Datenschutzanhang für RTB- und Programmatic-Partner

Last Update: May 29, 2024

Datum des Inkrafttretens: 29. Mai 2024

Um sicherzustellen, dass Taboola angemessene Datenschutzbedingungen mit unseren Programmatic- und RTB-Partnern (jeder ein „Partner”) Taboola stellt dieses Datenschutzaddendum („DPA”).

Diese DPA ergänzt automatisch und ist Teil der bestehenden vertraglichen Geschäftsvereinbarung zwischen Partner und Taboola bezüglich der Bereitstellung von RTB- und programmatischen Dienstleistungen („Grundlegende Vereinbarung”).

Alle in diesem DPA verwendeten Großschreibungen, die in diesem DPA nicht definiert sind, haben die in der Grundvereinbarung angegebenen Bedeutungen.  Im Falle eines Konflikts zwischen diesem DPA und der Grundvereinbarung hat dieser DPA Vorrang.

Anwendbare Datenschutzgesetze„bedeutet alle anwendbaren Bundes-, nationalen, staatlichen oder sonstigen Datenschutzgesetze, die von Zeit zu Zeit geändert oder ersetzt werden können, einschließlich, falls zutreffend und ohne Einschränkung, des CCPA (wie unten definiert) und der europäischen Datenschutzgesetze.

CCPA„bedeutet das California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100 – 1798.199), geändert durch das California Privacy Rights Act (Cal. Civ. Code §§ 1798.100 – 1798.199).

Controller„bedeutet eine Einheit, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und jede Einheit umfasst, die personenbezogene Daten als „Unternehmen“ oder „Drittanbieter“ im Sinne des CCPA und der CPRA verarbeitet.

Datenschutzrahmen„oder“DPF„bedeutet den EU-US-Datenschutzrahmen. Datenschutzrahmen und die britische Erweiterung des EU-US- DPF, wie sie vom US- Handelsministerium festgelegt wurden.

Europäische Datenschutzgesetze„bedeutet EU-Datenschutzgesetze und britische Datenschutzgesetze.

EU-Datenschutzgesetze„bedeutet: (i) EU-Verordnung 2016/679 („EU GDPR“); (ii)       EU-Richtlinie 2002/58/EG; und (iii) die nationalen Gesetze jedes EWR-Mitgliedstaats, die gemäß, aufgrund oder zur Umsetzung von (i) oder (ii) erlassen wurden oder die sich anderweitig auf die Verarbeitung personenbezogener Daten beziehen; in jedem Fall in der jeweils geltenden Fassung oder abgelösten Fassung.

Personenbezogene Datenbedeuten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, und umfassen alle Informationen, die als „personenbezogene Daten“ oder „personenbezogene Informationen“ gemäß den Anwendbaren Datenschutzgesetzen definiert sind.

Erlaubter Zweck„bedeutet die Echtzeit-Gebote, die mit dem Kauf und Verkauf von Online-Werbeanzeigen gemäß der zugrunde liegenden Vereinbarung zusammenhängen, für die Taboola geteilte Daten an Partner zur Verarbeitung weitergibt oder anderweitig verfügbar macht, wie in Anhang I dargelegt.

Begrenzter Transfer„bedeutet“: (i) wenn die EU-DSGVO anwendbar ist, eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht Gegenstand einer Angemessenheitsbestimmung der Europäischen Kommission ist („Begrenzter EU-Transfer“); und (ii) wenn die UK-DSGVO anwendbar ist, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht Gegenstand oder nicht auf Angemessenheitsvorschriften gemäß Abschnitt 17A des britischen Datenschutzgesetzes von 2018 basiert („Begrenzter UK-Transfer“).

Sicherheitsvorfall„bedeutet einen Sicherheitsverstoß, der zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf gemeinsame Daten führt.

Verkaufen„ und „teilen„bezeichnen die in den CCPA und CPRA sowie deren Durchführungsbestimmungen festgelegten Bedeutungen.

Gemeinsame Daten„bedeutet die Kategorien personenbezogener Daten, die in Anhang I dieses DPA aufgeführt sind.

Standard Contractual Clauses„bedeutet: (i) wenn die EU-DSGVO gilt, die vertraglichen Klauseln, die dem Durchführungsbeschluss 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standard Contractual Clauses für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates („EU-Standard Contractual Clauses“) beigefügt sind; und (ii) wenn die UK-DSGVO gilt, das „Internationale Datenübertragungsaddendum zu den Standard Contractual Clauses der EU-Kommission“, das vom Informationskommissar gemäß § 119A(1) des DPA 2018 („UK Addendum“) ausgestellt wurde; undUK Addendum”).

Datenschutzgesetze des Vereinigten Königreichs„bedeutet“: (i) die EU-DSGVO, da sie gemäß Abschnitt 3 des Gesetzes von 2018 zur Europäischen Union (Austritt) („UK-DSGVO“) Teil des Rechts des Vereinigten Königreichs ist; (ii) die Verordnung von 2003 über Datenschutz und elektronische Kommunikation (EG-Richtlinie); (iii) das Datenschutzgesetz von 2018; und (iv) alle anderen Gesetze im Vereinigten Königreich, die gemäß, aufgrund oder zur Umsetzung von (i) oder (ii) erlassen wurden oder die sich anderweitig auf die Verarbeitung personenbezogener Daten beziehen; in jedem Fall in jeweils geänderter oder neu gefasster Fassung.

Vorbehaltlich der Einhaltung des zugrundeliegenden Vertrags und dieses DPA durch den Partner wird Taboola die gemeinsam genutzten Daten offenlegen oder anderweitig dem Partner zur Verfügung stellen, damit dieser sie ausschließlich für den zulässigen Zweck verarbeitet.

Die Parteien erkennen an, dass Taboola ein für die gemeinsam genutzten Daten Verantwortlicher ist, die es dem Partner offenlegt, und dass der Partner die gemeinsam genutzten Daten als Verantwortlicher ausschließlich für den zulässigen Zweck verarbeitet.

Der Partner gewährleistet, versichert und verpflichtet sich, dass:

(a)   es wird die gemeinsamen Daten jederzeit nur für den zulässigen Zweck und in Übereinstimmung mit den anwendbaren Datenschutzgesetzen verarbeiten;

(b)   es hat keinen Grund zu der Annahme, dass die anwendbaren Datenschutzgesetze es daran hindern, seine Verpflichtungen in Bezug auf die Verarbeitung der gemeinsamen Daten für den zulässigen Zweck zu erfüllen;

(c)   wenn der Partner feststellt, dass er die gemeinsamen Daten nicht in Übereinstimmung mit den anwendbaren Datenschutzgesetzen für den zulässigen Zweck verarbeiten kann, wird er Taboola unverzüglich darüber informieren;

(d)   es muss jederzeit eine öffentlich zugängliche Datenschutzerklärung auf seiner Website bereitstellen und aufrechterhalten, die den Anforderungen der anwendbaren Datenschutzgesetze entspricht und Kontaktinformationen enthält, über die betroffene Personen datenschutzbezogene Anfragen stellen können;

(e)   es muss betroffenen Personen die Ausübung ihrer Datenschutzrechte in Übereinstimmung mit den anwendbaren Datenschutzgesetzen ermöglichen, einschließlich (aber nicht beschränkt auf) ihres Rechts, der Verarbeitung ihrer gemeinsamen Daten zu widersprechen;

(f)   in Bezug auf jede Verarbeitung gemeinsamer Daten, die nach den europäischen Datenschutzgesetzen geschützt ist, muss es:

(g)   gemeinsame Daten nur verarbeiten, wenn es dazu eine Einwilligung hat, die den Anforderungen der europäischen Datenschutzgesetze entspricht; und

(h)   es muss angemessene technische und organisatorische Maßnahmen ergreifen, einschließlich mindestens der in Anhang II festgelegten Maßnahmen, um die gemeinsamen Daten vor einem Sicherheitsvorfall zu schützen.

Taboola kann angemessene und geeignete Maßnahmen ergreifen, um sicherzustellen, dass der Partner die gemeinsamen Daten gemäß der zugrunde liegenden Vereinbarung und dieser DPA in Übereinstimmung mit den anwendbaren Datenschutzgesetzen verarbeitet.

Wenn der Partner die zugrunde liegende Vereinbarung, diese DPA oder die geltenden Datenschutzgesetze nicht einhält, wird Taboola angemessene und geeignete Maßnahmen ergreifen, um die unbefugte Nutzung der gemeinsam genutzten Daten zu stoppen und zu beheben (einschließlich der Aussetzung oder Beendigung der Offenlegung der gemeinsam genutzten Daten an den Partner).

Der Partner muss die geltenden Datenschutzgesetze einhalten und den gemeinsam genutzten Daten den gleichen Datenschutz bieten, der gemäß den geltenden Datenschutzgesetzen erforderlich ist.

Für den Fall, dass eine der Parteien eine Korrespondenz, Anfrage oder Beschwerde von einer betroffenen Person, einer Aufsichtsbehörde oder einer anderen Drittpartei („Korrespondenz“) im Zusammenhang mit (a) der Offenlegung der gemeinsam genutzten Daten für den zulässigen Zweck oder (b) der Verarbeitung gemeinsam genutzter Daten durch die andere Partei, informiert diese die andere Partei unverzüglich und gibt vollständige Einzelheiten darüber bekannt, und die Parteien arbeiten angemessen und in gutem Glauben zusammen, um auf die Korrespondenz in Übereinstimmung mit den Anforderungen des anwendbaren Datenschutzrechts zu reagieren.

Soweit eine Übertragung von gemeinsam genutzten Daten von Taboola an den Partner eine eingeschränkte Übertragung darstellt, werden die Standard Contractual Clauses in diese DPA aufgenommen und wie folgt angewendet:

(a)    Wenn es sich bei der eingeschränkten Übertragung um eine eingeschränkte Übertragung in der EU handelt, gelten die EU SCCs zwischen Taboola (als Datenexporteur) und dem Partner (als Datenimporteur) wie folgt:

(i)    Modul Eins wird angewendet;

(ii)   In Klausel 7 gilt die optionale Andockklausel;

(iii)  in Klausel 11 gilt die optionale Sprache nicht;

(iv)  in Klausel 17 gilt Option 1, und die EU SCCs unterliegen dem irischen Recht;

(v)  in Klausel 18(b) werden Streitigkeiten vor den Gerichten Irlands beigelegt;

(vi) in Anhang I:

(A)   Teile A und B gelten als mit den in Anhang A dieses DPA enthaltenen Informationen vervollständigt;

(B)   Teil C gilt als gemäß den in Klausel 13(a) der EU SCCs festgelegten Kriterien vervollständigt; und

(vii) Anhang II gilt als mit den in Anhang B dieses DPA enthaltenen Sicherheitsmaßnahmen vervollständigt.

(b)   wenn es sich bei dem eingeschränkten Transfer um einen britischen eingeschränkten Transfer handelt, gilt das UK Addendum zwischen den Parteien wie folgt:

(i)    die EU SCCs, wie oben angegeben vervollständigt, gelten zwischen den Parteien und werden durch das UK Addendum (wie in Unterabsatz (ii) unten angegeben vervollständigt) geändert; und

(ii)   die Tabellen 1 bis 3 des UK Addendum gelten als mit den aus den oben angegebenen EU SCCs stammenden relevanten Informationen vervollständigt, und die Optionen „Exporter“ und „Importer“ gelten in Tabelle 4 als aktiviert.  Das Datum des Inkrafttretens des UK Addendum (wie in Tabelle 1 angegeben) ist das Datum des Inkrafttretens dieser DPA.

Der Partner darf eine Weitergabe von gemeinsamen Daten an Dritte nur dann vornehmen, wenn er alle erforderlichen Maßnahmen ergriffen hat, um sicherzustellen, dass die Weitergabe den geltenden Datenschutzgesetzen und den mit Taboola abgeschlossenen Standard Contractual Clauses entspricht.

Ungeachtet dessen gelten Übertragungen von gemeinsamen Daten an den Partner, die im Rahmen des DPF erfolgen, nicht als eingeschränkte Übertragung, wenn der Partner die DPF-Zertifizierung erhalten hat und diese einhält.  In einem solchen Fall muss der Partner Taboola unverzüglich benachrichtigen, wenn er die DPF-Zertifizierung nicht einhält oder diese abläuft oder anderweitig ungültig wird. In diesem Fall:

(a) gelten alle Übertragungen von gemeinsamen Daten von Taboola an den Partner sofort als eingeschränkte Übertragung, und die oben genannten Bestimmungen für eingeschränkte Übertragungen gelten; und

(b) kann Taboola nach eigenem Ermessen beschließen, die Übertragungen von gemeinsamen Daten an den Partner ohne Strafen auszusetzen oder zu beenden.

Der Partner stellt Taboola und seine Direktoren, leitenden Angestellten, Mitarbeiter, Vertreter und Kunden („Taboola-Haftungsausschlüsse”) von und gegen alle Ansprüche, Forderungen, Klagen, Verfahren und Handlungen, die von Dritten im Zusammenhang mit der Behauptung erhoben werden, dass der Partner diese DPA oder die geltenden Datenschutzgesetze verletzt hat, und stellt die Taboola-Indemnizierungen für alle Schäden, Verluste, Kosten und Ausgaben (einschließlich angemessener Anwaltsgebühren) frei, die den Taboola-Indemnitätsberechtigten aus oder aufgrund eines solchen Anspruchs entstehen.

Der Partner ist allein verantwortlich für seine Einhaltung der geltenden Datenschutzgesetze bei der Verarbeitung der gemeinsamen Daten.

Im Falle von Änderungen an den anwendbaren Datenschutzgesetzen kann Taboola diese DPA ändern und aktualisieren, soweit und in dem Umfang, der erforderlich ist, um diesen Änderungen an den anwendbaren Datenschutzgesetzen zu entsprechen.

Mit Wirkung ab dem Wirksamkeitsdatum dieser DPA beziehen sich Verweise auf das „Abkommen“ in dieser DPA oder dem zugrunde liegenden Vertrag auf den zugrunde liegenden Vertrag, ergänzt durch diese DPA.

A. VERZEICHNIS DER PARTEIEN

[Tabelle id=13 /]

Partner - Data importer:
Name:See Partner’s details set out in the Underlying Agreement.
Address:See Partner’s details set out in the Underlying Agreement.
Contact person’s name, position and contact details:See Partner’s details set out in the Underlying Agreement.
Activities relevant to the data transferred under these Clauses:Receipt and processing of Shared Data for the Permitted Purpose.
Signature and date:This DPA shall automatically be deemed executed upon execution of the Underlying Agreement.
Role (controller/processor):Controller.

B. BESCHREIBUNG DER ÜBERMITTLUNG

Description of Transfer
Categories of data subjects whose personal data is transferredVisitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties.
Categories of personal data transferredPre-partnership Integration:

Unique User IDs from RTB partners
Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points)

Bid request includes:

Unique ID of the bid request (provided by the exchange)
IMP object representing the impression offered
Publisher site or app represented
App
Device
Auction Type
Maximum Time
Currency
Blocked Categories
Device ID
Taboola User ID

Calling Tag Partners:

URL
Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measuresNot applicable.
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis)Continuous for the duration of the Underlying Agreement.
Nature of the processingProcessing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers.
Purpose(s) of the data transfer and further processingPartner processes Shared Data, for the following purposes:

Serve personalized and behavioral recommendations.
Determine whether to bid on a placement and serve personalized recommendations.
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that periodFor the duration of the Underlying Agreement and as otherwise required by applicable law.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processingNot applicable.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDEN

Competent Supervisory Authority
Competent supervisory authority where the EU GDPR appliesThe competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses.
Competent supervisory authority where the UK GDPR appliesThe Information Commissioner’s Office

Beschreibung der technischen und organisatorischen Maßnahmen, die von jeder Partei umgesetzt wurden (einschließlich aller relevanten Zertifizierungen), um ein angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung der Art, des Umfangs, des Kontextes und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen. Der Partner erklärt und gewährleistet, dass er angemessene technische und organisatorische Maßnahmen ergriffen hat, die im Wesentlichen den nachstehend beschriebenen Sicherheitsmaßnahmen von Taboola entsprechen.

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten: Taboola sammelt nur pseudonymisierte Daten, was bedeutet, dass wir nicht wissen, wer Sie sind, da wir weder den Namen, die E-Mail-Adresse noch andere identifizierbare Daten des Nutzers kennen oder verarbeiten. Zu den von uns gesammelten Benutzerinformationen gehören unter anderem Informationen über das Gerät und das Betriebssystem eines Nutzers, die IP-Adresse, die Webseiten, auf die Nutzer innerhalb der Websites unserer Kunden zugreifen, der Link, der einen Nutzer auf die Website eines Kunden geführt hat, die Daten und Uhrzeiten, zu denen ein Nutzer auf die Website eines Kunden zugreift, und andere Webbrowserdaten. Die CookieID wird mithilfe von Bcrypt anonymisiert und die IP-Adresse wird gekürzt.

Maßnahmen zur Sicherstellung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten: Taboola verwendet mehrere Ebenen der elektronischen Sicherheit (z. B. Endpunktsicherheit, serverseitige Sicherheit, Erkennung von Tracking, periodische Penetrationstests und umfassende Datensammlung zur Überprüfung von Post-Mortem-Ereignissen).

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen: Taboola betreibt 9 Datencenter weltweit. Jedes Datencenter wird als Replik eines anderen verwendet, sodass im Falle eines Ausfalls die Daten aus einem anderen Datencenter abgerufen werden können.

Prozesse zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten: Taboola verfügt über strenge Verfahren zur Prüfung der Wirksamkeit seiner Kontrollen (sowohl technischer als auch organisatorischer Art). Wir verfügen über Systemprotokollierung und -überwachung, monatliche (mindestens) DR-Tests, vierteljährliche Penetrationstests, Firewalls zum Schutz des Web und Honeypots, die im gesamten Netzwerk verteilt sind, um bösartige Aktivitäten zu erkennen. Darüber hinaus haben wir ein Bounty-Programm, das uns dabei hilft, unser Netzwerk ständig zu überwachen.

Maßnahmen zur Benutzeridentifikation und -autorisierung: Jedem Benutzer bei Taboola ist ein spezieller Benutzername und ein Passwort zugeordnet. Jeder Zugriff auf das interne Netzwerk von Taboola erfolgt mit 2FA unter Verwendung der Google-Authentifizierung. Benutzer werden nur von der IT-Abteilung erstellt, und zwar während des Onboarding-Prozesses und erst nach Erhalt aller Details und des unterzeichneten Vertrags von der Personalabteilung.

Maßnahmen zum Schutz von Daten während der Übertragung: Taboola unterstützt jede Datenübertragung über sichere Übertragungsprotokolle (HTTPS und TLS v1.2 als Minimum). Darüber hinaus werden Systeme, die PII enthalten könnten, gesichert und die Daten werden verschlüsselt und anonymisiert aufbewahrt.

Maßnahmen zum Schutz von Daten während der Speicherung: Daten, die in unseren Datenbanken gespeichert werden, werden mit Bcrypt anonymisiert und verschlüsselt. Der Zugriff auf die Datenbank wird minimiert und basiert auf dem Prinzip „Geschäftsbedarf zu wissen“.

Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden: Jedes der globalen Rechenzentren von Taboola (in den USA, Europa und Asien) verfügt über Server, die sich in abgeschlossenen Schränken befinden, die ausschließlich für die Nutzung durch Taboola bereitgestellt werden. Diese Schränke werden von Unternehmen gewartet, die entweder SOC2-zertifiziert sind oder deren Sicherheitsmaßnahmen von Taboola überprüft wurden. Darüber hinaus erfordert jeder Zugriff auf die Server eine schriftliche, protokollierte Genehmigung. Alle Taboola-Büros werden ebenfalls kontrolliert, und die Mitarbeiter müssen Zugangskarten verwenden, um Zutritt zu erhalten. Darüber hinaus haben nur eine begrenzte Anzahl von Mitarbeitern Zugriff auf die Server von Taboola, und jeder Zugriff erfordert eine schriftliche, protokollierte Genehmigung.

Maßnahmen zur Gewährleistung der Ereignisprotokollierung: Taboola implementiert Überwachungstools und Protokolle werden an unser SIEM-System weitergeleitet, das uns auf verdächtige Ereignisse hinweist und auch vom NOC-Team überwacht wird.

Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration: Server werden sowohl auf Konfigurationsabweichungen als auch auf das Patch-Level überprüft. Es werden Berichte und/oder Warnungen für beide erstellt und das relevante Patch-Level wird bestätigt. Neue Patches werden mit Puppet verteilt. Alle technischen Überprüfungen werden über die R&D-Anwendung verwaltet und nach der Implementierung von Coding- und CI/CD-Prozessen durch einen formellen Überprüfungsprozess (QA) durchgeführt.

Maßnahmen für interne IT- und IT-Sicherheits-Governance und -Management: Taboola ist nach ISO/IEC 27001:2013 und ISO/IEC  27701:2019 zertifiziert. Taboola verfügt über eine Informationssicherheitsrichtlinie, die besagt, dass der Vorstand und das Management von Taboola sich verpflichtet haben, die Vertraulichkeit, Integrität und Verfügbarkeit aller physischen und elektronischen Informationsbestände in ihrer Organisation zu bewahren. Taboola führt Sicherheits-Schulungen für alle neuen Mitarbeiter, Phishing-Schulungen für alle Mitarbeiter weltweit und regelmäßige Sicherheits-Schulungen für alle Mitarbeiter sowie spezielle Schulungen für die F&E-Gruppen durch.

Maßnahmen zur Zertifizierung/Gewährleistung von Prozessen und Produkten: Vierteljährliche/halbjährliche/jährliche interne Audits zu mehreren Prozessen und Systemen, um zu überprüfen, ob Taboola seine festgelegten Sicherheitsziele und -maßnahmen einhält.

Maßnahmen zur Gewährleistung der Datenminimierung: Taboola beschränkt absichtlich die Daten, die wir im Rahmen der globalen Datenminimierungsprinzipien von Taboola sammeln, auf die begrenzten Daten, die für unsere spezifischen Geschäftszwecke erforderlich sind. Darüber hinaus hat Taboola weder die Möglichkeit noch ein geschäftliches Interesse daran, einen der in unserem Algorithmus verwendeten Datenpunkte zu „rekonstruieren“, um unsere Dienste bereitzustellen. Genauer gesagt, die von Taboola gesammelten Datenpunkte sind niemals auf die Identität eines Benutzers hinweisend – da Taboola keine Informationen wie den Namen, die Telefonnummer, die E-Mail-Adresse oder die physischen Adressen eines Benutzers sammelt oder verarbeitet. Stattdessen sammelt Taboola nur pseudonyme Kennungen, die lediglich Merkmale über das Gerät eines Benutzers identifizieren. Dazu gehören IP-Adressen (die bei der Erfassung gekürzt werden und nur den allgemeinen Zip-Code-Standort des Geräts identifizieren können, aber niemals eine genaue Geolokalisierung) und in einigen begrenzten Fällen hashierte E-Mail-Adressen (die von Natur aus irreversibel sind und nicht entschlüsselt werden können, um die ursprüngliche E-Mail-Adresse offenzulegen). Darüber hinaus können die Daten, die wir sammeln, selbst wenn sie gemeinsam verwendet werden, niemals den Namen, die Telefonnummer, die E-Mail-Adresse oder die physische Adresse einer Person preisgeben, und unsere Ingenieure arbeiten in keiner Weise daran, dieses Ziel zu erreichen. Darüber hinaus führt Taboola Datenschutzprüfungen durch und dokumentiert diese, um die Datenschutzrisiken unserer Dienste, Prozesse und Richtlinien zu minimieren.

Maßnahmen zur Gewährleistung der Datenqualität: Die Daten werden direkt vom Benutzer erhoben und dem Benutzer wird die Möglichkeit gegeben, Daten, die mit seiner CookieID verknüpft sind, über das Taboola-Portal für Betroffenenzugriffe zu korrigieren: https://accessrequest.taboola.com/access

Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung: Wir bewahren Benutzerinformationen, die direkt für Werbezwecke erhoben werden, für höchstens dreizehn (13) Monate ab der letzten Interaktion des Benutzers mit unseren Diensten (oft für einen kürzeren Zeitraum) auf, danach entfernen wir die eindeutigen Kennungen oder aggregieren die Daten, um die Daten zu entindividualisieren. Dieser Vorgang erfolgt automatisch.

Maßnahmen zur Gewährleistung der Verantwortlichkeit: Taboola führt mehrere Sicherheitsaudits und Penetrationstests durch (aber nicht für alle Systeme). Taboola verwendet auch Cloud-Anbieter, die ISO-zertifiziert sind und die anderen Cloud-relevanten Zertifizierungen einhalten, um die physischen Sicherheitsvorkehrungen eines Servers aufrechtzuerhalten.

Maßnahmen zur Gewährleistung der Datenübertragbarkeit und Löschung: Taboola-bezogene Medienentsorgung gilt für alle Arten von Medien, da diese PII enthalten könnten. Alle Medien müssen vollständig gelöscht werden, bevor sie wiederverwendet oder entsorgt werden. Die Entsorgung von Medien wird dokumentiert. Die Mitarbeiter werden angewiesen, kein Papier zu drucken, das persönliche Informationen enthalten könnte.