Anhang zur Datenverarbeitung
Dieser Anhang ist integraler Bestandteil des Vertrages und wird abgeschlossen von:
Jeder ist eine „ Partei “ und gewöhnlich „ Parteien “.
Präambel
WO der Datenimporteur professionelle Softwaredienste, Computer und damit verbundene Dienste anbietet;
WO gemäß dem Vertrag der Datenimporteur zugestimmt hat, dem Datenexporteur die im Vertrag angegebenen Dienstleistungen (die „ Dienstleistungen “ zu erbringen );
WENN der Datenimporteur durch die Bereitstellung der Dienste Zugang zu den Informationen des Datenexporteurs oder den Informationen anderer Personen, die eine (potenzielle) Beziehung zu dem Datenexporteur haben, erhält oder davon profitiert, können diese Informationen als personenbezogene Daten im Sinne der Verordnung eingestuft werden (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („ DSGVO “) sowie zu anderen geltenden Datenschutzgesetzen.
WO dieser Anhang die für die Erhebung, Verarbeitung und Nutzung dieser personenbezogenen Daten durch den Datenimporteur in seiner Eigenschaft als autorisierter Datenverarbeitungsbeauftragter des Datenexporteurs geltenden Bedingungen enthält, um sicherzustellen, dass die Parteien die geltenden Datenschutzgesetze einhalten .
DESHALB und um den Parteien zu ermöglichen, ihre Beziehung rechtmäßig fortzusetzen, haben die Parteien diesen Anhang wie folgt geschlossen:
Teil 1
1. Struktur des Dokuments und Definitionen
1.1 Struktur
Dieser Anhang besteht aus folgenden Teilen:
Teil 1: | enthält allgemeine Bestimmungen, z. B. zu den in diesem Anhang verwendeten Definitionen, Einhaltung lokaler Gesetze, Zeitpunkt und Beendigung |
Teil 2: | enthält den Hauptteil des ungeänderten Dokuments zu den Standardvertragsklauseln |
Anhang 1.1 von Teil 2: | enthält die Einzelheiten zu den Verarbeitungsvorgängen, die der Datenimporteur dem Datenexporteur als autorisiertem Datenverarbeitungsbeauftragten zur Verfügung stellt (einschließlich der Verarbeitung, Art und Zweck der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien von betroffenen Personen) im Rahmen dieser Anhang |
Anlage 2 von Teil 2: | enthält eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, die im Zusammenhang mit allen in Anhang 1.1 von Teil 2 beschriebenen Verarbeitungstätigkeiten angewendet werden |
Teil 3: | enthält die Unterschriften der an diesen Anhang gebundenen Parteien und identifiziert jeden Datenimporteur |
1.2 Terminologie und Definitionen
Für die Zwecke dieses Anhangs gelten die von der DSGVO verwendeten Terminologien und Definitionen (im Hauptteil der Standardvertragsklausel in Teil 2, wo definierte Begriffe nicht großgeschrieben werden).
"Mitgliedstaat" | bezeichnet ein Land, das der Europäischen Union oder dem Europäischen Wirtschaftsraum angehört |
„Besondere Kategorien von (personenbezogenen) Daten“ | bezieht sich auf personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten, wenn sie zum Zwecke der eindeutigen Identifizierung einer Person verarbeitet werden, Gesundheitsdaten, Daten über das Geschlecht einer Person Leben oder sexuelle Orientierung |
"Standardvertragsklauseln" | bezeichnet die Standardvertragsklauseln für die Übermittlung personenbezogener Daten von in Drittländern niedergelassenen Auftragsverarbeitern gemäß dem Beschluss 2010/87/EU der Kommission vom 5. Februar 2010, geändert durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 |
„Datenverarbeiter"? | bezeichnet jeden Verarbeitungsbeauftragten innerhalb oder außerhalb der EU/des EWR, der zustimmt, vom Datenimporteur oder einem anderen Auftragsverarbeiter des Datenimporteurs personenbezogene Daten zu ausschließlichen Zwecken der Verarbeitungstätigkeiten zu erhalten, die der Datenexporteur nach dem Übertragung gemäß den Anweisungen des Datenexporteurs, den Bedingungen dieses Anhangs und dem Vertrag mit dem Datenimporteur |
2. Pflichten des Datenexporteurs
2.1 Der Datenexporteur ist verpflichtet, die Einhaltung aller anwendbaren Verpflichtungen aus der DSGVO und allen anderen anwendbaren Datenschutzgesetzen, die für den Datenexporteur gelten, sicherzustellen und diese Einhaltung gemäß Artikel 5 (2) der DSGVO nachzuweisen. Der Datenexporteur gewährleistet, dass der Datenimporteur die vorherige Einwilligung der betroffenen Personen gemäß Artikel 6 (a) DSGVO eingeholt hat und seinen Informationspflichten gemäß Artikel 13 und 14 DSGVO nachgekommen ist.
2.2 Der Datenexporteur muss dem Datenimporteur die entsprechenden Dateien der Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 1 DSGVO in Bezug auf die Dienste nach diesem Anhang zur Verfügung stellen, soweit dies für den Datenimporteur erforderlich ist, um die Verpflichtung aus Art. 30 Abs. 2 DSGVO.
2.3 Der Datenexporteur muss einen Datenschutzbeauftragten oder Datenschutzbeauftragten bestellen, soweit dies nach geltendem Datenschutzrecht erforderlich ist. Der Datenexporteur ist verpflichtet, dem Datenimporteur gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten oder Vertreters zur Verfügung zu stellen.
2.4. Der Datenexporteur bestätigt vor Abschluss der Verarbeitung durch Annahme dieses Anhangs, dass die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs gemäß Anhang 2 zu Teil 2 angemessen und ausreichend sind, um die Rechte der betroffenen Person zu schützen und bestätigt, dass der Datenimporteur diesbezüglich ausreichende Sicherheitsvorkehrungen trifft.
3. Einhaltung lokaler Gesetze
Um den Anforderungen des Einsatzes der Auftragsverarbeiter nach Artikel 28 DSGVO gerecht zu werden, gelten folgende Änderungen:
3.1 Anweisungen
3.2 Pflichten des Datenimporteurs
3.3 Rechte betroffener Personen
3.4 Unterverarbeitung
3.5 Ablauf
Das Ablaufdatum dieses Anhangs ist identisch mit dem Ablaufdatum des entsprechenden Vertrages. Sofern in diesem Anhang nichts anderes bestimmt ist, sind die Rechte und Pflichten im Zusammenhang mit der Kündigung die gleichen wie im Vertrag enthalten.
4. Haftungsbeschränkung
4.1 Jede Partei erfüllt ihre Verpflichtungen aus diesem Anhang und den geltenden Datenschutzgesetzen.
4.2 Jegliche Haftung im Zusammenhang mit einer Verletzung der Pflichten aus diesem Anhang oder den geltenden Datenschutzgesetzen unterliegt den Haftungsbestimmungen, die im Vertrag festgelegt sind oder auf ihn anwendbar sind, sofern in diesem Anhang nichts anderes bestimmt ist. Wenn die Haftung durch die im Vertrag festgelegten oder auf diesen anwendbaren Haftungsbestimmungen geregelt wird, gilt für die Berechnung der Haftungsgrenzen oder die Bestimmung der Anwendung anderer Haftungsbeschränkungen jede Haftung aus diesem Anhang als vertragsgemäß.
5. Allgemeine Bestimmungen
5.1 Bei Unstimmigkeiten oder Abweichungen zwischen den Teilen 1 und 2 dieses Anhangs hat Teil 2 Vorrang. Insbesondere bleibt auch in einem solchen Fall Teil 1 gültig, der lediglich über Teil 2 (dh die Bestimmungen von Standardklauseln) hinausgeht, ohne diesem zu widersprechen.
5.2 Bei Abweichungen zwischen den Bestimmungen dieses Anhangs und denen anderer für die Parteien verbindlicher Verträge hat dieser Anhang hinsichtlich der Datenschutzpflichten der Parteien Vorrang. Im Zweifelsfall, ob Klauseln in anderen Verträgen Datenschutzpflichten der Parteien betreffen, geht dieser Anhang vor.
5.3 Sollte eine Bestimmung dieses Anhangs ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses Anhangs in vollem Umfang gültig. Die ungültige oder undurchsetzbare Bestimmung wird (i) geändert, um ihre Gültigkeit und Durchsetzbarkeit sicherzustellen, wobei der Wille der Parteien so weit wie möglich gewahrt wird, oder – falls dies nicht möglich ist – (ii) so ausgelegt werden, als ob der ungültige oder undurchsetzbare Teil war nie Vertragsbestandteil. Das Vorstehende gilt auch, wenn in diesem Anhang eine Lücke enthalten ist.
5.5 Soweit erforderlich, können die Parteien Änderungen von Teil 1, Klausel 3 (Einhaltung lokaler Gesetze) oder anderen Teilen des Anhangs verlangen, um Auslegungen, Richtlinien oder Anordnungen der zuständigen Behörden der Union oder der Mitgliedstaaten, nationale Durchsetzungsvorschriften oder sonstige Rechtsentwicklungen in Bezug auf die DSGVO oder andere Bedingungen der Übertragung an alle an der Datenverarbeitung beteiligten Stellen und insbesondere in Bezug auf die Verwendung der Standardvertragsklauseln in der DSGVO. Die Bestimmungen der Standardvertragsklauseln dürfen nicht geändert oder ersetzt werden, es sei denn, die Europäische Kommission stimmt dem ausdrücklich zu (zB durch neue angemessene Klauseln und Datenschutzstandards).
5.6 Jede Bezugnahme in diesem Anhang auf die "Klauseln" bezieht sich auf alle Bestimmungen dieses Anhangs, sofern nicht anders angegeben.
5.7 Die Rechtswahl in Teil 2, Ziffer 9 gilt für den gesamten Vertrag.
6. Personenbezogene Daten, die von den Parteien zu persönlichen Zwecken übermittelt und verarbeitet werden (Übergabe vom Verantwortlichen an den Verantwortlichen)
6.1 Die Parteien wissen in vollem Umfang, dass bestimmte personenbezogene Daten vom Datenexporteur an den Datenimporteur und umgekehrt übermittelt werden und dass diese Daten von jeder Partei für ihre eigenen Zwecke verarbeitet werden. In Bezug auf diese personenbezogenen Daten werden die anderen Bestimmungen dieses Anhangs (mit Ausnahme dieser Klausel 6) nicht berührt.
6.2 Der Datenexporteur kann personenbezogene Daten des Personals des Datenimporteurs an den Datenimporteur übermitteln, einschließlich Informationen über Sicherheitsvorfälle, oder sonstige Dokumente oder Dateien, die vom Datenexporteur im Zusammenhang mit den von den Mitarbeitern von erbrachten Dienstleistungen erstellt oder erstellt wurden der Datenimporteur. Der Datenimporteur kann diese personenbezogenen Daten für eigene Zwecke verarbeiten, insbesondere im Rahmen seiner beruflichen Beziehungen zu den Mitarbeitern des Datenimporteurs, zur Qualitätskontrolle und Schulung oder für geschäftliche Zwecke.
6.3. Der Datenimporteur kann personenbezogene Daten an den Datenexporteur übermitteln, einschließlich des Namens und der Kontaktdaten des Personals des Datenimporteurs. Der Datenexporteur kann diese personenbezogenen Daten für eigene Zwecke verarbeiten.
6.4 Beide Parteien halten alle anwendbaren Datenschutzgesetze, einschließlich der DSGVO, bei der Erhebung, Verarbeitung und Nutzung der von der anderen Partei gemäß Abschnitt 1 von Teil 1 erhaltenen personenbezogenen Daten ein. Insbesondere treffen beide Parteien angemessene Sicherheitsmaßnahmen, sofern ein ähnliches Schutzniveau wie die in Teil 2 Anlage 2 genannten Sicherheitsmaßnahmen. Jeder Zugriff auf diese personenbezogenen Daten ist auf das Erfordernis ihrer Kenntnis beschränkt.
6.5 Beide Parteien müssen diese personenbezogenen Daten so schnell wie möglich nach Erreichung der Ziele löschen.
Teil 2
ENTSCHEIDUNG DER KOMMISSION
am 5. Februar 2010
über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittstaaten niedergelassene Auftragsverarbeiter gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates
Klausel 1
Definitionen
Im Sinne der Klauseln:
a) „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung/Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der Richtlinie 95/46/EG Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1);
b) der „Datenexporteur“ ist der Datenverantwortliche, der die personenbezogenen Daten übermittelt;
c) der „Datenimporteur“ ist der Datenverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übertragung im Namen des Datenexporteurs gemäß seinen Anweisungen und gemäß den Bedingungen dieser Klauseln verarbeitet werden sollen, und der dies nicht tut vorbehaltlich des Mechanismus eines Drittlandes, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet; (d) „Datenverarbeiter“ bezeichnet den vom Datenimporteur beauftragten Datenverarbeiter oder einen anderen Datenverarbeiter des Datenimporteurs, der zustimmt, von dem Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich für Verarbeitungsaktivitäten zu im Auftrag des Datenexporteurs nach der Übermittlung gemäß den Anweisungen des Datenexporteurs durchgeführt werden,gemäß den in diesen Klauseln festgelegten Bedingungen und gemäß den Bedingungen der schriftlichen Untervergabe des Auftragsdatenverarbeitungsvertrags;
e) „anwendbares Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, einschließlich des Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, und gilt für einen Verantwortlichen in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist;
f) „technische und organisatorische Maßnahmen zur Sicherheit“?? bezeichnet Maßnahmen zum Schutz personenbezogener Daten gegen zufällige oder unrechtmäßige Zerstörung oder zufälligen Verlust, Änderung, unbefugte Offenlegung oder unbefugten Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über Netzwerke umfasst, und gegen alle anderen rechtswidrigen Formen der Verarbeitung.
Klausel 2
Details der Überweisung
Die Einzelheiten der Übermittlung, gegebenenfalls einschließlich besonderer Kategorien personenbezogener Daten, sind in Anhang 1 aufgeführt, der Bestandteil dieser Klauseln ist.
Klausel 3
Drittbegünstigtenklausel
1. Die betroffene Person kann diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6 (1) und (2 .) gegenüber dem Datenexporteur durchsetzen ), Ziffer 7, Ziffer 8 (2) und Ziffer 9 bis 12 als Drittbegünstigter
2. Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegen den Datenimporteur durchsetzen, wenn der Datenexporteur physisch verschwunden oder rechtlich erloschen ist, es sei denn, alle seine rechtlichen Verpflichtungen sind vertraglich oder kraft Gesetzes auf die Nachfolgegesellschaft übergegangen, an die die Rechte und Pflichten des Datenexporteurs daher zurückfallen und gegen die die Daten Subjekt kann daher die genannten Klauseln durchsetzen.
Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegenüber dem Auftragsverarbeiter durchsetzen, jedoch nur in Fällen, in denen die Daten Der Exporteur und der Datenimporteur sind physisch verschwunden, rechtlich nicht mehr vorhanden oder zahlungsunfähig geworden, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs sind vertraglich oder kraft Gesetzes auf den Rechtsnachfolger übertragen worden, dem die Rechte und Verpflichtungen des Datenexporteurs zustehen und gegen den die betroffene Person daher solche Klauseln durchsetzen kann. Diese Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungsaktivitäten beschränkt sein.
4. Die Parteien widersprechen der Vertretung der betroffenen Person durch einen Verein oder eine andere Stelle nicht, wenn sie dies wünscht und das nationale Recht dies zulässt.
Klausel 4
Pflichten des Datenexporteurs
Der Datenexporteur akzeptiert und garantiert Folgendes:
a) die Verarbeitung, einschließlich der tatsächlichen Übermittlung personenbezogener Daten, wurde und wird in Übereinstimmung mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts durchgeführt (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt) in dem der Datenexporteur seinen Sitz hat) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
b) sie haben den Datenimporteur angewiesen und werden ihn für die Dauer der Verarbeitung personenbezogener Daten anweisen, die übermittelten personenbezogenen Daten im alleinigen Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und diesen Klauseln zu verarbeiten;
c) der Datenimporteur ausreichende Sicherheitsvorkehrungen hinsichtlich der in Anlage 2 zu diesem Vertrag aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen trifft;
d) nach Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen angemessen sind, um personenbezogene Daten gegen zufällige oder unrechtmäßige Zerstörung oder zufälligen Verlust, Veränderung, unbefugte Offenlegung oder Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übermittlung von Daten beinhaltet über ein Netzwerk und gegen alle anderen unrechtmäßigen Formen der Verarbeitung und Gewährleistung eines Sicherheitsniveaus, das den Risiken der Verarbeitung und der Art der zu schützenden Daten unter Berücksichtigung des technischen Stands und der Implementierungskosten angemessen ist;
e) sie sorgen für die Einhaltung der Sicherheitsmaßnahmen;
f) wenn die Übermittlung besondere Kategorien von Daten betrifft, wurde die betroffene Person vor der Übermittlung oder so bald wie möglich nach der Übermittlung darüber informiert, dass ihre Daten in ein Drittland übermittelt werden dürfen, das keine ein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG;
g) sie werden jede vom Datenimporteur oder einem Auftragsverarbeiter gemäß den Klauseln 5 (b) und 8 (3) erhaltene Benachrichtigung an die Datenschutzaufsichtsbehörde weiterleiten, wenn sie beschließt, die Übertragung fortzusetzen oder ihre Aussetzung aufzuheben;
h) sie stellen den betroffenen Personen auf Anfrage eine Kopie dieser Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie jeder weiteren Unterauftragsvereinbarung zur Verfügung, die nach diesen Klauseln geschlossen wurde, es sei denn, die Klauseln oder die Vereinbarung enthalten kommerzielle Informationen, in denen er diese Informationen zurückziehen kann;
i) im Falle der Untervergabe des Datenverarbeitungsprozesses wird die Verarbeitungstätigkeit gemäß Ziffer 11 von einem Auftragsverarbeiter durchgeführt, der mindestens das gleiche Schutzniveau für personenbezogene Daten und die Rechte der betroffenen Person wie der Datenimporteur gemäß diesen Klauseln bietet ; und
j) sie stellt die Einhaltung von Klausel 4 (a) bis (i) sicher.
Klausel 5
Pflichten des Datenimporteurs
Der Datenimporteur akzeptiert und garantiert Folgendes:
a) sie werden die personenbezogenen Daten nur im Auftrag des Datenexporteurs und gemäß den Anweisungen des Datenexporteurs und diesen Klauseln verarbeiten; wenn er aus irgendeinem Grund nicht nachkommen kann, verpflichten sie sich, den Datenexporteur so schnell wie möglich über seine Unfähigkeit zu informieren. In diesem Fall kann der Datenexporteur die Datenübertragung aussetzen und/oder den Vertrag beenden;
b) sie keinen Grund zu der Annahme haben, dass das auf sie anwendbare Recht ihn daran hindert, die vom Datenexporteur erteilten Anweisungen und die ihm aus dem Vertrag obliegenden Verpflichtungen zu erfüllen, und wenn dieses Recht einer Änderung unterliegt, die einen wesentlichen Nachteil haben könnte Auswirkungen auf die Gewährleistungen und Pflichten aus den Klauseln hat er den Datenexporteur unverzüglich nach Kenntnis von der Änderung zu unterrichten, wobei der Datenexporteur in diesem Fall die Datenübertragung aussetzen und/oder den Vertrag beenden kann; (c) sie haben vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt;
d) sie werden den Datenexporteur unverzüglich benachrichtigen:
i) jeder verbindliche Antrag auf Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde, sofern nicht anders angegeben, wie etwa ein strafrechtliches Verbot zur Wahrung des polizeilichen Ermittlungsgeheimnisses;
ii) zufälliger oder unbefugter Zugriff; und
iii) alle Anfragen, die direkt von den betroffenen Personen eingehen, ohne darauf zu antworten, es sei denn, er wurde dazu autorisiert; Administratoren
e) sie werden alle Anfragen des Datenexporteurs bezüglich seiner Verarbeitung der übermittelten personenbezogenen Daten unverzüglich und ordnungsgemäß bearbeiten und gemäß der Stellungnahme der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten handeln;
f) auf Verlangen des Datenexporteurs seine Datenverarbeitungseinrichtungen einer Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten durch den Datenexporteur oder eine Aufsichtsbehörde, die sich aus unabhängigen Mitgliedern mit der erforderlichen beruflichen Qualifikation zusammensetzt, zu unterziehen, der Geheimhaltungspflicht unterliegen und vom Datenexporteur gegebenenfalls mit Zustimmung der Aufsichtsbehörde ausgewählt werden;
g) sie stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln oder eines bestehenden Unterauftragnehmers des Auftrags zur Auftragsverarbeitung zur Verfügung, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall kann sie diese entfernen Informationen, mit Ausnahme von Anhang 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn die betroffene Person keine Kopie vom Datenexporteur erhalten kann;
h) bei vertraulicher Weitervergabe der Datenverarbeitung wird er sicherstellen, dass er den Datenexporteur vorab informiert und dessen schriftliche Zustimmung einholt;
i) die vom Datenverarbeiter erbrachten Verarbeitungsdienste müssen Klausel 11 erfüllen;
j) sie werden dem Datenexporteur unverzüglich eine Kopie einer etwaigen Untervergabe der von ihr gemäß diesen Klauseln abgeschlossenen Datenverarbeitungsvereinbarung zusenden.
Klausel 6
Verantwortung
1. Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder Klausel 11 genannten Pflichten durch eine Partei oder einen Datenverarbeiter Schaden erlitten hat, vom Datenexporteur eine Entschädigung für den erlittenen Schaden verlangen kann.
2. Wenn eine betroffene Person daran gehindert ist, eine Schadensersatzklage gemäß Absatz 1 gegen den Datenexporteur zu erheben, weil der Datenimporteur oder sein Datenverarbeiter eine seiner Pflichten gemäß Ziffer 3 oder Ziffer 11 nicht erfüllt, weil die Daten der Exporteur physisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, stimmt der Datenimporteur zu, dass die betroffene Person ihn beschweren kann, als ob er der Datenexporteur wäre, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs wurden vertraglich übertragen oder von Rechts wegen an deren Rechtsnachfolger, gegen die die betroffene Person dann ihre Rechte geltend machen kann. Der Datenimporteur darf sich nicht auf eine Verletzung seiner Pflichten durch einen Datenverarbeiter berufen, um seine eigene Haftung zu vermeiden.
3. Wenn eine betroffene Person daran gehindert ist, die in den Absätzen 1 und 2 genannte Klage gegen den Datenexporteur oder den Datenimporteur wegen Verletzung der Pflichten des Datenverarbeiters gemäß Ziffer 3 oder Ziffer 11 zu erheben, weil der Datenexporteur und der Datenimporteur physisch verschwunden sind, rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind, erklärt sich der Datenverarbeiter damit einverstanden, dass die betroffene Person eine Beschwerde bezüglich ihrer eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln einreichen kann, als ob sie der Datenexporteur oder Datenimporteur wäre, es sei denn, alle rechtliche Verpflichtungen des Datenexporteurs oder Datenimporteurs sind vertraglich oder kraft Gesetzes auf den Rechtsnachfolger übergegangen, gegen den die betroffene Person dann ihre Rechte geltend machen kann.Die Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungsaktivitäten beschränkt werden.
Klausel 7
Mediation und Zuständigkeit
1. Der Datenimporteur erklärt sich damit einverstanden, dass, wenn die betroffene Person gemäß den Klauseln gegen sie das Recht des Drittbegünstigten geltend macht und/oder eine Entschädigung für den erlittenen Schaden verlangt, er die Entscheidung der betroffenen Person akzeptiert:
a) die Streitigkeit einer Schlichtung durch eine unabhängige Person oder gegebenenfalls die Aufsichtsbehörde zu unterziehen;
b) die Streitigkeit vor die Gerichte des Mitgliedstaats zu bringen, in dem der Datenexporteur seinen Sitz hat.
2. Die Parteien vereinbaren, dass die von der betroffenen Person getroffene Wahl das verfahrensrechtliche oder materielle Recht der betroffenen Person auf Rechtsbehelf nach anderen Vorschriften des nationalen oder internationalen Rechts nicht berührt.
Klausel 8
Zusammenarbeit mit Aufsichtsbehörden
1. Der Datenexporteur verpflichtet sich, eine Kopie des vorliegenden Vertrages bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder das anwendbare Datenschutzrecht dies vorsieht.
2. Die Parteien vereinbaren, dass die Aufsichtsbehörde beim Datenimporteur und bei jedem Auftragsverarbeiter im gleichen Umfang und zu den gleichen Bedingungen Kontrollen wie beim Datenexporteur gemäß geltendem Datenschutzrecht durchführen kann.
3. Der Datenimporteur informiert den Datenexporteur so schnell wie möglich über das Bestehen von Rechtsvorschriften bezüglich des Datenimporteurs oder eines Datenverarbeiters, die eine Überprüfung beim Datenimporteur oder einem Datenverarbeiter gemäß Absatz 2 verhindern Der Datenexporteur kann die in Klausel 5 (b) vorgesehenen Maßnahmen ergreifen.
Klausel 9
Anwendbares Recht
Die Klauseln gelten und unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat.
Klausel 10
Vertragsänderung
Die Parteien verpflichten sich, die vorliegenden Klauseln nicht zu ändern. Es bleibt den Parteien freigestellt, andere Handelsklauseln aufzunehmen, die sie für notwendig halten, sofern sie den vorliegenden Klauseln nicht widersprechen.
Klausel 11
Nachträgliche Vergabe von Unteraufträgen
1. Der Datenimporteur darf keine seiner im Auftrag des Datenexporteurs im Rahmen dieser Klauseln durchgeführten Verarbeitungstätigkeiten ohne vorherige schriftliche Zustimmung des Datenexporteurs an Unterauftragnehmer vergeben. Der Datenimporteur darf seine Verpflichtungen aus diesen Klauseln nur mit Zustimmung des Datenexporteurs durch eine schriftliche Vereinbarung mit dem Datenverarbeiter untervergeben, die dem Datenverarbeiter die gleichen Verpflichtungen auferlegt, die dem Datenimporteur gemäß diesen Klauseln auferlegt werden. Wenn der Datenverarbeiter seinen Datenschutzverpflichtungen aus dieser schriftlichen Vereinbarung nicht nachkommen kann, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung dieser Verpflichtungen voll verantwortlich.
2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Auftragsverarbeiter enthält auch eine Drittbegünstigungsklausel gemäß Klausel 3 für Fälle, in denen die betroffene Person daran gehindert ist, den in Klausel 6 genannten Schadensersatzanspruch geltend zu machen (1 ), gegen den Datenexporteur oder Datenimporteur, weil der Datenexporteur oder Datenimporteur physisch verschwunden ist, rechtlich erloschen ist oder zahlungsunfähig geworden ist und nicht alle rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder betrieblich übertragen wurden des Rechts an eine andere Rechtsnachfolger. Die Haftung des Datenverarbeiters muss gemäß diesen Klauseln auf seine eigenen Verarbeitungsaktivitäten beschränkt werden.
3. Die datenschutzrechtlichen Bestimmungen bei der Vergabe von Unteraufträgen zur Auftragsdatenverarbeitung gemäß Absatz 1 unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat.
4. Der Datenexporteur führt eine Liste der Unterauftragnehmer der nach diesen Klauseln abgeschlossenen und vom Datenimporteur gemäß Ziffer 5 (j) mitgeteilten Datenverarbeitungsverträge, die mindestens einmal jährlich aktualisiert wird. Diese Liste wird der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.
Klausel 12
Verpflichtung nach Beendigung der Dienste zur Verarbeitung personenbezogener Daten
1. Die Parteien vereinbaren, dass der Datenimporteur und der Datenverarbeiter nach Abschluss der Datenverarbeitungsdienste nach Belieben des Datenexporteurs alle übertragenen personenbezogenen Daten und Kopien davon an den Datenexporteur zurückgeben oder alle diese Daten vernichten und einen Nachweis erbringen die Vernichtung an den Datenexporteur, es sei denn, dem Datenimporteur auferlegte Rechtsvorschriften hindern ihn daran, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die Daten nicht mehr aktiv verarbeitet.
2. Der Datenimporteur und der Datenverarbeiter stellen sicher, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Mittel zur Datenverarbeitung einer Überprüfung der in Absatz 1 genannten Maßnahmen unterziehen.
Anhang 1.1 zu Teil 2
Details der Überweisung
Datenexporteur
Der Datenexporteur ist der in der Vertragsvereinbarung definierte Kunde.
Datenimporteur
Der Datenimporteur ist POSTCODEZIP und ist mit der Verarbeitung der Daten beauftragt und erbringt Dienstleistungen für den Datenexporteur.
Themen der Daten
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:
ein?? im Universalverzeichnis eingetragene Telefonteilnehmer
â˜' Andere, einschließlich:
Datenkategorien
Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien:
Kategorien personenbezogener Daten der betroffenen Personen des Datenexporteurs, insbesondere,
ein?? Vollständiger Name
â' Postanschrift
ein?? Kontaktdaten (E-Mail, Telefon, IP-Adresse, etc.)
ein?? Angaben zu Marketingaktivitäten bezüglich des Telefonteilnehmers
â' Andere, einschließlich der Art der Wohnung, des Einkommens und des Durchschnittsalters von der Stadt anonym gemacht
Besondere Kategorien von Daten (falls zutreffend)
Bei den übermittelten personenbezogenen Daten handelt es sich um folgende besondere Kategorien von Daten:
â' Die Weitergabe besonderer Kategorien von Daten ist nicht vorgesehen
ein?? Rasse oder ethnische Herkunft
ein?? Religiöse oder philosophische Überzeugungen
ein?? Gewerkschaftsmitgliedschaft
ein?? Politische Sichten
ein?? Genetische Information
ein?? Biometrische Informationen
ein?? Informationen zur sexuellen Orientierung oder zum Sexualleben
ein?? Gesundheitsdaten
Verarbeitungstätigkeiten
Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsaktivitäten:
Die Verarbeitung im Auftrag des Datenexporteurs basiert insbesondere auf folgenden Themen:
â˜' Übernahme der vom Datenexporteur angebotenen Produkte oder Dienstleistungen
â˜' Das Angebot eines Produkts oder einer Dienstleistung, das die angerufene Person anfordern kann
â' Von den Angerufenen entgegengenommene Aufträge und Weiterverarbeitung dieser Aufträge
â' Studienfragebögen und -analysen
â~‘ Telemarketing
ein?? Andere, darunter:
Der Datenimporteur verarbeitet die personenbezogenen Daten der betroffenen Personen im Auftrag des Datenexporteurs, um folgende Dienstleistungen zu erbringen, insbesondere:
â˜'Vertrieb und Marketing
â˜' Andere, einschließlich der Aktualisierung von Datenbanken von Rathäusern und politischen Parteien
POSTCODEZIP kombiniert, zentralisiert und stellt hauptsächlich Dienste für den Datenexporteur bereit. Die von den genannten Dienstleistern erbrachten Dienstleistungen können (gegebenenfalls unter anderem) um folgende Nebendienstleistungen strukturiert sein: (i) Bereitstellung von Anwendungen, Tools, Systemen und IT-Infrastruktur in Bezug auf die eingesetzten Rechenzentren, um und die Dienste, einschließlich der Verarbeitung der personenbezogenen Daten der betroffenen Personen wie oben beschrieben, über solche Anwendungen, Tools und Systeme zu unterstützen, (ii) die Bereitstellung von IT-Support, Wartung und anderen Diensten in Bezug auf solche Anwendungen, Tools, Systeme und IT-Infrastruktur, einschließlich des möglichen Zugriffs auf personenbezogene Daten, die in solchen Anwendungen, Tools und Systemen gespeichert sind, und (iii) die Bereitstellung von Datenschutzdiensten, Schutzüberwachung und Diensten zur Reaktion auf Vorfälle,einschließlich des möglichen Zugriffs auf personenbezogene Daten bei der Bereitstellung solcher Schutzdienste. POSTCODEZIP kann Datenverarbeiter wie unten beschrieben beauftragen, um die Dienste, einschließlich Nebendienste, bereitzustellen.
POSTCODEZIP beauftragt externe und externe Dienstleister, die keine Tochtergesellschaften von POSTCODEZIP sind, um die Erbringung von Dienstleistungen für den Datenexporteur zu unterstützen. Der Datenexporteur lässt solche externen Drittdienstleister als mit der Datenverarbeitung beauftragten Untereinheiten zu.
Befindet sich eine an der Datenverarbeitung beteiligte Untereinheit außerhalb der EU/des EWR, in einem Land, das aufgrund einer Entscheidung der Europäischen Kommission als nicht angemessen eingestuft wird, wird der Datenimporteur Schritte unternehmen, um ein angemessenes Datenschutzniveau zu erreichen Datenschutz gemäß DSGVO und Abschnitt 3.4 (iv) von Teil 1.
Anhang 2, Teil 2
Technische und organisatorische Schutzmaßnahmen
Der Datenimporteur trifft die folgenden vom Datenexporteur bestätigten technischen und organisatorischen Schutzmaßnahmen, um je nach Risiko ein angemessenes Sicherheitsniveau für die Rechte und Freiheiten des Einzelnen zu gewährleisten. Bei der Beurteilung des betreffenden Schutzniveaus hat der Datenexporteur insbesondere die mit der Verarbeitung verbundenen Risiken berücksichtigt, einschließlich versehentlicher oder unrechtmäßiger Zerstörung, Änderung, unbefugter Offenlegung oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten. Zur Klarstellung: Diese technischen und organisatorischen Schutzmaßnahmen gelten nicht für die vom Datenexporteur bereitgestellten Anwendungen, Tools, Systeme und/oder IT-Infrastruktur.
1 Allgemeine technische und organisatorische Schutzmaßnahmen |
1.1 Allgemeine Hinweise und Datenschutzstrategien |
Die folgenden Schritte sollten unternommen werden, um allgemeine Daten- und Informationsschutzstrategien zu verfolgen: |
|
|
|
|
|
1.2 Organisation des Informationsschutzes |
Zur Koordinierung der Daten- und Informationsschutzaktivitäten sollten folgende Maßnahmen ergriffen werden: |
|
|
|
1.3 Zugangskontrolle zu Verarbeitungsbereichen |
Um bei der Verarbeitung, Speicherung oder Übermittlung personenbezogener Daten den Zugriff Unbefugter auf Datenverarbeitungsanlagen (insbesondere Soft- und Hardware) zu verhindern, sind folgende Maßnahmen zu treffen: |
|
|
|
|
1.4 Zugangskontrolle zu Datenverarbeitungsanlagen |
Um einen unbefugten Zugriff auf Datenverarbeitungsanlagen zu verhindern, sind folgende Maßnahmen zu treffen: |
|
|
|
|
|
|
1.5 Kontrolle des Zugriffs auf bestimmte Einsatzbereiche von Datenverarbeitungsanlagen |
Es ist durch folgende Maßnahmen sicherzustellen, dass zur Nutzung der Datenverarbeitungsanlage berechtigte Personen nur im Rahmen ihrer jeweiligen Zuständigkeiten und Zugriffsberechtigungen auf Daten zugreifen können und personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können: |
|
|
|
|
|
|
|
1.6 Getriebesteuerung |
Um zu verhindern, dass personenbezogene Daten bei der Übermittlung oder dem Transport von Datenträgern von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden, sind folgende Maßnahmen zu treffen (je nach vorgenommener Verarbeitung personenbezogener Daten): |
|
|
|
1.7 Dateneingabekontrolle |
Damit überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder gelöscht wurden, sind folgende Maßnahmen zu treffen: |
|
|
1.8 Arbeitskontrolle |
Bei der delegierten Verarbeitung personenbezogener Daten sind folgende Maßnahmen zu treffen, um sicherzustellen, dass diese Daten gemäß den Anweisungen des Verantwortlichen verarbeitet werden: |
|
|
|
|
1.9 Trennung von der Verarbeitung zu anderen Zwecken |
Damit für andere Zwecke erhobene Daten getrennt verarbeitet werden können, sind folgende Maßnahmen zu treffen: |
|
|
1.10 Pseudonymisierung |
Im Hinblick auf die Pseudonymisierung personenbezogener Daten sind folgende Maßnahmen zu treffen: |
|
|
1.11 Verschlüsselung |
Die folgenden Schritte sollten unternommen werden, um personenbezogene Daten in Anwendungen und Übertragungen zu verschlüsseln, die eine Verschlüsselung unterstützen:
|
|
|
1.12 Vollständigkeit der Datenverarbeitungssysteme und Dienste |
Um die Vollständigkeit der Datenverarbeitungssysteme und Dienste sicherzustellen, sind folgende Maßnahmen zu treffen: |
|
|
|
1.13 Verfügbarkeit von Datenverarbeitungssystemen und -diensten sowie Möglichkeit der Wiederherstellung des Zugangs zu und der Nutzung personenbezogener Daten im Falle eines materiellen oder technischen Vorfalls |
Die folgenden Maßnahmen sind zu treffen, um die Verfügbarkeit von Datenverarbeitungsanlagen sicherzustellen sowie die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines materiellen oder technischen Vorfalls schnell wiederherstellen zu können (insbesondere durch Sicherstellung, dass personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust geschützt): |
|
|
|
|
|
|
|
1.14 Belastbarkeit von Datenverarbeitungssystemen und -diensten |
Zur Sicherstellung der Ausfallsicherheit von Datenverarbeitungssystemen und -diensten sind folgende Maßnahmen zu treffen: |
|
|
|
1.15 Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung |
Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zum Schutz der Datenverarbeitung. |
|
|
|
Teil 3
Unterschriften der Parteien und Liste der Datenimporteure
Wenn Sie das Online-Bestellformular ausfüllen und durch Ankreuzen des Kästchens zur Annahme der Allgemeinen Nutzungsbedingungen bestätigen, kommt der Vertrag zwischen dem Kunden und POSTCODEZIP zustande.
Mit der Überweisung an POSTCODEZIP gilt der Vertrag als vereinbart und zustande gekommen.
Achtung: Dieser Text wurde aus dem Französischen übersetzt. Die gültige und rechtlich einschränkende französische Originalfassung ist hier verfügbar .