Datenschutzbestimmungen für Werbetreibende

Last Update: November 14, 2025

Gültigkeitsdatum:  14. August 2023

Diese Taboola Datenschutzbestimmungen für Werbetreibende („Datenschutzbestimmungen für Werbetreibende“) gelten für die digitalen Werbedienstleistungen von Taboola, beispielsweise wenn Taboola Werbetreibendeninhalte über seine Vertriebsplattform, Taboola Dynamic Creative Optimization (DCO) oder GenAI Landing Page gemäß einer Vereinbarung zwischen Taboola und einem Werbetreibenden („Vereinbarung“) verbreitet, und diese Datenschutzbestimmungen für Werbetreibende gelten als Bestandteil einer solchen Vereinbarung.  Diese Datenschutzbestimmungen für Werbetreibende legen die Rollen und Verantwortlichkeiten von Taboola und dem Werbetreibenden in Bezug auf personenbezogene Daten fest.

Im Falle eines Widerspruchs zwischen den Datenschutzbestimmungen für Werbetreibende und dieser Vereinbarung haben die Datenschutzbestimmungen für Werbetreibende im Umfang dieses Widerspruchs Vorrang, es sei denn, die widersprüchliche Bestimmung in dieser Vereinbarung nimmt ausdrücklich Bezug auf die widersprüchliche Bestimmung dieser Datenschutzbestimmungen für Werbetreibende und legt fest, dass sie Vorrang vor dieser widersprüchlichen Bestimmung hat.

Die in diesem Abschnitt definierten Begriffe haben die nachstehend aufgeführten Bedeutungen; verwandte Begriffe sind entsprechend auszulegen. Großgeschriebene Begriffe, die in den Datenschutzbestimmungen für Werbetreibende verwendet, aber nicht definiert werden, haben die im Vertrag festgelegte Bedeutung.

      1. Anwendbare Datenschutzgesetze“ bezeichnet sämtliche Bundes-, Landes-, Staats- oder sonstige Datenschutzgesetze, die für die Verarbeitung gelten, welche Gegenstand dieser Vereinbarung und dieser Werbebedingungen ist, in ihrer jeweils gültigen Fassung.
      2. Erfasste Daten“ bezeichnet die personenbezogenen Daten, die jede Partei von betroffenen Personen auf oder über ihre Server oder Netzwerke erhebt (einschließlich aller passiv erfassten oder maschinenlesbaren Daten, wie z. B. Daten, die auf Browsertyp und Gerätekennungen basieren) im Zusammenhang mit der Bereitstellung oder dem Empfang der Dienste.
      3. Verantwortlicher“ bezeichnet: (i) eine Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, und (ii) jede Person, die unter den Begriff „Verantwortlicher“ (oder einen im Wesentlichen gleichlautenden Begriff) gemäß den geltenden Datenschutzgesetzen fällt.
      4. California Privacy Law“ bezeichnet den California Consumer Privacy Act von 2018, Cal. Civil Code § 1798.100 ff. („CCPA“), in der geänderten Fassung (einschließlich des California Privacy Rights Act), sowie alle untergeordneten Rechtsvorschriften und Durchführungsbestimmungen.
      5. Betroffene Person“ bezeichnet: (i) eine identifizierte oder identifizierbare natürliche Person (und in diesem Zusammenhang ist eine identifizierbare natürliche Person eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann), und (ii) jede Person, die unter den Begriff „betroffene Person“, „Verbraucher“ (oder einen im Wesentlichen gleichlautenden Begriff) im Sinne der Datenschutzgesetze fällt.
      6. EU -Datenschutzrecht“ bezeichnet: (i) die EU -Datenschutz-Grundverordnung (Verordnung 2016/679) („EU DSGVO“); (ii) die EU -Richtlinie zur elektronischen Datenverarbeitung (Richtlinie 2002/58/EG); und (iii) alle nationalen Datenschutzgesetze, die auf der Grundlage von (i) oder (ii) erlassen wurden, jeweils in ihrer jeweils gültigen Fassung.
      7. Der Begriff „zulässige Zwecke“ hat die in Abschnitt 3 angegebene Bedeutung.
      8. Persönliche Daten“ sind alle Informationen, die sich auf eine betroffene Person beziehen (einschließlich, sofern dies nach geltendem Datenschutzrecht erforderlich ist, eindeutiger Browser- oder Gerätekennungen), wie in Anhang A, Teil B, aufgeführt.
      9. Verarbeitung“ bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder Datensätzen personenbezogener Daten, unabhängig davon, ob diese automatisiert erfolgen oder nicht. Dazu gehören beispielsweise das Erheben, Empfangen, Aufzeichnen, Organisieren, Strukturieren, Verwenden, Übermitteln, Abrufen, Teilen, Offenlegen, Übertragen, Speichern, Anpassen oder Verändern, Abrufen, Abfragen, Verbreiten oder anderweitige Bereitstellen, Abgleichen oder Kombinieren, Zusammenführen, Ableiten, Analysieren, Einschränken, Löschen, Vernichten oder Entsorgen oder jede andere Art der Verarbeitung personenbezogener Daten, einschließlich der Definition dieses Begriffs im anwendbaren Datenschutzrecht.
      10. Auftragsverarbeiter“ bezeichnet: (i) eine Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, und (ii) jede Person, die unter den Begriff „Auftragsverarbeiter“ (oder einen im Wesentlichen gleichlautenden Begriff) gemäß den geltenden Datenschutzgesetzen fällt.
      11. Beschränkte Übermittlung“ bedeutet: (i) sofern die EU GDPR Anwendung findet, eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, für das kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (eine „EU beschränkte Übermittlung“); und (ii) sofern die UK GDPR Anwendung findet, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, für das keine Angemessenheitsvorschriften gemäß Abschnitt 17A des britischen Datenschutzgesetzes von 2018 gelten oder auf solchen beruhen (eine „UK beschränkte Übermittlung“).
      12. Verkauf“ und „Verkaufen“ bedeuten den Austausch personenbezogener Daten gegen Geld oder eine andere wertvolle Gegenleistung und umfassen auch die Definitionen dieser Begriffe gemäß den geltenden Datenschutzgesetzen.
      13. Dienstleistungen“ bezeichnet Dienstleistungen, die Taboola im Rahmen der Vereinbarung mit dem Werbetreibenden erbringt.
      14. Sicherheitsvorfall“ bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt.
      15. Standard Contractual Clauses“ bezeichnet: (i) sofern die EU GDPR Anwendung findet, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standard Contractual Clauses für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates beigefügten Vertragsklauseln („EU SCCs“); und (ii) sofern die UK GDPR Anwendung findet, den vom Information Commissioner gemäß § 119A(1) des DPA 2018 herausgegebenen „Zusatz zur internationalen Datenübermittlung zu den Standard Contractual Clauses der EU Kommission“ („UK Addendum“).
      16. Dritter“ bezeichnet ein Unternehmen, das als Verantwortlicher für personenbezogene Daten fungiert und mit dem die betroffene Person, deren personenbezogene Daten verarbeitet werden, nicht absichtlich in Kontakt getreten ist; der Begriff umfasst auch die Definitionen, die ihm gemäß geltendem Datenschutzrecht zuzuordnen sind.
      17. UK Data Protection Law“ bezeichnet: (i) den UK Data Protection Act 2018, (ii) die UK GDPR (wie in s.3(10) des UK Data Protection Act 2018 definiert) („UK GDPR“), (iii) die UK Privacy and Electronic Communications (EC Directive) Regulations 2003 und (iv) alle anderen UK Gesetze, die gemäß (i), (ii) oder (iii) erlassen wurden, jeweils in ihrer jeweils gültigen Fassung.

Jede Partei verarbeitet die von ihr erhobenen oder von der anderen Partei erhaltenen Daten zu den in Anhang A, Teil B, aufgeführten Zwecken (die „Zulässigen Zwecke“).  Der Werbetreibende erklärt sich damit einverstanden, dass Taboola die gesammelten Daten gemäß der Taboola -Datenschutzrichtlinie verarbeitet (was, um Missverständnisse auszuschließen, auch ein zulässiger Zweck für Taboola ist).

Soweit die erhobenen Daten als personenbezogene Daten im Sinne der geltenden Datenschutzgesetze gelten oder solche enthalten, verarbeitet jede Partei die von ihr erhobenen oder von der anderen Partei erhaltenen Daten als Verantwortlicher (was gegebenenfalls auch die Verarbeitung durch Dritte umfassen kann, sofern das kalifornische Datenschutzrecht Anwendung findet).  Die Offenlegung von gesammelten Daten oder personenbezogenen Daten von einer Partei an die andere (sei es durch Übermittlung oder indem eine Partei der anderen Partei Daten zur Verfügung stellt) gilt als Offenlegung gegenüber Dritten.

      1. Sofern US-amerikanisches oder bundesstaatliches Datenschutzrecht auf die erhobenen Daten Anwendung findet, einschließlich, aber nicht beschränkt auf das kalifornische Datenschutzrecht, und soweit Realize Pixels (früher „Taboola Pixels“) im Zusammenhang mit den Diensten personenbezogene Daten über einen Besucher verarbeiten, fungiert Taboola als Drittanbieter für den Werbetreibenden in Bezug auf diese personenbezogenen Daten. Taboola verarbeitet diese personenbezogenen Daten zu den zulässigen Zwecken. Diese personenbezogenen Daten werden Taboola nur für die zulässigen Zwecke zur Verfügung gestellt.  Taboola wird den gleichen Grad an Datenschutz gewährleisten, wie er von Unternehmen nach den geltenden US-Datenschutzgesetzen, gegebenenfalls einschließlich der kalifornischen Datenschutzgesetze, gefordert wird. Taboola wird den Werbetreibenden innerhalb der in den geltenden Datenschutzgesetzen vorgeschriebenen Frist informieren, falls Taboola feststellt, dass es seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen nicht mehr nachkommen kann. Nach entsprechender Benachrichtigung von Taboola hat der Werbetreibende das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um die unbefugte Nutzung der von ihm an Taboola übermittelten personenbezogenen Daten zu unterbinden und zu beheben.

Die Parteien erkennen an, dass einige oder alle der gesammelten Daten als personenbezogene Daten gelten oder solche beinhalten können und dass daher die geltenden Datenschutzgesetze für die Verarbeitung der gesammelten Daten durch jede Partei Anwendung finden können.  In diesem Fall und vorbehaltlich Abschnitt 7 ist jede Partei einzeln für die Einhaltung der geltenden Datenschutzgesetze verantwortlich, einschließlich aller anwendbaren Anforderungen, (i) den betroffenen Personen Transparenz zu bieten, (ii) eine Einwilligung oder eine andere Rechtsgrundlage für die Verarbeitung zu haben und (iii) eine Kontaktstelle bereitzustellen, über die die betroffenen Personen ihre Datenschutzrechte ausüben können.

Für den Fall, dass eine der Parteien eine eingeschränkte Übermittlung der erhobenen Daten an die andere Partei vornimmt, gelten die Bestimmungen von Anhang C.

a. Taboola nutzt Realize Pixels zur Bereitstellung der Dienste.  Ungeachtet des Abschnitts 5 gilt Folgendes: Soweit Taboola mithilfe von Realize Pixels gesammelte Daten von digitalen Angeboten des Werbetreibenden (wie Websites, mobilen Anwendungen oder Ähnlichem) erhebt, ist der Werbetreibende verpflichtet: (i) den betroffenen Personen alle erforderlichen Transparenzhinweise über die Verwendung von Realize Pixels durch Taboola zur Erhebung gesammelter Daten von digitalen Angeboten des Werbetreibenden für die zulässigen Zwecke bereitzustellen und (ii) die Einwilligung der betroffenen Personen in diese Verwendung von Realize Pixels für die zulässigen Zwecke einzuholen (und auf Anfrage von Taboola jederzeit einen entsprechenden Nachweis darüber zu erbringen), jeweils in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze.  Zu den Verpflichtungen des Werbetreibenden in diesem Zusammenhang gehört es, Taboola und dessen Verwendung von Realize Pixels für die zulässigen Zwecke ausdrücklich in den Transparenzhinweisen und den Einwilligungsaufforderungen, die der Werbetreibende den betroffenen Personen zur Verfügung stellt, sowie in allen anderen Informationen, die nach den geltenden Datenschutzgesetzen erforderlich sind, zu identifizieren, damit Taboola seine Dienste über solche digitalen Angebote rechtmäßig anbieten und die gesammelten Daten und personenbezogenen Daten für die zulässigen Zwecke verarbeiten kann. Soweit der Werbetreibende den Gen AI Landing Page-Service von Taboola in Anspruch nimmt, wird Taboola einen transparenten Hinweis geben und die Zustimmung des Nutzers einholen.

b. Auf schriftliche Anfrage stellt Taboola dem Werbetreibenden die erforderlichen Informationen über die Realize Pixels und die Verarbeitung der über die digitalen Angebote des Werbetreibenden gesammelten Daten durch Taboola zur Verfügung, damit der Werbetreibende sicherstellen kann, dass seine Benachrichtigungs- und Einwilligungsmechanismen den geltenden Datenschutzgesetzen entsprechen.  Der Werbetreibende darf Realize Pixels erst dann aktivieren, wenn die erforderliche Transparenz geschaffen und alle nach den geltenden Datenschutzgesetzen erforderlichen Einwilligungen eingeholt wurden.

c. Der Werbetreibende ist außerdem verpflichtet, den betroffenen Personen Informationen darüber zu geben, wie sie ihre Datenschutzrechte gemäß den geltenden Datenschutzgesetzen ausüben können, und eine Kontaktstelle bereitzustellen, an die sich die betroffenen Personen zur Ausübung ihrer Rechte wenden können. Der Werbetreibende ist verpflichtet, Taboola unverzüglich zu benachrichtigen, falls und soweit er eine Anfrage bezüglich datenschutzrechtlicher Rechte im Zusammenhang mit der Verarbeitung der erhobenen Daten durch Taboola als Verantwortlichen erhält, damit Taboola die Anfrage gemäß seinen Verpflichtungen nach geltendem Datenschutzrecht erfüllen kann.

Wenn Taboola auf Anfrage des Werbetreibenden personenbezogene Daten an den Attributionspartner des Werbetreibenden oder an den Werbetreibenden zu Attributionszwecken weitergibt, sichert der Werbetreibende Folgendes zu: (i) Der Attributionspartner ist ein Auftragsverarbeiter im Auftrag des Werbetreibenden; (ii) sofern die personenbezogenen Daten nicht anderweitig unabhängig erhoben werden, werden der Werbetreibende und der Attributionspartner diese Daten ausschließlich zu Attributionszwecken verwenden; und (iii) der Attributionspartner und der Werbetreibende werden alle weitergegebenen personenbezogenen Daten innerhalb von dreißig (30) Tagen nach der letzten Identifizierung des Besuchers als von Taboola kommend löschen.

Jede Partei ist verpflichtet, geeignete technische und organisatorische Sicherheitsmaßnahmen zu ergreifen, um die gesammelten Daten und/oder die von ihr verarbeiteten personenbezogenen Daten vor Sicherheitsvorfällen zu schützen.  Diese Maßnahmen umfassen auch die in Anhang B aufgeführten Maßnahmen.

Im Falle eines Sicherheitsvorfalls bei einer der Parteien in Bezug auf erhobene Daten und/oder personenbezogene Daten, die sie verarbeitet und die Gegenstand dieser Vereinbarung und dieser Datenschutzbestimmungen für Werbetreibende sind, ist diese Partei: (i) für die Erfüllung ihrer Meldepflichten gegenüber den Datenschutzbehörden und/oder betroffenen Personen gemäß den geltenden Datenschutzgesetzen auf eigene Kosten verantwortlich; (ii) die andere Partei unverzüglich zu benachrichtigen und ihr alle Informationen über den Sicherheitsvorfall zur Verfügung zu stellen, die diese vernünftigerweise anfordern kann oder die die andere Partei benötigt, um festzustellen, ob sie ebenfalls Meldepflichten gemäß den geltenden Datenschutzgesetzen in Bezug auf den Sicherheitsvorfall hat; und (iii) unverzüglich alle geeigneten Maßnahmen zu ergreifen, um die Auswirkungen des Sicherheitsvorfalls zu beheben und/oder abzumildern.

Soweit dies nach den für die jeweilige Partei geltenden Datenschutzgesetzen erforderlich ist, führt jede Partei eine Datenschutz-Folgenabschätzung hinsichtlich der Verarbeitung der erhobenen Daten und/oder personenbezogenen Daten für die zulässigen Zwecke durch und/oder konsultiert gegebenenfalls die zuständigen Datenschutzbehörden.  Jede Partei ist verpflichtet, der anderen Partei in angemessener Weise alle erforderlichen Informationen und Unterstützung zukommen zu lassen, sofern dies notwendig ist, damit die andere Partei eine Datenschutz-Folgenabschätzung durchführen und/oder sich gemäß ihren Verpflichtungen nach diesem Abschnitt 11 mit den zuständigen Datenschutzbehörden beraten kann.

 

A. LISTE DER PARTEIEN

Jede Partei soll sein:

      • ein Datenverantwortlicher (und Datenexporteur) der gesammelten Daten, die er der anderen Partei offenlegt oder zur Verfügung stellt, und
      • ein Datenverantwortlicher (und Datenimporteur) der gesammelten Daten, die er von der anderen Partei erhält oder zu denen ihm von dieser Zugang gewährt wird.

Die Details zu den einzelnen Parteien sind unten aufgeführt.

Name: Die Angaben zum Werbetreibenden sind im Vertrag aufgeführt.

Adresse: Die Angaben zum Werbetreibenden sind im Vertrag aufgeführt.

Name, Position und Kontaktdaten der Kontaktperson: Die Angaben zum Werbetreibenden sind im Vertrag oder in einer anderweitig zwischen den Parteien schriftlich getroffenen Vereinbarung aufgeführt.

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Der Empfang der im Vertrag festgelegten Dienstleistungen.

Unterschrift und Datum: Dieser Anhang A gilt mit der Annahme dieser Datenschutzbestimmungen durch den Werbetreibenden als unterzeichnet.

Rolle (Controller/Prozessor): Controller (wo es sich um einen Datenexporteur handelt) und Controller (wo es sich um einen Datenimporteur handelt)

 

Name: Die Einzelheiten zu Taboola finden Sie in der Einleitung zum Abkommen.

Adresse: Die Einzelheiten zu Taboola finden Sie in der Einleitung zum Abkommen.

Name, Position und Kontaktdaten der Kontaktperson: Das Datenschutzteam von Taboola, taboola.com.

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: Die Erbringung der Dienstleistungen gemäß der Vereinbarung.

Unterschrift und Datum: Dieser Anhang A gilt mit der Annahme dieser Datenschutzbestimmungen für Werbetreibende durch Taboola als unterzeichnet.

Rolle (Controller/Prozessor): Controller (wo es sich um einen Datenexporteur handelt) und Controller (wo es sich um einen Datenimporteur handelt)

 

B. BESCHREIBUNG DER VERARBEITUNG UND DES TRANSFERS

Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet und/oder übermittelt werden: Benutzer

Kategorien der verarbeiteten und/oder übermittelten personenbezogenen Daten:

Gerätedaten: Betriebssystem, Browsertyp, Browserversion, IP-Adresse (gekürzt innerhalb von 30 Tagen) des Erfassungszeitpunkts, Postleitzahl (abgeleitet aus der IP-Adresse), gehashte Taboola -Benutzer-ID, gehashte E-Mail-Adressen, erste und nachfolgende Seitenaufrufe auf der Website des Werbetreibenden, Geschlecht des Nutzers (abgeleitet aus den Interessen), Interaktionssignale (Verweildauer auf der Website, Scrolltiefe, Sitzungstiefe), Konversionsdaten.

Daten über vom Nutzer besuchte digitale Inhalte: Die URL der besuchten Seite, die verweisende Website

  • Soweit DCO Teil der Dienstleistungen ist, verarbeitet Taboola auch die folgenden Daten:

Gerätedaten: Taboola -Cookie-ID oder Geräte-ID (je nach Plattform), maskierte IP-Adresse, Taboola -Klick-ID, User-Agent-String, Land, Nutzertyp (einschließlich Informationen zu neuen/wiederkehrenden Nutzern, sofern vom Werbetreibenden geteilt), Produktinformationen (verknüpft mit der jeweiligen URL), einschließlich Preis und Verfügbarkeit von den Produktseiten

Ereignisdaten: Währung, Produkt-IDs, Bestell-ID, Kategorie-ID, Kategorie, Suchbegriff, Warenkorbdetails, Wert und Kampagnen-IDs.

Übertragene sensible Daten (falls zutreffend) und angewendete Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken umfassend berücksichtigen, wie beispielsweise strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Protokollierung des Datenzugriffs, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen: Nicht zutreffend.

Die Häufigkeit der Verarbeitung und/oder Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich verarbeitet und/oder übermittelt werden): Kontinuierlich für die gesamte Dauer der Vereinbarung.

Art der Verarbeitung: Verarbeitung personenbezogener Daten, die für die Erbringung der Dienstleistungen gemäß der Vereinbarung erforderlich sind.

Zweck(e) der Datenverarbeitung / -übermittlung und Weiterverarbeitung: Die Erbringung der Dienstleistungen gemäß der Vereinbarung. Zur Klarstellung: Zu den zulässigen Zwecken gehören: (i) Speichern und/oder Abrufen von Informationen auf einem Gerät; (ii) Auswählen von Basisanzeigen; (iii) Erstellen eines personalisierten Anzeigenprofils; (iv) Auswählen personalisierter Anzeigen; (v) Erstellen eines personalisierten Inhaltsprofils; (vi) Auswählen personalisierter Inhalte; (vii) Messen der Anzeigenleistung; (viii) Messen der Inhaltsleistung; (ix) Entwickeln und Verbessern von Produkten; (x) Gewährleisten der Sicherheit, Betrugsprävention und Fehlerbehebung; (xi) Technische Bereitstellung von Anzeigen oder Inhalten; (xii) Abgleichen und Kombinieren von Offline-Datenquellen; (xiii) Verknüpfen verschiedener Geräte; (xiv) Empfangen und Verwenden automatisch übermittelter Gerätemerkmale zur Identifizierung; (xv) Verwenden begrenzter Daten zur Inhaltsauswahl; und (xvi)Zielgruppenanalyse durch Statistiken.

Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums:

      • Taboola: Die Rohdaten werden maximal 13 Monate lang gespeichert.
      • Werbetreibender: Solange dies für den Erhalt der Dienstleistungen erforderlich ist oder wie anderweitig im Vertrag festgelegt.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind außerdem Gegenstand, Art und Dauer der Verarbeitung anzugeben: Nicht zutreffend.

 

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Zuständige Aufsichtsbehörde, wo die EU GDPR Anwendung findet: Die jeweils zuständige Aufsichtsbehörde ist wie folgt:

      • Taboola: Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU SCCs bestimmt.
      • Werbetreibender: Die zuständige Aufsichtsbehörde wird gemäß Klausel 13 der EU SCCs bestimmt.

Zuständige Aufsichtsbehörde, wo die UK GDPR Anwendung findet: Das Büro des Informationsbeauftragten

 

Beschreibung der von jeder Partei getroffenen technischen und organisatorischen Maßnahmen (einschließlich etwaiger relevanter Zertifizierungen), um unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen ein angemessenes Sicherheitsniveau zu gewährleisten.

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten: Taboola sammelt ausschließlich pseudonymisierte Daten, das heißt, wir wissen nicht, wer Sie sind, da wir weder den Namen, die E-Mail-Adresse noch andere identifizierbare Daten des Nutzers kennen oder verarbeiten. Zu den von uns erfassten Benutzerinformationen gehören unter anderem Informationen über das Gerät und das Betriebssystem eines Benutzers, die IP-Adresse, die von Benutzern auf den Websites unserer Kunden aufgerufenen Webseiten, der Link, der einen Benutzer auf die Website eines Kunden geführt hat, Datum und Uhrzeit des Zugriffs eines Benutzers auf die Website eines Kunden sowie weitere Webbrowser-Daten. Die Cookie-ID wird mit Bcrypt anonymisiert und die IP-Adresse gekürzt.

Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und -diensten: Taboola nutzt mehrere Ebenen elektronischer Sicherheit (z. B. Endpunktsicherheit, serverseitige Sicherheit, Erkennungsverfolgung, regelmäßige Penetrationstests und umfassende Informationsbeschaffung zur Überprüfung von Ereignissen im Nachhinein).

Maßnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen: Taboola betreibt weltweit neun Rechenzentren. Jedes Rechenzentrum dient als Replikation der anderen, sodass im Falle eines Ausfalls eines Rechenzentrums die Daten aus einem anderen extrahiert werden können.

Prozesse zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung: Taboola unterhält strenge Prozesse zur Überprüfung der Wirksamkeit seiner Kontrollmechanismen (sowohl technischer als auch organisatorischer Art). Wir haben ein Systemprotokollierungs- und Überwachungssystem eingerichtet, führen mindestens monatliche DR-Tests durch, vierteljährliche Penetrationstests, Firewalls zum Schutz des Webs und Honeypots, die über das gesamte Netzwerk verteilt sind, um jegliche bösartige Aktivitäten aufzuspüren. Darüber hinaus haben wir ein Prämienprogramm eingerichtet, das uns dabei hilft, unser Netzwerk ständig zu überwachen.

Maßnahmen zur Benutzeridentifizierung und -autorisierung: Jeder Benutzer in Taboola ist mit einem eigenen Benutzernamen und Passwort verknüpft. Jeder Zugriff auf das interne Netzwerk von Taboola erfolgt mit 2FA unter Verwendung der Google-Authentifizierung. Benutzer werden ausschließlich von der IT-Abteilung während des Onboarding-Prozesses angelegt, und zwar erst nach Erhalt aller Details und des unterzeichneten Vertrags von der Personalabteilung.

Maßnahmen zum Schutz von Daten während der Übertragung: Taboola unterstützt jegliche Datenübertragung über sichere Übertragungsprotokolle (mindestens HTTPS und TLS v1.2). Darüber hinaus werden Systeme, die möglicherweise personenbezogene Daten enthalten, gesichert und die Daten werden gehasht und anonymisiert gespeichert.

Maßnahmen zum Schutz von Daten während der Speicherung: Die in unseren Datenbanken gespeicherten Daten werden anonymisiert und mit Bcrypt gehasht. Der Zugriff auf die Datenbank wird minimiert und richtet sich nach dem Prinzip „Geschäftsbedarf“.

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden: In jedem der globalen Rechenzentren von Taboola (in den USA, Europa und Asien) befinden sich alle Server in verschlossenen Schränken, die ausschließlich für die Nutzung durch Taboola instand gehalten werden. Diese Schränke werden von Unternehmen gewartet, die entweder SOC2-certified sind oder deren Sicherheitsmaßnahmen von Taboola überprüft wurden. Darüber hinaus bedarf jeder Zugriff auf die Server einer schriftlichen, protokollierten Genehmigung. Alle Taboola Büros sind ebenfalls kontrolliert und erfordern von den Mitarbeitern die Verwendung von Zugangskarten zum Betreten. Darüber hinaus haben nur wenige Mitarbeiter Zugriff auf die Server von Taboola, und jeder Zugriff erfordert eine schriftliche, protokollierte Genehmigung.

Maßnahmen zur Sicherstellung der Ereignisprotokollierung: Taboola setzt Überwachungstools ein und die Protokolle werden in unserem SIEM System gesammelt, das uns bei verdächtigen Ereignissen alarmiert und auch vom NOC Team überwacht wird.

Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration: Die Server werden sowohl auf Konfigurationsabweichungen als auch auf den Patch-Stand überprüft. Reporting- und/oder Alarmierungsfunktionen sind auf beiden Systemen aktiviert und der entsprechende Patch-Level wurde bestätigt. Neue Patches werden mit Puppet verteilt. Alle technischen Überprüfungen werden über die F&E-Anwendung verwaltet und durch einen formalen Überprüfungsprozess (QA) eingeholt, nachdem auch die Codierungs- und CI/CD processes implementiert wurden.

Maßnahmen für die interne IT- und IT-Sicherheits-Governance und -Management: Taboola ist ISO 27001:2013 und 27701 zertifiziert. Taboola verfügt über eine Informationssicherheitsrichtlinie, in der festgelegt ist, dass sich Vorstand und Management von Taboola der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit aller physischen und elektronischen Informationsbestände innerhalb ihrer Organisation verpflichtet haben. Taboola bietet Sicherheitsschulungen für alle neuen Mitarbeiter, Phishing-Schulungen für alle Mitarbeiter weltweit sowie regelmäßige Sicherheitsschulungen für alle Mitarbeiter und spezielle Schulungen für die Forschungs- und Entwicklungsabteilung an.

Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten: Vierteljährliche/halbjährliche/jährliche interne Audits verschiedener Prozesse und Systeme, um zu bestätigen, dass Taboola seine definierten Sicherheitsziele und -maßnahmen einhält.

Maßnahmen zur Gewährleistung der Datenminimierung: Taboola beschränkt die von uns erhobenen Daten bewusst im Rahmen der globalen Datenminimierungsgrundsätze von Taboola, die besagen, dass nur die für unsere spezifischen Geschäftszwecke erforderlichen begrenzten Daten verarbeitet werden. Darüber hinaus verfügt Taboola weder über die Fähigkeit noch über ein geschäftliches Bedürfnis, die in unserem Algorithmus verwendeten Datenpunkte „rückwärts zu analysieren“, um unsere Dienstleistungen anbieten zu können. Genauer gesagt, lassen die von Taboola gesammelten Datenpunkte niemals Rückschlüsse auf die Identität eines Nutzers zu – da Taboola keine Informationen wie Name, Telefonnummer, E-Mail-Adresse oder physische Adresse des Nutzers sammelt oder verarbeitet. Stattdessen sammelt Taboola nur pseudonyme Kennungen, die lediglich Merkmale des Geräts eines Benutzers identifizieren. Dies umfasst IP-Adressen (die bei der Erfassung gekürzt werden und nur den allgemeinen Postleitzahlenstandort des Geräts, aber niemals eine genaue Geolokalisierung ermöglichen) und in einigen begrenzten Fällen gehashte E-Mail-Adressen (die von Natur aus irreversibel sind und nicht entschlüsselt werden können, um die ursprüngliche E-Mail-Adresse preiszugeben). Darüber hinaus können die von uns gesammelten Daten selbst bei gemeinsamer Verwendung niemals den Namen, die Telefonnummer, die E-Mail-Adresse oder die physische Adresse einer Person ermitteln, und unsere Ingenieure arbeiten in keiner Weise daran, dieses Ziel zu erreichen. Darüber hinaus erstellt und dokumentiert Taboola Datenschutz-Folgenabschätzungen, um die Datenschutzrisiken unserer Dienste, Prozesse und Richtlinien zu minimieren.

Maßnahmen zur Sicherstellung der Datenqualität: Die Daten werden direkt vom Nutzer erhoben, und der Nutzer hat die Möglichkeit , alle mit seiner Cookie-ID verknüpften Daten über das Taboola Portal für Auskunftsersuchen zu korrigieren: https://accessrequest.taboola.com/access

Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung: Wir speichern Nutzerinformationen, die direkt zum Zwecke der Anzeigenschaltung erhoben werden, höchstens dreizehn (13) Monate ab der letzten Interaktion des Nutzers mit unseren Diensten (oft auch kürzer). Anschließend anonymisieren wir die Daten, indem wir eindeutige Kennungen entfernen oder die Daten aggregieren. Dieser Vorgang erfolgt automatisch.

Maßnahmen zur Gewährleistung von Rechenschaftspflicht: Taboola führt mehrere Sicherheitsaudits und Penetrationstests durch (jedoch nicht für alle Systeme). Taboola nutzt außerdem Cloud-Anbieter, die ISO-zertifiziert sind und weitere Cloud-relevante Zertifizierungen zur Aufrechterhaltung der physischen Sicherheitsvorkehrungen eines Servers erfüllen.

Maßnahmen zur Ermöglichung der Datenportabilität und zur Gewährleistung der Löschung: Sämtliche Datenträger müssen vor der Wiederverwendung oder Entsorgung vollständig gelöscht werden. Jegliche Datenträgerentsorgung wird dokumentiert. Den Mitarbeitern wird untersagt, Dokumente auszudrucken, die persönliche Informationen enthalten könnten.

  1. Soweit eine Partei eine eingeschränkte Übermittlung erhobener Daten an die andere Partei vornimmt, werden die Standard Contractual Clauses in diese Datenschutzbestimmungen für Werbetreibende aufgenommen und gelten wie folgt:
    1. Sofern es sich bei der beschränkten Übermittlung um eine beschränkte Übermittlung EU handelt, gelten zwischen den Parteien die EU SCCs wie folgt:
      1. Modul Eins findet Anwendung;
      2. In Klausel 7 findet die optionale Docking-Klausel Anwendung;
      3. In Klausel 11 findet die optionale Formulierung keine Anwendung;
      4. Gemäß Klausel 17 findet Option 1 Anwendung, und die EU SCCs unterliegen irischem Recht.
      5. Gemäß Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands entschieden.
      6. Die Teile A, B und C von Anhang I gelten mit den in den Teilen A, B und C von Anhang A dieser Datenschutzbestimmungen für Werbetreibende enthaltenen Informationen als abgeschlossen; und
      7. Anhang II gilt mit den in Anhang B dieser Datenschutzbestimmungen für Werbetreibende aufgeführten Sicherheitsmaßnahmen als abgeschlossen;
    2. Sofern es sich bei der beschränkten Übertragung um eine beschränkte Übertragung im UK handelt, gilt der UK Addendum zwischen den Parteien wie folgt:
      1. Die oben dargelegten, ausgefüllten EU SCCs gelten zwischen den Parteien und werden durch den UK Addendum (ausgefüllt gemäß Unterabsatz (ii) unten) geändert; und
      2. Die Tabellen 1 bis 3 des UK Addendum gelten als mit den entsprechenden Informationen aus den EU SCCs) vervollständigt, wie oben beschrieben, und die Optionen „Exporteur“ und „Importeur“ gelten in Tabelle 4 als angekreuzt. Der Beginn des UK Addendum (wie in Tabelle 1 angegeben) ist der Zeitpunkt des Inkrafttretens dieser Datenschutzbestimmungen für Werbetreibende.
  2. Weitervergabe mit Einschränkungen:  Keine der Parteien wird die von der anderen Partei erhaltenen gesammelten Daten in eingeschränkter Form weitergeben, es sei denn, sie hat alle erforderlichen Maßnahmen ergriffen, um sicherzustellen, dass diese Weitergabe in eingeschränkter Form mit dem geltenden Datenschutzrecht und den mit der anderen Partei vereinbarten Standard Contractual Clauses übereinstimmt.