Diese Bedingungen legen die zusätzlichen Bestimmungen fest, die der Lieferant einhalten muss, wenn er im Zusammenhang mit der Lieferung von Waren an Fitbit oder der Erbringung von Dienstleistungen oder Software für Fitbit auf Fitbit-Daten, Fitbit-Systeme oder Fitbit-Einrichtungen (wie unten definiert) zugreift, und ergänzen die Fitbit Lieferantenbedingungen.

ZUGANG ZU FITBIT-SYSTEMEN UND -EINRICHTUNGEN

Zugang, falls vorhanden, zu Fitbit-Daten, die aus der Lieferung von Waren durch den Lieferanten an Fitbit oder der Bereitstellung von Dienstleistungen oder Software für Fitbit gemäß dieser Vereinbarung resultieren ("Fitbit-Daten"), sowie Hardware, Software oder Systeme, die von Fitbit genutzt oder zur Verfügung gestellt werden ("Fitbit-Systeme"), wird ausschließlich gewährt, um es dem Lieferanten zu ermöglichen, Fitbit die Waren zu liefern oder Fitbit Dienstleistungen oder Software zur Verfügung zu stellen, und ist auf diejenigen spezifischen Fitbit-Systeme, Zeiträume und Mitarbeiter beschränkt, die von Fitbit von Zeit zu Zeit nach eigenem Ermessen festgelegt werden. Im Zusammenhang mit dem Zugang zu den Fitbit-Systemen wird der Lieferant alle Richtlinien, Standards, Verpflichtungen und Vorgaben zur Datensicherheit und zur Geschäftskontrolle sowie zum Informationsschutz einhalten, die von Fitbit nach eigenem Ermessen von Zeit zu Zeit festgelegt werden können. Der Lieferant wird die Fitbit-Systeme nicht während anderer Zeiträume oder durch nicht von Fitbit autorisierte Personen nutzen. Jede andere Nutzung eines Fitbit-Systems ist ausdrücklich untersagt. Ohne das Vorstehende einzuschränken, gewährleistet der Lieferant, dass er über angemessene Sicherheitsmaßnahmen verfügt, um die vorstehenden Verpflichtungen zu erfüllen und um sicherzustellen, dass der hiernach gewährte Zugriff die Integrität und Verfügbarkeit der Fitbit-Systeme nicht beeinträchtigt. Soweit dem Lieferanten Zugang zu Einrichtungen von Fitbit ("Fitbit-Einrichtungen") gewährt wird, wird der Lieferant alle Sicherheits-, Kontroll-, Schutz- und sonstigen Richtlinien und Vorgaben einhalten, die Fitbit von Zeit zu Zeit vorgibt, und haftet allein für seine Handlungen oder Unterlassungen, während er sich an einem Standort aufhält, insbesondere für solche, die zu Personen- oder Sachschäden führen.

PERSONENBEZOGENE DATEN

Wenn der Lieferant im Zusammenhang mit unserer Geschäftsbeziehung Fitbit-Daten verarbeitet, die personenbezogene Daten von Fitbit-Kunden und/oder -Mitarbeitern enthalten, verpflichtet sich der Lieferant zur Einhaltung der folgenden Bestimmungen:

• Der Lieferant darf personenbezogene Daten zu jedem Zeitpunkt nur für die Zwecke verarbeiten, die in unserer Beziehung vorgesehen sind.
• Der Lieferant ist verpflichtet, alle personenbezogenen Daten streng vertraulich zu behandeln.
• Der Lieferant beschränkt den Zugang zu personenbezogenen Daten auf seine Mitarbeiter, die die personenbezogenen Daten für die in unserer Geschäftsbeziehung vorgesehenen Zwecke kennen müssen..
• Sofern nicht durch geltendes Recht vorgeschrieben, darf der Lieferant personenbezogene Daten nicht an Dritte weitergeben, übertragen, offenlegen oder anderweitig Zugang zu ihnen gewähren oder seine Rechte oder Pflichten in Bezug auf personenbezogene Daten an Dritte übertragen, es sei denn, Fitbit hat den Lieferanten schriftlich dazu ermächtigt. Soweit dies nach geltendem Recht erforderlich ist oder von Fitbit anderweitig schriftlich gemäß dem Vorstehenden genehmigt wurde, hat der Lieferant sicherzustellen, dass ein solcher Dritter die Anforderungen des geltenden Rechts und dieser Bedingungen einhält.
• Wenn Fitbit solche personenbezogenen Daten von seinen Kunden oder Mitarbeitern innerhalb der Europäischen Union oder der Schweiz erhält, muss der Lieferant: (i) mindestens das gleiche Maß an Datenschutz für diese personenbezogenen Daten bieten, wie es die Grundsätze des EU-US-Datenschutzschildes erfordern; (ii) Fitbit unverzüglich informieren, wenn Sie zu irgendeinem Zeitpunkt nicht mindestens das gleiche Maß an Datenschutz für diese personenbezogenen Daten bieten können, wie es die Grundsätze des Datenschutzschildes erfordern; und (iii) angemessene und geeignete Schritte unternehmen, um die Verarbeitung dieser personenbezogenen Daten zu stoppen und zu korrigieren, wie von Fitbit gefordert, wenn wir Sie zu irgendeinem Zeitpunkt darüber informieren, dass Sie die personenbezogenen Daten nicht in einer Weise verarbeiten, die mit den Grundsätzen des Datenschutzschildes vereinbar ist.
• Der Lieferant ist verpflichtet, ein umfassendes schriftliches Informationssicherheitsprogramm zu entwickeln, aufrechtzuerhalten und zu implementieren, das mit den geltenden Datenschutzgesetzen übereinstimmt. Das Informationssicherheitsprogramm des Lieferanten umfasst administrative, technische und physische Schutzmaßnahmen zum Schutz personenbezogener Daten, die nicht weniger streng sind als anerkannte Branchenpraktiken.
• Der Lieferant muss Fitbit unverzüglich schriftlich über jeden Sicherheitsvorfall (wie unten definiert) informieren, von dem er Kenntnis erlangt. Eine solche Mitteilung muss in angemessener Ausführlichkeit die Auswirkungen des Sicherheitsvorfalls auf Fitbit, sofern bekannt, und die vom Lieferanten ergriffenen oder zu ergreifenden Abhilfemaßnahmen zusammenfassen. Der Lieferant ist verpflichtet, unverzüglich alle notwendigen und ratsamen Abhilfemaßnahmen zu ergreifen und mit Fitbit in vollem Umfang bei allen angemessenen und rechtmäßigen Bemühungen zu kooperieren, um einen solchen Sicherheitsvorfall zu verhindern, abzumildern oder zu beheben. Der Lieferant muss: (i) einen solchen Sicherheitsvorfall untersuchen und eine Ursachenanalyse durchführen; (ii) die Auswirkungen eines solchen Sicherheitsvorfalls beheben; (iii) Fitbit die von Fitbit geforderten Zusicherungen geben, dass sich ein solcher Sicherheitsvorfall wahrscheinlich nicht wiederholen wird; und (iv) Fitbit innerhalb von vierundzwanzig (24) Stunden, nachdem er von einem solchen Sicherheitsvorfall Kenntnis erlangt hat, einen Bericht über die Ursachenanalyse zur Verfügung stellen. Der Inhalt von Meldungen, Mitteilungen, Bekanntmachungen, Pressemitteilungen oder Berichten im Zusammenhang mit einem Sicherheitsvorfall muss von Fitbit vor der Veröffentlichung oder Mitteilung genehmigt werden. Für die Zwecke dieses Vertrages bezeichnet der Begriff "Sicherheitsvorfall" den versuchten oder erfolgreichen unbefugten Zugang zu, die Nutzung, Offenlegung, Änderung oder Zerstörung von Fitbit-Kunden- oder -Mitarbeiterdaten oder die Störung eines der Informationssysteme des Lieferanten, die mit Fitbit-Kunden- oder -Mitarbeiterdaten interagieren.
• Tritt ein Sicherheitsvorfall ein, der personenbezogene Daten von Fitbit-Kunden oder -Mitarbeitern betrifft, die sich im Besitz, in der Obhut oder unter der Kontrolle des Lieferanten befinden oder für die der Lieferant anderweitig verantwortlich ist, erstattet der Lieferant Fitbit auf Verlangen alle mit der Benachrichtigung verbundenen Kosten (wie nachstehend definiert), die Fitbit aus einem solchen Sicherheitsvorfall oder im Zusammenhang damit entstehen. "Mit der Benachrichtigung verbundene Kosten" umfassen die internen und externen Kosten von Fitbit, die mit der Untersuchung des Sicherheitsvorfalls und der Reaktion darauf verbunden sind, einschließlich, aber nicht beschränkt auf: (i) Vorbereitung und Versand oder sonstige Übermittlung von Benachrichtigungen oder sonstigen Mitteilungen an Verbraucher, Mitarbeiter oder andere, die Fitbit für angemessen hält; (ii) Einrichtung eines Call-Centers oder sonstiger Kommunikationsverfahren als Reaktion auf einen solchen Sicherheitsvorfall; (iii) Öffentlichkeitsarbeit und andere ähnliche Krisenmanagement-Dienstleistungen; (iv) Rechts-, Beratungs-, forensische Sachverständigen- und Buchhaltungsgebühren und -kosten, die mit Fitbits Untersuchung eines solchen Vorfalls und der Reaktion darauf verbunden sind; und (v) Kosten für wirtschaftlich angemessene Kreditauskunfts- und Überwachungsdienstleistungen, die mit gesetzlich vorgeschriebenen Benachrichtigungen verbunden sind oder unter den gegebenen Umständen ratsam sind.
• Unverzüglich nach Beendigung unserer Geschäftsbeziehung oder zu einem von Fitbit gewünschten früheren Zeitpunkt wird der Lieferant Fitbit alle personenbezogenen Daten, die sich im Besitz, in der Obhut oder unter der Kontrolle des Lieferanten befinden und die aus der Lieferung von Waren an Fitbit oder der Erbringung von Dienstleistungen oder Software an Fitbit gemäß diesem Vertrag resultieren, zurückgeben oder auf Verlangen von Fitbit sicher vernichten oder unleserlich bzw. nicht entzifferbar machen, falls eine Rückgabe für Fitbit nicht zumutbar oder wünschenswert ist. Für den Fall und während des Zeitraums, in dem das anwendbare Recht es dem Lieferanten nicht erlaubt, eine solche Übergabe oder Vernichtung bestimmter personenbezogener Daten vorzunehmen, gewährleistet der Lieferant, dass er die Vertraulichkeit und Sicherheit dieser personenbezogenen Daten in Übereinstimmung mit diesen Bedingungen sicherstellen wird.
• Der Lieferant verpflichtet sich, uns unverzüglich schriftlich über alle Anfragen zu informieren, die sich auf die personenbezogenen Daten beziehen, die der Lieferant in unserem Auftrag verarbeitet, und ferner, dass der Lieferant mit Fitbit bei unseren Bemühungen kooperiert, auf solche Anfragen zu antworten.