Anhang Datenverarbeitung
Dieser Anhang ist integraler Bestandteil des Vertrags und wird abgeschlossen von:
Jeder ist eine „ Partei “ und allgemein „ Parteien “.
Präambel
WO der Datenimporteur professionelle Software-, Computer- und damit verbundene Dienstleistungen anbietet;
WOBEI sich der Datenimporteur gemäß dem Vertrag bereit erklärt hat, dem Datenexporteur die im Vertrag festgelegten Dienstleistungen (die " Dienstleistungen ") zu erbringen;
WO der Datenimporteur durch die Bereitstellung der Dienste Zugriff auf die Informationen des Datenexporteurs oder die Informationen anderer Personen erhält oder davon profitiert, die eine (potenzielle) Beziehung zum Datenexporteur haben, können diese Informationen als personenbezogene Daten im Sinne der Verordnung eingestuft werden (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („ DSGVO “) und andere anwendbare Datenschutzgesetze.
WOBEI dieser Anhang die Bedingungen enthält, die für die Erhebung, Verarbeitung und Nutzung dieser personenbezogenen Daten durch den Datenimporteur in seiner Eigenschaft als autorisierter Datenverarbeitungsbeauftragter des Datenexporteurs gelten, um sicherzustellen, dass die Parteien das geltende Datenschutzrecht einhalten .
DAHER und um es den Parteien zu ermöglichen, ihre Beziehung rechtmäßig fortzusetzen, haben die Parteien diesen Anhang wie folgt geschlossen:
Teil 1
1. Struktur des Dokuments und Definitionen
1.1 Struktur
Dieser Anhang besteht aus folgenden Teilen:
Teil 1: | enthält allgemeine Bestimmungen, z. B. zu den in diesem Anhang verwendeten Definitionen, zur Einhaltung lokaler Gesetze, zum Zeitpunkt und zur Beendigung |
Teil 2: | enthält den Hauptteil des Dokuments mit den unveränderten Standardvertragsklauseln |
Anhang 1.1 von Teil 2: | enthält die Einzelheiten der Verarbeitungsvorgänge, die der Datenimporteur dem Datenexporteur als autorisiertem Datenverarbeitungsbeauftragten zur Verfügung stellt (einschließlich der Verarbeitung, Art und Zweck der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien betroffener Personen). Anhang |
Anhang 2 von Teil 2: | enthält eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, die im Zusammenhang mit allen in Anhang 1.1 von Teil 2 beschriebenen Verarbeitungstätigkeiten angewendet werden |
Teil 3: | enthält die Unterschriften der an diesen Anhang gebundenen Parteien und identifiziert jeden Datenimporteur |
1.2 Terminologie und Definitionen
Für die Zwecke dieses Anhangs gelten die von der DSGVO verwendeten Terminologien und Definitionen (im Hauptteil des Standardvertragsklauseldokuments in Teil 2, wo definierte Begriffe nicht großgeschrieben werden).
"Mitgliedstaat" | bedeutet ein Land, das zur Europäischen Union oder zum Europäischen Wirtschaftsraum gehört |
„Besondere Kategorien von (personenbezogenen) Daten“ | bezieht sich auf personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten, sofern sie zum Zweck der eindeutigen Identifizierung einer Person verarbeitet werden, Gesundheitsdaten, Daten zum Geschlecht einer Person Leben oder sexuelle Orientierung |
"Standardvertragsklauseln" | bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten von Auftragsverarbeitern mit Sitz in Drittländern gemäß dem Beschluss 2010/87/EU der Kommission vom 5. Februar 2010, der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. geändert wurde Dezember 2016 |
„Auftragsverarbeiter" | bezeichnet jeden Verarbeitungsagenten innerhalb oder außerhalb der EU/des EWR, der sich bereit erklärt, vom Datenimporteur oder einem anderen Verarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zum Zweck der Verarbeitungstätigkeiten zu erhalten, die vom Datenexporteur nach dem ausgeführt werden sollen Übertragung gemäß den Anweisungen des Datenexporteurs, den Bedingungen dieses Anhangs und dem Vertrag mit dem Datenimporteur |
2. Pflichten des Datenexporteurs
2.1 Der Datenexporteur ist verpflichtet, die Einhaltung aller anwendbaren Verpflichtungen aus der DSGVO und allen anderen anwendbaren Datenschutzgesetzen, die für den Datenexporteur gelten, sicherzustellen und diese Einhaltung gemäß Artikel 5 (2) der DSGVO nachzuweisen. Der Datenexporteur garantiert, dass der Datenimporteur die vorherige Zustimmung der betroffenen Personen gemäß Artikel 6 (a) der DSGVO eingeholt hat und seiner Informationspflicht gegenüber den betroffenen Personen gemäß Artikel 13 und 14 der DSGVO nachgekommen ist.
2.2 Der Datenexporteur muss dem Datenimporteur die entsprechenden Dateien der Verarbeitungstätigkeiten gemäß Artikel 30 (1) der DSGVO im Zusammenhang mit den Dienstleistungen gemäß diesem Anhang zur Verfügung stellen, soweit dies für den Datenimporteur erforderlich ist, um der Verpflichtung nachzukommen Art. 30 Abs. 2 DSGVO.
2.3 Der Datenexporteur muss einen Datenschutzbeauftragten oder -beauftragten benennen, soweit dies nach geltendem Datenschutzrecht erforderlich ist. Der Datenexporteur ist verpflichtet, dem Datenimporteur die Kontaktdaten des Datenschutzbeauftragten oder -vertreters, falls vorhanden, mitzuteilen.
2.4. Der Datenexporteur bestätigt vor Abschluss der Verarbeitung durch Annahme dieses Anhangs, dass die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, wie in Anhang 2 zu Teil 2 dargelegt, angemessen und ausreichend sind, um die Rechte der betroffenen Person zu schützen und bestätigt, dass der Datenimporteur diesbezüglich ausreichende Garantien bietet.
3. Einhaltung lokaler Gesetze
Um den Anforderungen der Umsetzung der Auftragsverarbeiter gemäß Artikel 28 der DSGVO gerecht zu werden, gelten folgende Änderungen:
3.1 Anweisungen
3.2 Pflichten des Datenimporteurs
3.3 Rechte der Betroffenen
3.4 Weiterverarbeitung
3.5 Ablauf
Das Ablaufdatum dieses Anhangs ist identisch mit dem Ablaufdatum des entsprechenden Vertrages. Sofern in diesem Anhang nichts anderes bestimmt ist, sind die Rechte und Pflichten im Zusammenhang mit der Kündigung die gleichen wie die im Vertrag enthaltenen.
4. Haftungsbeschränkung
4.1 Jede Partei erfüllt ihre Verpflichtungen gemäß diesem Anhang und den geltenden Datenschutzgesetzen.
4.2 Jegliche Haftung im Zusammenhang mit einer Verletzung der Verpflichtungen aus diesem Anhang oder anwendbaren Datenschutzgesetzen unterliegt den Haftungsbestimmungen, die im Vertrag festgelegt oder für ihn anwendbar sind, sofern in diesem Anhang nichts anderes bestimmt ist. Wenn die Haftung durch die Haftungsbestimmungen geregelt wird, die im Vertrag festgelegt oder für ihn anwendbar sind, zur Berechnung von Haftungsgrenzen oder zur Bestimmung der Anwendung anderer Haftungsbeschränkungen, gilt jede Haftung, die sich aus diesem Anhang ergibt, als aus dem Vertrag entstanden.
5. Allgemeine Bestimmungen
5.1 Bei Unstimmigkeiten oder Abweichungen zwischen den Teilen 1 und 2 dieses Anhangs ist Teil 2 maßgebend. Insbesondere gilt auch in einem solchen Fall Teil 1, der lediglich über Teil 2 (dh die Bestimmungen von Standardklauseln) hinausgeht, ohne ihm zu widersprechen.
5.2 Bei Abweichungen zwischen den Bestimmungen dieses Anhangs und denen anderer Verträge, die die Parteien binden, ist dieser Anhang hinsichtlich der Datenschutzverpflichtungen der Parteien maßgebend. Bei Zweifeln, ob Klauseln in anderen Verträgen die Datenschutzpflichten der Parteien betreffen, geht dieser Anhang vor.
5.3 Wenn eine Bestimmung dieses Anhangs ungültig oder nicht durchsetzbar ist, bleibt der Rest dieses Anhangs in vollem Umfang in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird (i) geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, wobei die Absicht der Parteien so weit wie möglich gewahrt wird, oder – falls dies nicht möglich ist – (ii) so ausgelegt, als ob der ungültige oder nicht durchsetzbare Teil dies getan hätte nie Vertragsbestandteil gewesen. Das Vorstehende gilt auch im Falle einer Lücke in diesem Anhang.
5.5 Soweit erforderlich, können die Parteien Änderungen an Teil 1, Klausel 3 (Einhaltung lokaler Gesetze) oder anderer Teile des Anhangs verlangen, um Auslegungen, Richtlinien oder Anordnungen der zuständigen Behörden der Union oder der EU nachzukommen Mitgliedstaaten, nationale Durchsetzungsvorschriften oder andere rechtliche Entwicklungen in Bezug auf die DSGVO oder andere Bedingungen der Übertragung an an der Datenverarbeitung beteiligte Stellen und insbesondere in Bezug auf die Verwendung der Standardvertragsklauseln in der DSGVO. Die Bestimmungen der Standardvertragsklauseln dürfen nicht geändert oder ersetzt werden, es sei denn, die Europäische Kommission genehmigt dies ausdrücklich (z. B. durch neue angemessene Klauseln und Datenschutzstandards).
5.6 Jeder Verweis in diesem Anhang auf die „Klauseln“ bezieht sich auf alle Bestimmungen dieses Anhangs, sofern nicht anders angegeben.
5.7 Die Rechtswahl in Teil 2 Ziffer 9 gilt für den gesamten Vertrag.
6. Personenbezogene Daten, die von den Parteien zu persönlichen Zwecken übermittelt und verarbeitet werden (Übertragung vom Datenverantwortlichen an den Datenverantwortlichen)
6.1 Die Parteien wissen genau, dass bestimmte personenbezogene Daten vom Datenexporteur an den Datenimporteur und umgekehrt übertragen werden und dass diese Daten von jeder Partei für ihre eigenen Zwecke verarbeitet werden. In Bezug auf diese personenbezogenen Daten bleiben die anderen Bestimmungen dieses Anhangs (mit Ausnahme dieser Klausel 6) davon unberührt.
6.2 Der Datenexporteur kann personenbezogene Daten in Bezug auf das Personal des Datenimporteurs an den Datenimporteur übertragen, einschließlich Informationen über Sicherheitsvorfälle oder andere Dokumente oder Dateien, die vom Datenexporteur im Zusammenhang mit den von den Mitarbeitern von bereitgestellten Dienstleistungen erstellt oder erstellt wurden der Datenimporteur. Der Datenimporteur kann solche personenbezogenen Daten für seine eigenen Zwecke verarbeiten, insbesondere in seinen beruflichen Beziehungen mit dem Personal des Datenimporteurs, zur Qualitätskontrolle und Schulung oder für geschäftliche Zwecke.
6.3. Der Datenimporteur kann personenbezogene Daten an den Datenexporteur übermitteln, einschließlich des Namens und der Kontaktdaten des Personals des Datenimporteurs. Der Datenexporteur kann solche personenbezogenen Daten für seine eigenen Zwecke verarbeiten.
6.4 Beide Parteien halten alle anwendbaren Datenschutzgesetze ein, einschließlich der DSGVO, bei der Erhebung, Verarbeitung und Nutzung solcher personenbezogenen Daten, die sie von der anderen Partei gemäß Abschnitt 1 von Teil 1 erhalten haben. Insbesondere treffen beide Parteien angemessene Sicherheitsmaßnahmen, indem sie Folgendes bereitstellen ein ähnliches Schutzniveau wie die Sicherheitsmaßnahmen gemäß Anhang 2 von Teil 2. Jeglicher Zugriff auf solche personenbezogenen Daten ist auf die Notwendigkeit beschränkt, sie zu kennen.
6.5 Beide Parteien müssen solche personenbezogenen Daten so schnell wie möglich löschen, nachdem die Ziele erreicht wurden.
Teil 2
ENTSCHEIDUNG DER KOMMISSION
am 5. Februar 2010
über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter mit Sitz in Drittländern gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates
Klausel 1
Definitionen
Im Sinne der Klauseln:
a) „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung/Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der Richtlinie 95/46/EG Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1);
b) der „Datenexporteur“ ist der Datenverantwortliche, der die personenbezogenen Daten übermittelt;
c) Der „Datenimporteur“ ist der Datenverarbeiter, der zustimmt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übertragung im Auftrag des Datenexporteurs gemäß seinen Anweisungen und gemäß den Bedingungen dieser Klauseln verarbeitet werden sollen, und der dies nicht tut dem Mechanismus eines Drittlandes unterliegen, der einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet; (d) „Datenverarbeiter“ bezeichnet den vom Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs beauftragten Datenverarbeiter, der sich bereit erklärt, vom Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich für Verarbeitungstätigkeiten zu erhalten im Auftrag des Datenexporteurs nach der Übermittlung gemäß den Anweisungen des Datenexporteurs durchgeführt werden,unter den in diesen Klauseln festgelegten Bedingungen und gemäß den Bedingungen der schriftlichen Untervergabe des Datenverarbeitungsvertrags;
e) „anwendbares Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten des Einzelnen, einschließlich des Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, und gelten für einen Verantwortlichen in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist;
f) „technische und organisatorische Sicherheitsmaßnahmen“ bezeichnet Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über Netzwerke beinhaltet, sowie vor allen anderen rechtswidrigen Formen der Verarbeitung.
Klausel 2
Einzelheiten der Überweisung
Die Einzelheiten der Übermittlung, einschließlich gegebenenfalls besonderer Kategorien personenbezogener Daten, sind in Anhang 1 angegeben, der einen integralen Bestandteil dieser Klauseln bildet.
Klausel 3
Drittbegünstigungsklausel
1. Die betroffene Person kann diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6 (1) und (2) gegen den Datenexporteur durchsetzen ), § 7, § 8 Abs. 2 und §§ 9 bis 12 als Drittbegünstigter
2. Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegen den Datenimporteur geltend machen, wo der Datenexporteur physisch ist verschwunden oder rechtlich erloschen ist, es sei denn, alle seine rechtlichen Verpflichtungen wurden vertraglich oder kraft Gesetzes auf die Rechtsnachfolger übertragen, auf die daher die Rechte und Pflichten des Datenexporteurs zurückfallen und gegen die die Daten gerichtet sind Subjekt kann daher die besagten Klauseln durchsetzen.
Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegenüber dem Datenverarbeiter durchsetzen, jedoch nur in Fällen, in denen die Daten Der Exporteur und der Datenimporteur sind physisch verschwunden, rechtlich nicht mehr existent oder zahlungsunfähig geworden, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs wurden vertraglich oder kraft Gesetzes auf den Rechtsnachfolger übertragen, an den die Rechte und Pflichten des Datenexporteurs daher übertragen werden und gegen wen die betroffene Person daher solche Klauseln geltend machen kann. Eine solche Haftung des Datenverarbeiters muss auf seine eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln beschränkt sein.
4. Die Parteien haben nichts dagegen, dass die betroffene Person von einem Verband oder einer anderen Stelle vertreten wird, wenn sie dies wünscht und das nationale Recht dies zulässt.
Klausel 4
Pflichten des Datenexporteurs
Der Datenexporteur akzeptiert und garantiert Folgendes:
a) die Verarbeitung, einschließlich der eigentlichen Übermittlung personenbezogener Daten, wurde und wird weiterhin in Übereinstimmung mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats gemeldet wurde). in dem der Datenexporteur seinen Sitz hat) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
b) sie haben den Datenimporteur angewiesen und werden ihn für die Dauer der Verarbeitung personenbezogener Daten anweisen, die übertragenen personenbezogenen Daten im alleinigen Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und diesen Klauseln zu verarbeiten;
c) der Datenimporteur sorgt für ausreichende Garantien hinsichtlich der technischen und organisatorischen Sicherheitsmaßnahmen, die in Anhang 2 zu diesem Vertrag angegeben sind;
d) nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen angemessen sind, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übermittlung von Daten beinhaltet über ein Netz und gegen alle anderen rechtswidrigen Formen der Verarbeitung und Gewährleistung eines Sicherheitsniveaus, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden Daten unter Berücksichtigung des Stands der Technik und der Implementierungskosten angemessen ist;
e) sie sorgen für die Einhaltung der Sicherheitsmaßnahmen;
f) wenn die Übermittlung besondere Kategorien von Daten betrifft, die betroffene Person vor der Übermittlung oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden können, das dies nicht anbietet ein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG;
g) sie leiten jede vom Datenimporteur oder einem Datenverarbeiter gemäß den Abschnitten 5 (b) und 8 (3) erhaltene Benachrichtigung an die Datenschutzaufsichtsbehörde weiter, wenn sie beschließt, die Übertragung fortzusetzen oder ihre Aussetzung aufzuheben;
h) Sie stellen den betroffenen Personen auf Anfrage eine Kopie dieser Klauseln mit Ausnahme von Anhang 2 und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie aller weiteren Unterauftragsvereinbarungen zur Verfügung, die gemäß diesen Klauseln abgeschlossen wurden, es sei denn, die Klauseln oder die Vereinbarung enthalten kommerzielle Informationen, in diesem Fall kann er diese Informationen zurückziehen;
i) Im Falle der Untervergabe des Datenverarbeitungsprozesses wird die Verarbeitungstätigkeit gemäß Klausel 11 von einem Datenverarbeiter durchgeführt, der mindestens das gleiche Schutzniveau für personenbezogene Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß diesen Klauseln ; und
j) es stellt die Einhaltung von Klausel 4 (a) bis (i) sicher.
Klausel 5
Pflichten des Datenimporteurs
Der Datenimporteur akzeptiert und garantiert Folgendes:
a) sie verarbeiten die personenbezogenen Daten nur im Auftrag des Datenexporteurs und gemäß den Anweisungen des Datenexporteurs und diesen Klauseln; wenn er aus irgendeinem Grund nicht nachkommen kann, verpflichten sie sich, den Datenexporteur so schnell wie möglich über seine Unfähigkeit zu informieren, in diesem Fall kann der Datenexporteur die Datenübertragung aussetzen und/oder den Vertrag beenden;
b) sie keinen Grund zu der Annahme haben, dass das für sie geltende Recht ihn daran hindert, die Anweisungen des Datenexporteurs und die ihm aus dem Vertrag obliegenden Verpflichtungen zu erfüllen, und wenn dieses Recht einer Änderung unterliegt, die einen wesentlichen Nachteil haben könnte Auswirkungen auf die Gewährleistungen und Verpflichtungen aus den Klauseln hat er den Datenexporteur unverzüglich nach Kenntniserlangung über die Änderung zu informieren, in welchem Fall der Datenexporteur die Datenübertragung aussetzen und/oder den Vertrag beenden kann; (c) sie haben vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt;
d) sie werden den Datenexporteur unverzüglich benachrichtigen:
i) jede verbindliche Aufforderung zur Offenlegung personenbezogener Daten von einer Strafverfolgungsbehörde, sofern nicht anders angegeben, wie z. B. ein strafrechtliches Verbot zur Wahrung der Geheimhaltung einer polizeilichen Ermittlung;
ii) zufälliger oder unbefugter Zugriff; und
iii) alle Anfragen, die direkt von den betroffenen Personen eingehen, ohne darauf zu antworten, es sei denn, er wurde dazu ermächtigt; Administratoren
e) sie werden alle Anfragen des Datenexporteurs bezüglich seiner Verarbeitung der übermittelten personenbezogenen Daten umgehend und ordnungsgemäß bearbeiten und gemäß der Stellungnahme der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten handeln;
f) auf Verlangen des Datenexporteurs seine Datenverarbeitungsanlagen einer Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten durch den Datenexporteur oder eine Aufsichtsbehörde, die sich aus unabhängigen Mitgliedern mit der erforderlichen fachlichen Qualifikation zusammensetzt, unterzieht, der Geheimhaltungspflicht unterliegen und vom Datenexporteur gegebenenfalls mit Zustimmung der Aufsichtsbehörde ausgewählt werden;
g) Sie stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln oder eines bestehenden Untervertrags zur Datenverarbeitung zur Verfügung, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen, in diesem Fall kann sie diese entfernen Informationen, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn die betroffene Person keine Kopie vom Datenexporteur erhalten kann;
h) im Falle einer vertraulichen Weitervergabe der Datenverarbeitung stellt er sicher, dass er den Datenexporteur vorab informiert und die schriftliche Zustimmung des Datenexporteurs einholt;
i) die vom Datenverarbeiter erbrachten Verarbeitungsdienste müssen Klausel 11 entsprechen;
j) sie werden dem Datenexporteur unverzüglich eine Kopie jeder Untervergabe der von ihr gemäß diesen Klauseln abgeschlossenen Datenverarbeitungsvereinbarung zusenden.
Klausel 6
Verantwortung
1. Die Parteien vereinbaren, dass jede betroffene Person, die aufgrund einer Verletzung der in Ziffer 3 oder Ziffer 11 genannten Pflichten durch eine Partei oder einen Datenverarbeiter einen Schaden erlitten hat, vom Datenexporteur eine Entschädigung für den erlittenen Schaden erhalten kann.
2. Wenn eine betroffene Person daran gehindert ist, eine Schadensersatzklage im Sinne von Absatz 1 gegen den Datenexporteur zu erheben, weil der Datenimporteur oder sein Datenverarbeiter einer seiner Verpflichtungen gemäß Ziffer 3 oder Ziffer 11 nicht nachgekommen ist, weil die Daten der Exporteur physisch verschwunden, rechtlich nicht mehr existent oder insolvent geworden ist, stimmt der Datenimporteur zu, dass die betroffene Person eine Beschwerde gegen ihn einreichen kann, als wäre er der Datenexporteur, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs wurden vertraglich übertragen oder kraft Gesetzes an ihre Nachfolgegesellschaft, gegen die die betroffene Person dann ihre Rechte geltend machen kann. Der Datenimporteur darf sich nicht auf eine Verletzung seiner Pflichten durch einen Datenverarbeiter berufen, um seine eigene Haftung zu vermeiden.
3. Wenn eine betroffene Person daran gehindert ist, die in den Absätzen 1 und 2 genannte Klage gegen den Datenexporteur oder den Datenimporteur zu erheben, weil der Datenverarbeiter seine Pflichten gemäß Klausel 3 oder Klausel 11 verletzt hat, weil der Datenexporteur und der Datenimporteur physisch verschwunden sind, rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, stimmt der Datenverarbeiter zu, dass die betroffene Person eine Beschwerde gegen ihn bezüglich seiner eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln einreichen kann, als wäre er der Datenexporteur oder Datenimporteur, es sei denn, alle rechtliche Verpflichtungen des Datenexporteurs oder Datenimporteurs wurden vertraglich oder kraft Gesetzes auf den Rechtsnachfolger übertragen, gegen den die betroffene Person dann ihre Rechte geltend machen kann.Die Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungstätigkeiten beschränkt sein.
Klausel 7
Mediation und Gerichtsstand
1. Der Datenimporteur erklärt sich damit einverstanden, dass, wenn sich die betroffene Person gemäß den Klauseln gegen ihn auf das Recht des Drittbegünstigten beruft und/oder eine Entschädigung für den erlittenen Schaden fordert, er die Entscheidung der betroffenen Person akzeptieren wird:
a) die Streitigkeit einer Schlichtung durch eine unabhängige Person oder gegebenenfalls die Aufsichtsbehörde zu unterziehen;
b) die Streitigkeit vor die Gerichte des Mitgliedstaats zu bringen, in dem der Datenexporteur seinen Sitz hat.
2. Die Parteien vereinbaren, dass die von der betroffenen Person getroffene Wahl das verfahrensrechtliche oder materielle Recht der betroffenen Person auf Wiedergutmachung gemäß anderen Bestimmungen des nationalen oder internationalen Rechts nicht berührt.
Klausel 8
Zusammenarbeit mit Aufsichtsbehörden
1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrages bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder das geltende Datenschutzrecht eine solche Hinterlegung vorsieht.
2. Die Parteien vereinbaren, dass die Aufsichtsbehörde Kontrollen beim Datenimporteur und jedem Datenverarbeiter im gleichen Umfang und unter den gleichen Bedingungen wie beim Datenexporteur gemäß geltendem Datenschutzrecht durchführen kann.
3. Der Datenimporteur muss den Datenexporteur so schnell wie möglich über das Bestehen von Rechtsvorschriften über den Datenimporteur oder einen Datenverarbeiter informieren, die eine Überprüfung beim Datenimporteur oder einem Datenverarbeiter gemäß Absatz 2 verhindern Der Datenexporteur kann die in Ziffer 5 (b) vorgesehenen Maßnahmen ergreifen.
Klausel 9
Anwendbares Recht
Die Klauseln gelten und unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat.
Klausel 10
Änderung des Vertrages
Die Parteien verpflichten sich, die vorliegenden Klauseln nicht zu ändern. Den Parteien steht es frei, andere Handelsklauseln aufzunehmen, die sie für notwendig erachten, sofern sie den vorliegenden Klauseln nicht widersprechen.
Klausel 11
Anschließende Untervergabe
1. Der Datenimporteur darf keine seiner im Auftrag des Datenexporteurs gemäß diesen Klauseln durchgeführten Verarbeitungstätigkeiten ohne die vorherige schriftliche Zustimmung des Datenexporteurs untervergeben. Der Datenimporteur darf seine Verpflichtungen gemäß diesen Klauseln nur mit Zustimmung des Datenexporteurs durch eine schriftliche Vereinbarung mit dem Datenverarbeiter untervergeben, die dem Datenverarbeiter die gleichen Verpflichtungen auferlegt, die dem Datenimporteur gemäß diesen Klauseln auferlegt werden. Wenn der Datenverarbeiter seinen Datenschutzverpflichtungen gemäß dieser schriftlichen Vereinbarung nicht nachkommen kann, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung dieser Verpflichtungen voll verantwortlich.
2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Datenverarbeiter muss auch eine Drittbegünstigtenklausel gemäß Ziffer 3 für Fälle enthalten, in denen die betroffene Person daran gehindert ist, den in Ziffer 6 (1) genannten Schadensersatzanspruch geltend zu machen ), gegen den Datenexporteur oder Datenimporteur, weil der Datenexporteur oder Datenimporteur physisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist und alle rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs nicht vertraglich oder durch Betrieb übertragen wurden von Rechts wegen auf eine andere Rechtsnachfolgerin. Die Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungstätigkeiten beschränkt sein.
3. Die Bestimmungen in Bezug auf die Datenschutzaspekte der Untervergabe der Datenverarbeitung des Vertrags gemäß Absatz 1 unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt eine Liste der Unterauftragnehmer der gemäß diesen Klauseln abgeschlossenen und vom Datenimporteur gemäß Klausel 5 (j) mitgeteilten Datenverarbeitungsvereinbarungen, die mindestens einmal jährlich zu aktualisieren ist. Diese Liste wird der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.
Klausel 12
Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten
1. Die Parteien vereinbaren, dass der Datenimporteur und der Datenverarbeiter nach Abschluss der Datenverarbeitungsdienste nach Belieben des Datenexporteurs alle übertragenen personenbezogenen Daten und Kopien davon an den Datenexporteur zurückgeben oder alle diese Daten vernichten und den Nachweis erbringen werden die Vernichtung an den Datenexporteur, es sei denn, dem Datenimporteur auferlegte Gesetze hindern ihn daran, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die Daten nicht mehr aktiv verarbeitet.
2. Der Datenimporteur und der Datenverarbeiter stellen sicher, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsmittel einer Überprüfung der in Absatz 1 genannten Maßnahmen unterziehen.
Anlage 1.1 zu Teil 2
Einzelheiten der Überweisung
Datenexporteur
Der Datenexporteur ist der im Vertrag definierte Kunde.
Datenimporteur
Der Datenimporteur ist LISTREET und ist beauftragt, die Daten zu verarbeiten und Dienstleistungen für den Datenexporteur zu erbringen.
Subjekte der Daten
Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:
ein?? Telefonteilnehmer, die im universellen Verzeichnis aufgeführt sind
â˜' Andere, einschließlich:
Kategorien von Daten
Bei den übermittelten personenbezogenen Daten handelt es sich um folgende Datenkategorien:
Kategorien personenbezogener Daten der betroffenen Personen des Datenexporteurs, insbesondere
ein?? Vollständiger Name
â˜' Postanschrift
ein?? Kontaktdaten (E-Mail, Telefon, IP-Adresse etc.)
ein?? Einzelheiten zu Marketingaktivitäten bezüglich des Telefonteilnehmers
â˜' Andere, einschließlich der Art der Wohnung, des Einkommens und des Durchschnittsalters, wurden von der Stadt anonymisiert
Besondere Datenkategorien (falls zutreffend)
Bei den übermittelten personenbezogenen Daten handelt es sich um folgende besondere Datenkategorien:
â˜' Die Übermittlung besonderer Kategorien von Daten ist nicht vorgesehen
ein?? Rasse oder ethnische Herkunft
ein?? Religiöse oder philosophische Überzeugungen
ein?? Gewerkschaftliche Mitgliedschaft
ein?? Politische Sichten
ein?? Genetische Information
ein?? Biometrische Informationen
ein?? Angaben zur sexuellen Orientierung oder zum Sexualleben
ein?? Gesundheitsdaten
Verarbeitungstätigkeiten
Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten:
Die im Auftrag des Datenexporteurs durchgeführte Verarbeitung basiert insbesondere auf folgenden Themen:
â˜' Übernahme der vom Datenexporteur angebotenen Produkte oder Dienstleistungen
â˜' Das Angebot eines Produkts oder einer Dienstleistung, das die angerufene Person anfordern kann
â˜' Entgegennahme von Aufträgen der angerufenen Personen und Weiterverarbeitung dieser Aufträge
â˜' Studieren Sie Fragebögen und Analysen
â˜' Telemarketing
ein?? Andere, einschließlich:
Der Datenimporteur verarbeitet die personenbezogenen Daten der betroffenen Personen im Auftrag des Datenexporteurs, um insbesondere die folgenden Dienstleistungen zu erbringen:
â˜' Vertrieb und Marketing
â˜' Andere, einschließlich der Aktualisierung von Datenbanken von Rathäusern und politischen Parteien
LISTREET kombiniert, zentralisiert und bietet hauptsächlich Dienstleistungen für den Datenexporteur an. Die vom genannten Dienstleister bereitgestellten Dienste können (gegebenenfalls unter anderem) um die folgenden Nebendienste herum strukturiert sein: (i) Bereitstellung von Anwendungen, Tools, Systemen und IT-Infrastruktur in Bezug auf die verwendeten Rechenzentren, um bereitzustellen und Unterstützung der Dienste, einschließlich der Verarbeitung der personenbezogenen Daten der betroffenen Personen wie oben beschrieben, über solche Anwendungen, Tools und Systeme, (ii) die Bereitstellung von IT-Support, Wartung und anderen Dienstleistungen in Bezug auf solche Anwendungen, Tools, Systeme und IT-Infrastruktur, einschließlich des potenziellen Zugriffs auf personenbezogene Daten, die in solchen Anwendungen, Tools und Systemen gespeichert sind, und (iii) die Bereitstellung von Datenschutzdiensten, Datenschutzüberwachung und Diensten zur Reaktion auf Vorfälle,einschließlich des potenziellen Zugriffs auf personenbezogene Daten bei der Bereitstellung solcher Schutzdienste. LISTREET kann Datenverarbeiter wie unten angegeben beauftragen, um die Dienste, einschließlich Nebendienste, bereitzustellen.
LISTREET beauftragt externe und dritte Dienstleister, die keine Tochtergesellschaften von LISTREET sind, um die Bereitstellung von Diensten für den Datenexporteur zu unterstützen. Der Datenexporteur genehmigt solche externen Drittdienstleister als mit der Datenverarbeitung beauftragte Subunternehmen.
Wenn sich eine an der Datenverarbeitung beteiligte Untereinheit außerhalb der EU/des EWR in einem Land befindet, das gemäß einer Entscheidung der Europäischen Kommission als nicht angemessen eingestuft wird, wird der Datenimporteur Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau zu erreichen Datenschutz gemäß DSGVO und Abschnitt 3.4 (iv) von Teil 1.
Anhang 2, Teil 2
Technische und organisatorische Schutzmaßnahmen
Der Datenimporteur ergreift die folgenden vom Datenexporteur bestätigten technischen und organisatorischen Schutzmaßnahmen, um je nach Risiko ein angemessenes Sicherheitsniveau für die Rechte und Freiheiten des Einzelnen zu gewährleisten. Bei der Bewertung des betreffenden Schutzniveaus hat der Datenexporteur insbesondere die mit der Verarbeitung verbundenen Risiken berücksichtigt, einschließlich versehentlicher oder unrechtmäßiger Zerstörung, Änderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten. Zur Klarstellung: Diese technischen und organisatorischen Schutzmaßnahmen gelten nicht für die vom Datenexporteur bereitgestellten Anwendungen, Tools, Systeme und/oder IT-Infrastruktur.
1 Allgemeine technische und organisatorische Schutzmaßnahmen |
1.1 Allgemeine Informationen und Datenschutzstrategien |
Die folgenden Schritte sollten unternommen werden, um allgemeine Daten- und Informationsschutzstrategien zu befolgen: |
|
|
|
|
|
1.2 Organisation des Informationsschutzes |
Zur Koordinierung der Daten- und Informationsschutzaktivitäten sollten folgende Maßnahmen getroffen werden: |
|
|
|
1.3 Zugangskontrolle zu Verarbeitungsbereichen |
Bei der Verarbeitung, Speicherung oder Übermittlung personenbezogener Daten ist der Zugriff Unbefugter auf Datenverarbeitungssysteme (insbesondere Soft- und Hardware) durch folgende Maßnahmen zu verhindern: |
|
|
|
|
1.4 Zugangskontrolle zu Datenverarbeitungssystemen |
Um den unbefugten Zugriff auf Datenverarbeitungssysteme zu verhindern, sind folgende Maßnahmen zu treffen: |
|
|
|
|
|
|
1.5 Zugangskontrolle zu bestimmten Nutzungsbereichen von Datenverarbeitungssystemen |
Folgende Maßnahmen müssen getroffen werden, um sicherzustellen, dass berechtigte Personen, die zur Nutzung des Datenverarbeitungssystems berechtigt sind, nur im Rahmen ihrer jeweiligen Zuständigkeiten und Zugriffsberechtigungen auf Daten zugreifen können und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können: |
|
|
|
|
|
|
|
1.6 Übertragungskontrolle |
Um zu verhindern, dass personenbezogene Daten bei der Übertragung oder dem Transport von Datenträgern von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden (je nach durchgeführter Verarbeitung personenbezogener Daten), sind folgende Maßnahmen zu treffen: |
|
|
|
1.7 Dateneingabekontrolle |
Damit nachvollziehbar und feststellbar ist, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder gelöscht wurden, sind folgende Maßnahmen zu treffen: |
|
|
1.8 Arbeitskontrolle |
Im Falle einer delegierten Verarbeitung personenbezogener Daten müssen die folgenden Maßnahmen ergriffen werden, um sicherzustellen, dass diese Daten gemäß den Anweisungen des Datenschutzbeauftragten verarbeitet werden: |
|
|
|
|
1.9 Trennung von der Verarbeitung zu anderen Zwecken |
Damit die zu anderen Zwecken erhobenen Daten gesondert verarbeitet werden können, sind folgende Maßnahmen zu treffen: |
|
|
1.10 Pseudonymisierung |
Zur Pseudonymisierung personenbezogener Daten sind folgende Maßnahmen zu ergreifen: |
|
|
1.11 Verschlüsselung |
Die folgenden Schritte sollten unternommen werden, um personenbezogene Daten in Anwendungen und Übertragungen zu verschlüsseln, die Verschlüsselung unterstützen:
|
|
|
1.12 Vollständigkeit der Datenverarbeitungssysteme und -dienste |
Zur Sicherstellung der Vollständigkeit von Datenverarbeitungssystemen und -diensten sind folgende Maßnahmen zu ergreifen: |
|
|
|
1.13 Verfügbarkeit von Datenverarbeitungssystemen und -diensten und die Möglichkeit, den Zugriff auf und die Verwendung personenbezogener Daten im Falle eines materiellen oder technischen Vorfalls wiederherzustellen |
Um die Verfügbarkeit von Datenverarbeitungssystemen sicherzustellen sowie die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines materiellen oder technischen Vorfalls schnell wiederherstellen zu können, sind folgende Maßnahmen zu treffen (insbesondere durch Sicherstellung, dass personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust geschützt): |
|
|
|
|
|
|
|
1.14 Belastbarkeit von Datenverarbeitungssystemen und -diensten |
Zur Sicherstellung der Ausfallsicherheit von Datenverarbeitungssystemen und -diensten sind folgende Maßnahmen zu ergreifen: |
|
|
|
1.15 Verfahren zur regelmäßigen Überprüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung |
Verfahren zum regelmäßigen Testen, Bewerten und Bewerten der Wirksamkeit von technischen und organisatorischen Maßnahmen zum Schutz der Datenverarbeitung. |
|
|
|
Teil 3
Unterschriften der Parteien und Liste der Datenimporteure
Wenn Sie das Online-Bestellformular ausfüllen und durch Ankreuzen des Kästchens zur Annahme der Allgemeinen Nutzungsbedingungen bestätigen, kommt der Vertrag zustande, der die Beziehung zwischen dem Kunden und LISTREET regelt.
Durch das Senden der Zahlung an LISTREET gilt der Vertrag als vereinbart und zustande gekommen.
Achtung: Dieser Text wurde aus dem Französischen übersetzt. Die französische Originalversion, die gültig und rechtlich restriktiv ist, ist hier verfügbar .