Terms
Datenverarbeitungsvereinbarung
Zuletzt geändert am: 30. November 2023
Diese Datenverarbeitungsvereinbarung einschließlich ihrer Anhänge und Verweise (DVV) gilt immer dann, wenn Pax8 personenbezogene Daten im Auftrag einer anderen Partei (des Datenverantwortlichen) verarbeitet, um sicherzustellen, dass diese Verarbeitung in Übereinstimmung mit den geltenden Gesetzen erfolgt und die Rechte der Personen, deren personenbezogene Daten verarbeitet werden, respektiert.
1. Begriffsbestimmungen
Vereinbarung bezeichnet die zwischen Pax8 und dem Datenverantwortlichen bestehende Vereinbarung in Bezug auf die Dienstleistungen;
Verbundenes Unternehmen bedeutet jedes Unternehmen, das das betreffende Unternehmen direkt oder indirekt kontrolliert, von ihm kontrolliert wird oder unter gemeinsamer Kontrolle mit ihm steht. Kontrolle im Sinne dieser Definition bedeutet direktes oder indirektes Eigentum oder Kontrolle von mehr als 50 % der Stimmrechtsanteile des Unternehmens;
CCPA bezeichnet den California Consumer Privacy Act von 2018;
Vertragliche Garantien bedeutet (i) wenn die DSGVO Anwendung findet, die SCC und (ii) wenn die UK General Data Protection Regulation (UK GDPR) Anwendung findet, die SCC in der Fassung des anwendbaren UK-Zusatzes in Anhang 5 (UK-Zusatz);
Die Begriffe „Datenverantwortlicher“, „betroffene Person“, „personenbezogene Daten“ (ungeachtet der Definition in Großbuchstaben, die weiter unten gegeben wird), „Verarbeitung“, und „Verarbeiter“ haben die gleiche Bedeutung wie in der Datenschutzgesetzgebung definiert. Andere relevante Begriffe wie Geschäft, Geschäftszweck, Verbraucher, personenbezogene Daten, Verkauf (einschließlich der Begriffe verkaufen, verkauft und anderer Abwandlungen davon), Dienstleister und Dritte haben die Bedeutung, die diesen Begriffen gemäß CCPA zukommt;
Datenschutzgesetzgebung bezeichnet die geltenden nationalen, bundesstaatlichen, landesweiten, provinziellen und lokalen Gesetze und Vorschriften, die die Verwendung und Offenlegung von persönlichen Daten regeln;
DSGVO bezeichnet die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzrichtlinie);
Pax8 bezeichnet das Pax8-Rechtssubjekt, das eine Partei dieser DVV und/oder dieser Vereinbarung ist und das personenbezogene Daten im Sinne der einschlägigen Datenschutzgesetze verarbeitet;
Personenbezogene Daten sind die personenbezogenen Daten, die Pax8 im Auftrag des Datenverantwortlichen verarbeitet;
Verletzung des Schutzes personenbezogener Daten bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
Eingeschränkte Übertragung bedeutet: (i) wenn die DSGVO gilt, eine Übertragung personenbezogener Daten aus dem EWR in ein Land außerhalb des EWR oder eine (Weiter-)Übertragung aus einem Land außerhalb des EWR innerhalb desselben Landes oder in ein anderes Land außerhalb des EWR, die nicht Gegenstand eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Artikel 45 DSGVO sind; und (ii) wenn die UK GDPR Anwendung findet, eine Übertragung personenbezogener Daten aus dem Vereinigten Königreich in ein anderes Land oder eine (Weiter-)Übertragung aus einem Land außerhalb des Vereinigten Königreichs innerhalb desselben Landes oder in ein anderes Land außerhalb des Vereinigten Königreichs, die nicht Gegenstand eines Angemessenheitsbeschlusses gemäß Artikel 45(1) UK GDPR in Verbindung mit Abschnitt 17A des United Kingdom Data Protection Act 2018 sind;
Dienstleistungen sind die Dienstleistungen oder Produkte, die Pax8 dem Datenverantwortlichen in Übereinstimmung mit einer geltenden Vereinbarung zur Verfügung stellt;
SCC sind (i) die Standardvertragsklauseln zwischen für Datenverantwortlichen und Auftragsverarbeitern, die von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/91 vom 4. Juni 2021 angenommen wurden, wie in Anhang 4 dargelegt (die „2021 Controller-to-Processor Clauses“); oder (ii) die Standardvertragsklauseln zwischen Auftragsverarbeitern, die von der Europäischen Kommission in ihrem Durchführungsbeschluss (EU) 2021/91 vom 4. Juni 2021 angenommen wurden (die „2021 Processor-to-Processor Clauses“); soweit anwendbar.
Unterauftragsverarbeiter bezeichnet jeden von Pax8 beauftragten Auftragsverarbeiter, der zustimmt, personenbezogene Daten zu erhalten, die zur Verarbeitung im Namen des Datenverantwortlichen in Verbindung mit den Dienstleistungen bestimmt sind;
Aufsichtsbehörde bezeichnet eine unabhängige öffentliche Behörde oder eine andere juristische Person, die in einem Land mit Datenschutzgesetzen eingerichtet wurde und für die Überwachung der geltenden Datenschutzgesetze zuständig ist.
2. Geltungsbereich und Anwendung dieser DVV
2.1. Diese DVV gilt, wenn der Vertrag ausdrücklich festlegt, dass Pax8 personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet. Die Vertragsparteien verpflichten sich, die Bedingungen dieser DVV einzuhalten, die in den Vertrag aufgenommen und von den Parteien in ihrem eigenen Namen und dem ihrer verbundenen Unternehmen abgeschlossen wurde.
2.2. Der Gegenstand, die Art, der Zweck und die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind in Anhang 1 dieser DVV aufgeführt, sofern in der Vereinbarung nicht anders angegeben. Die in Anhang 3 aufgeführten rechtsprechungsspezifischen Bedingungen gelten auch für alle personenbezogenen Daten, die durch die Datenschutzgesetze in den jeweiligen Ländern geschützt sind.
2.3. Unbeschadet der Tatsache, dass Pax8 im Rahmen der Vereinbarung als Auftragsverarbeiter agiert, erkennen die Parteien an und vereinbaren, dass Pax8, sofern Pax8 personenbezogene Daten verarbeitet: (i) zwecks Überwachung, Vorbeugung und Aufdeckung von Betrug; (ii) zur Einhaltung eigener gesetzlicher oder behördlicher Verpflichtungen, die für die Verarbeitung und Aufbewahrung persönlicher Daten gelten; (iii) zur Überwachung, Analyse, Entwicklung und Verbesserung von Pax8-Produkten, -Dienstleistungen und -Lösungen; (iv) wie anderweitig im Rahmen der Vereinbarung erlaubt, Pax8 in Bezug auf diese Verarbeitung als Datenverantwortlicher handelt und seinen Verpflichtungen im Rahmen der Vereinbarung und der Datenschutzgesetzgebung nachkommen wird.
2.4. Der Rest dieser DVV gilt nur insoweit, als Pax8 in Bezug auf die personenbezogenen Daten als Auftragsverarbeiter handelt.
3. Datenverarbeitung
Pax8 verpflichtet sich, die personenbezogenen Daten in Übereinstimmung mit der Datenschutzgesetzgebung und dieser DVV zu verarbeiten. Insbesondere verpflichtet sich Pax8:
3.1. nur nach schriftlichen Anweisungen und Weisungen des Datenverantwortlichen zu handeln, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, dies ist durch Gesetze vorgeschrieben, denen Pax8 unterliegt; in einem solchen Fall informiert Pax8 den Datenverantwortlichen vor der Verarbeitung über diese gesetzliche Anforderung, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses. Für die Zwecke dieses Abschnitts umfassen die Anweisungen des Datenverantwortlichen die Anweisungen, die in dieser DVV, der Vereinbarung oder anderweitig vom Datenverantwortlichen gegebenenfalls erhalten werden;
3.2. personenbezogene Daten nur dann an eine Regierung oder einen Dritten weiterzugeben, wenn dies erforderlich ist, um das Gesetz oder eine verbindliche Anordnung einer Regierungsbehörde zu erfüllen. Sofern dies nicht gegen ein Gesetz oder eine verbindliche Anordnung einer staatlichen Stelle verstößt, wird Pax8 den Datenverantwortlichen über alle gesetzlichen Anforderungen oder Anordnungen in Kenntnis setzen;
3.3. den Datenverantwortlichen unverzüglich zu benachrichtigen, wenn Pax8 der Ansicht ist, dass die Befolgung einer Anweisung des Datenverantwortlichen zu einem Verstoß gegen die Datenschutzgesetze führen würde;
3.4. geeignete technische und organisatorische Maßnahmen zu ergreifen und aufrechtzuerhalten, um die im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten angemessen vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Weitergabe oder unberechtigtem Zugriff zu schützen, wie es die Datenschutzgesetze vorschreiben.
3.5. sicherzustellen, dass alle Mitarbeiter von Pax8, die mit der Verarbeitung personenbezogener Daten betraut sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterliegen, die nicht weniger restriktiv ist als die in der Vereinbarung enthaltenen Vertraulichkeitsverpflichtungen;
3.6. dem Datenverantwortlichen auf Anfrage angemessene Unterstützung bei der Einhaltung seiner Verpflichtungen gemäß der Datenschutzgesetzgebung (einschließlich der Artikel 32 bis 36 der UK GDPR und der EU-DSGVO, soweit anwendbar) und/oder bei der Beantwortung von Anfragen einer betroffenen Person zu leisten;
3.7. alle geeigneten Maßnahmen gemäß Artikel 32 der UK GDPR und/oder der EU-DSGVO (je nach Anwendbarkeit) zu ergreifen, unter Berücksichtigung des Stands der technischen Entwicklung und der Kosten für die Umsetzung der Maßnahmen;
3.8. Aufzeichnungen über seine Verarbeitungstätigkeiten zu führen und dem Datenverantwortlichen die Zusammenarbeit und die Informationen zur Verfügung zu stellen, die für den Datenverantwortlichen erforderlich sind, um die Einhaltung seiner Verpflichtungen gemäß den Datenschutzgesetzen nachzuweisen;
4. Unterauftragsverarbeiter
4.1. Autorisierte Unterauftragsverarbeiter. Der Datenverantwortliche erklärt sich damit einverstanden, dass Pax8 Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Namen des Datenverantwortlichen beauftragt. Die derzeit von Pax8 beauftragten und vom Datenverantwortlichen autorisierten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt. Pax8 benachrichtigt den Datenverantwortlichen, wenn Unterauftragsverarbeiter hinzugefügt oder entfernt werden.
4.2. Verpflichtungen des Unterauftragsverarbeiters. Pax8 wird: (i) mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abschließen, der Datenschutzverpflichtungen enthält, die mindestens das gleiche Schutzniveau für personenbezogene Daten bieten wie die in dieser DVV enthaltenen, soweit dies auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistung zutrifft und von der geltenden Datenschutzgesetzgebung gefordert wird; und (ii) für die Einhaltung der Verpflichtungen dieser DVV durch diesen Unterauftragsverarbeiter und für alle Handlungen oder Unterlassungen dieses Unterauftragsverarbeiters verantwortlich bleiben, die dazu führen, dass Pax8 eine seiner Verpflichtungen aus dieser DVV verletzt. Der Datenverantwortliche erkennt an und erklärt sich damit einverstanden, dass Pax8 seine Verpflichtungen gemäß Klausel 9 der SCC (soweit zutreffend) durch die Einhaltung dieses Abschnitts erfüllt und dass Pax8 aufgrund von Vertraulichkeitsbeschränkungen daran gehindert sein kann, dem Datenverantwortlichen Unterauftragsverarbeitervereinbarungen offenzulegen, aber Pax8 wird sich auf Anfrage in angemessener Weise bemühen, dem Datenverantwortlichen alle relevanten Informationen zur Verfügung zu stellen, die ihm im Zusammenhang mit Unterauftragsverarbeitervereinbarungen möglich sind.
5. Datenübertragung
5.1. Der Datenverantwortliche ermächtigt Pax8 und seine Unterauftragsverarbeiter, eingeschränkte Übertragungen personenbezogener Daten vorzunehmen, um die Anweisungen des Datenverantwortlichen im Rahmen dieser DVV zu erfüllen und die Verpflichtungen aus dem Vertrag zu erfüllen, sofern diese eingeschränkte Übermittlung mit der Datenschutzgesetzgebung übereinstimmt.
5.2. Standorte von Rechenzentren. Der Datenverantwortliche erkennt an, dass Pax8 personenbezogene Daten in die Vereinigten Staaten und an jeden anderen Ort der Welt, an dem Pax8, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Datenverarbeitungsvorgänge durchführen, übertragen und verarbeiten kann. Pax8 stellt jederzeit sicher, dass solche Übertragungen in Übereinstimmung mit den Anforderungen der Datenschutzgesetze und dieser DVV erfolgen.
5.3. Datenübertragungen aus dem EWR. Soweit die personenbezogenen Daten durch die DSGVO geschützt sind und eine Übermittlung in ein Land außerhalb des Europäischen Wirtschaftsraums (EWR) erforderlich ist, das nicht als Land anerkannt ist, das ein angemessenes Schutzniveau für personenbezogene Daten bietet (wie in der DSGVO oder den geltenden Datenschutzgesetzen in Europa beschrieben), verpflichten sich die Parteien, diese personenbezogenen Daten in Übereinstimmung mit den SCC zu verarbeiten, die in diese DVV aufgenommen werden und einen integralen Bestandteil dieser DVV bilden sollen.
5.4. Datenübertragungen aus dem Vereinigten Königreich. In Bezug auf Übermittlungen, auf die die UK GDPR oder das britische Datenschutzgesetz 2018 Anwendung finden, gelten die SCC in der durch den UK-Zusatz geänderten Fassung. Der UK-Zusatz gilt als von den Parteien ausgefertigt, wird in diese DVV aufgenommen und bildet einen integralen Bestandteil derselben.
6. Rechte der betroffenen Person
6.1. Pax8 wird:
6.1.1. den Datenverantwortlichen unverzüglich informieren, sobald Pax8 eine Anfrage einer betroffenen Person erhält, die sich auf die Datenschutzgesetze in Bezug auf personenbezogene Daten bezieht;
6.1.2. nicht auf diese Anfrage reagieren, außer auf dokumentierte Anweisungen des Datenverantwortlichen oder auf Verlangen einer Aufsichtsbehörde; und
6.1.3. auf Anfrage des Datenverantwortlichen, sofern dies durch die Datenschutzgesetzgebung und im Zusammenhang mit den Dienstleistungen erforderlich ist, den Datenverantwortlichen in angemessener Weise bei der Bearbeitung einer einklagbaren Anfrage der betroffenen Person unterstützen, soweit der Datenverantwortliche diese Anfrage nicht ohne die Unterstützung von Pax8 erfüllen kann. Pax8 kann diesem Wunsch nachkommen, indem Pax8 Funktionen zur Verfügung stellt, die es dem Datenverantwortlichen ermöglichen, solche Wünsche der betroffenen Person ohne zusätzliche Verarbeitung durch Pax8 zu erfüllen. Falls eine solche Funktionalität nicht verfügbar ist, muss der Datenverantwortliche, damit Pax8 eine solche angemessene Unterstützung leisten kann, Pax8 eine solche Anfrage schriftlich übermitteln und dabei ausreichende Informationen bereitstellen, die es Pax8 ermöglichen, den betreffenden Datensatz zu lokalisieren und anschließend zu ändern, zu exportieren oder zu löschen.
7. Verletzung des Schutzes personenbezogener Daten
7.1. Pax8 benachrichtigt den Datenverantwortlichen unverzüglich, wenn Pax8 oder ein Unterauftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, und wenn die anwendbaren Datenschutzgesetze eine Meldung an eine Aufsichtsbehörde innerhalb von 72 Stunden vorschreiben, muss diese Benachrichtigung innerhalb von 48 Stunden an den Datenverantwortlichen erfolgen. Laut Abschnitt 7.3 unten muss eine solche Benachrichtigung mindestens:
7.1.1. die Art der Verletzung des Schutzes personenbezogener Daten, die Kategorien und die Anzahl der betroffenen Personen sowie die Kategorien und die Anzahl der betroffenen personenbezogenen Datensätze beschreiben;
7.1.2. den Namen und die Kontaktdaten des Datenschutzbeauftragten von Pax8 oder eines anderen Ansprechpartners enthalten, bei dem Sie weitere Informationen erhalten können;
7.1.3. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten beschreiben, sofern Pax8 in der Lage ist, diese in Anbetracht der Art der Dienstleistungen und der Verletzung des Schutzes personenbezogener Daten festzustellen; und
7.1.4. die Maßnahmen beschreiben, die ergriffen wurden oder ergriffen werden sollen, um die Verletzung des Schutzes personenbezogener Daten zu beheben.
7.2. Pax8 arbeitet mit dem Datenverantwortlichen zusammen und unternimmt die angemessenen kommerziellen Schritte, die erforderlich sind, um bei der Untersuchung, Abschwächung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
7.3. Wenn es nicht möglich ist, die in Abschnitt 7.1 genannten Informationen gleichzeitig zu übermitteln, können die Informationen ohne unangemessene Verzögerung schrittweise bereitgestellt werden. Die Verpflichtung von Pax8, eine Verletzung des Schutzes personenbezogener Daten zu melden oder darauf zu reagieren, ist nicht als Anerkennung eines Verschuldens oder einer Haftung seitens Pax8 (oder seiner verbundenen Unternehmen) in Bezug auf eine Verletzung des Schutzes personenbezogener Daten zu verstehen und wird nicht als solche ausgelegt.
7.4. Der Datenverantwortliche erklärt sich damit einverstanden, dass Pax8 nicht verpflichtet ist, den Datenverantwortlichen zu benachrichtigen, wenn ein Versuch unternommen wird, sich Zugang zu den personenbezogenen Daten oder der Infrastruktur und den Netzwerken zu verschaffen, die die Dienstleistungen bereitstellen (wie in der Vereinbarung definiert) (einschließlich Pings, Denial-of-Service-Angriffe, Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Packet-Sniffing oder andere unbefugte Zugriffe auf Verkehrsdaten), der nicht zu einer Verletzung des Schutzes personenbezogener Daten führt.
8. Dauer, Beendigung, Rückgabe oder Löschung von persönlichen Daten
8.1. Diese DVV wird wirksam, wenn die Vereinbarung der Parteien in Kraft tritt, in die diese DVV aufgenommen wurde.
8.2. Diese DVV endet automatisch mit dem späteren der folgenden Ereignisse: (i) Beendigung oder Ablauf der Vereinbarung; (ii) Beendigung der Verarbeitung der personenbezogenen Daten durch Pax8. Bei Beendigung dieser DVV löscht Pax8 alle personenbezogenen Daten, die im Auftrag des Datenverantwortlichen verarbeitet wurden, es sei denn, der Datenverantwortliche verlangt die Rückgabe der personenbezogenen Daten oder die Datenschutzgesetze verlangen die Aufbewahrung dieser personenbezogenen Daten.
9. Andere Datenschutzgesetze
9.1. Soweit sich die Verarbeitung auf personenbezogene Daten bezieht, die aus einer Gerichtsbarkeit stammen oder einer Rechtsordnung unterliegen, die über die in dieser DVV festgelegten Anforderungen hinausgeht, können beide Parteien zusätzliche Maßnahmen vereinbaren, die erforderlich sind, um die Einhaltung der geltenden Datenschutzgesetze zu gewährleisten und jede zusätzliche Maßnahme, auf die sich die Parteien geeinigt haben, wird in einem ordnungsgemäß ausgefertigten schriftlichen Nachtrag oder einer Änderung zu dieser DVV oder in einer Bestellung dokumentiert.
9.2. Wenn aufgrund einer Änderung der Datenschutzgesetzgebung eine Änderung dieser DVV erforderlich ist, einschließlich einer Änderung der vertraglichen Garantien, kann jede Partei die andere Partei schriftlich über diese Gesetzesänderung informieren. Die Parteien werden nach Treu und Glauben alle notwendigen Änderungen dieser DVV, einschließlich der vertraglichen Schutzklauseln, besprechen und aushandeln, um solche Änderungen zu berücksichtigen.
10. Überprüfungs-, Audit- und Inspektionsrechte
10.1. Auf angemessene Anfrage des Datenverantwortlichen stellt Pax8 alle relevanten und notwendigen Materialien, Unterlagen und Informationen in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen von Pax8 zur Verfügung, die zum Schutz der personenbezogenen Daten im Zusammenhang mit den erbrachten Dienstleistungen eingesetzt werden, um die Einhaltung der Datenschutzgesetze nachzuweisen.
10.2. Pax8 stellt sicher, dass mindestens einmal jährlich ein Sicherheitsaudit seiner technischen und organisatorischen Sicherheitsmaßnahmen in Übereinstimmung mit der Datenschutzgesetzgebung durchgeführt wird. Ein solches Sicherheitsaudit wird gemäß den ISO 27001-Standards von einem internen qualifizierten Prüfer bei Pax8 durchgeführt. Die Ergebnisse eines solchen Sicherheitsaudits werden in einem zusammenfassenden Bericht dokumentiert. Pax8 stellt dem Datenverantwortlichen auf Anfrage unverzüglich (i) eine vertrauliche Zusammenfassung eines solchen Berichts und (ii) Nachweise über die angemessene Behebung kritischer Probleme innerhalb von vier (4) Wochen ab dem Datum der Ausstellung des Auditberichts zur Verfügung.
10.3. Wenn der Datenverantwortliche nach Abschluss der in den Abschnitten 10.1 oben und 10.2 oben dargelegten Schritte vernünftigerweise der Ansicht ist, dass Pax8 die Datenschutzgesetze nicht einhält, kann der Datenverantwortliche verlangen, dass Pax8 entweder per Webinar oder im Rahmen einer persönlichen Überprüfung Auszüge aller relevanten Informationen zur Verfügung stellt, die für den weiteren Nachweis der Einhaltung der Datenschutzgesetze erforderlich sind. Der Datenverantwortliche, der eine solche Überprüfung vornimmt, muss Pax8 in angemessener Weise von der Überprüfung in Kenntnis setzen, indem er den Datenschutzbeauftragten von Pax8 kontaktiert, indem er eine Anfrage über die Datenschutzanfrage von Pax8 auf der Pax8-Website einreicht.
10.4. Die Rechte des Datenverantwortlichen gemäß diesem Abschnitt können nur einmal pro Kalenderjahr ausgeübt werden, es sei denn, der Datenverantwortliche ist der begründeten Ansicht, dass Pax8 in erheblichem Maße gegen seine Verpflichtungen gemäß dieser DVV oder der Datenschutzgesetzgebung verstößt.
11. Haftung
11.1. Die in der Vereinbarung festgelegten Haftungsbeschränkungen und -ausschlüsse einer Partei gelten für die Haftung dieser Partei im Rahmen dieser DVV (und der vertraglichen Garantien), wobei das Vorstehende nicht dazu dient, die Haftung einer Partei gegenüber einer betroffenen Person im Rahmen der vertraglichen Garantien zu beschränken oder auszuschließen.
12. Allgemein
12.1. Im Falle eines Widerspruchs zwischen den Bedingungen der Vereinbarung und den Bedingungen dieser DVV haben die Bedingungen der DVV Vorrang. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen dieser DVV und den vertraglichen Garantien, auf die darin verwiesen wird, haben letztere Vorrang.
12.2. Änderungen oder Ergänzungen dieser DVV und ihres Anhangs bedürfen zu ihrer Wirksamkeit der Schriftform und einer Vereinbarung zwischen den Parteien. Dies gilt auch für Änderungen dieses Schriftformerfordernisses. Für die Zwecke dieses Abschnitts schließt das Erfordernis der Schriftform die Unterzeichnung durch handelsübliche elektronische Mittel ein, nicht aber die E-Mail.
12.3. Sollte eine Bestimmung dieser DVV unwirksam sein oder werden, so berührt dies die Gültigkeit der übrigen Bestimmungen nicht.
12.4. Etwaige Verpflichtungen, die sich aus gesetzlichen Bestimmungen oder aufgrund einer gerichtlichen oder behördlichen Entscheidung ergeben, bleiben von dieser DVV unberührt.
12.5. Diese Vereinbarung unterliegt demselben Recht, das auch für die Vereinbarung zwischen den Parteien gilt, mit der Ausnahme, dass in dem Maße, in dem die personenbezogenen Daten durch a) die DSGVO geschützt sind, das geltende Recht das der Niederlande ist; und b) die vertraglichen Garantien, die durch das gemäß den anwendbaren vertraglichen Garantien geltende Recht geregelt werden.
Anhang 1: Details der Datenverarbeitung
| Gegenstand der Verarbeitung | Verarbeitungstätigkeiten, die für die Erfüllung der Verpflichtungen aus der DVV erforderlich sind. |
| Dauer der Verarbeitung | Sofern die personenbezogenen Daten nicht anderweitig vom Datenverantwortlichen gelöscht werden, endet die Laufzeit der Vereinbarung. |
| Ort der Verarbeitung | An den Standorten, an denen Pax8 seine Niederlassungen hat, und in anderen Gerichtsbarkeiten, die durch diese DVV und die Vereinbarung erlaubt sind. |
| Art und Zweck der Verarbeitung | Erfüllung der Verpflichtungen aus der Vereinbarung. |
| Art personenbezogener Daten | Der Datenverantwortliche kann personenbezogene Daten an die Dienste übermitteln, deren Umfang vom Datenverantwortlichen nach eigenem Ermessen bestimmt und kontrolliert wird und die unter anderem die folgenden Kategorien personenbezogener Daten umfassen können:
|
| Sensible personenbezogene Daten | Keine. |
| Frequenz | Ständig. |
| Kategorien betroffener Personen | Dies kann unter anderem personenbezogene Daten von Angestellten, Arbeitern, Auftragnehmern, Beratern, Direktoren und autorisierten Benutzern des Datenverantwortlichen umfassen. |
| Dauer der Verarbeitung und Dauer der Speicherung personenbezogener Daten | So lange, wie es für die Bereitstellung der in der Vereinbarung beschriebenen Produkte oder Dienstleistungen erforderlich ist, wie es gesetzlich oder vertraglich vorgeschrieben ist, oder nach Erhalt einer schriftlichen Aufforderung des Datenverantwortlichen zur Löschung. |
| Zuständige Aufsichtsbehörde | Wie in Abschnitt 12.5 angegeben |
Anhang 2: Liste der Unterauftragsverarbeiter von Pax8
| Name des Unterauftragsverarbeiters | Zweck der Verarbeitung | Ort des Daten-Hostings |
| Acuity-Zeitplanung | Produktivität und Betrieb | Pax8-Standorte |
| Amazon Web Services, Inc. | Produktivität und Betrieb | Pax8-Standorte |
| Atlassian, Inc. | Geschäftsentwicklung, technische Unterstützung und Partnerdienstleistungen. | Pax8-Standorte |
| BitTitan, Inc. | Geschäftsentwicklung, technische Unterstützung und Partnerdienstleistungen. | Pax8-Standorte |
| Box, Inc. | Geschäftsentwicklung, technische Unterstützung und Partnerdienstleistungen. | Pax8-Standorte |
| ConnectWise, LLC. | Partner services | Pax8-Standorte |
| Google LLC | Infrastructure and operations | Pax8-Standorte |
| GoTo Technolgies USA, Inc | Partner support and success | Pax8-Standorte |
| Microsoft Inc. | Infrastructure and operations | Pax8 Locations |
| Wrike, Inc. | Produktivität und Betrieb | Pax8-Standorte |
| ServiceNow, Inc. | Produktivität und Betrieb | Pax8-Standorte |
| SquareSpace, Inc (Acuity-Zeitplanung) | Produktivität und Betrieb | Pax8-Standorte |
Anhang 3: Gerichtsbarkeitsspezifische Bedingungen
EU:
1. Einspruch gegen Unterauftragsverarbeiter. Der Datenverantwortliche kann der Ernennung eines neuen Unterauftragsverarbeiters durch Pax8 innerhalb von fünf (5) Kalendertagen nach Erhalt der Mitteilung gemäß Abschnitt 4 der DVV schriftlich widersprechen, sofern ein solcher Widerspruch auf angemessenen Gründen in Bezug auf den Datenschutz beruht. In einem solchen Fall werden die Parteien diese Bedenken in gutem Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu finden. Wenn keine solche Lösung erreicht werden kann, wird Pax8 nach eigenem Ermessen entweder einen solchen Unterauftragsverarbeiter nicht ernennen oder es dem Datenverantwortlichen gestatten, die betreffende Dienstleistung gemäß den Kündigungsbestimmungen in der Vereinbarung auszusetzen oder zu beenden, ohne dass eine der Parteien dafür haftbar gemacht werden kann (jedoch unbeschadet der Gebühren, die dem Datenverantwortlichen vor der Aussetzung oder Beendigung entstanden sind).
2. Behördliche Aufforderungen bezüglich des Zugriffs auf Daten Es ist allgemeine Praxis, dass Pax8 staatlichen Stellen oder Behörden (einschließlich Strafverfolgungsbehörden) nicht freiwillig Zugang zu oder Informationen über Pax8-Konten (einschließlich persönlicher Daten) gewährt. Wenn Pax8 eine zwingende Aufforderung (sei es durch eine Vorladung, einen Gerichtsbeschluss, einen Durchsuchungsbefehl oder ein anderes gültiges rechtliches Verfahren) von einer Regierungsbehörde oder einer Behörde (einschließlich Strafverfolgungsbehörden) erhält, um Zugang zu oder Informationen über ein Pax8-Konto (einschließlich personenbezogener Daten) zu erhalten, das einem Datenverantwortlichen gehört, dessen primäre Kontaktinformationen anzeigen, dass der Datenverantwortliche in der EU ansässig ist, wird Pax8: (i) die Rechtmäßigkeit der Anfrage prüfen; (ii) die Behörde darüber informieren, dass Pax8 ein Datenverarbeiter ist; (iii) versuchen, die Behörde umzuleiten, damit sie die Daten direkt beim Datenverantwortlichen anfordert; (iv) den Datenverantwortlichen per E-Mail, die an die primäre Kontakt-E-Mail-Adresse des Datenverantwortlichen gesendet wird, über die Anfrage informieren, damit der Datenverantwortlichen eine einstweilige Verfügung oder ein anderes geeignetes Rechtsmittel beantragen kann; und (v) die Mindestmenge an Informationen zur Verfügung stellen, die bei der Beantwortung der Agentur oder Behörde auf der Grundlage einer angemessenen Auslegung der Anfrage zulässig ist. Im Rahmen dieser Bemühungen kann Pax8 die Haupt- und Rechnungskontaktdaten des Datenverantwortlichen an die Behörde weitergeben. Pax8 ist nicht verpflichtet, diesen Absatz 2 einzuhalten, wenn es Pax8 gesetzlich untersagt ist, dies zu tun, oder wenn Pax8 in gutem Glauben davon ausgeht, dass ein dringender Zugang notwendig ist, um die unmittelbare Gefahr eines ernsthaften Schadens für eine Person, die öffentliche Sicherheit oder das Eigentum von Pax8, die Pax8-Website oder den Dienst abzuwenden, aber wenn es Pax8 gesetzlich untersagt ist, den Datenverantwortlichen über Anfragen zu informieren, wird Pax8 sich nach besten Kräften bemühen, eine Aufhebung des Verbots zu erreichen.
Kalifornien:
1. Sofern nicht anders beschrieben, gelten für die folgenden Definitionen: „Datenverantwortlicher“ schließt „Unternehmen“ ein; „Verarbeiter“ schließt „Dienstleister“ ein; „betroffene Person“ schließt „Verbraucher“ ein; „personenbezogene Daten“ schließt „persönliche Informationen“ ein; jeweils wie im CCPA definiert.
2. Nur im Sinne dieses Abschnitts „Kalifornien“ umfasst der Begriff „Zulässige Zwecke“ die Verarbeitung personenbezogener Daten nur zu den in dieser DVV beschriebenen Zwecken und in Übereinstimmung mit den dokumentierten rechtmäßigen Anweisungen des Datenverantwortlichen, wie sie in dieser DVV festgelegt sind, wie es zur Einhaltung des geltenden Rechts erforderlich ist, wie es anderweitig schriftlich vereinbart wurde, einschließlich, aber nicht beschränkt auf, in der Vereinbarung, oder wie es anderweitig für „Dienstleister“ unter dem CCPA erlaubt sein kann.
3. Wenn Pax8 personenbezogene Daten eines Endnutzers des Datenverantwortlichen oder eines Kunden des Datenverantwortlichen im Rahmen des CCPA verarbeitet, handelt Pax8 als Dienstleister im Sinne des CCPA. Der Datenverantwortliche gibt personenbezogene Daten von Endbenutzern an Pax8 wenn überhaupt, ausschließlich weiter für: (i) einen gültigen Geschäftszweck; und (ii) um Pax8 die Erbringung der Dienstleistungen im Rahmen der Vereinbarung zu ermöglichen. Pax8 wird (i) die personenbezogenen Daten nicht verkaufen, (ii) die personenbezogenen Daten nicht für andere kommerzielle Zwecke als die Erbringung der Dienstleistungen aufbewahren, verwenden oder offenlegen oder (iii) die personenbezogenen Daten außerhalb der Erbringung der Dienstleistungen für den Datenverantwortlichen gemäß der Vereinbarung aufbewahren, verwenden oder offenlegen.
4. Die Verpflichtungen von Pax8 in Bezug auf Anfragen der betroffenen Person, wie sie in Abschnitt 6 (Rechte der betroffenen Person) dieser DVV beschrieben sind, erstrecken sich auch auf Anfragen zu Rechten nach dem CCPA.
5. Unbeschadet der an anderer Stelle in dieser DVV enthaltenen Nutzungsbeschränkungen verarbeitet Pax8 personenbezogene Daten zur Erbringung des Dienstes, für die zulässigen Zwecke und/oder gemäß den dokumentierten rechtmäßigen Anweisungen des Datenverantwortlichen oder wie anderweitig nach geltendem Recht zulässig oder erforderlich.
6. Ungeachtet der an anderer Stelle in dieser Anlage 3 enthaltenen Nutzungsbeschränkungen kann Pax8 im Rahmen der Erbringung der in dieser DVV und der Vereinbarung genannten Dienstleistung personenbezogene Daten de-identifizieren oder aggregieren.
7. Wenn Unterauftragsverarbeiter die personenbezogenen Daten von Kontakten der Datenverantwortlichen verarbeiten, ergreift Pax8 Maßnahmen, um sicherzustellen, dass diese Unterauftragsverarbeiter Dienstleister im Sinne des CCPA sind, mit denen Pax8 einen schriftlichen Vertrag abgeschlossen hat, der Bedingungen enthält, die im Wesentlichen diesem Abschnitt „Kalifornien“ entsprechen, oder die anderweitig von der Definition des CCPA von „Verkauf“ ausgenommen sind. Pax8 führt eine angemessene Due-Diligence-Prüfung seiner Unterauftragsverarbeiter durch.
Kanada:
1. Pax8 ergreift Maßnahmen, um sicherzustellen, dass die Unterverarbeiter von Pax8, wie in Abschnitt 4 (Unterverarbeiter) der DVV beschrieben, Dritte im Sinne von PIPEDA sind, mit denen Pax8 einen schriftlichen Vertrag abgeschlossen hat, der im Wesentlichen ähnliche Bedingungen wie diese DVV enthält. Pax8 führt eine angemessene Due-Diligence-Prüfung seiner Unterauftragsverarbeiter durch.
2. Pax8 wird technische und organisatorische Maßnahmen umsetzen, die Sie auf https://www.pax8.com/en-us/terms/ finden.
Anhang 3: Controller-to-Processor Klauseln (2021) (“SCCs”)
ANHANG
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a. Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (1) bei der Übermittlung personenbezogener Daten an ein Drittland eingehalten werden.
b. Die Parteien:
i. die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und
ii. die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“),
haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.
c. Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.
d. Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.
Klausel 2
Wirkung und Unabänderbarkeit der Klauseln
a. Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 sowie — in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter — Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Module oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
b. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
a. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
i. Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7
ii. Klausel 8 — Modul eins: Klausel 8.5 Buchstabe e und Klausel 8.9 Buchstabe b Modul zwei: Klausel 8.1 Buchstabe b, Klausel 8.9 Buchstaben a, c, d und e Modul drei: Klausel 8.1 Buchstaben a, c und d und Klausel 8.9 Buchstaben a, c, d, e, f und g Modul vier: Klausel 8.1 Buchstabe b und Klausel 8.3 Buchstabe b
iii. Klausel 9 — Modul zwei: Klausel 9 Buchstaben a, c, d und e Modul drei: Klausel 9 Buchstaben a, c, d und e
iv. Klausel 12 — Modul eins: Klausel 12 Buchstaben a und d Module zwei und drei: Klausel 12 Buchstaben a, d und f
v. Klausel 13
vi. Klausel 15.1 Buchstaben c, d und e
vii. Klausel 16 Buchstabe e
viii. Klausel 18 — Module eins, zwei und drei Klausel 18 Buchstaben a und b Modul vier: Klausel 18
c. Die Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679 bleiben von Buchstabe a unberührt.
Klausel 4
Auslegung
a. Werden in diesen Klauseln in der Verordnung (EU) 2016/679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
b. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
c. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten im Widerspruch steht.
Klausel 5
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.
Klausel 6
Beschreibung der Datenübermittlung(en)
Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der/die Zweck(e), zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7
Kopplungsklausel
a. Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.
b. Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.
c. Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.
Klausel 8
Datenschutzgarantien
Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur — durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen — in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.
8.1. Weisungen
a. Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.
d. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.
8.2. Zweckbindung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.
8.3. Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.
8.4. Richtigkeit
Stellt der Datenimporteur fest, dass die erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.
8.5. Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Erbringung der Datenverarbeitungsdienste alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.
8.6. Sicherheit der Verarbeitung
a. Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Schutzniveau bieten.
b. Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
c. Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
d. Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen.
8.7. Sensible Daten
Soweit die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/oder zusätzlichen Garantien an.
8.8. Weiterübermittlungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union (4) ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls
i. die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt,
ii. der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/679 im Hinblick auf die betreffende Verarbeitung gewährleistet,
iii. die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder regulatorischen Verfahren erforderlich ist oder
iv. die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.
8.9. Dokumentation und Einhaltung der Klauseln
a. Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in angemessener Weise.
b. Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.
c. Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.
d. Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
e. Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
Klausel 9
Einsatz von Unterauftragsverarbeitern
a. Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur gemäß Abschnitt 4.1 des Datenverarbeitungszusatzes („DPA“), dem diese Klauseln beigefügt sind, alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der Beauftragung des/der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.
b. Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für betroffene Personen. (8) Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
c. Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
d. Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.
e. Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur — sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein — das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Klausel 10
Rechte betroffener Personen
a. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
b. Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang II unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
c. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.
Klausel 11
Rechtsbehelf
a. Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer betroffenen Person erhält.
b. Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.
c. Macht die betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der betroffenen Person an,
i. eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen,
ii. den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.
d. Die Parteien erkennen an, dass die betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 vertreten werden kann.
e. Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.
f. Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.
Klausel 12
Haftung
a. Jede Partei haftet gegenüber der/den anderen Partei(en) für Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.
b. Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt.
c. Ungeachtet von Buchstabe b haftet der Datenimporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder gegebenenfalls der Verordnung (EU) 2018/1725.
d. Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
e. Ist mehr als eine Partei für Schäden verantwortlich, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.
f. Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.
g. Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung entziehen.
Klausel 13
Aufsicht
a. Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/679 einhält, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat:] Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter nach Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber nach Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich dieser Verordnung fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in denen die betroffenen Personen niedergelassen sind, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen übermittelt werden oder deren Verhalten beobachtet wird, fungiert als zuständige Aufsichtsbehörde (entsprechend der Angabe in Anhang I.C).
b. Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.
ABSCHNITT III — LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN
Klausel 14
Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken
a. Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.
b. Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:
i. die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
ii. die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien, (12)
iii. alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.
c. Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.
d. Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e. Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht. [In Bezug auf Modul drei: Der Datenexporteur leitet die Benachrichtigung an den Verantwortlichen weiter.]
f. Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen, [in Bezug auf Modul drei: gegebenenfalls in Absprache mit dem Verantwortlichen]. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er [in Bezug Modul drei: vom Verantwortlichen oder] von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der
Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16 Buchstaben d und e Anwendung.
Klausel 15
Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten
15.1. Benachrichtigung
a. Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen,
i. wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden (diese Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten), oder
ii. wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.
b. Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.
c. Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
d. Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
e. Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2. Überprüfung der Rechtmäßigkeit und Datenminimierung
a. Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden völkerrechtlichen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14 Buchstabe e.
b. Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung.
c. Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.
ABSCHNITT IV — SCHLUSSBESTIMMUNGEN
Klausel 16
Verstöße gegen die Klauseln und Beendigung des Vertrags
a. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b. Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14 Buchstabe f.
c. Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
i. der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde,
ii. der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder
iii. der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.
In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.
d. Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.
e. Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn i) die Europäische Kommission einen Beschluss nach Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der sich auf die Übermittlung personenbezogener Daten bezieht, für die diese Klauseln gelten, oder ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, an das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von die Niederlande (Mitgliedstaat angeben) ist.
Klausel 18
Gerichtsstand und Zuständigkeit
a. Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.
b. Die Parteien vereinbaren, dass dies die Gerichte von die Niederlande (Mitgliedstaat angeben) sind.
c. Eine betroffene Person kann Klage gegen den Datenexporteur und/oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.
d. Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.
Anhang I zu den Standardvertragsklauseln
Liste der Parteien
| Datenverantwortliche(r) (Datenexporteur) | Details/Beschreibungen |
| Name: | Der in der Vereinbarung genannte Kunde |
| Adresse: | In der Vereinbarung genannte Adresse |
| Name, Position und Kontaktdaten der Kontaktperson: | Kontaktinformationen, wie in der Vereinbarung angegeben |
| Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: | Relevante Aktivitäten sind in Anhang 1 der DVV aufgeführt |
| Unterschrift und Datum: | Wie in der Vereinbarung angegeben |
| Rolle (Datenverantwortlicher/Verarbeiter): | Datenverantwortlicher |
| Verarbeiter (Datenimporteur) | Details/Beschreibungen |
| Name: | Pax8 |
| Adresse: | Adresse, wie in der Vereinbarung angegeben |
| Name, Position und Kontaktdaten der Kontaktperson: | Kontaktinformationen, wie in der Vereinbarung angegeben |
| Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind: | Relevante Aktivitäten sind in Anhang 1 der DVV aufgeführt |
| Unterschrift und Datum: | Wie in der Vereinbarung angegeben |
| Rolle (Datenverantwortlicher/Verarbeiter): | Verarbeiter |
Beschreibung der Übertragung
Die folgenden Details sind in Anhang 1 (Details der Datenverarbeitung) der DVV aufgeführt
(a) Kategorien von betroffenen Personen
(b) Kategorien von personenbezogenen Daten
(c) Übertragene sensible Daten (sofern zutreffend)
(d) Häufigkeit der Übertragung
(e) Gegenstand und Art der Verarbeitung
(f) Zweck der Verarbeitung:
(g) Dauer der Verarbeitung und Dauer der Speicherung personenbezogener Daten:
Anhang II zu den Standardvertragsklauseln
Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten, werden hier dargelegt: https://www.pax8.com/en-us/terms/.
Anhang III zu den Standardvertragsklauseln
Einzelheiten zu den Unterauftragsverarbeitern von Pax8, dem Gegenstand und der Art ihrer Verarbeitung sind in Anhang 2 der DVV aufgeführt.
ENDE