Triff YOLO26: Vision-KI der nächsten Generation.
Ultralytics
Legal

Ultralytics Datenverarbeitungsvertrag (DPA)

Überprüfe die Datenverarbeitungsvereinbarung von Ultralytics bezüglich der Handhabung personenbezogener Daten, Sicherheitsmaßnahmen sowie der Einhaltung der Datenschutzgesetze der EU und des Vereinigten Königreichs.

Diese Datenverarbeitungsvereinbarung ("DPA") ist Bestandteil der (i) Ultralytics Nutzungsbedingungen und/oder (ii) eines anwendbaren Bestellformulars, Unternehmensvertrags oder einer anderen schriftlichen Vereinbarung, die auf diese DPA verweist (jeweils die "Vereinbarung") zwischen dem Kunden ("Kunde", "du") und Ultralytics, Inc. ("Ultralytics", "Unternehmen", "wir").

Diese DPA spiegelt die Vereinbarung der Parteien in Bezug auf Folgendes wider:

  • (A) Controller-zu-Prozessor-Bestimmungen: Ultralytics' Verarbeitung von personenbezogenen Kundendaten als Prozessor (oder Unter-Prozessor, wenn der Kunde ein Prozessor ist) im Auftrag des Kunden in Verbindung mit den Diensten; und
  • (B) Controller-zu-Controller-Bestimmungen: die Verarbeitung von personenbezogenen Controller-Daten durch jede Partei als unabhängiger Controller, ausschließlich in dem in Abschnitt 10 beschriebenen Umfang.

Diese DPA bleibt für die Laufzeit der Vereinbarung und so lange in Kraft, wie Ultralytics personenbezogene Kundendaten im Auftrag des Kunden verarbeitet.

Diese DPA gilt ausschließlich für die Verarbeitung von personenbezogenen Kundendaten durch Ultralytics innerhalb der Ultralytics Platform. Zur Klarstellung: Diese DPA gilt nicht für die Nutzung, Bereitstellung oder den Betrieb von Ultralytics YOLO Open-Source-Modellen durch den Kunden außerhalb der Ultralytics Platform, was in der alleinigen Verantwortung des Kunden liegt.

Ultralytics kann diese DPA von Zeit zu Zeit aktualisieren, um Änderungen in Gesetzen, regulatorischen Leitlinien oder den Diensten widerzuspiegeln; die Aktualisierungen treten ab dem Datum der Veröffentlichung in Kraft, vorausgesetzt, dass sie die Datenschutzvorkehrungen für personenbezogene Kundendaten nicht ohne Zustimmung des Kunden wesentlich einschränken (außer wenn dies durch geltendes Recht erforderlich ist).

Link to this section1. Definitionen#

"Verbundene Unternehmen" (Affiliate) bezeichnet jede Einheit, die direkt oder indirekt eine Partei kontrolliert, von ihr kontrolliert wird oder unter gemeinsamer Kontrolle mit einer Partei steht, wobei "Kontrolle" das Eigentum an mehr als 50% der Stimmrechte bedeutet.

"Angemessene Schutzmaßnahmen" bezeichnet die rechtlich durchsetzbaren Mechanismen für Übermittlungen von personenbezogenen Daten, wie sie nach den geltenden Datenschutzgesetzen zulässig sind, insbesondere, aber nicht ausschließlich, gemäß Artikel 46 GDPR.

"Unter-Prozessor" bezeichnet jeden Prozessor, der von Ultralytics oder seinen verbundenen Unternehmen beauftragt wurde, personenbezogene Kundendaten im Auftrag von Ultralytics in Verbindung mit den Diensten zu verarbeiten.

"Unternehmenskontodaten" bezeichnet personenbezogene Daten, die sich auf die Beziehung des Unternehmens zum Kunden beziehen, einschließlich der Namen oder Kontaktinformationen von Personen, die vom Kunden autorisiert wurden, auf das Konto des Kunden zuzugreifen, sowie Abrechnungsdaten von Personen, die der Kunde seinem Konto zugeordnet hat. Unternehmenskontodaten umfassen auch Daten, die das Unternehmen möglicherweise zur Verwaltung seiner Beziehung zum Kunden, zur Identitätsüberprüfung oder wie anderweitig durch geltende Gesetze und Vorschriften erforderlich, sammeln muss.

"Unternehmensnutzungsdaten" bezeichnet Dienstnutzungsdaten, die vom Unternehmen in Verbindung mit der Bereitstellung der Dienste gesammelt und verarbeitet werden, einschließlich, ohne Einschränkung, Daten zur Identifizierung von Quelle und Ziel einer Kommunikation, Aktivitätsprotokolle sowie Daten zur Optimierung und Aufrechterhaltung der Leistung der Dienste sowie zur Untersuchung und Verhinderung von Systemmissbrauch.

"Kundendaten" bezeichnet alle Daten, Inhalte, Materialien, Dateien oder Informationen (einschließlich Datensätze, Bilder, Videos, Annotationen, Labels, Metadaten, Modelleingaben und -ausgaben sowie andere Inhalte), die der Kunde oder seine autorisierten Benutzer hochladen, übermitteln oder anderweitig für die Verarbeitung in Verbindung mit den Diensten zur Verfügung stellen, einschließlich aller Daten, die für den Kunden durch die Nutzung der Dienste generiert werden.

"Verletzung personenbezogener Kundendaten" bezeichnet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Kundendaten führt, die von Ultralytics oder seinen Unter-Prozessoren in Verbindung mit den Diensten verarbeitet werden. Eine Verletzung personenbezogener Kundendaten umfasst keine erfolglosen Versuche oder Aktivitäten, die keine personenbezogenen Kundendaten gefährden (z. B. erfolglose Anmeldeversuche, Port-Scans, Denial-of-Service-Angriffe oder andere Angriffe auf Firewalls oder vernetzte Systeme).

"Datenschutzgesetze" bezeichnet alle anwendbaren Gesetze in Bezug auf Datenschutz und Privatsphäre, die auf die Verarbeitung personenbezogener Daten durch eine Partei gemäß der Vereinbarung anwendbar sind, einschließlich (soweit zutreffend) der GDPR, UK GDPR, Schweizer FADP, ePrivacy/PECR, CCPA/CPRA und anderer anwendbarer US-Bundesstaatsdatenschutzgesetze.

"GDPR" bezeichnet die Verordnung (EU) 2016/679; "UK GDPR" bezeichnet die GDPR, wie sie in britisches Recht aufgenommen wurde; "Schweizer FADP" bezeichnet das Schweizer Bundesgesetz über den Datenschutz (in der überarbeiteten Fassung). "Anweisungen" bezeichnet die dokumentierten Anweisungen des Kunden an Ultralytics bezüglich der Verarbeitung personenbezogener Kundendaten, wie in Abschnitt 2.2 beschrieben.

"SCCs" bezeichnet die EU-Standardvertragsklauseln (Beschluss 2021/914); "UK Addendum" bezeichnet das ICO International Data Transfer Addendum. Andere großgeschriebene Begriffe haben die in den Datenschutzgesetzen und/oder der Vereinbarung festgelegten Bedeutungen.

"Dienste" bezeichnet die Dienste und Funktionalitäten, die Ultralytics dem Kunden im Rahmen der Vereinbarung zur Verfügung stellt, einschließlich der Ultralytics Platform sowie jeglichem zugehörigen Support, der Verwaltung und Dokumentation, wie in der Vereinbarung weiter beschrieben.

"Ultralytics Platform" bezeichnet die cloudbasierte Software-as-a-Service-Umgebung von Ultralytics, über die Kunden Datensätze hochladen, verwalten, annotieren und versionieren; Computer-Vision-Modelle trainieren, evaluieren, vergleichen, exportieren und bereitstellen; Projekte und Benutzer verwalten; sowie auf zugehörige Funktionen und Support zugreifen können, und über die Ultralytics personenbezogene Kundendaten im Auftrag des Kunden gemäß dieser DPA verarbeitet.

"Ultralytics YOLO Open-Source-Modelle" bezeichnet die Open-Source-Computer-Vision-Modelle und zugehörigen Quellcode, die von Ultralytics unter geltenden Open-Source-Lizenzen zur Verfügung gestellt werden, die Kunden herunterladen, bereitstellen, hosten und unabhängig in ihren eigenen Umgebungen betreiben können. Zur Klarstellung: Wenn Kunden Ultralytics YOLO Open-Source-Modelle außerhalb der Ultralytics Platform bereitstellen oder nutzen, verarbeitet Ultralytics keine personenbezogenen Daten im Auftrag des Kunden gemäß dieser DPA.

Link to this section2. Verantwortlichkeiten des Kunden#

2.1 Einhaltung von Gesetzen. Der Kunde ist dafür verantwortlich, die Datenschutzgesetze im Zusammenhang mit der Verarbeitung personenbezogener Daten und der Nutzung der Dienste einzuhalten, einschließlich der Bereitstellung erforderlicher Mitteilungen und der Einholung erforderlicher Zustimmungen und Genehmigungen.

2.2 Anweisungen. Die Vereinbarung (einschließlich dieser DPA) bildet zusammen mit der Konfiguration und Nutzung der Dienste durch den Kunden gemäß der Vereinbarung die vollständigen Anweisungen des Kunden an Ultralytics für die Verarbeitung personenbezogener Kundendaten. Der Kunde kann während der Laufzeit zusätzliche Anweisungen erteilen, sofern diese mit der Vereinbarung und den Diensten übereinstimmen. Wenn Ultralytics vernünftigerweise davon ausgeht, dass zusätzliche Anweisungen wesentliche Änderungen oder Belastungen erfordern, werden die Parteien dies in gutem Glauben erörtern.

2.3 Verbotene Daten. Sofern nicht ausdrücklich schriftlich zwischen den Parteien vereinbart (einschließlich einer Vereinbarung über zusätzliche Schutzmaßnahmen, die nach geltenden Datenschutzgesetzen erforderlich sind), darf der Kunde Ultralytics keine besonderen Kategorien personenbezogener Daten gemäß Artikel 9 GDPR (oder gleichwertig) oder Daten über strafrechtliche Verurteilungen oder Straftaten gemäß Artikel 10 GDPR zur Verfügung stellen, übermitteln oder anderweitig zugänglich machen.

Zur Veranschaulichung und ohne Einschränkung umfassen Verbotene Daten:

  • von Regierungen ausgestellte Identifikationsnummern (wie Reisepassnummern, nationale ID-Nummern oder Sozialversicherungsnummern);
  • Gesundheits- oder medizinische Informationen, einschließlich biometrischer Identifikatoren, die zur eindeutigen Identifizierung einer natürlichen Person verwendet werden;
  • Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft;
  • genetische Daten oder biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden;
  • personenbezogene Daten über Kinder, sofern dies durch geltende Datenschutzgesetze eingeschränkt ist;
  • und Daten über strafrechtliche Verurteilungen, mutmaßliches kriminelles Verhalten oder Aktivitäten der Strafverfolgungsbehörden.

Darüber hinaus sind die Dienste auch nicht dafür vorgesehen, andere Daten zu verarbeiten, die nach geltenden Datenschutzgesetzen eines erhöhten Schutzes bedürfen, wie z. B. Zahlungskartendaten, Bankkontonummern oder präzise Geolokalisierungsdaten. Der Kunde ist allein verantwortlich dafür sicherzustellen, dass Datensätze, Bilder, Videos, Annotationen, Labels, Metadaten oder andere Inhalte, die hochgeladen oder durch die Dienste verarbeitet werden, keine verbotenen Daten enthalten. Jede Verarbeitung von verbotenen Daten unter Verletzung dieses Abschnitts stellt eine wesentliche Verletzung dieser DPA dar.

2.4 Unangemessene Daten; Entschädigung. Der Kunde ist allein verantwortlich für die Rechtmäßigkeit der Ultralytics bereitgestellten personenbezogenen Kundendaten und dafür, dass diese für die Dienste angemessen sind. Der Kunde wird Ultralytics von und gegen alle Ansprüche Dritter verteidigen und entschädigen, die aus der Bereitstellung personenbezogener Daten durch den Kunden an die Dienste unter Verletzung der Vereinbarung, dieser DPA oder geltender Datenschutzgesetze entstehen.

Link to this section3. Verpflichtungen von Ultralytics als Prozessor#

3.1 Zweckbindung. Ultralytics verarbeitet personenbezogene Kundendaten nur (a) zur Bereitstellung der Dienste gemäß der Vereinbarung und Anlage A, (b) gemäß den Anweisungen des Kunden und (c) wie durch geltendes Recht vorgeschrieben. Ultralytics wird personenbezogene Kundendaten oder Kundendaten nicht zum Trainieren, Verbessern oder Entwickeln von allgemeinen oder kommerziell verfügbaren Modellen von Ultralytics verwenden, es sei denn, dies wurde vom Kunden schriftlich oder über die Dienste ausdrücklich angewiesen.

3.2 Gesetzeskonflikte. Wenn Ultralytics feststellt, dass es personenbezogene Kundendaten aufgrund einer gesetzlichen Anforderung nicht gemäß den Anweisungen verarbeiten kann, wird Ultralytics (soweit gesetzlich zulässig) den Kunden benachrichtigen und gegebenenfalls die betroffene Verarbeitung (mit Ausnahme der sicheren Speicherung) aussetzen, bis der Kunde konforme Anweisungen erteilt.

3.3 Vertraulichkeit des Personals. Ultralytics stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Kundendaten autorisiert sind, Vertraulichkeitsverpflichtungen unterliegen. Der Kunde stimmt zu, dass Ultralytics personenbezogene Kundendaten an seine professionellen Berater und Wirtschaftsprüfer weitergeben darf, sofern dies im Zusammenhang mit der Erfüllung der Vereinbarung/DPA vernünftigerweise erforderlich ist, vorbehaltlich von Vertraulichkeitsverpflichtungen.

3.4 Unterauftragsverarbeitung. Ultralytics kann Unter-Prozessoren gemäß Abschnitt 5 beauftragen und bleibt für deren Erfüllung gleichwertiger Verpflichtungen verantwortlich.

3.5 Löschung / Rückgabe. Nach Beendigung der Dienste wird Ultralytics personenbezogene Kundendaten gemäß der Vereinbarung und Anlage A löschen oder zurückgeben, es sei denn, eine Aufbewahrung ist gesetzlich vorgeschrieben. Eine Löschungsbescheinigung gemäß SCCs wird auf Anfrage des Kunden bereitgestellt.

Link to this section4. Rechte betroffener Personen (oder Verbraucher)#

4.1 Anfrage betroffener Personen (oder Verbraucher). Ultralytics benachrichtigt den Kunden, sofern rechtlich zulässig, ohne unangemessene Verzögerung über den Hauptkontakt im Konto, wenn Ultralytics eine Anfrage einer betroffenen Person (oder eines Verbrauchers) erhält, um das Recht der betroffenen Person (oder des Verbrauchers) auf Zugang (oder Offenlegung), Berichtigung, Einschränkung der Verarbeitung, Löschung (oder "Recht auf Vergessenwerden"), Datenübertragbarkeit, Widerspruch gegen die Verarbeitung oder das Recht, nicht Gegenstand einer automatisierten individuellen Entscheidungsfindung zu sein, auszuüben ("Anfrage betroffener Personen (oder Verbraucher)").

4.2 Unterstützung. Unter Berücksichtigung der Art der Verarbeitung wird Ultralytics dem Kunden angemessene Unterstützung bei der Beantwortung von Anfragen zur Ausübung von Rechten betroffener Personen gemäß den Datenschutzgesetzen bieten, soweit der Kunde die Anfrage nicht mithilfe der verfügbaren Dienstfunktionalität erfüllen kann.

4.3 DPIA; Vorherige Konsultation. Unter Berücksichtigung der Art der Verarbeitung und der Ultralytics zur Verfügung stehenden Informationen wird Ultralytics dem Kunden bei (i) Datenschutz-Folgenabschätzungen und (ii) der Konsultation und/oder Zusammenarbeit des Kunden mit Aufsichtsbehörden angemessene Unterstützung bieten, jeweils dort, wo dies durch Datenschutzgesetze vorgeschrieben ist und der Kunde ansonsten keinen Zugriff auf relevante Informationen hat. Außer wenn dies durch Datenschutzgesetze oder im Zusammenhang mit einer Verletzung personenbezogener Kundendaten vorgeschrieben ist, darf der Kunde diese Unterstützung nicht öfter als einmal in einem Zeitraum von zwölf (12) Monaten anfordern. Der Kunde erstattet Ultralytics die angemessenen Kosten und Ausgaben, die bei der Bereitstellung dieser Unterstützung anfallen, sofern dies gesetzlich zulässig ist.

Link to this section5. Unter-Prozessoren#

5.1 Allgemeine Genehmigung. Der Kunde erteilt Ultralytics eine allgemeine schriftliche Genehmigung zur Beauftragung von Unter-Prozessoren zur Verarbeitung personenbezogener Kundendaten für die Dienste.

5.2 Liste und Benachrichtigung. Eine Liste der aktuellen Unterauftragsverarbeiter ist unter Ultralytics Sub-Processor List (die „Liste“) verfügbar. Ultralytics stellt einen Mechanismus zur Verfügung, um Benachrichtigungen über Aktualisierungen der Liste zu abonnieren, und informiert über neue Unterauftragsverarbeiter mindestens zehn (10) Tage, bevor diese zur Verarbeitung von personenbezogenen Kundendaten autorisiert werden. Du bist dafür verantwortlich, diese Benachrichtigungen zu abonnieren, sofern verfügbar; falls du dich nicht anmeldest, nimmst du zur Kenntnis, dass du möglicherweise keine vorherige Benachrichtigung über diesen Mechanismus erhältst. In jedem Fall gelten Aktualisierungen der Liste als Benachrichtigung über Änderungen bei den Unterauftragsverarbeitern. Du nimmst zur Kenntnis, dass bestimmte Unterauftragsverarbeiter für die Bereitstellung der Services unerlässlich sind und dass der Widerspruch gegen die Nutzung eines Unterauftragsverarbeiters das Unternehmen daran hindern kann, dir die Services anzubieten.

Zur Klarstellung: Verbundene Unternehmen von Ultralytics, die an der Erbringung der Dienste beteiligt sind, einschließlich Ultralytics Ltd (UK) und Ultralytics AI Spain, S.L., können als konzerninterne Unter-Prozessoren fungieren, wenn sie personenbezogene Kundendaten im Auftrag von Ultralytics Inc. in Verbindung mit den Diensten verarbeiten.

5.3 Einspruch gegen neue Unter-Prozessoren. Der Kunde kann schriftlich aus berechtigten datenschutzrechtlichen Gründen gemäß Abschnitt 5.2 Einspruch gegen die Beauftragung eines neuen Unter-Prozessors erheben. Wenn Ultralytics den Einspruch des Kunden nicht vernünftigerweise ausräumen kann, kann der Kunde den betroffenen Dienst durch schriftliche Mitteilung einstellen, ohne den Kunden von Gebühren zu entbinden, die vor einer solchen Einstellung angefallen sind.

5.4 Weitergabe von Verpflichtungen. Ultralytics beauftragt Unter-Prozessoren erst nach Durchführung einer angemessenen, risikobasierten Sorgfaltsprüfung, um zu beurteilen, ob der Unter-Prozessor in der Lage ist, ein angemessenes Schutzniveau für personenbezogene Kundendaten gemäß geltenden Datenschutzgesetzen zu bieten, und überwacht Unter-Prozessoren regelmäßig als Teil seines Lieferantenmanagementprogramms. Ultralytics stellt sicher, dass seine Unter-Prozessoren Datenschutzverpflichtungen unterliegen, die im Wesentlichen gleichwertig oder schützender sind als die in dieser DPA dargelegten. Auf Anfrage des Kunden stellt Ultralytics Kopien (die aus Vertraulichkeitsgründen geschwärzt sein können) der relevanten Datenschutzbedingungen des Unter-Prozessors zur Verfügung, wie dies gemäß den SCCs erforderlich ist.

Link to this section6. Sicherheit#

6.1 Maßnahmen. Unter Berücksichtigung des Stands der Technik, der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen implementiert und pflegt Ultralytics angemessene technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau gemäß den geltenden Datenschutzgesetzen zu gewährleisten, einschließlich Artikel 32 der GDPR. Diese Maßnahmen sind in Anlage C beschrieben, die Ultralytics von Zeit zu Zeit aktualisieren kann, vorausgesetzt, dass eine solche Aktualisierung das allgemeine Schutzniveau für personenbezogene Kundendaten nicht wesentlich verringert.

6.2 Verantwortlichkeiten des Kunden. Ungeachtet des Vorstehenden erkennt der Kunde an, dass er, sofern nicht ausdrücklich in dieser DPA vorgesehen, für seine sichere Nutzung der Dienste verantwortlich ist, einschließlich der Sicherung seiner Anmeldedaten für das Konto, der angemessenen Konfiguration von Zugriffskontrollen und der Sicherstellung, dass seine Benutzer die Dienste auf eine Weise nutzen, die mit den geltenden Datenschutzgesetzen und den von Ultralytics bereitgestellten Sicherheitsfunktionen übereinstimmt.

Link to this section7. Kundenaudits und Nachweis der Einhaltung#

7.1 Dokumentation. Auf angemessene Anfrage stellt Ultralytics Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA nachzuweisen (einschließlich aktueller Prüfberichte oder Zertifizierungen Dritter, sofern verfügbar). Ultralytics führt Aufzeichnungen, die ausreichen, um die Einhaltung dieser DPA nachzuweisen, und bewahrt diese Aufzeichnungen für einen angemessenen Zeitraum nach Beendigung auf (z. B. drei (3) Jahre), es sei denn, ein längerer Zeitraum ist gesetzlich vorgeschrieben.

7.2 Audit. Wo Datenschutzgesetze dies erfordern und die Dokumentation nicht ausreicht, kann der Kunde nach angemessener vorheriger schriftlicher Ankündigung und auf Kosten des Kunden ein Audit oder eine Inspektion der relevanten Systeme und Prozesse von Ultralytics anfordern. Jedes solche Audit oder jede Inspektion darf nur nach gegenseitiger schriftlicher Vereinbarung zwischen den Parteien über den Umfang, den Zeitpunkt und die Dauer des Audits sowie über einen angemessenen Erstattungssatz für die von Ultralytics in Verbindung mit dem Audit aufgewendete Zeit und Ressourcen durchgeführt werden. Jedes gemäß diesem Abschnitt durchgeführte Audit muss:

  • (a) nicht öfter als einmal in einem Zeitraum von zwölf (12) Monaten stattfinden;
  • (b) während der normalen Geschäftszeiten von Ultralytics stattfinden;
  • (c) angemessenen Vertraulichkeits-, Sicherheits- und Kontrollmaßnahmen unterliegen; und
  • (d) auf Systeme und Aufzeichnungen beschränkt sein, die für die Verarbeitung personenbezogener Kundendaten vernünftigerweise relevant sind.

Der Kunde benachrichtigt Ultralytics unverzüglich über jede wesentliche Nichteinhaltung, die während eines Audits festgestellt wurde, um Ultralytics eine angemessene Gelegenheit zu geben, solche Feststellungen zu beheben.

Link to this section8. Verletzung personenbezogener Daten#

8.1 Benachrichtigung. Ultralytics benachrichtigt den Kunden unverzüglich, spätestens jedoch 72 Stunden, nachdem es von einer Verletzung personenbezogener Kundendaten erfahren hat.

8.2 Unterstützung. Ultralytics bietet angemessene Unterstützung bei den erforderlichen Benachrichtigungen des Kunden an Aufsichtsbehörden und betroffene Personen, unter Berücksichtigung der Ultralytics zur Verfügung stehenden Informationen.

8.3 Kein Schuldeingeständnis. Eine Benachrichtigung über eine Verletzung stellt kein Schuldeingeständnis oder eine Haftungsübernahme dar. Die Verpflichtung zur Benachrichtigung über Verletzungen gilt nicht, soweit eine Verletzung personenbezogener Kundendaten durch Handlungen oder Unterlassungen des Kunden oder seiner Benutzer verursacht wurde.

Link to this section9. Übermittlungen (EU/UK/Schweiz)#

9.1 Internationale Übermittlungen. Der Kunde erkennt an, dass die primären Verarbeitungsvorgänge von Ultralytics in den Vereinigten Staaten und an anderen Standorten stattfinden können, die zur Bereitstellung der Dienste erforderlich sind.

Zur Klarstellung: Personenbezogene Kundendaten können auch zwischen Ultralytics Inc. und seinen verbundenen Unternehmen (einschließlich Ultralytics Ltd (UK) und Ultralytics AI Spain, S.L.) übermittelt werden, wenn diese verbundenen Unternehmen als Unter-Prozessoren in Verbindung mit den Diensten handeln. Wenn solche Übermittlungen als internationale Übermittlungen gemäß geltenden Datenschutzgesetzen gelten, unterliegen sie angemessenen Schutzmaßnahmen, einschließlich der SCCs (Modul 3, falls anwendbar) oder anderer gültiger Übermittlungsmechanismen.

Wenn die Übermittlung von personenbezogenen Kundendaten in ein Land erforderlich ist, das nicht als Land mit angemessenem Datenschutzniveau anerkannt ist, erfolgen diese Übermittlungen gemäß angemessenen Schutzmaßnahmen in Übereinstimmung mit geltenden Datenschutzgesetzen, einschließlich, falls anwendbar, der SCCs und des UK Addendum, wie in diese DPA aufgenommen.

9.2 EU SCCs. Für Übermittlungen personenbezogener Kundendaten, die der GDPR unterliegen, in ein Drittland ohne Angemessenheitsbeschluss nehmen die Parteien die EU SCCs auf. Modul Zwei (Controller→Prozessor) gilt, wenn der Kunde ein Controller ist; Modul Drei (Prozessor→Unter-Prozessor) gilt, wenn der Kunde ein Prozessor ist. Die SCC-Anhänge werden unter Verwendung von Anlage B (Anhang I/III) und Anlage C (Anhang II) ausgefüllt.

9.3 UK Addendum. Für Übermittlungen, die der UK GDPR unterliegen, nehmen die Parteien das UK Addendum auf, das durch Verweis auf Anlage B/C und die Auswahl des anwendbaren Übermittlungsmechanismus ergänzt wird.

9.4 Schweiz. Für Schweizer Übermittlungen gelten die EU SCCs mit den standardmäßigen Schweizer Modifikationen (Verweise auf GDPR beinhalten die Schweizer FADP; FDPIC als zuständige Behörde usw.), ergänzt durch Verweis auf die Anlagen.

9.5 Anfragen von Regierungsbehörden. Ultralytics behandelt rechtlich bindende Anfragen nach personenbezogenen Kundendaten in Übereinstimmung mit geltendem Recht und den SCCs, einschließlich (soweit rechtlich zulässig) der Benachrichtigung des Kunden und angemessener Zusammenarbeit.

Link to this section10. Controller-zu-Controller-Bestimmungen (Ultralytics Konto / Nutzung / Sicherheitsbetrieb)#

10.1 Geltungsbereich. Dieser Abschnitt gilt für die Verarbeitung von personenbezogenen Controller-Daten durch jede Partei als unabhängiger Controller (nicht als gemeinsamer Controller), einschließlich der Verarbeitung von Unternehmenskontodaten und Unternehmensnutzungsdaten durch Ultralytics.

10.2 Verpflichtungen als unabhängiger Controller. Jede Partei wird:

  • (a) personenbezogene Controller-Daten unter Einhaltung der Datenschutzgesetze verarbeiten;
  • (b) angemessene Sicherheitsmaßnahmen implementieren; und
  • (c) auf behördliche Mitteilungen in Bezug auf ihre eigene Verarbeitung reagieren.

10.3 Ultralytics Controller-Verarbeitung. Ultralytics verarbeitet Unternehmenskontodaten und Unternehmensnutzungsdaten als Controller für: Kontoverwaltung, Abrechnung, Sicherheitsüberwachung und Missbrauchsprävention, Identitätsüberprüfung, gesetzliche Einhaltung, Audits/Buchhaltung und Dienstbetrieb (einschließlich Leistung und Zuverlässigkeit). Eine solche Verarbeitung ist in der Ultralytics Datenschutzrichtlinie beschrieben. Nichts in dieser DPA ist so auszulegen, dass ein gemeinsames Controller-Verhältnis zwischen den Parteien geschaffen wird.

Zur Klarstellung: Ultralytics und seine verbundenen Unternehmen können begrenzte geschäftliche Kontaktdaten (wie Namen, geschäftliche E-Mail-Adressen und professionelle Kontaktdetails) im Kontext von kommerzieller Ansprache, Demonstrationen, Partnerschaften und Kundenbeziehungsmanagement als unabhängige Controller verarbeiten.

Link to this section11. Kalifornische Bestimmungen (CCPA/CPRA)#

11.1 Dienstanbieter / Prozessor. Soweit CCPA/CPRA Anwendung findet und Ultralytics personenbezogene Kundendaten im Auftrag des Kunden verarbeitet, fungiert Ultralytics als "Dienstanbieter" und/oder "Prozessor" und wird solche personenbezogenen Informationen nicht "verkaufen" oder "teilen".

11.2 Eingeschränkte Nutzung. Ultralytics wird personenbezogene Kundendaten nicht außerhalb des direkten Geschäftszwecks der Bereitstellung der Dienste aufbewahren, verwenden oder offenlegen, außer wie durch CCPA/CPRA gestattet.

11.3 Diskriminierung. Die Parteien dürfen einen Verbraucher nicht diskriminieren, weil dieser seine Rechte ausgeübt hat.

Link to this section12. Allgemeine Bestimmungen#

12.1 Haftungsbeschränkung. Die Beschränkungen und Ausschlüsse in der Vereinbarung gelten für diese DPA, es sei denn, sie sind durch geltendes Recht oder die SCCs/das UK Addendum untersagt.

12.2 Salvatorische Klausel. Sollte eine Bestimmung dieser DPA ungültig oder nicht durchsetzbar sein, so bleibt der Rest dieser DPA gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung ist entweder (i) wie erforderlich zu ändern, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, wobei die Absichten der Parteien so weit wie möglich gewahrt bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als wäre der ungültige oder nicht durchsetzbare Teil niemals darin enthalten gewesen.

12.3 Ausführung dieser DPA. Diese DPA ist Bestandteil der Vereinbarung. Der Kunde schließt diese DPA (einschließlich, falls anwendbar, der EU SCCs und des UK Addendum) ab durch:

  • (a) Akzeptanz oder Zustimmung zur Bindung an die Vereinbarung (einschließlich durch Klicken auf "Ich stimme zu" oder einen ähnlichen Mechanismus bei den Nutzungsbedingungen),
  • (b) Ausführung eines Bestellformulars, Leistungsverzeichnisses oder einer anderen schriftlichen Vereinbarung, die die Vereinbarung aufnimmt oder auf sie verweist, oder
  • (c) Nutzung oder fortgesetzte Nutzung der Dienste, nachdem diese DPA vom Unternehmen zur Verfügung gestellt wurde.

Der Kunde erklärt und garantiert, dass die Person, die die Vereinbarung akzeptiert und/oder die Dienste im Auftrag des Kunden nutzt, die Befugnis hat, den Kunden und, falls anwendbar, dessen verbundene Unternehmen zu binden.

12.4 Kontakt. Datenschutzanfragen: privacy@ultralytics.com; DPO: dpo@ultralytics.com; rechtliche Hinweise: legal@ultralytics.com.

Link to this section13. Parteien; Verbundene Unternehmen#

Der Kunde schließt diese DPA im Namen seiner selbst und seiner verbundenen Unternehmen ab, die autorisierte Nutzer der Dienste gemäß der Vereinbarung sind und Controller/Prozessoren von personenbezogenen Kundendaten sind ("Zugelassene verbundene Unternehmen"). Der Kunde erklärt, dass er die Befugnis hat, zugelassene verbundene Unternehmen zu binden.

Link to this sectionAnlage A: Details zur Verarbeitung personenbezogener Daten#

Art: Ultralytics stellt eine cloudbasierte Software und zugehörige Dienste bereit, die es Kunden ermöglichen, auf Ultralytics-Produkte und -Funktionen zuzugreifen und diese zu nutzen, einschließlich Modelltraining, Inferenz, Datensatzverwaltung, Bereitstellungs-Workflows sowie zugehörigem Support und Verwaltung ("Dienste"), wie in der Vereinbarung beschrieben.

Zur Klarstellung: Die Dienste umfassen die Ultralytics Platform, über die Ultralytics personenbezogene Kundendaten im Auftrag des Kunden gemäß dieser DPA verarbeitet. Unabhängig davon stellt Ultralytics auch Ultralytics YOLO Open-Source-Modelle zur Verfügung, die Kunden unabhängig in ihren eigenen Umgebungen bereitstellen und betreiben können. Wenn Kunden Ultralytics YOLO-Modelle außerhalb der Ultralytics Platform bereitstellen oder nutzen, verarbeitet Ultralytics keine personenbezogenen Daten im Auftrag des Kunden, und Kunden sind allein verantwortlich für die Implementierung angemessener technischer und organisatorischer Maßnahmen, die Bestimmung der Zwecke und Mittel der Verarbeitung sowie die Sicherstellung der Einhaltung geltender Datenschutzgesetze im Zusammenhang mit einer solchen Bereitstellung und Nutzung.

Zweck: Ultralytics verarbeitet personenbezogene Kundendaten im Auftrag des Kunden für folgende Zwecke:

  • um die Dienste in Übereinstimmung mit der Vereinbarung und den dokumentierten Anweisungen des Kunden bereitzustellen, zu betreiben, abzusichern und zu unterstützen;
  • um andere dokumentierte angemessene Anweisungen des Kunden zu befolgen, sofern diese Anweisungen mit der Vereinbarung und diesem DPA übereinstimmen;
  • um auf Anfragen zu reagieren, die vom Kunden oder dessen autorisierten Benutzern bei der Nutzung der Dienste initiiert wurden (einschließlich Kundensupport-Anfragen);
  • um Sicherheitsvorfälle, Betrug, Missbrauch und zweckentfremdete Nutzung der Dienste zu überwachen, zu verhindern und zu erkennen; und
  • um geltenden rechtlichen Verpflichtungen nachzukommen.

Ultralytics wird personenbezogene Kundendaten nicht zum Trainieren oder Verbessern der allgemeinen Modelle von Ultralytics verwenden, es sei denn, dies wurde vom Kunden ausdrücklich schriftlich oder über die Dienste angewiesen. Zur Klarstellung: Ultralytics kann Unternehmensnutzungsdaten sowie aggregierte oder de-identifizierte Daten (sofern zulässig) verwenden, um die Dienste zu betreiben, abzusichern und zu verbessern.

Wenn der Kunde sich entscheidet, Datensätze, Modelle oder andere Inhalte über Community- oder öffentliche Funktionen der Dienste zu teilen, stellt eine solche Freigabe die dokumentierte Anweisung des Kunden dar. Der Kunde bleibt allein dafür verantwortlich, sicherzustellen, dass er über alle notwendigen Rechte und rechtmäßigen Grundlagen verfügt, um diese Daten anderen Benutzern zur Verfügung zu stellen.

Dauer der Verarbeitung: Ultralytics verarbeitet personenbezogene Kundendaten für die Dauer der Vereinbarung und so lange, wie es zur Bereitstellung der Dienste gemäß den Anweisungen des Kunden erforderlich ist. Nach Beendigung oder Ablauf der Vereinbarung löscht oder retourniert Ultralytics personenbezogene Kundendaten gemäß der Vereinbarung und diesem DPA, es sei denn, eine weitere Aufbewahrung ist nach geltendem Recht erforderlich. Zur Klarstellung: Wenn Ultralytics personenbezogene Daten des Verantwortlichen (einschließlich Unternehmenskontodaten und Unternehmensnutzungsdaten) als unabhängiger Verantwortlicher gemäß Abschnitt 10 verarbeitet, erfolgt diese Verarbeitung für die Zeiträume, die in der Ultralytics Datenschutzrichtlinie festgelegt sind.

Kategorien betroffener Personen: Personenbezogene Kundendaten können sich auf die folgenden Kategorien betroffener Personen beziehen, wie vom Kunden bestimmt und kontrolliert:

  • Mitarbeiter, Auftragnehmer, Vertreter und Repräsentanten des Kunden;
  • autorisierte Benutzer und Administratoren des Kunden;
  • und Endbenutzer, Kunden oder andere Personen des Kunden, deren personenbezogene Daten der Kunde in die Dienste einspeisen möchte.

Kategorien personenbezogener Daten: Personenbezogene Kundendaten können die folgenden Kategorien personenbezogener Daten enthalten, sofern sie vom oder im Namen des Kunden an die Dienste übermittelt oder auf andere Weise über diese zugänglich gemacht werden:

  • Konto- und Benutzeridentitätsdaten, wie Name, E-Mail-Adresse, Benutzername/Benutzer-ID, Organisationsname und Benutzerrolle/Berechtigungen (z. B. Admin/Benutzer).
  • Nutzungs- und Geräte-/technische Daten, wie IP-Adresse, Gerätekennungen und Systemattribute (z. B. Gerätetyp, Betriebssystem, Browsertyp), Protokolldateien, Zeitstempel, Authentifizierungsereignisse, Zugriffshistorie und (sofern zutreffend) installierte Anwendungen oder Konfigurationsdetails, die als Teil von Unternehmensgeräte- oder Sicherheits-Workflows erfasst werden.
  • Vom Kunden bereitgestellte Inhalte und Eingaben, wie benutzergenerierte Prompts, Kommentare, Anmerkungen, Datensatz-Metadaten oder Labels sowie alle anderen Inhalte, die der Kunde über die Dienste hochlädt oder einreicht (einschließlich Bilder/Video/Audio oder andere Dateien), jedoch nur insoweit, als diese Inhalte personenbezogene Daten enthalten.
  • Support- und Kommunikationsdaten, wie Kundensupport-Kommunikation, Problemberichte, Informationen zur Fehlerbehebung und administrative Kontaktdaten.

Die Kategorien der verarbeiteten personenbezogenen Daten können weiterhin die in der Ultralytics Datenschutzrichtlinie beschriebenen Daten umfassen.

Sensible Daten oder besondere Kategorien von Daten: Die Dienste sind nicht dafür ausgelegt oder vorgesehen, besondere Kategorien personenbezogener Daten (wie in Artikel 9 DSGVO oder äquivalent gemäß geltenden Datenschutzgesetzen definiert) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10 DSGVO) zu verarbeiten. Dem Kunden ist die Bereitstellung solcher Daten untersagt, es sei denn, dies wurde ausdrücklich schriftlich mit Ultralytics vereinbart und unterliegt zusätzlichen Schutzmaßnahmen.

Link to this sectionAnhang B: Informationen zu Anhang I und Anhang III (EU SCCs und UK Addendum)#

Das Folgende enthält die Informationen, die gemäß Anhang I und Anhang III der EU SCCs sowie Tabelle 1, Anhang 1A und Anhang 1B des UK Addendum erforderlich sind.

1. Die Parteien

Datenexporteur(e):

  • Name: Name der juristischen Person des Kunden
  • Handelsname (falls abweichend): [Optional]
  • Anschrift: Registrierte Anschrift des Kunden
  • Offizielle Registrierungsnummer (falls vorhanden): [Optional]
  • Name, Position und Kontaktdaten der Kontaktperson: Name, Titel, E-Mail
  • Für die Datenübertragung gemäß diesen Klauseln relevante Aktivitäten: Nutzung der Dienste gemäß der Vereinbarung, einschließlich der Übertragung personenbezogener Kundendaten an Ultralytics zur Verarbeitung in Verbindung mit den Diensten, wie in der Vereinbarung, diesem DPA und Anhang A beschrieben.
  • Unterschrift und Datum: Durch Ausführung/Annahme der Vereinbarung/DPA
  • Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher

Datenimporteur(e):

  • Name: Ultralytics Inc.
  • Handelsname (falls abweichend): N/A
  • Anschrift und Kontaktinformationen: 5001 Judicial Way, Frederick, MD, 21703, Vereinigte Staaten; privacy@ultralytics.com
  • Offizielle Registrierungsnummer (falls vorhanden): 6755919
  • Für die Datenübertragung gemäß diesen Klauseln relevante Aktivitäten: Verarbeitung personenbezogener Kundendaten im Auftrag des Kunden zur Bereitstellung, zum Betrieb, zur Sicherung, Wartung und Unterstützung der Dienste sowie wie anderweitig in der Vereinbarung, diesem DPA und Anhang A beschrieben.
  • Unterschrift und Datum: Durch Ausführung/Annahme der Vereinbarung/DPA
  • Rolle (Verantwortlicher/Auftragsverarbeiter): Wie in Abschnitt 3 des DPA beschrieben.

2. Beschreibung der Übertragung

FeldDetails
Betroffene PersonenWie in Anhang A des DPA beschrieben
Kategorien personenbezogener DatenWie in Anhang A des DPA beschrieben
Besondere Kategorien personenbezogener Daten (falls zutreffend)Wie in Anhang A des DPA beschrieben
Art der VerarbeitungWie in Anhang A des DPA beschrieben
Zwecke der VerarbeitungWie in Anhang A des DPA beschrieben
Dauer der Verarbeitung und Aufbewahrung (oder die Kriterien zur Bestimmung dieses Zeitraums)Wie in Anhang A des DPA beschrieben
Häufigkeit der ÜbertragungNach Bedarf zur Bereitstellung und Erfüllung aller Verpflichtungen und Rechte in Bezug auf personenbezogene Daten, wie in der Vereinbarung oder dem DPA vorgesehen
Empfänger der an den Datenimporteur übertragenen personenbezogenen DatenDas Unternehmen führt eine Liste der Unterauftragsverarbeiter unter: Ultralytics Sub-Processor List

Intra-Gruppen-Unterauftragsverarbeiter:

Ultralytics Ltd (Vereinigtes Königreich) - technischer Support, Kundensupport, Onboarding-Unterstützung und kommerzielle Interaktionen (einschließlich Demonstrationen und Partnerschaften)

Ultralytics AI Spain, S.L. (Spanien) - technischer Support, kommerzielle Interaktionen und kundenorientierte Aktivitäten, unter Einbeziehung begrenzter Verarbeitung von Geschäftskontaktdaten

3. Zuständige Aufsichtsbehörde

Die Aufsichtsbehörde ist die Aufsichtsbehörde des Datenexporteurs, wie gemäß Klausel 13 der EU SCCs bestimmt. Die Aufsichtsbehörde für die Zwecke des UK Addendum ist das UK Information Commissioner's Office.

Link to this sectionAnhang C: Technische und organisatorische Sicherheitsmaßnahmen#

Das Folgende enthält die Informationen, die gemäß Anhang II der EU SCCs und Anhang II des UK Addendum erforderlich sind.

Technische und organisatorische SicherheitsmaßnahmeDetails
Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener DatenPersonenbezogene Kundendaten werden durch Verschlüsselung während der Übertragung mittels branchenüblicher sicherer Verbindungen (TLS) zwischen Plattformkomponenten und externen Endpunkten geschützt. In Cloud-Diensten gespeicherte Daten profitieren von einer durch den Cloud-Anbieter verwalteten Verschlüsselung im Ruhezustand (at rest) und sicheren Schlüsselverwaltungskontrollen.
Maßnahmen zur Gewährleistung der dauerhaften Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -diensteUltralytics unterhält Verpflichtungen hinsichtlich Sicherheit, Vertraulichkeit und Verfügbarkeit für seine Dienste, einschließlich Systemkonfigurationen, die den unbefugten Zugriff einschränken, sowie Intrusion Detection und Monitoring, Schwachstellen-Scans und Penetrationstests, Verschlüsselung während der Übertragung und im Ruhezustand sowie Kontrollen zur Datenaufbewahrung/-entsorgung. Die Ultralytics-Plattform wird mit verwalteten Cloud-Diensten betrieben, die Verfügbarkeit bieten. Unsere IaaS-Anbieter (Infrastructure-as-a-Service) unterstützen die Datenbankresilienz durch Replikation und Hochverfügbarkeit. Ultralytics stellt zudem sicher, dass die technischen und organisatorischen Maßnahmen (TOMs) nachgelagerter Unterauftragsverarbeiter die in dieser Vereinbarung festgelegten Standards erfüllen oder übertreffen.
Maßnahmen zur Gewährleistung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall zeitnah wiederherzustellenKundendaten innerhalb der Ultralytics-Plattform werden mithilfe cloud-nativer Dienste gesichert. Backups werden überwacht, und Ausnahmen werden untersucht und behoben. Backup-Daten werden im Ruhezustand und während der Übertragung verschlüsselt, und der Zugriff ist auf autorisiertes Personal beschränkt. Die Planung für Geschäftskontinuität und Notfallwiederherstellung umfasst Recovery Point Objectives (RPOs), Recovery Time Objectives (RTOs) sowie definierte Rollen und Verantwortlichkeiten.
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der VerarbeitungUltralytics führt regelmäßige Schwachstellen-Scans über das System und Netzwerk sowie Penetrationstests in der Produktionsumgebung durch. Das Schwachstellenmanagement umfasst Dependency-Scanning und sichere Entwicklungspraktiken, die in CI/CD-Pipelines integriert sind; identifizierte Schwachstellen werden nach Schweregrad und Risiko priorisiert und behoben. Zusätzlich führt Ultralytics als Teil der Standard-ISMS-Praxis eine jährliche Risikobewertung und Management-Überprüfung durch.
Maßnahmen zur Benutzeridentifizierung und -autorisierungDie Ultralytics-Plattform nutzt einen Authentifizierungs- und Identitätsanbieter, der Benutzerauthentifizierung und Sitzungsverwaltung unterstützt. Der Zugriff auf technische Systeme (einschließlich Quellcode-Repositorys) ist auf autorisiertes Personal beschränkt und wird durch rollenbasierte Berechtigungen, Branch-Schutzmaßnahmen und erforderliche Überprüfungen gesteuert. Der interne Zugriff folgt einem Modell der geringsten Rechte (least-privilege) und rollenbasierten Zugriffskontrollen.
Maßnahmen zum Schutz der Daten während der ÜbertragungDer Netzeingang zur Ultralytics-Plattform ist auf sichere HTTPS (TLS)-Verbindungen über dedizierte Frontend-Endpunkte beschränkt. Die interne Kommunikation zwischen Plattformkomponenten und Speicherdiensten wird während der Übertragung mittels TLS verschlüsselt.
Maßnahmen zum Schutz der Daten während der SpeicherungFür die Ultralytics-Plattform werden Kundendaten in verschlüsselten, verwalteten Cloud-Diensten mit Redundanz und Backup-Unterstützung gespeichert. Die verwalteten Cloud-Dienste bieten integrierte Verschlüsselung, automatisierte Backups, redundante Speicherung und Hochverfügbarkeit. Die vom Cloud-Anbieter verwaltete Verschlüsselung wird auf Daten im Ruhezustand angewendet.
Maßnahmen zur Gewährleistung der physischen Sicherheit der Standorte, an denen personenbezogene Daten verarbeitet werdenDie Ultralytics-Plattform wird von Drittanbietern von Cloud-Diensten gehostet. Physische und umgebungsbezogene Schutzmaßnahmen für die Hosting-Rechenzentren werden von den jeweiligen Unterauftragsverarbeitern betrieben. Ultralytics überprüft die Attestierungsberichte der Unterauftragsverarbeiter und führt mindestens jährlich eine Risikoanalyse durch.
Maßnahmen zur Gewährleistung der EreignisprotokollierungUltralytics nutzt cloud-natives Logging für Monitoring, Fehlerbehebung und die Untersuchung von Zwischenfällen. Warnmeldungen zur Verfügbarkeit der Plattform und Sicherheit werden intern über interne Kommunikationswege und E-Mail sowie extern über eine gehostete Statusseite kommuniziert. Zudem überprüft Ultralytics regelmäßig den Zugriff auf Anwendungen, Tools und Ressourcen, die Kundendaten verarbeiten oder speichern.
Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich StandardkonfigurationUltralytics unterhält dokumentierte Änderungsmanagementprozesse, die Änderungen an der Ultralytics-Plattform und der Ultralytics YOLO-Modell-Codebasis regeln, einschließlich Initiierung von Änderungen, Dokumentation, Entwicklungsstandards, Tests, Überprüfung und Genehmigung vor der Veröffentlichung oder Bereitstellung. Änderungen werden mittels Versionskontrolle mit Peer-Review und Validierung der CI/CD-Pipeline nachverfolgt.
Maßnahmen für die interne IT und IT-Sicherheits-Governance und -ManagementUltralytics pflegt Sicherheitsrichtlinien und -verfahren, die auf Dienstverpflichtungen und interne Compliance-Anforderungen abgestimmt sind, mit einer jährlichen Überprüfung der Schlüsselrichtlinien und -verfahren. Mitarbeiter müssen Richtlinien über ein dediziertes Governance-, Risiko- und Compliance-Tool (GRC) bestätigen und sind verpflichtet, jährliche Sicherheitsbewusstseinsschulungen und Datenschulungen zu absolvieren, ergänzt durch Schulungen zu sicherem Programmieren für technische Rollen. Risiken werden in einem zentralen Risikoregister dokumentiert und mindestens jährlich formell überprüft.
Maßnahmen zur Zertifizierung/Gewährleistung von Prozessen und ProduktenUltralytics verlässt sich auf verwaltete Dienste Dritter (einschließlich Unterdienstleister) und überprüft deren SOC 2-Berichte jährlich als Teil der Überwachungskontrollen. Die Due Diligence von Anbietern ist risikobasiert, und Anbieter werden in Kategorien (Kritisch/Hoch/Mittel/Niedrig) eingeteilt, mit vertraglichen Schutzmaßnahmen und regelmäßigen Neubewertungen.
Maßnahmen zur Gewährleistung der DatenminimierungUltralytics verarbeitet Kundendaten in Übereinstimmung mit Kundenvereinbarungen und geltenden Datenschutzanforderungen und begrenzt die Verarbeitung auf das für die Bereitstellung und Unterstützung der Dienste notwendige Maß (einschließlich Datensatzverwaltung, Annotation, Modelltraining, Evaluierung und zugehöriger Plattformfunktionen). Die Nutzung von Ultralytics YOLO Open-Source unterliegt der Kontrolle des Kunden; Ultralytics verarbeitet in diesem Kontext keine Inferenz-Workloads für Kunden.
Maßnahmen zur Gewährleistung der DatenqualitätUltralytics verwendet kontrollierte Entwicklungs- und Bereitstellungspraktiken, die darauf ausgelegt sind, Integrität und Zuverlässigkeit zu unterstützen, einschließlich Peer-Review, automatisierter Tests, CI/CD-Workflows und kontrolliertem Änderungsmanagement für die Plattform und Open-Source-Code-Releases.
Maßnahmen zur Gewährleistung einer begrenzten DatenspeicherungUltralytics wendet Verpflichtungen zur Datenaufbewahrung und Datenentsorgung als Teil seiner Dienstverpflichtungen an. Kundendaten für die Plattform werden mithilfe verwalteter Dienste gesichert, und Löschung/Rückgabe erfolgt in Übereinstimmung mit Kundenvereinbarungen und geltendem Recht.
Maßnahmen zur Gewährleistung der RechenschaftspflichtUltralytics unterhält einen Plan zur Reaktion auf Zwischenfälle sowie dokumentierte Verfahren zur Identifizierung, Meldung, Verwaltung und Nachverfolgung von Sicherheits- und Datenschutzvorfällen, einschließlich der Kommunikation für externe Schwachstellenmeldungen über security@ultralytics.com. Zwischenfälle werden dokumentiert und je nach Schweregrad unter Einbeziehung von Technik, Recht und Geschäftsführung bearbeitet.
Maßnahmen zur Ermöglichung der Datenportabilität und Sicherstellung der LöschungPersonenbezogene Kundendaten, die an die Ultralytics-Plattform übermittelt wurden, können vom Kunden und/oder auf dessen Anfrage gemäß der Vereinbarung und diesem DPA gelöscht werden. Wenn eine Löschung erforderlich ist, handelt Ultralytics gemäß den Anweisungen des Kunden und den geltenden gesetzlichen Anforderungen. (Portabilität wird insofern unterstützt, als der Kunde seine Kundendaten gegebenenfalls aus den Diensten exportieren oder abrufen kann.) Ultralytics YOLO Open-Source-Modelle werden vom Kunden innerhalb seiner dedizierten Umgebung bereitgestellt, was eine vollständige Kontrolle über die Daten-Governance gewährleistet.
Technische und organisatorische Maßnahmen der UnterauftragsverarbeiterUltralytics nutzt ein risikobasiertes Anbietermanagementprogramm für das Onboarding und die Überwachung von Drittanbietern, einschließlich der Überprüfung von Compliance-Attestierungen sowie vertraglicher Sicherheits- und Datenschutzanforderungen. Ultralytics überwacht zudem Unterdienstleister und überprüft jährlich deren SOC 2-Berichte. Ultralytics schließt außerdem Datenverarbeitungsverträge mit seinen Unterauftragsverarbeitern ab, die im Wesentlichen ähnliche Datenschutzverpflichtungen enthalten wie die in diesem DPA.

Link to this sectionAnhang D: UK Addendum#

Internationales Datenübertragungs-Addendum zu den Standardvertragsklauseln der EU-Kommission

Link to this sectionTeil 1: Tabellen#

Tabelle 1: Parteien

FeldExporteurImporteur
StartdatumDieses UK Addendum hat dasselbe Gültigkeitsdatum wie das DPADieses UK Addendum hat dasselbe Gültigkeitsdatum wie das DPA
Einzelheiten zu den ParteienKundeUnternehmen
HauptansprechpartnerSiehe Anhang B dieses DPASiehe Anhang B dieses DPA

Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln

FeldDetails
EU SCCsDie Version der genehmigten EU SCCs, denen dieses UK Addendum beigefügt ist, wie im DPA definiert und durch Abschnitt 6.2 und 6.3 des DPA ergänzt.

Tabelle 3: Anhangsinformationen

"Anhangsinformationen" bezeichnet die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU SCCs (außer den Parteien) bereitgestellt werden müssen und die für dieses UK Addendum wie folgt festgelegt sind:

AnhangReferenz
Anhang 1A: Liste der ParteienWie in Tabelle 1 oben
Anhang 2B: Beschreibung der ÜbermittlungSiehe Anhang B dieses DPA
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der DatensicherheitSiehe Anhang C dieses DPA
Anhang III: Liste der Unterauftragsverarbeiter (nur Module 2 und 3)Siehe Anhang B dieses DPA

Tabelle 4: Beendigung dieses UK Addendum bei Änderungen des genehmigten UK Addendum

Hinweis: Diese Bestimmung erlaubt der ausgewählten Partei (falls zutreffend), das UK Addendum zu kündigen, wenn das ICO das genehmigte UK Addendum ändert, was direkt zu einem erheblichen, unverhältnismäßigen und nachweisbaren Anstieg (a) ihrer direkten Kosten für die Erfüllung ihrer Verpflichtungen gemäß dem UK Addendum oder (b) ihres Risikos unter dem UK Addendum führt.

FeldAuswahl
Beendigung dieses UK Addendum bei Änderungen des genehmigten UK Addendumx Importeur x Exporteur ☐ Keine Partei

Link to this sectionEinstieg in dieses UK Addendum#

Jede Partei erklärt sich damit einverstanden, an die in diesem UK Addendum festgelegten Bedingungen gebunden zu sein, im Gegenzug dazu, dass auch die andere Partei zustimmt, an dieses UK Addendum gebunden zu sein.

Obwohl Anhang 1A und Klausel 7 der genehmigten EU SCCs die Unterzeichnung durch die Parteien erfordern, können die Parteien zum Zweck der Durchführung von Übermittlungen außerhalb des Vereinigten Königreichs (ex-UK Transfers) dieses UK Addendum auf jede Weise schließen, die sie für die Parteien rechtlich bindend macht und es betroffenen Personen ermöglicht, ihre Rechte gemäß diesem UK Addendum durchzusetzen. Der Abschluss dieses UK Addendum hat dieselbe Wirkung wie die Unterzeichnung der genehmigten EU SCCs und jedes Teils der genehmigten EU SCCs.

Link to this sectionAuslegung dieses UK Addendum#

Wo dieses UK Addendum Begriffe verwendet, die in den genehmigten EU SCCs definiert sind, haben diese Begriffe dieselbe Bedeutung wie in den genehmigten EU SCCs. Zusätzlich haben die folgenden Begriffe die folgende Bedeutung:

BegriffDefinition
UK Addendumbezeichnet dieses International Data Transfer Addendum, das die EU SCCs enthält und als Anhang D an das DPA angefügt ist.
EU SCCsbezeichnet die Version(en) der genehmigten EU SCCs, denen dieses UK Addendum beigefügt ist, wie in Tabelle 2 festgelegt, einschließlich der Anhangsinformationen
Anhangsinformationensind wie in Tabelle 3 festgelegt
Angemessene Schutzmaßnahmenbezeichnet das Schutzniveau für personenbezogene Daten und die Rechte der betroffenen Personen, das von den UK Data Protection Laws gefordert wird, wenn du eine Übermittlung außerhalb des Vereinigten Königreichs (ex-UK Transfer) unter Berufung auf Standarddatenschutzklauseln gemäß Artikel 46(2)(d) UK GDPR durchführst.
Genehmigtes UK Addendumbezeichnet die vom ICO herausgegebene Addendum-Vorlage, die am 2. Februar 2022 gemäß s119A des Data Protection Act 2018 dem Parlament vorgelegt wurde, wie sie gemäß Abschnitt 18 des UK Addendum überarbeitet werden kann.
Genehmigte EU SCCsbezeichnet die von der Europäischen Kommission im Kommissionsbeschluss 2021/914 vom 4. Juni 2021 genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Länder, die von der Europäischen Kommission nicht als Länder mit einem angemessenen Schutzniveau für personenbezogene Daten anerkannt sind (in der jeweils gültigen Fassung).
ICObezeichnet das Information Commissioner's Office.
ex-UK Transferhat dieselbe Definition wie im DPA dargelegt.
UKbezeichnet das Vereinigte Königreich Großbritannien und Nordirland
UK Data Protection Lawsbezeichnet alle Gesetze in Bezug auf Datenschutz, die Verarbeitung personenbezogener Daten, Privatsphäre und/oder elektronische Kommunikation, die im Vereinigten Königreich von Zeit zu Zeit in Kraft sind, einschließlich der UK GDPR und des Data Protection Act 2018.
UK GDPRhat die im DPA dargelegte Definition.

Das UK Addendum muss immer auf eine Weise ausgelegt werden, die mit den UK Data Protection Laws vereinbar ist, damit es die Verpflichtung der Parteien erfüllt, angemessene Schutzmaßnahmen zu bieten.

Falls die im UK Addendum enthaltenen Bestimmungen die genehmigten EU SCCs in einer Weise ändern, die nach den genehmigten EU SCCs oder dem genehmigten UK Addendum nicht zulässig ist, werden solche Änderungen nicht in das UK Addendum aufgenommen und die entsprechende Bestimmung der genehmigten EU SCCs tritt an ihre Stelle.

Bei Unstimmigkeiten oder Konflikten zwischen den UK Data Protection Laws und dem UK Addendum finden die UK Data Protection Laws Anwendung.

Wenn die Bedeutung des UK Addendum unklar ist oder mehr als eine Bedeutung möglich ist, gilt die Bedeutung, die am ehesten mit den UK Data Protection Laws übereinstimmt.

Jeder Verweis auf Gesetzgebung (oder spezifische Bestimmungen der Gesetzgebung) bedeutet diese Gesetzgebung (oder spezifische Bestimmung) in der jeweils geltenden Fassung. Dies gilt auch, wenn diese Gesetzgebung (oder spezifische Bestimmung) nach dem Abschluss des UK Addendum konsolidiert, neu erlassen und/oder ersetzt wurde.

Link to this sectionHierarchie#

Obwohl Klausel 5 der genehmigten EU SCCs festlegt, dass die genehmigten EU SCCs Vorrang vor allen damit zusammenhängenden Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass für Übermittlungen außerhalb des Vereinigten Königreichs (ex-UK Transfers) die Hierarchie in Abschnitt 10 unten Vorrang hat.

Bei Unstimmigkeiten oder Konflikten zwischen dem genehmigten UK Addendum und den EU SCCs (wie zutreffend), hat das genehmigte UK Addendum Vorrang vor den EU SCCs, außer wenn (und soweit) die inkonsistenten oder widersprüchlichen Bedingungen der EU SCCs einen besseren Schutz für betroffene Personen bieten; in diesem Fall haben diese Bedingungen Vorrang vor dem genehmigten UK Addendum.

Wo dieses UK Addendum EU SCCs enthält, die zum Schutz von Übermittlungen außerhalb der EU (ex-EU Transfers) gemäß der GDPR geschlossen wurden, erkennen die Parteien an, dass nichts im UK Addendum diese EU SCCs beeinträchtigt.

Link to this sectionAufnahme und Änderungen der EU SCCs#

Dieses UK Addendum nimmt die EU SCCs auf, die in dem Maße geändert werden, wie es erforderlich ist, damit:

  • sie gemeinsam für Datenübermittlungen vom Datenexporteur an den Datenimporteur funktionieren, soweit die UK Data Protection Laws auf die Verarbeitung durch den Datenexporteur bei der Durchführung dieser Datenübermittlung Anwendung finden, und sie angemessene Schutzmaßnahmen für diese Datenübermittlungen bieten;
  • die Abschnitte 9 bis 11 oben Klausel 5 (Hierarchie) der EU SCCs außer Kraft setzen; und
  • das UK Addendum (einschließlich der darin enthaltenen EU SCCs) (1) dem Recht von England und Wales unterliegt und (2) alle daraus resultierenden Streitigkeiten von den Gerichten von England und Wales beigelegt werden.

Sofern die Parteien keine alternativen Änderungen vereinbart haben, die den Anforderungen von Abschnitt 12 dieses UK Addendum entsprechen, gelten die Bestimmungen von Abschnitt 15 dieses UK Addendum.

Es dürfen keine anderen Änderungen an den genehmigten EU SCCs vorgenommen werden, außer um die Anforderungen von Abschnitt 12 dieses UK Addendum zu erfüllen.

Die folgenden Änderungen an den EU SCCs (zum Zweck von Abschnitt 12 dieses UK Addendum) werden vorgenommen:

  • Verweise auf die "Klauseln" bedeuten dieses UK Addendum, einschließlich der EU SCCs;
  • In Klausel 2 werden die Worte gelöscht: "und, in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28(7) der Verordnung (EU) 2016/679";
  • Klausel 6 (Beschreibung der Übermittlung(en)) wird ersetzt durch: "Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien der übermittelten personenbezogenen Daten und der Zweck/die Zwecke, für die sie übermittelt werden, sind die in Anhang I.B angegebenen, sofern die UK Data Protection Laws auf die Verarbeitung durch den Datenexporteur bei der Durchführung dieser Übermittlung Anwendung finden.";
  • Klausel 8.7(i) von Modul 1 wird ersetzt durch: "es handelt sich um ein Land, das von Angemessenheitsvorschriften gemäß Abschnitt 17A der UK GDPR profitiert, die die Weiterübermittlung abdecken";
  • Klausel 8.8(i) der Module 2 und 3 wird ersetzt durch: "die Weiterübermittlung erfolgt in ein Land, das von Angemessenheitsvorschriften gemäß Abschnitt 17A der UK GDPR profitiert, die die Weiterübermittlung abdecken;"
  • Verweise auf "Verordnung (EU) 2016/679", "Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)" und "diese Verordnung" werden alle durch "UK Data Protection Laws" ersetzt. Verweise auf spezifische Artikel der "Verordnung (EU) 2016/679" werden durch den entsprechenden Artikel oder Abschnitt der UK Data Protection Laws ersetzt;
  • Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;
  • Verweise auf "Europäische Union", "Union", "EU", "EU-Mitgliedstaat", "Mitgliedstaat" und "EU oder Mitgliedstaat" werden alle durch "UK" ersetzt;
  • Der Verweis auf "Klausel 12(c)(i)" in Klausel 10(b)(i) von Modul 1 wird durch "Klausel 11(c)(i)" ersetzt;
  • Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;
  • Die "zuständige Aufsichtsbehörde" und "Aufsichtsbehörde" werden beide durch den "Information Commissioner" ersetzt;
  • In Klausel 16(e) wird Unterabschnitt (i) ersetzt durch: "der Staatssekretär erlässt Vorschriften gemäß Abschnitt 17A des Data Protection Act 2018, die die Übermittlung personenbezogener Daten abdecken, auf die diese Klauseln Anwendung finden;";
  • Klausel 17 wird ersetzt durch: "Diese Klauseln unterliegen dem Recht von England und Wales";
  • Klausel 18 wird ersetzt durch: "Alle Streitigkeiten aus diesen Klauseln werden von den Gerichten von England und Wales beigelegt." Eine betroffene Person kann auch rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten jedes Landes im Vereinigten Königreich einleiten. Die Parteien vereinbaren, sich der Zuständigkeit solcher Gerichte zu unterwerfen."; und
  • Die Fußnoten zu den genehmigten EU SCCs sind nicht Teil des UK Addendum, mit Ausnahme der Fußnoten 8, 9, 10 und 11.

Link to this sectionÄnderungen am UK Addendum#

Die Parteien können vereinbaren, Klausel 17 und/oder 18 der EU SCCs zu ändern, um auf die Gesetze und/oder Gerichte von Schottland oder Nordirland zu verweisen.

Falls die Parteien das Format der im Teil 1: Tabellen des genehmigten UK Addendum enthaltenen Informationen ändern möchten, können sie dies durch eine schriftliche Vereinbarung tun, sofern die Änderung die angemessenen Schutzmaßnahmen nicht verringert.

Von Zeit zu Zeit kann das ICO ein überarbeitetes genehmigtes UK Addendum herausgeben, das:

  • angemessene und verhältnismäßige Änderungen am genehmigten UK Addendum vornimmt, einschließlich der Korrektur von Fehlern im genehmigten UK Addendum; und/oder
  • Änderungen an den UK Data Protection Laws widerspiegelt.

Das überarbeitete genehmigte UK Addendum legt das Startdatum fest, ab dem die Änderungen am genehmigten UK Addendum wirksam sind, und ob die Parteien dieses UK Addendum einschließlich der Anhangsinformationen überprüfen müssen. Dieses UK Addendum wird automatisch wie im überarbeiteten genehmigten UK Addendum festgelegt ab dem angegebenen Startdatum geändert.

Wenn das ICO ein überarbeitetes genehmigtes UK Addendum gemäß Abschnitt 18 dieses UK Addendum herausgibt, und eine Partei als direkte Folge der Änderungen im genehmigten UK Addendum einen erheblichen, unverhältnismäßigen und nachweisbaren Anstieg hat bei:

  • ihren direkten Kosten für die Erfüllung ihrer Verpflichtungen gemäß dem UK Addendum; und/oder
  • ihrem Risiko unter dem UK Addendum,

und sie in beiden Fällen zuerst angemessene Schritte unternommen hat, um diese Kosten oder Risiken zu reduzieren, sodass sie nicht mehr erheblich und unverhältnismäßig sind, dann kann diese Partei dieses UK Addendum am Ende einer angemessenen Kündigungsfrist beenden, indem sie der anderen Partei vor dem Startdatum des überarbeiteten genehmigten UK Addendum eine schriftliche Mitteilung für diesen Zeitraum zukommen lässt.

Die Parteien benötigen nicht die Zustimmung eines Dritten, um Änderungen an diesem UK Addendum vorzunehmen, aber alle Änderungen müssen in Übereinstimmung mit seinen Bedingungen erfolgen.