German healthcare services DPA

DATA PROCESSING AGREEMENT

FOR THE AVOIDANCE OF ANY DOUBT, THIS DPA SHALL NOT BE BINDING TO ANY ENTITY THAT IS NOT: (1) A PARTY TO THE MAIN AGREEMENT OR (2) A COMPANY AFFILIATE NOT CONTRACTUALLY PERMITTED TO USE THE SERVICES. IT SHALL ALSO NOT BE BINDING TO ANY ENTITY THAT IS RECEIVING SERVICES FROM NUANCE THROUGH A NUANCE AUTHORIZED DISTRIBUTOR OR RESELLER.

The English language version of this Agreement shall prevail. The German language version shall be for reference only. This covers the English language.

AUFTRAGSVERARBEITUNGS-VEREINBARUNG

KLARSTELLEND WIRD DARAUF HINGEWIESEN, DASS DIESE AVV KEINE BINDUNGSWIRKUNG HAT FÜR EINE GESELLSCHAFT, WELCHE (1) KEINE PARTEI DER HAUPTVEREINBARUNG IST ODER (2) KEIN MIT DEM UNTERNEHMEN (SIEHE DEFINITION UNTEN) VERBUNDENES UNTERNEHMEN IST, DEM DIE NUTZUNG DER DIENSTE NICHT VERTRAGLICH GESTATTET IST. SIE IST AUCH NICHT BINDEND FÜR EINE GESELLSCHAFT, WELCHE DIENSTE VON NUANCE ÜBER EINEN VON NUANCE AUTORISIERTEN VERTRIEBSPARTNER ODER RESELLER BEZIEHT.

Die englischsprachige Version dieser Vereinbarung ist verbindlich. Die deutschsprachige Version dient lediglich als Referenz.

for Nuance Services

für Nuance-Dienste

THIS DATA PROCESSING AGREEMENT (“DPA”) is made upon acceptance of the Supplier Agreement, as defined below, between Nuance Communications Ireland Limited, an Irish corporation having a place of business at The Harcourt Building, 4th Floor, 57B Harcourt Street, Dublin 2, D02 F721, IRELAND  (“Nuance”) and Company, an organization incorporated in Germany or Austria (“Company”). Nuance and Company are sometimes referred to individually as a “Party” and collectively as the “Parties”.

DIESE AUFTRAGSVERARBEITUNGSVEREINBARUNG („AVV“), tritt in Kraft mit dem Abschluss der Lieferantenvereinbarung, wie unten definiert, zwischen Nuance Communications Ireland Limited, einer Gesellschaft nach irischem Recht mit Sitz in The Harcourt Building, 4th Floor, 57B Harcourt Street, Dublin 2, D02 F721, IRELAND („Nuance“), und dem Unternehmen, eine Gesellschaft mit Geschäftssitz in Deutschland oder Österreich hat („Unternehmen“). Nuance und das Unternehmen werden manchmal einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet.

RECITALS

PRÄAMBEL

(A) Company has entered into one or more agreements (referred to collectively as the “Supplier Agreement”) with a third party supplier (“Supplier”) under which it procured certain Nuance Services, as defined below, from Supplier.

(A) Das Unternehmen hat eine oder mehrere Vereinbarungen (zusammen als „Lieferantenvereinbarung“ bezeichnet) mit einem Drittanbieter („Lieferant“) geschlossen, in deren Rahmen es bestimmte Nuance-Dienste, wie unten definiert, vom Lieferanten bezogen hat.

(B) In addition, Nuance and Company have entered into Terms of Service for such Nuance Services (the “Terms of Service”).

(B) Darüber hinaus haben Nuance und das Unternehmen Nutzungsbedingungen für solche Nuance-Dienste (die „Nutzungsbedingungen“) vereinbart.

(C) The Parties have agreed that in order for Company to consummate the Nuance Services it has obtained from Supplier under the Supplier Agreement, it will be necessary for Nuance to Process certain Personal Data in respect of which Company will be a Data Controller, or acting on behalf of the Data Controller, for the purposes of this DPA under and subject to the Data Protection Laws (as defined below).

(C) Die Parteien sind übereingekommen, dass Nuance, damit das Unternehmen die Nuance-Dienste, die es im Rahmen der Lieferantenvereinbarung vom Lieferanten erhalten hat, in Anspruch nehmen kann, bestimmte personenbezogene Daten verarbeiten muss, für die das Unternehmen gemäß den Datenschutzgesetzen (wie unten definiert) für die Zwecke dieser AVV Verantwortlicher ist oder im Namen des Verantwortlichen handelt.

(D) The Parties have agreed to enter into this DPA in order to address the compliance obligations imposed upon Company pursuant to Data Protection Laws with respect to Personal Data which will be Processed by Nuance and in respect of which Company will be a Data Controller, and to ensure that adequate safeguards are put in place with respect to the protection of such Personal Data.

(D) Die Parteien sind übereingekommen, diese AVV zu schließen. Dies erfolgt im Hinblick auf die Verpflichtungen, die dem Unternehmen nach den Datenschutzgesetzen in Bezug auf personenbezogene Daten, die von Nuance verarbeitet werden und für die das Unternehmen Verantwortlicher ist, obliegen, und um sicherzustellen, dass die angemessenen Sicherheitsvorkehrungen zum Schutz dieser personenbezogenen Daten getroffen werden.

(E) Except as otherwise expressly set forth in the Terms of Service between the Parties, the provision of Services shall be governed by this DPA pursuant to applicable Data Protection Laws and this DPA is hereby incorporated into the Terms of Service by reference.

(E) Sofern in den Nutzungsbedingungen zwischen den Parteien nicht ausdrücklich etwas anderes festgelegt ist, unterliegt die Bereitstellung von Diensten dieser AVV gemäß den geltenden Datenschutzgesetzen, und diese AVV wird hiermit durch Verweis Bestandteil der Nutzungsbedingungen.

1. DEFINITIONS. The following expressions are used in this DPA: In the event the definitions herein differ from the Terms of Service relating to data protection, this DPA shall prevail as to the specific subject matter of such definition.

1. DEFINITIONEN. Die folgenden Begriffe werden in dieser AVV verwendet: Falls die Definitionen in dieser AVV von den Nutzungsbedingungen, soweit sie den Datenschutz betreffen, abweichen, hat diese AVV hinsichtlich des spezifischen Gegenstands der jeweiligen Definition Vorrang.

(a) “Services” or “Nuance Services” refers to the application, product or services and other activities to be supplied to or carried out on behalf of Company/Company affiliate pursuant to the Terms of Service.

(a) „Dienste“ oder „Nuance-Dienste“ bezieht sich auf die Anwendung, das Produkt oder die Dienste und anderen Aktivitäten, die gemäß den Nutzungsbedingungen an oder im Auftrag des Unternehmens/eines mit dem Unternehmen verbundenen Unternehmens geliefert bzw. erbracht werden.

(b) “Data Subject Request” means a request from or on behalf of a Data Subject relating to access of, or the rectification of, erasure of or data portability of that person’s Personal Data or an objection from or on behalf of a Data Subject to the Processing of his or her Personal Data.

(b) „Betroffenenersuchen“ ist ein von oder im Namen einer betroffenen Person herangetragenes Ersuchen um Auskunft über ihre personenbezogenen Daten, um Berichtigung, Löschung oder Übertragbarkeit ihrer personenbezogenen Daten oder ein Widerspruch von oder im Namen einer betroffenen Person gegen die Verarbeitung ihrer personenbezogenen Daten.

(c) “Data Protection Laws” means all laws and regulations, and amendments thereto, applicable to the Processing of Personal Data by Nuance in connection with the Nuance Services, including but not limited to the GDPR.

(c) „Datenschutzgesetze“ sind alle Gesetze und Vorschriften sowie deren Änderungen, die für die Verarbeitung personenbezogener Daten durch Nuance im Zusammenhang mit den Nuance-Diensten gelten, einschließlich und unter anderem der DSGVO.

(d) “GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the Processing of personal data and on the free movement of such data (known as the General Data Protection Regulation).

(d) „DSGVO“ ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (bekannt als Datenschutz-Grundverordnung).

(e) “EU Standard Contractual Clauses” means the standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, based on the European Commission Implementing Decision (EU) 2021/914 of 4 June 2021, or any European Commission’s decision amending or replacing the decision of 4 June 2021.

(e) „EU-Standardvertragsklauseln“ sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, basierend auf dem Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 oder einem Beschluss der Kommission, der den Beschluss vom 4. Juni 2021 ändert oder ersetzt.

(f) “Personal Data” shall cover any personal data in the meaning given to it by Data Protection Laws which is Processed by Nuance in connection with Company`s use of Nuance Services obtained from Supplier.

(f) „Personenbezogene Daten“ sind alle personenbezogenen Daten im Sinne der Datenschutzgesetze, die von Nuance im Zusammenhang mit der Nutzung der vom Lieferanten bezogenen Nuance-Dienste durch das Unternehmen verarbeitet werden.

(g) “Personal Data Breach” means a ‘personal data breach’ or “data breach” as defined under Data Protection Laws that within Nuance’s scope of responsibility by any of its staff, sub-processors or any other identified or unidentified third party after Nuance becomes aware with a reasonable degree of certainty that such Personal Data Breach has occurred.

(g) „Verletzung des Schutzes personenbezogener Daten“ ist eine „Verletzung des Schutzes personenbezogener Daten“ oder eine „Datenschutzverletzung“ im Sinne der Datenschutzgesetze im Verantwortungsbereich von Nuance durch ihre Mitarbeiter, Unterauftragsverarbeiter oder andere bekannte oder unbekannte Dritte, nachdem Nuance mit hinreichender Sicherheit davon Kenntnis erlangt hat, dass eine solche Verletzung des Schutzes personenbezogener Daten stattgefunden hat.

(h) “Adequate Country” means a country, territory, or specified sectors within a country and international organization that is recognized under Data Protection Laws from time to time as providing adequate protection for Personal Data from time to time, including but not limited to those published by the European Commission in the Official Journal of the European Union for which it has decided that an adequate level of protection is ensured.

(h) Angemessenes Land“ bezeichnet ein Land, ein Gebiet oder bestimmte Sektoren innerhalb eines Landes und einer internationalen Organisation, für die nach den jeweiligen Datenschutzgesetzen aktuell anerkannt ist, dass sie einen angemessenen Schutz für personenbezogene Daten gewährleisten, einschließlich, aber nicht beschränkt auf diejenigen, die von der Europäischen Kommission im Amtsblatt der Europäischen Union veröffentlicht werden und für die beschlossen wurde, dass ein angemessenes Schutzniveau besteht.

(i) “Process”, “Processing”, “Controller”, “Data Controller”, “Processor”, “Data Processor”, “Data Subject” and “Supervisory Authority” or “National Authority” shall have the meanings given to them by GDPR. The term Data Processor includes sub-processors.

(i) „Verarbeiten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ oder „Nationale Behörde“ haben die ihnen durch die DSGVO zugewiesene Bedeutung. Der Begriff Auftragsverarbeiter schließt Unterauftragsverarbeiter ein.

2. STATUS OF THE PARTIES

2. STATUS DER PARTEIEN

2.1 Company is the Data Controller, and Nuance is the Data Processor. Accordingly, Company grants Nuance the right to Process the Personal Data in connection with the Company’s use of Nuance Services obtained from Supplier.

2.1 Das Unternehmen ist der für die Verarbeitung Verantwortliche und Nuance ist der Auftragsverarbeiter. Dementsprechend gewährt das Unternehmen Nuance das Recht, personenbezogene Daten zu verarbeiten, die im Zusammenhang mit der Bereitstellung von Nuance Diensten vom Lieferanten bezogen werden.

3. PROCESSING REQUIREMENTS

3. ANFORDERUNGEN AN DIE VERARBEITUNG

3.1 Data Processing Details. Company, as Data Controller, will determine the scope, purposes, and means by which the Personal Data may be Processed by Nuance as reasonably necessary for the provision of the Nuance Services and compliant with Data Protection Laws. Company is responsible for establishing the lawful bases for Processing the Personal Data, including obtaining all necessary consent, and will comply with all applicable Data Privacy Laws with respect thereto. The type of Personal Data Processed pursuant to this DPA as well as the subject matter, nature and purpose of the Processing, the Data Subjects involved, location(s) and duration of the Processing are as described in the Data Processing Details located at Annex 1.

3.1 Einzelheiten der Datenverarbeitung. Das Unternehmen bestimmt als Verantwortlicher den Umfang, die Zwecke und die Mittel, in deren Rahmen Nuance die personenbezogenen Daten verarbeiten darf, soweit dies für die Bereitstellung der Dienste vernünftigerweise erforderlich ist und im Einklang mit der Hauptvereinbarung und den Datenschutzgesetzen steht. Das Unternehmen ist dafür verantwortlich, die Rechtsgrundlagen für die Verarbeitung der personenbezogenen Daten zu schaffen, einschließlich des Einholens aller erforderlichen Einwilligungen, und hält diesbezüglich alle geltenden Datenschutzgesetze ein. Die Art der personenbezogenen Daten, die gemäß dieser AVV verarbeitet werden, Gegenstand, Art und Zweck der Verarbeitung, die betroffenen Personen, Ort(e) und Dauer der Verarbeitung sind in den Einzelheiten der Datenverarbeitung, abrufbar unter Anhang 1, aufgeführt.

3.2 Processing under Control of Controller. Nuance shall only Process the Personal Data to provide the Services and shall act only in accordance with Company’s documented instructions, including the transfer by Nuance of Company Personal Data to any country or territory, to the extent appropriate for the provision of the Services, and except as required to comply with a legal obligation to which Nuance is subject, in such case, Nuance will inform Company of that legal requirement before Processing, unless that law, regulation or order prohibits such information on important grounds of public interest. Company’s individual instructions on Processing of Personal Data shall be as detailed in the Main Agreement and this DPA. Company instructs Nuance and its sub-processors and Affiliates to use, compile (including creating statistical and other models), annotate and otherwise analyze the Personal Data for the purpose of operating, maintaining, tuning, enhancing, improving and providing technical support services for the speech recognition, natural language understanding and other Nuance software and technologies that are embodied in the Services. Personal Data Processing instructions can be modified, amended or replaced through an amendment to this DPA through the established change control process. Instructions not foreseen in or covered by the Main Agreement or this DPA shall be treated as requests for amendments to this DPA. Any additional or alternate instructions must be agreed upon in writing, and may be charged for, separately. Company accepts that the following are the instructions: (a) Processing in accordance with the Main Agreement and, if so agreed, order form(s) or statement(s) of work; and (b) Processing initiated by users of the Services (for example, when sending an output file by email to another person). Nuance shall, immediately upon becoming aware, inform Company if, in Nuance’s opinion, an instruction infringes Data Protection Laws.

3.2 Verarbeitung unter der Kontrolle des Verantwortlichen. Nuance verarbeitet die personenbezogenen Daten nur, um die Dienste bereitzustellen, und handelt nur auf dokumentierte Weisungen des Unternehmens – einschließlich betreffend die Übermittlung personenbezogener Daten des Unternehmens durch Nuance in ein Land oder Gebiet – soweit dies für die Bereitstellung der Dienste angemessen ist und dem keine gesetzliche Pflicht, der Nuance unterliegt, entgegensteht. In einem solchen Fall informiert Nuance das Unternehmen vor der Verarbeitung über diese gesetzliche Pflicht, es sei denn, das betreffende Gesetz, die Verordnung oder die Anordnung verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses. Die einzelnen Weisungen des Unternehmens zur Verarbeitung personenbezogener Daten sind in der Hauptvereinbarung und in dieser AVV festgelegt. Das Unternehmen weist Nuance und ihre Unterauftragsverarbeiter sowie verbundenen Unternehmen an, die personenbezogenen Daten zu verwenden, zusammenzustellen (einschließlich der Erstellung statistischer und anderer Modelle), zu annotieren und anderweitig zu analysieren, um die technischen Supportdienste für die Spracherkennung, das Verstehen natürlicher Sprache und andere Software sowie Technologien von Nuance, die in den Diensten enthalten sind, zu betreiben, zu warten, zu optimieren, weiterzuentwickeln, zu verbessern und zu erbringen. Weisungen zur Verarbeitung personenbezogener Daten können durch eine Anpassung dieser AVV im Rahmen des festgelegten Änderungskontrollverfahrens angepasst, ergänzt oder ersetzt werden. Weisungen, die in bzw. von der Hauptvereinbarung oder dieser AVV nicht vorgesehen oder erfasst sind, werden als Ersuchen um Änderung dieser AVV behandelt. Zusätzliche oder abweichende Weisungen müssen schriftlich vereinbart werden und können gesondert in Rechnung gestellt werden. Das Unternehmen erkennt an, dass Folgendes die Weisungen darstellt: (a) die Verarbeitung in Übereinstimmung mit der Hauptvereinbarung und, falls vereinbart, dem/den Bestellformular(en) oder der/den Leistungsbeschreibung(en) und (b) die von den Benutzern der Dienste veranlasste Verarbeitung (beispielsweise beim Versenden einer Ausgabedatei per E-Mail an eine andere Person). Nuance informiert das Unternehmen unverzüglich nach Kenntniserlangung, wenn Nuance der Auffassung ist, dass eine Weisung Datenschutzgesetze verletzt.

3.3 Relationship to Supplier. Company has to provide any instructions directly to Nuance and to ensure that Supplier does not provide any instructions to Nuance with respect to Company Personal Data.

3.3 Verhältnis zum Lieferanten. Das Unternehmen muss alle Weisungen direkt an Nuance erteilen und sicherstellen, dass der Lieferant Nuance keine Weisungen in Bezug auf personenbezogene Daten des Unternehmens erteilt.

3.4 Nuance Disclaimer. Nuance Processes Personal Data that may be incorporated by Company into official records. Nuance does not maintain Company’s system of records, and therefore Nuance does not store or maintain any official records or part thereof for Company. The originals of any records, including medical records, will be maintained by Company or its other contractors. Nuance only has access to parts of the records via remote access over Company’s computer system in connection with the provision of the Services set forth in the Terms of Service. Nuance shall own all intellectual property rights in all enhancements and improvements to its software and Services that result from its Processing of Personal Data.

3.4 Haftungsausschluss von Nuance.  Nuance verarbeitet personenbezogene Daten, die vom Unternehmen in offizielle Datensätze aufgenommen werden können. Nuance betreibt weder das Zielsystem des Unternehmens für diese Datensätze noch Teile davon, und deshalb speichert oder pflegt Nuance keine offiziellen Datensätze für das Unternehmen. Die Originale aller Datensätze, einschließlich medizinischer Datensätze, werden vom Unternehmen oder seinen anderen Vertragspartnern aufbewahrt. Nuance hat nur Zugriff auf Teile der Datensätze, mittels Fernzugriff auf das Computersystem des Unternehmens im Zusammenhang mit der Erbringung der in der Hauptvereinbarung dargelegten Dienste. Nuance stehen alle geistigen Eigentumsrechte an allen Weiterentwicklungen und Verbesserungen ihrer Software und Dienste zu, die sich aus der Verarbeitung personenbezogener Daten ergeben.

3.5 Confidentiality. Without prejudice to any existing contractual arrangements between the Parties, Nuance shall treat all Personal Data as strictly confidential. Nuance shall take appropriate steps so that only authorized personnel who are subject to binding obligations of confidentiality, either contractual or statutory, will have access to the Personal Data. This includes training of personnel frequently on privacy awareness and informing about the sensitivity of data processed, which may be subject to professional secrecy and have potential legal implications such as penalties in some jurisdictions. Termination or expiration of this DPA shall not discharge Nuance from its confidentiality obligations.

3.5 Vertraulichkeit. Unbeschadet der bestehenden vertraglichen Vereinbarungen zwischen den Parteien behandelt Nuance alle personenbezogenen Daten streng vertraulich. Nuance ergreift geeignete Maßnahmen, damit nur hierzu berechtigte Mitarbeiter, die bindenden gesetzlichen oder vertraglichen Verpflichtungen zur Vertraulichkeit unterliegen, Zugang zu den personenbezogenen Daten haben. Dazu gehört auch, dass die betreffenden Mitarbeiter regelmäßig zur Sensibilisierung der Privatsphäre geschult und über die Sensibilität der verarbeiteten Daten informiert werden, die unter Umständen dem Berufsgeheimnis unterliegen und die Verletzung in einigen Ländern rechtliche Konsequenzen nach sich ziehen könnte. Die Kündigung oder der Ablauf dieser AVV entbindet Nuance nicht von ihren Vertraulichkeitsverpflichtungen.

3.6 Limitation of Access. Nuance will ensure that the access to processing of Personal Data according to this DPA is limited to those personnel of Nuance and its sub-processors that are authorized by Nuance and its sub-processors to perform the Nuance Services.

3.6 Beschränkung des Zugangs. Nuance stellt sicher, dass der Zugang auf die Verarbeitung personenbezogner Daten nur auf diejenigen Mitarbeiter von Nuance sowie der Unterauftragsverarbeiter beschränkt ist, die hierzu authorisiert sind die Nuance-Dienste gemäß dieser AVV zu erbringen.

3.7 Data Protection Officer (DPO). Nuance has appointed a data protection officer, who can be reached at: Privacy@Nuance.com or by mail (Worldwide) at:

3.7 Datenschutzbeauftragter (DSB). Nuance hat einen Datenschutzbeauftragten bestellt, der unter Privacy@Nuance.com erreichbar ist oder per Post (weltweit) unter:

Chief Privacy Officer

Chief Privacy Officer

Office of the Chief Privacy Officer

Nuance Communications Ireland, Ltd

The Harcourt Building, 4th Floor

57B Harcourt Street

Dublin 2, D02 F721

IRELAND

Office of the Chief Privacy Officer

Nuance Communications Ireland, Ltd.

The Harcourt Building, 4th Floor

57B Harcourt Street

Dublin 2, D02 F721

IRLAND

Any changes to this contact information will be published at https://www.nuance.com/about-us/company-policies/privacy-policies.html(Neues Fenster öffnen).

Alle Änderungen dieser Kontaktinformationen werden unter https://www.nuance.com/about-us/company-policies/privacy-policies.html(Neues Fenster öffnen) veröffentlicht.

3.8 Data Subject Notices. For Personal Data that is provided to Nuance by Company under the Terms of Services, Company is responsible for providing any notices and information required by Data Protection Laws to be given at the time of collection, including, but not limited to notice with respect to:

3.8 Mitteilungen an betroffene Personen. In Bezug auf personenbezogene Daten, die Nuance vom Unternehmen im Rahmen der Nutzungsbedingungen zur Verfügung gestellt werden, ist das Unternehmen für die Bereitstellung, aller Mitteilungen und Informationen verantwortlich, die gemäß den Datenschutzgesetzen zum Zeitpunkt der Erhebung der Daten erforderlich sind, einschließlich, aber nicht beschränkt auf Mitteilungen betreffend:

(i) Sharing of Personal Data with sub-processors as permitted by Section 5 below; and

(i) die Weitergabe von personenbezogenen Daten an Unterauftragsverarbeiter, wie in Abschnitt 5 unten gestattet; und

(ii) Transfer of Personal Data to Nuance’s Affiliates and sub-processors as outlined in the Sub-Processor List, located at Annex(Neues Fenster öffnen) 3. Nuance shall also comply with the transfer requirements set forth in Section 6 below.

(ii)  die Übermittlung personenbezogener Daten an verbundene Unternehmen und Unterauftragsverarbeiter von Nuance, wie in der Liste der Unterauftragsverarbeiter, abrufbar unter Anhang(Neues Fenster öffnen) 3. Nuance muss außerdem die in Abschnitt 6 unten genannten Anforderungen an die Datenübermittlung einhalten.

The foregoing is without prejudice to any notification obligations to which Nuance or its sub-processors may be subject under the EU Standard Contractual Clauses.

Das Vorstehende gilt unbeschadet etwaiger Benachrichtigungspflichten, denen Nuance oder ihre Unterauftragsverarbeiter möglicherweise nach den EU-Standardvertragsklauseln unterliegen.

3.9 Data Subject Requests. As between the Parties, Company shall be responsible for addressing all Data Subject Requests. Nuance shall promptly notify Company if Nuance receives a request from a Data Subject to exercise his or her Data Subject’s rights. Taking into account the nature of the Processing and insofar as possible, Nuance shall assist Company by appropriate technical and organizational measures in fulfilment of Company’s obligations to respond to said Data Subject Request under Data Protection Laws. To the extent legally permitted, Company shall be responsible for any costs arising from Nuance’s provision of such assistance.

3.9 Betroffenenersuchen. Im Verhältnis zwischen den Parteien ist das Unternehmen für die Bearbeitung aller Betroffenenersuchen verantwortlich. Nuance benachrichtigt das Unternehmen unverzüglich, wenn sie ein Ersuchen einer betroffenen Person zur Ausübung ihrer Rechte erhält. Unter Berücksichtigung der Art der Verarbeitung unterstützt Nuance das Unternehmen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von besagten Betroffenenersuchen gemäß den Datenschutzgesetzen nachzukommen. Soweit gesetzlich zulässig, trägt das Unternehmen sämtliche Kosten dieser Unterstützung durch Nuance.

3.10 Notice of Personal Data Breach. Nuance maintains an Incident Management Policy and shall notify Company of any Personal Data Breach without undue delay.

3.10 Mitteilung der Verletzung des Schutzes personenbezogener Daten. Nuance hat eine Richtlinie für das Management von Sicherheitsvorfällen und teilt dem Unternehmen jede Verletzung des Schutzes personenbezogener Daten unverzüglich mit.

In the event of a Personal Data Breach, Nuance shall make reasonable efforts to identify the cause of such Personal Data Breach and take reasonable steps as Nuance deems necessary and reasonable under industry standards, in order to remediate the cause of such breach in fulfilling Company’s obligation under Data Protection Laws. Nuance shall not be responsible for incidents that are caused by Company, Supplier or Company’s end users.

Im Hinblick auf die datenschutzrechtlichen Verpflichtungen des Unternehmens bemüht sich Nuance im Fall einer Verletzung des Schutzes personenbezogener Daten in angemessenem Maß, die Ursache hierfür zu ermitteln. Zudem unternimmt Nuance zumutbare Schritte, die sie als notwendig und entsprechend den Branchenstandards als angemessen erachtet, um die Ursache zu beheben. Nuance ist nicht für Vorfälle verantwortlich, die vom Lieferanten oder von den Endnutzern des Unternehmens verursacht werden.

3.11 Deletion of Personal Data. As reasonably practicable following the termination of this DPA or the Supplier Agreement, Nuance shall delete all Personal Data, except to the extent applicable law requires Nuance to continue to store the Personal Data. Company acknowledges that Nuance’s deletion of Personal Data represents compliance with any legal obligation to return Personal Data to Company.

3.11 Löschung von personenbezogenen Daten. Soweit nach Beendigung dieser AVV oder der Lieferantenvereinbarung angemessen umsetzbar, löscht Nuance alle personenbezogenen Daten, soweit Nuance nicht nach geltendem Recht zur weiteren Speicherung der personenbezogenen Daten verpflichtet ist. Das Unternehmen erkennt an, dass mit der Löschung der personenbezogenen Daten durch Nuance sämtliche Rechtspflichten zur Rückgabe von personenbezogenen Daten an das Unternehmen erfüllt sind.

3.12 Audit and Records. Subject to reasonable prior notice from Company, Nuance shall provide Company with reasonable evidence to demonstrate Nuance’s compliance with this DPA and Data Protection Laws and shall allow for and contribute to audits, including inspections, conducted by Company or another auditor mandated by Company. Company’s right of audit under Data Protection Laws may be satisfied by Nuance through Nuance providing to Company or Supplier:

3.12 Überprüfungen und Aufzeichnungen. Vorbehaltlich einer angemessenen Vorankündigung durch das Unternehmen legt Nuance dem Unternehmen angemessene Nachweise über ihre Einhaltung dieser AVV und der Datenschutzgesetze vor und ermöglicht und unterstützt Überprüfungen, einschließlich Inspektionen, die vom Unternehmen oder einem anderen vom Unternehmen beauftragten Prüfer durchgeführt werden. Das Überprüfungsrecht des Unternehmens gemäß den Datenschutzgesetzen kann von Nuance dadurch erfüllt werden, dass Nuance dem Unternehmen oder Lieferanten folgende Informationen zur Verfügung stellt:

(a) an audit report not older than 18 months by a registered and independent external auditor demonstrating that Nuance’s technical and organizational measures described in the Description of Technical and Organizational Measures, located at Annex(Neues Fenster öffnen) 2, are sufficient and in accordance with an accepted industry audit standard such as SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402; and/or

(a) ein von einem registrierten und unabhängigen externen Prüfer erstellter Auditbericht, der nicht älter als 18 Monate ist und der belegt, dass die in der Beschreibung der Technischen und Organisatorischen Maßnahmen, abrufbar unter Anhang(Neues Fenster öffnen) 2, beschriebenen technischen und organisatorischen Maßnahmen von Nuance ausreichend sind und einem anerkannten Industrie-Auditstandard wie SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402 entsprechen; und/oder

(b) additional information in Nuance’s possession or control to a Supervisory Authority when it requests or requires additional information in relation to the data Processing activities carried out by Nuance under this DPA.

(b) zusätzliche Informationen, die sich im Besitz oder unter der Kontrolle von Nuance befinden, an eine Aufsichtsbehörde, wenn diese Aufsichtsbehörde zusätzliche Informationen im Zusammenhang mit den von Nuance im Rahmen dieser AVV durchgeführten Datenverarbeitungsaktivitäten anfordert oder benötigt.

(c) If Nuance is unable to provide the information in (a) and (b) above, Company may audit Nuance’s control practices, including on-site at Nuance’s facilities, and Company shall contact Nuance in accordance with the “Notices” section under the Main Agreement. Company shall reimburse Nuance for any time expended for any such on-site audit at Nuance’s then-current professional services rates, which shall be made available to Company upon request. Before the commencement of any such on-site audit, Company and Nuance shall mutually agree upon the scope, timing, and duration of the audit in addition to the reimbursement rate for which Company shall be responsible. All reimbursement rates shall be reasonable, taking into account the resources expended by Nuance. Company shall promptly notify Nuance with information regarding any noncompliance discovered during the course of an audit and allow reasonable time for remediation.

(c) Wenn Nuance die unter (a) und (b) genannten Informationen nicht zur Verfügung stellen kann, kann das Unternehmen die Kontrollmethoden von Nuance auch bei Nuance vor Ort überprüfen. Das Unternehmen soll Nuance gemäß dem in der Hauptvereinbarung befindlichen Abschnitt „Mitteilungen“ kontaktieren Das Unternehmen erstattet Nuance den Zeitaufwand für eine solche Vor-Ort-Überprüfung zu den zu diesem Zeitpunkt geltenden Nuance-Tarifen für professionelle Dienstleistungen, die dem Unternehmen auf Anfrage bereitgestellt werden. Vor Beginn einer solchen Vor-Ort-Überprüfung vereinbaren das Unternehmen und Nuance gemeinsam den Umfang, den Zeitpunkt und die Dauer der Überprüfung sowie den Erstattungssatz, den das Unternehmen schuldet. Alle Erstattungssätze müssen unter Berücksichtigung der von Nuance aufgewendeten Ressourcen angemessen sein. Das Unternehmen informiert Nuance unverzüglich über jeden im Zuge einer Überprüfung festgestellten Verstoß und räumt eine angemessene Frist zur Behebung ein.

(d) The Parties agree that when carrying out audit procedures relevant to the protection of Personal Data, Company shall take all reasonable measures to limit any impact on Nuance and Nuance’s usual course of business operations.

3.12 Nuance assistance. Nuance shall assist Company in ensuring compliance with the obligations pursuant to Articles 32 to 36 of the GDPR, taking into account the nature of Processing and the information available to Nuance.

(d) Die Parteien vereinbaren, dass das Unternehmen bei der Durchführung von Überprüfungen, betreffend den Schutz personenbezogener Daten, alle angemessenen Maßnahmen ergreift, um die Auswirkungen auf Nuance und den üblichen Geschäftsbetrieb von Nuance zu begrenzen.

3.12 Unterstützung durch Nuance. Nuance unterstützt das Unternehmen – unter Berücksichtigung der Art der Verarbeitung und der Nuance zur Verfügung stehenden Informationen – bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO.

4. SECURITY

4. SICHERHEIT

Taking into account the most recent available technology, the costs of implementation and the nature, scope, context and purposes of Processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Nuance will maintain appropriate technical and organizational protections as set forth in the Description of Technical and Organizational Measures located at Annex(Neues Fenster öffnen) 2.

Unter Berücksichtigung der neuesten verfügbaren Technologie, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft Nuance geeignete technische und organisatorische Schutzmaßnahmen, wie in der Beschreibung der Technischen und Organisatorischen Maßnahmen, abrufbar unter Anhang(Neues Fenster öffnen) 2, dargelegt.

5. SUB-PROCESSING

5. UNTERauftragsVERARBEITUNG

5.1 Affiliates as Sub-Processors. Company grants a general authorization to Nuance to appoint as sub-processors to support the delivery of the Nuance Services any other entities controlling, under common ownership with, or under control of Nuance’s parent corporation, Nuance Communications, Inc. (“Affiliates”), as specified in the Sub-Processor List.

5.1 Verbundene Unternehmen als Unterauftragsverarbeiter. Das Unternehmen erteilt Nuance die allgemeine Genehmigung, andere Gesellschaften, die die Muttergesellschaft von Nuance, Nuance Communications Inc., kontrollieren oder die sich im gemeinsamen Eigentum mit oder unter der gemeinsamen Kontrolle der Muttergesellschaft befinden, („verbundene Unternehmen“) als Unterauftragsverarbeiter zur Unterstützung bei der Bereitstellung der Dienste einzusetzen, wie in der Liste der Unterauftragsverarbeiter angegeben.

5.2 Other Sub-Processors. Company grants Nuance and Affiliates a general authorization to appoint the following types of sub-processors to support the delivery of the Nuance Services: Nuance and its Affiliates’ cloud, software engineering, consulting and other firms providing information technology and security advisory and support services; third party data center operators; and providers of outsourced technical support services.

5.2 Andere Unterauftragsverarbeiter. Das Unternehmen erteilt Nuance und ihren verbundenen Unternehmen die allgemeine Genehmigung, die folgenden Arten von (Unter-)Unterauftragsverarbeitern einzusetzen, um die Bereitstellung der Dienste zu unterstützen: Clouddienste-, Softwareentwicklungsdienste-, Consulting- und andere von Nuance und ihren verbundenen Unternehmen eingesetzte Unternehmen, die Beratungs- und Supportdienste in den Bereichen Informationstechnologie und Sicherheit anbieten;

5.3 List Available. A list of all sub-processors approved by Company above is included in the Sub-Processor List located at Annex(Neues Fenster öffnen) 3.

5.3 Verfügbare Liste. Eine Liste aller von dem Unternehmen wie oben beschrieben genehmigten Unterauftragsverarbeiter findet sich in der Liste der Unterauftragsverarbeiter, abrufbar unter Anhang(Neues Fenster öffnen) 3.

5.4 Sub-Processor Changes; Company’s Right to Object. Nuance will notify Company of the names of any new and replacement sub-processors prior to them beginning sub-processing of Personal Data. Within ten (10) business days of receiving notice of a sub-processor change, Company may object by providing written notice to Nuance. The notice shall describe the basis for Company’s objection, which must have reasonable grounds. Failure to notify an objection during such time period shall constitute waiver of the right to object. If Company gives written notice of objection, Nuance and Company will discuss the objection in good faith to seek to resolve it. If no resolution is found within 30 days after initial notice of objection is given, and if the Main Agreement cannot be performed without the use of the objected-to (sub-)sub-processor, Company may terminate the affected Company’s Services on 60 days’ written notice, such notice to be given no later than 45 days after the date of the initial notice of objection.

5.4 Änderungen bei den Unterauftragsverarbeitern. Widerspruchsrecht des Unternehmens. Nuance teilt dem Unternehmen die Namen aller neuen Unterauftragsverarbeiter sowie derjenigen Unterauftragsverarbeiter mit, die die bisherigen Unterauftragsverarbeiter ersetzen sollen, bevor diese Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beginnen. Innerhalb von zehn (10) Werktagen nach Erhalt der Benachrichtigung über eine Änderung bei den Unterauftragsverarbeitern kann das Unternehmen gegen die Änderungen durch schriftliche Mitteilung an Nuance Widerspruch erheben. In der Mitteilung ist die Grundlage für den Widerspruch des Unternehmens zu beschreiben, der auf vernünftigen Gründen beruhen muss. Wird der Widerspruch nicht innerhalb dieses Zeitraums mitgeteilt, gilt dies als Verzicht auf das Widerspruchsrecht. Wenn das Unternehmen schriftlich Widerspruch erhebt, erörtern Nuance und das Unternehmen den Widerspruch in gutem Glauben, um eine Lösung zu finden. Wenn innerhalb von 30 Tagen nach der ersten Mitteilung des Widerspruchs keine Lösung gefunden wird, und wenn der Hauptvertrag nicht ohne den beanstandeten (Unter-)Unter-Auftragsverarbeiter erfüllt werden kann, kann das Unternehmen die betreffenden Dienste mit einer Frist von 60 Tagen schriftlich kündigen, wobei die Kündigung spätestens 45 Tage nach dem Datum der ersten Mitteilung des Widerspruchs erfolgen muss.

5.5 Nuance’s Responsibility. Nuance and/or Affiliates will require all sub-processors to enter into a written agreement with Nuance to protect Personal Data with equivalent data protection obligations to those in this DPA. Nuance shall remain liable to Company for any breach by the sub-processor of its agreement with Nuance; Company’s authorization of the sub-processor does not remove this responsibility.

5.5 Verantwortung von Nuance. Nuance und/oder ihre verbundenen Unternehmen verlangen von allen Unterauftragsverarbeitern, mit Nuance eine schriftliche Vereinbarung zum Schutz personenbezogener Daten zu schließen deren Datenschutzpflichten, die denen in dieser AVV äquivalent sind. Nuance bleibt gegenüber dem Unternehmen in jedem Fall haftbar, wenn ein (Unter-)Unterauftragsverarbeiter seine Vereinbarung mit Nuance verletzt; die Zustimmung des Unternehmens zur Nutzung des Unterauftragsverarbeiters hebt diese Verantwortung nicht auf.

6. DATA TRANSFERS

6. Übermittlung von Daten

6.1 Nuance Hosting Location. Nuance provides, operates, and maintains the data hosting centers in the locations described in the Data Processing Details, located at Annex(Neues Fenster öffnen) 1, and the Sub-Processor List located at Annex(Neues Fenster öffnen) 3, to support the operation of the Services.

6.1 Hosting-Standort von Nuance. Nuance stellt, betreibt und unterhält an den in den Einzelheiten der Datenverarbeitung, abrufbar unter Anhang 1, und der Liste der Unterauftragsverarbeiter, abrufbar unter Anhang(Neues Fenster öffnen) 3, genannten Standorten die Daten-Hosting-Zentren, um das Betreiben der Dienste zu gewährleisten.

6.2 Transfers outside EEA by Nuance. Company acknowledges that Personal Data may be transferred to sub-processors outside of the European Economic Area (“EEA”) to support the provision of the services to Company. If Personal Data Processed under this DPA is transferred from a country within the EEA to a country outside the EEA, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:

6.2 Übermittlungen an Empfänger außerhalb des EWR durch Nuance. Das Unternehmen erkennt an, dass personenbezogene Daten an Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums („EWR“) übermitteln darf, um die Erbringung der Dienste an das Unternehmen zu unterstützen. Wenn personenbezogene Daten, die im Rahmen dieser AVV verarbeitet werden und von einem Land innerhalb des EWR in ein Land außerhalb des EWR übermittelt werden, stellt Nuance sicher, dass ein Mechanismus vorhanden ist, durch den die Angemessenheit der Verarbeitung gewährleistet ist, z.B.:

(a) The execution between Nuance and its sub-processors of EU Standard Contractual Clauses (Module Three – Processor to Processor) located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-P2P.html(Neues Fenster öffnen), which can be viewed by accessing the before link to the EU Standard Contractual Clauses to demonstrate Nuance’s compliance with this obligation; and the requirement of sub-processors to comply with onward transfer principles under EU Standard Contractual Clauses; and

(a) Der Abschluss zwischen Nuance und ihren Unterauftragsverarbeitern von EU-Standardvertragsklauseln (Modul Drei – Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter), abrufbar unter https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-P2P.html(Neues Fenster öffnen), die über den vorstehenden Link zu den EU-Standardvertragsklauseln eingesehen werden können, um die Einhaltung dieser Verpflichtung durch Nuance zu belegen; und die Verpflichtung von Unterauftragsverarbeitern zur Einhaltung der Grundsätze der Weiterübermittlung gemäß den EU-Standardvertragsklauseln und.

(b) The application by Nuance and its sub-processors of additional safeguards, where necessary, to ensure that during and after the transfer, the Personal Data is subject to a level of protection equivalent to that of the EU. Such safeguards might include anonymization of Personal Data as well as pseudonymization and encryption, including during transmission, in each case taking account of the level of data protection in the recipient country and the nature of the Personal Data concerned. Further details on the safeguards applied by Nuance and Affiliates are set out in the Description of Technical and Organizational Measures located at Annex 2, whereas the additional safeguards applied by Nuance and its sub-processors do not release Company from its own data protection obligations; or

(b) Die Anwendung zusätzlicher Garantien durch Nuance und ihre Unterauftragsverarbeiter, soweit sie erforderlich sind, um sicherzustellen, dass die personenbezogenen Daten während und nach der Übermittlung einem Schutzniveau unterliegen, das dem der EU gleichwertig ist. Solche Garantien können die Anonymisierung personenbezogener Daten sowie die Pseudonymisierung und Verschlüsselung, auch während der Übermittlung, umfassen, jeweils unter Berücksichtigung des Datenschutzniveaus im Empfängerland und der Art der betroffenen personenbezogenen Daten. Weitere Einzelheiten zu den von Nuance und ihren verbundenen Unternehmen angewandten Garantien sind in der Beschreibung der Technischen und Organisatorischen Maßnahmen, abrufbar unter Anhang(Neues Fenster öffnen) 2, aufgeführt, wobei die von Nuance und ihren Unterauftragsverarbeitern angewandten zusätzlichen Garantien das Unternehmen nicht von seinen eigenen Datenschutzverpflichtungen; entbinden; oder

(c) Any other specifically approved safeguard for data transfer under Data Protection Laws or a European Commission finding of adequacy.

(c) Jede andere speziell genehmigte Garantie für die Datenübermittlung gemäß den Datenschutzgesetzen oder ein Angemessenheitsbeschluss durch die Europäische Kommission.

7. GOVERNING LAW

7. ANWENDBARES RECHT

Without prejudice to the Standard Contractual Clauses this Agreement shall be governed by and construed in all respects in accordance with the laws of Germany.

Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provisions shall be either (i) amended as necessary to ensure their validity and enforceability, while preserving the Parties’ intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

Unbeschadet der Standardvertragsklauseln unterliegt diese Vereinbarung in jeder Hinsicht den Gesetzen Deutschlands.

Sollte eine Bestimmung dieser AVV ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieser AVV gültig und in Kraft. Die ungültigen oder nicht durchsetzbaren Bestimmungen werden entweder (i) so geändert, wie es erforderlich ist, um ihre Gültigkeit und Durchsetzbarkeit zu gewährleisten, wobei die Absichten der Parteien so weit wie möglich berücksichtigt werden, oder, falls dies nicht möglich ist, (ii) so ausgelegt, wie wenn der ungültige oder nicht durchsetzbare Teil nie darin enthalten gewesen wäre.

8. MISCELLANEOUS PROVISIONS

8. Schlussbestimmungen

8.1 Liability.

8.1 Haftungsbeschränkung.

8.1.1 As between the Parties, in no event shall Nuance be responsible for any liability arising from Supplier’s acts, omission or negligence or from Nuance’s compliance with Company’s or Supplier’s instructions.

8.1.1 Im Verhältnis zwischen den Parteien ist Nuance in keinem Fall für eine Haftung verantwortlich, die sich aus Handlungen, Unterlassungen oder Fahrlässigkeit des Lieferanten oder aus der Einhaltung der Weisungen des Unternehmens oder des Lieferanten durch Nuance ergibt.

8.1.2 Nuance shall only be liable for the direct damages caused by Processing if it (a) did not comply with its specific obligations of the GDPR, or (b) acted outside or in violation of the lawful instructions of the Company.

8.1.2 Nuance haftet nur dann für die durch die Verarbeitung verursachten direkten Schäden, wenn sie (a) ihren spezifischen Verpflichtungen aus der DSGVO nicht nachgekommen ist oder (b) außerhalb oder unter Verletzung der rechtmäßigen Weisungen des Unternehmens gehandelt hat.

8.1.3 In the scope of this DPA, subject to the requirements of applicable Data Protection Laws, in no event shall Nuance be liable for any indirect and consequential damages such as frustrated investments and loss of good will, business, profit or revenue. As between the Parties to this DPA, in no event shall damages payable by Nuance exceed the amounts paid by Company in any 12-month period for the subscription of the Services.

8.1.3 Im Rahmen dieser AVV haftet Nuance, vorbehaltlich der geltenden Datenschutzgesetze, in keinem Fall für indirekte und Folgeschäden wie vergebliche Aufwendungen und den Verlust von Goodwill, Geschäft, Gewinn oder Einnahmen. Im Verhältnis zwischen den Parteien dieser AVV darf der von Nuance zu zahlende Schadensersatz in keinem Fall die Beträge übersteigen, die das Unternehmen in einem beliebigen 12-Monatszeitraum für das Abonnement der Dienste bezahlt hat.

8.2 Order of Precedence. To the extent that any provisions of this DPA conflict with any provisions in the Terms of Service, this DPA shall prevail as to the specific subject matter of such provisions. If Nuance provides this DPA in more than one language for the country of Company’s billing address, and there is a discrepancy between the English text and the translated text, the English text will govern. When Nuance introduces features, offerings, supplements or related software that are new (i.e., that were not previously included with the Services), Nuance may provide terms or make updates to this DPA that apply to Company´s use of those new features, offerings, supplements or related software. This DPA shall supersede any prior agreements, arrangements and understandings between the Parties and constitutes the entire agreement between the Parties relating to the subject matter hereof.

8.2 Rangfolge. Soweit Bestimmungen dieser AVV mit Bestimmungen der Hauptvereinbarung in Widerspruch stehen, hat diese AVV hinsichtlich des spezifischen Regelungsgegenstands solcher Bestimmungen Vorrang. Wenn Nuance diese AVV für das Land der Rechnungsadresse des Unternehmens in mehr als einer Sprache zur Verfügung stellt und es eine Diskrepanz zwischen dem englischen Text und dem übersetzten Text gibt, gilt der englische Text. Wenn Nuance neue Funktionen, Angebote, Ergänzungen oder zugehörige Software einführt (also Neuerungen, die zuvor nicht in den Diensten enthalten waren), kann Nuance für die Nutzung dieser Neuerungen durch das Unternehmen Regelungen einführen oder diese AVV aktualisieren. Diese AVV ersetzt alle früheren Vereinbarungen und Absprachen zwischen den Parteien und stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand dieser AVV dar.

This DPA becomes a binding part of the Terms of Service between the Parties, effective from the date first set out above.

Diese AVV wird in der nachstehend unterzeichneten Fassung ab dem oben genannten Datum verbindlicher Bestandteil der Hauptvereinbarung zwischen den Parteien.

The following additional terms are part of this DPA and are incorporated herein as stated above.

Die folgenden zusätzlichen Regelungen sind Teil dieser AVV und werden hierin wie oben angegeben integriert.

Data Processing Details located at Annex 1.

Einzelheiten der Datenverarbeitung abrufbar unter Anhang 1.

Description of Technical and Organizational Measures located at Annex 2.

Beschreibung der Technischen und Organisatorischen Maßnahmen abrufbar unter Anhang 2.

Sub-Processor List located at Annex 3.

Liste der Unterauftragsverarbeiter abrufbar unter Anhang 3.

In accordance with 6.2(a) above, the execution between Nuance and its sub-processors of EU Standard Contractual Clauses (Module Three – Processor to Processor), are available for viewing at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-P2P.html(Neues Fenster öffnen).

Gemäß Abschnitt 6.2(a) oben sind die von Nuance und ihren Unterauftragsverarbeitern geschlossenen EU-Standardvertragsklauseln (Modul Drei – Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter) unter https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-P2P.html(Neues Fenster öffnen) zur Einsicht abrufbar.

Annex 2

Anhang 2

Description of Technical and Organizational Measures

Beschreibung der Technischen und Organisatorischen Maßnahmen

Nuance maintains appropriate technical and organizational measures, through the implementation and enforcement of the following policies:

Nuance unterhält durch die Umsetzung und Durchsetzung der folgenden Richtlinien geeignete technische und organisatorische Maßnahmen:

Security Organization, Risk Analysis and Risk Management

Nuance has a professional information security organization, headed by a Chief Information Security Officer, that works to provide robust information security controls for Nuance products and environments. Nuance performs annual assessments of the compliance of Nuance security controls with current certifications and industry standard controls. For further, and more explicit, details on the Security Organization, Risk Analysis, or Risk Management programs at Nuance, please refer to https://www.nuance.com/about-us/trust-center.html(Neues Fenster öffnen).

Sicherheitsorganisation, Risikoanalyse und Risikomanagement

Nuance verfügt über eine professionelle Informationssicherheitsorganisation, die von einem Chief Information Security Officer geleitet wird und für die Bereitstellung stabiler Informationssicherheitskontrollen für Nuance-Produkte und -Umgebungen sorgt. Nuance führt jährliche Bewertungen der Konformität seiner Sicherheitskontrollen mit aktuellen Zertifizierungen und branchenüblichen Kontrollen durch. Weitere und ausführlichere Informationen über die Sicherheitsorganisation, die Risikoanalyse und das Risikomanagement von Nuance finden Sie unter https://www.nuance.com/about-us/trust-center.html(Neues Fenster öffnen).

Workforce Clearing, Training and Sanctions

All Nuance personnel are subject to background checks before access to restricted data is permitted. All personnel receive regular security training. Nuance has adopted policies and procedures to apply workforce sanctions to employees who fail to comply with Nuance security policies and procedures.

Clearing, Ausbildung und Sanktionen für Mitarbeiter

Alle Mitarbeiter von Nuance werden Background-Checks unterzogen, bevor der Zugriff auf vertrauliche Daten gestattet wird. Das gesamte Personal erhält regelmäßig Sicherheitsschulungen. Nuance hat Richt-linien und Verfahren eingeführt, um Mitarbeiter, die gegen die Sicherheitsrichtlinien und -verfahren von Nuance verstoßen, mit Sanktionen zu belegen.

Physical Controls

Nuance Data Centers - All Nuance facilities are protected by physical security controls including perimeter controls, electronic access systems, locks and cameras. Nuance stores all production data in physically secure data centers that also maintain additional access restrictions, including: caged, locking racks along with secondary authentication and access. Nuance’s infrastructure systems have been designed to eliminate single points of failure and minimize the impact of anticipated environmental risks.

Physische Kontrollen

Nuance-Datenzentren - Alle Einrichtungen von Nuance sind durch physische Sicherheitskontrollen geschützt, einschließlich der Kontrolle der Umgebung, elektronischer Zugangssysteme, Schlösser und Kameras. Nuance speichert alle Produktionsdaten in physisch sicheren Datenzentren, die auch zusätzliche Zugriffsbeschränkungen aufweisen einschließlich durch eingeschlossene, verriegelnde Regale sowie sekundäre Authentifizierung und sekundären Zugang. Die Infrastruktursysteme von Nuance wurden so konzipiert, dass einzelne Fehlerquellen eliminiert und die Auswirkungen antizipierter Umweltrisiken minimiert werden.

Cloud Data Center - Microsoft Azure runs in data centers managed and operated by Microsoft. These geographically dispersed data centers comply with key industry standards, such as ISO/IEC 27001:2013, NIST SP 800-53 and for German data centers the German Federal Office for Information Security Cloud Computing Compliance Controls Catalogue (C5), for security and reliability. The data centers are managed, monitored, and administered by Microsoft operations staff. The operations staff has years of experience in delivering the world’s largest online services with 24 x 7 continuity. For additional information, please refer to https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility(Neues Fenster öffnen).

Cloud-Datenzentrum - Microsoft Azure läuft in Datenzentren, die von Microsoft verwaltet und betrieben werden. Diese geografisch verteilten Datenzentren entsprechen den wichtigsten Industriestandards, wie ISO/IEC 27001:2013, NIST SP 800-53 und für die Deutschen Datenzentren den Deutschen Bundesamt für Informationssicherheit Cloud Computing Compliance Controls Catalogue (C5), für Sicherheit und Zuverlässigkeit. Die Datenzentren werden vom Betriebspersonal von Microsoft verwaltet und überwacht. Das Betriebspersonal verfügt über jahrelange Erfahrung in der Bereitstellung der weltweit größten Online-Dienste mit Rund-um-die-Uhr-Verfügbarkeit. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility(Neues Fenster öffnen).

Access

Nuance has located all equipment that stores Personal Data in controlled access areas. Nuance will only allow employees and contingent workers with a business purpose to have access to such controlled areas.

Zugang

Nuance hat alle Geräte, die personenbezogene Daten speichern, in Bereichen mit kontrolliertem Zugang untergebracht. Nuance gestattet nur Angestellten und vorübergehend Beschäftigten mit geschäftlichem Zweck den Zugang zu diesen kontrollierten Bereichen.

Access Points

Nuance’s externally-facing web servers and third-party access points are configured securely, including (but not limited to) implementing a properly constructed dedicated firewall, requiring a virus check before granting access to any third-party network, and disabling or removing routing processes to minimize access.

Zugangspunkte

Die nach außen gerichteten Webserver von Nuance und Zugangspunkte Dritter sind sicher konfiguriert, einschließlich etwa der Implementierung einer ordnungsgemäß konstruierten dedizierten Firewall, der Durchführung eines Virenchecks vor der Gewährung des Zugriffs auf das Netzwerk eines Drittanbieters sowie der Deaktivierung oder Entfernung von Routing-Prozessen zur Minimierung des Zugriffs.

Business Continuity, Disaster Recovery

Nuance has implemented and documented appropriate business continuity and disaster recovery plans to enable it to continue or resume providing Services in a timely manner after a disruptive event. Nuance regularly tests and monitors the effectiveness of its business continuity and disaster recovery plans.

Geschäftskontinuität, Wiederherstellung im Notfall

Nuance hat geeignete Pläne für die Geschäftskontinuität und die Notfallwiederherstellung implementiert und dokumentiert, um nach einem Störfall die Dienste zeitnah fortsetzen oder wieder aufnehmen zu können. Nuance testet und überwacht regelmäßig die Wirksamkeit ihrer Pläne zur Geschäftskontinuität und Notfallwiederherstellung.

Network Security

Nuance has implemented appropriate supplementary measures to protect Personal Data against the specific risks presented by the Services. All data is protected by encryption in transit over open, public networks. Data at rest is protected either by encryption or compensating security controls, which include pseudonymization, segmented networks, tiered architecture, firewalls with intrusion protection and anti-malware protections, and limiting of port access. Personal Data is only retained for the duration required for regulatory purposes, unless otherwise outlined by the Services.

Netzwerksicherheit

Nuance hat geeignete zusätzliche Maßnahmen zum Schutz personenbezogener Daten vor den spezifischen Risiken der Dienste ergriffen. Alle Daten werden bei der Übertragung über offene, öffentliche Netzwerke durch Verschlüsselung geschützt. Die Daten im Ruhezustand werden entweder durch Verschlüsselung oder durch kompensierende Sicherheitskontrollen geschützt, die Pseudonymisierung, segmentierte Netzwerke, eine mehrstufige Architektur, Firewalls mit Einbruchschutz und Anti-Malware-Schutz sowie eine Begrenzung des Port-Zugriffs umfassen. Personenbezogene Daten werden nur so lange aufbewahrt, wie es für gesetzliche Zwecke erforderlich ist, es sei denn, die Dienste erfordern etwas anderes.

Portable Devices

Nuance will not store Personal Data on any portable computer devices or media (including, without limitation, laptop computers, removable hard disks, USB or flash drives, personal digital assistants (PDAs) or mobile phones, DVDs, CDs or computer tapes) unless it is encrypted with a minimum of 128-bit, or such higher bit encryption in accordance with then current industry best practice. Nuance endpoints are provisioned with a default configuration, enforced at the organizational level.

Tragbare Geräte

Nuance speichert keine personenbezogenen Daten auf tragbaren Computergeräten oder Medien (einschließlich unter anderem Laptop-Computern, Wechselfestplatten, USB- oder Flash-Laufwerken, Personal Digital Assistants (PDAs) oder Mobiltelefonen, DVDs, CDs oder Computerbändern), es sei denn, sie werden mit mindestens 128 Bit oder einer höheren Bit-Verschlüsselung gemäß den aktuellen Best Practices der Branche verschlüsselt. Nuance-Endpunkte werden mit einer Standardkonfiguration bereitgestellt, die auf Organisationsebene implementiert wird.

Monitoring

Nuance takes appropriate steps to monitor the security of Personal Data and (if appropriate) to identify patterns of suspect activity. Nuance designs applications and services to suppress sensitive data being stored by Nuance. For every identified hosted change, security and QA teams review the data mapping requirements to validate the intended fields continue to be suppressed. Nuance also monitors security logging events which include log-on violations or attempts. Data retained from logs includes, but is not limited to, timestamp, hostname, and username for accountability.

Überwachung

Nuance ergreift geeignete Maßnahmen zur Überwachung der Sicherheit von personenbezogenen Daten und (gegebenenfalls) zur Identifizierung von Mustern verdächtiger Aktivitäten. Nuance entwickelt Anwendungen und Dienste, um die Speicherung sensibler Daten durch Nuance zu unterdrücken. Bei jeder identifizierten gehosteten Änderung überprüfen Sicherheits- und QA-Teams die Anforderungen an das Datenmapping, um sicherzustellen, dass die vorgesehenen Felder weiterhin unterdrückt werden. Nuance überwacht auch Sicherheitsprotokollierungsereignisse („security logging events“), die Anmeldeverletzungen oder -versuche einschließen. Zu den in den Protokollen gespeicherten Daten gehören unter anderem Zeitstempel, Hostname und Benutzername für die Nachvollziehbarkeit.

Data Subject Requests

Ersuchen von betroffenen Personen

Nuance implements a documented process for assisting Company in responding to Data Subject Requests.

Nuance implementiert ein dokumentiertes Verfahren zur Unterstützung des Unternehmens bei der Beantwortung von Ersuchen betroffener Personen.

Governmental Requests

Behördenanfragen

Nuance will not disclose or provide access to Personal Data being processed under this Agreement to law enforcement, unless required to by law, and only upon service of a legally-binding request or order from a governmental authority.

If compelled to disclose or provide access to any customer data to law enforcement, Nuance will promptly notify the customer and provide a copy of the demand unless legally prohibited from doing so.

Nuance wird personenbezogene Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, nicht an Strafverfolgungsbehörden weitergeben oder ihnen Zugang zu diesen Daten gewähren, es sei denn, dies ist gesetzlich vorgeschrieben, und auch nur dann, wenn eine rechtsverbindliche Anfrage oder Anordnung einer Regierungsbehörde vorliegt.

Wenn Nuance gezwungen ist, Kundendaten gegenüber Strafverfolgungsbehörden offenzulegen oder ihnen Zugang zu diesen Daten zu gewähren, wird Nuance den Kunden unverzüglich benachrichtigen und ihm eine Kopie der Aufforderung zukommen lassen, sofern dies nicht gesetzlich verboten ist.

Entity Name

Country of Processing and Contact Details

Type of Support and/or Processing

Categories of Data Subject and Personal Data

Nuance Communications, Inc.

1 Wayside Road

Burlington, MA 01803

United States

Chief Privacy Officer

privacy@nuance.com

Support ticket management, contractual/corporate obligations, accounting, billing and customer relations.

Company Personnel Business Contact Information;

Information in support tickets or attached to support tickets.

Note: Company acknowledges that Company controls the information provided to Nuance in Nuance’s support ticketing system, and Nuance will not be responsible or deemed to be in violation of the foregoing restrictions with respect to the transfer of patient Personal Data and special categories of Personal Data provided by Company to Nuance in or attached to a support ticket to any location outside of the EEA

Nuance India Pvt. Ltd.

Ground Floor, Block B, Salarpuria Aura, Khata No 434/170 MarathahalliSarjapur ORR, Kadubeesanahalli Bangalore Bangalore KA 560103, India

Chief Privacy Officer

privacy@nuance.com

License subscription fulfilment.

Company Personnel Business Contact Information

Nuance Communications Austria GmbH

EURO PLAZA Building 2D, Technologiestrasse 8, 1120 Wien

Austria

Chief Privacy Officer

privacy@nuance.com

Support ticket management, troubleshooting, analytics for DMO Hosted Services.

Analysis of data to develop, train, tune, enhance and improve the speech recognition, natural language understanding and other components of Nuance’s software and technologies embodied in the Services.

Company Personnel Business Contact Information;

Company Personnel Personal Data, including voice data;

Personal Data and Special Category Personal Information, namely health data, contained in audio and text.

Nuance Communications Ibérica SA.

No. 39 de la Gran Via

Madrid, 28013, Spain

Chief Privacy Officer

privacy@nuance.com

Support ticket management, troubleshooting, analytics for DMO Hosted Services.

Analysis of data to develop, train, tune, enhance and improve the speech recognition, natural language understanding and other components of Nuance’s software and technologies embodied in the Services.

Company Personnel Business Contact Information;

Company Personnel Personal Data, including voice data;

Personal Data and Special Category Personal Information, namely health data, contained in audio and text.

Nuance Communications GmbH

Sonnenweg 11b, 52070 Aachen, Germany

Chief Privacy Officer

privacy@nuance.com

Local support (language support, license software maintenance and support, application development, testing, and support, automated speech recognition and natural language understanding tuning and optimization); customer outreach and support.

Company Personnel Business Contact Information;

Company Personnel Personal Data, including voice data;

Patient Personal Data and Special Category Personal Information, namely health data, contained in audio and text.

Nuance Communications Healthcare Germany GmbH

Sonnenweg 11b, 52070 Aachen, Germany

Chief Privacy Officer

privacy@nuance.com

Professional Services and local support (language support, license software maintenance and support, application development, testing, and support, automated speech recognition and natural language understanding tuning and optimization); customer outreach and support.

Company Personnel Business Contact Information;

Company Personnel Personal Data, including voice data;

Patient Personal Data and Special Category Personal Information, namely health data, contained in audio and text.

Nuance Communications Belgium Ltd.

Guldensporenpark 32, Building 4 Merelbeke, 9820, Belgium

Chief Privacy Officer

privacy@nuance.com

Local support (language support, license software maintenance and support, application development, testing, and support, automated speech recognition and natural language understanding tuning and optimization); customer outreach and support.

Company Personnel Business Contact Information;

Company Personnel Personal Data, including voice data;

Personal Data and Special Category Personal Information, namely health data, contained in audio and text.

Microsoft Corporation and affiliates

One Microsoft Way

Redmond, Washington, 98052

United States

www.microsoft.com(Neues Fenster öffnen)

Hosted Information and Communications Technology

MS Azure Platform services for hosting audio data. Hosting in Germany, United Kingdom and/or France. R&D in Netherlands and/or Ireland.

Australian citizens’ data is hosted and remains in Australia.

Entity Name

Address and Contact Details

Type of Support and/or Processing

Qualtrics

333 W. River Park Drive

Provo, UT 84604

www.qualtrics.com

Customer surveys. Manages customer surveys related to customer satisfaction.

Salesforce.com, Inc. and affiliates

415 Mission Street

San Francisco, CA 94105

United States

www.salesforce.com

SFDC CRM Cloud Services

Provides CRM for relationship with Company; Platform for maintenance and support ticketing system for Company.

Twilio Inc.

375 Beale Street Suite 300,

San Francisco,

CA 94105

United States

www.twilio.com

SendGrid communications tool with Customers for management of updates, notifications and similar information.

Processing email contact information only.

Name der Gesellschaft

Land, in dem die Verarbeitung erfolgt, und Kontaktdaten

Art des Supports und/oder der Verarbeitung

Kategorien von betroffenen Personen und personenbezogenen Daten

Nuance Communications, Inc.

1 Wayside Road

Burlington, MA 01803

USA

Chief Privacy Officer

privacy@nuance.com

Verwaltung von Support Tickets, vertragliche Verpflichtungen bzw. Verpflichtungen im Bereich Gesellschaftswesen, Buchhaltung, Rechnungsstellung, Kundenbeziehungs-management.

Geschäftliche Kontaktinformationen des Unternehmenspersonals.

Informationen in Support-Tickets oder Anhängen zu Support-Tickets.

Hinweis: Das Unternehmen erkennt an, des es die Verantwortung für Daten trägt, welche Nuance im Support-Ticket-System zur Verfügung gestellt werden. Nuance ist nicht verantwortlich für die Übermittlung von personenbezogenen Patientendaten und besonderen Kategorien personenbezogener Daten, an einen Ort außerhalb des EWR und es wird nicht davon ausgegangen, dass Nuance in diesem Fall gegen die vorstehenden Beschränkungen verstoßen hat.

Nuance India Pvt. Ltd.

Ground Floor, Block B, Salarpuria Aura, Khata No 434/170 MarathahalliSarjapur ORR, Kadubeesanahalli Bangalore Bangalore KA 560103, Indien

Chief Privacy Officer

privacy@nuance.com

Abwicklung von Lizenzabonnements.

Geschäftliche Kontaktinformationen des Unternehmenspersonals.

Nuance Communications Austria GmbH

EURO PLAZA 2D, Technologiestraße 8, 1120 Wien

Österreich

Chief Privacy Officer

privacy@nuance.com

Verwaltung von Support Tickets, Fehlerbehebung, Analyse für DMO Hosted Services.

Analyse von Daten, um die Spracherkennung, das natürliche Sprachverständnis und andere Komponenten der Software und Technologien von Nuance, die Bestandteil der Dienste sind, zu entwickeln, zu trainieren, abzustimmen, zu erweitern und zu verbessern.

Geschäftliche Kontaktinformationen des Unternehmenspersonals.

Personenbezogene Daten des Unternehmenspersonals inklusive Sprachdaten.

Personenbezogene Daten und besondere Kategorien personenbezogener Daten, namentlich Gesundheitsdaten, welche in Audio- oder Textdaten enthalten sein können.

Nuance Communications Ibérica SA.

No. 39 de la Gran Via

Madrid, 28013, Spanien

Chief Privacy Officer

privacy@nuance.com

Verwaltung von Support Tickets, Fehlerbehebung, Analyse für DMO Hosted Services.

Analyse von Daten, um die Spracherkennung, das natürliche Sprachverständnis und andere Komponenten der Software und Technologien von Nuance, die Bestandteil der Dienste sind, zu entwickeln, zu trainieren, abzustimmen, zu erweitern und zu verbessern.

Geschäftliche Kontaktinformationen des Unternehmenspersonals.

Personenbezogene Daten des Unternehmenspersonals inklusive Sprachdaten.

Personenbezogene Daten und besondere Kategorien personenbezogener Daten, namentlich Gesundheitsdaten, welche in Audio- oder Textdaten enthalten sein können.

Nuance Communications GmbH

Sonnenweg 11b, 52070 Aachen, Germany

Chief Privacy Officer

privacy@nuance.com

Lokaler Support (Sprachunterstützung, Wartung und Support von Lizenzsoftware, Anwendungsentwicklung, Testing und Support, Tuning und Optimierung der automatischen Spracherkennung und des Verständnisses natürlicher Sprache; Kundenkontakt und Support.

Geschäftliche Kontaktinformationen des Unternehmenspersonals.

Personenbezogene Daten des Unternehmenspersonals inklusive Sprachdaten.

Personenbezogene Daten und besondere Kategorien personenbezogener Daten, namentlich Gesundheitsdaten, welche in Audio- oder Textdaten enthalten sein können.

Nuance Communications Healthcare Germany GmbH

Sonnenweg 11b, 52070 Aachen, Germany

Chief Privacy Officer

privacy@nuance.com

Lokaler Support (Sprachunterstützung, Wartung und Support von Lizenzsoftware, Anwendungsentwicklung, Testing und Support, Tuning und Optimierung der automatischen Spracherkennung und des Verständnisses natürlicher Sprache; Kundenkontakt und Support.

Geschäftliche Kontaktinformationen des Unternehmenspersonals.

Personenbezogene Daten des Unternehmenspersonals inklusive Sprachdaten.

Personenbezogene Daten und besondere Kategorien personenbezogener Daten, namentlich Gesundheitsdaten, welche in Audio- oder Textdaten enthalten sein können.

Nuance Communications Belgium Ltd.

Guldensporenpark 32, Building 4 Merelbeke, 9820, Belgium

Chief Privacy Officer

privacy@nuance.com

Lokaler Support (Sprachunterstützung, Wartung und Support von Lizenzsoftware, Anwendungsentwicklung, Testing und Support, Tuning und Optimierung der automatischen Spracherkennung und des Verständnisses natürlicher Sprache; Kundenkontakt und Support.

Geschäftliche Kontaktinformationen des Unternehmenspersonals.

Personenbezogene Daten des Unternehmenspersonals inklusive Sprachdaten.

Personenbezogene Daten und besondere Kategorien personenbezogener Daten, namentlich Gesundheitsdaten, welche in Audio- oder Textdaten enthalten sein können.

Microsoft Corporation und ihre verbundenen Unternehmen

One Microsoft Way

Redmond, Washington 98052

USA

www.microsoft.com

Gehostete Informations- und Kommunikationstechnologie

MS Azure Plattform-Dienste für das Hosting von Audiodaten. Hosting in Deutschland und/oder Frankreich. F&E in den Niederlanden und/oder Irland.

Name der Gesellschaft

Anschrift und Kontaktdaten

Art des Supports und/oder der Verarbeitung

Qualtrics

333 W. River Park Drive

Provo, UT 84604

www.qualtrics.com

Kundenumfragen. Verwaltung von Kundenumfragen bezüglich Kundenzufriedenheit.

Salesforce.com, Inc. und ihre verbundenen Unternehmen

415 Mission Street

San Francisco, CA 94105

USA

www.salesforce.com

SFDC CRM-Cloud-Dienste

CRM für die Beziehung zum Unternehmen; Plattform für Wartungs- und Support-Ticketing-System für das Unternehmen.

Twilio Inc.

375 Beale Street

Suite 300,

San Francisco,

CA 94105

USA

www.twilio.com

SendGrid-Kommunikationsplattform mit Endnutzern für die Verwaltung von Updates, Benachrichtigungen und ähnlichen Informationen.

Verarbeitung von Email Kontaktinformationen.