Datenschutzzusatz

Die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung des Rechts der Europäischen Union (EU) zum Datenschutz und zur Privatsphäre aller Personen innerhalb der EU. Sie trat am 25. Mai 2018 in Kraft und gilt für alle Organisationen, die personenbezogene Daten aus der EU erheben, speichern und/oder verarbeiten.

Bei Konveio LLC legen wir Wert auf Datenschutz und Transparenz und möchten unseren Kunden mitteilen, dass Konveio alle erforderlichen Maßnahmen ergriffen hat, um diese Vorschriften einzuhalten. Zu diesem Zweck haben wir diesen Nachtrag zur Datenverarbeitung („DPA“) erstellt, in dem unsere Datenverarbeitungsverfahren beschrieben werden.

Benötigen Sie ein signiertes Exemplar? Kontaktieren Sie uns.

Datenschutzzusatz

Dieser Datenschutzzusatz („Zusatz“) ist Bestandteil der Allgemeinen Geschäftsbedingungen („Hauptvertrag“,„Vertrag“) zwischen: (i) Konveio LLC („Anbieter“), der in eigenem Namen und als Vertreter für jedes verbundene Unternehmen des Anbieters handelt, und (ii) Ihnen, dem Kunden („Unternehmen“), der in eigenem Namen und als Vertreter für jedes verbundene Unternehmen des Unternehmens handelt.

Die in diesem Nachtrag verwendeten Begriffe haben die in diesem Nachtrag festgelegte Bedeutung. Großgeschriebene Begriffe, die hier nicht anderweitig definiert sind, haben die ihnen im Hauptvertrag zugewiesene Bedeutung. Sofern nachstehend nicht anders angegeben, bleiben die Bestimmungen des Hauptvertrags in vollem Umfang in Kraft und wirksam.

Unter Berücksichtigung der hierin festgelegten gegenseitigen Verpflichtungen vereinbaren die Parteien hiermit, dass die nachstehend aufgeführten Bedingungen als Anhang zum Hauptvertrag hinzugefügt werden. Sofern der Kontext nichts anderes erfordert, beziehen sich Verweise in diesem Anhang auf den Hauptvertrag auf den Hauptvertrag in der durch diesen Anhang geänderten Fassung, einschließlich dieses Anhangs.

1. Definitionen

1.1 In diesem Nachtrag haben die folgenden Begriffe die nachstehend angegebene Bedeutung, und verwandte Begriffe sind entsprechend auszulegen:

1.1.1„Anwendbare Gesetze“ bezeichnet (a) Gesetze der Vereinigten Staaten oder der Europäischen Union oder ihrer Mitgliedstaaten in Bezug auf personenbezogene Daten des Unternehmens, für die ein Mitglied der Unternehmensgruppe den EU-Datenschutzgesetzen unterliegt, und (b) alle anderen anwendbaren Gesetze in Bezug auf personenbezogene Daten des Unternehmens, für die ein Mitglied der Unternehmensgruppe anderen Datenschutzgesetzen unterliegt.

1.1.2„Unternehmensverbundene Unternehmen“ bezeichnet Unternehmen, diedas Unternehmen besitzen oder kontrollieren, sich im Besitz oder unter der Kontrolle des Unternehmens befinden oder mit dem Unternehmen unter gemeinsamer Kontrolle oder im gemeinsamen Besitz stehen, wobei Kontrolle definiert ist als der direkte oder indirekte Besitz der Befugnis, die Geschäftsführung und die Politik eines Unternehmens zu leiten oder zu beeinflussen, sei es durch den Besitz von Stimmrechtsanteilen, durch Vertrag oder auf andere Weise.

1.1.3„Mitglied der Unternehmensgruppe“ bezeichnetdas Unternehmen oder ein verbundenes Unternehmen des Unternehmens.

1.1.4„Personenbezogene Daten des Unternehmens“ bezeichnet alle personenbezogenen Daten, die von einem beauftragten Auftragsverarbeiter im Auftrag eines Mitglieds der Unternehmensgruppe gemäß oder in Verbindung mit der Hauptvereinbarung verarbeitet werden.

1.1.5„Vertraglicher Auftragsverarbeiter“ bezeichnet den Anbieter oder einen Unterauftragsverarbeiter.

1.1.6„Datenschutzgesetze” bezeichnet die Datenschutzgesetze der EU, die Datenschutzgesetze der Vereinigten Staaten und, soweit anwendbar, die Datenschutz- oder Privatsphäregesetze anderer Länder.

1.1.7„EWR“ bezeichnet den Europäischen Wirtschaftsraum.

1.1.8„EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie sie in die innerstaatlichen Rechtsvorschriften jedes Mitgliedstaats umgesetzt wurde und in ihrer jeweils gültigen Fassung, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;

1.1.9„DSGVO“ bezeichnet die EU-Datenschutz-Grundverordnung 2016/679;

1.1.10 „Eingeschränkte Übertragung” bedeutet:

1.1.10.1 eine Übermittlung von personenbezogenen Daten des Unternehmens von einem Mitglied der Unternehmensgruppe an einen beauftragten Auftragsverarbeiter; oder

1.1.10.2 eine Weitergabe von personenbezogenen Daten des Unternehmens von einem beauftragten Auftragsverarbeiter an einen anderen beauftragten Auftragsverarbeiter oder zwischen zwei Niederlassungen eines beauftragten Auftragsverarbeiters,

in jedem Fall, in dem eine solche Übermittlung durch Datenschutzgesetze (oder durch die Bestimmungen von Datenübermittlungsvereinbarungen, die zur Berücksichtigung der Datenübermittlungsbeschränkungen der Datenschutzgesetze getroffen wurden) ohne die gemäß Abschnitt 6.4.3 oder 12 unten festzulegenden Standardvertragsklauseln verboten wäre;

1.1.11„Dienstleistungen” bezeichnet die Dienstleistungen und sonstigen Tätigkeiten, die gemäß dem Hauptvertrag für Mitglieder der Unternehmensgruppe vom Verkäufer oder in dessen Auftrag erbracht oder durchgeführt werden sollen.

1.1.12„Standardvertragsklauseln“ bezeichnet die in Anhang 2 aufgeführten Vertragsklauseln, geändert wie in diesem Anhang und in Abschnitt 13.4 angegeben (in eckigen Klammern und kursiv).

1.1.13„Unterauftragsverarbeiter“ bezeichnet jede Person (einschließlich Dritter und verbundener Unternehmen des Anbieters, jedoch mit Ausnahme von Mitarbeitern des Anbieters oder seiner Subunternehmer), die vom Anbieter oder einem verbundenen Unternehmen des Anbieters oder in deren Namen damit beauftragt wurde, personenbezogene Daten im Auftrag eines Mitglieds der Unternehmensgruppe im Zusammenhang mit dem Hauptvertrag zu verarbeiten.

1.1.14„Vertriebspartner” bezeichnet ein Unternehmen, das Eigentümer oder Kontrollinhaberdes Anbieters ist oder sich im Eigentum oder unter der Kontrolle des Anbieters befindet oder mit dem Anbieter unter gemeinsamer Kontrolle oder im gemeinsamen Eigentum steht, wobei „Kontrolle” definiert ist als der direkte oder indirekte Besitz der Befugnis, die Geschäftsführung und die Richtlinien eines Unternehmens zu lenken oder deren Lenkung zu veranlassen, sei es durch den Besitz von Stimmrechtsanteilen, durch Vertrag oder auf andere Weise.

1.2 Die Begriffe„Kommission“,„Verantwortlicher“,„betroffene Person“,„Mitgliedstaat“,„personenbezogene Daten“,„Verletzung des Schutzes personenbezogener Daten“,„Verarbeitung“ und„Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der DSGVO, und ihre verwandten Begriffe sind entsprechend auszulegen.

1.3 Das Wort„umfassen“ ist so auszulegen, dass es ohne Einschränkung zu verstehen ist, und verwandte Begriffe sind entsprechend auszulegen.

2. Behörde

Der Anbieter garantiert und versichert, dass, bevor ein verbundenes Unternehmen des Anbieters personenbezogene Daten des Unternehmens im Auftrag eines Mitglieds der Unternehmensgruppe verarbeitet, der Beitritt des Anbieters zu diesem Nachtrag als Beauftragter für und im Namen dieses verbundenen Unternehmens des Anbieters von diesem verbundenen Unternehmen des Anbieters ordnungsgemäß und wirksam genehmigt (oder nachträglich bestätigt) worden ist.

3. Verarbeitung personenbezogener Daten des Unternehmens

3.1 Der Anbieter und jedes mit dem Anbieter verbundene Unternehmen sind verpflichtet:

3.1.1 bei der Verarbeitung personenbezogener Daten des Unternehmens alle geltenden Datenschutzgesetze einzuhalten; und

3.1.2 keine personenbezogenen Daten des Unternehmens zu verarbeiten, es sei denn, dies geschieht gemäß den dokumentierten Anweisungen des betreffenden Mitglieds der Unternehmensgruppe, es sei denn, die Verarbeitung ist aufgrund geltender Gesetze, denen der betreffende Auftragsverarbeiter unterliegt, erforderlich. In diesem Fall muss der Anbieter oder das betreffende verbundene Unternehmen des Anbieters, soweit dies nach geltendem Recht zulässig ist, das betreffende Mitglied der Unternehmensgruppe vor der betreffenden Verarbeitung dieser personenbezogenen Daten über diese gesetzliche Anforderung informieren.

3.2 Jedes Mitglied der Unternehmensgruppe:

3.2.1 weist den Anbieter und jedes verbundene Unternehmen des Anbieters an (und ermächtigt den Anbieter und jedes verbundene Unternehmen des Anbieters, jeden Unterauftragsverarbeiter anzuweisen),

3.2.1.1 Verarbeitung personenbezogener Daten des Unternehmens; und

3.2.1.2 insbesondere personenbezogene Daten des Unternehmens in ein beliebiges Land oder Gebiet zu übertragen,

soweit dies für die Erbringung der Dienstleistungen angemessen erforderlich und mit der Hauptvereinbarung vereinbar ist; und

3.2.2 garantiert und versichert, dass es zu jedem relevanten Zeitpunkt ordnungsgemäß und wirksam befugt ist und bleibt, die in Abschnitt 3.2.1 genannten Anweisungen im Namen jedes relevanten verbundenen Unternehmens zu erteilen.

3.3 Anhang 1 zu diesem Nachtrag enthält bestimmte Informationen zur Verarbeitung der personenbezogenen Daten des Unternehmens durch die Auftragsverarbeiter gemäß Artikel 28 Absatz 3 der DSGVO (und gegebenenfalls entsprechenden Anforderungen anderer Datenschutzgesetze). Das Unternehmen kann von Zeit zu Zeit durch schriftliche Mitteilung an den Anbieter angemessene Änderungen an Anhang 1 vornehmen, wenn das Unternehmen dies zur Erfüllung dieser Anforderungen für notwendig erachtet. Keine Bestimmung in Anhang 1 (einschließlich der gemäß diesem Abschnitt 3.3 vorgenommenen Änderungen) gewährt einer Partei dieses Nachtrags Rechte oder erlegt ihr Pflichten auf.

4. Mitarbeiter des Anbieters und mit dem Anbieter verbundene Unternehmen

Der Anbieter und jedes mit dem Anbieter verbundene Unternehmen ergreifen angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Vertreter oder Auftragnehmer eines beauftragten Verarbeiters, die Zugang zu den personenbezogenen Daten des Unternehmens haben könnten, und stellen in jedem Fall sicher, dass der Zugang streng auf diejenigen Personen beschränkt ist, die die relevanten personenbezogenen Daten des Unternehmens kennen müssen/auf diese zugreifen müssen, soweit dies für die Zwecke der Hauptvereinbarung unbedingt erforderlich ist, und dass die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Person gegenüber dem beauftragten Verarbeiter eingehalten werden, wobei sicherzustellen ist, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Geheimhaltungspflichten unterliegen.

5. Sicherheit

5.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen müssen der Anbieter und jedes mit dem Anbieter verbundene Unternehmen in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen ergreifen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich gegebenenfalls der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.

5.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen der Anbieter und jedes mit dem Anbieter verbundene Unternehmen insbesondere die Risiken, die mit der Verarbeitung verbunden sind, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.

6. Unterverarbeitung

6.1 Jedes Mitglied der Unternehmensgruppe ermächtigt den Anbieter und jedes verbundene Unternehmen des Anbieters, Unterauftragsverarbeiter gemäß diesem Abschnitt 6 und den Beschränkungen im Hauptvertrag zu benennen (und jedem gemäß diesem Abschnitt 6 benannten Unterauftragsverarbeiter zu gestatten, Unterauftragsverarbeiter zu benennen).

6.2 Der Anbieter und jedes mit dem Anbieter verbundene Unternehmen können die zum Zeitpunkt dieses Nachtrags bereits vom Anbieter oder einem mit dem Anbieter verbundenen Unternehmen beauftragten Unterauftragsverarbeiter weiterhin nutzen, sofern der Anbieter und jedes mit dem Anbieter verbundene Unternehmen in jedem Fall so bald wie möglich die in Abschnitt 6.4 genannten Verpflichtungen erfüllen.

6.3 Der Anbieter bemüht sich, das Unternehmen vorab schriftlich über die Beauftragung eines neuen Unterauftragsverarbeiters zu informieren, einschließlich aller Einzelheiten zu den vom Unterauftragsverarbeiter durchzuführenden Verarbeitungsvorgängen. Wenn das Unternehmen innerhalb von 14 Tagen nach Erhalt dieser Mitteilung dem Anbieter schriftlich (aus triftigen Gründen) Einwände gegen die vorgeschlagene Beauftragung mitteilt:

6.3.1 Der Anbieter arbeitet mit dem Unternehmen in gutem Glauben zusammen, um eine wirtschaftlich angemessene Änderung der Bereitstellung der Dienste zu ermöglichen, durch die die Inanspruchnahme des vorgeschlagenen Unterauftragsverarbeiters vermieden wird.

6.3.2 Kann eine solche Änderung nicht innerhalb von 31 Tagen nach Erhalt der Mitteilung des Unternehmens durch den Anbieter vorgenommen werden, kann das Unternehmen ungeachtet der Bestimmungen im Hauptvertrag durch schriftliche Mitteilung an den Anbieter den Hauptvertrag mit sofortiger Wirkung in dem Umfang kündigen, in dem er sich auf die Dienstleistungen bezieht, die den Einsatz des vorgeschlagenen Unterauftragsverarbeiters erfordern.

6.4 In Bezug auf jeden Unterauftragsverarbeiter hat der Anbieter oder das betreffende verbundene Unternehmen des Anbieters:

6.4.1 bevor der Unterauftragsverarbeiter erstmals personenbezogene Daten des Unternehmens verarbeitet (oder, falls zutreffend, gemäß Abschnitt 6.2), eine angemessene Sorgfaltsprüfung durchzuführen, um sicherzustellen, dass der Unterauftragsverarbeiter in der Lage ist, das in der Hauptvereinbarung geforderte Schutzniveau für personenbezogene Daten des Unternehmens zu gewährleisten;

6.4.2 sicherstellen, dass die Vereinbarung zwischen einerseits (a) dem Anbieter oder (b) dem entsprechenden verbundenen Unternehmen des Anbieters oder (c) dem entsprechenden zwischengeschalteten Unterauftragsverarbeiter und andererseits dem Unterauftragsverarbeiter durch einen schriftlichen Vertrag geregelt wird, der Bestimmungen enthält, die mindestens das gleiche Schutzniveau für personenbezogene Daten des Unternehmens bieten wie die in diesem Anhang festgelegten Bestimmungen und die Anforderungen von Artikel 28 Absatz 3 der DSGVO erfüllen;

6.4.3 dem Unternehmen auf dessen Aufforderung hin Kopien der Vereinbarungen der vertraglich gebundenen Auftragsverarbeiter mit Unterauftragsverarbeitern zur Überprüfung vorzulegen (die zur Entfernung vertraulicher geschäftlicher Informationen, die für die Anforderungen dieses Nachtrags nicht relevant sind, redigiert werden können).

6.5 Der Anbieter und jedes mit dem Anbieter verbundene Unternehmen stellen sicher, dass jeder Unterauftragsverarbeiter die Verpflichtungen gemäß den Abschnitten 3.1, 4, 5, 7.1, 8.2, 9 und 11.1 erfüllt, soweit diese für die Verarbeitung personenbezogener Daten des Unternehmens durch diesen Unterauftragsverarbeiter gelten, so als wäre er anstelle des Anbieters Vertragspartei dieses Nachtrags.

7. Rechte der betroffenen Person

7.1 Unter Berücksichtigung der Art der Verarbeitung unterstützen der Anbieter und jedes mit dem Anbieter verbundene Unternehmen jedes Mitglied der Unternehmensgruppe durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtungen der Mitglieder der Unternehmensgruppe, wie sie vom Unternehmen vernünftigerweise verstanden werden, um auf Anfragen zur Ausübung der Rechte der betroffenen Personen gemäß den Datenschutzgesetzen zu reagieren.

7.2 Der Verkäufer hat:

7.2.1 das Unternehmen unverzüglich zu benachrichtigen, wenn ein beauftragter Auftragsverarbeiter eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält; und

7.2.2 sicherstellen, dass der beauftragte Auftragsverarbeiter auf diese Anfrage nur gemäß den dokumentierten Anweisungen des Unternehmens oder des betreffenden verbundenen Unternehmens oder gemäß den geltenden Gesetzen, denen der beauftragte Auftragsverarbeiter unterliegt, reagiert. In diesem Fall muss der Anbieter das Unternehmen im Rahmen der geltenden Gesetze über diese gesetzliche Anforderung informieren, bevor der beauftragte Auftragsverarbeiter auf die Anfrage reagiert.

8. Verletzung des Schutzes personenbezogener Daten

8.1 Der Anbieter muss das Unternehmen unverzüglich benachrichtigen, sobald der Anbieter oder ein Unterauftragsverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhält, die die personenbezogenen Daten des Unternehmens betrifft, und dem Unternehmen ausreichende Informationen zur Verfügung stellen, damit jedes Mitglied der Unternehmensgruppe seinen Verpflichtungen zur Meldung oder Unterrichtung der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.

8.2 Der Anbieter arbeitet mit dem Unternehmen und jedem Mitglied der Unternehmensgruppe zusammen und ergreift alle angemessenen wirtschaftlichen Maßnahmen, die vom Unternehmen angeordnet werden, um bei der Untersuchung, Eindämmung und Behebung jeder einzelnen Verletzung des Schutzes personenbezogener Daten zu helfen.

9. Datenschutz-Folgenabschätzung und vorherige Konsultation

Der Anbieter und jedes mit dem Anbieter verbundene Unternehmen leisten jedem Mitglied der Unternehmensgruppe angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder entsprechenden Bestimmungen anderer Datenschutzgesetze für jedes Mitglied der Unternehmensgruppe für erforderlich hält, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch die beauftragten Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den beauftragten Auftragsverarbeitern zur Verfügung stehenden Informationen. die vertraglich beauftragten Auftragsverarbeiter.

10. Löschung personenbezogener Daten des Unternehmens

10.1 Vorbehaltlich der Abschnitte 10.2 und 10.3 müssen der Anbieter und jedes mit dem Anbieter verbundene Unternehmen unverzüglich und in jedem Fall innerhalb von 14 Tagen nach Beendigung aller Dienste, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das„Beendigungsdatum“), alle Kopien dieser personenbezogenen Daten des Unternehmens löschen und deren Löschung veranlassen.

10.2 Vorbehaltlich Abschnitt 10.3 kann das Unternehmen nach eigenem Ermessen durch schriftliche Mitteilung an den Anbieter innerhalb von 30 Tagen nach dem Beendigungsdatum vom Anbieter und jedem verbundenen Unternehmen des Anbieters verlangen, dass sie (a) eine vollständige Kopie aller personenbezogenen Daten des Unternehmens in einem vom Unternehmen dem Anbieter in angemessener Weise mitgeteilten Format durch sichere Dateiübertragung an das Unternehmen zurücksenden und (b) alle anderen Kopien der vom Unternehmen verarbeiteten personenbezogenen Daten löschen und deren Löschung veranlassen. Der Verkäufer und jedes mit dem Verkäufer verbundene Unternehmen müssen einer solchen schriftlichen Aufforderung innerhalb von 30 Tagen nach dem Beendigungsdatum nachkommen.

10.3 Jeder beauftragte Auftragsverarbeiter darf personenbezogene Daten des Unternehmens in dem Umfang aufbewahren, wie dies nach den geltenden Gesetzen erforderlich ist, und zwar nur in dem Umfang und für den Zeitraum, wie dies nach den geltenden Gesetzen erforderlich ist, und immer unter der Voraussetzung, dass der Anbieter und jedes verbundene Unternehmen des Anbieters die Vertraulichkeit aller dieser personenbezogenen Daten des Unternehmens gewährleisten und sicherstellen, dass diese personenbezogenen Daten des Unternehmens nur für die Zwecke verarbeitet werden, die in den geltenden Gesetzen, die ihre Speicherung vorschreiben, festgelegt sind, und für keine anderen Zwecke.

10.4 Der Anbieter muss dem Unternehmen innerhalb von 30 Tagen nach dem Beendigungsdatum eine schriftliche Bescheinigung vorlegen, dass er und alle mit ihm verbundenen Unternehmen die Bestimmungen dieses Abschnitts 10 vollständig eingehalten haben.

11. Prüfungsrechte

11.1 Vorbehaltlich Abschnitt 11.2 stellen der Anbieter und jedes verbundene Unternehmen des Anbieters jedem Mitglied der Unternehmensgruppe auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieses Nachtrags erforderlich sind, und gestatten und unterstützen Audits, einschließlich Inspektionen, durch ein Mitglied der Unternehmensgruppe oder einen von einem Mitglied der Unternehmensgruppe beauftragten Prüfer in Bezug auf die Verarbeitung der personenbezogenen Daten des Unternehmens durch die beauftragten Auftragsverarbeiter.

11.2 Informations- und Prüfungsrechte der Mitglieder der Unternehmensgruppe bestehen gemäß Abschnitt 11.1 nur insoweit, als ihnen der Hauptvertrag keine anderen Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen des Datenschutzrechts (einschließlich, soweit anwendbar, Artikel 28 Absatz 3 Buchstabe h der DSGVO) entsprechen.

12. Eingeschränkte Übertragungen

12.1 Vorbehaltlich Abschnitt 12.3 schließen jedes Mitglied der Unternehmensgruppe (als „Datenexporteur”) und jeder beauftragte Auftragsverarbeiter (als „Datenimporteur”) hiermit die Standardvertragsklauseln in Bezug auf jede eingeschränkte Übermittlung von diesem Mitglied der Unternehmensgruppe an diesen beauftragten Auftragsverarbeiter ab.

12.2 Die Standardvertragsklauseln treten gemäß Abschnitt 12.1 zum späteren der folgenden Zeitpunkte in Kraft:

12.2.1 der Datenexporteur wird Vertragspartei;

12.2.2 der Datenimporteur wird Vertragspartei; und

12.2.3 Beginn der betreffenden eingeschränkten Übertragung.

12.3 Abschnitt 12.1 gilt nicht für eine eingeschränkte Übermittlung, es sei denn, seine Wirkung führt zusammen mit anderen vernünftigerweise praktikablen Compliance-Maßnahmen (zu denen, um Zweifel auszuschließen, nicht die Einholung der Zustimmung der betroffenen Personen gehört) dazu, dass die betreffende eingeschränkte Übermittlung ohne Verstoß gegen geltendes Datenschutzrecht erfolgen kann.

13. Allgemeine Geschäftsbedingungen

GELTENDES RECHT UND GERICHTSSTAND

13.1 Unbeschadet der Bestimmungen in Ziffer 7 (Schlichtung und Gerichtsbarkeit) und Ziffer 9 (Anwendbares Recht) der Standardvertragsklauseln:

13.1.1 Die Parteien dieses Nachtrags unterwerfen sich hiermit der im Hauptvertrag festgelegten Gerichtsbarkeit in Bezug auf alle Streitigkeiten oder Ansprüche, die sich aus diesem Nachtrag ergeben, einschließlich Streitigkeiten über dessen Bestehen, Gültigkeit oder Beendigung oder die Folgen seiner Nichtigkeit.

13.1.2 Dieser Nachtrag und alle nicht vertraglichen oder sonstigen Verpflichtungen, die sich daraus oder in Verbindung damit ergeben, unterliegen den Gesetzen des Landes oder Gebiets, das zu diesem Zweck in der Hauptvereinbarung festgelegt ist.

RANGFOLGE

13.2 Keine Bestimmung dieses Nachtrags mindert die Verpflichtungen des Anbieters oder eines verbundenen Unternehmens des Anbieters gemäß dem Hauptvertrag in Bezug auf den Schutz personenbezogener Daten oder gestattet dem Anbieter oder einem verbundenen Unternehmen des Anbieters, personenbezogene Daten in einer Weise zu verarbeiten (oder deren Verarbeitung zu gestatten), die gemäß dem Hauptvertrag verboten ist. Im Falle von Widersprüchen oder Unstimmigkeiten zwischen diesem Nachtrag und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang.

13.3 Vorbehaltlich Abschnitt 13.2 gelten in Bezug auf den Gegenstand dieses Nachtrags im Falle von Unstimmigkeiten zwischen den Bestimmungen dieses Nachtrags und anderen Vereinbarungen zwischen den Parteien, einschließlich der Hauptvereinbarung und einschließlich (sofern nicht ausdrücklich schriftlich anders vereinbart und im Namen der Parteien unterzeichnet) Vereinbarungen, die nach dem Datum dieses Nachtrags geschlossen wurden oder geschlossen werden sollen, die Bestimmungen dieses Nachtrags.

ÄNDERUNGEN DER DATENSCHUTZGESETZE USW.

13.4 Das Unternehmen kann:

13.4.1 durch eine schriftliche Mitteilung an den Verkäufer mit einer Frist von mindestens 30 (dreißig) Kalendertagen von Zeit zu Zeit Änderungen an den Standardvertragsklauseln (einschließlich aller gemäß Abschnitt 12.1 vereinbarten Standardvertragsklauseln) vornehmen, soweit diese für eingeschränkte Übertragungen gelten, die einem bestimmten Datenschutzgesetz unterliegen und aufgrund einer Änderung dieses Datenschutzgesetzes oder einer Entscheidung einer zuständigen Behörde gemäß diesem Datenschutzgesetz erforderlich sind, um diese eingeschränkten Übertragungen ohne Verstoß gegen dieses Datenschutzgesetz durchzuführen (oder fortzusetzen); und

13.4.2 andere Änderungen an diesem Nachtrag vorzuschlagen, die das Unternehmen nach vernünftigem Ermessen für notwendig erachtet, um den Anforderungen eines Datenschutzgesetzes gerecht zu werden.

13.5 Wenn das Unternehmen eine Mitteilung gemäß Abschnitt 13.4.1 macht:

13.5.1 Der Anbieter und jedes verbundene Unternehmen des Anbieters werden unverzüglich zusammenarbeiten (und sicherstellen, dass alle betroffenen Unterauftragsverarbeiter unverzüglich zusammenarbeiten), um sicherzustellen, dass gleichwertige Änderungen an allen gemäß Abschnitt 6.4.3 geschlossenen Vereinbarungen vorgenommen werden.

13.5.2 Das Unternehmen darf die Zustimmung zu vom Anbieter vorgeschlagenen Folgeänderungen dieses Nachtrags zum Schutz der vertraglich vereinbarten Verarbeiter vor zusätzlichen Risiken im Zusammenhang mit den gemäß Abschnitt 13.4.1 oder 13.5.1 vorgenommenen Änderungen nicht unangemessen verweigern oder verzögern.

13.6 Wenn das Unternehmen eine Mitteilung gemäß Abschnitt 13.4.2 macht, sollen die Parteien die vorgeschlagenen Änderungen umgehend besprechen und in gutem Glauben verhandeln, um diese oder alternative Änderungen, die den in der Mitteilung des Unternehmens genannten Anforderungen entsprechen, so schnell wie möglich zu vereinbaren und umzusetzen.

13.7 Weder das Unternehmen noch der Anbieter benötigen die Zustimmung oder Genehmigung eines verbundenen Unternehmens des Unternehmens oder eines verbundenen Unternehmens des Anbieters, um diesen Nachtrag gemäß diesem Abschnitt 13.5 oder anderweitig zu ändern.

ABFINDUNG

13.8 Sollte eine Bestimmung dieses Nachtrags ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses Nachtrags gültig und in Kraft. Die ungültige oder nicht durchsetzbare Bestimmung wird entweder (i) so geändert, dass ihre Gültigkeit und Durchsetzbarkeit gewährleistet ist, wobei die Absichten der Parteien so weit wie möglich gewahrt bleiben, oder, falls dies nicht möglich ist, (ii) so ausgelegt, als ob der ungültige oder nicht durchsetzbare Teil nie darin enthalten gewesen wäre.

Anhang 1: Standardvertragsklauseln

STANDARDVERTRAGSKLAUSELN (VERARBEITER)

Für die Zwecke des Artikels 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

HINTERGRUND

Der Datenexporteur hat mit dem Datenimporteur einen Zusatz zur Datenverarbeitung („DPA“) vereinbart. Gemäß den Bestimmungen des DPA ist vorgesehen, dass die vom Datenimporteur erbrachten Dienstleistungen die Übermittlung personenbezogener Daten an den Datenimporteur umfassen. Der Datenimporteur hat seinen Sitz in einem Land, das kein angemessenes Datenschutzniveau gewährleistet. Um die Einhaltung der Richtlinie 95/46/EG und der geltenden Datenschutzgesetze sicherzustellen, stimmt der Verantwortliche der Erbringung dieser Dienstleistungen, einschließlich der damit verbundenen Verarbeitung personenbezogener Daten, zu, vorbehaltlich der Umsetzung und Einhaltung der Bestimmungen dieser Klauseln durch den Datenimporteur.

KLAUSEL 1

DEFINITIONEN

Für die Zwecke dieser Klauseln:

• „„personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;
• „Datenexporteur“ bezeichnet den für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten übermittelt;
• „Datenimporteur“ bezeichnet den Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln in seinem Auftrag verarbeitet werden sollen, und der nicht dem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet.
• „Unterauftragsverarbeiter“ bezeichnet jeden Auftragsverarbeiter, der vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragt wird und sich bereit erklärt, vom Datenimporteur oder einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungsvorgänge bestimmt sind, die im Auftrag des Datenexporteurs nach der Übermittlung gemäß seinen Anweisungen, den Bestimmungen der Klauseln und den Bestimmungen des schriftlichen Unterauftrags durchgeführt werden sollen.
• „das geltende Datenschutzrecht“ bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere ihres Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;
• „Technische und organisatorische Sicherheitsmaßnahmen“ sind Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unberechtigter Offenlegung oder unberechtigtem Zugriff, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung.

KLAUSEL 2

DETAILS ZUR ÜBERTRAGUNG

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anhang 1 aufgeführt, der integraler Bestandteil der Klauseln ist.

KLAUSEL 3

DRITTBEGÜNSTIGTEKLAUSEL

1. Die betroffene Person kann gegenüber dem Datenexporteur diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 als Drittbegünstigter durchsetzen.
2. Die betroffene Person kann gegenüber dem Datenimporteur diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 gegenüber dem Datenimporteur durchsetzen, wenn der Datenexporteur tatsächlich verschwunden ist oder rechtlich nicht mehr existiert, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, wodurch es die Rechte und Pflichten des Datenexporteurs übernimmt; in diesem Fall kann die betroffene Person diese gegenüber diesem Unternehmen durchsetzen.
3. Die betroffene Person kann gegenüber dem Unterauftragsverarbeiter diese Klausel, Klausel 5(a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter durchsetzen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch verschwunden sind oder rechtlich nicht mehr existieren oder insolvent geworden sind, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen, wodurch es die Rechte und Pflichten des Datenexporteurs übernimmt; in diesem Fall kann die betroffene Person diese gegenüber diesem Unternehmen durchsetzen. Diese Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.
4. Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und dies nach nationalem Recht zulässig ist.

KLAUSEL 4

VERPFLICHTUNGEN DES DATENEXPORTEURS

Der Datenexporteur erklärt sich einverstanden und garantiert:

• dass die Verarbeitung, einschließlich der Übermittlung selbst, der personenbezogenen Daten in Übereinstimmung mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;
• dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;
• dass der Datenimporteur ausreichende Garantien hinsichtlich der in Anhang 2 dieses Vertrags genannten technischen und organisatorischen Sicherheitsmaßnahmen bietet;
• dass nach Bewertung der Anforderungen des geltenden Datenschutzrechts die Sicherheitsmaßnahmen angemessen sind, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den Risiken der Verarbeitung und der Art der zu schützenden Daten unter Berücksichtigung des Stands der Technik und der Kosten ihrer Umsetzung angemessen ist;
• dass es die Einhaltung der Sicherheitsmaßnahmen gewährleistet;
• dass, wenn die Übermittlung besondere Kategorien von Daten betrifft, die betroffene Person vor der Übermittlung oder so bald wie möglich danach darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;
• alle vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Klausel 5(b) und Klausel 8(3) erhaltenen Benachrichtigungen an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
• den betroffenen Personen auf Anfrage eine Kopie der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie aller Verträge über Unterauftragsverarbeitungsdienste, die gemäß den Klauseln abgeschlossen werden müssen, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten geschäftliche Informationen; in diesem Fall können diese geschäftlichen Informationen entfernt werden;
• dass im Falle einer Weiterverarbeitungsaktivität die Verarbeitung gemäß Klausel 11 durch einen Weiterverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Person gewährleistet wie der Datenimporteur gemäß den Klauseln; und
• dass es die Einhaltung von Klausel 4(a) bis (i) sicherstellt.

KLAUSEL 5

VERPFLICHTUNGEN DES DATENIMPORTEURS

Der Datenimporteur erklärt sich einverstanden und garantiert:

• die personenbezogenen Daten ausschließlich im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den Klauseln zu verarbeiten; wenn dies aus irgendeinem Grund nicht möglich ist, verpflichtet er sich, den Datenexporteur unverzüglich über seine Unfähigkeit zur Einhaltung zu informieren, woraufhin der Datenexporteur berechtigt ist, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
• dass es keinen Grund zu der Annahme hat, dass die für es geltenden Rechtsvorschriften es daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine vertraglichen Verpflichtungen zu erfüllen, und dass es im Falle einer Änderung dieser Rechtsvorschriften, die sich wahrscheinlich erheblich nachteilig auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen auswirkt, es den Datenexporteur unverzüglich über die Änderung informieren wird, sobald es davon Kenntnis erlangt, wobei der Datenexporteur in diesem Fall berechtigt ist, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;
• dass es vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt hat;
• dass sie den Datenexporteur unverzüglich über Folgendes informieren wird:
• jede rechtlich bindende Aufforderung zur Offenlegung der personenbezogenen Daten durch eine Strafverfolgungsbehörde, sofern dies nicht anderweitig untersagt ist, wie beispielsweise durch ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Ermittlung,
• jeden zufälligen oder unbefugten Zugriff und
• jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, es sei denn, es wurde anderweitig dazu ermächtigt;
• alle Anfragen des Datenexporteurs bezüglich der Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu bearbeiten und die Empfehlungen der Aufsichtsbehörde hinsichtlich der Verarbeitung der übermittelten Daten zu befolgen;
• auf Antrag des Datenexporteurs, seine Datenverarbeitungsanlagen einer Prüfung der unter die Klauseln fallenden Verarbeitungsaktivitäten zu unterziehen, die vom Datenexporteur oder einer Kontrollstelle durchgeführt wird, die sich aus unabhängigen Mitgliedern zusammensetzt, die über die erforderlichen beruflichen Qualifikationen verfügen und der Geheimhaltungspflicht unterliegen und vom Datenexporteur, gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde, ausgewählt werden;
• der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags über die Weiterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten geschäftliche Informationen; in diesem Fall können diese geschäftlichen Informationen entfernt werden, mit Ausnahme von Anhang 2, der in Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird;
• dass es im Falle einer Weiterverarbeitung den Datenexporteur zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt hat;
• dass die Verarbeitungsdienstleistungen durch den Unterauftragsverarbeiter gemäß Klausel 11 erbracht werden;
• dem Datenexporteur unverzüglich eine Kopie jeder Unterauftragsverarbeitervereinbarung zu übermitteln, die er gemäß den Klauseln abschließt.

KLAUSEL 6

HAFTUNG

1. Die Parteien vereinbaren, dass jede betroffene Person, die aufgrund einer Verletzung der in Ziffer 3 oder Ziffer 11 genannten Verpflichtungen durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Entschädigung durch den Datenexporteur für den erlittenen Schaden hat.
2. Wenn eine betroffene Person nicht in der Lage ist, gemäß Absatz 1 einen Schadensersatzanspruch gegen den Datenexporteur geltend zu machen, der sich aus einer Verletzung der in Klausel 3 oder Klausel 11 genannten Verpflichtungen durch den Datenimporteur oder dessen Unterauftragsverarbeiter ergibt, weil der Datenexporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, stimmt der Datenimporteur zu, dass die betroffene Person einen Anspruch gegen den Datenimporteur geltend machen kann, als wäre dieser der Datenexporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder kraft Gesetzes übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen.
   Der Datenimporteur darf sich nicht auf eine Verletzung der Verpflichtungen eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.
3. Wenn eine betroffene Person keine Ansprüche gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend machen kann, die sich aus einer Verletzung der in Klausel 3 oder Klausel 11 genannten Verpflichtungen durch den Unterauftragsverarbeiter ergeben, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch verschwunden sind oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, stimmt der Unterauftragsverarbeiter zu, dass die betroffene Person gegenüber dem Datenunterauftragsverarbeiter Ansprüche in Bezug auf dessen eigene Verarbeitungsvorgänge gemäß den Klauseln geltend machen kann, als wäre er der Datenexporteur oder Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder kraft Gesetzes übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters beschränkt sich auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln.

KLAUSEL 7

MEDIATION UND GERICHTSSTAND

1. Der Datenimporteur erklärt sich damit einverstanden, dass er die Entscheidung der betroffenen Person akzeptiert, wenn diese gegenüber dem Datenimporteur Rechte als Drittbegünstigter geltend macht und/oder Schadensersatzansprüche gemäß den Klauseln geltend macht:
2. die Streitigkeit einer Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu unterziehen;
3. die Streitigkeit an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur niedergelassen ist.
4. Die Parteien vereinbaren, dass die Wahl der betroffenen Person ihre materiellen oder verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß anderen Bestimmungen des nationalen oder internationalen Rechts nicht beeinträchtigt.

KLAUSEL 8

ZUSAMMENARBEIT MIT AUFSICHTSBEHÖRDEN

1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.
2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, eine Prüfung des Datenimporteurs und aller Unterauftragsverarbeiter durchzuführen, die denselben Umfang hat und denselben Bedingungen unterliegt, wie sie für eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht gelten würden.
3. Der Datenimporteur hat den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften zu informieren, die für ihn oder einen Unterauftragsverarbeiter gelten und die Durchführung einer Prüfung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 (b) vorgesehenen Maßnahmen zu ergreifen.

KLAUSEL 9

GELTENDES RECHT

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

KLAUSEL 10

ÄNDERUNG DES VERTRAGS

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu geschäftsbezogenen Themen hinzufügen, sofern diese nicht im Widerspruch zu den vorliegenden Klauseln stehen.

KLAUSEL 11

UNTERVERARBEITUNG

1. Der Datenimporteur darf ohne vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Auftrag des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungsvorgänge an Unterauftragnehmer weitervergeben. Wenn der Datenimporteur seine Verpflichtungen gemäß den Klauseln mit Zustimmung des Datenexporteurs an Unterauftragnehmer weitervergeben will, darf er dies nur im Rahmen einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt sind. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, haftet der Datenimporteur gegenüber dem Datenexporteur weiterhin in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung.
2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss auch eine Drittbegünstigungsklausel gemäß Ziffer 3 für Fälle vorsehen, in denen die betroffene Person nicht in der Lage ist, die in Ziffer 6 Absatz 1 genannte Schadensersatzklage gegen den Datenexporteur oder den Datenimporteur zu erheben, weil-Parteienbegünstigungsklausel gemäß Klausel 3 für Fälle vor, in denen die betroffene Person den in Absatz 1 der Klausel 6 genannten Schadensersatzanspruch nicht gegen den Datenexporteur oder den Datenimporteur geltend machen kann, weil diese faktisch verschwunden sind, rechtlich nicht mehr existieren oder insolvent geworden sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder kraft Gesetzes übernommen hat. Eine solche Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.
3. Die Bestimmungen über Datenschutzaspekte bei der Weitervergabe des in Absatz 1 genannten Auftrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
4. Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 (j) gemeldeten Unterauftragsverarbeitungsvereinbarungen, das mindestens einmal jährlich aktualisiert wird. Das Verzeichnis wird der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.

KLAUSEL 12

VERPFLICHTUNG NACH BEENDIGUNG DER DATENVERARBEITUNGSDIENSTLEISTUNGEN

1. Die Parteien vereinbaren, dass bei Beendigung der Erbringung von Datenverarbeitungsdienstleistungen der Datenimporteur und der Unterauftragsverarbeiter nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dem Datenexporteur gegenüber bestätigen, dass sie dies getan haben, es sei denn, der Datenimporteur ist aufgrund gesetzlicher Vorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeitet.
2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Anfrage des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungsanlagen für eine Überprüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

Anhang 1 zu den Standardvertragsklauseln

Die Mitgliedstaaten können gemäß ihren nationalen Verfahren alle zusätzlichen erforderlichen Angaben, die in diesem Anhang enthalten sein müssen, vervollständigen oder präzisieren.

DATENEXPORTEUR

Der Datenexporteur ist: _________________

DATENIMPORTEUR

Der Datenimporteur ist: Konveio, LLC

BETROFFENE PERSONEN

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:
Benutzer, Manager, Administratoren

KATEGORIEN VON DATEN

Die übermittelten personenbezogenen Daten betreffen folgende Datenkategorien:
Identifizierungsdaten, die für die Erstellung eines Benutzerkontos, das Einreichen und Verwalten von Kommentaren relevant sind, wie Name, E-Mail-Adresse, Telefonnummer (optional), Verbindungsdaten, Daten zum Privatleben.

BESONDERE DATENKATEGORIEN (FALLS ZUTREFFEND)

Die übermittelten personenbezogenen Daten betreffen folgende besondere Datenkategorien: n/a

VERARBEITUNG

Die übermittelten personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsvorgängen:
Bereitstellung von Diensten für die Erfassung und Verwaltung von Kommentaren und Umfragen.

Anhang 2 zu den Standardvertragsklauseln

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die vom Datenimporteur gemäß den Klauseln 4(d) und 5(c) umgesetzt werden:

Firewalls, SSL-Zertifikate, Webanwendungs-Firewalls, sicheres Entwicklungslebenszyklusmanagement, sichere Codierungspraktiken, 2FA-Zugriff, PCI Level 1 Service Provider, interne Schwachstellenanalysen, kontinuierliche Mitarbeiterschulungen, Viren-/Malware-Scans, Phishing-Schutz und vieles mehr.

‍