Anhang zur Datenverarbeitung

 

Dieser Anhang ist integraler Bestandteil des Vertrages und wird abgeschlossen von:

 

  1. (i) Der Kunde („ Datenexporteur “)
  2. (ii) POSTCODEZIP ("Datenimporteur " )

 

Jeder ist eine „ Partei “ und gewöhnlich „ Parteien “.

 

Präambel

WO der Datenimporteur professionelle Softwaredienste, Computer und damit verbundene Dienste anbietet;

WO der Datenimporteur gemäß dem Vertrag zugestimmt hat, dem Datenexporteur die im Vertrag angegebenen Dienstleistungen zu erbringen (die „ Dienstleistungen “);

WENN der Datenimporteur durch die Bereitstellung der Dienste Zugang zu den Informationen des Datenexporteurs oder den Informationen anderer Personen, die eine (potenzielle) Beziehung zu dem Datenexporteur haben, erhält oder davon profitiert, können diese Informationen als personenbezogene Daten im Sinne der Verordnung eingestuft werden (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („ DSGVO “) sowie zu anderen geltenden Datenschutzgesetzen.

WO dieser Anhang die Bedingungen für die Erhebung, Verarbeitung und Nutzung dieser personenbezogenen Daten durch den Datenimporteur in seiner Eigenschaft als bevollmächtigter Datenverarbeitungsbeauftragter des Datenexporteurs enthält, um sicherzustellen, dass die Parteien die geltenden Datenschutzgesetze einhalten .

 

DESHALB und um es den Parteien zu ermöglichen, ihre Beziehung rechtmäßig fortzusetzen, haben die Parteien diesen Anhang wie folgt geschlossen:

Teil 1

 

1. Aufbau des Dokuments und Definitionen

1.1 Struktur

Dieser Anhang besteht aus folgenden Teilen:

 

Teil 1:

enthält allgemeine Bestimmungen, z. B. zu den in diesem Anhang verwendeten Definitionen, Einhaltung lokaler Gesetze, Zeitablauf und Beendigung

Teil 2:

enthält den Hauptteil des ungeänderten Dokuments zu den Standardvertragsklauseln

Anhang 1.1 von Teil 2:

enthält die Einzelheiten zu den Verarbeitungsvorgängen, die der Datenimporteur dem Datenexporteur als autorisiertem Datenverarbeitungsbeauftragten zur Verfügung stellt (einschließlich der Verarbeitung, Art und Zweck der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien von betroffenen Personen) im Rahmen dieser Anhang

Anlage 2 von Teil 2:

enthält eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, die im Zusammenhang mit allen in Anhang 1.1 von Teil 2 beschriebenen Verarbeitungsaktivitäten angewendet werden

Teil 3:

enthält die Unterschriften der an diesen Anhang bindenden Parteien und identifiziert jeden Datenimporteur

 

1.2 Terminologie und Definitionen

Für die Zwecke dieses Anhangs gelten die von der DSGVO verwendeten Terminologien und Definitionen (im Hauptteil des Dokuments der Standardvertragsklausel in Teil 2, wo definierte Begriffe nicht großgeschrieben werden). 

 

"Mitgliedstaat"

bezeichnet ein Land, das der Europäischen Union oder dem Europäischen Wirtschaftsraum angehört

„Besondere Kategorien von (personenbezogenen) Daten“

bezieht sich auf personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten, wenn sie zum Zwecke der eindeutigen Identifizierung einer Person verarbeitet werden, Gesundheitsdaten, Daten über das Geschlecht einer Person Leben oder sexuelle Orientierung

"Standardvertragsklauseln"

bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten von in Drittländern niedergelassenen Auftragsverarbeitern gemäß dem Beschluss 2010/87/EU der Kommission vom 5. Februar 2010, geändert durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016

„Datenverarbeiter"?

bezeichnet jeden Verarbeitungsbeauftragten innerhalb oder außerhalb der EU/des EWR, der zustimmt, vom Datenimporteur oder einem anderen Auftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zum Zwecke der Verarbeitungstätigkeiten zu erhalten, die der Datenexporteur nach dem Übertragung gemäß den Anweisungen des Datenexporteurs, den Bedingungen dieses Anhangs und dem Vertrag mit dem Datenimporteur

 

 

2. Pflichten des Datenexporteurs

2.1 Der Datenexporteur ist verpflichtet, die Einhaltung aller anwendbaren Verpflichtungen aus der DSGVO und allen anderen anwendbaren Datenschutzgesetzen, die für den Datenexporteur gelten, sicherzustellen und diese Einhaltung gemäß Artikel 5 (2) der DSGVO nachzuweisen. Der Datenexporteur gewährleistet, dass der Datenimporteur die vorherige Einwilligung der betroffenen Personen gemäß Artikel 6 (a) DSGVO eingeholt hat und seinen Informationspflichten gemäß Artikel 13 und 14 DSGVO nachgekommen ist.

2.2 Der Datenexporteur hat dem Datenimporteur die entsprechenden Dateien der Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 1 DSGVO in Bezug auf die Dienste nach diesem Anhang zur Verfügung zu stellen, soweit dies für den Datenimporteur erforderlich ist, um die Verpflichtung aus Art. 30 Abs. 2 DSGVO.

2.3 Der Datenexporteur muss einen Datenschutzbeauftragten oder Datenschutzbeauftragten bestellen, soweit dies nach geltendem Datenschutzrecht erforderlich ist. Der Datenexporteur ist verpflichtet, dem Datenimporteur gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten oder -vertreters zur Verfügung zu stellen.

2.4. Der Datenexporteur bestätigt vor Abschluss der Verarbeitung durch Annahme dieses Anhangs, dass die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs gemäß Anhang 2 zu Teil 2 angemessen und ausreichend sind, um die Rechte der betroffenen Person zu schützen und bestätigt, dass der Datenimporteur diesbezüglich ausreichende Sicherheitsvorkehrungen trifft.

 

3. Einhaltung lokaler Gesetze

Um den Anforderungen des Einsatzes der Auftragsverarbeiter nach Artikel 28 DSGVO gerecht zu werden, gelten folgende Änderungen:

 

3.1 Anweisungen

  1. (i) Der Datenexporteur weist den Datenimporteur an, personenbezogene Daten nur im Auftrag des Datenexporteurs zu verarbeiten. Die Anweisungen des Datenexporteurs sind in diesem Anhang und im Vertrag enthalten. Der Datenexporteur ist verpflichtet sicherzustellen, dass alle dem Datenimporteur erteilten Anweisungen den geltenden Datenschutzgesetzen entsprechen. Der Datenimporteur darf personenbezogene Daten nur gemäß den Anweisungen des Datenexporteurs verarbeiten, es sei denn, die Europäische Union oder das Recht des Mitgliedstaats verlangen etwas anderes (in letzterem Fall gilt Teil 1 Ziffer 3.2 (iv) (c)) .
  2. (ii) Alle anderen Anweisungen, die über die Anweisungen in diesem Anhang oder im Vertrag hinausgehen, müssen in den Gegenstand dieses Anhangs und des Vertrags aufgenommen werden. Wenn die Umsetzung dieser zusätzlichen Weisung für den Datenimporteur mit Kosten verbunden ist, hat der Datenimporteur den Datenexporteur über diese Kosten zu informieren und eine Erklärung abzugeben, bevor die Weisung umgesetzt wird. Erst nachdem der Datenexporteur die Übernahme dieser Kosten für die Durchführung der Weisung bestätigt hat, wird der Datenimporteur diese zusätzliche Weisung ausführen. Zusätzliche Weisungen hat der Datenexporteur schriftlich zu erteilen, es sei denn, Dringlichkeit oder andere besondere Umstände erfordern eine andere Form (zB mündlich, elektronisch). Weisungen in anderer als schriftlicher Form müssen vom Datenexporteur unverzüglich schriftlich bestätigt werden.
  3. 1. Sofern der Datenexporteur die Berichtigung, Löschung oder Einschränkung personenbezogener Daten nicht selbst vornehmen kann, können sich die Weisungen auch auf die Berichtigung, Löschung und/oder Einschränkung personenbezogener Daten gemäß Teil 1 Ziffer 3.3 beziehen.
  4. 2. Der Datenimporteur hat den Datenexporteur unverzüglich zu informieren, wenn seiner Ansicht nach eine Weisung gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaats verstößt („ umstrittene Weisung"). Wenn der Datenimporteur der Ansicht ist, dass eine Anweisung gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaats verstößt, ist der Datenimporteur nicht verpflichtet, der strittigen Anweisung zu folgen. Bestätigt der Datenexporteur die strittige Anweisung auf Erhalt von Informationen vom Datenimporteur und erkennt seine Verantwortung für die angefochtene Anweisung an, wird der Datenimporteur die angefochtene Anweisung umsetzen, es sei denn, die angefochtene Anweisung betrifft (i) die Umsetzung technischer und organisatorischer Maßnahmen, (ii) die Rechte der Daten Subjekte oder (iii) die Beauftragung von Datenverarbeitern In den Fällen (i) bis (iii) kann sich der Datenimporteur an eine zuständige Aufsichtsbehörde wenden, um die angefochtene Anweisung von dieser Behörde rechtlich prüfen zu lassen.Erklärt die Aufsichtsbehörde die angefochtene Weisung für rechtmäßig, setzt der Datenimporteur die angefochtene Weisung um. Teil 1 Ziffer 3.1 (ii) bleibt anwendbar.

 

3.2 Pflichten des Datenimporteurs

  1. (i) Der Datenimporteur muss sicherstellen, dass Personen, die vom Datenimporteur zur Verarbeitung personenbezogener Daten im Auftrag des Datenexporteurs bevollmächtigt wurden, insbesondere Mitarbeiter des Datenimporteurs und Mitarbeiter eines Unterauftragnehmers, sich zur Geheimhaltung verpflichtet haben oder eine angemessene gesetzliche Verschwiegenheitspflicht besteht und dass Personen, die Zugang zu personenbezogenen Daten haben, diese gemäß den Anweisungen des Datenexporteurs verarbeiten.
  2. (ii) Der Datenimporteur muss die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anhang 2 zu Teil 2 umsetzen, bevor er die personenbezogenen Daten im Auftrag des Datenexporteurs verarbeitet. Der Datenimporteur kann die technischen und organisatorischen Sicherheitsmaßnahmen von Zeit zu Zeit ändern, sofern sie keinen geringeren Schutz bieten als die in Anlage 2 zu Teil 2 aufgeführten.
  3. (iii) Der Datenimporteur stellt dem Datenexporteur auf Anfrage des Datenexporteurs Informationen zur Verfügung, um die Einhaltung der Verpflichtungen des Datenimporteurs gemäß diesem Anhang nachzuweisen. Die Parteien vereinbaren, dass diese Informationspflicht erfüllt wird, indem dem Datenexporteur ein Auditbericht (über die Sicherheit der Grundsätze, die Systemverfügbarkeit und die Vertraulichkeit) („Auditbericht“) vorgelegt wird. Wenn zusätzliche Auditaktivitäten gesetzlich vorgeschrieben sind, kann der Datenexporteur verlangen, dass Inspektionen durch den Datenexporteur oder einen anderen vom Datenexporteur ernannten Auditor durchgeführt werden, vorbehaltlich der Unterzeichnung einer Vertraulichkeitsvereinbarung durch diesen Auditor mit dem Datenimporteur an die des Datenimporteurs angemessene Zufriedenheit ("Audit"). Dieses Audit unterliegt den folgenden Bedingungen:(i) die vorherige formelle schriftliche Zustimmung des Datenimporteurs; und (ii) der Datenexporteur trägt alle Kosten im Zusammenhang mit dem Audit vor Ort für den Datenexporteur und den Datenimporteur. Der Datenexporteur muss einen Auditbericht erstellen, der die Ergebnisse und Beobachtungen des Vor-Ort-Audits zusammenfasst („Vor-Ort-Audit-Bericht“). Die Auditberichte vor Ort und die Auditberichte sind vertrauliche Informationen des Datenimporteurs und dürfen nicht an Dritte weitergegeben werden, es sei denn, dies ist nach geltendem Datenschutzrecht erforderlich oder mit Zustimmung des Datenimporteurs.Die Auditberichte vor Ort und die Auditberichte sind vertrauliche Informationen des Datenimporteurs und dürfen nicht an Dritte weitergegeben werden, es sei denn, dies ist nach geltendem Datenschutzrecht erforderlich oder mit Zustimmung des Datenimporteurs.Die Auditberichte vor Ort und die Auditberichte sind vertrauliche Informationen des Datenimporteurs und dürfen nicht an Dritte weitergegeben werden, es sei denn, dies ist nach geltendem Datenschutzrecht erforderlich oder mit Zustimmung des Datenimporteurs.
  4. (iv) Der Datenimporteur ist verpflichtet, den Datenexporteur unverzüglich zu benachrichtigen:
    1. A. bezüglich eines rechtsverbindlichen Antrags auf Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde, sofern nichts anderes verboten ist, wie z. B. ein strafrechtliches Verbot zum Schutz der Vertraulichkeit einer Strafverfolgungsuntersuchung
    2. B. bei Beschwerden und Anfragen, die direkt von einer betroffenen Person eingehen (z. B. in Bezug auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Datenverarbeitung, automatisierte Entscheidungsfindung), ohne auf diese Anfrage zu antworten, es sei denn, der Datenimporteur wurde dazu befugt tun Sie dies
    3. C. wenn der Datenimporteur oder Datenverarbeiter nach dem Recht der Europäischen Union oder des Mitgliedstaats, dem der Datenimporteur oder Datenverarbeiter unterliegt, verpflichtet ist, die personenbezogenen Daten über die Weisungen des Datenexporteurs hinaus zu verarbeiten, bevor eine solche Verarbeitung darüber hinaus erfolgt die Weisungen, es sei denn, Gesetze der Europäischen Union oder des Mitgliedstaats verbieten eine solche Verarbeitung aus wichtigen Gründen des öffentlichen Interesses; in diesem Fall wird in der Mitteilung an den Datenexporteur die rechtliche Verpflichtung nach diesem Recht der Europäischen Union oder des Mitgliedstaats angegeben; oder
    4. D. wenn der Datenimporteur eine Verletzung personenbezogener Daten allein aufgrund seiner selbst oder seines Unterauftragnehmers feststellt, die sich auf die unter diesen Vertrag fallenden personenbezogenen Daten des Datenexporteurs auswirken würde, in diesem Fall wird der Datenimporteur den Datenexporteur bei seiner Verpflichtung unterstützen, gegenüber dem anwendbaren Datenschutzrecht gemäß Art. 33 Abs. 3 DSGVO die betroffenen Personen und ggf. die Aufsichtsbehörden durch Auskunftserteilung zu informieren.
    5. (v) Auf Verlangen des Datenexporteurs ist der Datenimporteur verpflichtet, den Datenexporteur bei seiner Verpflichtung zur Durchführung einer ggf. nach Art. 35 DSGVO erforderlichen Datenschutz-Folgenabschätzung und ggf gemäß Artikel 36 der DSGVO in Bezug auf die vom Datenimporteur für den Datenexporteur gemäß diesem Anhang erbrachten Dienstleistungen erforderlich, Bereitstellung der erforderlichen Informationen und Informationen an den Datenexporteur. Der Datenimporteur ist nur dann zu dieser Hilfeleistung verpflichtet, wenn der Datenexporteur seine Verpflichtung auf andere Weise nicht erfüllen kann. Der Datenimporteur wird den Datenexporteur über die Kosten einer solchen Unterstützung informieren. Sobald der Datenexporteur bestätigt hat, dass er diese Kosten tragen kann, stellt der Datenimporteur dem Datenexporteur diese Hilfe zur Verfügung.
    6. (vi) Am Ende der Erbringung der Dienstleistungen kann der Datenexporteur die Rückgabe der vom Datenimporteur gemäß diesem Anhang verarbeiteten personenbezogenen Daten innerhalb eines Monats nach den Dienstleistungen verlangen. Sofern nicht die Rechtsvorschriften der Mitgliedstaaten oder der Europäischen Union eine Speicherung oder Aufbewahrung dieser personenbezogenen Daten durch den Datenimporteur vorschreiben, löscht der Datenimporteur alle diese personenbezogenen oder nicht personenbezogenen Daten nach Ablauf der einmonatigen Frist, unabhängig davon, ob sie an den Datenimporteur zurückgegeben wurden der Datenexporteur auf seinen Wunsch hin oder nicht.

 

3.3 Rechte betroffener Personen

  1.  
    1. (i) Der Datenexporteur verwaltet und beantwortet Anfragen von betroffenen Personen. Der Datenimporteur ist nicht verpflichtet, den betroffenen Personen direkt zu antworten.
    2. (ii) Wenn der Datenexporteur die Unterstützung des Datenimporteurs bei der Bearbeitung und Beantwortung der Anfragen der betroffenen Person benötigt, wird der Datenexporteur eine weitere Anweisung gemäß Abschnitt 3.1 (ii) von Teil 1 erteilen. Der Datenimporteur wird den Datenexporteur unterstützen mit den folgenden geeigneten und technisch-organisatorischen Maßnahmen, um auf die Anfragen zur Ausübung der in Kapitel III der DSGVO aufgeführten Rechte betroffener Personen wie folgt zu reagieren:
    3. A. In Bezug auf Auskunftsersuchen stellt der Datenimporteur dem Datenexporteur nur die nach Artikel 13 und 14 der PGRD erforderlichen Informationen zur Verfügung, die ihm möglicherweise zur Verfügung stehen, wenn der Datenexporteur diese nicht selbst finden kann.
    4. B. In Bezug auf Auskunftsersuchen (Art. 15 DSGVO) wird der Datenimporteur dem Datenexporteur nur die Informationen zur Verfügung stellen, die einer betroffenen Person für das genannte Auskunftsersuchen bereitgestellt werden sollen, die ihm möglicherweise zur Verfügung stehen, wenn die Letzterer kann es allein nicht finden.
    5. C. Bei Anträgen auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO) oder Antrag auf Übertragbarkeit (Art. 20 DSGVO) und nur wenn der Datenexporteur die personenbezogenen Daten nicht selbst berichtigen oder löschen, einschränken oder an einen anderen Dritten übermitteln kann, bietet der Datenimporteur dem Datenexporteur die Möglichkeit, die betreffenden personenbezogenen Daten zu berichtigen oder zu löschen, einzuschränken oder an den anderen Dritten zu übermitteln, oder, falls dies nicht möglich ist, hilft sie bei der Berichtigung oder Löschung, Einschränkung oder Übermittlung der betroffenen personenbezogenen Daten an einen anderen Dritten.
    6. D. In Bezug auf die Mitteilung über Berichtigung, Löschung oder Einschränkung der Verarbeitung (Artikel 19 DSGVO) unterstützt der Datenimporteur den Datenexporteur, indem er alle Empfänger personenbezogener Daten, die der Datenimporteur als Auftragsverarbeiter beauftragt hat, auf Verlangen des Datenexporteurs benachrichtigt und wenn der Datenexporteur die Situation nicht selbst beheben kann.
    7. e. In Bezug auf das von einer betroffenen Person ausgeübte Widerspruchsrecht (Artikel 21 und 22 DSGVO) wird der Datenexporteur feststellen, ob der Widerspruch berechtigt ist und wie damit umzugehen ist.
    8. (iii) Die Mitwirkungspflichten des Datenimporteurs sind auf personenbezogene Daten beschränkt, die innerhalb seiner Infrastruktur verarbeitet werden (zB Datenbanken, Systeme, Anwendungen, die dem Datenimporteur gehören oder von ihm bereitgestellt werden).
    9. (iv) Der Datenexporteur bestimmt, ob eine betroffene Person die Rechte der betroffenen Personen gemäß Abschnitt 3.1 dieses Teils 1 ausüben kann und informiert den Datenimporteur darüber, inwieweit die in Abschnitt 3.3 (ii) festgelegte Unterstützung ( iii) von Teil 1 ist erforderlich.
    10. (v) Falls der Datenexporteur zusätzliche oder geänderte technische und organisatorische Maßnahmen zur Wahrung der Rechte der betroffenen Personen fordert, die über die Unterstützung durch den Datenimporteur gemäß Unterabschnitt 3.3 (ii), (iii) von Teil 1 hinausgehen, werden die Daten Der Importeur teilt dem Datenexporteur die Kosten für die Durchführung solcher zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen mit. Sobald der Datenexporteur bestätigt hat, dass er diese Kosten tragen kann, wird der Datenimporteur diese zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen ergreifen, um den Datenexporteur bei der Beantwortung der Anfragen der betroffenen Personen zu unterstützen.
    11. (vi) Ohne den Anwendungsbereich von Abschnitt 3.3 (v) von Teil 1 einzuschränken, ist der Datenexporteur verpflichtet, dem Datenimporteur seine angemessenen Kosten zu erstatten, die ihm bei der Beantwortung der Anfragen der betroffenen Personen entstanden sind.

 

3.4 Unterverarbeitung

  1.  
    1. (i) Der Datenexporteur genehmigt den Einsatz von Subunternehmern durch den Datenimporteur für die Erbringung von Dienstleistungen gemäß diesem Anhang. Der Datenimporteur wird diese(n) Datenverarbeiter sorgfältig auswählen. Der Datenexporteur genehmigt den/die Datenverarbeiter, die in Anhang 1.1 am Ende von Teil 2 aufgeführt sind.
    2. (ii) Der Datenimporteur überträgt seine Verpflichtungen aus diesem Anhang an den/die Datenverarbeiter, soweit dies für die untervergebenen Dienstleistungen gilt.
    3. (iii) Der Datenimporteur kann nach eigenem Ermessen einen oder mehrere geeignete und zuverlässige Datenverarbeiter entlassen, ersetzen oder ernennen. Auf schriftliche Anfrage des Datenexporteurs muss der Datenimporteur wie folgt vorgehen:
  1.  
    1. A. Der Datenimporteur informiert den Datenexporteur vor Änderungen an der Liste der Datenverarbeiter, auf die in Abschnitt 3.4 (i) von Teil 1 verwiesen wird. Wenn der Datenexporteur gemäß Abschnitt 3.4 nicht widerspricht. (b) von Teil 1 30 Tage nach Erhalt der Benachrichtigung durch den Datenimporteur gelten die zusätzlichen Datenverarbeiter als akzeptiert.
    2. B. Wenn der Datenexporteur einen berechtigten Grund hat, einem weiteren Datenverarbeiter zu widersprechen, wird er den Datenimporteur innerhalb von dreißig Tagen nach Erhalt der Benachrichtigung des Datenimporteurs und vor der Inbetriebnahme des Dienstes des Datenimporteurs schriftlich benachrichtigen. Wenn der Datenexporteur der Verwendung eines zusätzlichen Datenverarbeiters widerspricht, kann der Datenimporteur den Widerspruch durch eine der folgenden Optionen (nach eigenem Ermessen ausgewählt) löschen: (A) Der Datenimporteur wird seine Pläne zur Verwendung eines zusätzlichen Datenverarbeiters in Bezug auf die personenbezogenen Daten des Datenexporteurs; (B) der Datenimporteur wird die vom Datenexporteur in seinem Widerspruch verlangten Korrekturmaßnahmen ergreifen (Aufhebung des Widerspruchs) und den zusätzlichen Verarbeiter in Bezug auf die personenbezogenen Daten des Datenexporteurs einsetzen;(C) Der Datenimporteur kann die Bereitstellung einstellen oder der Datenexporteur kann zustimmen, einen bestimmten Aspekt des Dienstes nicht (vorübergehend oder dauerhaft) zu nutzen, der die Verwendung der personenbezogenen Daten des Datenexporteurs durch den weiteren Verarbeiter des Datenexporteurs beinhalten würde.
  1.  
    1. (iv) wenn der Datenverarbeiter seinen Sitz außerhalb der EU-EWR in einem Land hat, das aufgrund einer Entscheidung der Europäischen Kommission kein angemessenes Datenschutzniveau bietet, ergreift der Datenimporteur die Maßnahmen, um ein angemessenes Datenschutzniveau einzuhalten des Datenschutzes gemäß der DSGVO (solche Maßnahmen können u. a. die Nutzung von Auftragsdatenverarbeitungsverträgen nach den Klauseln des EU-Modells, Übermittlung an selbst zertifizierte Auftragsverarbeiter im Rahmen des EU-US-Schutzschildes umfassen , oder ein ähnliches Programm).

 

3.5 Ablauf

Das Ablaufdatum dieses Anhangs ist identisch mit dem Ablaufdatum des entsprechenden Vertrages. Sofern in diesem Anhang nichts anderes bestimmt ist, sind die Rechte und Pflichten in Bezug auf die Kündigung dieselben wie im Vertrag enthalten.

 

4. Haftungsbeschränkung

4.1 Jede Partei erfüllt ihre Verpflichtungen aus diesem Anhang und den geltenden Datenschutzgesetzen.

4.2 Jegliche Haftung im Zusammenhang mit einer Verletzung der Pflichten aus diesem Anhang oder den geltenden Datenschutzgesetzen unterliegt den Haftungsbestimmungen, die im Vertrag festgelegt sind oder auf ihn anwendbar sind, sofern in diesem Anhang nichts anderes bestimmt ist. Wenn die Haftung durch die im Vertrag festgelegten oder auf diesen anwendbaren Haftungsbestimmungen geregelt wird, gilt für die Berechnung der Haftungsgrenzen oder die Bestimmung der Anwendung anderer Haftungsbeschränkungen jede Haftung, die sich aus diesem Anhang ergibt, als vertragsgemäß.

 

5. Allgemeine Bestimmungen

5.1 Bei Unstimmigkeiten oder Abweichungen zwischen den Teilen 1 und 2 dieses Anhangs hat Teil 2 Vorrang. Insbesondere bleibt auch in einem solchen Fall Teil 1 gültig, der lediglich über Teil 2 (dh die Bestimmungen von Standardklauseln) hinausgeht, ohne diesem zu widersprechen.

5.2 Bei Abweichungen zwischen den Bestimmungen dieses Anhangs und denen anderer für die Parteien verbindlicher Verträge hat dieser Anhang hinsichtlich der Datenschutzpflichten der Parteien Vorrang. Im Zweifelsfall, ob Klauseln in anderen Verträgen Datenschutzpflichten der Parteien betreffen, geht dieser Anhang vor.

5.3 Sollte eine Bestimmung dieses Anhangs ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses Anhangs in vollem Umfang gültig. Die ungültige oder undurchsetzbare Bestimmung wird (i) geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, wobei der Wille der Parteien so weit wie möglich gewahrt wird, oder – falls dies nicht möglich ist – (ii) so ausgelegt werden, als ob der ungültige oder undurchsetzbare Teil war nie Vertragsbestandteil. Das Vorstehende gilt auch, wenn dieser Anhang eine Lücke enthält.

5.5 Soweit erforderlich, können die Parteien Änderungen von Teil 1, Klausel 3 (Einhaltung lokaler Gesetze) oder anderen Teilen des Anhangs verlangen, um Auslegungen, Richtlinien oder Anordnungen der zuständigen Behörden der Union oder der Mitgliedstaaten, nationale Durchsetzungsvorschriften oder sonstige Rechtsentwicklungen in Bezug auf die DSGVO oder andere Bedingungen der Übertragung an alle an der Datenverarbeitung beteiligten Stellen und insbesondere in Bezug auf die Verwendung der Standardvertragsklauseln der DSGVO. Die Bestimmungen der Standardvertragsklauseln dürfen nicht geändert oder ersetzt werden, es sei denn, die Europäische Kommission stimmt dem ausdrücklich zu (zB durch neue angemessene Klauseln und Datenschutzstandards).

5.6 Jede Bezugnahme in diesem Anhang auf die "Klauseln" bezieht sich auf alle Bestimmungen dieses Anhangs, sofern nicht anders angegeben.

5.7 Die Rechtswahl in Teil 2, Ziffer 9 gilt für den gesamten Vertrag.

 

6.  Personenbezogene Daten, die von den Parteien zu persönlichen Zwecken übermittelt und verarbeitet werden (Übergabe vom Verantwortlichen an den Verantwortlichen)

6.1 Die Parteien wissen in vollem Umfang, dass bestimmte personenbezogene Daten vom Datenexporteur an den Datenimporteur und umgekehrt übermittelt werden und dass diese Daten von jeder Partei für ihre eigenen Zwecke verarbeitet werden. In Bezug auf diese personenbezogenen Daten werden die anderen Bestimmungen dieses Anhangs (mit Ausnahme dieser Klausel 6) nicht berührt.

6.2 Der Datenexporteur kann personenbezogene Daten des Personals des Datenimporteurs an den Datenimporteur übermitteln, einschließlich Informationen über Sicherheitsvorfälle oder sonstige Dokumente oder Dateien, die der Datenexporteur im Zusammenhang mit den von den Mitarbeitern der erbrachten Dienstleistungen erstellt oder erstellt hat der Datenimporteur. Der Datenimporteur kann diese personenbezogenen Daten für eigene Zwecke verarbeiten, insbesondere im Rahmen seiner beruflichen Beziehungen zu den Mitarbeitern des Datenimporteurs, zur Qualitätskontrolle und Schulung oder für geschäftliche Zwecke.

6.3. Der Datenimporteur kann personenbezogene Daten an den Datenexporteur übermitteln, einschließlich des Namens und der Kontaktdaten des Personals des Datenimporteurs. Der Datenexporteur kann diese personenbezogenen Daten für eigene Zwecke verarbeiten.

6.4 Beide Parteien halten alle anwendbaren Datenschutzgesetze, einschließlich der DSGVO, bei der Erhebung, Verarbeitung und Nutzung der von der anderen Partei gemäß Abschnitt 1 von Teil 1 erhaltenen personenbezogenen Daten ein. Insbesondere treffen beide Parteien angemessene Sicherheitsmaßnahmen, sofern ein ähnliches Schutzniveau wie die in Teil 2 Anlage 2 aufgeführten Sicherheitsmaßnahmen. Jeder Zugriff auf diese personenbezogenen Daten ist auf die Notwendigkeit der Kenntnisnahme beschränkt.

6.5 Beide Parteien müssen diese personenbezogenen Daten nach Erreichung der Ziele so schnell wie möglich löschen.

Teil 2

 

ENTSCHEIDUNG DER KOMMISSION

am 5. Februar 2010

über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittstaaten niedergelassene Auftragsverarbeiter gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

 

 

 

Klausel 1

Definitionen

Im Sinne der Klauseln:

a) „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung/Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in 95/46/EG Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1);

b) der „Datenexporteur“ ist der Datenverantwortliche, der die personenbezogenen Daten übermittelt;

c) der „Datenimporteur“ ist der Datenverarbeiter, der zustimmt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übertragung im Auftrag des Datenexporteurs gemäß seinen Anweisungen und gemäß den Bedingungen dieser Klauseln verarbeitet werden sollen, und der dies nicht tut vorbehaltlich des Mechanismus eines Drittlandes, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet; (d) „Datenverarbeiter“ bezeichnet den Datenverarbeiter, der vom Datenimporteur oder von einem anderen Datenverarbeiter des Datenimporteurs beauftragt wurde, der zustimmt, von dem Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich für die Verarbeitung von Aktivitäten zu erhalten im Auftrag des Datenexporteurs nach der Übermittlung gemäß den Anweisungen des Datenexporteurs durchgeführt werden,gemäß den in diesen Klauseln festgelegten Bedingungen und gemäß den Bedingungen der schriftlichen Untervergabe des Auftragsdatenverarbeitungsvertrags;

e) „anwendbares Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, einschließlich des Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, und gilt für einen Verantwortlichen in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist;

f) „technische und organisatorische Maßnahmen zur Sicherheit“?? bezeichnet Maßnahmen zum Schutz personenbezogener Daten gegen zufällige oder unrechtmäßige Zerstörung oder zufälligen Verlust, Änderung, unbefugte Offenlegung oder unbefugten Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über Netzwerke umfasst, und gegen alle anderen rechtswidrigen Formen der Verarbeitung.

Klausel 2

Details der Überweisung

Die Einzelheiten der Übermittlung, gegebenenfalls einschließlich besonderer Kategorien personenbezogener Daten, sind in Anhang 1 aufgeführt, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittbegünstigtenklausel

1. Die betroffene Person kann diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6 (1) und (2 .) gegenüber dem Datenexporteur durchsetzen ), Ziffer 7, Ziffer 8 (2) und Ziffer 9 bis 12 als Drittbegünstigter

2. Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegen den Datenimporteur durchsetzen, wenn der Datenexporteur physisch verschwunden oder rechtlich erloschen ist, es sei denn, alle seine rechtlichen Verpflichtungen sind vertraglich oder kraft Gesetzes auf die Nachfolgegesellschaft übergegangen, an die die Rechte und Pflichten des Datenexporteurs daher zurückfallen und gegen die die Daten Subjekt kann daher die genannten Klauseln durchsetzen.

Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegen den Datenverarbeiter durchsetzen, jedoch nur in Fällen, in denen die Daten Der Exporteur und der Datenimporteur sind physisch verschwunden, rechtlich nicht mehr vorhanden oder zahlungsunfähig, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs sind vertraglich oder kraft Gesetzes auf den Rechtsnachfolger übertragen worden, dem die Rechte und Verpflichtungen des Datenexporteurs bestehen, und gegen wen die betroffene Person daher solche Klauseln durchsetzen kann. Diese Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungsaktivitäten beschränkt sein.

4. Die Parteien widersprechen der Vertretung der betroffenen Person durch einen Verein oder eine andere Stelle nicht, wenn sie dies wünscht und das nationale Recht dies zulässt.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur akzeptiert und garantiert Folgendes:

a) die Verarbeitung, einschließlich der tatsächlichen Übermittlung personenbezogener Daten, wurde und wird in Übereinstimmung mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts durchgeführt (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt) in dem der Datenexporteur seinen Sitz hat) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

b) sie haben den Datenimporteur angewiesen und werden ihn für die Dauer der Verarbeitung personenbezogener Daten anweisen, die übermittelten personenbezogenen Daten im alleinigen Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und diesen Klauseln zu verarbeiten;

c) der Datenimporteur trifft ausreichende Sicherheitsvorkehrungen hinsichtlich der in Anlage 2 zu diesem Vertrag aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen;

d) nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen angemessen sind, um personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung oder zufälligen Verlust, Veränderung, unbefugte Offenlegung oder Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übermittlung von Daten beinhaltet über ein Netzwerk und gegen alle anderen rechtswidrigen Formen der Verarbeitung und Gewährleistung eines Sicherheitsniveaus, das den Risiken der Verarbeitung und der Art der zu schützenden Daten unter Berücksichtigung des technischen Stands und der Kosten der Implementierung angemessen ist;

e) sie sorgen für die Einhaltung der Sicherheitsmaßnahmen;

f) wenn die Übermittlung besondere Kategorien von Daten betrifft, wurde die betroffene Person vor der Übermittlung oder so bald wie möglich nach der Übermittlung darüber informiert, dass ihre Daten in ein Drittland übermittelt werden dürfen, das keine ein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG;

g) sie werden jede vom Datenimporteur oder einem Auftragsverarbeiter gemäß den Klauseln 5 (b) und 8 (3) erhaltene Benachrichtigung an die Datenschutzaufsichtsbehörde weiterleiten, wenn diese beschließt, die Übertragung fortzusetzen oder ihre Aussetzung aufzuheben;

h) sie stellen den betroffenen Personen auf Anfrage eine Kopie dieser Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie jeder weiteren Unterauftragsvereinbarung zur Verfügung, die nach diesen Klauseln geschlossen wurde, es sei denn, die Klauseln oder die Vereinbarung enthalten kommerzielle Informationen, in denen er diese Informationen zurückziehen kann;

i) im Falle der Untervergabe der Datenverarbeitung wird die Verarbeitungstätigkeit gemäß Ziffer 11 von einem Auftragsverarbeiter durchgeführt, der mindestens das gleiche Schutzniveau für personenbezogene Daten und die Rechte der betroffenen Person wie der Datenimporteur gemäß diesen Klauseln bietet ; und

j) sie stellt die Einhaltung von Klausel 4 (a) bis (i) sicher.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur akzeptiert und garantiert Folgendes:

a) sie werden die personenbezogenen Daten nur im Auftrag des Datenexporteurs und gemäß den Anweisungen des Datenexporteurs und diesen Klauseln verarbeiten; wenn er aus irgendeinem Grund nicht nachkommen kann, verpflichten sie sich, den Datenexporteur so schnell wie möglich über seine Unfähigkeit zu informieren. In diesem Fall kann der Datenexporteur die Datenübertragung aussetzen und/oder den Vertrag beenden;

b) sie keinen Grund zu der Annahme haben, dass das auf sie anwendbare Recht ihn daran hindert, die vom Datenexporteur erteilten Anweisungen und die ihm aus dem Vertrag obliegenden Verpflichtungen zu erfüllen, und wenn dieses Recht einer Änderung unterliegt, die einen wesentlichen Nachteil haben könnte Auswirkungen auf die Gewährleistungen und Pflichten aus den Klauseln hat er den Datenexporteur unverzüglich nach Kenntnis von der Änderung zu unterrichten, wobei der Datenexporteur in diesem Fall die Datenübertragung aussetzen und/oder den Vertrag beenden kann; (c) sie haben vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt;

d) sie werden den Datenexporteur unverzüglich benachrichtigen:

i) jeder verbindliche Antrag auf Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde, sofern nicht anders angegeben, wie beispielsweise ein strafrechtliches Verbot zur Wahrung des polizeilichen Ermittlungsgeheimnisses;

ii) zufälliger oder unbefugter Zugriff; und

iii) alle Anfragen, die direkt von den betroffenen Personen eingehen, ohne darauf zu antworten, es sei denn, er wurde dazu autorisiert; Administratoren

e) sie werden alle Anfragen des Datenexporteurs bezüglich seiner Verarbeitung der übermittelten personenbezogenen Daten unverzüglich und ordnungsgemäß bearbeiten und gemäß der Stellungnahme der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten handeln;

f) auf Verlangen des Datenexporteurs seine Datenverarbeitungsanlagen einer Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten durch den Datenexporteur oder eine Aufsichtsbehörde, die sich aus unabhängigen Mitgliedern mit der erforderlichen fachlichen Qualifikation zusammensetzt, zu unterziehen, einer Geheimhaltungspflicht unterliegen und vom Datenexporteur ggf. mit Zustimmung der Aufsichtsbehörde ausgewählt werden;

g) sie stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln oder eines bestehenden Unterauftragnehmers des Auftrags zur Auftragsverarbeitung zur Verfügung, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann sie diese entfernen Informationen, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn die betroffene Person keine Kopie vom Datenexporteur erhalten kann;

h) bei vertraulicher Weitervergabe der Datenverarbeitung stellt er sicher, dass er den Datenexporteur vorab informiert und dessen schriftliche Zustimmung einholt;

i) die vom Datenverarbeiter erbrachten Verarbeitungsdienste müssen Klausel 11 erfüllen;

j) sie werden dem Datenexporteur unverzüglich eine Kopie einer etwaigen Untervergabe der von ihr gemäß diesen Klauseln abgeschlossenen Datenverarbeitungsvereinbarung zusenden.

Klausel 6

Verantwortung

1. Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder Klausel 11 genannten Pflichten durch eine Partei oder einen Datenverarbeiter Schaden erlitten hat, vom Datenexporteur eine Entschädigung für den erlittenen Schaden verlangen kann.

2. Wenn eine betroffene Person daran gehindert ist, eine Schadensersatzklage gemäß Absatz 1 gegen den Datenexporteur zu erheben, weil der Datenimporteur oder sein Datenverarbeiter eine seiner Pflichten gemäß Ziffer 3 oder Ziffer 11 nicht erfüllt, weil die Daten der Exporteur physisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, stimmt der Datenimporteur zu, dass die betroffene Person ihn beschweren kann, als ob er der Datenexporteur wäre, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs wurden vertraglich übertragen oder von Rechts wegen an deren Rechtsnachfolger, gegen die die betroffene Person dann ihre Rechte geltend machen kann. Der Datenimporteur darf sich nicht auf eine Verletzung seiner Pflichten durch einen Datenverarbeiter berufen, um seine eigene Haftung zu vermeiden.

3. Wenn eine betroffene Person daran gehindert ist, die in den Absätzen 1 und 2 genannte Klage gegen den Datenexporteur oder den Datenimporteur wegen Verletzung der Pflichten des Datenverarbeiters gemäß Ziffer 3 oder Ziffer 11 zu erheben, weil der Datenexporteur und der Datenimporteur physisch verschwunden sind, rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind, erklärt sich der Datenverarbeiter damit einverstanden, dass die betroffene Person eine Beschwerde bezüglich ihrer eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln einreichen kann, als ob sie der Datenexporteur oder Datenimporteur wäre, es sei denn, alle rechtliche Pflichten des Datenexporteurs oder Datenimporteurs sind vertraglich oder kraft Gesetzes auf den Rechtsnachfolger übergegangen, gegen den die betroffene Person dann ihre Rechte geltend machen kann.Die Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungsaktivitäten beschränkt werden.

 

Klausel 7

Mediation und Zuständigkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass, wenn die betroffene Person gemäß den Klauseln gegen sie das Recht des Drittbegünstigten geltend macht und/oder Schadensersatz für den erlittenen Schaden verlangt, er die Entscheidung der betroffenen Person akzeptiert:

a) die Streitigkeit einer Schlichtung durch eine unabhängige Person oder gegebenenfalls die Aufsichtsbehörde zu unterziehen;

b) die Streitigkeit vor die Gerichte des Mitgliedstaats zu bringen, in dem der Datenexporteur seinen Sitz hat.

2. Die Parteien vereinbaren, dass die von der betroffenen Person getroffene Wahl das prozessuale oder materielle Recht der betroffenen Person auf Rechtsbehelf nach anderen Vorschriften des nationalen oder internationalen Rechts nicht berührt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur verpflichtet sich, eine Kopie des vorliegenden Vertrages bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder das anwendbare Datenschutzrecht dies vorsieht.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde beim Datenimporteur und bei jedem Auftragsverarbeiter im gleichen Umfang und zu denselben Bedingungen Kontrollen wie beim Datenexporteur gemäß geltendem Datenschutzrecht durchführen kann.

3. Der Datenimporteur informiert den Datenexporteur so schnell wie möglich über das Bestehen von Rechtsvorschriften bezüglich des Datenimporteurs oder eines Datenverarbeiters, die eine Überprüfung beim Datenimporteur oder einem Datenverarbeiter gemäß Absatz 2 verhindern Der Datenexporteur kann die in Klausel 5 (b) vorgesehenen Maßnahmen ergreifen.

Klausel 9

Anwendbares Recht

Die Klauseln gelten und unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat.

Klausel 10

Vertragsänderung

Die Parteien verpflichten sich, die vorliegenden Klauseln nicht zu ändern. Es bleibt den Parteien freigestellt, andere Handelsklauseln aufzunehmen, die sie für notwendig halten, sofern sie den vorliegenden Klauseln nicht widersprechen.

Klausel 11

Nachträgliche Vergabe von Unteraufträgen

1. Der Datenimporteur darf keine seiner im Auftrag des Datenexporteurs im Rahmen dieser Klauseln durchgeführten Verarbeitungstätigkeiten ohne die vorherige schriftliche Zustimmung des Datenexporteurs untervergeben. Der Datenimporteur darf seine Verpflichtungen aus diesen Klauseln nur mit Zustimmung des Datenexporteurs durch eine schriftliche Vereinbarung mit dem Datenverarbeiter untervergeben, die dem Datenverarbeiter die gleichen Verpflichtungen auferlegt, die dem Datenimporteur gemäß diesen Klauseln auferlegt werden. Wenn der Datenverarbeiter seinen Datenschutzverpflichtungen aus dieser schriftlichen Vereinbarung nicht nachkommen kann, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung dieser Verpflichtungen voll verantwortlich.

2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Auftragsverarbeiter enthält auch eine Drittbegünstigungsklausel gemäß Klausel 3 für Fälle, in denen die betroffene Person daran gehindert ist, den in Klausel 6 genannten Schadensersatzanspruch geltend zu machen (1 ), gegen den Datenexporteur oder Datenimporteur, weil der Datenexporteur oder Datenimporteur physisch verschwunden ist, rechtlich erloschen ist oder zahlungsunfähig geworden ist und nicht alle rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder betrieblich übertragen wurden des Rechts an einen anderen Rechtsnachfolger. Die Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungsaktivitäten beschränkt werden.

3. Die datenschutzrechtlichen Bestimmungen bei der Vergabe von Unteraufträgen zur Auftragsdatenverarbeitung gemäß Absatz 1 unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat.

4. Der Datenexporteur führt eine Liste der Unterauftragnehmer der nach diesen Klauseln abgeschlossenen und vom Datenimporteur gemäß Ziffer 5 (j) mitgeteilten Datenverarbeitungsverträge, die mindestens einmal jährlich aktualisiert wird. Diese Liste wird der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.

Klausel 12

Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass der Datenimporteur und der Datenverarbeiter nach Abschluss der Datenverarbeitungsdienste nach Belieben des Datenexporteurs alle übertragenen personenbezogenen Daten und Kopien davon an den Datenexporteur zurückgeben oder alle diese Daten vernichten und einen Nachweis erbringen die Vernichtung an den Datenexporteur, es sei denn, dem Datenimporteur auferlegte Rechtsvorschriften hindern ihn daran, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die Daten nicht mehr aktiv verarbeitet.

2. Der Datenimporteur und der Datenverarbeiter stellen sicher, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Mittel zur Datenverarbeitung einer Überprüfung der in Absatz 1 genannten Maßnahmen unterziehen.

 

 

 

 

Anhang 1.1 zu Teil 2

Details der Überweisung

 

 

Datenexporteur

Der Datenexporteur ist der in der Vertragsvereinbarung definierte Kunde.

 

Datenimporteur

Der Datenimporteur ist POSTCODEZIP und ist damit beauftragt, die Daten zu verarbeiten und Dienste für den Datenexporteur bereitzustellen.

 

Gegenstand der Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:

ein?? im Universalverzeichnis eingetragene Telefonteilnehmer

â˜' Andere, einschließlich:

 

Datenkategorien

Bei den übermittelten personenbezogenen Daten handelt es sich um folgende Kategorien von Daten:

 

Kategorien personenbezogener Daten der betroffenen Personen des Datenexporteurs, insbesondere,

ein?? Vollständiger Name

â' Postanschrift

ein?? Kontaktdaten (E-Mail, Telefon, IP-Adresse etc.)

ein?? Angaben zu Marketingaktivitäten bezüglich des Telefonteilnehmers

â' Andere, einschließlich der Art der Wohnung, des Einkommens und des Durchschnittsalters von der Stadt anonym gemacht

 

Besondere Kategorien von Daten (sofern zutreffend)

Bei den übermittelten personenbezogenen Daten handelt es sich um folgende besondere Kategorien von Daten:

â' Die Weitergabe besonderer Kategorien von Daten ist nicht vorgesehen

ein?? Rasse oder ethnische Herkunft

ein?? Religiöse oder philosophische Überzeugungen

ein?? Gewerkschaftsmitgliedschaft

ein?? Politische Sichten

ein?? Genetische Information

ein?? Biometrische Informationen

ein?? Informationen zur sexuellen Orientierung oder zum Sexualleben

ein?? Gesundheitsdaten

 

Verarbeitungstätigkeiten

Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten:

 

  •  
    • † Zweck der Verarbeitung

Die Verarbeitung im Auftrag des Datenexporteurs basiert insbesondere auf folgenden Themen:

â˜' Übernahme der vom Datenexporteur angebotenen Produkte oder Dienstleistungen

â˜' Das Angebot eines Produkts oder einer Dienstleistung, das die angerufene Person anfordern kann

â˜' Von den Angerufenen entgegengenommene Aufträge und Weiterverarbeitung dieser Aufträge

â˜' Studienfragebögen und -analysen

â˜'Telemarketing _

ein?? Andere, darunter:

 

  •  
    • †Art  und Zweck der Verarbeitung

Der Datenimporteur verarbeitet die personenbezogenen Daten der betroffenen Personen im Auftrag des Datenexporteurs, um folgende Dienstleistungen zu erbringen, insbesondere:

  • â˜' Automatisches Ausfüllen des Formulars
  • â˜' Adressen-Validierungsformular

â˜'Vertrieb und Marketing

â˜' Andere, einschließlich der Aktualisierung von Datenbanken von Rathäusern und politischen Parteien

 

  •  
    • † Erbringung von Dienstleistungen und Einsatz von Dienstleistern

 

POSTCODEZIP kombiniert, zentralisiert und stellt hauptsächlich Dienste für den Datenexporteur bereit. Die von den genannten Dienstleistern erbrachten Dienstleistungen können (gegebenenfalls unter anderem) um die folgenden Nebendienstleistungen strukturiert sein: (i) Bereitstellung von Anwendungen, Tools, Systemen und IT-Infrastruktur in Bezug auf die eingesetzten Rechenzentren, um und die Dienste, einschließlich der Verarbeitung der personenbezogenen Daten der betroffenen Personen wie oben beschrieben, über solche Anwendungen, Tools und Systeme zu unterstützen, (ii) die Bereitstellung von IT-Support, Wartung und anderen Diensten in Bezug auf solche Anwendungen, Tools, Systeme und IT-Infrastruktur, einschließlich des möglichen Zugriffs auf personenbezogene Daten, die in solchen Anwendungen, Tools und Systemen gespeichert sind, und (iii) die Bereitstellung von Datenschutzdiensten, Schutzüberwachung und Diensten zur Reaktion auf Vorfälle,einschließlich des möglichen Zugriffs auf personenbezogene Daten bei der Bereitstellung solcher Schutzdienste. POSTCODEZIP kann Datenverarbeiter wie unten beschrieben beauftragen, um die Dienste, einschließlich Nebendienste, bereitzustellen.

 

  •  
    • †Externe externe Dienstleister als mit der Datenverarbeitung beauftragte Untereinheiten

 

POSTCODEZIP beauftragt externe und externe Dienstleister, die keine Tochtergesellschaften von POSTCODEZIP sind, um die Erbringung von Dienstleistungen für den Datenexporteur zu unterstützen. Der Datenexporteur lässt solche externen Drittdienstleister als mit der Datenverarbeitung beauftragten Untereinheiten zu.

 

Befindet sich eine an der Datenverarbeitung beteiligte Untereinheit außerhalb der EU/des EWR, in einem Land, das aufgrund einer Entscheidung der Europäischen Kommission als nicht angemessen eingestuft wird, wird der Datenimporteur Schritte unternehmen, um ein angemessenes Datenschutzniveau zu erreichen Datenschutz gemäß DSGVO und Abschnitt 3.4 (iv) von Teil 1.

 

 

Anhang 2, Teil 2

Technische und organisatorische Schutzmaßnahmen

 

Der Datenimporteur trifft die folgenden vom Datenexporteur bestätigten technischen und organisatorischen Schutzmaßnahmen, um je nach Risiko ein angemessenes Sicherheitsniveau für die Rechte und Freiheiten des Einzelnen zu gewährleisten. Bei der Beurteilung des betreffenden Schutzniveaus hat der Datenexporteur insbesondere die mit der Verarbeitung verbundenen Risiken berücksichtigt, einschließlich versehentlicher oder unrechtmäßiger Zerstörung, Änderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten. Zur Klarstellung: Diese technischen und organisatorischen Schutzmaßnahmen gelten nicht für die vom Datenexporteur bereitgestellten Anwendungen, Tools, Systeme und/oder IT-Infrastruktur.

1 Allgemeine technische und organisatorische Schutzmaßnahmen

1.1 Allgemeine Informationen und Datenschutzstrategien

Folgende Maßnahmen sollten ergriffen werden, um allgemeine Daten- und Informationsschutzstrategien zu verfolgen:

  • a) Maßnahmen ergreifen, um die getroffenen Maßnahmen zum technischen und organisatorischen Schutz zu bewerten;
  • b) Schulungen anbieten, um die Mitarbeiter zu sensibilisieren;
  • c) über eine Beschreibung der betroffenen Systeme verfügen und den Mitarbeitern Zugang gewähren;
  • d) Einrichtung eines formellen Dokumentationsprozesses, wann immer Systeme implementiert oder geändert werden;
  • e) Dokumentation der Organisationsstruktur, Prozesse, Verantwortlichkeiten und entsprechenden Bewertungen;

1.2 Organisation des Informationsschutzes

Zur Koordinierung der Daten- und Informationsschutzaktivitäten sollten folgende Maßnahmen ergriffen werden:

  • a) definierte Verantwortlichkeiten für den Schutz von Informationen und Daten (zB durch die Datenschutzmanagementrichtlinie);
  • b) das erforderliche Fachwissen zum Schutz von Informationen und Daten, die weiterhin verfügbar sind;
  • c) alle Mitarbeiter verpflichten sich, die Vertraulichkeit personenbezogener Daten zu gewährleisten, und wurden über die möglichen Folgen eines Verstoßes gegen diese Verpflichtung informiert.

1.3 Zugangskontrolle zu Verarbeitungsbereichen

Um bei der Verarbeitung, Speicherung oder Übermittlung personenbezogener Daten den Zugriff auf Datenverarbeitungsanlagen (insbesondere Soft- und Hardware) durch Unbefugte zu verhindern, sind folgende Maßnahmen zu treffen:

  • a) sichere Bereiche einrichten;
  • b) den Zugang zu Datenverarbeitungssystemen zu schützen und einzuschränken;
  • c) Zugangsberechtigungen für Mitarbeitende und Dritte einschliesslich der entsprechenden Unterlagen erstellen;
  • d) Jeder Zugriff auf Rechenzentren, in denen personenbezogene Daten gespeichert sind, werden protokolliert.

1.4 Zugangskontrolle zu Datenverarbeitungsanlagen

Um unbefugten Zugriff auf Datenverarbeitungsanlagen zu verhindern, sind folgende Maßnahmen zu treffen:

  • a) Richtlinien und Verfahren zur Benutzerauthentifizierung;
  • b) die Verwendung von Passwörtern auf allen Computersystemen;
  • c) der Fernzugriff auf das Netzwerk erfordert eine Multi-Faktor-Authentifizierung und wird der betroffenen Person entsprechend ihrer Verantwortlichkeiten und nach Autorisierung gewährt;
  • d) der Zugriff auf bestimmte Funktionen basiert auf Jobfunktionen und/oder Attributen, die einem Benutzerkonto individuell zugeordnet sind;
  • e) die Zugriffsrechte in Bezug auf personenbezogene Daten werden regelmäßig überprüft;
  • f) Aufzeichnungen über Änderungen der Zugriffsrechte werden auf dem neuesten Stand gehalten.

1.5 Kontrolle des Zugriffs auf bestimmte Einsatzbereiche von Datenverarbeitungsanlagen

Es ist durch folgende Maßnahmen sicherzustellen, dass zur Nutzung der Datenverarbeitungsanlage berechtigte Personen nur im Rahmen ihrer jeweiligen Zuständigkeiten und Zugriffsberechtigungen auf Daten zugreifen können und personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können:

  1. 1. 
    1. a) Richtlinien, Anweisungen und Schulungen der Mitarbeiter in Bezug auf die Verpflichtungen jedes einzelnen von ihnen in Bezug auf die Vertraulichkeit, das Recht auf Zugang zu personenbezogenen Daten und den Umfang der Verarbeitung personenbezogener Daten;
  • b) Disziplinarmaßnahmen gegen Personen, die unbefugt auf personenbezogene Daten zugreifen;
  • c) Der Zugang zu personenbezogenen Daten wird nur befugten Personen nach Bedarf gewährt;
  • d) eine Liste der Systemadministratoren zu führen und geeignete Maßnahmen zur Überwachung der Systemadministratoren zu ergreifen;
  • e) keine personenbezogenen Daten auf einem Speichersystem zu kopieren oder zu reproduzieren, um es Unbefugten zu ermöglichen, die Informationen des Urhebers zu entfernen;
  • f) kontrollierte und dokumentierte Löschung oder Vernichtung von Daten;
  • g) alle personenbezogenen Daten, die aus gesetzlichen oder behördlichen Gründen (zB Aufbewahrungspflichten) aufbewahrt werden müssen, sicher zu speichern und nur so lange, wie es gesetzlich vorgeschrieben ist.

1.6 Getriebesteuerung

Um zu verhindern, dass personenbezogene Daten bei der Übermittlung oder dem Transport von Datenträgern von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden, sind folgende Maßnahmen zu treffen (je nach vorgenommener Verarbeitung personenbezogener Daten):

  1. 1. 
    1. a) Verwendung von Firewalls;
  • b) die Speicherung personenbezogener Daten auf mobilen Speichergeräten zu Transportzwecken zu vermeiden oder die Geräte zu verschlüsseln;
  • c) Nutzung auf Laptops und anderen mobilen Geräten erst nach Aktivierung des Verschlüsselungsschutzes;
  • d) Protokollierung der Übermittlung personenbezogener Daten.

1.7 Dateneingabekontrolle

Damit überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder gelöscht wurden, sind folgende Maßnahmen zu treffen:

  1. 1. 
    1. a) eine Richtlinie zur Autorisierung des Lesens, Änderns und Löschens gespeicherter Daten;
  • b) Schutzmaßnahmen bezüglich des Lesens, Veränderns und Löschens gespeicherter Daten.

1.8 Arbeitskontrolle

Bei der delegierten Verarbeitung personenbezogener Daten sind folgende Maßnahmen zu treffen, um sicherzustellen, dass diese Daten gemäß den Weisungen des Verantwortlichen verarbeitet werden:

  1. 1. 
    1. a) mit Sorgfalt ausgewählte Stellen oder Unterstellen (Dienstleister, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten);
  • b) Anweisungen über den Umfang der Verarbeitung personenbezogener Daten an die mit der Datenverarbeitung beauftragten Mitarbeiter, Einrichtungen oder Untereinrichtungen;
  • c) mit den mit der Datenverarbeitung beauftragten Stellen oder Unterstellen vereinbarte Prüfungsrechte;
  • d) Vereinbarungen mit den mit der Verarbeitung der Daten beauftragten Einheiten oder Untereinheiten.

1.9 Trennung von der Verarbeitung zu anderen Zwecken

Damit für andere Zwecke erhobene Daten getrennt verarbeitet werden können, sind folgende Maßnahmen zu treffen:

  1. 1. 
    1. a) getrennter Zugang zu personenbezogenen Daten gemäß den bestehenden Rechten der Nutzer;
  • b) Schnittstellen, Batchverarbeitung und Reporting dienen anderen Zwecken und Funktionen, so dass für andere Zwecke erhobene Daten gesondert verarbeitet werden können.

1.10 Pseudonymisierung

Im Hinblick auf die Pseudonymisierung personenbezogener Daten sind folgende Maßnahmen zu treffen:

  1. 1. 
    1. a) Bestellt der Datenexporteur eine bestimmte Verarbeitung oder wird dies vom Datenimporteur nach den für bestimmte Verarbeitungstätigkeiten geltenden Datenschutzgesetzen als angemessen erachtet, erfolgt die Verarbeitung personenbezogener Daten in der Weise, dass die Daten sind ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zuordenbar. Diese zusätzlichen Informationen werden separat aufbewahrt;
  • b) Verwendung von Pseudonymisierungstechniken, einschließlich Zuteilungslisten-Randomisierung; Schaffung von Werten in Form von scharfen Gegenständen.

1.11 Verschlüsselung

Die folgenden Schritte sollten unternommen werden, um personenbezogene Daten in Anwendungen und Übertragungen zu verschlüsseln, die eine Verschlüsselung unterstützen:

  1.  
    1. a) Verwendung von Verschlüsselungstechniken;
  • b) Einrichtung eines Verschlüsselungsmanagements zur Unterstützung der zur Verwendung zugelassenen Verschlüsselungstechniken;
  • c) Unterstützung der Verwendung von Kryptographie durch Verfahren und Protokolle zum Generieren, Ändern, Widerrufen, Vernichten, Verteilen, Zertifizieren, Speichern, Erfassen, Verwenden und Archivieren von kryptographischen Schlüsseln zum Schutz vor unbefugter Änderung und Offenlegung.

1.12 Vollständigkeit der Datenverarbeitungssysteme und Dienste

Um die Vollständigkeit der Datenverarbeitungssysteme und Dienste sicherzustellen, sind folgende Maßnahmen zu treffen:

  1. 1. a) Schutz der Datenverarbeitungssysteme gegen Manipulation oder Zerstörung durch geeignete Mittel (zB Antivirensoftware, Data Loss Prevention Software und Software gegen Schadsoftware, Softwarepatches, Firewalls und Managed Desktop Protection);
  • b) die Installation von Diensten oder Software zu verbieten, die für Datenverarbeitungssysteme, Dienste oder die Manipulation personenbezogener Daten schädlich sind;
  • c) Verwendung eines Systems zur Erkennung und Verhinderung von Netzwerkintrusionen in der Struktur des Netzwerks selbst.

1.13 Verfügbarkeit von Datenverarbeitungssystemen und -diensten sowie Möglichkeit der Wiederherstellung des Zugangs zu und der Nutzung personenbezogener Daten im Falle eines materiellen oder technischen Vorfalls

Die folgenden Maßnahmen sind zu treffen, um die Verfügbarkeit von Datenverarbeitungssystemen sicherzustellen sowie die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines materiellen oder technischen Vorfalls schnell wiederherstellen zu können (insbesondere durch Sicherstellung, dass personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust geschützt):

  • a) über Kontrollmöglichkeiten verfügen, um Sicherungskopien aufzubewahren und verlorene oder gelöschte Daten wiederherzustellen;
  • b) infrastrukturelle Redundanz und Leistungstests;
  • c) physischer Schutz von Computerressourcen;
  • d) Einsatz von Tools zur Überwachung des Status und der Verfügbarkeit des internen Netzwerks;
  • e) Richtlinien zur Meldung und Reaktion von Vorfällen, die das Verfahren zum Management von Vorfällen regeln, und Wiederholung der Einhaltung dieser Richtlinien als Teil der regelmäßigen Schulung;
  • f) Backups (manchmal extern), um das System wiederherzustellen, damit es seine Funktionen wieder ausführen kann;
  • g) Pläne zur Geschäftskontinuität/Notfallwiederherstellung

1.14 Belastbarkeit von Datenverarbeitungssystemen und -diensten

Zur Sicherstellung der Ausfallsicherheit von Datenverarbeitungssystemen und -diensten sind folgende Maßnahmen zu treffen:

  • a) Systeme und harmonisch konfiguriert, unter Verwendung genehmigter Sicherheitsparameter;
  • b) Netzwerkredundanz;
  • c) Containment-Schutz kritischer Systeme.

1.15 Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung

Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zum Schutz der Datenverarbeitung.

  • a) die notwendigen Schritte unternehmen, um Risiken und Risikominderungsstrategien zu bewerten;
  • b) Serviceanalysesitzungen der IT-Abteilung zur Behandlung aktueller Probleme;
  • c) Geschäftskontinuitäts-/Notfallwiederherstellungspläne werden regelmäßig aktualisiert.

 

Teil 3

Unterschriften der Parteien und Liste der Datenimporteure

 

Wenn Sie das Online-Bestellformular ausfüllen und durch Ankreuzen des Kästchens zum Akzeptieren der Allgemeinen Nutzungsbedingungen bestätigen, kommt der Vertrag zwischen dem Kunden und POSTCODEZIP zustande.

Mit der Überweisung an POSTCODEZIP gilt der Vertrag als vereinbart und zustande gekommen.

Achtung: Dieser Text wurde aus dem Französischen übersetzt. Die gültige und rechtlich einschränkende französische Originalfassung ist  hier verfügbar .