Privacy Policy

Allgemeines


Der Betreiber dieser Webseite erhebt, verarbeitet und nutzt personenbezogene Daten eines Nutzers ohne weitergehende Einwilligung nur soweit sie für die Vertragsbegründung und -abwicklung sowie zu Abrechnungszwecken erforderlich sind.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Das Erheben von Daten bedeutet insoweit das Beschaffen von Daten durch den Betroffenen selbst. Verarbeiten ist neben dem Speichern und Löschen auch das Verändern, das Sperren und die Übermittlung personenbezogener Daten. Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. Sofern notwendig, können Bestands- und Verkehrsdaten des Kunden an mit dem Betreiber der Webseite verbundene Unternehmen  weitergegeben werden. Der Betreiber dieser Webseite ist nach Maßgabe der hierfür geltenden gesetzlichen Bestimmungen berechtigt, Auskunft an Strafverfolgungsbehörden und Gerichte zum Zwecke der Strafverfolgung zu erteilen. Der Betreiber dieser Webseite kann die Bestands- und Verkehrsdaten des Kunden zu Marktforschungszwecken auswerten bzw. durch Dritte auswerten lassen. Der Kunde kann dem durch Kontaktaufnahme mit dem Datenschutzbeauftragen widersprechen.



Bestandsdaten


Bestandsdaten sind personenbezogene Daten, die erforderlich sind, um das Vertragsverhältnis zwischen dem Betreiber dieser Webseite und dem Nutzer zu begründen oder zu ändern. Hierzu gehören unter anderem der Name und die Anschrift, Geburtsdatum, Telefon, E-Mail-Adresse und Zahlungsdaten des Nutzers.

Der Betreiber dieser Webseite wird Bestandsdaten nur dann an Dritte weiterleiten, sofern dies für die Erbringung der Dienstleistung erforderlich ist.

Der Betreiber dieser Webseite wird die Bestandsdaten für Zwecke der Werbung, Kundenberatung oder Marktforschung nur verarbeiten und nutzen, soweit dies erforderlich ist und der Nutzer eingewilligt hat. Die Einwilligung kann der Nutzer jederzeit schriftlich widerrufen.

Die Vorschrift in §29 BDSG erlaubt eine geschäftsmäßige Erhebung, Speicherung oder Veränderung personenbezogener Daten zum Zweck der Übermittlung insbesondere im Zusammenhang mit der Tätigkeit von Auskunfteien. Auskunfteien verknüpfen personenbezogene Daten, die aus verschiedenen Quellen stammen und übermitteln diese an Dritte. Der Betreiber dieser Webseite ist verpflichtet, solchen Auskunfteien die erforderlichen Daten zur Verfügung zu stellen.



Verkehrsdaten


Verkehrsdaten sind Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Der Betreiber dieser Webseite bzw. ein Dritter, dessen sich der Betreiber dieser Webseite zur Erbringung der Telekommunikationsdienste bedient, erhebt Verkehrsdaten, um die Inanspruchnahme dieser Dienste zu ermöglichen und die Rechnung des jeweiligen Nutzers erstellen zu können. In der Regel werden dabei Datum und Uhrzeit sowie Zeitzone des Beginns und Endes der Nutzung, der Umfang in Bytes, die IP-Adresse und die Art des in Anspruch genommenen Teledienstes erfasst. Die vorgenannten Daten werden bis zu sechs Monate nach der Versendung der Rechnung gespeichert, es sei denn im Rahmen der vom Nutzer aktivierten Statistikfunktionen ist eine längere Speicherung vorgesehen. Soweit es die Abrechnung mit anderen Unternehmen oder mit anderen Diensteanbietern oder gesetzliche Vorschriften erfordern, darf der Betreiber dieser Webseite Verkehrsdaten verwenden, speichern und übermitteln.



Auskunftsrecht


Der Betreiber dieser Webseite teilt dem Nutzer auf Anfrage schriftlich unter Berücksichtigung der gesetzlichen Vorgaben mit, ob und welche persönlichen Daten über ihn gespeichert sind. Hierfür und für weitere Fragen zum Datenschutz steht Ihnen der Datenschutzbeauftragte zur Verfügung.



Website-Tracking


Diese Website verwendet teilweise so genannte Cookies. Diese dienen dazu, das Angebot nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Sie können die Speicherung dieses und der unten genannten Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können.

Diese Webseite benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Die Cookies werden darüber hinaus für die Remarketing Technologie der Google Inc. verwendet. Durch diese Technologie werden Nutzer, die diese Website bereits besucht und sich für das Angebot interessiert haben, durch zielgerichtete Werbung auf den Seiten des Google Partner Netzwerks erneut angesprochen. Sofern Nutzer zugestimmt haben, dass ihr Web- und App-Browserverlauf von Google mit ihrem Google-Konto verknüpft wird und Informationen aus ihrem Google-Konto zum Personalisieren von Anzeigen verwendet werden, erfolgt die Remarketing-Funktion geräteübergreifend. Zur Unterstützung dieser Funktion werden von Google Analytics Google- authentifzierte IDs dieser Nutzer erfasst. Diese personenbezogenen Daten werden vorübergehend mit den Google Analytics-Daten verknüpft, um Zielgruppen bilden zu können. Google-Nutzer können ihre Anzeigeneinstellungen unter „Mein Konto“ anpassen oder personalisierte Anzeigen deaktivieren.

Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer gekürzten IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: [http://tools.google.com/dlpage/gaoptout?hl=de]

Darüber hinaus erhebt Google Analytics-Berichte zur Leistung nach demografischen Merkmalen und Interesse.



Social Plugins


Diese Website nutzt verschiedene Funktionen von den sozialen Netzwerken Facebook, Twitter und Google+. Standardmäßig werden bei dem Besuch unserer Website keine Daten an diese Dienste übertragen. Auf einigen Seiten kann nach dem Setzen eines Hakens beim entsprechenden Plugin bzw. beim Klick auf einen entsprechenden Link bei der jeweiligen Plattform eine Übertragung von Daten gemäß der nachfolgenden Bedingungen stattfinden, ohne dass die Funktion („Empfehlen“, „Tweet“, „+1“) selbst durchgeführt wird.



YouTube


Diese Webseite nutzt Plugins der von Google betriebenen Seite YouTube. Betreiber der Seiten ist die YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA. Wenn Sie eine unserer mit einem YouTube-Plugin ausgestatteten Seiten besuchen, wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird dem Youtube-Server mitgeteilt, welche unserer Seiten Sie besucht haben. Wenn Sie in Ihrem YouTube-Account eingeloggt sind ermöglichen Sie YouTube, Ihr Surfverhalten direkt Ihrem persönlichen Profil zuzuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem YouTube-Account ausloggen.

Weitere Informationen zum Umgang von Nutzerdaten finden Sie in der Datenschutzerklärung von YouTube unter: https://www.google.de/intl/de/policies/privacy



SoundCloud


Auf unseren Seiten können Plugins des sozialen Netzwerks SoundCloud (SoundCloud Limited, 33 St James Square, London SW1Y 4JS, UK) integriert sein. Die SoundCloud-Plugins erkennen Sie an dem SoundCloud-Logo auf den betroffenen Seiten.

Wenn Sie unsere Seiten besuchen, wird nach Aktivierung des Plugin eine direkte Verbindung zwischen Ihrem Browser und dem SoundCloud-Server hergestellt. SoundCloud erhält dadurch die Information, dass Sie mit Ihrer IP-Adresse unsere Seite besucht haben. Wenn Sie den „Like-Button“ oder „Share-Button“ anklicken während Sie in Ihrem SoundCloud-Account eingeloggt sind, können Sie die Inhalte unserer Seiten mit Ihrem SoundCloud-Profil verlinken und/oder teilen. Dadurch kann SoundCloud den Besuch unserer Seiten Ihrem Benutzerkonto zuordnen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch SoundCloud erhalten. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von SoundCloud unter https://soundcloud.com/pages/privacy

Wenn Sie nicht wünschen, dass Soundcloud den Besuch unserer Seiten Ihrem SoundCloud-Nutzerkonto zuordnen kann, loggen Sie sich bitte aus Ihrem SoundCloud-Benutzerkonto aus, bevor Sie Inhalte des SoundCloud-Plugins aktivieren.


DATENSCHUTZ & NUTZUNGSBEDINGUNGEN

Mit Ihren persönlichen Daten gehen wir sorgfältig um. BREADHUNTER e.U. setzt höchste Standards für Ihren Datenschutz in Österreich und der EU.

Verantwortlich im Sinne der Datenschutzgrundverodnung ist:

Breadhunter e.U. - International Executive Search

Thomas Zahlten

Wiedner Hauptstrasse 65

1040 Wien

Austria

eMail: office@breadhunter.at

Telefon: 0043 677 630 833 68


Datenschutz wird bei uns groß geschrieben, weswegen alle relevanten Daten End-to-End verschlüsselt und DSGVO konform gespeichert werden. 

Weitere Informationen dazu finden Sie hier: https://tresorit.com/legal/privacy-policy

Sowie auf Deutsch hier: https://tresorit.com/de/gdpr


ALLGEMEIN:

HAFTUNG FÜR LINKS

Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei bekannt werden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.

HAFTUNG FÜR INHALTE

Die Inhalte unserer Seite wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen. Als Diensteanbieter sind wir für eigene Inhalte auf dieser Seite nach den allgemeinen Gesetzen verantwortlich. Diensteanbieter sind jedoch nicht verpflichtet, die von ihnen übermittelten oder gespeicherten fremden Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei bekannt werden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.

GOOGLE ANALYTICS

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt.

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: Link

BREADHUNTER CLUB:

How it works
AFTER YOU HAVE purchased your membership BY CREDITCARD, YOU WILL GET AN SEPERATE EMAIL WITHIN 24 HOURS WITH YOUR PERSONAL PASSWORD FOR THE Membership Club AREA AT THIS WEBSITE.
BY USING THIS PASSWORD YOU CAN LOGIN TO THE BREADHUNTER BLOG AND SOME OTHER MEMBER SITES HERE ON THIS WEBSITE.

Subscriptions:
WE OFFER A 6 months(120,- €) AND 12 months(199,- €) SUBSCRIPTION AT THE MOMENT FOR GOOD FRIENDS AND SELECTED COMPANIES ONLY. IF YOU ARE WORKING IN THE RECRUITING, EXECUTIVE SEARCH, STAFFING OR HEADHUNTING INDUSTRY, THE NETWORK WILL BE OPENED FOR YOU WITH A SPECIAL PLAN IN AUTUMN 2019. PLEASE WRITE US AN EMAIL, IF YOU ARE INTERESTED IN OUR CLUB AND WE COMEBACK TO YOU.

Rules & Duties
THE PASSWORD AND MEMBERSHIP IS VALID FOR 1 SINGLE USER ONLY(NOT FOR AN ORGANIZATION) AND IT BELONGS TO THE REGISTERED PERSON ONLY. IT'S FORBIDDEN TO SHARE THIS LOGIN WITH OTHER THIRD PARTIES OR POST IT ON SOCIAL-MEDIA.
GIVING A LOGIN PASSWORD TO ANOTHER 3RD PARTY/PERSON WILL LEAD TO A DISQUALIFICATION OF THE MEMBERSHIP AND CANCELATION OF THE ACCOUNT WITHOUT ANY REFUNDS.

BY SIGNING UP, JOINING AND CHOOSING 1 OF THE 2 MEMBERSHIPS WE OFFER (6/12 MONTHS TRIAL) YOU AGREE WITH OUR privacy policy AND TERMS OF SERVICE. THERE ARE NO REFUNDS POSSIBLE, AFTER YOU HAVE PURCHASED A MEMBERSHIP. YOU DO AGREE BY SIGNING UP AND PURCHASING A MEMBERSHIP PLAN, THAT WE USE A SAFE, ENCRYPTED CLOUD SOFTWARE FROM www.tresorit.com AND www.yesware.com TO TRACK YOUR LOGINS, EMAIL BEHAVIOR AND PROVIDE YOU DOCUMENTS AS PDF DOWNLOAD, THAT ARE IN RELATION WITH THIS MEMBERSHIP AND THE OFFERED SERVICES OF THIS COMMUNITY.

THE BREADHUNTER CLUB IS A PRIVATE BUSINESS-NETWORK OF GLOBAL PEOPLE, THAT RESPECT EACHOTHER BY RACE, RELIGION, PROFESSION, GENDER AND AS HUMAN BEINGS. THE MEMBERSHIP-FEE ALLOWS YOU TO READ THE BLOG ARTICLES FROM BREADHUNTER(IN GERMAN & ENGLISH) AND DOWNLOAD ALL AVAILABLE BREADHUNTER BOOKS AS A FREE PDF COPY FOR YOUR PERSONAL USE/READING. IT'S FORBIDDEN TO SELL OR SEND THESE COPIES TO ANY OTHER 3RD PARTY.

THE BREADHUNTER CLUB IS A PLATFORM TO READ OUR SELECTED BLOG ARTICLES, THE BREADHUNTER BOOKS FOR FREE AND COMMUNICATE WITH OTHER MEMBERS VIA A FORUM, CHAT AND VIDEO CALLS. IT'S A NETWORK OF GOOD FRIENDS, WHO WANT TO EXCHANGE BESIDES LINKEDIN, FACEBOOK AND SOCIAL MEDIA IN A DIFFERENT, MORE EXCLUSIVE WAY. A BUSINESS MARKETPLACE WILL BE STABLISHED IN AUTUMN WITH SOME EXTRA RULES & OBLIGATIONS.

Please note, that you will have 2 seperate passwords
1 password for your membership payment account, where you can manage your payments and renewals.

  1. 1 password just for the BREADHUNTER Club to enter our member area , read blog posts, read inside news, join video calls and download the eBook PDFs for free. CONTACT ME VIA 

email IF YOU HAVE ANY FURTHER QUESTIONS.

VIENNA, 10TH OF JUNE 2019, THOMAS ZAHLTEN

DS-GVO / GDPR relevante Informationen für Bewerber(innen):

KandidatIn bei BREADHUNTER e.U.:

Für die Registrierung in unserem Kandidaten-Pool brauchen wir Ihren Vor- und Nachnamen. Um eventuelle Rückfragen schneller klären zu können, bitten wir Sie, uns auch Ihre Telefonnummer und E-Mail-Adresse zu nennen.Ohne Ihr Einverständnis, werden Ihre Daten nicht weitergeleitet.Wollen Sie nicht mehr in unserem Kandidaten-Pool sein, schreiben Sie uns bitte eine eMail an: office@breadhunter.at

Kontaktformular & Chat bei BREADHUNTER e.U.:

WENN SIE EINES UNSERER KONTAKFORMULARE AUSFÜLLEN, SEI ES ALS KUNDE ODER INTERESSENT AN UNSEREN SERVICES, SO NUTZEN WIR IN DIESEM ZUSAMMENHANG DAS CUSTOMER RELATIONSHIP MANAGEMENT SYSTEM. 
Bei der Kontaktaufnahme mit uns (z.B. per Karrierenetzwerk-Anmeldung und/oder Job-Bewerberformular, E-Mail, Telefon oder via sozialer Medien) werden die Angaben des Nutzers zur Bearbeitung der Kontaktanfrage und deren Abwicklung gem. Art. 6 Abs. 1 lit. b) DSGVO verarbeitet. Die Angaben der Nutzer können in einem Customer-Relationship-Management System („CRM System“) oder vergleichbarer Anfragenorganisation gespeichert werden.
Wir nutzen in diesem Zusammenhang das Customer Relationship Management System der Firma Pipedrive OÜ (Pipedrive OÜ, Paldiski mnt 80, Tallinn 10617, Estland). Es gelten insoweit die Datenschutzbedingungen der Pipedrive OÜ, die unter https://www.pipedrive.com/en/privacy im englischen Originaltext zu finden sind. Wir dürfen Sie gegebenenfalls unter Nutzung der von Ihnen übermittelten Daten kontaktieren und diese Datennutzung dient der Erfüllung des Vertragszwecks gemäß Art. 6 Abs. 1 lit. b EU-Datenschutzgrundverordnung und es besteht auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

DESWEITEREN GILT DIE Privacy Policy von freshworks inc., DIE GDPR KONFORM IST. 
​DAS DATA PROCESSING ADDENDUM VON FRESHWORKS FINDEN SIE HIER:www.freshworks.com/data-processing-addendum/
WEITERE INFOS DAZU FINDEN SIE HIER:  www.freshworks.com/gdpr/

DIE GLOBALEN OFFICES VON FRESHWORKS FINDEN SIE HIER: www.freshworks.com/contact/ , DIE SICH U.A. IN BERLIN(DEUTSCHLAND), SAN BRUNO(USA), LONDON(UK), BANGALORE(INDIEN) UND SYDNEY(AUSTRALIEN) BEFINDEN.

Sowie die Privacy Policy von Zoho Inc., die wie nachfolgend beschrieben auch bezüglich DSGVO / GDPR erfüllt werdn. 
Weitere Informationen dazu finden Sie hier: https://www.zoho.com/gdpr.html
 

Wir dürfen Sie gegebenenfalls unter Nutzung der von Ihnen übermittelten Daten kontaktieren und diese Datennutzung dient der Erfüllung des Vertragszwecks gemäß Art. 6 Abs. 1 lit. b EU-Datenschutzgrundverordnung und es besteht auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

BREADHUNTER‘s "Cookies":

Breadhunter macht aus rein technischen Gründen Gebrauch von Cookies. Die Entscheidung, ob Sie diesen Service nutzen, liegt ganz bei Ihnen.Ein Cookie enthält keinerlei persönliche Daten über Sie. Es handelt sich um eine reine Text-Datei, der wir eine Zeile Text hinzufügen. Wenn Sie die BREADHUNTER e.U. Internet-Seiten wieder besuchen, stellen wir über eine Zahlenfolge in diesem Text eine Verbindung zwischen Ihrem Computer und der Information her, die wir für Sie gespeichert haben.

E-Mail-Kontakte mit BREADHUNTER e.U.:

Unter keinen Umständen verkaufen oder geben wir E-Mail-Adressen an Dritte weiter. Bei BREADHUNTER e.U. bewahren wir E-Mail-Nachrichten und/oder -Adressen nur für bestimmte Zwecke auf. Etwa, wenn wir später auf Sie zurückkommen möchten, um ein Projekt zu behandeln.

Einverständniserklärung / Lebenslauf senden:

Hiermit erkläre ich mein Einverständnis, dass BREADHUNTER e.U. meine nachfolgend aufgeführten, persönlichen Daten in eine Datenbank aufnimmt.Mir ist bekannt, dass neben BREADHUNTER e.U. auch andere Unternehmen von BREADHUNTER auf meine Daten zugreifen können. Ich bin darüber informiert worden, dass die Aufnahme in die Datenbank von BREADHUNTER e.U. nur zu dem Zweck erfolgt, mich im Falle etwaiger Stellenbesetzungsverfahren, in denen BREADHUNTER e.U. ausschließlich im Auftrag und im Interesse personalsuchender Arbeitgeber tätig wird, wieder auffinden und ansprechen zu können für den Fall, dass ich aufgrund der hier angegebenen Daten als Kandidat in Betracht komme. Eine Weitergabe dieser Daten an Dritte, insbesondere Auftraggeber von BREADHUNTER e.U., erfolgt in jedem Einzelfall nur, wenn BREADHUNTER mich zuvor mit der zu besetzenden Position bekannt gemacht und mein ausdrückliches Einverständnis zur Weitergabe der Daten an den Auftraggeber eingeholt hat. Bei der Verarbeitung, Nutzung und Übermittlung der über mich gespeicherten Daten hat BREADHUNTER die Vorschriften des Bundesdatenschutzgesetzes zu beachten. Mir ist bekannt, dass ich das erteilte Einverständnis jederzeit widerrufen kann und dass ich keinen Rechtsanspruch auf Nutzung meiner Daten durch BREADHUNTER habe. BREADHUNTER e.U. behält sich vor, Teile oder sämtliche meiner Daten ohne Angabe von Gründen zu löschen.

Desweiteren gilt die privacy policy von SmartRecruiters unserem ATS, welche Sie hier finden: https://www.smartrecruiters.com/legal/candidate-privacy-policy/ . Alle Datenbanken sind DS-GVO / GDPR konform, also für die Nutzung in der EU sinnvoll.

Personenbezogene Daten - Weiterverarbeitung:

Wir erheben, verarbeiten und nutzen Ihre Daten nur mit Ihrer Einwilligung bzw. Beauftragung zu den mit Ihnen vereinbarten Zwecken, oder wenn eine andere rechtliche Grundlage im Sinne der DSGVO vorliegt; dies jedenfalls unter Einhaltung der datenschutz- und sonstigen anwendbaren gesetzlichen Bestimmungen. Wir erheben nur solche pbD, die für die Durchführung und Abwicklung unserer Leistungen (Vertragserfüllung) erforderlich sind, und/oder die Sie uns freiwillig, z.B. im Rahmen Ihrer Stellenausschreibung oder Ihrer Bewerbung zur Verfügung gestellt haben. 

Im Wesentlichen handelt es sich hierbei um folgende Daten:

Name

Geburtsdatum 

Geburtsort 

Adresse 

E-Mail 

Telefonnummer 

Staatsbürgerschaft 

Geschlecht 

Ausbildung 

Qualifikation 

Lebenslauf 

Sprachkenntnisse 

Zeugnisse 

Referenzen
 

KURZES VORSTELLUNGSVIDEO (WIRD MAXIMAL 6 MONATE GESPEICHERT, FÜR DIE DAUER DES BEWERBUNSGPROZESSES AUF EINE BESTIMMTE POSITION)

Bitte beachten Sie, dass die Bekanntgabe der besonderen Kategorien personenbezogener Daten iSd Art 9 DSGVO ("sensible Daten"), wie z.B. Sozialversicherungsnummer, religiöses Bekenntnis, Gewerkschaftszugehörigkeit und/oder sexuelle Orientierung, nicht erforderlich ist

Gewährleistung, Schadenersatz und Haftung:

BREADHUNTER e.U. gewährleistet eine dem üblichen, aktuellen technischen Standard entsprechende Aufbereitung und Publikation der vom Bewerber gewünschten Informationen/Stellenausschreibung. Der Bewerber nimmt zur Kenntnis, dass es nach Stand der Technik nicht möglich ist, ein vollkommen fehlerfreies Programm zu erstellen. Fehler in der Darstellung der gewünschten Information liegen nicht vor, wenn dies durch Verwendung nicht geeigneter Darstellungssoft- und Hardware durch den Bewerber und/oder Ausfälle im Kommunikationsnetz verursacht wird. BREADHUNTER e.U. haftet weder für gespeicherte Dateien, noch für Marken- oder Urheberrechtsverletzungen des Bewerbers. Weiters haftet BREADHUNTER e.U. auch nicht für Ansprüche oder Nachteile des Bewerbers, die im Zusammenhang mit den bei der Bewerbung eingesendeten Daten stehen. BREADHUNTER e.U. haftet nur bei Vorsatz oder grober Fahrlässigkeit. Ausgenommen davon ist die Haftung für Personenschäden. Wartungsarbeiten, Aktualisierungen oder ähnliche Arbeiten werden von BREADHUNTER e.U. und seinen Partnern wenn möglich so vorgenommen, dass Nutzungsausfallzeiten nicht auftreten oder so kurz wie möglich gehalten werden. Bei Unterbrechungen können Ansprüche gegen BREADHUNTER e.U. nicht gestellt werden. 

Wir sind bemüht sicherzustellen, dass Datenpannen frühzeitig erkannt und gegebenenfalls unverzüglich Ihnen bzw. der zuständigen Aufsichtsbehörde unter Einbezug der jeweiligen Datenkategorien, die betroffen sind, gemeldet werden.

Zustimmung zum Erhalt von Mails, Anrufen und anderen Nachrichten:

Der Bewerber stimmt zu, dass er von BREADHUNTER e.U. bezüglich sämtlicher Produkte und Dienstleistungen für Bewerber per E-Mail und sonstigen Kommunikationsmitteln, z.B. in sozialen Medien oder auch per Telefon kontaktiert wird. Der Bewerber ist berechtigt, diese Zustimmung jederzeit und ohne Begründung durch schriftliche Information, per eMail an: office@breadhunter.at

kostenlos zu widerrufen und damit auch sein Profil / seine Daten bei BREADHUNTER e.U. löschen zu lassen.

Anwendbares Recht und Sprache:

Für die gesamte Geschäftsverbindung zwischen BREADHUNTER e.U. und dem Verbraucher gilt österreichisches Recht unter Ausschluss allfälliger Verweisnormen des internationalen Privatrechtes als vereinbart.Die für sämtliche Informationen und AGB sowie für die Kommunikation mit dem Bewerber maßgebliche Sprache ist Deutsch.

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen:

  1. die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;
  2. die Kategorien von personenbezogenen Daten, welche verarbeitet werden;
  3. die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden;
  4. die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden;
  8. Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

2. Recht auf Berichtigung

Sie haben ein Recht auf Berichtigung und/oder Vervollständigung gegenüber dem Verantwortlichen, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

3. Recht auf Einschränkung der Verarbeitung

Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen:

  1. wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen für eine Dauer bestreiten, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  2. die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
  3. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder
  4. wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen. Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Wurde die Einschränkung der Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, werden Sie von dem Verantwortlichen unterrichtet bevor die Einschränkung aufgehoben wird.

4. Recht auf Löschung

a) Löschungspflicht

Sie können von dem Verantwortlichen verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  1. Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  3. Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
  4. Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  6. Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

b) Information an Dritte

Hat der Verantwortliche die Sie betreffenden personenbezogenen Daten öffentlich gemacht und ist er gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

c) Ausnahmen

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  3. aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;
  4. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Verantwortlichen geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offen-gelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht gegenüber dem Verantwortlichen das Recht zu, über diese Empfänger unterrichtet zu werden.

6. Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

  1. die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und
  2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden. Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

7. Widerspruchsrecht

Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden. Sie können hierzu eine E-Mail an unseren Datenschutzbeauftragten senden.

8. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

9. Automatisierte Entscheidung im Einzelfall einschließlich Profiling

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung

  1. für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist,
  2. aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder
  3. mit Ihrer ausdrücklichen Einwilligung erfolgt.

Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO beruhen, sofern nicht Art. 9 Abs. 2 lit. a oder g DSGVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie Ihrer berechtigten Interessen getroffen wurden. Hinsichtlich der in (1) und (3) genannten Fälle trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört.

10. Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.

Weitere Informationen:

BREADHUNTER e.U. gibt keine Zusicherungen und Gewährleistungen jedweder Art in Bezug auf die Vollständigkeit, Richtigkeit, Aktualität, Angemessenheit, Eignung oder Funktion dieser Website oder der darin enthaltenen Informationen; die enthaltenen Informationen wurden nicht von BREADHUNTER e.U. zur Gänze überprüft.BREADHUNTER e.U. übernimmt keine Verantwortung für die in dieser Website enthaltenen Informationen und lehnt jegliche Haftung aufgrund von Fahrlässigkeit o.ä. im Zusammenhang mit diesen Informationen ab. BREADHUNTER e.U. haftet lediglich aus Vorsatz und grober Fahrlässigkeit sowie aus einfacher Fahrlässigkeit bei Verletzung wesentlicher Vertragspflichten.BREADHUNTER e.U. übernimmt keine Garantie, dass ein Arbeitgeber oder Kunde nach Informationen über einen Kandidaten fragt, einen Kandidaten zu einem Vorstellungsgespräch einlädt oder einstellt oder, dass die Kandidaten zur Verfügung stehen oder den Anforderungen des Arbeitgebers oder Kunden genügen.BREADHUNTER e.U. gibt keine Zusicherungen oder Gewährleistungen in Bezug auf die endgültigen Bedingungen und die Dauer einer Anstellung, die mit Hilfe dieser Website vereinbart wurde.Mit Benutzung dieser Website tragen Sie das Risiko, dass die Informationen auf dieser Website eventuell unvollständig, unrichtig oder veraltet sind bzw. Ihren Anforderungen nicht genügen.Diese Website wurde in Österreich erstellt. Jegliche Auslegung ihres Inhalts, Ansprüche oder Streitigkeiten hieraus (jeglicher Art und nicht beschränkt auf die Vertragsinhalte) unterliegen ausschließlich der Rechtsprechung österreichischer Gerichte gemäß österreichischem Recht. Gerichtstand ist Wien.

Copyright:

Alle Informationen im Zusammenhang mit dieser Website ist © BREADHUNTER e.U.. Diese Webseite wurde von BREADHUNTER e.U. erstellt. Alle Copyrights sind das Eigentum von BREADHUNTER e.U. und die unberechtigte Reproduktion ist untersagt. Die unberechtigte Nutzung der BREADHUNTER Marke, des Namens und Logos ist ebenfalls nicht erlaubt.

Personal data of careers website visitors

We use your personal data for:

  • learning more about the behaviour of the visitors of our careers website to improve our recruitment process and this website;
  • improving and monitoring the performance of this website;
  • and generating anonymized data that we share with our partners.

All processing of personal data of careers website visitors is based on our legitimate interest to facilitate recruitment.

We process the following personal data of careers website visitors:

  • Device and browser
  • IP-address
  • Requests and responses sent from and to your device
  • Source website (we use a cookie to track this)
  • Behaviour on our website

Your personal data is also processed by Indeed on pages where we display a button to ‘Apply with Indeed’, even when you don’t use that functionality. Indeed may use cookies. The privacy policy of Indeed applies for processing of personal data by Indeed:

https://www.indeed.com/legal

Personal data of job applicants

If you apply for a job then we process your personal data to facilitate the entire job application procedure on the grounds of our legitimate interests for recruiting. After the procedure we will delete your personal data as soon as possible, unless we have informed you that we require it for other purposes. The following personal data can be processed for the job application procedure:

  • Any personal data that you provide through our job application form including, but not limited to:
    • Full name, email address, phone number, picture, cover letter, résumé, LinkedIn profile, Indeed profile and which job you have applied for.
  • Statuses, notes and planning related to your job application
  • Email communications

Under European data protection law we are required to inform you that withholding personal data in your job application can give you a disadvantage in comparison to other candidates who are applying for the same role.

Your personal data has to be processed by LinkedIn and Indeed to allow for the ‘Apply with LinkedIn’ and ‘Apply with Indeed’ functionalities. LinkedIn and Indeed may use cookies. You can find their privacy policies on the following websites:

https://www.indeed.com/legal

https://www.linkedin.com/legal/privacy-policy

Requests or questions

Feel free to contact us if you have any questions regarding your personal data. You can also contact us with requests to exercise your rights under European data protection law. Such rights include the rights to access, rectification, erasure, restriction of processing, data portability and object.

If you have any requests or questions with regard to your personal data you can contact our [*Data Protection Officer/other role]:

Thomas Zahlten, Breadhunter e.U.

Wiedner Hauptstrasse 65

1040 Wien

Austria

0043 676 4100155

eMail: office@breadhunter.at

Complaints

We advise you to contact us first if you have any complaints regarding the processing of your personal data. But you have the right to lodge a complaint with the supervisory authority:

www.breadhunter.at

Vienna, 25.08.2019

Google Analytics Data Info / Privacy Policy:

​Google Ads Data Processing TermsGoogle and the counterparty agreeing to these terms (“Customer”) have entered into an agreement for the provision of the Processor Services (as amended from time to time, the “Agreement”).
These Google Ads Data Processing Terms (including the appendices, “Data Processing Terms”) are entered into by Google and Customer and supplement the Agreement. These Data Processing Terms will be effective, and replace any previously applicable terms relating to their subject matter (including any data processing amendment or data processing addendum relating to the Processor Services), from the Terms Effective Date.
If you are accepting these Data Processing Terms on behalf of Customer, you warrant that: (a) you have full legal authority to bind Customer to these Data Processing Terms; (b) you have read and understand these Data Processing Terms; and (c) you agree, on behalf of Customer, to these Data Processing Terms. If you do not have the legal authority to bind Customer, please do not accept these Data Processing Terms.
1. IntroductionThese Data Processing Terms reflect the parties’ agreement on the terms governing the processing and security of Customer Personal Data in connection with the Data Protection Legislation.
2. Definitions and Interpretation2.1 In these Data Processing Terms:“Additional Product” means a product, service or application provided by Google or a third party that: (a) is not part of the Processor Services; and (b) is accessible for use within the user interface of the Processor Services or is otherwise integrated with the Processor Services.
“Affiliate” means an entity that directly or indirectly controls, is controlled by, or is under common control with, a party.
“Customer Personal Data” means personal data that is processed by Google on behalf of Customer in Google’s provision of the Processor Services.
“Data Incident” means a breach of Google’s security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Customer Personal Data on systems managed by or otherwise controlled by Google. “Data Incidents” will not include unsuccessful attempts or activities that do not compromise the security of Customer Personal Data, including unsuccessful log-in attempts, pings, port scans, denial of service attacks, and other network attacks on firewalls or networked systems.
“Data Protection Legislation” means, as applicable: (a) the GDPR; and/or (b) the Federal Data Protection Act of 19 June 1992 (Switzerland).
“Data Subject Tool” means a tool (if any) made available by a Google Entity to data subjects that enables Google to respond directly and in a standardised manner to certain requests from data subjects in relation to Customer Personal Data (for example, online advertising settings or an opt-out browser plugin).
“EEA” means the European Economic Area.
“GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.
“Google” means the Google Entity that is party to the Agreement.
“Google Affiliate Subprocessors” has the meaning given in Section 11.1 (Consent to Subprocessor Engagement).
“Google Entity” means Google LLC (formerly known as Google Inc.), Google Ireland Limited or any other Affiliate of Google LLC.
“ISO 27001 Certification” means ISO/IEC 27001:2013 certification or a comparable certification for the Processor Services.
“Notification Email Address” means the email address (if any) designated by Customer, via the user interface of the Processor Services or such other means provided by Google, to receive certain notifications from Google relating to these Data Processing Terms.
“Privacy Shield” means the EU-U.S. Privacy Shield legal framework and the Swiss-U.S. Privacy Shield legal framework.
“Processor Services” means the applicable services listed atprivacy.google.com/businesses/adsservices .
“Security Documentation” means the certificate issued for the ISO 27001 Certification and any other security certifications or documentation that Google may make available in respect of the Processor Services.
“Security Measures” has the meaning given in Section 7.1.1 (Google’s Security Measures).
“Subprocessors” means third parties authorised under these Data Processing Terms to have logical access to and process Customer Personal Data in order to provide parts of the Processor Services and any related technical support.
“Term” means the period from the Terms Effective Date until the end of Google’s provision of the Processor Services under the Agreement.
“Terms Effective Date” means, as applicable:
(a) 25 May 2018, if Customer clicked to accept or the parties otherwise agreed to these Data Processing Terms before or on such date; or
(b) the date on which Customer clicked to accept or the parties otherwise agreed to these Data Processing Terms, if such date is after 25 May 2018.
“Third Party Subprocessors” has the meaning given in Section 11.1 (Consent to Subprocessor Engagement).
2.2 The terms “controller”, “data subject”, “personal data”, “processing”, “processor” and “supervisory authority” as used in these Data Processing Terms have the meanings given in the GDPR.
2.3 Any phrase introduced by the terms “including”, “include” or any similar expression will be construed as illustrative and will not limit the sense of the words preceding those terms. Any examples in these Data Processing Terms are illustrative and not the sole examples of a particular concept.
2.4 Any reference to a legal framework, statute or other legislative enactment is a reference to it as amended or re-enacted from time to time.
3. Duration of these Data Processing TermsThese Data Processing Terms will take effect on the Terms Effective Date and, notwithstanding expiry of the Term, remain in effect until, and automatically expire upon, deletion of all Customer Personal Data by Google as described in these Data Processing Terms.
4. Application of these Data Processing Terms4.1 Application of Data Protection Legislation. These Data Processing Terms will only apply to the extent that the Data Protection Legislation applies to the processing of Customer Personal Data, including if:
(a) the processing is in the context of the activities of an establishment of Customer in the EEA; and/or
(b) Customer Personal Data is personal data relating to data subjects who are in the EEA and the processing relates to the offering to them of goods or services or the monitoring of their behaviour in the EEA.
4.2 Application to Processor Services. These Data Processing Terms will only apply to the Processor Services for which the parties agreed to these Data Processing Terms (for example: (a) the Processor Services for which Customer clicked to accept these Data Processing Terms; or (b) if the Agreement incorporates these Data Processing Terms by reference, the Processor Services that are the subject of the Agreement).
5. Processing of Data5.1 Roles and Regulatory Compliance; Authorisation.
5.1.1 Processor and Controller Responsibilities. The parties acknowledge and agree that:
(a) Appendix 1 describes the subject matter and details of the processing of Customer Personal Data;
(b) Google is a processor of Customer Personal Data under the Data Protection Legislation;
(c) Customer is a controller or processor, as applicable, of Customer Personal Data under the Data Protection Legislation; and
(d) each party will comply with the obligations applicable to it under the Data Protection Legislation with respect to the processing of Customer Personal Data.
5.1.2 Authorisation by Third Party Controller. If Customer is a processor, Customer warrants to Google that Customer’s instructions and actions with respect to Customer Personal Data, including its appointment of Google as another processor, have been authorised by the relevant controller.
5.2 Customer’s Instructions. By entering into these Data Processing Terms, Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide the Processor Services and any related technical support; (b) as further specified via Customer’s use of the Processor Services (including in the settings and other functionality of the Processor Services) and any related technical support; (c) as documented in the form of the Agreement, including these Data Processing Terms; and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of these Data Processing Terms.
5.3 Google’s Compliance with Instructions. Google will comply with the instructions described in Section 5.2 (Customer’s Instructions) (including with regard to data transfers) unless EU or EU Member State law to which Google is subject requires other processing of Customer Personal Data by Google, in which case Google will inform Customer (unless that law prohibits Google from doing so on important grounds of public interest).
5.4 Additional Products. If Customer uses any Additional Product, the Processor Services may allow that Additional Product to access Customer Personal Data as required for the interoperation of the Additional Product with the Processor Services. For clarity, these Data Processing Terms do not apply to the processing of personal data in connection with the provision of any Additional Product used by Customer, including personal data transmitted to or from that Additional Product.
6. Data Deletion6.1 Deletion During Term.
6.1.1 Processor Services With Deletion Functionality. During the Term, if:
(a) the functionality of the Processor Services includes the option for Customer to delete Customer Personal Data;
(b) Customer uses the Processor Services to delete certain Customer Personal Data; and
(c) the deleted Customer Personal Data cannot be recovered by Customer (for example, from the “trash”),
then Google will delete such Customer Personal Data from its systems as soon as reasonably practicable and within a maximum period of 180 days, unless EU or EU Member State law requires storage.
6.1.2 Processor Services Without Deletion Functionality. During the Term, if the functionality of the Processor Services does not include the option for Customer to delete Customer Personal Data, then Google will comply with:
(a) any reasonable request from Customer to facilitate such deletion, insofar as this is possible taking into account the nature and functionality of the Processor Services and unless EU or EU Member State law requires storage; and
(b) the data retention practices described at www.google.com/policies/technologies/ads.
Google may charge a fee (based on Google’s reasonable costs) for any data deletion under Section 6.1.2(a). Google will provide Customer with further details of any applicable fee, and the basis of its calculation, in advance of any such data deletion.
6.2 Deletion on Term Expiry. On expiry of the Term, Customer instructs Google to delete all Customer Personal Data (including existing copies) from Google’s systems in accordance with applicable law. Google will comply with this instruction as soon as reasonably practicable and within a maximum period of 180 days, unless EU or EU Member State law requires storage.
7. Data Security7.1 Google’s Security Measures and Assistance.
7.1.1 Google’s Security Measures. Google will implement and maintain technical and organisational measures to protect Customer Personal Data against accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access as described in Appendix 2 (the “Security Measures”). As described in Appendix 2, the Security Measures include measures: (a) to encrypt personal data; (b) to help ensure the ongoing confidentiality, integrity, availability and resilience of Google’s systems and services; (c) to help restore timely access to personal data following an incident; and (d) for regular testing of effectiveness. Google may update or modify the Security Measures from time to time, provided that such updates and modifications do not result in the degradation of the overall security of the Processor Services.
7.1.2 Security Compliance by Google Staff. Google will take appropriate steps to ensure compliance with the Security Measures by its employees, contractors and Subprocessors to the extent applicable to their scope of performance, including ensuring that all persons authorised to process Customer Personal Data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
7.1.3 Google’s Security Assistance. Customer agrees that Google will (taking into account the nature of the processing of Customer Personal Data and the information available to Google) assist Customer in ensuring compliance with any obligations of Customer in respect of security of personal data and personal data breaches, including (if applicable) Customer’s obligations pursuant to Articles 32 to 34 (inclusive) of the GDPR, by:
(a) implementing and maintaining the Security Measures in accordance with Section 7.1.1 (Google’s Security Measures);
(b) complying with the terms of Section 7.2 (Data Incidents); and
(c) providing Customer with the Security Documentation in accordance with Section 7.5.1 (Reviews of Security Documentation) and the information contained in these Data Processing Terms.
7.2 Data Incidents.
7.2.1 Incident Notification. If Google becomes aware of a Data Incident, Google will: (a) notify Customer of the Data Incident promptly and without undue delay; and (b) promptly take reasonable steps to minimise harm and secure Customer Personal Data.
7.2.2 Details of Data Incident. Notifications made under Section 7.2.1 (Incident Notification) will describe, to the extent possible, details of the Data Incident, including steps taken to mitigate the potential risks and steps Google recommends Customer take to address the Data Incident.
7.2.3 Delivery of Notification. Google will deliver its notification of any Data Incident to the Notification Email Address or, at Google’s discretion (including if Customer has not provided a Notification Email Address), by other direct communication (for example, by phone call or an in-person meeting). Customer is solely responsible for providing the Notification Email Address and ensuring that the Notification Email Address is current and valid.
7.2.4 Third Party Notifications. Customer is solely responsible for complying with incident notification laws applicable to Customer and fulfilling any third party notification obligations related to any Data Incident.
7.2.5 No Acknowledgement of Fault by Google. Google’s notification of or response to a Data Incident under this Section 7.2 (Data Incidents) will not be construed as an acknowledgement by Google of any fault or liability with respect to the Data Incident.
7.3 Customer’s Security Responsibilities and Assessment.
7.3.1 Customer’s Security Responsibilities. Customer agrees that, without prejudice to Google’s obligations under Sections 7.1 (Google’s Security Measures and Assistance) and 7.2 (Data Incidents):
(a) Customer is solely responsible for its use of the Processor Services, including:
(i) making appropriate use of the Processor Services to ensure a level of security appropriate to the risk in respect of Customer Personal Data; and
(ii) securing the account authentication credentials, systems and devices Customer uses to access the Processor Services; and
(b) Google has no obligation to protect Customer Personal Data that Customer elects to store or transfer outside of Google’s and its Subprocessors’ systems.
7.3.2 Customer’s Security Assessment. Customer acknowledges and agrees that (taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of the processing of Customer Personal Data as well as the risks to individuals) the Security Measures implemented and maintained by Google as set out in Section 7.1.1 (Google’s Security Measures) provide a level of security appropriate to the risk in respect of Customer Personal Data.
7.4 Security Certification. To evaluate and help ensure the continued effectiveness of the Security Measures, Google will maintain the ISO 27001 Certification.
7.5 Reviews and Audits of Compliance.
7.5.1 Reviews of Security Documentation. To demonstrate compliance by Google with its obligations under these Data Processing Terms, Google will make the Security Documentation available for review by Customer.
7.5.2 Customer’s Audit Rights.
(a) Google will allow Customer or a third party auditor appointed by Customer to conduct audits (including inspections) to verify Google’s compliance with its obligations under these Data Processing Terms in accordance with Section 7.5.3 (Additional Business Terms for Audits). Google will contribute to such audits as described in Section 7.4 (Security Certification) and this Section 7.5 (Reviews and Audits of Compliance).
(b) Customer may also conduct an audit to verify Google’s compliance with its obligations under these Data Processing Terms by reviewing the certificate issued for the ISO 27001 Certification (which reflects the outcome of an audit conducted by a third party auditor).
7.5.3 Additional Business Terms for Audits.
(a) Customer will send any request for an audit under Section 7.5.2(a) to Google as described in Section 12.1 (Contacting Google).
(b) Following receipt by Google of a request under Section 7.5.3(a), Google and Customer will discuss and agree in advance on the reasonable start date, scope and duration of, and security and confidentiality controls applicable to, any audit under Section 7.5.2(a).
(c) Google may charge a fee (based on Google’s reasonable costs) for any audit under Section 7.5.2(a). Google will provide Customer with further details of any applicable fee, and the basis of its calculation, in advance of any such audit. Customer will be responsible for any fees charged by any third party auditor appointed by Customer to execute any such audit.
(d) Google may object to any third party auditor appointed by Customer to conduct any audit under Section 7.5.2(a) if the auditor is, in Google’s reasonable opinion, not suitably qualified or independent, a competitor of Google or otherwise manifestly unsuitable. Any such objection by Google will require Customer to appoint another auditor or conduct the audit itself.
(e) Nothing in these Data Processing Terms will require Google either to disclose to Customer or its third party auditor, or to allow Customer or its third party auditor to access:
(i) any data of any other customer of a Google Entity;
(ii) any Google Entity’s internal accounting or financial information;
(iii) any trade secret of a Google Entity;
(iv) any information that, in Google's reasonable opinion, could: (A) compromise the security of any Google Entity’s systems or premises; or (B) cause any Google Entity to breach its obligations under the Data Protection Legislation or its security and/or privacy obligations to Customer or any third party; or
(v) any information that Customer or its third party auditor seeks to access for any reason other than the good faith fulfilment of Customer’s obligations under the Data Protection Legislation.
8. Impact Assessments and ConsultationsCustomer agrees that Google will (taking into account the nature of the processing and the information available to Google) assist Customer in ensuring compliance with any obligations of Customer in respect of data protection impact assessments and prior consultation, including (if applicable) Customer’s obligations pursuant to Articles 35 and 36 of the GDPR, by:
(a) providing the Security Documentation in accordance with Section 7.5.1 (Reviews of Security Documentation);
(b) providing the information contained in these Data Processing Terms; and
(c) providing or otherwise making available, in accordance with Google’s standard practices, other materials concerning the nature of the Processor Services and the processing of Customer Personal Data (for example, help centre materials).
9. Data Subject Rights9.1 Responses to Data Subject Requests. If Google receives a request from a data subject in relation to Customer Personal Data, Google will:
(a) if the request is made via a Data Subject Tool, respond directly to the data subject’s request in accordance with the standard functionality of that Data Subject Tool; or
(b) if the request is not made via a Data Subject Tool, advise the data subject to submit his/her request to Customer, and Customer will be responsible for responding to such request.
9.2 Google’s Data Subject Request Assistance. Customer agrees that Google will (taking into account the nature of the processing of Customer Personal Data and, if applicable, Article 11 of the GDPR) assist Customer in fulfilling any obligation of Customer to respond to requests by data subjects, including (if applicable) Customer’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III of the GDPR, by:
(a) providing the functionality of the Processor Services;
(b) complying with the commitments set out in Section 9.1 (Responses to Data Subject Requests); and
(c) if applicable to the Processor Services, making available Data Subject Tools.
10. Data Transfers10.1 Data Storage and Processing Facilities. Customer agrees that Google may, subject to Section 10.2 (Transfers of Data Out of the EEA and Switzerland), store and process Customer Personal Data in the United States of America and any other country in which Google or any of its Subprocessors maintains facilities.
10.2 Transfers of Data Out of the EEA and Switzerland. Google will ensure that:
(a) the parent company of the Google group, Google LLC, remains self-certified under Privacy Shield on behalf of itself and its wholly-owned U.S. subsidiaries; and
(b) the scope of Google LLC’s Privacy Shield certification includes Customer Personal Data.
10.3 Data Centre Information. Information about the locations of Google data centres is available atwww.google.com/about/datacenters/inside/locations/index.html .
11. Subprocessors11.1 Consent to Subprocessor Engagement. Customer specifically authorises the engagement of Google’s Affiliates as Subprocessors (“Google Affiliate Subprocessors”). In addition, Customer generally authorises the engagement of any other third parties as Subprocessors (“Third Party Subprocessors”).
11.2 Information about Subprocessors. Information about Subprocessors is available atprivacy.google.com/businesses/subprocessors .
11.3 Requirements for Subprocessor Engagement. When engaging any Subprocessor, Google will:
(a) ensure via a written contract that:
(i) the Subprocessor only accesses and uses Customer Personal Data to the extent required to perform the obligations subcontracted to it, and does so in accordance with the Agreement (including these Data Processing Terms) and Privacy Shield; and
(ii) if the GDPR applies to the processing of Customer Personal Data, the data protection obligations set out in Article 28(3) of the GDPR are imposed on the Subprocessor; and
(b) remain fully liable for all obligations subcontracted to, and all acts and omissions of, the Subprocessor.
11.4 Opportunity to Object to Subprocessor Changes.
(a) When any new Third Party Subprocessor is engaged during the Term, Google will, at least 30 days before the new Third Party Subprocessor processes any Customer Personal Data, inform Customer of the engagement (including the name and location of the relevant subprocessor and the activities it will perform) by sending an email to the Notification Email Address.
(b) Customer may object to any new Third Party Subprocessor by terminating the Agreement immediately upon written notice to Google, on condition that Customer provides such notice within 90 days of being informed of the engagement of the new Third Party Subprocessor as described in Section 11.4(a). This termination right is Customer’s sole and exclusive remedy if Customer objects to any new Third Party Subprocessor.
12. Contacting Google; Processing Records12.1 Contacting Google. Customer may contact Google in relation to the exercise of its rights under these Data Processing Terms via the methods described at privacy.google.com/businesses/processorsupport or via such other means as may be provided by Google from time to time.
12.2 Google’s Processing Records. Customer acknowledges that Google is required under the GDPR to: (a) collect and maintain records of certain information, including the name and contact details of each processor and/or controller on behalf of which Google is acting and (if applicable) of such processor’s or controller's local representative and data protection officer; and (b) make such information available to the supervisory authorities. Accordingly, Customer will, where requested and as applicable to Customer, provide such information to Google via the user interface of the Processor Services or via such other means as may be provided by Google, and will use such user interface or other means to ensure that all information provided is kept accurate and up-to-date.
13. LiabilityIf the Agreement is governed by the laws of:
(a) a state of the United States of America, then, notwithstanding anything else in the Agreement, the total liability of either party towards the other party under or in connection with these Data Processing Terms will be limited to the maximum monetary or payment-based amount at which that party’s liability is capped under the Agreement (for clarity, any exclusion of indemnification claims from the Agreement’s limitation of liability will not apply to indemnification claims under the Agreement relating to the Data Protection Legislation); or
(b) a jurisdiction that is not a state of the United States of America, then the liability of the parties under or in connection with these Data Processing Terms will be subject to the exclusions and limitations of liability in the Agreement.
14. Effect of these Data Processing TermsIf there is any conflict or inconsistency between the terms of these Data Processing Terms and the remainder of the Agreement, the terms of these Data Processing Terms will govern. Subject to the amendments in these Data Processing Terms, the Agreement remains in full force and effect.
15. Changes to these Data Processing Terms15.1 Changes to URLs. From time to time, Google may change any URL referenced in these Data Processing Terms and the content at any such URL. Google may only change the list of potential Processor Services atprivacy.google.com/businesses/adsservices :
(a) to reflect a change to the name of a service;
(b) to add a new service; or
(c) to remove a service where either: (i) all contracts for the provision of that service are terminated; or (ii) Google has Customer’s consent.
15.2 Changes to Data Processing Terms. Google may change these Data Processing Terms if the change:
(a) is expressly permitted by these Data Processing Terms, including as described in Section 15.1 (Changes to URLs);
(b) reflects a change in the name or form of a legal entity;
(c) is required to comply with applicable law, applicable regulation, a court order or guidance issued by a governmental regulator or agency; or
(d) does not: (i) result in a degradation of the overall security of the Processor Services; (ii) expand the scope of, or remove any restrictions on, Google’s processing of Customer Personal Data, as described in Section 5.3 (Google’s Compliance with Instructions); and (iii) otherwise have a material adverse impact on Customer’s rights under these Data Processing Terms, as reasonably determined by Google.
15.3Notification of Changes. If Google intends to change these Data Processing Terms under Section 15.2(c) or (d), Google will inform Customer at least 30 days (or such shorter period as may be required to comply with applicable law, applicable regulation, a court order or guidance issued by a governmental regulator or agency) before the change will take effect by either: (a) sending an email to the Notification Email Address; or (b) alerting Customer via the user interface for the Processor Services. If Customer objects to any such change, Customer may terminate the Agreement by giving written notice to Google within 90 days of being informed by Google of the change.
Appendix 1: Subject Matter and Details of the Data ProcessingSubject MatterGoogle’s provision of the Processor Services and any related technical support to Customer.
Duration of the ProcessingThe Term plus the period from expiry of the Term until deletion of all Customer Personal Data by Google in accordance with these Data Processing Terms.
Nature and Purpose of the ProcessingGoogle will process (including, as applicable to the Processor Services and the instructions described in Section 5.2 (Customer’s Instructions), collecting, recording, organising, structuring, storing, altering, retrieving, using, disclosing, combining, erasing and destroying) Customer Personal Data for the purpose of providing the Processor Services and any related technical support to Customer in accordance with these Data Processing Terms.
Types of Personal DataCustomer Personal Data may include the types of personal data described at privacy.google.com/businesses/adsservices .
Categories of Data SubjectsCustomer Personal Data will concern the following categories of data subjects:
data subjects about whom Google collects personal data in its provision of the Processor Services; and/or
data subjects about whom personal data is transferred to Google in connection with the Processor Services by, at the direction of, or on behalf of Customer.
Depending on the nature of the Processor Services, these data subjects may include individuals: (a) to whom online advertising has been, or will be, directed; (b) who have visited specific websites or applications in respect of which Google provides the Processor Services; and/or (c) who are customers or users of Customer’s products or services.
Appendix 2: Security MeasuresAs from the Terms Effective Date, Google will implement and maintain the Security Measures set out in this Appendix 2. Google may update or modify such Security Measures from time to time, provided that such updates and modifications do not result in the degradation of the overall security of the Processor Services.
1. Data Centre & Network Security(a) Data Centres.
Infrastructure. Google maintains geographically distributed data centres. Google stores all production data in physically secure data centres.
Redundancy. Infrastructure systems have been designed to eliminate single points of failure and minimise the impact of anticipated environmental risks. Dual circuits, switches, networks or other necessary devices help provide this redundancy. The Processor Services are designed to allow Google to perform certain types of preventative and corrective maintenance without interruption. All environmental equipment and facilities have documented preventative maintenance procedures that detail the process for and frequency of performance in accordance with the manufacturer's or internal specifications. Preventative and corrective maintenance of the data centre equipment is scheduled through a standard process according to documented procedures.
Power. The data centre electrical power systems are designed to be redundant and maintainable without impact to continuous operations, 24 hours a day, and 7 days a week. In most cases, a primary as well as an alternate power source, each with equal capacity, is provided for critical infrastructure components in the data centre. Backup power is provided by various mechanisms such as uninterruptible power supply (UPS) batteries, which supply consistently reliable power protection during utility brownouts, blackouts, over voltage, under voltage, and out-of-tolerance frequency conditions. If utility power is interrupted, backup power is designed to provide transitory power to the data centre, at full capacity, for up to 10 minutes until the diesel generator systems take over. The diesel generators are capable of automatically starting up within seconds to provide enough emergency electrical power to run the data centre at full capacity typically for a period of days.
Server Operating Systems. Google servers use hardened operating systems which are customised for the unique server needs of the business. Data is stored using proprietary algorithms to augment data security and redundancy. Google employs a code review process to increase the security of the code used to provide the Processor Services and enhance the security products in production environments.
Businesses Continuity. Google replicates data over multiple systems to help to protect against accidental destruction or loss. Google has designed and regularly plans and tests its business continuity planning/disaster recovery programs.
(b) Networks & Transmission.
Data Transmission. Data centres are typically connected via high-speed private links to provide secure and fast data transfer between data centres. This is designed to prevent data from being read, copied, altered or removed without authorisation during electronic transfer or transport or while being recorded onto data storage media. Google transfers data via Internet standard protocols.
External Attack Surface. Google employs multiple layers of network devices and intrusion detection to protect its external attack surface. Google considers potential attack vectors and incorporates appropriate purpose built technologies into external facing systems.
Intrusion Detection. Intrusion detection is intended to provide insight into ongoing attack activities and provide adequate information to respond to incidents. Google’s intrusion detection involves:
1. Tightly controlling the size and make-up of Google’s attack surface through preventative measures;
2. Employing intelligent detection controls at data entry points; and
3. Employing technologies that automatically remedy certain dangerous situations.
Incident Response. Google monitors a variety of communication channels for security incidents, and Google’s security personnel will react promptly to known incidents.
Encryption Technologies. Google makes HTTPS encryption (also referred to as SSL or TLS connection) available. Google servers support ephemeral elliptic curve Diffie Hellman cryptographic key exchange signed with RSA and ECDSA. These perfect forward secrecy (PFS) methods help protect traffic and minimise the impact of a compromised key, or a cryptographic breakthrough.
2. Access and Site Controls(a) Site Controls.
On-site Data Centre Security Operation. Google’s data centres maintain an on-site security operation responsible for all physical data centre security functions 24 hours a day, 7 days a week. The on-site security operation personnel monitor Closed Circuit TV (“CCTV”) cameras and all alarm systems. On-site security operation personnel perform internal and external patrols of the data centre regularly.
Data Centre Access Procedures. Google maintains formal access procedures for allowing physical access to the data centres. The data centres are housed in facilities that require electronic card key access, with alarms that are linked to the on-site security operation. All entrants to the data centre are required to identify themselves as well as show proof of identity to on-site security operations. Only authorised employees, contractors and visitors are allowed entry to the data centres. Only authorised employees and contractors are permitted to request electronic card key access to these facilities. Data centre electronic card key access requests must be made in advance and in writing, and require the approval of the requestor’s manager and the data centre director. All other entrants requiring temporary data centre access must: (i) obtain approval in advance from the data centre managers for the specific data centre and internal areas they wish to visit; (ii) sign in at on-site security operations; and (iii) reference an approved data centre access record identifying the individual as approved.
On-site Data Centre Security Devices. Google’s data centres employ an electronic card key and biometric access control system that is linked to a system alarm. The access control system monitors and records each individual’s electronic card key and when they access perimeter doors, shipping and receiving, and other critical areas. Unauthorised activity and failed access attempts are logged by the access control system and investigated, as appropriate. Authorised access throughout the business operations and data centres is restricted based on zones and the individual’s job responsibilities. The fire doors at the data centres are alarmed. CCTV cameras are in operation both inside and outside the data centres. The positioning of the cameras has been designed to cover strategic areas including, among others, the perimeter, doors to the data centre building, and shipping/receiving. On-site security operations personnel manage the CCTV monitoring, recording and control equipment. Secure cables throughout the data centres connect the CCTV equipment. Cameras record on-site via digital video recorders 24 hours a day, 7 days a week. The surveillance records are retained for at least 7 days based on activity.
(b) Access Control.
Infrastructure Security Personnel. Google has, and maintains, a security policy for its personnel, and requires security training as part of the training package for its personnel. Google’s infrastructure security personnel are responsible for the ongoing monitoring of Google’s security infrastructure, the review of the Processor Services, and responding to security incidents.
Access Control and Privilege Management. Customer's administrators and users must authenticate themselves via a central authentication system or via a single sign on system in order to use the Processor Services.
Internal Data Access Processes and Policies – Access Policy. Google’s internal data access processes and policies are designed to prevent unauthorised persons and/or systems from gaining access to systems used to process personal data. Google aims to design its systems to: (i) only allow authorised persons to access data they are authorised to access; and (ii) ensure that personal data cannot be read, copied, altered or removed without authorisation during processing, use and after recording. The systems are designed to detect any inappropriate access. Google employs a centralised access management system to control personnel access to production servers, and only provides access to a limited number of authorised personnel. LDAP, Kerberos and a proprietary system utilising SSH certificates are designed to provide Google with secure and flexible access mechanisms. These mechanisms are designed to grant only approved access rights to site hosts, logs, data and configuration information. Google requires the use of unique user IDs, strong passwords, two factor authentication and carefully monitored access lists to minimise the potential for unauthorised account use. The granting or modification of access rights is based on: the authorised personnel’s job responsibilities; job duty requirements necessary to perform authorised tasks; and a need to know basis. The granting or modification of access rights must also be in accordance with Google’s internal data access policies and training. Approvals are managed by workflow tools that maintain audit records of all changes. Access to systems is logged to create an audit trail for accountability. Where passwords are employed for authentication (e.g. login to workstations), password policies that follow at least industry standard practices are implemented. These standards include restrictions on password reuse and sufficient password strength.
3. Data(a) Data Storage, Isolation & Authentication.
Google stores data in a multi-tenant environment on Google-owned servers. Data, the Processor Services database and file system architecture are replicated between multiple geographically dispersed data centres. Google logically isolates each customer's data. A central authentication system is used across all Processor Services to increase uniform security of data.
(b) Decommissioned Disks and Disk Destruction Guidelines.Certain disks containing data may experience performance issues, errors or hardware failure that lead them to be decommissioned (“Decommissioned Disk”). Every Decommissioned Disk is subject to a series of data destruction processes (the “Data Destruction Guidelines”) before leaving Google’s premises either for reuse or destruction. Decommissioned Disks are erased in a multi-step process and verified complete by at least two independent validators. The erase results are logged by the Decommissioned Disk’s serial number for tracking. Finally, the erased Decommissioned Disk is released to inventory for reuse and redeployment. If, due to hardware failure, the Decommissioned Disk cannot be erased, it is securely stored until it can be destroyed. Each facility is audited regularly to monitor compliance with the Data Destruction Guidelines.
4. Personnel SecurityGoogle personnel are required to conduct themselves in a manner consistent with the company’s guidelines regarding confidentiality, business ethics, appropriate usage, and professional standards. Google conducts reasonably appropriate backgrounds checks to the extent legally permissible and in accordance with applicable local labor law and statutory regulations.
Personnel are required to execute a confidentiality agreement and must acknowledge receipt of, and compliance with, Google’s confidentiality and privacy policies. Personnel are provided with security training. Personnel handling Customer Personal Data are required to complete additional requirements appropriate to their role. Google’s personnel will not process Customer Personal Data without authorisation.
5. Subprocessor SecurityBefore onboarding Subprocessors, Google conducts an audit of the security and privacy practices of Subprocessors to ensure Subprocessors provide a level of security and privacy appropriate to their access to data and the scope of the services they are engaged to provide. Once Google has assessed the risks presented by the Subprocessor then, subject always to the requirements set out in Section 11.3 (Requirements for Subprocessor Engagement), the Subprocessor is required to enter into appropriate security, confidentiality and privacy contract terms.

Google Ads Data Processing Terms, Version 1.2
24. Oktober 2018


Powered by

image1