Zusatz zur Datenverarbeitung und Standardvertragsklauseln
1. RECITAL
Dieses Addendum zur Datenverarbeitung [im Folgenden: DPA"] wird von und zwischen Instant EU GDPR Representative LTD, einer in Dublin, Irland, unter der Registernummer K78 X5P8 eingetragenen Gesellschaft mit beschränkter Haftung und GDPR Local LTD. einer in Brighton, England, unter der Registernummer 12969035 eingetragenen Gesellschaft mit beschränkter Haftung geschlossen, die gemeinsam als die Parteien" und einzeln als die Partei" bezeichnet werden
WENN
(a) Der unmittelbare EU GDPR-Beauftragte LTD handelt als der für die Datenverarbeitung Verantwortliche, wie in Abschnitt 2 dieser DPA definiert;
(b) GDPR Local LTD agiert als Datenverarbeiter, wie in Abschnitt 2 dieser DPA definiert;
(c) Die Parteien streben die Umsetzung einer Datenverarbeitungsvereinbarung an, die den Anforderungen des geltenden Rechtsrahmens für die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten entspricht;
(d) Die Vertragsparteien wollen ihre Rechte und Pflichten festlegen.
Diese DSGVO, einschließlich ihrer Anhänge, ergänzt den schriftlichen Vertrag [im Folgenden der "Vertrag"] und ist Teil desselben, wenn der Vertrag zwischen dem für die Datenverarbeitung Verantwortlichen und einem Kunden des für die Datenverarbeitung Verantwortlichen zum Zwecke der Erbringung von Dienstleistungen des für die Datenverarbeitung Verantwortlichen, wie in Klausel 2 definiert, geschlossen wird.
2. DEFINITIONEN
Sofern in diesem Dokument nicht anders definiert, haben die in Großbuchstaben geschriebenen Begriffe die Bedeutung, die ihnen in der Allgemeinen Datenschutzverordnung (2016/679) des Europäischen Parlaments und des Rates zugewiesen wird.
Für die Zwecke der Auslegung dieses Nachtrags haben die folgenden Begriffe die nachstehend angegebene Bedeutung:
"Anwendbare(s) Recht(e)" bezeichnet alle anwendbaren Gesetze zum Datenschutz, zum Schutz der Privatsphäre und zum elektronischen Marketing, einschließlich (soweit zutreffend) der GDPR, des britischen Datenschutzgesetzes 2018 und der Datenschutz- und elektronischen Kommunikationsverordnung (EG-Richtlinie) von 2003 sowie aller gleichwertigen Gesetze weltweit, soweit diese Gesetze auf personenbezogene Daten anwendbar sind, die im Rahmen dieser Vereinbarung vom Datenverarbeiter verarbeitet werden;
"Der für die Verarbeitung Verantwortliche" ist die Stelle, die die Mittel und den Zweck der Verarbeitung personenbezogener Daten festlegt;
"Dienste des für die Verarbeitung Verantwortlichen" bedeutet Dienste des EU-Beauftragten, GDPR-Beratung und damit verbundene Dienste;
"Datenverarbeiter" bezeichnet die Stelle, die personenbezogene Daten im Auftrag des für die Datenverarbeitung Verantwortlichen verarbeitet;
"Datenverarbeitungsdienste" bedeutet Dienste des britischen Vertreters;
" GDPR " bezeichnet die EU-Datenschutzgrundverordnung 2016/679 des Europäischen Parlaments und des Rates sowie alle nachfolgenden Änderungen, Ersetzungen oder Ergänzungen.
" Personenbezogene Daten " sind alle Informationen, die eine identifizierte oder identifizierbare natürliche Person identifizieren, sich auf sie beziehen, sie beschreiben, mit ihr in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt mit ihr in Verbindung gebracht werden könnten und die vom Datenverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen gemäß oder in Verbindung mit den Diensten des für die Verarbeitung Verantwortlichen verarbeitet werden;
"Verarbeitungsdienste" sind alle Dienstleistungen, die der Datenverarbeiter für den für die Verarbeitung Verantwortlichen erbringt, einschließlich aller Speicher-, Software- oder Plattformdienste, gemäß einem Vertrag, einer Bestellung, einer Lizenz oder einem Abonnement.
"Dienste" bedeutet Datenverarbeitungsdienste und Datenverarbeitungsdienste zusammen;
"Standardvertragsklauseln" sind die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter oder Unterauftragsverarbeiter in Drittländern, wie sie von der Europäischen Kommission von Zeit zu Zeit im Rahmen der Datenschutz-Grundverordnung (DSGVO) angenommen werden, sowie alle zugehörigen Anhänge und Anlagen, die zusammen einen integralen Bestandteil dieser DSGVO bilden und als Anhang 2 (ANHANG 2: STANDARDVERTRAGSKLAUSELN ) beigefügt sind, die von Zeit zu Zeit aktualisiert werden können;
" Unterauftragsverarbeiter" bezeichnet jeden Dritten, den der Datenverarbeiter direkt mit der Verarbeitung personenbezogener Daten gemäß oder in Verbindung mit den Dienstleistungen des Datenverarbeiters beauftragt. Der Begriff umfasst nicht die Mitarbeiter oder Auftragnehmer des Datenverarbeiters;
3. UMFANG DER VERARBEITUNG
3.1. Der Datenverarbeiter verarbeitet personenbezogene Daten gemäß der Beschreibung inAnhang 1 ( ANHANG 1: DETAILS DER VERARBEITUNG PERSONENBEZOGENER DATEN) beschrieben;
3.2. Der Datenverarbeiter verarbeitet personenbezogene Daten als Auftragsverarbeiter oder Unterauftragsverarbeiter, der im Auftrag des für die Verarbeitung Verantwortlichen als Verantwortlicher oder Auftragsverarbeiter dieser personenbezogenen Daten handelt;
3.3. Der für die Verarbeitung Verantwortliche weist hiermit den Datenverarbeiter an, personenbezogene Daten nur für den begrenzten Zweck der Erbringung von Dienstleistungen des Datenverarbeiters und ausschließlich zum Nutzen des für die Verarbeitung Verantwortlichen zu verarbeiten;
3.4. Der Datenverarbeiter darf die personenbezogenen Daten nur in Übereinstimmung mit (i) den Bestimmungen dieser DSGVO, (ii) den Bestimmungen der Vereinbarung zwischen den Parteien, (iii) ausschließlich auf dokumentierte Anweisungen des für die Verarbeitung Verantwortlichen, es sei denn, die Verarbeitung ist durch anwendbare Gesetze vorgeschrieben (in diesem Fall muss der Datenverarbeiter den für die Verarbeitung Verantwortlichen im Voraus über diese Anforderung informieren, es sei denn, dies ist gesetzlich verboten), und (iv) in Übereinstimmung mit allen anwendbaren Gesetzen verarbeiten;
3.5. Der Datenverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen unverzüglich, wenn er feststellt, dass er den Anweisungen des für die Verarbeitung Verantwortlichen oder seinen Verpflichtungen aus dieser DPA nicht mehr nachkommen kann.
4. UNTERVERARBEITUNG
4.1. Der Datenverarbeiter darf die Verarbeitung personenbezogener Daten nur dann an weitere Dritte weitergeben, wenn der für die Verarbeitung Verantwortliche zuvor seine schriftliche Zustimmung zu jeder dieser Untervergabeaktivitäten und jedem dieser Dritten erteilt hat. Ungeachtet des Vorstehenden ermächtigt der für die Verarbeitung Verantwortliche den Datenverarbeiter, Unterauftragsverarbeiter ohne Einschränkung für die begrenzten Zwecke der Verarbeitung personenbezogener Daten zu beauftragen, die für die Erfüllung der Verpflichtungen des Datenverarbeiters im Rahmen der Vereinbarung unbedingt erforderlich sind, vorausgesetzt, der Datenverarbeiter:
- dem für die Verarbeitung Verantwortlichen mindestens dreißig (30) Tage im Voraus schriftlich mitteilt, dass er beabsichtigt, einen Unterauftragsverarbeiter zu beauftragen oder zu ersetzen. Diese Mitteilung ist an die benannte Kontaktperson des für die Verarbeitung Verantwortlichen zu richten und muss mindestens Folgendes enthalten: (i) den Namen des Unterauftragsverarbeiters; (ii) die Art der personenbezogenen Daten, die von diesem Unterauftragsverarbeiter verarbeitet werden, und die Zwecke, für die sie verarbeitet werden; (iii) eine Beschreibung der betroffenen Personen, deren personenbezogene Daten von diesem Unterauftragsverarbeiter verarbeitet werden sollen, und (iv) den Ort der Datenverarbeitung durch diesen Unterauftragsverarbeiter;
- die erforderliche Sorgfalt walten lässt, um sicherzustellen, dass der Unterauftragsverarbeiter die Anforderungen dieser DPA und aller geltenden Gesetze erfüllen kann; und
- sicherstellt, dass die Vereinbarung zwischen dem Datenverarbeiter und dem Unterauftragsverarbeiter durch einen schriftlichen, für den Unterauftragsverarbeiter verbindlichen Vertrag geregelt wird, der (i) den Unterauftragsverarbeiter verpflichtet, personenbezogene Daten in Übereinstimmung mit dieser DSGVO oder mit Standards zu verarbeiten, die nicht weniger streng sind als diese DSGVO; und (ii) die Standardvertragsklauseln enthält und sich auf diese stützt, die Teil des Vertrags zwischen dem Datenverarbeiter und seinen Unterauftragsverarbeitern sind und sowohl für den Datenverarbeiter als auch für seinen Unterauftragsverarbeiter verbindlich sind, soweit personenbezogene Daten von einem solchen Unterauftragsverarbeiter außerhalb des EWR verarbeitet werden können.
4.2. Der für die Verarbeitung Verantwortliche kann der Beauftragung eines Unterauftragsverarbeiters aus angemessenen Gründen des Schutzes der Privatsphäre, des Datenschutzes oder der Sicherheit widersprechen. In einem solchen Fall darf der Datenverarbeiter einen Unterauftragsverarbeiter für die Erbringung der Datenverarbeitungsdienste für den für die Verarbeitung Verantwortlichen erst dann beauftragen, wenn er eine angemessene Risikobewertung durchgeführt und sichergestellt hat, dass geeignete technische und organisatorische Kontrollen vorhanden sind. Sollte der für die Verarbeitung Verantwortliche die Beauftragung des Unterauftragsverarbeiters ablehnen, kann er seine Vereinbarung mit dem Datenverarbeiter mit sofortiger Wirkung und ohne Vertragsstrafe kündigen oder aussetzen.
4.3. Der Datenverarbeiter bleibt gegenüber dem für die Verarbeitung Verantwortlichen jederzeit in vollem Umfang für die Erfüllung der Verpflichtungen seiner Unterauftragsverarbeiter und seiner Verarbeitungstätigkeiten in Bezug auf personenbezogene Daten haftbar.
5. PERSONAL DES DATENVERARBEITERS
5.1. Soweit nach geltendem Recht zulässig, führt der Datenverarbeiter eine angemessene Zuverlässigkeitsüberprüfung aller Mitarbeiter oder Auftragnehmer des Datenverarbeiters durch, die Zugang zu personenbezogenen Daten haben könnten [im Folgenden: "Personal des Datenverarbeiters"] , bevor er ihnen diesen Zugang gewährt. Ergibt die Zuverlässigkeitsüberprüfung, dass das Personal des Datenverarbeiters nicht für den Zugang zu personenbezogenen Daten geeignet ist, darf der Datenverarbeiter dem Personal des Datenverarbeiters keinen Zugang zu personenbezogenen Daten gewähren.
5.2. Der Datenverarbeiter stellt sicher, dass das gesamte Personal des Datenverarbeiters: (i) nur den Zugang hat, der für die Erbringung der Dienstleistungen des Datenverarbeiters für die verantwortliche Stelle und die Einhaltung der geltenden Gesetze erforderlich ist; (ii) vertraglich an Vertraulichkeitsanforderungen gebunden ist, die nicht weniger streng sind als diese DSGVO; (iii) eine angemessene Datenschutz- und Sicherheitsschulung erhält; (iv) über die Vertraulichkeit der personenbezogenen Daten informiert wird und verpflichtet ist, diese vertraulich zu behandeln; und (v) die Aufgaben und Pflichten des Datenverarbeiters gemäß dieser DSGVO kennt.
6. SICHERHEIT
6.1. Der Datenverarbeiter sichert zu und gewährleistet, dass er geeignete technische, physische und organisatorische Maßnahmen ergriffen hat und beibehalten wird, um die personenbezogenen Daten gegen zufälligen oder unrechtmäßigen Verlust, Veränderung, Zerstörung, unbefugte Weitergabe oder unbefugten Zugriff zu schützen, und insbesondere, wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, gegen alle voraussichtlichen unrechtmäßigen Formen der Verarbeitung.
6.2. Unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung erklärt sich der Datenverarbeiter damit einverstanden und gewährleistet, dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken (einschließlich der Risiken einer Verletzung des Schutzes personenbezogener Daten) und der Art der zu schützenden personenbezogenen Daten angemessen ist, und stellt ohne Einschränkung sicher, dass diese Maßnahmen Folgendes umfassen:
- die Pseudonymisierung und/oder Verschlüsselung von personenbezogenen Daten bei der Übermittlung und im Speicher;
- die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten;
- die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; und
- ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
6.3. Der Datenverarbeiter führt Aufzeichnungen über seine im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungstätigkeiten, die mindestens Folgendes enthalten müssen
- die Angaben zum Datenverarbeiter als Verantwortlicher für personenbezogene Daten, zu allen Vertretern, Unterauftragsverarbeitern, Datenschutzbeauftragten und Mitarbeitern des Datenverarbeiters, die Zugang zu personenbezogenen Daten haben;
- die Kategorien der durchgeführten Verarbeitungstätigkeiten;
- gegebenenfalls Informationen über grenzüberschreitende Datenübermittlungen (wie in Abschnitt 11 dieser Datenschutzrichtlinie näher ausgeführt) und eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die in Bezug auf die verarbeiteten personenbezogenen Daten getroffen wurden.
6.4. Unbeschadet der Prüfungsrechte des für die Verarbeitung Verantwortlichen gemäß Abschnitt 10(BEREITSTELLUNG VON INFORMATIONEN UND UNTERSTÜTZUNG) behält sich der für die Verarbeitung Verantwortliche das Recht vor, die vom Datenverarbeiter gemäß diesem Abschnitt 5 ( PERSONAL DES DATENVERARBEITERS) geführten Aufzeichnungen jederzeit einzusehen.
7. RECHTE DER BETROFFENEN PERSON
7.1. Der Datenverarbeiter unterstützt den für die Verarbeitung Verantwortlichen in angemessener Weise bei der Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Person oder der Verbraucherrechte (einschließlich Beschwerden über die Verarbeitung personenbezogener Daten) gemäß den geltenden Gesetzen, einschließlich, aber nicht beschränkt auf die EU-Datenschutzgesetze (" Anfragen der betroffenen Person").
7.2. Der Datenverarbeiter muss:
- die für die Datenverarbeitung Verantwortliche unverzüglich zu benachrichtigen, wenn sie eine Anfrage der betroffenen Person in Bezug auf personenbezogene Daten erhält;
- uneingeschränkte Zusammenarbeit und Unterstützung in Bezug auf alle Anfragen von Betroffenen;
- sicherstellen, dass er auf Anfragen von Betroffenen nur auf dokumentierte Anweisungen der für die Datenverarbeitung Verantwortlichen oder nach den geltenden Gesetzen, denen der Datenverarbeiter unterliegt, antwortet; und
- Elektronische Aufzeichnungen über die Anträge der betroffenen Personen (gemäß den geltenden Gesetzen) führen.
8. RECHTLICHE OFFENLEGUNG UND VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
8.1. Der Datenverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen innerhalb von 24 Stunden, nachdem er davon Kenntnis erhalten hat:
- jedes Ersuchen um Offenlegung personenbezogener Daten durch eine Aufsichtsbehörde und/oder eine andere Strafverfolgungsbehörde oder ein Gericht, es sei denn, dies ist nach dem Strafrecht verboten, das den Datenverarbeiter ausdrücklich zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung verpflichtet;
8.1.1. jede Verletzung des Schutzes personenbezogener Daten, bei der der begründete Verdacht besteht oder bekannt ist, dass sie personenbezogene Daten betrifft. Der Datenverarbeiter stellt dem für die Verarbeitung Verantwortlichen ausreichende Informationen zur Verfügung, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen zur Meldung oder Unterrichtung der betroffenen Personen oder der Datenschutzbehörden über die Verletzung des Schutzes personenbezogener Daten gemäß den geltenden Gesetzen nachkommen kann. Außer in den gesetzlich vorgeschriebenen Fällen darf der Datenverarbeiter ohne die vorherige schriftliche Zustimmung des für die Verarbeitung Verantwortlichen, die nach dem Ermessen des für die Verarbeitung Verantwortlichen von Fall zu Fall erteilt werden kann, keine öffentlichen Erklärungen oder sonstigen Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten abgeben, die personenbezogene Daten betrifft.
8.2. Der Datenverarbeiter übermittelt dem für die Verarbeitung Verantwortlichen nach Möglichkeit die folgenden Angaben:
- Die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich der Kategorien der betroffenen Personen und der Kategorien der betroffenen personenbezogenen Daten und Datensätze;
- die vom Datenverarbeiter in Zusammenarbeit mit dem Datenverantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten; und
- Die Maßnahmen, die der für die Datenverarbeitung Verantwortliche ergreifen könnte, um die möglichen nachteiligen Auswirkungen der Verletzung des Schutzes personenbezogener Daten abzumildern.
8.3. Der Datenverarbeiter ergreift alle erforderlichen Maßnahmen, um eine vermutete oder tatsächliche Verletzung des Schutzes personenbezogener Daten zu untersuchen und die damit verbundenen Schäden zu begrenzen.
8.4. Der Datenverarbeiter arbeitet uneingeschränkt mit dem für die Verarbeitung Verantwortlichen zusammen und ergreift die vom für die Verarbeitung Verantwortlichen angeordneten Maßnahmen, um bei der Untersuchung, Eindämmung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
9. LÖSCHUNG ODER RÜCKGABE VON PERSONENBEZOGENEN DATEN
9.1. Nach Ablauf oder Beendigung der Erbringung der Dienstleistungen des Datenverarbeiters hat der Datenverarbeiter nach Wahl des für die Verarbeitung Verantwortlichen alle Kopien der personenbezogenen Daten, die sich in seinem Besitz oder unter seiner Kontrolle befinden, unverzüglich zu löschen oder zurückzugeben, es sei denn, sie müssen gemäß den geltenden Gesetzen aufbewahrt werden. In einem solchen Fall garantiert der Datenverarbeiter, dass er die Vertraulichkeit der personenbezogenen Daten gewährleistet, die personenbezogenen Daten nicht mehr aktiv verarbeitet und die Rückgabe und/oder Vernichtung der personenbezogenen Daten auf Verlangen des für die Verarbeitung Verantwortlichen gewährleistet, wenn die rechtliche Verpflichtung zur Rückgabe oder Vernichtung der Informationen nicht mehr besteht.
9.2. Auf vorheriges schriftliches Ersuchen des für die Verarbeitung Verantwortlichen bescheinigt der leitende Datenschutzbeauftragte des Datenverarbeiters oder ein gleichwertiger Vertreter dem für die Verarbeitung Verantwortlichen schriftlich, dass der Datenverarbeiter die Bestimmungen dieses Abschnitts vollständig eingehalten hat.
10. BEREITSTELLUNG VON INFORMATIONEN UND UNTERSTÜTZUNG
Der Datenverarbeiter arbeitet mit dem für die Verarbeitung Verantwortlichen zusammen und unterstützt ihn in angemessener Weise bei allen Datenschutz-Folgenabschätzungen, vorherigen Konsultationen mit den zuständigen Datenschutzbehörden und bei jeder anderen Unterstützung im Zusammenhang mit der Einhaltung der Verpflichtungen des für die Verarbeitung Verantwortlichen gemäß der DSGVO und anderen geltenden Gesetzen. Der Umfang einer solchen Unterstützung ist auf die Verarbeitung der personenbezogenen Daten durch den Datenverarbeiter beschränkt.
11. PRÜFUNGSRECHTE
11.1 Der Datenverarbeiter stellt dem für die Verarbeitung Verantwortlichen auf schriftliches Ersuchen hin unverzüglich alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieser DSGVO und der geltenden Gesetze erforderlich sind, einschließlich branchenüblicher Prüfbescheinigungen Dritter.
11.2 Der Datenverarbeiter muss Prüfungen, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen und/oder einen von diesem beauftragten Prüfer zulassen und dazu beitragen. Ein externer Prüfer unterliegt in jedem Fall der Geheimhaltungspflicht. Der für die Verarbeitung Verantwortliche kann gegen die Auswahl eines Prüfers Einspruch erheben, wenn er der begründeten Auffassung ist, dass der Prüfer die Vertraulichkeit und Sicherheit nicht gewährleistet oder die Tätigkeit des für die Verarbeitung Verantwortlichen anderweitig gefährdet.
12. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNG
12.1 Personenbezogene Daten können aus der Europäischen Union ("EU") in Länder übermittelt werden, die gemäß den von der EU veröffentlichten Angemessenheitsbeschlüssen ("Angemessenheitsbeschlüsse") ein angemessenes Datenschutzniveau bieten, ohne dass weitere Schutzmaßnahmen erforderlich sind;
12.2 Umfasst die Verarbeitung personenbezogener Daten durch den Datenverarbeiter Übermittlungen aus der EU in andere Länder, für die kein einschlägiger Angemessenheitsbeschluss vorliegt, und werden solche Übermittlungen nicht über einen alternativen anerkannten Compliance-Mechanismus durchgeführt, den der Datenverarbeiter für die rechtmäßige Übermittlung personenbezogener Daten gemäß der Definition in der DSGVO annehmen kann, gelten die Standardvertragsklauseln;
12.3 Unterliegt die Übermittlung personenbezogener Daten den Standardvertragsklauseln, so sind diese gleichzeitig mit der Unterzeichnung dieser DPA von dem für die Verarbeitung Verantwortlichen und dem Datenverarbeiter auszufüllen und zu unterzeichnen. Der Datenverarbeiter stellt sicher, dass jeder Unterauftragsverarbeiter, der mit der Verarbeitung solcher personenbezogener Daten beauftragt wird, die Verpflichtungen des Datenverarbeiters aus den SCC einhält, und der für die Verarbeitung Verantwortliche hält die Verpflichtungen des für die Verarbeitung Verantwortlichen ein, jeweils gemäß den geltenden Standardvertragsklauseln. Auf Verlangen des für die Verarbeitung Verantwortlichen sorgt der Datenverarbeiter dafür, dass sein(e) Unterauftragsverarbeiter Standardvertragsklauseln direkt mit dem für die Verarbeitung Verantwortlichen abschließen;
12.4 Die Standardvertragsklauseln gelten nicht für personenbezogene Daten, die sich auf Personen beziehen, die außerhalb des Vereinigten Königreichs und des EWR ansässig sind, oder die nicht direkt oder im Wege der Weitergabe außerhalb des EWR übermittelt werden. Bei Datenübermittlungen aus anderen Ländern außerhalb des Vereinigten Königreichs und des EWR muss der Datenverarbeiter alle geltenden Gesetze des Herkunftsgebiets der personenbezogenen Daten einhalten;
12.5.Der Datenverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle sachdienlichen Informationen zur Verfügung, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen im Falle der grenzüberschreitenden Übermittlung personenbezogener Daten nachkommen kann. Der für die Verarbeitung Verantwortliche kann aus Gründen des Schutzes der Privatsphäre und der Sicherheit gegen die Übermittlung personenbezogener Daten gemäß diesem Abschnitt 11 ( "Prüfungsrechte") Einspruch erheben. In diesem Fall darf der Datenverarbeiter eine solche Übermittlung personenbezogener Daten nicht durchführen, oder der für die Verarbeitung Verantwortliche kann die Erbringung von Datenverarbeitungsdiensten mit sofortiger Wirkung und ohne Vertragsstrafe beenden oder aussetzen.
13. ENTSCHÄDIGUNG
13.1.Der Datenverarbeiter hält den für die Verarbeitung Verantwortlichen und seine jeweiligen leitenden Angestellten und Mitarbeiter von Ansprüchen und Verfahren sowie von jeglicher Haftung, Verlusten, Kosten, Bußgeldern und Ausgaben (nachstehend: "PII"], verteidigen und halten den für die Verarbeitung Verantwortlichen und seine jeweiligen leitenden Angestellten, Direktoren und Mitarbeiter schadlos gegenüber Ansprüchen und Verfahren sowie jeglicher Haftung, Verlusten, Kosten, Geldbußen und Ausgaben (einschließlich angemessener Anwaltskosten), die im Zusammenhang mit (i) der unrechtmäßigen oder unbefugten Verarbeitung, Zerstörung oder Beschädigung personenbezogener Daten durch den Datenverarbeiter entstehen; und/oder (ii) der Nichteinhaltung der Verpflichtungen des Datenverarbeiters (einschließlich des Personals des Datenverarbeiters und der Unterauftragsverarbeiter des Datenverarbeiters) im Rahmen dieser DSGVO, der bestehenden Vereinbarung oder weiterer, von der verantwortlichen Stelle gemäß dieser DSGVO schriftlich erteilter Anweisungen für eine solche Verarbeitung.
14. VERSCHIEDENES
14.1 Diese DPA, einschließlich der beigefügten SCC, kann in mehreren Exemplaren ausgefertigt werden, wobei jedes Exemplar als Original gilt, alle Exemplare zusammen jedoch als ein und dieselbe Vereinbarung betrachtet werden. Die Zustellung eines ausgefertigten Gegenstücks einer Unterschriftenseite zu dieser DPA per Fax oder per E-Mail einer gescannten Kopie oder die Ausführung und Zustellung über einen elektronischen Unterschriftendienst (wie DocuSign) gilt als Zustellung eines ausgefertigten Originalgegenstücks dieser DPA.
14.2.Aufhebung: Sollte sich eine Bestimmung dieser DPA als ungültig oder nicht durchsetzbar erweisen, so bleibt der Rest dieser DPA gültig und in Kraft. Die unwirksame oder undurchsetzbare Bestimmung ist entweder (i) so zu ändern, dass ihre Wirksamkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich erhalten bleiben, oder, falls dies nicht möglich ist, (ii) so auszulegen, als ob der unwirksame oder undurchsetzbare Teil nie enthalten gewesen wäre.
14.3.Mitteilung: Alle nach dieser DSGVO erforderlichen Mitteilungen sind per E-Mail an den für die Verarbeitung Verantwortlichen zu senden.
14.4. Mitteilungen an den Datenverarbeiter sind zu richten an: [email protected]
14.5.Vorrangige Reihenfolge: Im Falle eines Widerspruchs zwischen den Bestimmungen dieser DPA und anderen für die Parteien verbindlichen Dokumenten werden die Bestimmungen dieser Dokumente in der folgenden Rangfolge ausgelegt: (i) die Standardvertragsklauseln, ausschließlich in dem gemäß Abschnitt 11 anwendbaren Umfang; (ii) diese DPA; (iii) alle Vertragsbedingungen, Kaufaufträge, Lizenzen oder Abonnements, gemäß denen Datenverarbeitungsdienste erbracht werden.
14.6. Änderungen durch den Datenverarbeiter: Der Datenverarbeiter kann mindestens fünfundvierzig (45) Kalendertage im Voraus den für die Verarbeitung Verantwortlichen schriftlich um Änderungen dieser DPA ersuchen, wenn diese aufgrund einer Änderung der Datenschutzgesetze oder einer Entscheidung einer zuständigen Behörde gemäß den Datenschutzgesetzen erforderlich sind, damit die Verarbeitung personenbezogener Daten ohne Verstoß gegen die betreffenden Datenschutzgesetze erfolgen (oder fortgesetzt werden) kann. Nach einer solchen Mitteilung erörtern die Parteien unverzüglich die vorgeschlagenen Änderungen und verhandeln nach Treu und Glauben mit dem Ziel, diese oder alternative Änderungen zu vereinbaren und umzusetzen, um den in der Mitteilung des Datenverarbeiters genannten rechtlichen Anforderungen so bald wie möglich gerecht zu werden.
14.7. Änderungen durch die für die Verarbeitung Verantwortliche: Die für die Verarbeitung Verantwortliche kann mit einer Frist von mindestens dreißig (30) Kalendertagen durch schriftliche Mitteilung an den Datenverarbeiter die Bedingungen dieser DPA und/oder die gemäß Abschnitt 11 dieser DPA anwendbaren Standardvertragsklauseln ändern, soweit dies erforderlich ist, um die Verarbeitung personenbezogener Daten ohne Verstoß gegen geltende Datenschutzgesetze zu ermöglichen (oder fortzusetzen) oder um die Interessen der für die Verarbeitung Verantwortlichen anderweitig zu schützen, wobei die für die Verarbeitung Verantwortliche dies in jedem Fall nach eigenem Ermessen angemessen bestimmt. Erhebt der Datenverarbeiter innerhalb der Kündigungsfrist Einwände gegen diese Änderungen, so erörtern die Parteien unverzüglich die vorgeschlagenen Änderungen und verhandeln nach Treu und Glauben mit dem Ziel, diese oder alternative Änderungen zu vereinbaren und umzusetzen, um den in der Mitteilung des für die Verarbeitung Verantwortlichen genannten Anforderungen so bald wie möglich gerecht zu werden. Gelingt es den Parteien nicht, innerhalb von 30 Tagen nach einer solchen Mitteilung eine Einigung zu erzielen, so kann die für die Verarbeitung Verantwortliche durch schriftliche Mitteilung an die andere Partei die Vereinbarung mit sofortiger Wirkung und ohne Vertragsstrafe kündigen, soweit sie sich auf die Datenverarbeitungsdienste bezieht, die von den vorgeschlagenen Änderungen (oder deren Fehlen) betroffen sind.
ZU URKUND DESSEN wird diese DPA zwischen den Parteien mit Wirkung ab dem ersten oben genannten Datum geschlossen und verbindlich.
| Im Namen des Controllers: |
| Vollständiger Name: Adam Brogden |
| Position: Direktor |
| Anschrift: Büro 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irland |
| Sonstige Angaben, die für die Verbindlichkeit des Vertrags erforderlich sind (falls zutreffend): |
| Unterschrift: Adam Brogden |
| Im Namen des Verarbeiters: |
| Vollständiger Name: Zlatko Delev |
| Position: Leiter des Compliance-Teams |
| Anschrift: 1st Floor Front Suite, 27-29 North Street, Brighton, England BN1 1EB |
| Sonstige Angaben, die für die Verbindlichkeit des Vertrags erforderlich sind (falls zutreffend): |
| Unterschrift: Zlatko Delev |
ANHANG 1: DETAILS DER VERARBEITUNG PERSONENBEZOGENER DATEN
Diese Anhang 1 enthält bestimmte Einzelheiten der Verarbeitung personenbezogener Daten.
Beschreibung der Dienstleistungen des Datenimporteurs: Verarbeitung personenbezogener Daten des Datenexporteurs zur Erbringung von Dienstleistungen, wie in Klausel 2 dieser Datenschutzrichtlinie definiert.
Dauer der Verarbeitung: Solange die Datenimportdienste erbracht werden.
Art und Zweck der Verarbeitung: Art und Zweck der Verarbeitung sind die Erbringung von Dienstleistungen für unseren Kunden, um dem britischen Datenschutzgesetz, der DSGVO und den damit verbundenen Datenschutzbestimmungen zu entsprechen.
Arten der verarbeiteten personenbezogenen Daten: Zu den zu verarbeitenden Daten gehören Kontaktdaten des Datenexporteurs und der betroffenen Personen sowie Daten im Zusammenhang mit der Bearbeitung von Anfragen, Beschwerden und anderen Interaktionen, die sich aus der Erbringung der Dienstleistungen ergeben. Dazu gehören: Name der betroffenen Person , Kontaktdaten, E-Mail, Telefonnummer, Zahlungsdaten, Rechnungsadresse und Interaktionen per E-Mail / Telefon / Post usw. .....
ANHANG 2: STANDARDVERTRAGSKLAUSELN
(Controller an Prozessoren)
Paragraf 1: Zweck und Anwendungsbereich:
(a) Der Datenexporteur und der Datenimporteur, wie nachstehend definiert, oder in einer anderen Vereinbarung oder einem Nachtrag, die bzw. der die Verarbeitung personenbezogener Daten durch den Datenimporteur im Auftrag des Datenexporteurs wirksam regelt, einschließlich aller Anhänge, Anlagen und Beilagen dazu, jeweils eine "Partei"; und gemeinsam die "Parteien", haben die folgenden Vertragsklauseln ("Klauseln") vereinbart, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anhang I aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.I.
(b) Die Anlage zu diesen Klauseln, die die darin genannten Anhänge enthält, ist Bestandteil dieser Klauseln.
Definitionen
In Großbuchstaben geschriebene Definitionen, die hier nicht anders definiert sind, haben die Bedeutung, die ihnen in der DSGVO und in der DSGVO gegeben wird. Sofern nicht nachstehend geändert oder ergänzt, bleiben die Definitionen der DSGVO in vollem Umfang in Kraft und wirksam.
Für die Zwecke der Klauseln:
"Datenexporteur" ist die Einrichtung mit Sitz in der EU/im EWR oder in einem Drittland, die die personenbezogenen Daten übermittelt;
"Datenimporteur" bezeichnet die Einrichtung in einem Drittland, die die personenbezogenen Daten vom Datenexporteur erhält;
"Der Unterauftragsverarbeiter" ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragte Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Auftrag des Datenexporteurs gemäß seinen Anweisungen, den Bestimmungen der Klauseln und den Bestimmungen des schriftlichen Untervertrags durchgeführt werden;
"Technische und organisatorische Sicherheitsmaßnahmen" sind Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung.
Klausel 2: Wirkung und Unveränderlichkeit der Klauseln
(a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der DSGVO, sowie in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der DSGVO, sofern sie nicht geändert werden. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.
Klausel 3: Drittbegünstigte
(a) Die betroffenen Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
(i) Paragraf 1, Paragraf 2, Paragraf 3, Paragraf 6, Paragraf 7;
(ii) Klausel 8.1(b), 16(a), (c), (d) und (e);
(iii) Klausel 17 Buchstaben a), c), d) und e);
(iv) Klausel 20 Buchstaben a, d und f;
(v) Klausel 21;
(vi) Klausel 23.1 (c), (d) und (e);
(vii) Klausel 24(e);
(viii) Klausel 26 Buchstaben a) und b);
(b) Buchstabe a gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.
Klausel 4: Auslegung
(a) Diese Klauseln sind im Lichte der Bestimmungen der Datenschutz-Grundverordnung zu lesen und auszulegen.
(b) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der DSGVO steht.
Klausel 5: Hierarchie
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der zum Zeitpunkt der Vereinbarung dieser Klauseln bestehenden oder später abgeschlossenen Vereinbarungen zwischen den Parteien sind diese Klauseln maßgebend.
Klausel 6: Beschreibung der Übertragung
Die Einzelheiten der Übermittlung, insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck, zu dem sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7 - Andockklausel
(a) Ein Rechtsträger, der nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung der Vertragsparteien diesen Klauseln jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem er die Anlage ausfüllt und Anhang I.A unterzeichnet.
(b) Sobald die beitretende Einrichtung die Anlage ausgefüllt und Anhang I.A unterzeichnet hat, wird sie Vertragspartei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.
(c) Der beitretende Rechtsträger hat keine Rechte und Pflichten, die sich aus diesen Klauseln aus der Zeit vor seinem Beitritt ergeben.
Klausel 8: Anweisungen
(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrags erteilen.
(b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.
Klausel9: Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B, es sei denn, er erhält vom Datenexporteur weitere Anweisungen.
Klausel 10: Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person unentgeltlich eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung.
Klausel 11: Genauigkeit
Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur bei der Löschung oder Berichtigung der Daten zusammen.
Klausel 12: Dauer der Verarbeitung und Löschung oder Rückgabe von Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienstleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach dem jeweiligen lokalen Gesetz erforderlich ist. Dies gilt unbeschadet der Klausel 22, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 22 (e), den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 22 (a) übereinstimmen.
Klausel 13: Sicherheit der Verarbeitung
(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt [nachstehend "Verletzung des Schutzes personenbezogener Daten"]. Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur kommt seinen Verpflichtungen nach diesem Absatz nach, indem er zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen durchführt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.
(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), die voraussichtlichen Folgen der Verletzung und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Folgen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.
(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen nach der DSGVO nachkommen kann, insbesondere bei der Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.
Klausel 14: Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (nachstehend "sensible Daten" genannt), so wendet der Datenimporteur die in Anhang I.B beschriebenen besonderen Einschränkungen und/oder zusätzlichen Garantien an.
Klausel 15: Weiterübertragungen
Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden "Weitergabe") weitergegeben werden, wenn der Dritte an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:
(i) die Weiterübermittlung in ein Land erfolgt, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Datenschutz-Grundverordnung vorliegt, der die Weiterübermittlung abdeckt;
(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der DSGVO in Bezug auf die betreffende Verarbeitung gewährleistet;
(iii) die Weitergabe ist für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich; oder
(iv) die Weitergabe ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weitergabe unterliegt der Einhaltung aller anderen in diesen Klauseln vorgesehenen Garantien durch den Datenimporteur, insbesondere der Zweckbindung.
Klausel 16: Dokumentation und Einhaltung der Vorschriften
(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jedes Ersuchen, das er von einer betroffenen Person erhalten hat. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er ist vom Datenexporteur dazu ermächtigt worden.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen der betroffenen Personen auf Ausübung ihrer Rechte nach der DSGVO. Zu diesem Zweck legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.
(d) Der Datenimporteur gestattet dem Datenexporteur in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen Audits bei. Das Gleiche gilt, wenn der Datenexporteur auf Anweisung des für die Verarbeitung Verantwortlichen ein Audit verlangt. Bei der Entscheidung über ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.
(e) Wird das Audit auf Anweisung des für die Verarbeitung Verantwortlichen durchgeführt, so stellt der Datenexporteur dem für die Verarbeitung Verantwortlichen die Ergebnisse zur Verfügung.
(f) Der Datenexporteur kann das Audit entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
(g) Die Vertragsparteien stellen die in den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
Klausel 17: Einsatz von Unterauftragsverarbeitern
(a) Der Datenimporteur darf keine seiner Verarbeitungstätigkeiten, die er im Auftrag des Datenexporteurs gemäß diesen Klauseln durchführt, an einen Unterauftragsverarbeiter vergeben, ohne zuvor eine besondere schriftliche Genehmigung des Datenexporteurs einzuholen. Der Datenimporteur stellt den Antrag auf Erteilung einer Sondergenehmigung mindestens 30 Tage vor der Beauftragung des Unterauftragsverarbeiters und fügt die erforderlichen Informationen bei, damit der Datenexporteur über die Genehmigung entscheiden kann. Die Liste der vom Datenexporteur bereits zugelassenen Unterauftragsverarbeiter findet sich in Anhang III. Die Vertragsparteien halten Anhang III auf dem neuesten Stand.
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, die für den Datenimporteur nach diesen Klauseln verbindlich sind, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. Die Parteien sind sich darüber einig, dass der Datenimporteur mit der Einhaltung dieser Klausel seine Verpflichtungen gemäß Klausel 15 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur nach diesen Klauseln unterliegt.
(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Anfrage eine Kopie eines solchen Unterauftragsverarbeitungsvertrags und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der der Datenexporteur für den Fall, dass der Datenimporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Klausel 18: Rechte der betroffenen Person
(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jedes Ersuchen, das er von einer betroffenen Person erhalten hat. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er ist vom Datenexporteur dazu ermächtigt worden.
(b) b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte nach der Datenschutz-Grundverordnung. Zu diesem Zweck legen die Vertragsparteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
(c) c) Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.
Klausel 19: Wiedergutmachung
(a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form durch individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.
(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Vertragsparteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Vertragspartei nach besten Kräften, die Angelegenheit rechtzeitig gütlich zu regeln. Die Vertragsparteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
(c) Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person, dies zu tun:
(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Paragraf 21 einzureichen;
(ii) (ii) die Streitigkeit an die zuständigen Gerichte im Sinne von Klausel 26 verweisen.
(iii) (d) Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Datenschutz-Grundverordnung genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.
(iv) Der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.
(v) f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsbehelfen gemäß den geltenden Rechtsvorschriften nicht beeinträchtigt.
Klausel 20: Haftung
(a) Jede Vertragspartei haftet der anderen Vertragspartei für alle Schäden, die sie der anderen Vertragspartei durch einen Verstoß gegen diese Klauseln zufügt.
(b) Der Datenimporteur haftet der betroffenen Person gegenüber für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz.
(c) Ungeachtet des Absatzes b haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Namen eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der DSGVO oder der Verordnung (EU) 2018/1725, je nach Anwendbarkeit.
(d) Die Vertragsparteien kommen überein, dass der Datenexporteur für den Fall, dass er gemäß Buchstabe c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so sind alle verantwortlichen Parteien gesamtschuldnerisch haftbar, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.
(f) Die Vertragsparteien kommen überein, dass eine Vertragspartei, die nach Buchstabe e) haftbar gemacht wird, berechtigt ist, von der anderen Vertragspartei den Teil des Schadensersatzes zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.
Klausel 21: Aufsicht
(a) Die Aufsichtsbehörde, die dafür zuständig ist, die Einhaltung der DSGVO durch den Datenexporteur in Bezug auf die Datenübermittlung zu gewährleisten, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.
(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Rechtsprechung der zuständigen Kontrollbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten.
LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGANGS VON BEHÖRDEN
Klausel 22: Örtliche Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken
(a) Die Vertragsparteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die im Bestimmungsdrittland für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur geltenden Gesetze und Praktiken, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugangs von Behörden, den Datenimporteur an der Erfüllung seiner Verpflichtungen gemäß diesen Klauseln hindern. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23(1) der DSGVO aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
(b) Die Vertragsparteien erklären, dass sie bei der Abgabe der unter Buchstabe a) genannten Garantie insbesondere die folgenden Punkte gebührend berücksichtigt haben:
(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;
(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes - einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugang solcher Behörden gestatten -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien;
(iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.
(c) Der Datenimporteur sichert zu, dass er sich bei der Durchführung der Bewertung nach Buchstabe b) nach besten Kräften bemüht hat, dem Datenexporteur einschlägige Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
(d) Die Vertragsparteien kommen überein, die Bewertung nach Buchstabe b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen unter Buchstabe a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. einer Aufforderung zur Offenlegung), die darauf hindeutet, dass die Anwendung dieser Gesetze in der Praxis nicht mit den Anforderungen unter Buchstabe a) übereinstimmt.
(f) Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, bestimmt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Kontrollstelle dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 23 Buchstaben d) und e).
Klausel 23: Pflichten des Datenimporteurs im Falle des Zugriffs von Behörden
23.1 Benachrichtigung
(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen (erforderlichenfalls mit Hilfe des Datenexporteurs), wenn er:
(i) ein rechtsverbindliches Ersuchen einer Behörde, einschließlich der Justizbehörden, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Meldung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder
(ii) Kenntnis von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten erhält, die gemäß diesen Klauseln in Übereinstimmung mit den Gesetzen des Bestimmungslandes übermittelt wurden; diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.
(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, eine Befreiung von diesem Verbot zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.
c) Der Datenimporteur erklärt sich bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere die Anzahl der Ersuchen, die Art der angeforderten Daten, die ersuchende(n) Behörde(n), die Frage, ob Ersuchen angefochten wurden, und das Ergebnis dieser Anfechtungen usw.), sofern dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist.
(d) Der Datenimporteur verpflichtet sich, die unter den Buchstaben a) bis c) genannten Informationen für die Dauer des Vertrags aufzubewahren und sie der zuständigen Kontrollstelle auf Anfrage zur Verfügung zu stellen.
(e) Die Absätze a) bis c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 22 Buchstabe e) und Klausel 24, den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diese Klauseln einzuhalten.
23.2 Überprüfung der Rechtmäßigkeit und Datensparsamkeit
(a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere, ob es im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass das Ersuchen nach dem Recht des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Privatrechts rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei der Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs nach Klausel 22 Buchstabe e).
(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Beurteilung und etwaige Anfechtungen des Auskunftsersuchens zu dokumentieren und die Dokumentation, soweit nach dem Recht des Bestimmungslandes zulässig, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
(c) Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Auskunftsersuchens das zulässige Mindestmaß an Informationen auf der Grundlage einer angemessenen Auslegung des Ersuchens zur Verfügung zu stellen.
SCHLUSSBESTIMMUNGEN
Klausel 24: Nichteinhaltung der Klauseln und Kündigung
(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.
(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 21 Buchstabe f).
(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:
(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb eines angemessenen Zeitraums, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;
(ii) der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder
(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesen Klauseln nicht nachkommt.
(d) In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde über die Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbart haben.
(e) Personenbezogene Daten, die vor Beendigung des Vertragsverhältnisses nach Buchstabe c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder in vollem Umfang zu löschen. Gleiches gilt für etwaige Kopien der Daten.
(f) Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten sorgt der Datenimporteur weiterhin für die Einhaltung der vorliegenden Klauseln. Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die örtlichen Gesetze vorschreiben.
(g) Jede Vertragspartei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der DSGVO erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten, oder (ii) die DSGVO Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung nach der DSGVO gelten.
Klausel 25: Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Drittbegünstigungsrechte zulässt. Die Parteien vereinbaren, dass dies das Recht Irlands sein soll.
Klausel 26: Wahl des Gerichtsstands und der Gerichtsbarkeit
(a) Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte eines EU-Mitgliedstaats zuständig.
(b) Die Vertragsparteien vereinbaren, dass dies die Gerichte Irlands sind.
(c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.
(d) Die Vertragsparteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.
Im Namen des Datenexporteurs:
| Vollständiger Name: Adam Brogden |
| Position: Direktor |
| Anschrift: Büro 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irland |
| Sonstige Angaben, die für die Verbindlichkeit des Vertrags erforderlich sind (falls zutreffend): |
| Unterschrift: Adam Brogden |
| Im Namen des Datenimporteurs: |
| Vollständiger Name: Zlatko Delev |
| Position: Teamleiter |
| Anschrift: 1st Floor Front Suite, 27-29 North Street, Brighton, England BN1 1EB |
| Sonstige Angaben, die für die Verbindlichkeit des Vertrags erforderlich sind (falls zutreffend): |
| Unterschrift: Zlatko Delev |
APPENDIX
ANHANG I.
A. Liste der Parteien
1.
Datenexporteur
Name: Instant EU GDPR Representative LTD
Anschrift: Büro 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irland
Name, Position und Kontaktdaten der Kontaktperson: ... Adam Brogden, Direktor, [email protected]
Unterschrift und Datum: ADAM BROGDEN; 13/12/2021
Rolle: Controller und Prozessor
2. …
Datenimporteur
Name: GDPR Local LTD
Anschrift: 1st Floor Front Suite, 27-29 North Street, Brighton, England
Name, Position und Kontaktdaten der Kontaktperson: Zlatko Delev, Leiter des Compliance-Teams, [email protected]
Unterschrift und Datum: ZLATKO DELEV; 13/12/2021
Rolle: Verarbeiter
B. Beschreibung der Übertragung
Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden : Mitarbeiter, Kunden, deren Lieferanten und Dritte, Aufsichtsbehörden, betroffene Personen, die einen Antrag stellen, und andere Unternehmen und Agenturen, die beteiligt sein können.
Kategorien übermittelter personenbezogener Daten: Kontaktdaten des Datenexporteurs und der betroffenen Personen sowie Daten im Zusammenhang mit der Bearbeitung von Anfragen, Beschwerden und anderen Interaktionen, die sich aus der Erbringung der Dienstleistungen ergeben. Dazu gehören der Name der betroffenen Person , Kontaktdaten, E-Mail, Telefonnummer, Zahlungsdaten, Rechnungsadresse und Interaktionen per E-Mail / Telefon / Post etc.....
Übermittlung sensibler Daten (falls zutreffend) und Anwendung von Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen. Wir erheben oder speichern nicht routinemäßig sensible personenbezogene Daten. Sollte dies dennoch der Fall sein, werden wir sicherstellen, dass wir die geeigneten Maßnahmen zum Schutz dieser sensiblen Daten ergreifen.
Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden). Die Daten werden je nach Bedarf auf Ad-hoc-Basis übertragen.
Art der Verarbeitung: Die Art und der Zweck der Verarbeitung besteht darin, die Dienstleistungen für unseren Kunden zu erbringen, um dem britischen Datenschutzgesetz, der Datenschutz-Grundverordnung (GDPR) und den damit verbundenen Datenschutzvorschriften zu entsprechen.
Zweck(e) der Datenübermittlung und -weiterverarbeitung: Bereitstellung von EU/UK-Vertretungsdiensten, GDPR-Beratung und damit verbundenen Dienstleistungen.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums: solange die Datenimportdienste erbracht werden.
Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben: Soweit für die Erbringung der Dienstleistungen erforderlich.
C. Zuständige Aufsichtsbehörde
Die zuständige Aufsichtsbehörde ist der Ireland Information Comissioner:
Büro des Informationsbeauftragten,
6 Earlsfort Terrace,
Dublin 2, D02 W773,
Irland.
ANHANG II:
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN
Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und 5 Buchstabe c ergriffen hat (oder beigefügtes Dokument bzw. beigefügte Rechtsvorschrift):
Alle Daten werden in einer verschlüsselten SQL-Server-Datenbank gespeichert, die in einem Microsoft Azure-Rechenzentrum (London) gehostet wird. Der Zugriff auf die Daten erfolgt ausschließlich über unsere internen Plattformen, die über eine rollen- und benutzerbasierte Authentifizierung verfügen, wobei der Zugriff standardmäßig verweigert und nur Kampagnenteams gewährt wird.
Verschlüsselung - Die in unseren Datenbanken gespeicherten Daten werden sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt. Alle für das Unternehmen verwendeten Computer haben verschlüsselte Festplatten.
Zugang zum Hub - 2FA - 2FA ist für alle Benutzer verfügbar, wird jedoch nicht erzwungen.
Zugangskontrollen - Es wurden angemessene Zugangskontrollen durchgeführt - funktional/datenbezogen - Der Datenzugang ist durch die Organisationsstruktur begrenzt, ebenso der funktionale Zugang (in Bezug auf SodaStream und Hub). Wir verwenden "Rollen", um verschiedene Arten von Berechtigungen für verschiedene Ebenen des Mitarbeiterzugriffs zu vergeben.
Physische Sicherheit - Wir haben an allen Standorten angemessene physische Zugangskontrollen eingerichtet, um die Datenbestände zu schützen. - Die genutzten Rechenzentren sind sehr sicher - alle Einzelheiten über das Niveau der physischen Sicherheit finden Sie hier: https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security .
ANHANG III - LISTE DER UNTERAUFTRAGSVERARBEITER
Der Datenimporteur und der Datenexporteur haben den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:
| Name des Unterauftragsverarbeiters | Erbrachte Dienstleistungen | Subprozessor Standort | Zweck der Verarbeitung | DPA mit Unterauftragsverarbeiter in Kraft(ja oder nein) |
| Sopro d.o.o. | Softwareentwicklung, operative Unterstützung, administrative Unterstützung, Geschäftsentwicklung, Projektmanagement. | Nordmazedonien | Entwicklung, Unterstützung, Betrieb und Beratung für unsere GDPR- und verwandten Dienste. | JaDPA und SCCs |
| Sopro GmbH | Softwareentwicklung, operative Unterstützung, administrative Unterstützung, Geschäftsentwicklung, Projektmanagement. | UK | Geschäftsentwicklung | JaDPA |
| Sopro-Beteiligungen | Softwareentwicklung, operative Unterstützung, administrative Unterstützung, Geschäftsentwicklung, Projektmanagement. | UK | Geschäftsentwicklung und Betrieb. | JaDPA |