DATENSCHUTZERKLÄRUNG FÜR HÄNDLER
Datum des Inkrafttretens: 15. Oktober 2024
Diese Datenschutzerklärung für Händler von Connexity („Datenschutzerklärung für Händler“) gilt für die digitalen Werbedienstleistungen von Connexity, beispielsweise wenn Connexity, Inc. („Connexity“) oder ein Mitglied der Connexity-Unternehmensgruppe (nachstehend definiert), die Inhalte von Händlern im Connexity-Netzwerk gemäß einer Vereinbarung zwischen Connexity und einem Händler („Vereinbarung“) vertreibt; die Datenschutzerklärung für Händler gilt als Bestandteil einer solchen Vereinbarung und wird darin aufgenommen. Connexity gibt diese Datenschutzerklärung für Händler in eigenem Namen und im Namen seines verbundenen Unternehmens Taboola.com, Ltd. („Taboola“) ab. Connexity und Taboola werden gemeinsam als die „Connexity-Unternehmen“ bezeichnet. In dieser Datenschutzerklärung für Händler werden die Aufgaben und Zuständigkeiten der Connexity-Unternehmen und des Händlers in Bezug auf personenbezogene Daten festgelegt.
B. DESCRIPTION OF THE PROCESSING AND TRANSFER
1. Rangfolge der Maßgeblichkeit. Im Falle eines Widerspruchs zwischen der Datenschutzerklärung für Händler und der Vereinbarung ist die Datenschutzerklärung in Bezug auf den Widerspruch maßgebend, es sei denn, in der widersprüchlichen Bestimmung in der Vereinbarung wird ausdrücklich auf diese Datenschutzerklärung Bezug genommen und erklärt, dass die Vereinbarung maßgebend gegenüber der widersprüchlichen Bestimmung ist.
2. Begriffsbestimmungen. Die in diesem Abschnitt definierten Begriffe haben die nachstehend angegebene Bedeutung und verwandte Begriffe sind entsprechend auszulegen. Begriffe, die in dieser Datenschutzerklärung für Händler verwendet, jedoch nicht definiert werden, haben die in der Vereinbarung festgelegte Bedeutung. Bezugnahmen auf eine „Partei“ in dieser Datenschutzerklärung für Händler sind je nach Kontext als Bezugnahme auf den Händler oder die Connexity-Unternehmen zu verstehen und der Begriff „Parteien“ ist entsprechend auszulegen.
a. „Geltende Datenschutzvorschriften“ sind alle Vorschriften und Gesetze auf Bundes-, Länder-, staatlicher oder sonstiger Ebene, in ihrer jeweils gültigen Form, die für die Verarbeitung gelten, die Gegenstand der Vereinbarung und dieser Datenschutzerklärung ist.
b. „Kalifornisches Datenschutzgesetz“ bezeichnet den California Consumer Privacy Act of 2018, Cal. Civil Code § 1798.100 ff. („CCPA“) in der jeweils gültigen Fassung (einschließlich des California Privacy Rights Act) sowie alle nachrangigen Gesetze und Durchführungsverordnungen.
c. „Erhobene Daten“ sind die in Anhang A, Teil B aufgeführten personenbezogenen Daten, die jede Partei von betroffenen Personen auf ihren Servern oder Netzwerken bzw. über diese erhebt (einschließlich aller passiv erhobenen oder maschinenlesbaren Daten, wie z. B. Daten, die auf dem Browsertyp oder der Gerätekennung basieren), oder von der anderen Partei in Verbindung mit der Bereitstellung oder der Nutzung des Dienstes erhält.
d. „Verantwortlicher“ bezeichnet: (i) die Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet und (ii) jede Person, die unter den Begriff „Verantwortlicher“ (oder einen im Wesentlichen analogen Begriff) gemäß der Definition des Begriffs in den geltenden Datenschutzvorschriften fällt.
e. „Betroffene Person“ bezeichnet: (i) eine identifizierte oder identifizierbare natürliche Person (als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann, und (ii) jede Person, die unter den Begriff „betroffene Person“, „Verbraucher“ (oder einen im Wesentlichen analogen Begriff) im Sinne der geltenden Datenschutzvorschriften fällt.
f. „EU-Datenschutzgesetz“ bezeichnet: (i) die Datenschutzgrundverordnung (Verordnung 2016/679) („DSGVO“); (ii) die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und (iii) alle nationalen Datenschutzvorschriften, die im Rahmen von oder gemäß (i) oder (ii) erlassen wurden, immer in der jeweils gültigen Form.
g. Der Begriff „zulässige Zwecke“ hat die Bedeutung, die ihm in Abschnitt 3 zugewiesen wird.
h. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine betroffene Person beziehen (einschließlich, soweit nach den geltenden Datenschutzvorschriften erforderlich, eindeutiger Browser- oder Gerätekennungen).
i. „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, das Aufzeichnen, die Organisation, das Ordnen, die Nutzung, die Übermittlung, den Zugriff, die Weitergabe, die Offenlegung, die Übertragung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Sammlung, die Ableitung, die Analyse, die Einschränkung, das Löschen, die Vernichtung oder die Veräußerung oder sonstige Handhabung personenbezogener Daten, einschließlich der Definition des Begriffs in den geltenden Datenschutzvorschriften.
j. „Auftragsverarbeiter“ bezeichnet: (i) eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und (ii) jede Person, die unter den Begriff „Auftragsverarbeiter“ (oder einen im Wesentlichen analogen Begriff) gemäß der Definition in den geltenden Datenschutzvorschriften fällt.
k. „Eingeschränkte Übermittlung“ bezeichnet: (i) wenn die DSGVO gilt, eine Übermittlung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR, das nicht Gegenstand einer Angemessenheitsentscheidung der Europäischen Kommission ist (eine „eingeschränkte EU-Übermittlung“); und (ii) wenn die UK GDPR gilt, eine Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land, das nicht Gegenstand einer Angemessenheitsentscheidung gemäß § 17A des United Kingdom Data Protection Act 2018 ist oder auf dieser beruht (eine „eingeschränkte UK-Übermittlung“)
l. Die Begriffe „Verkauf“ und „verkaufen“ bezeichnen den Austausch personenbezogener Daten gegen Geld oder eine andere entgeltliche Gegenleistung, einschließlich der Definition der Begriffe in den geltenden Datenschutzvorschriften.
m. „Dienst“ bezeichnet die von den Connexity-Unternehmen im Rahmen der Vereinbarung mit dem Händler bereitgestellten Dienstleistungen.
n. „Sicherheitsvorfall“ bezeichnet eine Verletzung der Sicherheit, die zu einer/einem unbeabsichtigten oder rechtswidrigen Vernichtung, Verlust, Änderung, nicht autorisierten Offenlegung oder Zugriff auf personenbezogene Daten führt.
o. „Standardvertragsklauseln“ bezeichnet: (i) wenn die DSGVO gilt, die Vertragsklauseln im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates („EU Standardvertragsklauseln“) und (ii) wenn die UK GDPR gilt, das „International Data Transfer Addendum to the EU Commission Standard Contractual Clauses“, das vom Information Commissioner gemäß § 119A(1) des DPA 2018 herausgegeben wurde („UK Addendum“).
p. Der Begriff „Dritter“ bezeichnet ein Unternehmen, das als Verantwortlicher für die Verarbeitung personenbezogener Daten agiert und nicht das Unternehmen ist, mit dem die betroffene Person, deren personenbezogene Daten verarbeitet werden, bewusst interagiert hat; der Begriff schließt die Definition dieses Begriffs in den geltenden Datenschutzvorschriften ein.
q. „UK-Datenschutzgesetz“ bezeichnet: (i) den UK Data Protection Act 2018, (ii) die UK GDPR (wie in § 3(10) des UK Data Protection Act 2018 definiert) („UK GDPR“), (iii) die UK Privacy and Electronic Communications (EC Directive) Regulations 2003) und (iv) alle anderen Gesetze des Vereinigten Königreichs, die im Rahmen oder gemäß (i), (ii) oder (iii) erlassen wurden,immer in der jeweils gültigen Form.
3. Zweckbeschränkung. Beide Parteien verarbeiten die erhobenen Daten, die sie von der anderen Partei erheben oder empfangen, für die in Anhang A, Teil B aufgeführten Zwecke („zulässige Zwecke“).
4. Beziehung der Parteien. Beide Parteien verarbeiten die von der anderen Partei erhobenen oder empfangenen Daten als Verantwortlicher.
a. Wenn die in den USA geltenden Datenschutzvorschriften auf die erhobenen Daten Anwendung finden, insbesondere das kalifornische Datenschutzgesetz, empfangen die Connexity-Unternehmen die erhobenen Daten in dem Umfang, in dem sie sie über die von den Connexity-Unternehmen auf der/den Website(s) des Händlers in Verbindung mit dem Service implementierten Pixel erhalten, als Dritter. Die Connexity-Unternehmen verarbeiten diese personenbezogenen Daten für die zulässigen Zwecke. Die Connexity-Unternehmen gewährleisten für die erhobenen Daten das gleiche Maß an Schutz, wie es die geltenden Datenschutzvorschriften in den USA, einschließlich des kalifornischen Datenschutzgesetzes, von den Verantwortlichen oder den Unternehmen verlangen. Die Connexity-Unternehmen informieren den Händler innerhalb der durch die in den USA geltenden Datenschutzvorschriften vorgegebenen Frist, wenn sie feststellen, dass sie nicht länger in der Lage sind, ihre Verpflichtungen gemäß diesen geltenden Datenschutzvorschriften zu erfüllen. Nach Benachrichtigung von Connexity hat der Händler das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um die nicht autorisierte Nutzung der erhobenen Daten, die er den Connexity-Unternehmen zur Verfügung stellt, zu unterbinden und zu beheben.
5. Geltende Datenschutzvorschriften. Die Parteien erkennen an, dass auf die Verarbeitung der erhobenen Daten durch beide Parteien geltende Datenschutzvorschriften Anwendung finden können und vorbehaltlich Abschnitt 7 ist jede Partei selbst für die Einhaltung der geltenden Datenschutzvorschriften verantwortlich, einschließlich aller Anforderungen in Bezug auf: (i) die Transparenz für die betroffenen Personen, (ii) das Vorliegen einer Einwilligung oder einer anderen Rechtsgrundlage für die Verarbeitung und (iii) die Bereitstellung eines Ansprechpartners, an den betroffene Personen sich wenden können, falls sie ihre Datenschutzrechte ausüben möchten.
6. Internationale Übermittlungen. Für den Fall, dass eine Partei eine eingeschränkte Übermittlung erhobener Daten an die andere Partei vornimmt, gelten die Bestimmungen aus Anhang C.
7. Transparenz für Nutzer auf der Landing-Page des Händlers. Die Connexity-Unternehmen verwenden die Pixel der Connexity-Unternehmen, um den Dienst bereitzustellen. Ungeachtet der Bestimmungen aus Abschnitt 5 verpflichtet sich der Händler, soweit die Connexity-Unternehmen auf der/den Website(s) des Händlers unter Verwendung des/der Connexity-Unternehmen-Pixel(s) erhobene Daten erheben: (i) den betroffenen Personen alle erforderlichen Transparenzhinweise über die Verwendung der Pixel der Connexity-Unternehmen zur Erhebung von Daten von der/den Website(s) des Händlers für die zulässigen Zwecke zur Verfügung zu stellen und (ii) die Einwilligung der betroffenen Personen in diese Verwendung der Pixel der Connexity-Unternehmen für die zulässigen Zwecke einzuholen (und auf Anfrage von Connexity jederzeit nachzuweisen), jeweils in Übereinstimmung mit den Anforderungen der geltenden Datenschutzvorschriften. Zu den diesbezüglichen Verpflichtungen des Händlers gehört es, die Connexity-Unternehmen und die Nutzung der Pixel der Connexity-Unternehmen für die zulässigen Zwecke ausdrücklich in den Transparenzhinweisen und den Einwilligungserklärungen, die der Händler den betroffenen Personen vorlegt, sowie alle anderen Informationen vorzulegen, die nach den geltenden Datenschutzgesetzen erforderlich sind, damit die Connexity-Unternehmen ihren Dienst rechtmäßig über diese digitalen Wege bereitstellen und die erhobenen Daten für die zulässigen Zwecke verarbeiten können. Auf schriftliche Anfrage stellt Connexity dem Händler die erforderlichen Informationen über das/die Pixel der Connexity-Unternehmen und die Verarbeitung der erhobenen Daten über die Website(s) des Händlers zur Verfügung, damit der Händler Benachrichtigungs- und Einwilligungsmethoden verwenden kann, die die Einhaltung der geltenden Datenschutzvorschriften gewährleisten. Der Händler darf die Pixel der Connexity-Unternehmen erst dann feuern, wenn die erforderliche Transparenz hergestellt wurde und alle nach den geltenden Datenschutzvorschriften erforderlichen Einwilligungen eingeholt wurden. Der Händler informiert die betroffenen Personen ferner darüber, wie sie ihre Datenschutzrechte nach den geltenden Datenschutzvorschriften ausüben können, und gibt einen Ansprechpartner an, an den sich die betroffenen Personen wenden können, um ihre Rechte auszuüben. Der Händler ist verpflichtet, Connexity unverzüglich zu benachrichtigen, wenn und soweit er eine Anfrage zu Datenschutzrechten in Bezug auf die Verarbeitung der erhobenen Daten durch die Connexity-Unternehmen als Verantwortliche erhält, damit Connexity die Anfrage in Übereinstimmung mit seinen Verpflichtungen gemäß den geltenden Datenschutzvorschriften erfüllen kann.
8. Attribution-Partner. Wenn die Connexity-Unternehmen auf Wunsch des Händlers alle oder einige der erhobenen Daten an den Attribution-Partner des Händlers oder an den Händler zu Attributionszwecken weitergeben, sichert der Händler zu und gewährleistet, dass: (i) der Attribution-Partner ein Auftragsverarbeiter des Händlers ist; (ii) der Händler und der Attribution-Partner die erhobenen Daten ausschließlich für Attributionszwecke nutzen, sofern sie nicht eigenständig erhoben wurden; und (iii) der Attribution-Partner und der Händler alle weitergegebenen erhobenen Daten innerhalb von dreißig (30) Tagen nach der letzten Identifizierung des Nutzers einer Website des Händlers als von den Connexity-Unternehmen stammend löschen.
9. Sicherheit. Beide Parteien ergreifen geeignete technische und organisatorische Sicherheitsmaßnahmen, um die von ihnen verarbeiteten erhobenen Daten gegen Sicherheitsvorfälle zu schützen. Diese Maßnahmen umfassen die in Anhang B aufgeführten Maßnahmen.
10. Sicherheitsvorfälle. Tritt bei einer Partei ein Sicherheitsvorfall in Bezug auf erhobene Daten ein, die sie verarbeiten und die Gegenstand der Vereinbarung und dieser Datenschutzerklärung für Händler sind, so: (i) ist die Partei gegenüber den Datenschutzbehörden und/oder den betroffenen Personen verantwortlich für die Einhaltung (auf eigene Kosten) aller Meldepflichten, die nach den geltenden Datenschutzvorschriften für sie gelten, (ii) benachrichtigt die Partei die andere Partei ohne schuldhaftes Zögern und legt ihr die Informationen über den Sicherheitsvorfall vor, die von der anderen Partei angemessener Weise angefordert werden können oder die für die andere Partei erforderlich sind, um festzustellen, ob sie nach den geltenden Datenschutzvorschriften ebenfalls Meldepflichten in Bezug auf den Sicherheitsvorfall zu erfüllen hat, und (iii) ergreift die Partei unverzüglich alle Maßnahmen, die dazu geeignet sind, die Auswirkungen des Sicherheitsvorfalls zu beheben und/oder abzumildern.
11. Datenschutz-Folgenabschätzungen. Wenn und soweit es die geltenden Datenschutzvorschriften, denen die Parteien unterliegen, erfordern, führen die Parteien eine Datenschutz-Folgenabschätzung in Bezug auf ihre Verarbeitung der erhobenen Daten für die zulässigen Zwecke durch und/oder konsultieren, falls erforderlich, die zuständigen Datenschutzbehörden. Jede Partei leistet jede von der anderen Partei in zumutbarem Umfang verlangte Zusammenarbeit und stellt entsprechende Information zur Verfügung, wenn dies erforderlich ist, um die andere Partei in die Lage zu versetzen, eine Datenschutz-Folgenabschätzung durchzuführen und/oder sich mit den zuständigen Datenschutzbehörden gemäß den Verpflichtungen der anderen Partei gemäß diesem Abschnitt 11 zu beraten
12. Die englische Sprache hat Vorrang. Im Falle eines Konflikts zwischen der englischsprachigen Version dieser Datenschutzerklärung für Händler und einer von uns zur Verfügung gestellten übersetzten Version erklärt sich jede Partei damit einverstanden, dass die englischsprachige Version in allen Fällen maßgeblich ist.
Anhang A
Beschreibung der Verarbeitung
A. LISTE DER PARTEIEN
Jede Partei ist:
● ein Verantwortlicher (und Datenexporteur) in Bezug auf die erhobenen Daten, die er gegenüber der anderen Partei offenlegt oder ihr zur Verfügung stellt und
● ein Verantwortlicher (und Datenimporteur) in Bezug auf die erhobenen Daten, die er von der anderen Partei erhält oder auf die die andere Partei ihm Zugriff gewährt.
Die Angaben zu den einzelnen Parteien sind nachstehend aufgeführt.
| Name: | Siehe die Angaben zum Händler in der Vereinbarung. |
| Anschrift: | Siehe die Angaben zum Händler in der Vereinbarung. |
| Name, Position und Kontaktdaten des Ansprechpartners: | Siehe die Angaben zum Händler in der Vereinbarung oder wie anderweitig zwischen den Parteien schriftl ich vereinbart. |
| Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: | Die Nutzung des Dienstes, wie in der Vereinbarung dargelegt. |
| Unterschrift und Datum: | Dieser Anhang A gilt als unterzeichnet, sobald der Händler diese Datenschutzerklärung für Händler akzeptiert hat. |
| Rolle (Verantwortlicher/ Auftragsverarbeiter): | Verantwortlicher (wenn die Partei ein Datenexporteur ist) und Verantwortlicher (wenn die Partei ein Datenimporteur ist) |
| Name: | Für die Connexity-Unternehmen: Für die Connexity-Unternehmen: Taboola: Taboola.com, Ltd. |
| Anschrift: | For the Connexity Companies: Siehe die Angaben zu Connexity in der Präambel der Vereinbarung. Taboola: 2 Jabotinsky Street, 32nd Floor Ramat Gan, Israel 5250501 |
| Name, Position und Kontaktdaten des Ansprechpartners: | Das Datenschutzteam von Connexity, dataprotection@connexity.com. |
| Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind: | Die Bereitstellung des Dienstes, wie in der Vereinbarung festgelegt. |
| Unterschrift und Datum: | Dieser Anhang A gilt als unterzeichnet, sobald Connexity diese Datenschutzerklärung für Händler akzeptiert hat. |
| Rolle (Verantwortlicher/ Auftragsverarbeiter): | Verantwortlicher (wenn die Partei ein Datenexporteur ist) und Verantwortlicher (wenn die Partei ein Datenimporteur ist) |
B. BESCHREIBUNG DER VERARBEITUNG UND ÜBERMITTLUNG
| Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet und/oder übermittelt werden | Nutzer |
| Kategorien von verarbeiteten und/oder übermittelten personenbezogenen Daten | Gerätedaten: Betriebssystem, Browsertyp, Browserversion, IP-Adresse der Erhebung(innerhalb von 30 Tagen gekürzt), Postleitzahl (abgeleitet von der IP-Adresse), zerlegte Taboola-Nutzer-ID, zerlegte E-Mails, anfängliche und nachfolgende Seitenbesuche auf der Website des Werbetreibenden, Geschlecht des Nutzers (abgeleitet von Interessen), Engagement-Signale (verbrachte Zeit auf der Website, Scrolltiefe, Sitzungstiefe), Konversionsdaten, Klick-ID. Daten über die vom Nutzer besuchte Webpräsenz: Die URL der besuchten Seite, die verweisende Website und andere Informationen des Händlers über die Interaktion der Nutzer mit der/den Händler-Website(s), wie z. B. Seitenaufrufe, Produktaufrufe, Hinzufügungen zum Warenkorb, Kaufvorgänge und andere Arten von Ereignissen. |
| Übermittelte sensible Daten (falls zutreffend) und geltende Beschränkungen oder Sicherheitsvorkehrungen, die die Art der Daten und die bestehenden Risiken vollumfänglich berücksichtigen, z. B. die strenge Zweckbeschränkung, Zugriffbeschränkungen (einschließlich des Zugriffs nur für diejenigen Mitarbeiter, die an einer speziellen Schulung teilgenommen haben), Nachverfolgung des Zugriffs auf Daten, Beschränkungen der Weiterleitung oder zusätzliche Sicherheitsmaßnahmen | Nicht zutreffend. |
| Die Häufigkeit der Verarbeitung und/oder Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich verarbeitet und/oder übermittelt werden) | Kontinuierlich für die Laufzeit der Vereinbarung |
| Art der Verarbeitung | Verarbeitung personenbezogener Daten, die für die Bereitstellung des Dienstes erforderlich sind, wie in der Vereinbarung dargelegt. |
| Zweck(e) der Verarbeitung/Übermittlung und weiteren Verarbeitung von Daten | Die Bereitstellung des Dienstes, wie in der Vereinbarung dargelegt, einschließlich der folgenden Zwecke (vorbehaltlich der entsprechenden Einwilligungen der betroffenen Personen, sofern nach den geltenden Datenschutzvorschriften erforderlich): ● Speicherung/und oder Zugriff auf einem Gerät; ● grundlegende Auswahl von Werbeanzeigen; ● Erstellung eines personalisierten Anzeigenprofils; ● personalisierte Auswahl von Werbeanzeigen; ● Erstellung eines personalisierten Inhaltsprofils; ● Auswahl personalisierter Inhalte; ● Messung der Werbeleistung; ● Messung der Leistung von Inhalten; ● Entwicklung und Verbesserung von Produkten; ● Gewährleistung der Sicherheit,Verhinderung von Betrug, Fehlersuche; ● technische Bereitstellung von Werbeanzeigen oder Inhalten; ● Abgleich und Kombination von Offline-Datenquellen; ● Verbindung mit verschiedenen Geräten; ● Empfang und Nutzung automatisch übermittelter Geräteeigenschaften zur Identifizierung; und ● Nutzung begrenzter Daten zur Auswahl von Inhalten. |
| Der Zeitraum, über den hinweg die personenbezogenen Daten gespeichert werden, oder, falls das nicht möglich ist, die Kriterien, die für die Festlegung des Zeitraums herangezogen werden | Die Parteien speichern die personenbezogenen Daten so lange, wie es für die Bereitstellung des Dienstes erforderlich ist. |
| Bei Übermittlungen an (Unter-)auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben | Nicht zutreffend. |
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
| Zuständige Aufsichtsbehörde bei Anwendung der DSGVO | Die für jede Partei zuständige Aufsichtsbehörde wird im Folgenden beschrieben: ● Connexity-Unternehmen: Die zuständige Aufsichtsbehörde wird in Übereinstimmung mit Klausel 13 der EU-Standardvertragsklauseln bestimmt. ● Händler: Die zuständige Aufsichtsbehörde wird in Übereinstimmung mit Klausel 13 der EU-Standardvertragsklauseln bestimmt. |
| Zuständige Aufsichtsbehörde bei Anwendung der UK GDPR | Das Büro des Information Commissioner |
Anhang B
Sicherheitsmaßnahmen
Beschreibung der technischen und organisatorischen Maßnahmen, die von beiden Parteien implementiert werden (einschließlich der relevanten Zertifizierungen), um ein angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
| Maßnahmen zur Pseudonymisierung und Verschlüsselung von personenbezogenen Daten | Die Connexity-Unternehmen erheben ausschließlich pseudonymisierte Daten, d. h. wir wissen nicht, wer Sie sind, weil wir weder den Namen, noch die E-Mail-Adresse oder andere identifizierbare Daten des Nutzers kennen oder verarbeiten. Zu den von uns erhobenen Nutzerdaten gehören unter anderem Informationen über das Gerät und das Betriebssystem eines Nutzers, die IP-Adresse, die von Nutzern auf den Websites unserer Kunden aufgerufenen Webseiten, der Link, über den ein Nutzer auf die Website eines Kunden gelangt ist, Datum und Uhrzeit des Zugriffs eines Nutzers auf die Website eines Kunden sowie weitere Web-Browsing-Daten. Connexity verpflichtet sich zu Folgendem: Nutzer-Agent und IP-Adresse werden verschlüsselt gespeichert und für Besucher aus Regionen, in denen die Vorschriften eine Anonymisierung verlangen (z. B. wenn die DSGVO anwendbar ist), werden Nutzer-Agent und IP-Adresse vor der Verschlüsselung gekürzt. Außerdem verpflichtet sich Taboola zu Folgendem: Die Cookie-ID wird mit Bcrypt anonymisiert und die IP-Adresse wird gekürzt. |
| Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten | Connexity nutzt mehrere Ebenen elektronischer Sicherheit (z. B. Endpunktsicherheit, serverseitige Sicherheit, Verfolgung von Entdeckungen, regelmäßige Penetrationstests und tiefgreifendes Sammeln von Informationen zur Überprüfung von Post-Mortem-Ereignissen). |
| Maßnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Fall eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen | Connexity setzt Folgendes um: ● Die Verfügbarkeit persönlicher Daten wird gewährleistet durch Connexitys Nutzung der Datenbankreplikations- architektur für Redundanz und automatische Datensicherungen in mehreren Regionen. ● Die Systeme zur Verfolgung von Nutzerereignissen sind außerdem in mehreren Regionen redundant und unterstützen Ausfälle, so dass selbst ein Komplettausfall in einer Region nicht dazu führt, dass die Dienste nicht mehr verfügbar sind. Taboola unterhält neun Rechenzentren auf der ganzen Welt. Jedes Rechenzentrum wird als Replikation eines anderen verwendet, so dass bei einem Ausfall eines Rechenzentrums die Daten von einem anderen Rechenzentrum extrahiert werden können. |
| Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten | Zur Überwachung eines angemessenen Datenschutzes und zur Durchsetzung von Vertraulichkeitsverpflichtungen und -verfahrenhat Connexity die folgenden Protokolle eingeführt: ● Schulung und Sensibilisierung der Mitarbeiter in Bezug auf Datenschutz, Informationssicherheit, Vertraulichkeitsverpflichtungen und Compliance. ● Regelmäßige Überprüfung der Datenverarbeitungsverfahren. ● Für Datenschutzverstöße und den Schutz der Rechte von Betroffenen gibt es integrierte Melde- und Verarbeitungsprotokolle. Taboola unterhält strenge Verfahren zur Überprüfung der Wirksamkeit seiner Kontrollen (sowohl technisch als auch organisatorisch). Wir verfügen über eine Systemprotokollierung und -überwachung, (mindestens) monatliche DR-Tests, vierteljährliche Penetrationstests, Firewalls zum Schutz vor Gefahren aus dem Internet und über das gesamte Netzwerk verteilte Honeypots zum Aufspüren böswilliger Aktivitäten. Außerdem haben wir ein Bounty-Programm eingerichtet, das uns hilft, unser Netzwerk ständig zu überwachen. |
| Maßnahmen zur Identifizierung und Autorisierung von Nutzern | Jeder Nutzer in den Connexity-Unternehmen erhält einen eigenen Benutzernamen und ein Passwort. Jeder Zugriff auf das interne Netzwerk der Connexity-Unternehmen erfolgt mit 2FA. Nutzer werden nur von der IT-Abteilung während des Onboarding-Prozesses und erst nach Vorlage aller Details sowie des unterzeichneten Vertrags von der Personalabteilung angelegt. |
| Maßnahmen zum Schutz der Daten bei der Übermittlung | Connexity setzt Folgendes um: ● Jegliche Übermittlung von personenbezogenen Daten erfolgt über sichere Übertragungsprotokolle (mindestens HTTPS und TLS v1.2). Darüber hinaus werden Systeme, die personenbezogene Daten enthalten könnten, gesichert und die Daten werden gekürzt und anonymisiert gespeichert. ● Die Übermittlung personenbezogener Daten an Dritte (z. B. Kunden, Unterauftragnehmer, Dienstleister) erfolgt nur bei Vorliegen eines entsprechenden Vertrages und nur für einen konkreten Zweck. Connexity stellt sicher, dass am Zielort oder in der Zielorganisation ein angemessenes Datenschutzniveau gemäß den EU-Datenschutzanforderungen besteht. Taboola unterstützt jede Datenübertragung über sichere Übertragungsprotokolle (mindestens HTTPS und TLS v1.2). Darüber hinaus werden Systeme, die personenbezogene Daten enthalten könnten, gesichert und die Daten werden gekürzt und anonymisiert gespeichert. |
| Maßnahmen zum Schutz der Daten während der Speicherung | Die Zugriffsrechte auf das Netzwerk und das System von Connexity werden über einen geregelten Überprüfungs- und Genehmigungsvorgang erteilt und nach einem „Need to know“-Prinzip gewährt. Taboola stellt sicher, dass die Daten, die in unseren Datenbanken gespeichert werden, anonymisiert und mit Bcrypt gekürzt werden. Der Zugriff auf die Datenbanken ist auf das nötige Mindestmaß beschränkt und erfolgt nach dem „Business Need to Know“-Prinzip. |
| Maßnahmen zur Gewährleistung der physischen Sicherheit der Orte, an denen personenbezogene Daten verarbeitet werden | Connexity setzt Folgendes um: ● Die physischen Sicherheitskontrollen in den Connexity-Büros, in denen die Verarbeitung personenbezogener Daten stattfinden kann oder Datenverarbeitungssysteme untergebracht sind, umfassen den Schutz der Räumlichkeiten und ihrer Umgebung durch verschiedene Zugangskontrollmaßnahmen, insbesondere: Zugang mit Magnetkarten zu den Büros und Parkplätzen für Mitarbeiter, überwachter Zugang zu den Büros während der Geschäftszeiten, Sicherheitspersonal rund um die Uhr sowie Überwachungskameras. ● Außerhalb der üblichen Geschäftszeiten sind die Aufzüge zur 4. Etage, in der sich die Connexity-Büros befinden, deaktiviert und können nur mit einer aktiven magnetischen Schlüsselkarte benutzt werden, die an autorisierte Mitarbeiter oder das Personal des Bürogebäudes ausgegeben wurde. ● Räume, in denen sich Datenverarbeitungssysteme (Server, Netzwerkverteiler usw.) befinden, sind verschlossen und nur für befugte Mitarbeiter der Abteilungen IT-Administration oder Infrastruktur zugänglich. ● Besucher und unternehmensfremde Lieferanten müssen sich bei ihrer Ankunft an der Rezeption in eine Besucherliste eintragen und den Grund ihres Besuchs angeben. Besucher dürfen sich nur in Begleitung und/oder unter ständiger Aufsicht des Gebäudesicherheitsdienstes oder eines Connexity-Mitarbeiters auf dem Betriebsgelände aufhalten. In jedem der weltweiten Rechenzentren von Taboola (in den USA, Europa und Asien) befinden sich alle Server in verschlossenen Schränken, die ausschließlich für die Nutzung durch Taboola bestimmt sind. Diese Schränke werden von Unternehmen gewartet, die entweder SOC2-zertifiziert sind oder deren Sicherheitsmaßnahmen von Taboola überprüft wurden. Außerdem bedarf jeder Zugang zu den Servern einer schriftlichen, protokollierten Genehmigung. Alle Taboola-Büros werden ebenfalls kontrolliert und können von Mitarbeitern nur mit Zugangskarten betreten werden. Darüber hinaus hat nur eine begrenzte Anzahl von Mitarbeitern Zugriff auf die Server von Taboola und jeder Zugriff erfordert eine schriftliche, protokollierte Genehmigung. |
| Maßnahmen zur Sicherstellung der Ereignisprotokollierung | Der Zugriff auf das Unternehmensnetzwerk von Connexity wird automatisch überwacht und protokolliert, einschließlich aller erfolglosen Anmeldeversuche. Der Netzwerkzugriff wird nach fünf Fehlversuchen automatisch vom System gesperrt und kann nur von einem autorisierten Mitarbeiter der IT-Administration wiederhergestellt werden. Taboola setzt Überwachungswerkzeuge ein und die Protokolle werden in unserem SIEM-System gesammelt, das uns bei verdächtigen Ereignissen warnt und auch vom NOC-Team überwacht wird. |
| Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration | Connexity setzt Folgendes um: ● Connexity verwendet automatisierte Konfigurationsmanagementsysteme, um alle Serverkonfigurationen auf dem neuesten Stand zu halten und mit einer Standardkonfiguration zu betreiben. Die Konfigurationen unterliegen der Änderungskontrolle und müssen vor der Bereitstellung überprüft werden. ● Die Anwendungskonfigurationen unterliegen ebenfalls der Änderungskontrolle und müssen vor der Bereitstellung überprüft werden. ● Anwendungsänderungen durchlaufen ein formelles Änderungsmanagement und einen Softwareentwicklungs-Lebenszyklusprozess, einschließlich Codeüberprüfung, Qualitätssicherung und standardisierter CI/CD-Prozesse. Taboola-Server werden sowohl auf Konfigurationsabweichungen als auch auf Patch-Level geprüft. Für beides werden Berichte und/oder Warnungen erstellt und der entsprechende Patch-Level wird bestätigt. Neue Patches werden mit Puppet verteilt. Alle technischen Überprüfungen werden durch die F&E-Anwendung verwaltet und nach der Kodierung einem offiziellen Überprüfungsprozess (QA) unterzogen; CI/CD-Prozesse werden ebenfalls implementiert. |
| Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und -verwaltung | Connexity hält sich an die von der Muttergesellschaft festgelegten Sicherheitsrichtlinien. Taboola is ISO 27001:2013 and 27701 certified. Taboola have an Information Security Policy in place which states that the Board of Directors and management of Taboola are committed to preserving the confidentiality, integrity and availability of all the physical and electronic information assets throughout their organisation. Taboola holds security trainings for all new employees, phishing trainings for all employees globally, and regular security trainings for all employees and also dedicate sessions for R&D groups. |
| Maßnahmen zur Zertifizierung/ Absicherung von Prozessen und Produkten | Als Tochtergesellschaft eines börsennotierten Unternehmens unterzieht sich Connexity jährlich einer strengen SOX-Prüfung. Taboola unterzieht sich vierteljährlich/halbjährlich/jährlich internen Audits für mehrere Prozesse und Systeme, um zu überprüfen, ob Taboola seine Sicherheitsziele und -maßnahmen einhält. |
| Maßnahmen zur Gewährleistung der Datenminimierung | Die Connexity-Unternehmen schränken die Menge der erhobenen Daten bewusst ein, da sie im Rahmen der globalen Datenminimierungsprinzipien von Taboola nur die Daten verarbeiten, die für unsere konkreten Geschäftszwecke erforderlich sind. Darüber hinaus haben die Connexity-Unternehmen weder die Möglichkeit noch die geschäftliche Notwendigkeit, Datenpunkte, die bei unserer Verarbeitung zur Erbringung unserer Dienstleistungen verwendet werden, „rückzuentwickeln“. Insbesondere lassen die von den Connexity-Unternehmen erhobenen Daten niemals Rückschlüsse auf die Identität eines Nutzers zu, da die Connexity-Unternehmen keine Informationen wie Namen, Telefonnummern, E-Mail-Adressen oder Anschriften der Nutzer erheben oder verarbeiten. Stattdessen erheben die Connexity-Unternehmen lediglich pseudonyme Kennungen, über die nur bestimmte Eigenschaften des Geräts eines Nutzers identifiziert werden können. Dazu gehören auch IP-Adressen (die bei der Erfassung gekürzt werden und nur den allgemeinen Postleitzahlenstandort des Geräts identifizieren können, aber niemals einen genauen geografischen Standort). Darüber hinaus können die von uns erhobenen Daten, selbst wenn sie gemeinsam verwendet werden, niemals den Namen, die Telefonnummer, die E-Mail-Adresse oder die physische Adresse einer Person ergeben und unsere Techniker arbeiten in keiner Weise daran, dieses Ziel zu erreichen. Darüber hinaus führen die Connexity-Unternehmen Datenschutz-Folgenabschätzungen durch und zeichnen diese auf, um die mit unseren Dienstleistungen, Prozessen und Richtlinien verbundenen Datenschutzrisiken zu minimieren. |
| Maßnahmen zur Sicherung der Datenqualität | Connexity erhebt Daten direkt aus Nutzerereignissen und führt mehrere Stufen der Eingabevalidierung durch, um sicherzustellen, dass ausschließlich gültige Daten gespeichert werden. Wir führen auch automatisierte Prozesse durch, um Muster in Ereignisdaten im Nachhinein zu analysieren, so dass wir zwischen Ereignissen unterscheiden können, die das Ergebnis automatisierter Vorrichtungen oder der Handlungen einzelner menschlicher Nutzer sind. Bei Taboola werden die Daten direkt vom Nutzer erhoben und der Nutzer erhält die Möglichkeit, alle mit seiner Cookie-ID verbundenen Daten über das Taboola-Portal für Zugriffanfragen zu korrigieren: https://accessrequest.taboola.com/access |
| Maßnahmen zur Gewährleistung einer begrenzten Datenspeicherung | Connexity: Praktiken der Dokumentenverwaltung werden in allen Abteilungen des Unternehmens in Übereinstimmung mit der Connexity-Richtlinie zur Aufbewahrung und Entsorgung von Dokumenten eingehalten. Taboola speichert Nutzerdaten, die direkt für die Schaltung von Werbung erhoben werden, für höchstens dreizehn (13) Monate ab der letzten Interaktion des Nutzers mit unseren Diensten (oft auch für einen kürzeren Zeitraum); anschließend machen wir die Daten unkenntlich, indem wir eindeutige Kennungen entfernen oder die Daten aggregieren. Dieser Vorgang wird automatisch durchgeführt. |
| Maßnahmen zur Gewährleistung der Rechenschaftspflicht | Die Connexity-Unternehmen führen mehrere Sicherheitsaudits und Penetrationstests durch (allerdings nicht für alle Systeme). Taboola nutzt zudem Cloud-Anbieter, die ISO-zertifiziert sind und andere Cloud-relevante Zertifizierungen für die Aufrechterhaltung der physischen Sicherheitsvorkehrungen eines Servers einhalten. |
| Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung von Daten | Connexity verfügt über eine Datenschutzrichtlinie und eine Richtlinie zur Aufbewahrung und Entsorgung von Dokumenten. Connexity verfügt außerdem über offizielle Verfahren für die Zugriffsanforderung, über die betroffene Personen ihr Recht auf Auskunft über die von Connexity gespeicherten Daten und deren Übertragung sowie das Recht auf Löschung dieser Daten ausüben können. Taboola ergreift Maßnahmen, um sicherzustellen, dass die Verfahren zur Entsorgung von Speichermedien, die personenbezogene Daten enthalten können, für alle Arten von Medien gleich sind. Alle Daten auf Speichermedien müssen vor ihrer Wiederverwendung oder Entsorgung vollständig gelöscht werden. Jede Entsorgung von Speichermedien wird dokumentiert. Die Mitarbeiter sind angewiesen, keine Dokumente auszudrucken, die personenbezogene Daten enthalten könnten. |
Anhang C
Beschränkte Übermittlungen
1. Soweit eine Partei eine beschränkte Übermittlung erhobener Daten an die andere Partei vornimmt, werden die Standardvertragsklauseln in diese Datenschutzerklärung für Händler aufgenommen und gelten wie folgt:
(a) Handelt es sich bei der beschränkten Übermittlung um eine beschränkte Übermittlung innerhalb der EU, so gelten die EU-Standardvertragsklauseln wie folgt:
(i) Modul eins wird angewendet;
(ii) die Kopplungsklausel aus Klausel 7 findet Anwendung;
(iii) die optionale Sprache aus Klausel 11 findet keine Anwendung;
(iv) Option 1 aus Klausel 17 findet Anwendung und die EU-Standardvertragsklauseln unterliegen irischem Recht;
(v) gemäß Klausel 18 Buchstabe b) werden Streitigkeiten vor den Gerichten Irlands entschieden;
(vi) Teil A, B und C des Anhangs I gelten als mit den Angaben ausgefüllt, die in Teil A, B und C des Anhangs A zu dieser Datenschutzerklärung für Händler enthalten sind; und
(vii) Anhang II gilt mit den in Anhang B dieser Datenschutzerklärung für Händler dargelegten Sicherheitsmaßnahmen ausgefüllt.;
(b) handelt es sich bei der beschränkten Übermittlung um eine beschränkte Übermittlung im Vereinigten Königreich, so gilt der Nachtrag für das Vereinigte Königreich zwischen den Parteien wie folgt:
(i) die EU-Standardvertragsklauseln, ausgefüllt wie vorstehend beschrieben, gelten zwischen den Parteien und werden durch den UK-Nachtrag abgeändert (ausgefüllt wie nachfolgend in (ii) dargelegt) und
(ii) die Tabellen 1 bis 3 des UK-Nachtrags gelten, ausgefüllt mit den entsprechenden Angaben aus den EU-Standardvertragsklauseln, wie vorstehend beschrieben, und die Optionen „Exporteur“ und „Importeur“ gelten als in Tabelle 4 ausgewählt. Das Startdatum des Zusatzes für das Vereinigte Königreich (wie in Tabelle 1 angegeben) ist das Datum des Inkrafttretens der vorliegenden Datenschutzerklärung für Händler.
2. Engeschränkte Weiterübermittlungen: Keine der Parteien wird eine eingeschränkte Weiterübermittlung erhobener Daten vornehmen, die sie von der anderen Partei erhalten hat, wenn sie nicht alle erforderlichen Handlungen ausgeführt und Maßnahmen ergriffen hat, um sicherzustellen, dass die eingeschränkte Weiterübermittlung mit den geltenden Datenschutzvorschriften und den mit der anderen Partei vereinbarten Standardvertragsklauseln in Einklang steht.
MERCHANT PRIVACY TERMS
Effective Date: 15 October 2024
These Connexity Merchant Privacy Terms (“Merchant Privacy Terms”) apply to Connexity’s digital advertising services, such as when Connexity, Inc. (“Connexity”) or a member of the Connexity Companies (defined below) distributes Merchant Content throughout the Connexity Network, pursuant to an agreement between Connexity and a Merchant (“Agreement”), and these Merchant Privacy Terms shall be deemed incorporated into, and form an integral part of, any such Agreement. Connexity is entering into these Merchant Privacy Terms on its own behalf and for and on behalf of its affiliate, Taboola.com, Ltd. (“Taboola”). Connexity and Taboola are collectively the “Connexity Companies”. These Merchant Privacy Terms identify the Connexity Companies’ and Merchant’s roles and responsibilities with respect to Personal Data.
1. Order of Precedence. In the event of a conflict between the Merchant Privacy Terms and the Agreement, the Merchant Privacy Terms will govern to the extent of that conflict unless the conflicting provision in the Agreement expressly references the conflicting provision of these Merchant Privacy Terms and specifies that it prevails over that conflicting provision.
2. Definitions. Terms defined in this section shall have the meaning set out below, and cognate terms shall be construed accordingly. Capitalized terms used but not defined in the Merchant Privacy Terms shall have the meanings defined in the Agreement. Reference to a “party” in these Merchant Privacy Terms shall be read as a reference to the Merchant or to the Connexity Companies, as the context requires, and the term “parties” shall be construed accordingly.
a. “Applicable Data Protection Laws” means any and all federal, national, state, or other privacy and data protection laws that apply to the Processing which is the subject of the Agreement and these Merchant Privacy Terms, as may be amended or superseded from time to time.
b. “California Privacy Law” means California Consumer Privacy Act of 2018, Cal. Civil Code § 1798.100 et seq. (“CCPA”), as amended (including by the California Privacy Rights Act), and any subordinate legislation and implementing regulations.
c. “Collected Data” means the Personal Data set out in Annex A, Part B that each party collects from Data Subjects on or through their servers or networks (including all passively collected or machine-readable data, such as data based on browser type and device identifiers) or receives from the other party in connection with the provision or receipt of the Service.
d. “Controller” means: (i) an entity that determines the purposes and means of the Processing of Personal Data, and (ii) any person that falls within the scope of the term “controller” (or any substantially analogous term) as defined under Applicable Data Protection Laws.
e. “Data Subject” means: (i) an identified or identifiable natural person (and, for these purposes, an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person), and (ii) any person that falls within the scope of the term “data subject”, “consumer” (or any substantially analogous term) as defined under Applicable Data Protection Laws.
f. “EU Data Protection Law” means: (i) the EU General Data Protection Regulation (Regulation 2016/679) (“EU GDPR”); (ii) the EU e-Privacy Directive (Directive 2002/58/EC); and (iii) any national data protection laws made under or pursuant to (i) or (ii), each as may be amended or superseded from time to time.
g. “Permitted Purposes” has the meaning given in section 3.
h. “Personal Data” means any information relating to a Data Subject (including, where required by Applicable Data Protection Laws, unique browser or device identifiers).
i. “Process” means any operation or set of operations which is performed on Personal Data or on sets of Personal Data, whether or not by automated means, such as collection, receipt, recording, organisation, structuring, use, transmission, access, sharing, disclosure, transfer, storage, adaptation or alteration, retrieval, consultation, dissemination or otherwise making available, alignment or combination, aggregation, inferring, derivation, analysis, restriction, erasure, destruction or disposal or other handling of Personal Data, inclusive of how such term is defined under Applicable Data Protection Laws.
j. “Processor” means: (i) an entity that Processes Personal Data on behalf of a Controller, and (ii) any person that falls within the scope of the term “processor” (or any substantially analogous term) as defined under Applicable Data Protection Laws.
k. “Restricted Transfer” means: (i) where the EU GDPR applies, a transfer of Personal Data from the EEA to a country outside of the EEA which is not subject to an adequacy determination by the European Commission (an “EU Restricted Transfer”); and (ii) where the UK GDPR applies, a transfer of Personal Data from the United Kingdom to any other country which is not subject to or based on adequacy regulations pursuant to Section 17A of the United Kingdom Data Protection Act 2018 (a “UK Restricted Transfer”).
l. “Sale” and “Sell” mean exchanging Personal Data for monetary or other valuable consideration, and are inclusive of how such terms are defined under Applicable Data Protection Laws.
m. “Service” means services provided by the Connexity Companies under the Agreement with Merchant.
n. “Security Incident” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data.
o. “Standard Contractual Clauses” means: (i) where the EU GDPR applies, the contractual clauses annexed to the European Commission’s Implementing Decision 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council (“EU SCCs”); and (ii) where the UK GDPR applies, the “International Data Transfer Addendum to the EU Commission Standard Contractual Clauses” issued by the Information Commissioner under s.119A(1) of the DPA 2018 (“UK Addendum”).
p. “Third Party” means a business that acts as a Controller with respect to Personal Data, and that is not the business that the Data Subject whose Personal Data is Processed has intentionally interacted with; the term is inclusive of how such term is defined under Applicable Data Protection Laws.
q. “UK Data Protection Law” means: (i) the UK Data Protection Act 2018, (ii) the UK GDPR (as defined in s.3(10) of the UK Data Protection Act 2018) (“UK GDPR”), (iii) the UK Privacy and Electronic Communications (EC Directive) Regulations 2003), and (iv) any other UK laws made under or pursuant to (i), (ii) or (iii), each as may be amended or superseded from time to time.
3. Purpose Limitation. Each party shall Process Collected Data that it collects or receives from the other party for the purposes set out in Annex A, Part B (the “Permitted Purposes”).
4. Relationship of the Parties. Each party shall Process Collected Data it collects or receives from the other party as a Controller.
a. If Applicable Data Protection Laws in the United States apply to Collected Data, including without limitation California Privacy Law then, to the extent that Connexity Companies receive Collected Data via the Connexity Companies’ Pixel(s) implemented on the Merchant website(s) in connection with the Service, the Connexity Companies shall receive the Collected Data as a Third Party. The Connexity Companies shall Process such Personal Data for the Permitted Purposes. The Connexity Companies will provide the same level of privacy protection to the Collected Data as is required of Controllers or Businesses by Applicable Data Protection Laws in the United States, including if applicable, California Privacy Law. The Connexity Companies will inform Merchant in the time period required by Applicable Data Protection Laws in the United States if the Connexity Companies determine they are no longer able to meet their obligations under those Applicable Data Protection Laws. Upon providing notice to Connexity, Merchant has the right to take reasonable and appropriate steps to stop and remediate unauthorized use of Collected Data that it makes available to the Connexity Companies.
5. Applicable Data Protection Laws. The parties acknowledge that Applicable Data Protection Laws may apply to each party’s Processing of Collected Data, and subject to section 7, each party shall be individually responsible for its own compliance with Applicable Data Protection Laws, including any requirements to: (i) provide transparency to Data Subjects, (ii) have consent or another lawful basis for Processing, and (iii) making available a contact point through which Data Subjects may exercise their data protection rights.
6. International Transfers. In the event that any party makes a Restricted Transfer of Collected Data to the other party, the provisions of Annex C shall apply.
7. Transparency for Users on Merchant’s Landing Page. The Connexity Companies use Connexity Companies’ Pixel(s) to provide the Service. Notwithstanding section 5, to the extent that the Connexity Companies collect Collected Data from Merchant website(s) using Connexity Companies’ Pixel(s), Merchant shall: (i) provide all required transparency notices to Data Subjects about the Connexity Companies’ use of the Connexity Companies’ Pixel(s) to collect Collected Data from Merchant website(s) for the Permitted Purposes, and (ii) obtain (and, on request at any time by Connexity, provide appropriate evidence of) Data Subject consent to such use of Connexity Companies’ Pixel(s) for the Permitted Purposes, in each case in accordance with the requirements of Applicable Data Protection Laws. Merchant’s obligations in this regard include identifying the Connexity Companies and its use of the Connexity Companies’ Pixel(s) for the Permitted Purposes expressly within the transparency notices and the consent prompts Merchant provides to Data Subjects, as well as any other information required by Applicable Data Protection Laws, so that the Connexity Companies can provide its Service lawfully through such digital properties and Process Collected Data for the Permitted Purposes. Upon written request, Connexity shall provide Merchant with such information as is necessary about the Connexity Companies’ Pixel(s) and the Connexity Companies’ Processing of Collected Data through the Merchant’s website(s) for Merchant to use in notice and consent mechanisms that it will ensure comply with Applicable Data Protection Laws. Merchant shall not fire any of the Connexity Companies’ Pixel(s) unless and until any necessary transparency has been provided and any necessary consents required under Applicable Data Protection Laws have been obtained. Merchant shall further provide Data Subjects with information about how they may exercise their data protection rights under Applicable Data Protection Laws, and provide a contact point for Data Subjects to contact in order to exercise their rights. Merchant shall promptly notify Connexity if and to the extent that it receives any data protection rights request concerning the Connexity Companies’ Processing of Collected Data as a Controller in order that Connexity may fulfil the request in accordance with its obligations under Applicable Data Protection Laws.
8. Attribution Partners. If the Connexity Companies, at Merchant’s request, pass all or any Collected Data to Merchant’s attribution partner or to Merchant for attribution purposes, Merchant represents and warrants that: (i) its attribution partner is a Processor on Merchant’s behalf; (ii) unless otherwise collected independently, Merchant and attribution partner will use such Collected Data solely for attribution purposes; and (iii) attribution partner and Merchant will delete all passed Collected Data within thirty (30) days of last identifying the user of a Merchant website(s) as coming from the Connexity Companies.
9. Security. Each party shall implement appropriate technical and organizational security measures to protect the Collected Data that it Processes from and against a Security Incident. These measures shall include the measures set out in Annex B.
10. Security Incidents. If any Party suffers a Security Incident in respect of Collected Data that it Processes and which is the subject of the Agreement and these Merchant Privacy Terms, that Party shall: (i) be responsible for fulfilling (at its own cost) any reporting obligations that apply to it under Applicable Data Protection Laws to data protection authorities and/or affected Data Subjects, (ii) notify the other Party without undue delay, providing such information about the Security Incident as may reasonably be requested by the other Party or as is otherwise required for the other Party to determine whether it may also have reporting obligations under Applicable Data Protection Laws in respect of the Security Incident, and (iii) take all such actions and measures, without undue delay, as are appropriate to remediate and/or mitigate the effects of the Security Incident.
11. DPIAs. Where and to the extent required by the Applicable Data Protection Laws to which each party is subject, each party shall carry out any data protection impact assessment in respect of its Processing of Collected Data for the Permitted Purposes and/or consult with applicable data protection authorities, where necessary. Each party shall provide all reasonable cooperation and information reasonably requested by the other party, where this is necessary to enable the other party to complete a data protection impact assessment and/or consult with applicable data protection authorities in accordance with that other party’s obligations under this section 11.
12. English Language Controls. If there is any conflict between the English language version of these Merchant Privacy Terms and any translated version we may provide, each party agrees that the English language version will control in all instances.
Annex A
Description of the Processing
A. LIST OF PARTIES
Each party shall be:
● a data controller (and data exporter) of Collected Data it discloses, or makes available, to the other party, and
● a data controller (and data importer) of Collected Data it receives from, or to which access is made available by, the other party.
The details of each party are provided below.
| Name: | See Merchant’s details set out in the Agreement. |
| Address: | See Merchant’s details set out in the Agreement. |
| Contact person’s name, position and contact details: | See Merchant’s details set out in the Agreement or otherwise agreed between the parties in writing. |
| Activities relevant to the data transferred under these Clauses: | The receipt of the Service, as set out in the Agreement. |
| Signature and date: | This Annex A shall be deemed executed upon Merchant’s acceptance of these Merchant Privacy Terms. |
| Role (controller/processor): | Controller (where it is a data exporter) and Controller (where it is a data importer) |
| Name: | For the Connexity Companies: See Connexity’s details set out in the introduction to the Agreement. Taboola: Taboola.com, Ltd. |
| Address: | For the Connexity Companies: See Connexity’s details set out in the introduction to the Agreement. Taboola: 2 Jabotinsky Street, 32nd Floor Ramat Gan, Israel 5250501 |
| Contact person’s name, position and contact details: | Connexity’s privacy team, dataprotection@connexity.com. |
| Activities relevant to the data transferred under these Clauses: | The provision of the Service, as set out in the Agreement. |
| Signature and date: | This Annex A shall be deemed executed upon Connexity’s acceptance of these Merchant Privacy Terms. |
| Role (controller/processor): | Controller (where it is a data exporter) and Controller (where it is a data importer) |
B. DESCRIPTION OF THE PROCESSING AND TRANSFER
| Categories of data subjects whose personal data is processed and/or transferred | Users |
| Categories of personal data processed and/or transferred | Device Data: Operating system, browser type, browser version, IP address (truncated within 30 days) of collection, zip code (derived from IP address), hashed Taboola User ID, hashed emails, initial and subsequent page visits on the Advertiser’s website, user gender (inferred by interests), engagement signals (time on site, scroll depth, session depth), conversion data, click ID. Data about digital property visited by user: The URL of the visited page, the referring website, and other information Merchant shares about how users interact with its Merchant website(s), such as page views, product views, add to cart events, purchase events, and other types of events. |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the processing and/or transfers (e.g. whether the data is processed and/or transferred on a one-off or continuous basis) | Continuous for the duration of the Agreement |
| Nature of the processing | Processing of Personal Data necessary for the provision of the Service, as set out in the Agreement. |
| Purpose(s) of the data processing / transfer and further processing | The provision of the Service, as set out in the Agreement, and including the following purposes (subject to appropriate data subject permissions, where required under Applicable Data Protection Laws): ● To store and/or access information on a device; ● To select basic advertisements; ● To create a personalised ads profile; ● To select personalised advertisements; ● To create a personalised content profile; ● To select personalised content; ● To measure advertisement performance; ● To measure content performance; ● To develop and improve products; ● To ensure security, prevent fraud, and debug; ● To technically deliver ads or content; ● To match and combine offline data sources; ● To link different devices; ● To receive and use automatically-sent device characteristics for identification; and ● To use limited data to select content. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | The parties shall retain Personal Data for as long as is necessary to provide the Service. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. COMPETENT SUPERVISORY AUTHORITY
| Competent supervisory authority where the EU DGPR applies | The competent supervisory authority for each party is as described below: ● Connexity Companies: The competent supervisory authority shall be determined in accordance with Clause 13 of the EU SCCs. ● Merchant: The competent supervisory authority shall be determined in accordance with Clause 13 of the EU SCCs. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
Annex B
Security Measures
Description of the technical and organizational measures implemented by each party (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.
| Measures of pseudonymisation and encryption of personal data | The Connexity Companies collect only pseudonymized data, which means we do not know who you are because we do not know or process the user’s name, email address, or other identifiable data. User Information that we collect includes, but is not limited to, Information about a User’s device and operating system, IP address, the web pages accessed by Users within our Customers’ websites, the link that led a User to a Customer’s website, the dates and times a User accesses a Customers’ website and other web browsing data. Connexity undertakes the following: User Agent and IP Address are both stored encrypted, and for visitors from regions where regulations require anonymization (e.g. where GDPR is applicable), the User Agent and IP Address are both truncated prior to encryption. Further, Taboola undertakes the following: the CookieID is anonymized using Bcrypt and IP address is truncated. |
| Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services | Connexity uses multiple levels of electronic security (ex: endpoint security, server-side security, detections tracking, periodic penetration tests, and deep intelligence gathering to review post-mortem events). |
| Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident | Connexity implements the following: ● Availability of Personal Data is ensured by Connexity’s utilization of database replication architectures for redundancy and automatic data backups to multiple regions. ● Systems that track user events are also redundant in multiple regions that support failover so that even a complete outage in one region will not render services unavailable. Taboola maintains 9 data centers operating around the world. Every data center is used as a replication of one another so if one falls down the data can be extracted from other data center. |
| Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing | To monitor appropriate data protection and enforce confidentiality obligations and procedures Connexity has implemented the following protocols: ● Training and sensitization of employees with respect to data protection, information security, confidentiality obligations, and compliance. ● Regular auditing of data processing procedures. ● Integrated notification and processing protocols are in place for data protection violations and the protection of the rights of those affected. Taboola maintains strict processes for testing the effectives of its controls (both technical and organizational). We have system logging and monitoring in place, monthly (at least) DR testing, quarterly penetration tests, Firewalls protecting the web and honeypots spread across the network to find any malicious activity. Moreover, we have bounty program in place which helps us to constantly monitor our network. |
| Measures for user identification and authorisation | Every user in the Connexity Companies is associated with a dedicated username and password. Every access to the Connexity Companies’ internal network is done with 2FA. Users are created only by the IT department, during the onboarding process and only after receiving all details and signed contract from the HR department. |
| Measures for the protection of data during transmission | Connexity implements the following: ● Any data transmission of personal data is conducted through secure transmission protocols (HTTPS and TLS v1.2 at the minimum). Furthermore, systems which might contain personal data are secured and data is kept hashed and anonymized. ● The transfer of Personal Data to a third party (e.g. customers, sub-contractors, service provider) is only made if a corresponding contract exists, and only for a specific purpose. Connexity provides that an adequate level of data protection exists at the target location or organization in accordance with the EU’s data protection requirements. Taboola supports any data transmission through secure transmission protocols (HTTPS and TLS v1.2 at the minimum). Identifiable data might be CookieID or IP address collected from the user. IP address is truncated and the CookieID is hashed using Bcrypt. |
| Measures for the protection of data during storage | Access rights to Connexity’s network and system are issued via a regulated review and authorization process and granted according to a “need to know basis” protocol. Taboola ensures that data that is stored within our databases is anonymized and hashed using Bcrypt. Access to the DB is minimized and based according to the ‘business need to know’ principle. |
| Measures for ensuring physical security of locations at which personal data are processed | Connexity implements the following: ● Physical security controls in Connexity’s offices, where the processing of Personal Data may take place or data processing systems may be housed, include protection of the premises and its perimeters using various access control measures, including but not limited to: magnetic key-card access to offices and parking facilities for employees, supervised entry to offices during business hours, 24/7/365 on-site security staff and security camera systems. ● Outside of regular business hours elevators to the 4th floor where Connexity’s offices are located are disabled and are not operable without the use of an active magnetic key-card issued to an authorized employee or staff member of the office building. ● Rooms containing data processing systems (servers, network distributors, etc.) are locked and only accessible to authorized employees of the IT Administration or Infrastructure departments. ● Scheduled visitors and vendors from outside the company must sign a guest roster upon arrival at the front desk and state the reason for their visit. Visitors may be on the business premises only when escorted and/or supervised by building security or an employee of Connexity at all times. Each of Taboola’s global data centres (in US, Europe, and Asia), has all its servers located in locked cabinets that are maintained exclusively for Taboola’s use. These cabinets are maintained by companies that are either SOC2-certified or Taboola has reviewed their security measures. Further, any access to the servers requires written, logged permission. All Taboola offices are also controlled, and require employees to use access cards to enter. Furthermore, only a limited number of employees have access to Taboola’s servers and any access also requires written, logged permission. |
| Measures for ensuring events logging | Connexity’s company network access is automatically monitored and logged, including any unsuccessful login attempts. Network access is automatically blocked by the system after 5 failed attempts and may only be reinstated by an authorized IT Administration employee. Taboola implements monitoring tools and logs are gathered to our SIEM system which alerts us on any suspicious event and also being monitored by NOC team. |
| Measures for ensuring system configuration, including default configuration | Connexity implements the following: ● Connexity uses automated configuration management systems to keep all server configurations up to date and running on a standard configuration. The configurations are under change control and must be reviewed prior to deployment. ● Application configurations are likewise under change control and must be reviewed prior to deployment. ● Application changes go through a formal change management and software development lifecycle process, including code review, QA and standardized CI/CD processes. Taboola Servers are scanned for both configuration drift and patch level. Reporting and/or alerting are set on both and relevant patch level is confirmed. New patches are distributed using Puppet. All technical reviews are managed through the R&D application and obtained through a formal process of review (QA) after coding and CI/CD processes are implemented as well. |
| Measures for internal IT and IT security governance and management | Connexity adheres to the security policies defined by its parent company. Taboola is ISO 27001:2013 and 27701 certified. Taboola have an Information Security Policy in place which states that the Board of Directors and management of Taboola are committed to preserving the confidentiality, integrity and availability of all the physical and electronic information assets throughout their organisation. Taboola holds security trainings for all new employees, phishing trainings for all employees globally, and regular security trainings for all employees and also dedicate sessions for R&D groups. |
| Measures for certification/assurance of processes and products | As a subsidiary of a public company, Connexity goes through rigorous SOX audit review on an annual basis. Taboola undergoes Quarterly / Semi-annual / yearly internal audit on multiple processes and systems to validate that Taboola is complying with its security goals and measures defined. |
| Measures for ensuring data minimisation | The Connexity Companies intentionally limit the data that it collects as part of Taboola’s global data minimization principles of processing only the limited data needed for our specific business purposes. Furthermore, the Connexity Companies do not have the ability, nor any business need, to “reverse engineer” any of the data points used in our processing in order to provide our services. More specifically, the data points that the Connexity Companies collect are never indicative of a user’s identity — as the Connexity Companies do not collect or process information such as user’s name, phone number, email, or physical addresses. Instead, the Connexity Companies collect only pseudonymous identifiers, which merely identify characteristics about a user’s device. This includes IP addresses (which are truncated upon collection and can only identify the device’s general zip code location, but never a precise geolocation). Moreover, even when used collectively, the data that we collect can never produce an individual’s name, phone number, email, or physical address, and our engineers do not work in any way to accomplish this goal. Additionally, the Connexity Companies make and record privacy impact assessments in an effort to minimize the privacy risks of our services, processes, and policies. |
| Measures for ensuring data quality | Connexity collects data directly from user events and conducts multiple levels of input validation to ensure that only valid data is stored. We also run automated processes to analyze patterns in event data after the fact so that we can distinguish between events that are the results of automated actors vs. individual human users. For Taboola, the data is collected directly from the user and the user is given the opportunity to correct any data associated with their CookieID via the Taboola Subject Access Request Portal: https://accessrequest.taboola.com/access |
| Measures for ensuring limited data retention | Connexity: Document management practices are observed within all departments of the Company in accordance with Connexity’s Document Retention and Disposal Policy. Taboola retains User Information, which is directly collected for purposes of serving ads, for at most thirteen (13) months from the User’s last interaction with our Services (often for a shorter period of time), after which time we de-identify the data by removing unique identifiers or aggregating the data. This process is done automatically. |
| Measures for ensuring accountability | The Connexity Companies do multiple security audits and penetration testing (but not for all systems). Taboola also uses cloud providers that are ISO-certified and that comply with other cloud-relevant certifications for maintaining a server’s physical safeguards. |
| Measures for allowing data portability and ensuring erasure | Connexity maintains a Data Protection Policy and Document Retention and Disposal Policy. Connexity also maintains formal subject access request procedures whereby data subjects may exercise their rights to access and port any data Connexity holds related to them and the right to erase or delete such data. Taboola takes measures to ensure that media disposal procedures are the same for all kinds of media as they might contain personal data. Any media must be fully wiped before being reused or disposed. Any media disposal is documented and managed by a third party company expert for those processes. Employees are instructed to not print any paper which might contain personal information and to not store any personal information locally on the computer. |
Annex C
Restricted Transfers
1. To the extent that a party makes a Restricted Transfer of Collected Data to the other party, the Standard Contractual Clauses shall be incorporated into these Merchant Privacy Terms and apply as follows:
(a) where the Restricted Transfer is an EU Restricted Transfer, the EU SCCs will apply between the parties as follows:
(i) Module One will apply;
(ii) in Clause 7, the optional docking Clause will apply;
(iii) in Clause 11, the optional language will not apply;
(iv) in Clause 17, Option 1 will apply, and the EU SCCs will be governed by Irish law;
(v) in Clause 18(b), disputes shall be resolved before the courts of Ireland;
(vi) Parts A, B and C of Annex I shall be deemed completed with the information set out in Parts A, B and C of Annex A to these Merchant Privacy Terms; and
(vii) Annex II shall be deemed completed with the security measures set out in Annex B to these Merchant Privacy Terms;
(b) where the Restricted Transfer is a UK Restricted Transfer, the UK Addendum will apply between the parties as follows:
(i) the EU SCCs, completed as set out above shall apply between the parties, and shall be modified by the UK Addendum (completed as set out in sub-clause (ii) below); and
(ii) tables 1 to 3 of the UK Addendum shall be deemed completed with relevant information from the EU SCCs, completed as set out above, and the options “Exporter” and “Importer” shall be deemed checked in table 4. The start date of the UK Addendum (as set out in table 1) shall be the Effective Date of these Merchant Privacy Terms.
2. Onward Restricted Transfers: Neither party will not make an onward Restricted Transfer of Collected Data that they receive from the other party unless it has done all such acts and things as are necessary to ensure that the such onward Restricted Transfer is compliant with Applicable Data Protection Laws and any Standard Contractual Clauses it has agreed with the other party.
