dass sich der Verwaltungsrat und das Management von Taboola dazu verpflichten, die Vertraulichkeit, Integrität und Verfügbarkeit aller physischen und elektronischen Informationsressourcen in ihrem gesamten Unternehmen zu wahren. Taboola veranstaltet Sicherheitsschulungen für alle neuen Mitarbeiter, Phishing-Schulungen für alle Mitarbeiter weltweit und regelmäßige Sicherheitsschulungen für alle Mitarbeiter sowie spezielle Schulungen für Forschungs- und Entwicklungsgruppen.

Maßnahmen zur Zertifizierung/Absicherung von Prozessen und Produkten: Vierteljährliche/halbjährliche/jährliche interne Prüfung mehrerer Prozesse und Systeme, um zu überprüfen, ob Taboola die von Taboola festgelegten Sicherheitsziele und -maßnahmen einhält.

Maßnahmen zur Sicherstellung der Datenminimierung: Taboola beschränkt bewusst die Daten, die wir im Rahmen der globalen Datenminimierungsprinzipien von Taboola erheben, und verarbeitet nur die begrenzten Daten, die für unsere spezifischen Geschäftszwecke erforderlich sind. Darüber hinaus ist Taboola nicht in der Lage und hat auch keine geschäftliche Notwendigkeit, irgendeinen der Datenpunkte, die in unserem Algorithmus für die Bereitstellung unserer Dienste verwendet werden, „zurückzuentwickeln“. Insbesondere geben die von Taboola gesammelten Daten niemals Aufschluss über die Identität eines Benutzers, da Taboola keine Informationen wie den Namen, die Telefonnummer, E-Mail-Adresse oder physische Adressen des Benutzers sammelt oder verarbeitet. Stattdessen sammelt Taboola nur pseudonyme Identifikatoren, die lediglich Merkmale des Geräts eines Benutzers identifizieren. Dazu gehören IP-Adressen (die bei der Erfassung gekürzt werden und nur die allgemeine Postleitzahl des Geräts identifizieren können, aber niemals eine genaue geografische Position) und in einigen begrenzten Fällen gehashte E-Mail-Adressen (die von Natur aus irreversibel sind und nicht entschlüsselt werden können, um die ursprüngliche E-Mail-Adresse preiszugeben). Darüber hinaus können die von uns gesammelten Daten niemals den Namen, die Telefonnummer, die E-Mail-Adresse oder die Postanschrift einer Person ergeben, selbst wenn sie gemeinsam verwendet werden, und unsere Techniker arbeiten in keiner Weise daran, dieses Ziel zu erreichen. Darüber hinaus führt Taboola Folgenabschätzungen zum Datenschutz durch und zeichnet diese auf, um die Datenschutzrisiken unserer Dienste, Prozesse und Richtlinien zu minimieren.

Maßnahmen zur Sicherung der Datenqualität: Die Daten werden direkt beim Benutzer erhoben und der Benutzer hat die Möglichkeit, alle mit seiner CookieID verknüpften Daten über das Taboola Subject Access Request Portal zu korrigieren: https://accessrequest.taboola.com/access

Maßnahmen zur Sicherstellung einer begrenzten Datenspeicherung: Wir speichern Nutzerinformationen, die direkt zum Zwecke der Anzeigenschaltung erhoben werden, für einen Zeitraum von höchstens dreizehn (13) Monaten ab der letzten Interaktion des Nutzers mit unseren Diensten (oft für einen kürzeren Zeitraum). Danach anonymisieren wir die Daten, indem wir eindeutige Identifikatoren entfernen oder die Daten aggregieren. Dieser Vorgang erfolgt automatisch.

Maßnahmen zur Sicherstellung der Rechenschaftspflicht: Taboola führt mehrere Sicherheitsaudits und Penetrationstests durch (aber nicht für alle Systeme). Taboola verwendet auch Cloud-Anbieter, die ISO-zertifiziert sind und andere Cloud-relevante Zertifizierungen einhalten, um die physischen Schutzmaßnahmen eines Servers aufrechtzuerhalten.

Maßnahmen zur Gewährleistung der Datenübertragbarkeit und zur Sicherstellung der Löschung: Tabuola bezog sich auf die Medienentsorgung für alle Arten von Medien, da sie personenbezogene Daten enthalten könnten. Alle Medien müssen vollständig abgewischt werden, bevor sie wiederverwendet oder entsorgt werden. Jegliche Medienentsorgung wird dokumentiert. Die Mitarbeiter werden angewiesen, kein Papier auszudrucken, das persönliche Informationen enthalten könnte.

  1. Soweit eine Partei eine eingeschränkte Übertragung der gesammelten Daten an die andere Partei vornimmt, werden die Standardvertragsklauseln in diese Datenschutzbestimmungen für Werbetreibende aufgenommen und gelten wie folgt:
    1. Wenn es sich bei der beschränkten Übertragung um eine beschränkte EU-Übertragung handelt, gelten die EU-SCCs zwischen den Parteien wie folgt:
      1. Modul Eins wird angewendet;
      2. in Klausel 7 gilt die optionale Docking-Klausel;
      3. in Klausel 11 gilt die optionale Sprache nicht;
      4. in Klausel 17 gilt Option 1, und die EU-SCCs unterliegen irischem Recht;
      5. In Klausel 18 (b) werden Streitigkeiten vor den Gerichten Irlands beigelegt;
      6. Die Teile A, B und C des Anhangs I gelten als mit den in den Teilen A, B und C des Anhangs A dieser Datenschutzbestimmungen für Werbetreibende aufgeführten Informationen vervollständigt; und
      7. Anhang II gilt mit den in Anhang B dieser Datenschutzbestimmungen für Werbetreibende aufgeführten Sicherheitsmaßnahmen als abgeschlossen;
    2. Wenn es sich bei der eingeschränkten Übertragung um eine eingeschränkte Übertragung im Vereinigten Königreich handelt, gilt der britische Nachtrag zwischen den Parteien wie folgt:
      1. die EU-SCCs, die wie oben dargelegt ausgefüllt wurden, gelten zwischen den Parteien und werden durch den britischen Nachtrag geändert (ergänzt wie in Unterklausel (ii) unten dargelegt); und
      2. Die Tabellen 1 bis 3 des britischen Addendums gelten als mit den entsprechenden Informationen der EU-SCC, die wie oben beschrieben ausgefüllt wurden, ergänzt, und die Optionen „Exporteur“ und „Importeur“ gelten in Tabelle 4 als geprüft. Das Startdatum des britischen Nachtrags (wie in Tabelle 1 dargelegt) ist das Datum des Inkrafttretens dieser Datenschutzbestimmungen für Werbetreibende.
  2. Eingeschränkte Weiterübertragungen:  Keine der Parteien wird die gesammelten Daten, die sie von der anderen Partei erhalten, nur dann eingeschränkt weiterleiten, wenn sie alle Maßnahmen und Maßnahmen getroffen hat, die erforderlich sind, um sicherzustellen, dass die eingeschränkte Weiterübertragung den geltenden Datenschutzgesetzen und allen Standardvertragsklauseln, die sie mit der anderen Partei vereinbart hat, entspricht.