zurück zu Startseite / Allgemeine Geschäftsbedingungen/ Anhang zur Datenverarbeitung

Anhang Datenverarbeitung

 

Dieser Anhang ist integraler Bestandteil des Vertrags und wird abgeschlossen von:

 

  1. (i) Der Kunde („ Datenexporteur “)
  2. (ii) LISTREET („Datenimporteur )

 

Jeder ist eine „ Partei “ und allgemein „ Parteien “.

 

Präambel

WO der Datenimporteur professionelle Software-, Computer- und damit verbundene Dienstleistungen anbietet;

WOBEI sich der Datenimporteur gemäß dem Vertrag bereit erklärt hat, dem Datenexporteur die im Vertrag festgelegten Dienstleistungen (die " Dienstleistungen ") zu erbringen;

WO der Datenimporteur durch die Bereitstellung der Dienste Zugriff auf die Informationen des Datenexporteurs oder die Informationen anderer Personen erhält oder davon profitiert, die eine (potenzielle) Beziehung zum Datenexporteur haben, können diese Informationen als personenbezogene Daten im Sinne der Verordnung eingestuft werden (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („ DSGVO “) und andere anwendbare Datenschutzgesetze.

WOBEI dieser Anhang die Bedingungen enthält, die für die Erhebung, Verarbeitung und Nutzung dieser personenbezogenen Daten durch den Datenimporteur in seiner Eigenschaft als autorisierter Datenverarbeitungsbeauftragter des Datenexporteurs gelten, um sicherzustellen, dass die Parteien das geltende Datenschutzrecht einhalten .

 

DAHER und um es den Parteien zu ermöglichen, ihre Beziehung rechtmäßig fortzusetzen, haben die Parteien diesen Anhang wie folgt geschlossen:

Teil 1

 

1. Struktur des Dokuments und Definitionen

1.1 Struktur

Dieser Anhang besteht aus folgenden Teilen:

 

Teil 1:

enthält allgemeine Bestimmungen, z. B. zu den in diesem Anhang verwendeten Definitionen, zur Einhaltung lokaler Gesetze, zum Zeitpunkt und zur Beendigung

Teil 2:

enthält den Hauptteil des Dokuments mit den unveränderten Standardvertragsklauseln

Anhang 1.1 von Teil 2:

enthält die Einzelheiten der Verarbeitungsvorgänge, die der Datenimporteur dem Datenexporteur als autorisiertem Datenverarbeitungsbeauftragten zur Verfügung stellt (einschließlich der Verarbeitung, Art und Zweck der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien betroffener Personen). Anhang

Anhang 2 von Teil 2:

enthält eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, die im Zusammenhang mit allen in Anhang 1.1 von Teil 2 beschriebenen Verarbeitungstätigkeiten angewendet werden

Teil 3:

enthält die Unterschriften der an diesen Anhang gebundenen Parteien und identifiziert jeden Datenimporteur

 

1.2 Terminologie und Definitionen

Für die Zwecke dieses Anhangs gelten die von der DSGVO verwendeten Terminologien und Definitionen (im Hauptteil des Standardvertragsklauseldokuments in Teil 2, wo definierte Begriffe nicht großgeschrieben werden). 

 

"Mitgliedstaat"

bedeutet ein Land, das zur Europäischen Union oder zum Europäischen Wirtschaftsraum gehört

„Besondere Kategorien von (personenbezogenen) Daten“

bezieht sich auf personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten, sofern sie zum Zweck der eindeutigen Identifizierung einer Person verarbeitet werden, Gesundheitsdaten, Daten zum Geschlecht einer Person Leben oder sexuelle Orientierung

"Standardvertragsklauseln"

bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten von Auftragsverarbeitern mit Sitz in Drittländern gemäß dem Beschluss 2010/87/EU der Kommission vom 5. Februar 2010, der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. geändert wurde Dezember 2016

„Auftragsverarbeiter"

bezeichnet jeden Verarbeitungsagenten innerhalb oder außerhalb der EU/des EWR, der sich bereit erklärt, vom Datenimporteur oder einem anderen Verarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zum Zweck der Verarbeitungstätigkeiten zu erhalten, die vom Datenexporteur nach dem ausgeführt werden sollen Übertragung gemäß den Anweisungen des Datenexporteurs, den Bedingungen dieses Anhangs und dem Vertrag mit dem Datenimporteur

 

 

2. Pflichten des Datenexporteurs

2.1 Der Datenexporteur ist verpflichtet, die Einhaltung aller anwendbaren Verpflichtungen aus der DSGVO und allen anderen anwendbaren Datenschutzgesetzen, die für den Datenexporteur gelten, sicherzustellen und diese Einhaltung gemäß Artikel 5 (2) der DSGVO nachzuweisen. Der Datenexporteur garantiert, dass der Datenimporteur die vorherige Zustimmung der betroffenen Personen gemäß Artikel 6 (a) der DSGVO eingeholt hat und seiner Informationspflicht gegenüber den betroffenen Personen gemäß Artikel 13 und 14 der DSGVO nachgekommen ist.

2.2 Der Datenexporteur muss dem Datenimporteur die entsprechenden Dateien der Verarbeitungstätigkeiten gemäß Artikel 30 (1) der DSGVO im Zusammenhang mit den Dienstleistungen gemäß diesem Anhang zur Verfügung stellen, soweit dies für den Datenimporteur erforderlich ist, um der Verpflichtung nachzukommen Art. 30 Abs. 2 DSGVO.

2.3 Der Datenexporteur muss einen Datenschutzbeauftragten oder -beauftragten benennen, soweit dies nach geltendem Datenschutzrecht erforderlich ist. Der Datenexporteur ist verpflichtet, dem Datenimporteur die Kontaktdaten des Datenschutzbeauftragten oder -vertreters, falls vorhanden, mitzuteilen.

2.4. Der Datenexporteur bestätigt vor Abschluss der Verarbeitung durch Annahme dieses Anhangs, dass die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, wie in Anhang 2 zu Teil 2 dargelegt, angemessen und ausreichend sind, um die Rechte der betroffenen Person zu schützen und bestätigt, dass der Datenimporteur diesbezüglich ausreichende Garantien bietet.

 

3. Einhaltung lokaler Gesetze

Um den Anforderungen der Umsetzung der Auftragsverarbeiter gemäß Artikel 28 der DSGVO gerecht zu werden, gelten folgende Änderungen:

 

3.1 Anweisungen

  1. (i) Der Datenexporteur weist den Datenimporteur an, personenbezogene Daten nur im Auftrag des Datenexporteurs zu verarbeiten. Die Anweisungen des Datenexporteurs sind in diesem Anhang und im Vertrag enthalten. Der Datenexporteur ist verpflichtet sicherzustellen, dass alle dem Datenimporteur erteilten Anweisungen den geltenden Datenschutzgesetzen entsprechen. Der Datenimporteur darf personenbezogene Daten nur gemäß den Anweisungen des Datenexporteurs verarbeiten, sofern die Europäische Union oder das Recht des Mitgliedstaats nichts anderes vorschreibt (im letzteren Fall gilt Teil 1 Abschnitt 3.2 (iv) (c)). .
  2. (ii) Alle anderen Anweisungen, die über die Anweisungen in diesem Anhang oder im Vertrag hinausgehen, müssen in den Gegenstand dieses Anhangs und des Vertrags aufgenommen werden. Wenn die Umsetzung dieser zusätzlichen Weisung mit Kosten für den Datenimporteur verbunden ist, muss der Datenimporteur den Datenexporteur über diese Kosten informieren und vor der Umsetzung der Weisung eine Erklärung abgeben. Erst nachdem der Datenexporteur die Übernahme dieser Kosten für die Umsetzung der Weisung bestätigt hat, wird der Datenimporteur diese zusätzliche Weisung umsetzen. Der Datenexporteur muss zusätzliche Weisungen schriftlich erteilen, es sei denn, Dringlichkeit oder besondere Umstände erfordern eine andere Form (z. B. mündlich, elektronisch). Anderslautende Weisungen sind vom Datenexporteur unverzüglich schriftlich zu bestätigen.
  3. 1. Sofern der Datenexporteur die Berichtigung, Löschung oder Einschränkung personenbezogener Daten nicht selbst vornehmen kann, können sich die Weisungen auch auf die Berichtigung, Löschung und/oder Einschränkung personenbezogener Daten gemäß Teil 1 Ziffer 3.3 beziehen.
  4. 2. Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn seiner Ansicht nach eine Weisung gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaats verstößt („ angefochtene Weisung"). Wenn der Datenimporteur der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere geltende Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaats verstößt, ist der Datenimporteur nicht verpflichtet, die angefochtene Weisung zu befolgen. Wenn der Datenexporteur die angefochtene Weisung bestätigt Informationen vom Datenimporteur erhält und seine Verantwortung für die strittige Anweisung anerkennt, wird der Datenimporteur die strittige Anweisung umsetzen, es sei denn, die strittige Anweisung bezieht sich auf (i) die Umsetzung technischer und organisatorischer Maßnahmen, (ii) die Rechte an den Daten Subjekte oder (iii) die Beauftragung von Datenverarbeitern In den Fällen (i) bis (iii) kann sich der Datenimporteur an eine zuständige Aufsichtsbehörde wenden, um die angefochtene Anweisung von dieser Behörde rechtlich bewerten zu lassen.Wenn die Aufsichtsbehörde die angefochtene Weisung für rechtmäßig erklärt, wird der Datenimporteur die angefochtene Weisung umsetzen. Teil 1 Ziffer 3.1 (ii) bleibt anwendbar.

 

3.2 Pflichten des Datenimporteurs

  1. (i) Der Datenimporteur muss sicherstellen, dass Personen, die vom Datenimporteur befugt sind, personenbezogene Daten im Auftrag des Datenexporteurs zu verarbeiten, insbesondere Mitarbeiter des Datenimporteurs und Mitarbeiter von Subunternehmern, sich zur Vertraulichkeit verpflichtet haben oder dieser unterliegen eine angemessene gesetzliche Geheimhaltungspflicht besteht und dass Personen, die Zugang zu personenbezogenen Daten haben, diese gemäß den Anweisungen des Datenexporteurs verarbeiten.
  2. (ii) Der Datenimporteur muss die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 2 zu Teil 2 umsetzen, bevor er die personenbezogenen Daten im Auftrag des Datenexporteurs verarbeitet. Der Datenimporteur kann die technischen und organisatorischen Sicherheitsmaßnahmen von Zeit zu Zeit ändern, wenn sie nicht weniger Schutz bieten als die in Anlage 2 zu Teil 2 aufgeführten.
  3. (iii) Der Datenimporteur stellt dem Datenexporteur auf Anfrage des Datenexporteurs Informationen zur Verfügung, um die Einhaltung der Verpflichtungen des Datenimporteurs gemäß diesem Anhang nachzuweisen. Die Parteien vereinbaren, dass diese Informationspflicht dadurch erfüllt wird, dass sie dem Datenexporteur einen Prüfbericht (der die Sicherheit der Grundsätze, die Systemverfügbarkeit und die Vertraulichkeit abdeckt) („Prüfbericht“) zur Verfügung stellt. Wenn zusätzliche Prüftätigkeiten gesetzlich vorgeschrieben sind, kann der Datenexporteur verlangen, dass Inspektionen durch den Datenexporteur oder einen anderen vom Datenexporteur ernannten Prüfer durchgeführt werden, vorbehaltlich der Unterzeichnung einer Vertraulichkeitsvereinbarung durch diesen Prüfer mit dem Datenimporteur an den Datenimporteur angemessene Zufriedenheit ("Audit"). Dieses Audit unterliegt den folgenden Bedingungen:(i) die vorherige formelle schriftliche Zustimmung des Datenimporteurs; und (ii) der Datenexporteur trägt alle Kosten im Zusammenhang mit dem Vor-Ort-Audit für den Datenexporteur und den Datenimporteur. Der Datenexporteur muss einen Prüfbericht erstellen, der die Ergebnisse und Beobachtungen des Vor-Ort-Audits zusammenfasst („Vor-Ort-Auditbericht“). Die Vor-Ort-Auditberichte und die Auditberichte sind vertrauliche Informationen des Datenimporteurs und dürfen nicht an Dritte weitergegeben werden, es sei denn, dies ist nach geltendem Datenschutzrecht erforderlich oder gemäß der Zustimmung des Datenimporteurs.Die Vor-Ort-Auditberichte und die Auditberichte sind vertrauliche Informationen des Datenimporteurs und dürfen nicht an Dritte weitergegeben werden, es sei denn, dies ist nach geltendem Datenschutzrecht erforderlich oder gemäß der Zustimmung des Datenimporteurs.Die Vor-Ort-Auditberichte und die Auditberichte sind vertrauliche Informationen des Datenimporteurs und dürfen nicht an Dritte weitergegeben werden, es sei denn, dies ist nach geltendem Datenschutzrecht erforderlich oder gemäß der Zustimmung des Datenimporteurs.
  4. (iv) Der Datenimporteur ist verpflichtet, den Datenexporteur unverzüglich zu benachrichtigen:
    1. A. in Bezug auf jede rechtsverbindliche Aufforderung zur Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde, sofern nichts anderes verboten ist, wie z. B. ein strafrechtliches Verbot zum Schutz der Vertraulichkeit einer Strafverfolgungsuntersuchung
    2. B. in Bezug auf Beschwerden und Anfragen, die direkt von einer betroffenen Person eingehen (z. B. in Bezug auf Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Datenverarbeitung, automatisierte Entscheidungsfindung), ohne auf diese Anfrage zu antworten, es sei denn, der Datenimporteur wurde dazu autorisiert tun Sie dies
    3. C. wenn der Datenimporteur oder der Datenverarbeiter nach dem Recht der Europäischen Union oder des Mitgliedstaats, dem der Datenimporteur oder der Datenverarbeiter unterliegt, verpflichtet ist, die personenbezogenen Daten über die Anweisungen des Datenexporteurs hinaus zu verarbeiten, bevor er eine solche Verarbeitung darüber hinaus durchführt die Anweisungen, es sei denn, Gesetze der Europäischen Union oder des Mitgliedstaats verbieten eine solche Verarbeitung aus Gründen des lebenswichtigen öffentlichen Interesses; in diesem Fall muss die Benachrichtigung an den Datenexporteur die gesetzliche Anforderung nach diesem Recht der Europäischen Union oder des Mitgliedstaats angeben; oder
    4. D. wenn der Datenimporteur einen Verstoß gegen personenbezogene Daten feststellt, allein durch sich selbst oder seinen Subunternehmer, der die unter den vorliegenden Vertrag fallenden personenbezogenen Daten des Datenexporteurs betreffen würde, in diesem Fall wird der Datenimporteur den Datenexporteur bei seiner Verpflichtung unterstützen, gegenüber dem geltenden Datenschutzrecht, die betroffenen Personen und ggf. die Aufsichtsbehörden durch Bereitstellung der ihnen zur Verfügung stehenden Informationen gemäß Art. 33 Abs. 3 DSGVO zu informieren.
    5. (v) Auf Verlangen des Datenexporteurs ist der Datenimporteur verpflichtet, den Datenexporteur bei seiner Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung zu unterstützen, die gemäß Artikel 35 der DSGVO erforderlich sein kann, und gegebenenfalls eine vorherige Konsultation durchzuführen gemäß Artikel 36 der DSGVO in Bezug auf die vom Datenimporteur für den Datenexporteur gemäß diesem Anhang erbrachten Dienstleistungen erforderlich, Bereitstellung der erforderlichen Informationen und Informationen für den Datenexporteur. Der Datenimporteur ist nur dann zu einer solchen Unterstützung verpflichtet, wenn der Datenexporteur seine Verpflichtung nicht auf andere Weise erfüllen kann. Der Datenimporteur teilt dem Datenexporteur die Kosten einer solchen Unterstützung mit. Sobald der Datenexporteur bestätigt hat, dass er diese Kosten tragen kann, stellt der Datenimporteur dem Datenexporteur diese Hilfe zur Verfügung.
    6. (vi) Am Ende der Erbringung der Dienstleistungen kann der Datenexporteur innerhalb eines Monats nach Erbringung der Dienstleistungen die Rückgabe der vom Datenimporteur gemäß diesem Anhang verarbeiteten personenbezogenen Daten verlangen. Sofern die Gesetzgebung des Mitgliedstaats oder der Europäischen Union den Datenimporteur nicht dazu verpflichtet, solche personenbezogenen Daten zu speichern oder aufzubewahren, wird der Datenimporteur alle diese personenbezogenen oder nicht personenbezogenen Daten nach Ablauf eines Monats löschen, unabhängig davon, ob sie zurückgegeben wurden der Datenexporteur auf Anfrage oder nicht.

 

3.3 Rechte der Betroffenen

  1.  
    1. (i) Der Datenexporteur verwaltet und beantwortet Anfragen von betroffenen Personen. Der Datenimporteur ist nicht verpflichtet, den betroffenen Personen direkt zu antworten.
    2. (ii) Wenn der Datenexporteur die Unterstützung des Datenimporteurs bei der Bearbeitung und Beantwortung der Anfragen der betroffenen Person benötigt, erteilt der Datenexporteur eine weitere Anweisung gemäß Abschnitt 3.1 (ii) von Teil 1. Der Datenimporteur unterstützt den Datenexporteur mit den folgenden geeigneten und technischen organisatorischen Maßnahmen, um auf die Anfragen zur Ausübung der Betroffenenrechte gemäß Kapitel III der DSGVO wie folgt zu reagieren:
    3. A. In Bezug auf Auskunftsersuchen stellt der Datenimporteur dem Datenexporteur nur die Informationen zur Verfügung, die gemäß Artikel 13 und 14 des PGRD erforderlich sind und die ihm möglicherweise zur Verfügung stehen, wenn der Datenexporteur sie nicht selbst finden kann.
    4. B. In Bezug auf Anträge auf Zugang (Artikel 15 der DSGVO) stellt der Datenimporteur dem Datenexporteur nur die Informationen zur Verfügung, die einer betroffenen Person für den besagten Antrag auf Zugang zur Verfügung gestellt werden sollen und über die er möglicherweise verfügt, wenn die letztere kann es nicht allein finden.
    5. C. In Bezug auf Anträge auf Berichtigung (Artikel 16 DSGVO), Anträge auf Löschung (Artikel 17 DSGVO), Anträge auf Einschränkung der Verarbeitung (Artikel 18 DSGVO) oder Anträge auf Datenübertragbarkeit (Artikel 20 DSGVO) und nur wenn der Datenexporteur die personenbezogenen Daten nicht selbst berichtigen oder löschen, einschränken oder an einen anderen Dritten übermitteln kann, bietet der Datenimporteur dem Datenexporteur die Möglichkeit, die betreffenden personenbezogenen Daten zu berichtigen oder zu löschen, einzuschränken oder an den anderen Dritten zu übermitteln, oder wenn dies nicht möglich ist, wird es die betreffenden personenbezogenen Daten berichtigen oder löschen, einschränken oder an den anderen Dritten übermitteln.
    6. D. In Bezug auf die Benachrichtigung über Berichtigung, Löschung oder Einschränkung der Verarbeitung (Artikel 19 der DSGVO) unterstützt der Datenimporteur den Datenexporteur, indem er alle Empfänger personenbezogener Daten benachrichtigt, die vom Datenimporteur als Auftragsverarbeiter eingesetzt werden, wenn der Datenexporteur dies verlangt und wenn der Datenexporteur die Situation nicht selbst beheben kann.
    7. e. In Bezug auf das von einer betroffenen Person ausgeübte Widerspruchsrecht (Artikel 21 und 22 der DSGVO) bestimmt der Datenexporteur, ob der Widerspruch berechtigt ist und wie damit umzugehen ist.
    8. (iii) Die Unterstützungsverpflichtungen des Datenimporteurs beschränken sich auf personenbezogene Daten, die innerhalb seiner Infrastruktur verarbeitet werden (z. B. Datenbanken, Systeme, Anwendungen, die Eigentum des Datenimporteurs sind oder von ihm bereitgestellt werden).
    9. (iv) Der Datenexporteur bestimmt, ob eine betroffene Person die in Ziffer 3.1 dieses Teils 1 festgelegten Rechte der betroffenen Person ausüben darf, und informiert den Datenimporteur über das Ausmaß, in dem die in Ziffer 3.3 (ii) angegebene Unterstützung ( iii) von Teil 1 erforderlich ist.
    10. (v) Wenn der Datenexporteur zusätzliche oder geänderte technische und organisatorische Maßnahmen anfordert, um den Rechten der betroffenen Personen nachzukommen, die über die Unterstützung durch den Datenimporteur gemäß Unterabschnitt 3.3 (ii), (iii) von Teil 1 hinausgehen, werden die Daten Der Importeur informiert den Datenexporteur über die Kosten für die Umsetzung solcher zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen. Sobald der Datenexporteur bestätigt hat, dass er diese Kosten tragen kann, implementiert der Datenimporteur solche zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen, um den Datenexporteur bei der Beantwortung der Anfragen der betroffenen Personen zu unterstützen.
    11. (vi) Ohne den Geltungsbereich von Abschnitt 3.3 (v) von Teil 1 einzuschränken, ist der Datenexporteur verpflichtet, dem Datenimporteur seine angemessenen Kosten zu erstatten, die ihm durch die Beantwortung der Anfragen der betroffenen Personen entstanden sind.

 

3.4 Weiterverarbeitung

  1.  
    1. (i) Der Datenexporteur autorisiert den Einsatz von Subunternehmern durch den Datenimporteur für die Erbringung von Dienstleistungen gemäß diesem Anhang. Der Datenimporteur muss diese Datenverarbeiter sorgfältig auswählen. Der Datenexporteur genehmigt die in Anhang 1.1 am Ende von Teil 2 aufgeführten Datenverarbeiter.
    2. (ii) Der Datenimporteur überträgt seine Verpflichtungen aus diesem Anhang auf den/die Datenverarbeiter, soweit dies für die an Subunternehmer vergebenen Dienstleistungen gilt.
    3. (iii) Der Datenimporteur kann nach eigenem Ermessen entlassen, ersetzen oder einen anderen geeigneten und zuverlässigen Datenverarbeiter ernennen. Auf schriftliche Anfrage des Datenexporteurs muss der Datenimporteur das nachstehend beschriebene Verfahren befolgen:
  1.  
    1. A. Der Datenimporteur informiert den Datenexporteur vor Änderungen an der Liste der Datenverarbeiter, auf die in Abschnitt 3.4 (i) von Teil 1 verwiesen wird. Wenn der Datenexporteur keine Einwände gemäß Abschnitt 3.4. (b) von Teil 1 dreißig Tage nach Erhalt der Benachrichtigung des Datenimporteurs gelten die zusätzlichen Datenverarbeiter als akzeptiert.
    2. B. Wenn der Datenexporteur einen berechtigten Grund hat, einem zusätzlichen Datenverarbeiter zu widersprechen, wird er den Datenimporteur innerhalb von dreißig Tagen nach Erhalt der Benachrichtigung des Datenimporteurs und bevor der Dienst des Datenimporteurs in Betrieb genommen wird, schriftlich darüber informieren. Wenn der Datenexporteur Einwände gegen die Verwendung eines zusätzlichen Datenverarbeiters erhebt, kann der Datenimporteur den Einspruch durch eine der folgenden Optionen (nach eigenem Ermessen ausgewählt) beseitigen: (A) Der Datenimporteur wird seine Pläne zur Verwendung eines zusätzlichen Verarbeiters bzgl die personenbezogenen Daten des Datenexporteurs; (B) der Datenimporteur ergreift die vom Datenexporteur in seinem Widerspruch geforderten Korrekturmaßnahmen (Löschen des Widerspruchs) und verwendet den zusätzlichen Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Datenexporteurs;(C) der Datenimporteur kann die Bereitstellung einstellen oder der Datenexporteur kann sich bereit erklären, einen bestimmten Aspekt des Dienstes (vorübergehend oder dauerhaft) nicht zu nutzen, der die Nutzung der personenbezogenen Daten des Datenexporteurs durch den weiteren Verarbeiter des Datenexporteurs beinhalten würde.
  2.  
    1. (iv) wenn der Datenverarbeiter seinen Sitz außerhalb des EU-EWR in einem Land hat, das nach einer Entscheidung der Europäischen Kommission kein angemessenes Datenschutzniveau bietet, wird der Datenimporteur die Maßnahmen ergreifen, um ein angemessenes Niveau einzuhalten des Datenschutzes gemäß der DSGVO (solche Maßnahmen können u. a. umfassen und - die Verwendung von Datenverarbeitungsverträgen auf der Grundlage der Klauseln des EU-Modells, die Übertragung an selbstzertifizierte Datenverarbeiter im Rahmen des EU-US-Schutzschilds , oder ein ähnliches Programm).

 

3.5 Ablauf

Das Ablaufdatum dieses Anhangs ist identisch mit dem Ablaufdatum des entsprechenden Vertrages. Sofern in diesem Anhang nichts anderes bestimmt ist, sind die Rechte und Pflichten im Zusammenhang mit der Kündigung die gleichen wie die im Vertrag enthaltenen.

 

4. Haftungsbeschränkung

4.1 Jede Partei erfüllt ihre Verpflichtungen gemäß diesem Anhang und den geltenden Datenschutzgesetzen.

4.2 Jegliche Haftung im Zusammenhang mit einer Verletzung der Verpflichtungen aus diesem Anhang oder anwendbaren Datenschutzgesetzen unterliegt den Haftungsbestimmungen, die im Vertrag festgelegt oder für ihn anwendbar sind, sofern in diesem Anhang nichts anderes bestimmt ist. Wenn die Haftung durch die Haftungsbestimmungen geregelt wird, die im Vertrag festgelegt oder für ihn anwendbar sind, zur Berechnung von Haftungsgrenzen oder zur Bestimmung der Anwendung anderer Haftungsbeschränkungen, gilt jede Haftung, die sich aus diesem Anhang ergibt, als aus dem Vertrag entstanden.

 

5. Allgemeine Bestimmungen

5.1 Bei Unstimmigkeiten oder Abweichungen zwischen den Teilen 1 und 2 dieses Anhangs ist Teil 2 maßgebend. Insbesondere gilt auch in einem solchen Fall Teil 1, der lediglich über Teil 2 (dh die Bestimmungen von Standardklauseln) hinausgeht, ohne ihm zu widersprechen.

5.2 Bei Abweichungen zwischen den Bestimmungen dieses Anhangs und denen anderer Verträge, die die Parteien binden, ist dieser Anhang hinsichtlich der Datenschutzverpflichtungen der Parteien maßgebend. Bei Zweifeln, ob Klauseln in anderen Verträgen die Datenschutzpflichten der Parteien betreffen, geht dieser Anhang vor.

5.3 Wenn eine Bestimmung dieses Anhangs ungültig oder nicht durchsetzbar ist, bleibt der Rest dieses Anhangs in vollem Umfang in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird (i) geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, wobei die Absicht der Parteien so weit wie möglich gewahrt wird, oder – falls dies nicht möglich ist – (ii) so ausgelegt, als ob der ungültige oder nicht durchsetzbare Teil dies getan hätte nie Vertragsbestandteil gewesen. Das Vorstehende gilt auch im Falle einer Lücke in diesem Anhang.

5.5 Soweit erforderlich, können die Parteien Änderungen an Teil 1, Klausel 3 (Einhaltung lokaler Gesetze) oder anderer Teile des Anhangs verlangen, um Auslegungen, Richtlinien oder Anordnungen der zuständigen Behörden der Union oder der EU nachzukommen Mitgliedstaaten, nationale Durchsetzungsvorschriften oder andere rechtliche Entwicklungen in Bezug auf die DSGVO oder andere Bedingungen der Übertragung an an der Datenverarbeitung beteiligte Stellen und insbesondere in Bezug auf die Verwendung der Standardvertragsklauseln in der DSGVO. Die Bestimmungen der Standardvertragsklauseln dürfen nicht geändert oder ersetzt werden, es sei denn, die Europäische Kommission genehmigt dies ausdrücklich (z. B. durch neue angemessene Klauseln und Datenschutzstandards).

5.6 Jeder Verweis in diesem Anhang auf die „Klauseln“ bezieht sich auf alle Bestimmungen dieses Anhangs, sofern nicht anders angegeben.

5.7 Die Rechtswahl in Teil 2 Ziffer 9 gilt für den gesamten Vertrag.

 

6.  Personenbezogene Daten, die von den Parteien zu persönlichen Zwecken übermittelt und verarbeitet werden (Übertragung vom Datenverantwortlichen an den Datenverantwortlichen)

6.1 Die Parteien wissen genau, dass bestimmte personenbezogene Daten vom Datenexporteur an den Datenimporteur und umgekehrt übertragen werden und dass diese Daten von jeder Partei für ihre eigenen Zwecke verarbeitet werden. In Bezug auf diese personenbezogenen Daten bleiben die anderen Bestimmungen dieses Anhangs (mit Ausnahme dieser Klausel 6) davon unberührt.

6.2 Der Datenexporteur kann personenbezogene Daten in Bezug auf das Personal des Datenimporteurs an den Datenimporteur übertragen, einschließlich Informationen über Sicherheitsvorfälle oder andere Dokumente oder Dateien, die vom Datenexporteur im Zusammenhang mit den von den Mitarbeitern von bereitgestellten Dienstleistungen erstellt oder erstellt wurden der Datenimporteur. Der Datenimporteur kann solche personenbezogenen Daten für seine eigenen Zwecke verarbeiten, insbesondere in seinen beruflichen Beziehungen mit dem Personal des Datenimporteurs, zur Qualitätskontrolle und Schulung oder für geschäftliche Zwecke.

6.3. Der Datenimporteur kann personenbezogene Daten an den Datenexporteur übermitteln, einschließlich des Namens und der Kontaktdaten des Personals des Datenimporteurs. Der Datenexporteur kann solche personenbezogenen Daten für seine eigenen Zwecke verarbeiten.

6.4 Beide Parteien halten alle anwendbaren Datenschutzgesetze ein, einschließlich der DSGVO, bei der Erhebung, Verarbeitung und Nutzung solcher personenbezogenen Daten, die sie von der anderen Partei gemäß Abschnitt 1 von Teil 1 erhalten haben. Insbesondere treffen beide Parteien angemessene Sicherheitsmaßnahmen, indem sie Folgendes bereitstellen ein ähnliches Schutzniveau wie die Sicherheitsmaßnahmen gemäß Anhang 2 von Teil 2. Jeglicher Zugriff auf solche personenbezogenen Daten ist auf die Notwendigkeit beschränkt, sie zu kennen.

6.5 Beide Parteien müssen solche personenbezogenen Daten so schnell wie möglich löschen, nachdem die Ziele erreicht wurden.

Teil 2

 

ENTSCHEIDUNG DER KOMMISSION

am 5. Februar 2010

über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter mit Sitz in Drittländern gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

 

 

 

Klausel 1

Definitionen

Im Sinne der Klauseln:

a) „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung/Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der Richtlinie 95/46/EG Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1);

b) der „Datenexporteur“ ist der Datenverantwortliche, der die personenbezogenen Daten übermittelt;

c) Der „Datenimporteur“ ist der Datenverarbeiter, der zustimmt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übertragung im Auftrag des Datenexporteurs gemäß seinen Anweisungen und gemäß den Bedingungen dieser Klauseln verarbeitet werden sollen, und der dies nicht tut dem Mechanismus eines Drittlandes unterliegen, der einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet; (d) „Datenverarbeiter“ bezeichnet den vom Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs beauftragten Datenverarbeiter, der sich bereit erklärt, vom Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich für Verarbeitungstätigkeiten zu erhalten im Auftrag des Datenexporteurs nach der Übermittlung gemäß den Anweisungen des Datenexporteurs durchgeführt werden,unter den in diesen Klauseln festgelegten Bedingungen und gemäß den Bedingungen der schriftlichen Untervergabe des Datenverarbeitungsvertrags;

e) „anwendbares Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten des Einzelnen, einschließlich des Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, und gelten für einen Verantwortlichen in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist;

f) „technische und organisatorische Sicherheitsmaßnahmen“ bezeichnet Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über Netzwerke beinhaltet, sowie vor allen anderen rechtswidrigen Formen der Verarbeitung.

Klausel 2

Einzelheiten der Überweisung

Die Einzelheiten der Übermittlung, einschließlich gegebenenfalls besonderer Kategorien personenbezogener Daten, sind in Anhang 1 angegeben, der einen integralen Bestandteil dieser Klauseln bildet.

Klausel 3

Drittbegünstigungsklausel

1. Die betroffene Person kann diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6 (1) und (2) gegen den Datenexporteur durchsetzen ), § 7, § 8 Abs. 2 und §§ 9 bis 12 als Drittbegünstigter

2. Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegen den Datenimporteur geltend machen, wo der Datenexporteur physisch ist verschwunden oder rechtlich erloschen ist, es sei denn, alle seine rechtlichen Verpflichtungen wurden vertraglich oder kraft Gesetzes auf die Rechtsnachfolger übertragen, auf die daher die Rechte und Pflichten des Datenexporteurs zurückfallen und gegen die die Daten gerichtet sind Subjekt kann daher die besagten Klauseln durchsetzen.

Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegenüber dem Datenverarbeiter durchsetzen, jedoch nur in Fällen, in denen die Daten Der Exporteur und der Datenimporteur sind physisch verschwunden, rechtlich nicht mehr existent oder zahlungsunfähig geworden, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs wurden vertraglich oder kraft Gesetzes auf den Rechtsnachfolger übertragen, an den die Rechte und Pflichten des Datenexporteurs daher übertragen werden und gegen wen die betroffene Person daher solche Klauseln geltend machen kann. Eine solche Haftung des Datenverarbeiters muss auf seine eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln beschränkt sein.

4. Die Parteien haben nichts dagegen, dass die betroffene Person von einem Verband oder einer anderen Stelle vertreten wird, wenn sie dies wünscht und das nationale Recht dies zulässt.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur akzeptiert und garantiert Folgendes:

a) die Verarbeitung, einschließlich der eigentlichen Übermittlung personenbezogener Daten, wurde und wird weiterhin in Übereinstimmung mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats gemeldet wurde). in dem der Datenexporteur seinen Sitz hat) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

b) sie haben den Datenimporteur angewiesen und werden ihn für die Dauer der Verarbeitung personenbezogener Daten anweisen, die übertragenen personenbezogenen Daten im alleinigen Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und diesen Klauseln zu verarbeiten;

c) der Datenimporteur sorgt für ausreichende Garantien hinsichtlich der technischen und organisatorischen Sicherheitsmaßnahmen, die in Anhang 2 zu diesem Vertrag angegeben sind;

d) nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen angemessen sind, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übermittlung von Daten beinhaltet über ein Netz und gegen alle anderen rechtswidrigen Formen der Verarbeitung und Gewährleistung eines Sicherheitsniveaus, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten unter Berücksichtigung des Stands der Technik und der Implementierungskosten angemessen ist;

e) sie sorgen für die Einhaltung der Sicherheitsmaßnahmen;

f) wenn die Übermittlung besondere Kategorien von Daten betrifft, die betroffene Person vor der Übermittlung oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden können, das dies nicht anbietet ein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG;

g) sie leiten jede vom Datenimporteur oder einem Datenverarbeiter gemäß den Abschnitten 5 (b) und 8 (3) erhaltene Benachrichtigung an die Datenschutzaufsichtsbehörde weiter, wenn sie beschließt, die Übertragung fortzusetzen oder ihre Aussetzung aufzuheben;

h) Sie stellen den betroffenen Personen auf Anfrage eine Kopie dieser Klauseln mit Ausnahme von Anhang 2 und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie aller weiteren Unterauftragsvereinbarungen zur Verfügung, die gemäß diesen Klauseln abgeschlossen wurden, es sei denn, die Klauseln oder die Vereinbarung enthalten kommerzielle Informationen, in diesem Fall kann er diese Informationen zurückziehen;

i) Im Falle der Untervergabe des Datenverarbeitungsprozesses wird die Verarbeitungstätigkeit gemäß Klausel 11 von einem Datenverarbeiter durchgeführt, der mindestens das gleiche Schutzniveau für personenbezogene Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß diesen Klauseln ; und

j) es stellt die Einhaltung von Klausel 4 (a) bis (i) sicher.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur akzeptiert und garantiert Folgendes:

a) sie verarbeiten die personenbezogenen Daten nur im Auftrag des Datenexporteurs und gemäß den Anweisungen des Datenexporteurs und diesen Klauseln; wenn er aus irgendeinem Grund nicht nachkommen kann, verpflichten sie sich, den Datenexporteur so schnell wie möglich über seine Unfähigkeit zu informieren, in diesem Fall kann der Datenexporteur die Datenübertragung aussetzen und/oder den Vertrag beenden;

b) sie keinen Grund zu der Annahme haben, dass das für sie geltende Recht ihn daran hindert, die Anweisungen des Datenexporteurs und die ihm aus dem Vertrag obliegenden Verpflichtungen zu erfüllen, und wenn dieses Recht einer Änderung unterliegt, die einen wesentlichen Nachteil haben könnte Auswirkungen auf die Gewährleistungen und Verpflichtungen aus den Klauseln hat er den Datenexporteur unverzüglich nach Kenntniserlangung über die Änderung zu informieren, in welchem ​​Fall der Datenexporteur die Datenübertragung aussetzen und/oder den Vertrag beenden kann; (c) sie haben vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt;

d) sie werden den Datenexporteur unverzüglich benachrichtigen:

i) jede verbindliche Aufforderung zur Offenlegung personenbezogener Daten von einer Strafverfolgungsbehörde, sofern nicht anders angegeben, wie z. B. ein strafrechtliches Verbot zur Wahrung der Geheimhaltung einer polizeilichen Ermittlung;

ii) zufälliger oder unbefugter Zugriff; und

iii) alle Anfragen, die direkt von den betroffenen Personen eingehen, ohne darauf zu antworten, es sei denn, er wurde dazu ermächtigt; Administratoren

e) sie werden alle Anfragen des Datenexporteurs bezüglich seiner Verarbeitung der übermittelten personenbezogenen Daten umgehend und ordnungsgemäß bearbeiten und gemäß der Stellungnahme der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten handeln;

f) auf Verlangen des Datenexporteurs seine Datenverarbeitungsanlagen einer Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten durch den Datenexporteur oder eine Aufsichtsbehörde, die sich aus unabhängigen Mitgliedern mit der erforderlichen fachlichen Qualifikation zusammensetzt, unterzieht, der Geheimhaltungspflicht unterliegen und vom Datenexporteur gegebenenfalls mit Zustimmung der Aufsichtsbehörde ausgewählt werden;

g) Sie stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln oder eines bestehenden Untervertrags zur Datenverarbeitung zur Verfügung, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen, in diesem Fall kann sie diese entfernen Informationen, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn die betroffene Person keine Kopie vom Datenexporteur erhalten kann;

h) im Falle einer vertraulichen Weitervergabe der Datenverarbeitung stellt er sicher, dass er den Datenexporteur vorab informiert und die schriftliche Zustimmung des Datenexporteurs einholt;

i) die vom Datenverarbeiter erbrachten Verarbeitungsdienste müssen Klausel 11 entsprechen;

j) sie werden dem Datenexporteur unverzüglich eine Kopie jeder Untervergabe der von ihr gemäß diesen Klauseln abgeschlossenen Datenverarbeitungsvereinbarung zusenden.

Klausel 6

Verantwortung

1. Die Parteien vereinbaren, dass jede betroffene Person, die aufgrund einer Verletzung der in Ziffer 3 oder Ziffer 11 genannten Pflichten durch eine Partei oder einen Datenverarbeiter einen Schaden erlitten hat, vom Datenexporteur eine Entschädigung für den erlittenen Schaden erhalten kann.

2. Wenn eine betroffene Person daran gehindert ist, eine Schadensersatzklage im Sinne von Absatz 1 gegen den Datenexporteur zu erheben, weil der Datenimporteur oder sein Datenverarbeiter einer seiner Verpflichtungen gemäß Ziffer 3 oder Ziffer 11 nicht nachgekommen ist, weil die Daten der Exporteur physisch verschwunden, rechtlich nicht mehr existent oder insolvent geworden ist, stimmt der Datenimporteur zu, dass die betroffene Person eine Beschwerde gegen ihn einreichen kann, als wäre er der Datenexporteur, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs wurden vertraglich übertragen oder kraft Gesetzes an ihre Nachfolgegesellschaft, gegen die die betroffene Person dann ihre Rechte geltend machen kann. Der Datenimporteur darf sich nicht auf eine Verletzung seiner Pflichten durch einen Datenverarbeiter berufen, um seine eigene Haftung zu vermeiden.

3. Wenn eine betroffene Person daran gehindert ist, die in den Absätzen 1 und 2 genannte Klage gegen den Datenexporteur oder den Datenimporteur zu erheben, weil der Datenverarbeiter seine Pflichten gemäß Klausel 3 oder Klausel 11 verletzt hat, weil der Datenexporteur und der Datenimporteur physisch verschwunden sind, rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, stimmt der Datenverarbeiter zu, dass die betroffene Person eine Beschwerde gegen ihn bezüglich seiner eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln einreichen kann, als wäre er der Datenexporteur oder Datenimporteur, es sei denn, alle rechtliche Verpflichtungen des Datenexporteurs oder Datenimporteurs wurden vertraglich oder kraft Gesetzes auf den Rechtsnachfolger übertragen, gegen den die betroffene Person dann ihre Rechte geltend machen kann.Die Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungstätigkeiten beschränkt sein.

 

Klausel 7

Mediation und Gerichtsstand

1. Der Datenimporteur erklärt sich damit einverstanden, dass, wenn sich die betroffene Person gemäß den Klauseln gegen ihn auf das Recht des Drittbegünstigten beruft und/oder eine Entschädigung für den erlittenen Schaden fordert, er die Entscheidung der betroffenen Person akzeptieren wird:

a) die Streitigkeit einer Schlichtung durch eine unabhängige Person oder gegebenenfalls die Aufsichtsbehörde zu unterziehen;

b) die Streitigkeit vor die Gerichte des Mitgliedstaats zu bringen, in dem der Datenexporteur seinen Sitz hat.

2. Die Parteien vereinbaren, dass die von der betroffenen Person getroffene Wahl das verfahrensrechtliche oder materielle Recht der betroffenen Person auf Wiedergutmachung gemäß anderen Bestimmungen des nationalen oder internationalen Rechts nicht berührt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrages bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder das geltende Datenschutzrecht eine solche Hinterlegung vorsieht.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde Kontrollen beim Datenimporteur und jedem Datenverarbeiter im gleichen Umfang und unter den gleichen Bedingungen wie beim Datenexporteur gemäß geltendem Datenschutzrecht durchführen kann.

3. Der Datenimporteur muss den Datenexporteur so schnell wie möglich über das Bestehen von Rechtsvorschriften über den Datenimporteur oder einen Datenverarbeiter informieren, die eine Überprüfung beim Datenimporteur oder einem Datenverarbeiter gemäß Absatz 2 verhindern Der Datenexporteur kann die in Ziffer 5 (b) vorgesehenen Maßnahmen ergreifen.

Klausel 9

Anwendbares Recht

Die Klauseln gelten und unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat.

Klausel 10

Änderung des Vertrages

Die Parteien verpflichten sich, die vorliegenden Klauseln nicht zu ändern. Den Parteien steht es frei, andere Handelsklauseln aufzunehmen, die sie für notwendig erachten, sofern sie den vorliegenden Klauseln nicht widersprechen.

Klausel 11

Anschließende Untervergabe

1. Der Datenimporteur darf keine seiner im Auftrag des Datenexporteurs gemäß diesen Klauseln durchgeführten Verarbeitungstätigkeiten ohne die vorherige schriftliche Zustimmung des Datenexporteurs untervergeben. Der Datenimporteur darf seine Verpflichtungen gemäß diesen Klauseln nur mit Zustimmung des Datenexporteurs durch eine schriftliche Vereinbarung mit dem Datenverarbeiter untervergeben, die dem Datenverarbeiter die gleichen Verpflichtungen auferlegt, die dem Datenimporteur gemäß diesen Klauseln auferlegt werden. Wenn der Datenverarbeiter seinen Datenschutzverpflichtungen gemäß dieser schriftlichen Vereinbarung nicht nachkommen kann, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung dieser Verpflichtungen voll verantwortlich.

2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Datenverarbeiter muss auch eine Drittbegünstigtenklausel gemäß Ziffer 3 für Fälle enthalten, in denen die betroffene Person daran gehindert ist, den in Ziffer 6 (1) genannten Schadensersatzanspruch geltend zu machen ), gegen den Datenexporteur oder Datenimporteur, weil der Datenexporteur oder Datenimporteur physisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist und alle rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs nicht vertraglich oder durch Betrieb übertragen wurden von Rechts wegen auf eine andere Rechtsnachfolgerin. Die Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungstätigkeiten beschränkt sein.

3. Die Bestimmungen in Bezug auf die Datenschutzaspekte der Untervergabe der Datenverarbeitung des Vertrags gemäß Absatz 1 unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4. Der Datenexporteur führt eine Liste der Unterauftragnehmer der gemäß diesen Klauseln abgeschlossenen und vom Datenimporteur gemäß Klausel 5 (j) mitgeteilten Datenverarbeitungsvereinbarungen, die mindestens einmal jährlich zu aktualisieren ist. Diese Liste wird der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.

Klausel 12

Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass der Datenimporteur und der Datenverarbeiter nach Abschluss der Datenverarbeitungsdienste nach Belieben des Datenexporteurs alle übertragenen personenbezogenen Daten und Kopien davon an den Datenexporteur zurückgeben oder alle diese Daten vernichten und den Nachweis erbringen werden die Vernichtung an den Datenexporteur, es sei denn, dem Datenimporteur auferlegte Gesetze hindern ihn daran, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die Daten nicht mehr aktiv verarbeitet.

2. Der Datenimporteur und der Datenverarbeiter stellen sicher, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsmittel einer Überprüfung der in Absatz 1 genannten Maßnahmen unterziehen.

 

 

 

 

Anlage 1.1 zu Teil 2

Einzelheiten der Überweisung

 

 

Datenexporteur

Der Datenexporteur ist der im Vertrag definierte Kunde.

 

Datenimporteur

Der Datenimporteur ist LISTREET und ist beauftragt, die Daten zu verarbeiten und Dienstleistungen für den Datenexporteur zu erbringen.

 

Subjekte der Daten

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

ein?? Telefonteilnehmer, die im universellen Verzeichnis aufgeführt sind

â˜' Andere, einschließlich:

 

Kategorien von Daten

Bei den übermittelten personenbezogenen Daten handelt es sich um folgende Datenkategorien:

 

Kategorien personenbezogener Daten der betroffenen Personen des Datenexporteurs, insbesondere

ein?? Vollständiger Name

â˜' Postanschrift

ein?? Kontaktdaten (E-Mail, Telefon, IP-Adresse etc.)

ein?? Einzelheiten zu Marketingaktivitäten bezüglich des Telefonteilnehmers

â˜' Andere, einschließlich der Art der Wohnung, des Einkommens und des Durchschnittsalters, wurden von der Stadt anonymisiert

 

Besondere Datenkategorien (falls zutreffend)

Bei den übermittelten personenbezogenen Daten handelt es sich um folgende besondere Datenkategorien:

â˜' Die Übermittlung besonderer Kategorien von Daten ist nicht vorgesehen

ein?? Rasse oder ethnische Herkunft

ein?? Religiöse oder philosophische Überzeugungen

ein?? Gewerkschaftliche Mitgliedschaft

ein?? Politische Sichten

ein?? Genetische Information

ein?? Biometrische Informationen

ein?? Angaben zur sexuellen Orientierung oder zum Sexualleben

ein?? Gesundheitsdaten

 

Verarbeitungstätigkeiten

Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten:

 

  •  
    • •  Zweck der Verarbeitung

Die im Auftrag des Datenexporteurs durchgeführte Verarbeitung basiert insbesondere auf folgenden Themen:

â˜' Übernahme der vom Datenexporteur angebotenen Produkte oder Dienstleistungen

â˜' Das Angebot eines Produkts oder einer Dienstleistung, das die angerufene Person anfordern kann

â˜' Entgegennahme von Aufträgen der angerufenen Personen und Weiterverarbeitung dieser Aufträge

â˜' Studieren Sie Fragebögen und Analysen

â˜' Telemarketing

ein?? Andere, einschließlich:

 

  •  
    • •  Art und Zweck der Verarbeitung

Der Datenimporteur verarbeitet die personenbezogenen Daten der betroffenen Personen im Auftrag des Datenexporteurs, um insbesondere die folgenden Dienstleistungen zu erbringen:

  • â˜' Automatisches Ausfüllen von Formularen
  • â˜' Adressvalidierungsformular

â˜' Vertrieb und Marketing

â˜' Andere, einschließlich der Aktualisierung von Datenbanken von Rathäusern und politischen Parteien

 

  •  
    • •  Erbringung von Dienstleistungen und Einsatz von Dienstleistern

 

LISTREET kombiniert, zentralisiert und bietet hauptsächlich Dienstleistungen für den Datenexporteur an. Die vom genannten Dienstleister bereitgestellten Dienste können (gegebenenfalls unter anderem) um die folgenden Nebendienste herum strukturiert sein: (i) Bereitstellung von Anwendungen, Tools, Systemen und IT-Infrastruktur in Bezug auf die verwendeten Rechenzentren, um bereitzustellen und Unterstützung der Dienste, einschließlich der Verarbeitung der personenbezogenen Daten der betroffenen Personen wie oben beschrieben, über solche Anwendungen, Tools und Systeme, (ii) die Bereitstellung von IT-Support, Wartung und anderen Dienstleistungen in Bezug auf solche Anwendungen, Tools, Systeme und IT-Infrastruktur, einschließlich des potenziellen Zugriffs auf personenbezogene Daten, die in solchen Anwendungen, Tools und Systemen gespeichert sind, und (iii) die Bereitstellung von Datenschutzdiensten, Datenschutzüberwachung und Diensten zur Reaktion auf Vorfälle,einschließlich des potenziellen Zugriffs auf personenbezogene Daten bei der Bereitstellung solcher Schutzdienste. LISTREET kann Datenverarbeiter wie unten angegeben beauftragen, um die Dienste, einschließlich Nebendienste, bereitzustellen.

 

  •  
    • • Externe Drittdienstleister als mit der Datenverarbeitung beauftragte Unterstellen

 

LISTREET beauftragt externe und dritte Dienstleister, die keine Tochtergesellschaften von LISTREET sind, um die Bereitstellung von Diensten für den Datenexporteur zu unterstützen. Der Datenexporteur genehmigt solche externen Drittdienstleister als mit der Datenverarbeitung beauftragte Subunternehmen.

 

Wenn sich eine an der Datenverarbeitung beteiligte Untereinheit außerhalb der EU/des EWR in einem Land befindet, das gemäß einer Entscheidung der Europäischen Kommission als nicht angemessen eingestuft wird, wird der Datenimporteur Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau zu erreichen Datenschutz gemäß DSGVO und Abschnitt 3.4 (iv) von Teil 1.

 

 

Anhang 2, Teil 2

Technische und organisatorische Schutzmaßnahmen

 

Der Datenimporteur ergreift die folgenden vom Datenexporteur bestätigten technischen und organisatorischen Schutzmaßnahmen, um je nach Risiko ein angemessenes Sicherheitsniveau für die Rechte und Freiheiten des Einzelnen zu gewährleisten. Bei der Bewertung des betreffenden Schutzniveaus hat der Datenexporteur insbesondere die mit der Verarbeitung verbundenen Risiken berücksichtigt, einschließlich versehentlicher oder unrechtmäßiger Zerstörung, Änderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten. Zur Klarstellung: Diese technischen und organisatorischen Schutzmaßnahmen gelten nicht für die vom Datenexporteur bereitgestellten Anwendungen, Tools, Systeme und/oder IT-Infrastruktur.

1 Allgemeine technische und organisatorische Schutzmaßnahmen

1.1 Allgemeine Informationen und Datenschutzstrategien

Die folgenden Schritte sollten unternommen werden, um allgemeine Daten- und Informationsschutzstrategien zu befolgen:

  • a) Maßnahmen ergreifen, um die Maßnahmen zum technischen und organisatorischen Schutz zu bewerten;
  • b) Schulungen anbieten, um das Bewusstsein der Mitarbeiter zu schärfen;
  • c) eine Beschreibung der betroffenen Systeme haben und Mitarbeitern Zugang gewähren;
  • d) Einrichtung eines formellen Dokumentationsprozesses, wann immer Systeme implementiert oder modifiziert werden;
  • e) Dokumentation der Organisationsstruktur, Prozesse, Verantwortlichkeiten und entsprechenden Bewertungen;

1.2 Organisation des Informationsschutzes

Zur Koordinierung der Daten- und Informationsschutzaktivitäten sollten folgende Maßnahmen getroffen werden:

  • a) definierte Verantwortlichkeiten für den Schutz von Informationen und Daten (z. B. durch die Datenschutzmanagementrichtlinie);
  • b) das erforderliche Fachwissen zum Schutz von Informationen und Daten, die verfügbar bleiben;
  • c) Alle Mitarbeiter sind verpflichtet, die Vertraulichkeit personenbezogener Daten zu gewährleisten, und wurden über die möglichen Folgen eines Verstoßes gegen diese Verpflichtung informiert.

1.3 Zugangskontrolle zu Verarbeitungsbereichen

Bei der Verarbeitung, Speicherung oder Übermittlung personenbezogener Daten ist der Zugriff Unbefugter auf Datenverarbeitungssysteme (insbesondere Soft- und Hardware) durch folgende Maßnahmen zu verhindern:

  • a) sichere Bereiche einrichten;
  • b) den Zugang zu Datenverarbeitungssystemen zu schützen und einzuschränken;
  • c) Zugangsberechtigungen für Mitarbeiter und Dritte, einschließlich der entsprechenden Dokumente, einzurichten;
  • d) Jeder Zugriff auf Rechenzentren, in denen personenbezogene Daten gespeichert sind, ist zu protokollieren.

1.4 Zugangskontrolle zu Datenverarbeitungssystemen

Um den unbefugten Zugriff auf Datenverarbeitungssysteme zu verhindern, sind folgende Maßnahmen zu treffen:

  • a) Benutzerauthentifizierungsrichtlinien und -verfahren;
  • b) die Verwendung von Passwörtern auf allen Computersystemen;
  • c) der Fernzugriff auf das Netzwerk erfordert eine Multi-Faktor-Authentifizierung und wird der betroffenen Person entsprechend ihrer Verantwortlichkeiten und nach Autorisierung gewährt;
  • d) der Zugriff auf bestimmte Funktionen basiert auf Jobfunktionen und/oder Attributen, die individuell einem Benutzerkonto zugewiesen sind;
  • e) Zugriffsrechte in Bezug auf personenbezogene Daten werden regelmäßig überprüft;
  • f) Aufzeichnungen über Änderungen der Zugriffsrechte werden auf dem neuesten Stand gehalten.

1.5 Zugangskontrolle zu bestimmten Nutzungsbereichen von Datenverarbeitungssystemen

Folgende Maßnahmen müssen getroffen werden, um sicherzustellen, dass berechtigte Personen, die zur Nutzung des Datenverarbeitungssystems berechtigt sind, nur im Rahmen ihrer jeweiligen Zuständigkeiten und Zugriffsberechtigungen auf Daten zugreifen können und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können:

  1. 1. 
    1. a) Richtlinien, Anweisungen und Schulungen der Mitarbeiter in Bezug auf die Verpflichtungen jedes einzelnen von ihnen zur Vertraulichkeit, das Recht auf Zugang zu personenbezogenen Daten und den Umfang der Verarbeitung personenbezogener Daten;
  • b) Disziplinarmassnahmen gegen unbefugten Zugriff auf Personendaten;
  • c) Zugang zu personenbezogenen Daten wird nur befugten Personen auf der Grundlage des Need-to-know-Prinzips gewährt;
  • d) eine Liste von Systemadministratoren führen und geeignete Maßnahmen ergreifen, um Systemadministratoren zu überwachen;
  • e) personenbezogene Daten nicht auf einem Speichersystem zu kopieren oder zu reproduzieren, um Unbefugten zu ermöglichen, die Informationen des Urhebers zu entfernen;
  • f) kontrolliertes und dokumentiertes Löschen oder Vernichten von Daten;
  • g) alle personenbezogenen Daten, die aus gesetzlichen oder behördlichen Gründen (z. B. Aufbewahrungspflichten) aufbewahrt werden müssen, sicher aufzubewahren, und zwar nur so lange, wie dies gesetzlich vorgeschrieben ist.

1.6 Übertragungskontrolle

Um zu verhindern, dass personenbezogene Daten bei der Übertragung oder dem Transport von Datenträgern von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden (je nach durchgeführter Verarbeitung personenbezogener Daten), sind folgende Maßnahmen zu treffen:

  1. 1. 
    1. a) Einsatz von Firewalls;
  • b) die Speicherung personenbezogener Daten auf mobilen Speichergeräten zu Transportzwecken zu vermeiden oder die Geräte zu verschlüsseln;
  • c) Nutzung auf Laptops und anderen Mobilgeräten erst nach Aktivierung des Verschlüsselungsschutzes;
  • d) Protokollierung der personenbezogenen Datenübermittlungen.

1.7 Dateneingabekontrolle

Damit nachvollziehbar und feststellbar ist, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder gelöscht wurden, sind folgende Maßnahmen zu treffen:

  1. 1. 
    1. a) eine Richtlinie zur Autorisierung des Lesens, Änderns und Löschens gespeicherter Daten;
  • b) Schutzmaßnahmen zum Auslesen, Verändern und Löschen gespeicherter Daten.

1.8 Arbeitskontrolle

Im Falle einer delegierten Verarbeitung personenbezogener Daten müssen die folgenden Maßnahmen ergriffen werden, um sicherzustellen, dass diese Daten gemäß den Anweisungen des Datenschutzbeauftragten verarbeitet werden:

  1. 1. 
    1. a) Mit der Datenverarbeitung beauftragte Stellen oder Unterstellen, die sorgfältig ausgewählt wurden (Dienstleister, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten);
  • b) Weisungen über den Umfang einer etwaigen Verarbeitung personenbezogener Daten an die mit der Datenverarbeitung beauftragten Mitarbeiter, Stellen oder Untereinheiten;
  • c) mit den mit der Datenverarbeitung beauftragten Stellen oder Unterstellen vereinbarte Prüfungsrechte;
  • d) Vereinbarungen mit den mit der Verarbeitung der Daten beauftragten Stellen oder Unterstellen.

1.9 Trennung von der Verarbeitung zu anderen Zwecken

Damit die zu anderen Zwecken erhobenen Daten gesondert verarbeitet werden können, sind folgende Maßnahmen zu treffen:

  1. 1. 
    1. a) separater Zugriff auf personenbezogene Daten gemäß den bestehenden Rechten der Benutzer;
  • b) Schnittstellen, Stapelverarbeitung und Berichterstellung dienen anderen Zwecken und Funktionen, sodass für andere Zwecke erhobene Daten separat verarbeitet werden können.

1.10 Pseudonymisierung

Zur Pseudonymisierung personenbezogener Daten sind folgende Maßnahmen zu ergreifen:

  1. 1. 
    1. a) Wenn der Datenexporteur einen bestimmten Verarbeitungsvorgang anordnet oder dies vom Datenimporteur in Übereinstimmung mit den geltenden Datenschutzgesetzen für bestimmte Verarbeitungstätigkeiten als angemessen erachtet wird, wird die Verarbeitung personenbezogener Daten so durchgeführt, dass die Daten können ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden. Diese zusätzlichen Informationen werden gesondert aufbewahrt;
  • b) Verwendung von Pseudonymisierungstechniken, einschließlich Randomisierung von Zuweisungslisten; Wertschöpfung in Form von Sharps.

1.11 Verschlüsselung

Die folgenden Schritte sollten unternommen werden, um personenbezogene Daten in Anwendungen und Übertragungen zu verschlüsseln, die Verschlüsselung unterstützen:

  1.  
    1. a) Verwendung von Verschlüsselungstechniken;
  • b) Einrichtung eines Verschlüsselungsmanagements zur Unterstützung der zur Verwendung zugelassenen Verschlüsselungstechniken;
  • c) Unterstützung der Verwendung von Kryptografie durch Verfahren und Protokolle zum Generieren, Modifizieren, Widerrufen, Zerstören, Verteilen, Zertifizieren, Speichern, Erfassen, Verwenden und Archivieren kryptografischer Schlüssel zum Schutz vor unbefugter Modifikation und Offenlegung.

1.12 Vollständigkeit der Datenverarbeitungssysteme und -dienste

Zur Sicherstellung der Vollständigkeit von Datenverarbeitungssystemen und -diensten sind folgende Maßnahmen zu ergreifen:

  1. 1. a) Schutz von Datenverarbeitungssystemen gegen Manipulation oder Zerstörung durch geeignete Mittel (z. B. Antivirensoftware, Data Loss Prevention Software und Software gegen Malware, Software-Patches, Firewalls und Managed Desktop Protection);
  • b) die Installation von Diensten oder Software zu verbieten, die für Datenverarbeitungssysteme, Dienste oder die Manipulation personenbezogener Daten schädlich sind;
  • c) Verwendung eines Netzwerk-Intrusion-Detection- und -Prevention-Systems in der Struktur des Netzwerks selbst.

1.13 Verfügbarkeit von Datenverarbeitungssystemen und -diensten und die Möglichkeit, den Zugriff auf und die Verwendung personenbezogener Daten im Falle eines materiellen oder technischen Vorfalls wiederherzustellen

Um die Verfügbarkeit von Datenverarbeitungssystemen sicherzustellen sowie die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines materiellen oder technischen Vorfalls schnell wiederherstellen zu können, sind folgende Maßnahmen zu treffen (insbesondere durch Sicherstellung, dass personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust geschützt):

  • a) über Kontrollmöglichkeiten verfügen, um Sicherungskopien aufzubewahren und verlorene oder gelöschte Daten wiederherzustellen;
  • b) Infrastrukturredundanz und Leistungstests;
  • c) physischer Schutz von Computerressourcen;
  • d) Verwendung von Tools zur Überwachung des Status und der Verfügbarkeit des internen Netzwerks;
  • e) Vorfallmelde- und Reaktionsrichtlinien, die das Vorfallmanagementverfahren regeln, und Wiederholung der Einhaltung dieser Richtlinien als Teil regelmäßiger Schulungen;
  • f) Sicherungen (manchmal außerhalb des Standorts), um das System wiederherzustellen, damit es seine Funktionen wieder ausführen kann;
  • g) Business-Continuity-/Disaster-Recovery-Pläne

1.14 Belastbarkeit von Datenverarbeitungssystemen und -diensten

Zur Sicherstellung der Ausfallsicherheit von Datenverarbeitungssystemen und -diensten sind folgende Maßnahmen zu ergreifen:

  • a) Systeme und harmonisch konfiguriert, unter Verwendung genehmigter Sicherheitsparameter;
  • b) Netzwerkredundanz;
  • c) Containment-Schutz kritischer Systeme.

1.15 Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung

Verfahren zum regelmäßigen Testen, Bewerten und Bewerten der Wirksamkeit von technischen und organisatorischen Maßnahmen zum Schutz der Datenverarbeitung.

  • a) die notwendigen Schritte unternehmen, um Risiken und Minderungsstrategien zu bewerten;
  • b) Service-Analyse-Meetings der IT-Abteilung zur Behandlung aktueller Fragestellungen;
  • c) Business-Continuity-/Disaster-Recovery-Pläne werden regelmäßig aktualisiert.

 

Teil 3

Unterschriften der Parteien und Liste der Datenimporteure

 

Wenn Sie das Online-Bestellformular ausfüllen und durch Ankreuzen des Kästchens zur Annahme der Allgemeinen Nutzungsbedingungen bestätigen, kommt der Vertrag zustande, der die Beziehung zwischen dem Kunden und LISTREET regelt.

Durch das Senden der Zahlung an LISTREET gilt der Vertrag als vereinbart und zustande gekommen.

Achtung: Dieser Text wurde aus dem Französischen übersetzt. Die französische Originalversion, die gültig und rechtlich restriktiv ist, ist  hier verfügbar .