Dieser Zusatz zur Datenverarbeitung („ DPA “) regelt die Verarbeitung von Kundendaten durch OpenAI (i) die der Kunde OpenAI über die API von OpenAI oder OpenAI-Dienste für Unternehmen („ API-Dienste “) bereitstellt, oder (ii) gemäß der Bereitstellung des ChatGPT Enterprise-Dienstes für Unternehmen durch OpenAI (die „ ChatGPT Enterprise-Dienste “) (für die Zwecke dieses DPA sind die API-Dienste und die ChatGPT Enterprise-Dienste zusammen die „ Dienste “) gemäß den Bedingungen der OpenAI-Geschäftsbedingungen (zu finden unter openai.com/policies/business-terms), des Enterprise-Agreements oder einer anderen Vereinbarung zwischen dem Kunden und OpenAI, die die Nutzung der Dienste durch den Kunden regelt (die „ Vereinbarung “) und wird hiermit in die Vereinbarung aufgenommen. Falls und soweit die Formulierungen in diesem DPA im Widerspruch zur Vereinbarung stehen, gelten die widersprüchlichen Bedingungen dieses DPA. Großgeschriebene Begriffe, die in diesem DPA nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung. Ausschließlich für die Zwecke dieser DPA umfasst der Begriff „ Kunde “ jedes mit dem Kunden verbundene Unternehmen, das (a) ein Bestellformular mit OpenAI abgeschlossen hat und das (b) direkt oder indirekt über die Kontrolle eines oder mehrerer Vermittler vom Kunden kontrolliert wird oder mit dem Kunden unter gemeinsamer Kontrolle steht.

Wenn der Kunde im EWR oder in der Schweiz ansässig ist, erbringt OpenAI Ireland Ltd die Dienste und schließt den Vertrag mit dem Kunden. Wenn der Kunde im Vereinigten Königreich oder an einem anderen Ort als dem EWR oder der Schweiz ansässig ist, erbringt OpenAI, LLC die Dienste und schließt den Vertrag mit dem Kunden. Für die Zwecke dieser DPA bezieht sich „ OpenAI “ auf die OpenAI-Einheit, die den Vertrag mit dem Kunden abschließt. 

OpenAI und der Kunde erklären sich jeweils damit einverstanden, ihren jeweiligen Verpflichtungen gemäß den geltenden Datenschutzgesetzen (zusammen „Datenschutzgesetze “ ) in Verbindung mit den Diensten nachzukommen. Zu den Datenschutzgesetzen können je nach den Umständen Cal. Civ. Code §§ 1798.100 ff., geändert durch den California Privacy Rights Act von 2020 (California Consumer Privacy Act) („ CCPA “), Colo. Rev. Stat. §§ 6-1-1301 ff. (Colorado Privacy Act) („ CPA “), Connecticut’s Data Privacy Act („ CTDPA “), Utah Code Ann. §§ 13-61-101 ff. (Utah Consumer Privacy Act) („ UCPA “), VA Code Ann. §§ 59.1-575 ff. gehören. (Virginia Consumer Data Protection Act) („ VCDPA “) (zusammen „ US-Datenschutzgesetze “), und die Datenschutz-Grundverordnung des Vereinigten Königreichs und/oder der Europäischen Union (Verordnung (EU) 2016/679) (zusammen die „ DSGVO “), sowie die geltenden untergeordneten Gesetze und Verordnungen zur Umsetzung dieser Gesetze.

Im Zusammenhang mit der Vereinbarung ist der Kunde die Person, die die Zwecke und Mittel bestimmt, mit denen Kundendaten (wie unten definiert) verarbeitet werden (ein „ Verantwortlicher “), während OpenAI Kundendaten gemäß den Anweisungen des Verantwortli-chen und im Namen des Verantwortli-chen (als „ Auftragsverarbeiter “) verarbeitet. „ Verantwortlicher “ und „ Auftragsverarbeiter “ bedeuten auch die entsprechenden Begriffe gemäß den Datenschutzgesetzen. Für die Zwecke der Vereinbarung und dieser DPA hat (i) „ Personenbezogene Daten “ die Bedeutung, die dem Begriff „personenbezogene Daten“ oder „persönliche Informationen“ gemäß den geltenden Datenschutzgesetzen zugewiesen wird; und (ii) „ Kundendaten “ bedeutet personenbezogene Daten, die der Kunde OpenAI bereitstellt, die OpenAI im Namen des Kunden verarbeitet, um die Dienste bereitzustellen. OpenAI verarbeitet Kundendaten als Auftragsverarbeiter des Kunden, um die Dienste bereitzustellen oder aufrechtzuerhalten und für die in dieser DPA, der Vereinbarung und/oder in anderen geltenden Vereinbarungen zwischen dem Kunden und OpenAI festgelegten Zwecke.

Als Datenverarbeiter verpflichtet sich OpenAI zu Folgendem:

a. Kundendaten nur verarbeiten (i) im Namen des Kunden zum Zweck der Bereitstellung und Unterstützung der Dienste von OpenAI (einschließlich der Bereitstellung von Einblicken, Berichten, Analysen und Überwachung von Plattformmissbrauch, Vertrauen und Sicherheit); (ii) in Übereinstimmung mit den schriftlichen Anweisungen des Kunden; und (iii) in einer Weise, die mindestens das durch die Datenschutzgesetze geforderte Maß an Datenschutz bietet;

b. den Kunden unverzüglich schriftlich darüber zu informieren, wenn OpenAI die Anforderungen dieser DPA nicht erfüllen kann;

c. dem Kunden keine Vergütung im Austausch für Kundendaten vom Kunden zu zahlen. Die Parteien erkennen an und stimmen zu, dass der Kunde keine Kundendaten an OpenAI „verkauft“ hat (wie dieser Begriff im CCPA definiert wird);

d. personenbezogene Daten nicht „verkaufen“ (wie dieser Begriff in den US-Datenschutzgesetzen definiert wird) oder „teilen“ (wie dieser Begriff im CCPA definiert wird);

e. den Kunden umgehend zu informieren, wenn nach Auffassung von OpenAI eine Anweisung des Kunden gegen geltende Datenschutzgesetze verstößt;

f. von (i) von ihm beschäftigten Personen und (ii) anderen Personen, die im Auftrag von OpenAI tätig werden, zu verlangen, dass sie einer Geheimhaltungspflicht in Bezug auf die Kundendaten unterliegen und die für OpenAI gemäß der Vereinbarung und dieser DPA geltenden Datenschutzverpflichtungen einhalten;

g. die unter https://platform.openai.com/subprocessors aufgeführten Organisationen oder Personen einbeziehen(öffnet neues Fenster)zur Verarbeitung von Kundendaten (jeder „ Unterauftragsverarbeiter “ und die Liste unter der vorgenannten URL die „ Unterauftragsverarbeiterliste “), um OpenAI bei der Erfüllung seiner Verpflichtungen gemäß dieser DPA zu unterstützen oder alle oder einen Teil der Verarbeitungsaktivitäten an solche Unterauftragsverarbeiter zu delegieren. Der Kunde stimmt hiermit der Verwendung solcher Unterauftragsverarbeiter zu. Wenn der Kunde E-Mail-Benachrichtigungen abonniert, wie sie auf der Website der Unterauftragsverarbeiterliste bereitgestellt werden, wird OpenAI den Kunden mindestens 15 Tage vor Inkrafttreten der Änderungen über alle Änderungen informieren, die OpenAI an der Unterauftragsverarbeiterliste vornehmen möchte (dies kann per E-Mail, durch einen Beitrag oder eine Benachrichtigung auf einem Online-Portal für unsere Dienste oder auf andere angemessene Weise erfolgen). Für den Fall, dass der Kunde der Verwendung eines solchen zusätzlichen Unterauftragsverarbeiters nicht zustimmen möchte, kann der Kunde OpenAI innerhalb von fünfzehn (15) Tagen aus angemessenen Gründen im Zusammenhang mit dem Schutz der Kundendaten darüber informieren, dass er nicht zustimmt, indem er den Anweisungen in der Unterauftragsverarbeiterliste folgt oder sich an privacy@openai.com wendet.. In diesem Fall hat OpenAI das Recht, den Einspruch auf eine der folgenden Arten zu beheben: (i) OpenAI gibt seine Pläne auf, den Unterverarbeiter zur Verarbeitung von Kundendaten zu nutzen, oder bietet eine Alternative zur Bereitstellung seiner Dienste oder Dienstleistungen ohne einen solchen Unterverarbeiter an; (ii) OpenAI ergreift die vom Kunden in der Einspruchsmitteilung geforderten Abhilfemaßnahmen und setzt den Unterverarbeiter weiterhin ein; (iii) OpenAI stellt möglicherweise die Bereitstellung des bestimmten Aspekts oder der Funktion der OpenAI-Dienste oder -Dienstleistungen ein, die die Verwendung eines solchen Unterverarbeiters erfordern würde, oder der Kunde erklärt sich damit einverstanden, den bestimmten Aspekt oder die Funktion vorübergehend oder dauerhaft nicht zu nutzen; oder (iv) der Kunde stellt möglicherweise die Bereitstellung von Kundendaten an OpenAI zur Verarbeitung unter Beteiligung eines solchen Unterverarbeiters ein. Wenn nach vernünftigem Ermessen von OpenAI keine der oben genannten Optionen kommerziell umsetzbar ist und die Einwände nicht innerhalb von dreißig (30) Tagen nach Erhalt der Einspruchsmitteilung des Kunden bei OpenAI zur Zufriedenheit der Parteien gelöst wurden, kann jede Partei alle Abonnements, Bestellformulare oder Nutzungen in Bezug auf die Dienste kündigen, die ohne die Nutzung des neuen Unterauftragsverarbeiters nicht bereitgestellt werden können, und in einem solchen Fall werden dem Kunden alle im Voraus bezahlten Gebühren für die entsprechenden Abonnements, Bestellformulare oder Nutzungen erstattet, sofern sie Zeiträume oder Laufzeiten nach dem Datum einer solchen Kündigung abdecken. Dieses Kündigungsrecht ist das einzige und ausschließliche Rechtsmittel des Kunden, wenn dieser Einwände gegen einen neuen Unterauftragsverarbeiter erhebt. OpenAI wird mit jedem Unterauftragsverarbeiter vertragliche Vereinbarungen treffen, die diese verpflichten, ein vergleichbares Maß an Datenschutz und Informationssicherheit wie hierin vorgesehen bereitzustellen. Vorbehaltlich der im Vertrag enthaltenen Haftungsbeschränkungen erklärt sich OpenAI damit einverstanden, für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang haftbar zu sein, in dem OpenAI gemäß den Bedingungen des DPA haftbar wäre, wenn es solche Handlungen oder Unterlassungen selbst vornehmen würde;

h. dem Kunden auf angemessene Anfrage höchstens einmal pro Jahr die Datenschutz- und Sicherheitsrichtlinien von OpenAI sowie andere Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung der in dieser DPA und den geltenden Datenschutzgesetzen festgelegten Verpflichtungen erforderlich sind;

i. sofern gesetzlich vorgeschrieben und nach angemessener Vorankündigung und entsprechenden Vertraulichkeitsvereinbarungen bei Bewertungen, Audits oder anderen Schritten mitwirken, die vom Kunden oder in dessen Namen auf alleinige Kosten des Kunden und in einer Weise durchgeführt werden, die das Geschäft von OpenAI so wenig wie möglich stört und die erforderlich sind, um zu bestätigen, dass OpenAI Kundendaten in einer mit dieser DPA übereinstimmenden Weise verarbeitet. Soweit gesetzlich zulässig, kann OpenAI dem Kunden stattdessen eine Zusammenfassung der Ergebnisse eines Audits oder Zertifizierungsberichtes durch Dritte zur Verfügung stellen, die für die Einhaltung dieser DPA durch OpenAI relevant sind. Diese Ergebnisse und/oder die Ergebnisse solcher Bewertungen, Audits oder anderer Schritte sind vertrauliche Informationen von OpenAI;

j. Sofern der Kunde OpenAI gestattet oder anweist, im Rahmen der Dienste Kundendaten, die den US-Datenschutzgesetzen unterliegen, in anonymisierter und/oder aggregierter Form zu verarbeiten, (i) wird OpenAI angemessene Maßnahmen ergreifen, um zu verhindern, dass diese anonymisierten Daten verwendet werden, um auf Informationen über eine bestimmte natürliche Person oder einen bestimmten Haushalt zu schließen oder anderweitig mit dieser verknüpft zu werden; (ii) keinen Versuch unternehmen, die Informationen erneut zu identifizieren, mit der Ausnahme, dass OpenAI dies ausschließlich zu dem Zweck versuchen darf, festzustellen, ob seine De-Identifizierungsprozesse den Datenschutzgesetzen entsprechen oder wie vorgesehen funktionieren; und (iii) alle Empfänger vertraglich dazu verpflichten, die Anforderungen dieser Bestimmung einzuhalten, bevor anonymisierte Daten an Dritte, einschließlich Unterverarbeiter, weitergegeben werden;

k. sofern die Kundendaten dem CCPA unterliegen, (i) Kundendaten nicht aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten, außer wenn dies für die im Vertrag oder dieser DPA festgelegten Geschäftszwecke erforderlich ist; (ii) Kundendaten nicht in irgendeiner Weise außerhalb der direkten Geschäftsbeziehung zwischen OpenAI und dem Kunden aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten; oder (iii) Kundendaten nicht mit personenbezogenen Daten kombinieren, die OpenAI von oder im Auftrag anderer Dritter erhält oder aus OpenAIs eigenen Interaktionen mit Einzelpersonen erhebt, vorausgesetzt, dass OpenAI Kundendaten für einen gemäß dem CCPA zulässigen Zweck kombinieren darf, wenn es vom Kunden dazu angewiesen wird oder wie es anderweitig durch das CCPA gestattet ist;

l. Sofern gesetzlich vorgeschrieben, dem Kunden das Recht einräumen, (i) durch Ausübung der oben in dieser DPA dargelegten Prüfbestimmungen angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass OpenAI die Kundendaten in einer mit den Datenschutzgesetzen vereinbaren Weise verwendet, und (ii) die unbefugte Verwendung der Kundendaten zu unterbinden und zu beheben, beispielsweise indem OpenAI eine schriftliche Bestätigung verlangt, dass die betreffenden Kundendaten gelöscht wurden.

OpenAI informiert den Kunden, wenn OpenAI Kenntnis von Folgendem erlangt:

a. jede rechtlich bindende Aufforderung einer Strafverfolgungsbehörde zur Offenlegung von Kundendaten, es sei denn, OpenAI ist es gesetzlich anderweitig untersagt, den Kunden zu informieren, beispielsweise um die Vertraulichkeit einer Untersuchung durch Strafverfolgungsbehörden zu wahren;

b. jede Mitteilung, Anfrage oder Untersuchung einer von einem Mitgliedsstaat gemäß Artikel 51 der DSGVO eingerichteten unabhängigen öffentlichen Behörde (eine „Aufsichtsbehörde“) in Bezug auf Kundendaten; oder

c. jegliche Beschwerden oder Anfragen (insbesondere Anfragen zum Zugriff auf, zur Berichtigung oder Sperrung von Kundendaten), die direkt von den betroffenen Personen des Kunden eingehen. OpenAI wird auf derartige Anfragen nicht ohne vorherige schriftliche Genehmigung des Kunden antworten.

OpenAI bietet dem Kunden angemessene Unterstützung hinsichtlich:

a. Informationen, die unter Berücksichtigung der Art der Verarbeitung erforderlich sind, um auf Anfragen zu reagieren, die gemäß Datenschutzgesetzen von betroffenen Personen des Kunden in Bezug auf den Zugriff auf oder die Berichtigung, Löschung, Einschränkung, Portabilität, Einspruch, Sperrung oder Löschung von Kundendaten, die OpenAI für den Kunden verarbeitet, eingehen. Für den Fall, dass eine betroffene Person eine solche Anfrage direkt an OpenAI sendet, wird OpenAI diese Anfrage umgehend an den Kunden weiterleiten;

b. die Untersuchung jeglicher Verletzung der Sicherheit von OpenAI, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf von OpenAI für den Kunden verarbeitete Kundendaten führt (eine „Verletzung des Schutzes personenbezogener Daten“); und

c. gegebenenfalls die Erstellung von Datenschutz-Folgenabschätzungen im Hinblick auf die Verarbeitung von Kundendaten durch OpenAI und, falls erforderlich, die Durchführung von Konsultationen mit allen für diese Verarbeitung zuständigen Aufsichtsbehörden.

Wenn OpenAI durch Datenschutzgesetze dazu verpflichtet ist, Kundendaten aus einem anderen Grund als im Zusammenhang mit der Vereinbarung zu verarbeiten, wird OpenAI den Kunden vor einer solchen Verarbeitung über diese Anforderung informieren, sofern dies nicht gesetzlich verboten ist.

OpenAI wird:

a. angemessene und geeignete organisatorische und technische Sicherheitsmaßnahmen aufrechterhalten, einschließlich, aber nicht beschränkt auf die in Anlage B zu dieser DPA beschriebenen Maßnahmen (einschließlich in Bezug auf Personal, Einrichtungen, Hardware und Software, Speicher und Netzwerke, Zugriffskontrollen, Überwachung und Protokollierung, Erkennung von Schwachstellen und Verstößen, Reaktion auf Vorfälle und Verschlüsselung), um vor unbefugtem oder versehentlichem Zugriff, Verlust, Änderung, Offenlegung oder Zerstörung von Kundendaten zu schützen und die Rechte der Betroffenen dieser Kundendaten zu schützen;

b. geeignete Schritte unternehmen, um sicherzustellen, dass das Personal von OpenAI die Sicherheit, den Datenschutz und die Vertraulichkeit der Kundendaten im Einklang mit den Anforderungen dieser DPA schützt; und

c. den Kunden über jegliche Verletzung des Schutzes personenbezogener Daten durch OpenAI, seine Unterauftragsverarbeiter oder sonstige im Namen von OpenAI handelnde Drittparteien unverzüglich zu benachrichtigen, nachdem OpenAI von der jeweiligen Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat.

a. Der Kunde vertritt, garantiert und verpflichtet sich, dass er über alle erforderlichen Rechte, Zustimmungen und Genehmigungen verfügt und diese während der gesamten Laufzeit aufrechterhält, um die Kundendaten an OpenAI weiterzugeben und OpenAI zu ermächtigen, die Kundendaten gemäß dieser DPA, der Vereinbarung und/oder anderen an OpenAI übermittelten Verarbeitungsanweisungen zu verwenden, offenzulegen, aufzubewahren und anderweitig zu verarbeiten.

b. Der Kunde verpflichtet sich, alle geltenden Datenschutzgesetze einzuhalten.

c. Der Kunde arbeitet in angemessener Weise mit OpenAI zusammen, um OpenAI bei der Erfüllung seiner Verpflichtungen im Hinblick auf Anfragen von betroffenen Personen des Kunden zu unterstützen.

d. Unbeschadet der Sicherheitsverpflichtungen von OpenAI in Abschnitt 5 dieser DPA erkennt der Kunde an und stimmt zu, dass er und nicht OpenAI für bestimmte Konfigurationen und Designentscheidungen für die Dienste verantwortlich ist und dass der Kunde und nicht OpenAI für die sichere Implementierung dieser Konfigurationen und Designentscheidungen verantwortlich ist, die den geltenden Datenschutzgesetzen entspricht.  

e. Der Kunde darf OpenAI keine Kundendaten zur Verfügung stellen, außer über vereinbarte Mechanismen. Beispielsweise darf der Kunde keine anderen Kundendaten als technische Kontaktinformationen angeben oder in technischen Support-Tickets Benutzerkundendaten per E-Mail an OpenAI übermitteln. Ohne Einschränkung des Vorstehenden erklärt, garantiert und verpflichtet sich der Kunde, Kundendaten nur unter Verwendung sicherer, angemessener und geeigneter Mechanismen an OpenAI zu übertragen, sofern diese Mechanismen innerhalb der Kontrolle des Kunden liegen.

f. Der Kunde darf keine Maßnahmen ergreifen, die (i) die Bereitstellung von Kundendaten an OpenAI zu einem „Verkauf“ gemäß den US-Datenschutzgesetzen oder einer „Weitergabe“ gemäß dem CCPA (oder gleichwertigen Konzepten gemäß den US-Datenschutzgesetzen) machen würden; oder (ii) dazu führen würden, dass OpenAI kein „Dienstanbieter“ gemäß dem CCPA oder „Auftragsverarbeiter“ gemäß den US-Datenschutzgesetzen ist.

a. OpenAI Ireland Ltd. verarbeitet vom Kunden bereitgestellte Kundendaten, die aus dem EWR oder der Schweiz stammen. Soweit OpenAI Ireland Ltd. Kundendaten an andere OpenAI-Tochtergesellschaften in Rechtsräumen überträgt, die nicht das gleiche Datenschutzniveau bieten, erfolgt dies auf der Grundlage konzerninterner Vereinbarungen, die geeignete Bestimmungen zu Übertragungsmechanismen zum Schutz der Kundendaten enthalten. Zu solchen Mechanismen können die von der EU-Kommission am 4. Juni 2021 angenommenen Standardvertragsklauseln (in der jeweils gültigen Fassung) („ EU-SCCs “) oder ein von der Europäischen Kommission gemäß Artikel 45 DSGVO erlassener Angemessenheitsbeschluss gehören. 

b. OpenAI OpCo, LLC verarbeitet Kundendaten, die von Kunden mit Sitz im Vereinigten Königreich bereitgestellt werden, gemäß den EU-SCCs in der durch den UK-Nachtrag zu den EU-SCCs geänderten Fassung, die vom Information Commissioner gemäß Abschnitt 119A(1) des Data Protection Act 2018 („ UK-Nachtrag “) herausgegeben wurde und als eingegangen (und durch diesen Verweis in diese DPA aufgenommen) und wie folgt ausgefüllt gelten (jeweils in der durch den UK-Nachtrag geänderten Fassung, sofern relevant und anwendbar): i. Modul Zwei (Verantwortlicher an Auftragsverarbeiter) der EU-SCCs gilt, wenn der Kunde ein Verantwortlicher ist und OpenAI Kundendaten als Auftragsverarbeiter verarbeitet. ii. Modul Drei (Auftragsverarbeiter an Unterauftragsverarbeiter) der EU-SCCs gilt, wenn der Kunde ein Auftragsverarbeiter ist und OpenAI Kundendaten als Unterauftragsverarbeiter verarbeitet.

c. Für jedes Modul der EU SCCs gilt, sofern zutreffend, Folgendes:  i. Die optionale Docking-Klausel in Klausel 7 findet keine Anwendung; ii. In Klausel 9 findet Option 2 (allgemeine schriftliche Genehmigung) Anwendung, und die Mindestfrist für die Vorankündigung von Änderungen des Unterauftragsverarbeiters entspricht der in Abschnitt 1(g) dieser DPA festgelegten Frist. iii. In Klausel 11 findet die optionale Formulierung keine Anwendung; iv. Alle eckigen Klammern in Klausel 13 werden hiermit entfernt; v. In Klausel 17 (Option 1) unterliegen die EU SCCs dem Recht von England und Wales; vi. In Klausel 18(b) werden Streitigkeiten vor den Gerichten von England und Wales beigelegt; vii. Anlage A zu dieser DPA enthält die in Anhang I und Anhang III der EU SCCs erforderlichen Informationen; viii. Anlage B zu dieser DPA enthält die in Anhang II der EU SCCs erforderlichen Informationen; und 

d. Die Parteien werden die Bestimmungen von Teil 2: Obligatorische Klauseln des genehmigten Nachtrags einhalten, wobei es sich um den Musternachtrag B1.0 handelt. Die Parteien vereinbaren außerdem (i) dass die in Teil 1 des UK-Nachtrags enthaltenen Informationen den Angaben in Anlage A zu dieser DPA entsprechen und (ii) dass jede Partei den UK-Nachtrag gemäß Abschnitt 19 des UK-Nachtrags beenden kann.

Diese DPA bleibt in Kraft, solange OpenAI im Auftrag des Kunden Kundendatenverarbeitungsvorgänge durchführt oder bis die Vereinbarung gekündigt wird (und alle Kundendaten gemäß dieser DPA zurückgegeben oder gelöscht wurden). OpenAI speichert über die API gesendete API-Service-Kundendaten für maximal dreißig (30) Tage und löscht sie danach, es sei denn, OpenAI ist gemäß geltenden Gesetzen verpflichtet, Kopien aufzubewahren. In diesem Fall isoliert und schützt OpenAI diese Kundendaten vor jeglicher weiterer Verarbeitung, außer in dem gesetzlich vorgeschriebenen Umfang. OpenAI speichert Kundendaten des ChatGPT Enterprise Service während der Laufzeit der Vereinbarung, sofern in der Vereinbarung oder im Bestellformular nichts anderes angegeben ist. Bei Beendigung der DPA weist OpenAI jeden Unterauftragsverarbeiter an, die Kundendaten innerhalb von dreißig (30) Tagen nach Beendigung der DPA zu löschen, sofern dies nicht gesetzlich verboten ist. Zur Klarstellung: OpenAI kann weiterhin Informationen verarbeiten, die aus Kundendaten stammen, die deidentifiziert, anonymisiert und/oder aggregiert wurden, sodass die Daten gemäß den geltenden Datenschutzgesetzen nicht mehr als personenbezogene Daten gelten und in einer Weise, die weder Einzelpersonen noch Kunden identifiziert, um die Systeme und Dienste von OpenAI zu verbessern.

A. LISTE DER PARTEIEN

Datenexporteur(e): der in den jeweiligen Registrierungsdokumenten für die Dienste angegebene Dienstkunde.

Datenimporteur(e):

Name: OpenAI OpCo, LLC

Adresse: 3180 18th St., San Francisco, CA 94110

Name, Position und Kontaktdaten der Kontaktperson:

Leiter der Handelsrechtsabteilungprivacy@openai.comAktivitäten, die für die im Rahmen dieser Klauseln übertragenen Daten relevant sind: Die Erbringung der in der Vereinbarung beschriebenen Dienste, der diese Klauseln beigefügt sind.

Unterschrift und Datum:    

Rolle (Verantwortlicher/Auftragsverarbeiter):

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden

Benutzer von Datenexportanwendungen.

Kategorien der übermittelten personenbezogenen Daten

Name, Kontaktinformationen, demografische Informationen oder andere vom Benutzer in unstrukturierten Daten bereitgestellte Informationen.

Übertragen vertraulicher Daten (sofern zutreffend) und angewandte Beschränkungen oder Sicherheitsvorkehrungen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie beispielsweise eine strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich des Zugriffs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), das Führen eines Protokolls über den Zugriff auf die Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.

Es ist nicht beabsichtigt, vertrauliche Daten zu übertragen, es sei denn, der Benutzer fügt sie unerwartet in unstrukturierte Daten ein.

Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).

Kontinuierlich.

Art der Verarbeitung

Die Erbringung der in der Vereinbarung beschriebenen Leistungen, der diese Anlage beigefügt ist.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Die Erbringung der in der Vereinbarung beschriebenen Leistungen, der diese Anlage beigefügt ist.

die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Während der Laufzeit des Vertrages

Bei Übermittlungen an (Unter-)Auftragsverarbeiter geben Sie auch Gegenstand, Art und Dauer der Verarbeitung an

Die Erbringung der in der Vereinbarung beschriebenen Leistungen, der diese Anlage beigefügt ist.

Identifizierung der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13

Büro des Datenschutzbeauftragten („ICO“).

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT

Die Mission von OpenAI besteht darin, sichere und verantwortungsvolle KI in großem Maßstab zum Nutzen aller einzusetzen. In Übereinstimmung mit dieser Mission unterhält OpenAI ein Informationssicherheitsprogramm, das darauf ausgelegt ist, seine Systeme, Daten und Kundendaten zu schützen. Dieser Anhang beschreibt das Informationssicherheitsprogramm und die Sicherheitsstandards, die OpenAI in Bezug auf die Dienste und den Umgang mit Daten aufrechterhält, die vom Kunden der Dienste oder in dessen Namen übermittelt werden (die „Kundendaten“). Großgeschriebene Begriffe, die in diesem Anhang nicht definiert sind, haben die ihnen in der DPA oder Vereinbarung zugewiesene Bedeutung.

ChatGPT Enterprise ist ein neuer OpenAI-Dienst und daher gelten bestimmte technische oder Sicherheitsmaßnahmen unten anders für ChatGPT Enterprise; in jedem Fall ist dieser Unterschied kursiv hervorgehoben . „ChatGPT Enterprise“ ist die Version des KI-gestützten ChatGPT-Sprachmodells von OpenAI, die für Unternehmen verfügbar ist.

Weitere Informationen zu den technischen und organisatorischen Sicherheitsmaßnahmen von OpenAI zum Schutz von Kundendaten finden Sie im OpenAI Trust Portal unter https://trust.openai.com/. (öffnet neues Fenster)(das „Trust Portal“). Die nachstehenden Sicherheitsmaßnahmen umfassen die Teilmenge der im Trust Portal verfügbaren Informationen, die für diese DPA gelten.

Corporate Identity, Authentifizierung und Autorisierungskontrollen. OpenAI verwendet die branchenweit bewährtesten Methoden zur Authentifizierung und Autorisierung des internen Mitarbeiter- und Servicezugriffs, einschließlich der folgenden Maßnahmen:

• OpenAI verwendet Single Sign-On (SSO) zur Authentifizierung bei Diensten von Drittanbietern, die bei der Bereitstellung der Dienste verwendet werden. Rollenbasierte Zugriffskontrollen (RBAC) werden bei der Bereitstellung des internen Zugriffs auf die Dienste verwendet.

• Zur Authentifizierung beim Identitätsanbieter von OpenAI wird eine obligatorische Multi-Faktor-Authentifizierung verwendet.

• Jedem Benutzer werden eindeutige Anmeldekennungen zugewiesen.

• Etablierte Überprüfungs- und Genehmigungsprozesse für alle Zugriffsanfragen auf Dienste, die Kundendaten speichern;

• Regelmäßige Zugriffsprüfungen, um sicherzustellen, dass die Zugriffsebenen für die Rollen der einzelnen Benutzer geeignet sind;

• Festgelegte Verfahren für den umgehenden Widerruf von Zugriffsrechten beim Ausscheiden von Mitarbeitern;

• Etablierte Verfahren zum Melden und Widerrufen kompromittierter Anmeldeinformationen wie Passwörtern und API-Schlüssel); und

• Etablierte Verfahren zum Zurücksetzen von Passwörtern, einschließlich Verfahren zur Überprüfung der Identität eines Benutzers vor der Vergabe eines neuen, Ersatz- oder temporären Passworts.

Kontrollen zur Kundenidentität, Authentifizierung und Autorisierung. OpenAI wendet die branchenweit bewährtesten Methoden zur Authentifizierung und Autorisierung von Kunden für die Dienste an, darunter die folgenden Maßnahmen:

• Nutzung eines Identitätszugriffsverwaltungsdienstes eines Drittanbieters zur Verwaltung der Kundenidentität, was bedeutet, dass OpenAI die vom Benutzer bereitgestellten Passwörter nicht im Namen der Benutzer speichert; und

• Logische Trennung der Kundendaten nach Organisationskonto durch eindeutige Kennungen. Innerhalb eines Organisationskontos werden eindeutige Benutzerkonten unterstützt.

• Cloud-Infrastruktur und Netzwerksicherheit. OpenAI wendet die branchenweit bewährtesten Methoden zur Sicherung und zum Betrieb seiner Cloud-Infrastruktur an, darunter die folgenden Maßnahmen:

• Separate Produktions- und Nicht-Produktionsumgebungen;

• Primäre Backend-Ressourcen werden hinter einem VPN bereitgestellt.

• Die Dienste werden regelmäßig auf Sicherheitslücken überprüft.

• Anwendungsgeheimnisse und Dienstkonten werden von einem Geheimnisverwaltungsdienst verwaltet.

• Netzwerksicherheitsrichtlinien und Firewalls sind für den Zugriff mit den geringsten Berechtigungen auf einen vorab festgelegten Satz zulässiger Datenströme konfiguriert. Nicht zulässige Datenströme werden blockiert.

• Die Dienstprotokolle werden hinsichtlich Sicherheit und Verfügbarkeit überwacht.

System- und Workstation-Kontrolle. OpenAI verwendet die branchenweit bewährtesten Methoden zur Sicherung der Unternehmenssysteme von OpenAI, einschließlich Laptops und Infrastruktur vor Ort, darunter:

• Endpunktverwaltung von Unternehmensarbeitsstationen;

• Endpunktverwaltung mobiler Geräte;

• Automatische Anwendung von Sicherheitskonfigurationen auf Arbeitsstationen;

• Obligatorisches Patchmanagement; und

• Pflege entsprechender Sicherheitsprotokolle.

Datenzugriffskontrolle. OpenAI verwendet branchenweit bewährte Verfahren, um zu verhindern, dass autorisierte Benutzer über ihre autorisierten Zugriffsrechte hinaus auf Daten zugreifen, und um die unbefugte Eingabe, das Lesen, Kopieren, Entfernen, Ändern oder Offenlegen von Daten zu verhindern. Zu diesen Maßnahmen gehören die folgenden:

• Der Zugriff der Mitarbeiter auf die Dienste erfolgt nach dem Prinzip der geringsten Privilegien. Nur Mitarbeiter, deren Arbeitsfunktion die Unterstützung der Bereitstellung von Diensten umfasst, sind für die Dienstumgebung berechtigt.

• An die Dienste übermittelte Kundendaten werden ausschließlich in Übereinstimmung mit den Bedingungen der DPA, der Vereinbarung und etwaigen anderen geltenden vertraglichen Vereinbarungen mit dem Kunden verwendet.

Offenlegungskontrolle. OpenAI wendet die branchenweit bewährtesten Verfahren an, um den unbefugten Zugriff, die Änderung oder Entfernung von Daten während der Übertragung zu verhindern und alle Übertragungen zu sichern und zu protokollieren. Zu diesen Maßnahmen gehören:

• Verschlüsselung ruhender Daten in Produktionsdatenspeichern mithilfe starker Verschlüsselungsalgorithmen;

• Verschlüsselung von Daten während der Übertragung;

• Prüfpfad für alle Datenzugriffsanforderungen für Produktionsdatenspeicher;

• Vollständige Festplattenverschlüsselung auf allen Unternehmensarbeitsstationen erforderlich;

• Auf allen Unternehmensarbeitsstationen sind Geräteverwaltungskontrollen erforderlich;

• Einschränkungen bei der Verwendung tragbarer oder entfernbarer Datenträger; und

• Kundendaten können auf Anfrage gelöscht werden.

Verfügbarkeitskontrolle. OpenAI wendet die branchenweit bewährtesten Methoden an, um die Funktionalität der Dienste bei versehentlicher oder böswilliger Verwendung aufrechtzuerhalten, darunter:

• Sicherstellung, dass die Systeme im Falle einer Unterbrechung wiederhergestellt werden können;

• Sicherstellen, dass die Systeme funktionieren und Fehler gemeldet werden; und

• In unserer gesamten Umgebung wurden umfassend Lösungen zur Anti-Malware- und Angriffserkennung/-prävention implementiert.

Trennungskontrolle. OpenAI verwendet bewährte Branchenmethoden für die getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erfasst werden, darunter:

• Logische Trennung von Kundendaten;

• Einschränkung des Zugriffs auf für unterschiedliche Zwecke gespeicherte Daten je nach Rolle und Verantwortung des Personals;

• Trennung der Funktionen von Unternehmensinformationssystemen; und

• Trennung von Test- und Produktionsinformationssystemumgebungen.

Risikomanagement. OpenAI verwendet branchenweit bewährte Methoden zur Erkennung und Verwaltung von Cybersicherheitsrisiken, darunter:

• Bedrohungsmodellierung zum Dokumentieren und Priorisieren von Sicherheitsrisikoquellen zwecks Priorisierung und Behebung;

• Mindestens einmal jährlich werden Penetrationstests für die Dienste durchgeführt und alle identifizierten Abhilfemaßnahmen werden so schnell wie möglich nach einem Zeitplan behoben, der dem damit verbundenen Risiko angemessen ist. Auf Anfrage stellt OpenAI eine Zusammenfassung der durchgeführten Tests zur Verfügung und gibt an, ob die identifizierten Probleme behoben wurden.

• Jährliche Beauftragung eines qualifizierten, unabhängigen externen Prüfers zur Durchführung regelmäßiger Überprüfungen der Sicherheitspraktiken von OpenAI anhand anerkannter Prüfstandards, einschließlich SOC 2 Typ II-Zertifizierungsprüfungen. Auf angemessene Anfrage stellt OpenAI zusammenfassende Einzelheiten zur Verfügung; und

• Ein Schwachstellenmanagementprogramm, das die umgehende Behebung von Schwachstellen gewährleistet, die die Dienste beeinträchtigen.

Personal. OpenAI wendet die branchenweit bewährtesten Verfahren zur Überprüfung, Schulung und Verwaltung von Personal in Bezug auf Sicherheitsfragen an, darunter:

• Soweit gesetzlich zulässig, Hintergrundüberprüfungen von Mitarbeitern, die Zugriff auf Kundendaten haben oder andere Aspekte der Dienste unterstützen;

• Jährliche Sicherheitsschulungen für Mitarbeiter und gegebenenfalls zusätzliche Sicherheitsschulungen.

Physische Zugangskontrolle. OpenAI wendet die branchenweit bewährtesten Methoden an, um unbefugten physischen Zugang zu OpenAI-Einrichtungen zu verhindern, darunter:

• Physische Barrierekontrollen, einschließlich verschlossener Türen und Tore;

• 24-Stunden-Sicherheitspersonal vor Ort;

• 24-Stunden-Videoüberwachungs- und Alarmsysteme, einschließlich Videoüberwachung der Gemeinschaftsbereiche sowie der Ein- und Ausgänge der Anlage;

• Zugangskontrollsysteme, die biometrische Daten oder einen Lichtbildausweis und eine PIN für den Zutritt des OpenAI-Personals zu allen OpenAI-Einrichtungen erfordern;

• Besucheridentifikation, Anmelde- und Begleitprotokolle; und

• Protokollierung des Verlassens und Betretens der Anlage.

Risikomanagement für Dritte. OpenAI wendet die branchenweit bewährtesten Verfahren zur Verwaltung von Sicherheitsrisiken Dritter an, auch in Bezug auf Unterauftragsverarbeiter oder Unterauftragnehmer, denen OpenAI Kundendaten bereitstellt. Dazu gehören die folgenden Maßnahmen:

• Schriftliche Verträge, die sicherstellen sollen, dass jeder Vertreter sich verpflichtet, angemessene und geeignete Sicherheitsvorkehrungen zum Schutz der Kundendaten zu treffen; und

• Sicherheitsbewertungen der Anbieter: Alle Drittparteien werden einem formellen Anbieterbewertungsprozess unterzogen, der vom Sicherheitsteam von OpenAI durchgeführt wird.

Reaktion auf Sicherheitsvorfälle. OpenAI unterhält einen Reaktionsplan für Sicherheitsvorfälle, um auf Ereignisse zu reagieren und diese zu beheben, die die Vertraulichkeit, Verfügbarkeit oder Integrität der Dienste oder Kundendaten gefährden. Dazu gehören die folgenden Punkte:

• OpenAI aggregiert Systemprotokolle aus Sicherheitsgründen und zur allgemeinen Beobachtung aus einer Reihe von Systemen, um die Erkennung und Reaktion zu erleichtern.

• Wenn OpenAI feststellt, dass es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, wird OpenAI den Kunden gemäß DPA hierüber benachrichtigen.

Sicherheitsbewertungen. OpenAI führt regelmäßige Sicherheits- und Schwachstellentests durch, um zu beurteilen, ob wichtige Kontrollen ordnungsgemäß implementiert und im Vergleich zu den Sicherheitsstandards der Branche sowie den Richtlinien und Verfahren des Unternehmens wirksam sind, und um die fortlaufende Einhaltung der durch Gesetz, Verordnung oder Vertrag auferlegten Verpflichtungen in Bezug auf die Sicherheit der Kundendaten sowie die Wartung und Struktur der Informationssysteme von OpenAI sicherzustellen.