ZUSATZ ZUR DATENVERARBEITUNG

1. Definierte Begriffe. Ohne irgendetwas anderes in dieser DPA einzuschränken, haben die folgenden Begriffe die folgenden Bedeutungen. Wenn in dieser DPA ein Begriff definiert wird, gilt die Definition für diese DPA, und sofern in dieser DPA nichts anderes angegeben ist, ändert diese DPA keinen definierten Begriff als solchen in einer anderen Vereinbarung, die auf diese DPA verweist.

(a. "Personenbezogene Daten" sind alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

(b. "Datenschutzrecht" bedeutet internationales, nationales, staatliches oder provinzielles Recht, das die Verarbeitung der betreffenden personenbezogenen Daten schützt oder einschränkt. Der Begriff umfasst unter anderem die folgenden Gesetze in ihrer jeweils gültigen Fassung und die darunter liegenden Vorschriften mit Gesetzeskraft, soweit sie der vorstehenden Definition entsprechen: die Allgemeine Datenschutzverordnung (Verordnung (EU) 2016/679) (die "GDPR"), das australische Datenschutzgesetz von 1988, das neuseeländische Datenschutzgesetz von 2020, das kanadische Gesetz über den Schutz personenbezogener Daten und elektronischer Dokumente, das Schweizer Bundesgesetz über den Datenschutz und das britische Datenschutzgesetz von 2018.

(c. "Verarbeitung" personenbezogener Daten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(d. "Erfasste personenbezogene Daten" sind personenbezogene Daten, die:

(i. Lakeside vom Kunden oder einem Dritten (einschließlich, aber nicht beschränkt auf eine betroffene Person) im Rahmen eines oder mehrerer zugrunde liegender Verträge erhält; und

(ii. durch das Datenschutzgesetz geschützt sind und in Bezug auf die das Datenschutzgesetz aufgrund ihres persönlichen Charakters Schutzmaßnahmen vorsieht.

(e. Eine "betroffene Person" ist die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen.

(f. Die "Europäische Union" oder "EU" bezeichnet die Mitgliedstaaten dieser Union, wie sie durch den Vertrag über die Europäische Union, den Vertrag über die Arbeitsweise der Europäischen Union und damit zusammenhängende Verträge errichtet wurden, wobei diese Mitgliedstaaten beitreten oder austreten können. Zum Zeitpunkt der letzten Fassung dieser DPA besteht die Europäische Union aus Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Österreich, Polen, Portugal, Rumänien, Schweden, der Slowakei, Slowenien, Spanien, der Tschechischen Republik, Ungarn und Zypern.

(g. Der "Europäische Wirtschaftsraum" oder "EWR" bezeichnet die Mitgliedstaaten, die dem Abkommen über den Europäischen Wirtschaftsraum beitreten, je nachdem, ob sie diesem beitreten oder es verlassen. Zum Zeitpunkt der letzten Fassung dieser DPA besteht der EWR aus allen EU-Mitgliedstaaten sowie Island, Liechtenstein und Norwegen und vorläufig auch Kroatien.

(h. Ein "verbundenes Unternehmen" oder eine mit einer bestimmten Person "verbundene" Person ist eine Person, die direkt oder indirekt über eine oder mehrere Mittelspersonen die angegebene Person kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht, wobei "Kontrolle", einschließlich der Begriffe "kontrollieren", "kontrolliert von" und "unter gemeinsamer Kontrolle mit", den Besitz, Der Begriff "Kontrolle", einschließlich der Begriffe "Kontrolle", "kontrolliert von" und "unter gemeinsamer Kontrolle mit", bezeichnet den direkten oder indirekten Besitz der Befugnis, das Management und die Politik einer Person zu lenken oder zu veranlassen, sei es durch den Besitz von Stimmrechtsanteilen, durch einen Vertrag oder auf andere Weise, und "Person" bezeichnet eine Einzelperson, eine Kapitalgesellschaft, eine Personengesellschaft, eine Gesellschaft mit beschränkter Haftung, eine Vereinigung, eine Aktiengesellschaft, eine Treuhandgesellschaft, eine Organisation ohne eigene Rechtspersönlichkeit oder eine staatliche Einheit.

(i. Für die Zwecke dieser DPA bezeichnet der Begriff "Lakeside" die folgenden Einrichtungen

(mäßig)
2. Im Allgemeinen.

(a. Der Kunde wird Lakeside keine personenbezogenen Daten zur Verfügung stellen, die nicht für die Erfüllung der Verpflichtungen von Lakeside aus einem der zugrunde liegenden Verträge erforderlich sind.

(b. Die Verpflichtungen von Lakeside im Rahmen dieser DPA gelten in dem Umfang, in dem das für den Kunden geltende Datenschutzrecht vorschreibt, dass der Kunde den Verarbeitern der erfassten personenbezogenen Daten solche Verpflichtungen auferlegt.

(c. Lakeside wird keinen anderen Auftragsverarbeiter ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des Kunden beauftragen. Im Falle einer allgemeinen schriftlichen Genehmigung wird Lakeside den Kunden über alle beabsichtigten Änderungen hinsichtlich der Hinzufügung oder des Austauschs anderer Auftragsverarbeiter informieren und dem Kunden die Möglichkeit geben, gegen solche Änderungen Einspruch zu erheben. Lakeside informiert die Kunden über die Unterauftragsverarbeiter unter https://www.lakesidesoftware.com/subcontractors. Der Kunde kann sich auf dieser Website für Aktualisierungen der Liste der Unterauftragsverarbeiter eintragen.

(d. Gegenstand, Art und Zweck der Verarbeitung durch Lakeside ist die Lieferung der in der/den zugrunde liegenden Vereinbarung(en) genannten Waren, Dienstleistungen und/oder Software.

(e. Die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sind die Arten und Kategorien, die in der/den zugrunde liegenden Vereinbarung(en) vorgesehen sind.

(f. Lakeside verarbeitet die erfassten personenbezogenen Daten nur auf dokumentierte Anweisung des Kunden, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, Lakeside ist aufgrund von Datenschutzgesetzen dazu verpflichtet. In einem solchen Fall wird Lakeside den Kunden vor der Verarbeitung über diese gesetzliche Verpflichtung informieren, es sei denn, das Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses im Sinne des Datenschutzgesetzes. Zur Klarstellung: Die zugrunde liegende Vereinbarung stellt die dokumentierte Anweisung des Kunden an Lakeside dar, die Verarbeitung vorzunehmen, die für die Erfüllung der zugrunde liegenden Vereinbarung durch Lakeside erforderlich ist.

(g. Lakeside stellt sicher, dass seine Beauftragten, die zur Verarbeitung der erfassten personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

(h. Sicherheit.

(i. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen wird Lakeside geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich, soweit erforderlich und angemessen, des Risikos für die Rechte und Freiheiten der natürlichen Personen:

(A. Pseudonymisierung und Verschlüsselung der erfassten personenbezogenen Daten;

(B. Die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten;

(C. Die Fähigkeit, die Verfügbarkeit und den Zugang zu den erfassten personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; und/oder

(D. Ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(ii. Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigt Lakeside die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus der versehentlichen oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Weitergabe oder dem unbefugten Zugriff auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

(iii. Lakeside kann die Einhaltung eines genehmigten Verhaltenskodex im Sinne von Artikel 40 der Datenschutz-Grundverordnung oder eines genehmigten Zertifizierungsverfahrens im Sinne von Artikel 42 der Datenschutz-Grundverordnung als ein Element verwenden, mit dem die Einhaltung der in Abschnitt 2(i)(i) genannten Anforderungen nachgewiesen wird.

(iv. Lakeside wird Maßnahmen ergreifen, um sicherzustellen, dass jede natürliche Person, die unter der Autorität von Lakeside als Auftragsverarbeiter tätig ist und Zugang zu den abgedeckten personenbezogenen Daten hat, die abgedeckten personenbezogenen Daten nur auf Anweisung des Kunden verarbeitet, es sei denn, sie ist nach geltendem Datenschutzrecht dazu verpflichtet.

(i. Lakeside wird keine Dritten mit der Durchführung von Verarbeitungen beauftragen oder einsetzen, die nicht in dieser DSGVO vorgesehen sind. Um Zweifel auszuschließen, kann Lakeside Hosting-Dienste von Microsoft Corporation, Amazon Web Services, Inc. oder Rackspace, Inc. oder deren verbundenen Unternehmen nutzen, vorausgesetzt, dass Lakeside von diesen Anbietern vertragliche Verpflichtungen erhält, die mit der Erfüllung der Verpflichtungen von Lakeside im Rahmen dieser DPA vereinbar sind.

(j. Unter Berücksichtigung der Art der Verarbeitung wird Lakeside den Kunden durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, um die Verpflichtungen des Kunden oder des für die Verarbeitung Verantwortlichen zu erfüllen, auf Anfragen zur Ausübung der Rechte der betroffenen Person zu reagieren, die in den folgenden Bestimmungen festgelegt sind:

(i. Kapitel III der DSGVO, insbesondere Artikel 12 (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person), 13 (Informationspflicht, wenn personenbezogene Daten bei der betroffenen Person erhoben werden), 14 (Informationspflicht, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden), 15 (Recht auf Auskunft durch die betroffene Person), 16 (Recht auf Berichtigung), 17 (Recht auf Löschung ("Recht auf Vergessenwerden")), 18 (Recht auf Einschränkung der Verarbeitung), 19 (Pflicht zur Unterrichtung über die Berichtigung oder Löschung personenbezogener Daten oder die Einschränkung der Verarbeitung), 20 (Recht auf Datenübertragbarkeit), 21 (Widerspruchsrecht und Recht auf automatisierte Entscheidungsfindung), 22 (Automatisierte Entscheidungsfindung, einschließlich Profiling) und 23 (Beschränkungen); und/oder

(ii. Andere anwendbare Datenschutzgesetze.

(k. Lakeside unterstützt den Kunden bei der Einhaltung der Verpflichtungen gemäß Artikel 32 (Sicherheit der Verarbeitung), 33 (Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde), 34 (Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person). 35 (Datenschutz-Folgenabschätzung), und 36 (Vorherige Konsultation), und anderen anwendbaren Datenschutzgesetzen; unter Berücksichtigung der Art der Verarbeitung und der Lakeside zur Verfügung stehenden Informationen.

(l. Nach Wahl des Kunden wird Lakeside nach Beendigung der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung alle erfassten personenbezogenen Daten löschen oder an den Kunden zurückgeben und vorhandene Kopien löschen, es sei denn, das Recht der EU- oder EWR-Mitgliedsstaaten oder das Recht des Vereinigten Königreichs oder der Schweiz erfordert die Speicherung der erfassten personenbezogenen Daten.

(m. Lakeside stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen aus Artikel 28 DSGVO und ähnlicher Verpflichtungen aus anderen Datenschutzgesetzen nachzuweisen, und ermöglicht Audits, einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer durchgeführt werden, und leistet seinen Beitrag dazu. Lakeside wird den Kunden unverzüglich informieren, wenn nach Ansicht von Lakeside eine Anweisung gegen das Datenschutzrecht verstößt.

(n. Beauftragt Lakeside einen Dritten mit der Durchführung bestimmter Verarbeitungstätigkeiten im Namen oder zugunsten des Kunden, so werden diesem Dritten vertraglich die Datenschutzverpflichtungen auferlegt, die mit der Erfüllung der Verpflichtungen von Lakeside gemäß dieser DSGVO und der zugrunde liegenden Vereinbarung(en) im Einklang stehen, insbesondere die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, so dass die Verarbeitung den Anforderungen des geltenden Datenschutzrechts entspricht. Kommt der Dritte seinen Datenschutzverpflichtungen nicht nach, so bleibt Lakeside gegenüber dem Kunden in vollem Umfang für die Erfüllung dieser Verpflichtungen haftbar.

3. Rechte an persönlichen Daten; Recht auf Verarbeitung. Der Kunde sichert zu und gewährleistet, dass er alle Rechte (sei es aufgrund der Zustimmung der Betroffenen der personenbezogenen Daten, aufgrund eines berechtigten Interesses gemäß Artikel 6 DSGVO oder anderweitig, aufgrund einer oder mehrerer Ausnahmeregelungen gemäß Artikel 49 DSGVO oder anderweitig) in Bezug auf die personenbezogenen Daten hat, die erforderlich sind, um diese an Lakeside zu übermitteln, um Lakeside zu veranlassen oder anzuweisen, diese personenbezogenen Daten zu besitzen und zu verarbeiten, wie in dieser DPA gefordert, und um Lakeside zu erlauben, diese personenbezogenen Daten zu besitzen und zu verarbeiten, wie in dieser DPA gefordert. Der Kunde wird Lakeside und seine verbundenen Unternehmen von allen Ansprüchen entschädigen, verteidigen und schadlos halten, die von einer betroffenen Person oder einer Behörde geltend gemacht werden und die sich auf Tatsachen beziehen, die, wenn sie wahr wären, einen Verstoß gegen die Zusicherungen und Gewährleistungen in diesem Abschnitt 3 darstellen würden.

4. Überweisungen.

(a. Bewertung (Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Datenschutz-Grundverordnung). Dieser Abschnitt 4(a) gilt nur in dem Umfang, in dem der Kunde die betroffenen personenbezogenen Daten einer oder mehrerer betroffener Personen, die sich im EWR befinden, in ein Drittland, ein Gebiet oder einen oder mehrere bestimmte Sektoren innerhalb dieses Drittlandes oder eine internationale Organisation übermittelt, für die die Europäische Kommission kein angemessenes Schutzniveau im Sinne von Artikel 45 DSGVO festgestellt hat. Für die Zwecke solcher Übermittlungen derartiger betroffener personenbezogener Daten haben Lakeside und der Kunde eine detaillierte Bewertung des Schutzniveaus vorgenommen, das im Zusammenhang mit Übermittlungen derartiger betroffener personenbezogener Daten im Sinne dieser DSGVO geboten wird. Bei dieser Bewertung wurden sowohl die in Abschnitt 4(b) vorgesehenen Standardvertragsklauseln als auch - im Hinblick auf den Zugriff der Behörden eines Drittlandes/einer Drittländer, in das/die die betroffenen personenbezogenen Daten übermittelt werden - die relevanten Aspekte der Rechtsordnung(en) dieses Drittlandes/dieser Drittländer berücksichtigt, insbesondere die in Artikel 45(2) der Datenschutz-Grundverordnung (DSGVO) genannten Aspekte, und es wurde festgestellt, dass die betroffenen personenbezogenen Daten ein Schutzniveau genießen, das im Wesentlichen dem in der Europäischen Union durch die DSGVO garantierten Schutzniveau entspricht.

(b. Standardvertragsklauseln. Der Kunde als Datenexporteur und Lakeside als Datenimporteur stimmen den als Anlage 1 beigefügten Standardvertragsklauseln zu, als hätten der Kunde und Lakeside diese ausgefertigt und zugestellt. Diese Standardvertragsklauseln gelten ausschließlich für abgedeckte personenbezogene Daten von betroffenen Personen, die sich im EWR befinden.

(i. Im Falle der Übermittlung von abgedeckten personenbezogenen Daten durch den Kunden an Lakeside gilt nur Modul Zwei (für die Übermittlung von Daten zwischen Verantwortlichen und Auftragsverarbeitern).

(ii. Im Falle der Übermittlung von abgedeckten personenbezogenen Daten durch Lakeside an den Kunden gilt nur Modul Vier (für die Übermittlung von Daten zwischen Auftragsverarbeitern und Verantwortlichen).

(iii) Die Module Eins und Drei finden keine Anwendung, und keine der Vertragsparteien wird eine unter eines dieser Module fallende Übertragung an die andere Partei vornehmen.

(iv) Für die Zwecke von Klausel 17 gilt das Recht der Niederlande für die Standardvertragsklauseln.

(v. Für die Zwecke von Artikel 18 sind für alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, die Gerichte der Niederlande zuständig.

(c. Vom Kunden durch Lakeside-Dienste veranlasste Übertragungen an Dritte. Zur Vermeidung von Zweifeln wird darauf hingewiesen, dass in Fällen, in denen die gewöhnliche Funktionalität der Waren, Dienstleistungen und/oder Software von Lakeside es dem Kunden ermöglicht, Transaktionen einzuleiten oder die Waren, Dienstleistungen und/oder Software anderweitig zu nutzen, um Informationen zu senden und/oder zu empfangen, die personenbezogene Daten enthalten, jede Übertragung, die aus einer solchen vom Kunden initiierten Aktivität resultiert, eine Übertragung durch den Kunden und nicht durch Lakeside ist.

5. Betroffene Personen als Begünstigte. Wenn, aber nur in dem Umfang, in dem ein Datenschutzgesetz verlangt, dass der Kunde Lakeside dazu veranlasst, eine oder mehrere Betroffene von Betroffenen Persönlichen Daten zu Drittbegünstigten von einer oder mehreren Verpflichtungen in dieser DPA zu machen, ist jeder Betroffene von Betroffenen Persönlichen Daten ein ausdrücklicher Drittbegünstigter von Lakesides Verpflichtungen unter dieser DPA.

6. Zusätzliche Bestimmungen.

(a. Dienstleistungen, die nicht durch den zugrunde liegenden Vertrag abgedeckt sind. Wenn eine Verpflichtung von Lakeside im Rahmen dieser DPA oder der Standardvertragsklauseln nicht durch die zugrunde liegende Vereinbarung abgedeckt ist, zahlt der Kunde Lakeside für die mit dieser Verpflichtung verbundenen Dienstleistungen zu den zu diesem Zeitpunkt gültigen (aber in jedem Fall wirtschaftlich angemessenen) Sätzen von Lakeside. Benötigt der Kunde beispielsweise administrative oder ähnliche Dienstleistungen, um einer Forderung der betroffenen Person gemäß Abschnitt 2(k) oder einer Datenschutz-Folgenabschätzung gemäß Abschnitt 2(l) nachzukommen, und sind diese Dienstleistungen nicht durch die zugrunde liegende Vereinbarung abgedeckt, wird der Kunde Lakeside für diese Dienstleistungen bezahlen.

(b. Beschränkung der Haftung. Sofern in einer zugrunde liegenden Vereinbarung nicht ausdrücklich etwas anderes vorgesehen ist und mit Ausnahme der Verpflichtungen des Kunden gemäß Abschnitt 3, ist die Haftung der Parteien im Rahmen dieser DPA in demselben Umfang beschränkt, in dem die zugrunde liegende(n) Vereinbarung(en) die Haftung für gewöhnliche Verstöße gegen diese Vereinbarung(en) beschränkt (d. h. ein Ausschluss von Haftungsbeschränkungen oder eine gesonderte höhere Haftungsbeschränkung für bestimmte Kategorien im Rahmen einer zugrunde liegenden Vereinbarung gilt nicht für diese DPA). Diese DPA schränkt die Haftung einer Partei gegenüber einer betroffenen Person in dem Maße nicht ein, in dem das geltende Recht eine solche Einschränkung untersagt.

(c. Getrennt von Vertraulichkeitsverpflichtungen. Um Zweifel auszuschließen, sind die Verpflichtungen im Rahmen dieser DPA getrennt und unabhängig von jeglicher Verpflichtung zur Vertraulichkeit oder zur Beschränkung der Nutzung von Informationen (unabhängig davon, ob sie als "Vertraulichkeit" oder anders bezeichnet werden) im Rahmen der zugrunde liegenden Vereinbarung(en). Ein Ausschluss von einer Haftungsbeschränkung für eine Vertraulichkeitsverpflichtung führt nicht zu einer unbegrenzten Haftung im Rahmen dieser DPA.

(d. Wahl des Rechts. Diese DPA unterliegt in jeder Hinsicht dem Recht, das für die jeweilige zugrunde liegende Vereinbarung gilt.

(e. Abtretung. Keine der Parteien darf Rechte oder Pflichten aus dieser DPA abtreten, mit der Ausnahme, dass jede Partei alle, aber nicht weniger als alle ihre Rechte und Pflichten aus dieser DPA an einen Erwerber oder einen anderen Nachfolger des gesamten oder eines wesentlichen Teils des Geschäfts der Partei im Zusammenhang mit dieser DPA abtreten darf, vorausgesetzt, dass (i) der Zessionar über die finanziellen und technischen Mittel verfügt, die zur vollständigen Erfüllung dieser DPA erforderlich sind, (ii) der Abtretende der anderen Partei die Abtretung zum oder vor dem Zeitpunkt des Wirksamwerdens der Abtretung mitteilt, (iii) die Abtretung die Pflichten der anderen Partei nicht wesentlich erhöht oder die Rechte der anderen Partei nicht wesentlich verringert und (iv) der Abtretungsempfänger alle Rechte und Pflichten des Abtretenden im Rahmen dieser DPA nach dem Zeitpunkt des Wirksamwerdens der Abtretung schriftlich annimmt. Bei einer zulässigen Abtretung der Rechte und Pflichten einer Partei im Rahmen dieser DPA haftet die abtretende Partei nicht für Handlungen oder Unterlassungen des Abtretungsempfängers nach dem Zeitpunkt des Inkrafttretens der Abtretung.

(f. Mitteilung. Jede Mitteilung, deren Übermittlung im Rahmen dieser DPA erforderlich oder zulässig ist, muss schriftlich erfolgen und gilt als wirksam (a) bei persönlicher Übergabe bei dieser persönlichen Übergabe, (b) bei Übermittlung durch einen national anerkannten Kurier- oder Postdienst (in beiden Fällen mit Echtzeit- oder Fast-Echtzeit-Verfolgung) zu dem Zeitpunkt, zu dem die Mitteilung gemäß den Verfolgungsaufzeichnungen des Kurier- oder Postdienstes in den Räumlichkeiten des Empfängers zugestellt wird (oder zu dem versucht wird, die Mitteilung zuzustellen, unabhängig davon, ob dies abgelehnt wird), oder (c) bei Übermittlung per Fax zu Beginn des nächsten Geschäftstages in den Räumlichkeiten des Empfängers, c) bei Übermittlung per Fax zu Beginn des nächsten Arbeitstages am Ort des Empfängers, vorausgesetzt, das Faxgerät des Absenders erzeugt eine Bestätigung, dass das Fax beim Empfänger angekommen ist, und es gibt im Verlauf der Übertragung keinen Hinweis darauf, dass die Mitteilung nicht beim Faxgerät des Empfängers angekommen ist. Die Zustellungsadressen der Vertragsparteien sind in der Präambel dieser Vereinbarung angegeben. Jede Vertragspartei kann ihre Zustellungsanschrift durch Mitteilung an die andere Vertragspartei ändern.

(g. Verzicht. Der Verzicht auf ein in diesem Abkommen vorgesehenes Recht oder die Nichtausübung eines solchen Rechts durch eine der Parteien gilt nicht als Verzicht auf ein weiteres Recht im Rahmen dieses Abkommens oder als Verzicht auf die Möglichkeit, dasselbe Recht bei einer anderen Gelegenheit auszuüben.

(h. Trennbarkeit. Sollte eine Bestimmung dieser DPA nach einem anwendbaren Gesetz oder einer Rechtsvorschrift ungültig sein, ist die Bestimmung in diesem Umfang als nichtig zu betrachten, und der Rest der Vereinbarung bleibt durchsetzbar.

(i. Gegenstücke. Diese DPA kann in einer oder mehreren Ausfertigungen durchgeführt werden.

(j. Verfassende Partei. Bei der Auslegung dieser DPA wird keine Rechtsvorschrift angewandt, nach der ein Teil des Abkommens gegen die Partei auszulegen ist, die den Text verfasst hat.

(k. Gesamte Vereinbarung. Diese DPA stellt zusammen mit der zugrunde liegenden Vereinbarung die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand dieser DPA und der zugrunde liegenden Vereinbarung dar, und es gibt keine Zusicherungen, Absprachen oder Vereinbarungen über den Gegenstand dieser DPA und der zugrunde liegenden Vereinbarung, die nicht vollständig in dieser DPA zum Ausdruck kommen. Ergänzungen, Änderungen, Verzichtserklärungen oder Entlastungen zu dieser DPA sind nur dann gültig, wenn sie in einem von der Partei, gegen die sie geltend gemacht werden, unterzeichneten Protokoll festgehalten sind.

Anlage 1

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1 - Zweck und Anwendungsbereich

(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten.

(b) Die Parteien:

i) die natürliche(n) oder juristische(n) Person(en), Behörde(n), Einrichtung(en) oder sonstige(n) Stelle(n) (nachstehend "Stelle(n)" genannt), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (nachstehend jeweils "Datenexporteur" genannt), und

ii) die Stelle(n) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Stelle, die ebenfalls Vertragspartei dieser Klauseln ist und in Anhang I.A aufgeführt ist, erhält/erhalten (nachstehend "Datenimporteur")

haben diesen Standardvertragsklauseln (im Folgenden: "Klauseln") zugestimmt.

(d) Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist Bestandteil dieser Klauseln.

Klausel 2 - Wirkung und Unveränderlichkeit der Klauseln

(a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und - in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter - Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3 - Drittbegünstigte

(a) Die betroffenen Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

(i) Paragraf 1, Paragraf 2, Paragraf 3, Paragraf 6, Paragraf 7;

(ii) Klausel 8 - Modul Eins: Klausel 8.5 (e) und Klausel 8.9(b); Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e); Modul Drei: Klausel 8.1 (a), (c) und (d) und Klausel 8.9 (a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3 (b);

(iii) Klausel 9 - Modul Zwei: Klausel 9 (a), (c), (d) und (e); Modul Drei: Klausel 9 (a), (c), (d) und (e);

(iv) Klausel 12 - Modul Eins: Klausel 12(a) und (d); Module Zwei und Drei: Klausel 12(a), (d) und (f);

(v) Klausel 13;

(vi) Klausel 15.1 Buchstaben c, d und e;

(vii) Klausel 16(e);

(viii) Klausel 18 - Module Eins, Zwei und Drei: Klausel 18(a) und (b); Modul Vier: Klausel 18.

(b) Buchstabe a gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4 - Auslegung

(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe die gleiche Bedeutung wie in der genannten Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.

Klausel 5 - Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der zum Zeitpunkt der Vereinbarung dieser Klauseln bestehenden oder später abgeschlossenen Vereinbarungen zwischen den Parteien sind diese Klauseln maßgebend.

Klausel 6 - Beschreibung der Übertragung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7 - Fakultativ

(Absichtlich ausgelassen.)

ABSCHNITT II - VERPFLICHTUNGEN DER PARTEIEN

Klausel 8 - Datenschutzgarantien

Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch geeignete technische und organisatorische Maßnahmen in der Lage ist, seine Verpflichtungen aus diesen Klauseln zu erfüllen.

MODUL 1: Übertragung von Controller zu Controller

8.1 Zweckbindung

Der Datenimporteur darf die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anhang I.B dargelegt, verarbeiten:

(i) wenn sie die vorherige Zustimmung der betroffenen Person erhalten hat;

(ii) wenn dies für die Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich ist; oder

(iii) wenn dies zur Wahrung lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.

8.2 Transparenz

(a) Damit die betroffenen Personen ihre Rechte gemäß Klausel 10 wirksam ausüben können, informiert der Datenimporteur sie entweder direkt oder über den Datenexporteur:

(i) seine Identität und seine Kontaktangaben;

(ii) die Kategorien der verarbeiteten personenbezogenen Daten;

(iii) über das Recht, eine Kopie dieser Klauseln zu erhalten;

(iv) wenn sie beabsichtigt, die personenbezogenen Daten an Dritte weiterzugeben, den Empfänger oder die Kategorien von Empfängern (gegebenenfalls im Hinblick auf die Bereitstellung aussagekräftiger Informationen), den Zweck einer solchen Weitergabe und den Grund dafür gemäß Klausel 8.7.

(b) Buchstabe a) findet keine Anwendung, wenn die betroffene Person bereits über die Informationen verfügt, auch wenn diese Informationen bereits vom Datenexporteur bereitgestellt wurden, oder wenn sich die Bereitstellung der Informationen als unmöglich erweist oder für den Datenimporteur mit einem unverhältnismäßigen Aufwand verbunden wäre. Im letztgenannten Fall macht der Datenimporteur die Informationen, soweit möglich, öffentlich zugänglich.

(c) Die Parteien stellen der betroffenen Person auf Anfrage kostenlos eine Kopie dieser Klauseln einschließlich des von ihnen ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, können die Parteien Teile des Textes des Anhangs vor der Weitergabe einer Kopie unkenntlich machen, müssen jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Antrag teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist.

(d) Die Buchstaben a bis c berühren nicht die Pflichten des Datenexporteurs nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.3 Genauigkeit und Datensparsamkeit

(a) Jede Vertragspartei stellt sicher, dass die personenbezogenen Daten sachlich richtig und, soweit erforderlich, auf dem neuesten Stand sind. Der Datenimporteur trifft alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Zweck(e) der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

(b) Stellt eine der Vertragsparteien fest, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so unterrichtet sie unverzüglich die andere Vertragspartei.

(c) Der Datenimporteur stellt sicher, dass die personenbezogenen Daten den Zwecken entsprechen, für die sie erhoben werden, dafür erheblich sind und sich auf das beschränken, was im Hinblick auf den/die Verarbeitungszweck(e) erforderlich ist.

8.4 Speicherbegrenzung

Der Datenimporteur bewahrt die personenbezogenen Daten nicht länger auf, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Er ergreift geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung zu gewährleisten, einschließlich der Löschung oder Anonymisierung der Daten und aller Sicherungskopien am Ende der Aufbewahrungsfrist.

8.5 Sicherheit der Verarbeitung

(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zu einer zufälligen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Weitergabe oder einem unbefugten Zugang führt (im Folgenden "Verletzung des Schutzes personenbezogener Daten"). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen sie dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.

(b) Die Vertragsparteien haben sich auf die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

(c) Der Datenimporteur stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

(d) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die von dem Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Auswirkungen.
(e) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt der Datenimporteur unverzüglich sowohl den Datenexporteur als auch die zuständige Aufsichtsbehörde gemäß Klausel 13. Diese Benachrichtigung enthält i) eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ii) die wahrscheinlichen Folgen, iii) die zur Behebung der Verletzung getroffenen oder vorgeschlagenen Maßnahmen und iv) die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können. Soweit es dem Datenimporteur nicht möglich ist, alle Informationen gleichzeitig zu übermitteln, kann er dies ohne unangemessene Verzögerung schrittweise tun.

(f) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, benachrichtigt der Datenimporteur - erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur - auch die betroffenen Personen unverzüglich über die Verletzung des Schutzes personenbezogener Daten und deren Art, zusammen mit den in Absatz e) Ziffern ii) bis iv) genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu verringern, oder die Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden. In letzterem Fall gibt der Datenimporteur stattdessen eine öffentliche Mitteilung heraus oder ergreift eine ähnliche Maßnahme, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.

(g) Der Datenimporteur dokumentiert alle relevanten Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und der getroffenen Abhilfemaßnahmen, und führt darüber Buch.

8.6 Sensible Daten

Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen oder Straftaten (nachstehend "sensible Daten" genannt), so wendet der Datenimporteur besondere Beschränkungen und/oder zusätzliche Garantien an, die auf die besondere Art der Daten und die damit verbundenen Risiken abgestimmt sind. Dazu können die Beschränkung des Personals, das Zugang zu den personenbezogenen Daten hat, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Beschränkungen in Bezug auf die weitere Offenlegung gehören.

8.7 Weitergehende Übertragungen

Der Datenimporteur darf die personenbezogenen Daten nur dann an einen außerhalb der Europäischen Union ansässigen Dritten (im selben Land wie der Datenimporteur oder in einem anderen Drittland, nachstehend "Weiterübermittlung") weitergeben, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt. Andernfalls darf eine Weiterübermittlung durch den Datenimporteur nur erfolgen, wenn:

(i) es sich um ein Land handelt, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;

(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

(iii) der Dritte schließt mit dem Datenimporteur eine verbindliche Übereinkunft, die das gleiche Datenschutzniveau wie nach diesen Klauseln gewährleistet, und der Datenimporteur übermittelt dem Datenexporteur eine Kopie dieser Garantien;

(iv) sie für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Aufsichts- oder Gerichtsverfahren erforderlich sind;

Andernfalls darf eine Weiterübermittlung durch den Datenimporteur nur erfolgen, wenn:
(v) sie ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder

(vi) wenn keine der anderen Bedingungen zutrifft, der Datenimporteur die ausdrückliche Einwilligung der betroffenen Person für eine Weiterübermittlung in einer bestimmten Situation eingeholt hat, nachdem er sie über den/die Zweck(e) der Weiterübermittlung, die Identität des Empfängers und die möglichen Risiken einer solchen Übermittlung für die betroffene Person aufgrund des Fehlens geeigneter Datenschutzgarantien informiert hat. In diesem Fall unterrichtet der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Ersuchen eine Kopie der der betroffenen Person erteilten Informationen.

Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.8 Verarbeitung im Auftrag des Datenimporteurs

Der Datenimporteur stellt sicher, dass jede unter seiner Aufsicht handelnde Person, einschließlich eines Auftragsverarbeiters, die Daten nur auf seine Anweisung hin verarbeitet.

8.9 Dokumentation und Einhaltung der Vorschriften

(a) Jede Vertragspartei muss in der Lage sein, die Einhaltung ihrer Verpflichtungen aus diesen Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten.

(b) Der Datenimporteur stellt diese Unterlagen der zuständigen Kontrollstelle auf Anfrage zur Verfügung.

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

8.1 Anweisungen

(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Laufzeit des Vertrags erteilen.

(b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B, es sei denn, er erhält vom Datenexporteur weitere Anweisungen.

8.3 Transparenz

Auf Antrag stellt der Datenexporteur der betroffenen Person unentgeltlich ein Exemplar dieser Klauseln einschließlich der von den Vertragsparteien ausgefüllten Anlage zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss jedoch eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Genauigkeit

Stellt der Datenimporteur fest, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, so teilt er dies dem Datenexporteur unverzüglich mit. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur bei der Löschung oder Berichtigung der Daten zusammen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze verlangen. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e), den Datenexporteur während der gesamten Laufzeit des Vertrags zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14 Buchstabe a) im Einklang stehen.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden "Verletzung des Schutzes personenbezogener Daten"). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer bestimmten betroffenen Person zugeordnet werden können, nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Der Datenimporteur kommt seinen Verpflichtungen nach diesem Absatz nach, indem er zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen durchführt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von dem Verstoß Kenntnis erlangt hat.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre wahrscheinlichen Folgen und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Folgen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Sensible Daten

8.8 Weitergehende Übertragungen

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen außerhalb der Europäischen Union ansässigen Dritten (im selben Land wie der Datenimporteur oder in einem anderen Drittland, nachstehend "Weitergabe") weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:

(i) die Weiterübermittlung erfolgt in ein Land, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt;

(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;

(iii) die Weitergabe ist für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich; oder

(iv) die Weitergabe ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Einhaltung der Vorschriften

(a) Der Datenimporteur hat Anfragen des Datenexporteurs, die sich auf die Verarbeitung nach diesen Klauseln beziehen, unverzüglich und angemessen zu beantworten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Ersuchen des Datenexporteurs in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann das Audit entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e) Die Vertragsparteien stellen die in den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

MODUL DREI: Übertragung von Prozessor zu Prozessor

8.1 Anweisungen

(a) Der Datenexporteur hat dem Datenimporteur mitgeteilt, dass er als Auftragsverarbeiter gemäß den Anweisungen des/der für die Verarbeitung Verantwortlichen handelt, die der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung stellt.

(b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf der Grundlage der dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen, die dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie etwaiger zusätzlicher dokumentierter Anweisungen des Datenexporteurs. Solche zusätzlichen Anweisungen dürfen nicht im Widerspruch zu den Anweisungen des für die Verarbeitung Verantwortlichen stehen. Der für die Verarbeitung Verantwortliche oder der Datenexporteur kann während der gesamten Laufzeit des Vertrags weitere dokumentierte Anweisungen für die Datenverarbeitung erteilen.

(c) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann. Ist der Datenimporteur nicht in der Lage, die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen, so unterrichtet der Datenexporteur unverzüglich den für die Verarbeitung Verantwortlichen.

(d) Der Datenexporteur gewährleistet, dass er dem Datenimporteur dieselben Datenschutzverpflichtungen auferlegt hat, die in dem Vertrag oder einem anderen Rechtsakt nach Unionsrecht oder dem Recht eines Mitgliedstaats zwischen dem für die Verarbeitung Verantwortlichen und dem Datenexporteur festgelegt sind.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den/die in Anhang I.B. genannten Zweck(e) der Übermittlung, es sei denn, der für die Verarbeitung Verantwortliche hat dem Datenimporteur weitere Anweisungen erteilt, die ihm vom Datenexporteur mitgeteilt wurden, oder der Datenexporteur hat sie ihm mitgeteilt.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person unentgeltlich eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenexporteur Teile des Textes des Anhangs vor der Weitergabe einer Kopie unkenntlich machen, muss aber eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Vertragsparteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist.

8.4 Genauigkeit

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder er gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze verlangen. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e), den Datenexporteur während der gesamten Laufzeit des Vertrags zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14 Buchstabe a) im Einklang stehen.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden "Verletzung des Schutzes personenbezogener Daten"). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen sie dem Stand der Technik, den Kosten der Umsetzung, der Art, dem Umfang, den Umständen und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Vertragsparteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die personenbezogenen Daten einer bestimmten betroffenen Person zugeordnet werden können, nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs oder des für die Verarbeitung Verantwortlichen. Der Datenimporteur kommt seinen Verpflichtungen nach diesem Absatz nach, indem er zumindest die in Anhang II genannten technischen und organisatorischen Maßnahmen durchführt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.

(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Milderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt außerdem unverzüglich den Datenexporteur und, soweit angemessen und durchführbar, den für die Verarbeitung Verantwortlichen, nachdem er von der Verletzung Kenntnis erhalten hat. Diese Benachrichtigung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), ihre wahrscheinlichen Folgen und die getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Abschwächung ihrer möglichen nachteiligen Folgen. Ist es nicht möglich, alle Informationen gleichzeitig zur Verfügung zu stellen, so enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unangemessene Verzögerung nachgereicht.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere um seinen für die Verarbeitung Verantwortlichen zu benachrichtigen, damit dieser seinerseits die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Sensible Daten

8.8 Weitergehende Übertragungen

Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des für die Verarbeitung Verantwortlichen, die der Datenexporteur dem Datenimporteur mitgeteilt hat, an einen Dritten weitergeben. Darüber hinaus dürfen die Daten nur dann an einen Dritten außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, nachstehend "Weitergabe") weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:

(i) die Weiterübermittlung erfolgt in ein Land, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 gilt, der die Weiterübermittlung abdeckt;

(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 gewährleistet;

(iii) die Weitergabe ist für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich; oder

(iv) die Weitergabe ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Garantien dieser Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Einhaltung der Vorschriften

(a) Der Datenimporteur hat Anfragen des Datenexporteurs oder des für die Verarbeitung Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen zu bearbeiten.

(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen; dieser stellt sie dem für die Verarbeitung Verantwortlichen zur Verfügung.

(d) Der Datenimporteur gestattet dem Datenexporteur in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen Audits bei. Das Gleiche gilt, wenn der Datenexporteur auf Anweisung des für die Verarbeitung Verantwortlichen ein Audit verlangt. Bei der Entscheidung über ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.

(e) Wird das Audit auf Anweisung des für die Verarbeitung Verantwortlichen durchgeführt, so stellt der Datenexporteur dem für die Verarbeitung Verantwortlichen die Ergebnisse zur Verfügung.

(f) Der Datenexporteur kann das Audit entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(g) Die Vertragsparteien stellen die in den Buchstaben b) und c) genannten Informationen, einschließlich der Ergebnisse etwaiger Prüfungen, der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

MODUL VIER: Übertragung des Prozessors auf den Controller

8.1 Anweisungen

(a) Der Datenexporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenimporteurs, der als sein für die Verarbeitung Verantwortlicher handelt, verarbeiten.

(b) Der Datenexporteur informiert den Datenimporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann, auch wenn diese Anweisungen gegen die Verordnung (EU) 2016/679 oder andere Datenschutzvorschriften der Union oder eines Mitgliedstaats verstoßen.

(c) Der Datenimporteur unterlässt alles, was den Datenexporteur daran hindern würde, seinen Verpflichtungen aus der Verordnung (EU) 2016/679 nachzukommen, auch im Zusammenhang mit der Unterverarbeitung oder der Zusammenarbeit mit den zuständigen Kontrollstellen.

(d) Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenexporteur nach Wahl des Datenimporteurs alle im Auftrag des Datenimporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenimporteur, dass er dies getan hat, oder er gibt dem Datenimporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien.

8.2 Sicherheit der Verarbeitung

(a) Die Vertragsparteien treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten, auch bei der Übermittlung, und den Schutz vor einer Verletzung der Sicherheit zu gewährleisten, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugang führt (nachstehend "Verletzung des Schutzes personenbezogener Daten"). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen sie in angemessener Weise den Stand der Technik, die Kosten der Umsetzung, die Art der personenbezogenen Daten, die Art, den Umfang, die Umstände und den Zweck/die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen und erwägen insbesondere den Einsatz von Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.

(b) Der Datenexporteur unterstützt den Datenimporteur bei der Gewährleistung einer angemessenen Sicherheit der Daten gemäß Buchstabe a). Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf die vom Datenexporteur gemäß diesen Klauseln verarbeiteten personenbezogenen Daten benachrichtigt der Datenexporteur den Datenimporteur unverzüglich, nachdem er davon Kenntnis erlangt hat, und unterstützt den Datenimporteur bei der Beseitigung der Verletzung.

(c) Der Datenexporteur stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterliegen.

8.3 Dokumentation und Einhaltung der Vorschriften

(a) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen.

(b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung seiner Verpflichtungen aus diesen Klauseln nachzuweisen, und ermöglicht Audits und trägt zu diesen bei.

Klausel 9 - Einsatz von Unterauftragsverarbeitern

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

(a) Der Datenimporteur hat die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur unterrichtet den Datenexporteur mindestens 30 Tage im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der Datenexporteur genügend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, an die der Datenimporteur nach diesen Klauseln gebunden ist, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. Die Vertragsparteien kommen überein, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen nach Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur nach diesen Klauseln unterliegt.

(c) Der Datenimporteur übermittelt dem Datenexporteur auf dessen Anfrage eine Kopie einer solchen Unterauftragsverarbeitungsvereinbarung und aller nachfolgenden Änderungen. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der der Datenexporteur für den Fall, dass der Datenimporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

MODUL DREI: Übertragung von Prozessor zu Prozessor

(a) Der Datenimporteur hat die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur unterrichtet den für die Verarbeitung Verantwortlichen mindestens 30 Tage im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der für die Verarbeitung Verantwortliche genügend Zeit hat, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Datenimporteur stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Der Datenimporteur unterrichtet den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter(s).

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen), so erfolgt dies im Wege eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, an die der Datenimporteur nach diesen Klauseln gebunden ist, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. Die Vertragsparteien kommen überein, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen nach Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur nach diesen Klauseln unterliegt.

(c) Der Datenimporteur legt auf Antrag des Datenexporteurs oder des für die Verarbeitung Verantwortlichen eine Kopie einer solchen Unterauftragsverarbeitungsvereinbarung und aller nachfolgenden Änderungen vor. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

Klausel 10 - Rechte der betroffenen Person

MODUL 1: Übertragung von Controller zu Controller

(a) Der Datenimporteur bearbeitet - gegebenenfalls mit Unterstützung des Datenexporteurs - alle Anfragen und Anträge, die er von einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln erhält, ohne unangemessene Verzögerung, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in einer verständlichen und leicht zugänglichen Form unter Verwendung einer klaren und einfachen Sprache erfolgen.

(b) Insbesondere wird der Datenimporteur auf Antrag der betroffenen Person unentgeltlich:

(i) der betroffenen Person zu bestätigen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, eine Kopie der sie betreffenden Daten und die Informationen in Anhang I zu übermitteln; falls personenbezogene Daten weitergegeben wurden oder werden, Informationen über die Empfänger oder Kategorien von Empfängern (gegebenenfalls im Hinblick auf die Bereitstellung aussagekräftiger Informationen), an die die personenbezogenen Daten weitergegeben wurden oder werden, den Zweck dieser Weitergabe und den Grund für die Weitergabe gemäß Klausel 8.7; und Informationen über das Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Klausel 12(c)(i);

(ii) unrichtige oder unvollständige Daten über die betroffene Person zu berichtigen;

(iii) die die betroffene Person betreffenden personenbezogenen Daten zu löschen, wenn diese Daten unter Verletzung einer dieser Klauseln, die die Rechte von Drittbegünstigten gewährleisten, verarbeitet werden oder wurden, oder wenn die betroffene Person ihre Einwilligung, auf der die Verarbeitung beruht, widerruft.

(c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Zwecke der Direktwerbung, so stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person Widerspruch einlegt.

(d) Der Datenimporteur darf keine ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruhende Entscheidung (nachstehend "automatisierte Entscheidung") treffen, die für die betroffene Person rechtliche Folgen nach sich ziehen oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, die betroffene Person hat ausdrücklich eingewilligt oder ist nach dem Recht des Bestimmungslandes dazu befugt, sofern dieses Recht geeignete Maßnahmen zur Wahrung der Rechte und berechtigten Interessen der betroffenen Person vorsieht. In diesem Fall wird der Datenimporteur, soweit erforderlich in Zusammenarbeit mit dem Datenexporteur:

(i) die betroffene Person über die geplante automatisierte Entscheidung, die geplanten Folgen und die zugrunde liegende Logik zu unterrichten, und

(ii) geeignete Garantien vorsehen, die es der betroffenen Person zumindest ermöglichen, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch einen Menschen zu erwirken.

(e) Bei übermäßigen Anträgen einer betroffenen Person, insbesondere bei wiederholten Anträgen, kann der Datenimporteur entweder eine angemessene Gebühr erheben, die den Verwaltungskosten für die Bearbeitung des Antrags Rechnung trägt, oder die Bearbeitung des Antrags ablehnen.

(f) Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach dem Recht des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen.

(g) Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, so unterrichtet er die betroffene Person über die Gründe für die Ablehnung und über die Möglichkeit, bei der zuständigen Kontrollstelle Beschwerde einzulegen und/oder gerichtlichen Rechtsschutz zu suchen.

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jedes Ersuchen, das er von einer betroffenen Person erhalten hat. Er darf diesem Ersuchen nicht selbst nachkommen, es sei denn, er ist vom Datenexporteur dazu ermächtigt worden.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte nach der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

MODUL DREI: Übertragung von Prozessor zu Prozessor

(a) Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den für die Verarbeitung Verantwortlichen unverzüglich über jedes Ersuchen einer betroffenen Person, ohne diesem Ersuchen nachzukommen, es sei denn, er wurde von dem für die Verarbeitung Verantwortlichen dazu ermächtigt.

(b) Der Datenimporteur unterstützt - gegebenenfalls in Zusammenarbeit mit dem Datenexporteur - den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten, auf Anträge betroffener Personen zur Ausübung ihrer Rechte nach der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu reagieren. Zu diesem Zweck legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, durch die die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a) und b) befolgt der Datenimporteur die Anweisungen des für die Verarbeitung Verantwortlichen, die ihm vom Datenexporteur mitgeteilt wurden.

MODUL VIER: Übertragung des Prozessors auf den Controller

Die Vertragsparteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anträgen betroffener Personen nach dem für den Datenimporteur geltenden lokalen Recht oder - bei Datenverarbeitung durch den Datenexporteur in der EU - nach der Verordnung (EU) 2016/679.

Klausel 10 - Rechte der betroffenen Person

MODUL 1: Übertragung von Controller zu Controller

(a) Der Datenimporteur bearbeitet - gegebenenfalls mit Unterstützung des Datenexporteurs - alle Anfragen und Anträge, die er von einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln erhält, ohne unangemessene Verzögerung, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. (10) Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in einer verständlichen und leicht zugänglichen Form unter Verwendung einer klaren und einfachen Sprache erfolgen.

(b) Insbesondere wird der Datenimporteur auf Antrag der betroffenen Person unentgeltlich:

(ii) unrichtige oder unvollständige Daten über die betroffene Person zu berichtigen;

(c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Zwecke der Direktwerbung, so stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person Widerspruch einlegt.

(i) die betroffene Person über die geplante automatisierte Entscheidung, die geplanten Folgen und die zugrunde liegende Logik zu unterrichten, und

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.

MODUL DREI: Übertragung von Prozessor zu Prozessor

MODUL VIER: Übertragung des Prozessors auf den Controller

Klausel 11 - Rechtsmittel

(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch eine individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich.

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Vertragsparteien über die Einhaltung dieser Klauseln bemüht sich die betreffende Vertragspartei nach besten Kräften, die Angelegenheit rechtzeitig gütlich zu regeln. Die Vertragsparteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.

(c) Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht gemäß Ziffer 3, so akzeptiert der Datenimporteur die Entscheidung der betroffenen Person, dies zu tun:

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats, in dem er seinen gewöhnlichen Aufenthalt oder seinen Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde gemäß Ziffer 13 einzureichen;

(ii) die Streitigkeit an die zuständigen Gerichte im Sinne von Ziffer 18 verweisen.

(d) Die Vertragsparteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.

(e) Der Datenimporteur muss sich an eine Entscheidung halten, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte auf Einlegung von Rechtsbehelfen gemäß den geltenden Rechtsvorschriften nicht beeinträchtigt.

Klausel 12 - Haftung

MODUL 1: Übertragung von Controller zu Controller

MODUL VIER: Übertragung des Prozessors auf den Controller

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.

(b) Jede Vertragspartei haftet gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die die Vertragspartei der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten nach diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.

(c) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person hat das Recht, jede dieser Parteien gerichtlich in Anspruch zu nehmen.

(d) Die Vertragsparteien sind sich darüber einig, dass eine Vertragspartei, die nach Buchstabe c) haftbar gemacht wird, berechtigt ist, von der/den anderen Vertragspartei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.

(b) Der Datenimporteur haftet der betroffenen Person gegenüber für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz.

(c) Ungeachtet des Buchstabens b haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten gemäß diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Auftrag eines für die Verarbeitung Verantwortlichen handelt, der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725.

(d) Die Vertragsparteien kommen überein, dass der Datenexporteur für den Fall, dass er gemäß Buchstabe c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil des Schadensersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person hat das Recht, jede dieser Parteien gerichtlich in Anspruch zu nehmen.

(f) Die Vertragsparteien kommen überein, dass eine Vertragspartei, die nach Buchstabe e) haftbar gemacht wird, berechtigt ist, von der/den anderen Vertragspartei(en) den Teil des Schadensersatzes zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.

Klausel 13 - Aufsicht

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

(a) Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Die Aufsichtsbehörde, die dafür zuständig ist, die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung zu gewährleisten, wie in Anhang I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

(b) wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren räumlichen Anwendungsbereich fällt und einen Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt hat: Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.

(c) wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß deren Artikel 3 Absatz 2 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, wie in Anhang I.C angegeben, befinden, wird als zuständige Aufsichtsbehörde tätig.

(b) Der Datenimporteur erklärt sich bereit, sich der Rechtsprechung der zuständigen Kontrollstelle zu unterwerfen und mit ihr in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln zu gewährleisten. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde erlassenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen ergriffen worden sind.

ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN

Klausel 14 - Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

MODUL VIER: Übermittlung des Auftragsverarbeiters an den für die Verarbeitung Verantwortlichen (wobei der EU-Verarbeiter die von dem für die Verarbeitung Verantwortlichen in einem Drittland erhaltenen personenbezogenen Daten mit den vom Auftragsverarbeiter in der EU erhobenen personenbezogenen Daten kombiniert)

(a) Die Vertragsparteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die im Bestimmungsdrittland für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Praktiken, einschließlich etwaiger Vorschriften über die Offenlegung personenbezogener Daten oder Maßnahmen zur Gewährung des Zugangs von Behörden, den Datenimporteur an der Erfüllung seiner Verpflichtungen nach diesen Klauseln hindern. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Vertragsparteien erklären, dass sie bei der Abgabe der unter Buchstabe a) genannten Garantie insbesondere die folgenden Punkte gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übermittlungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übermittlung erfolgt; der Speicherort der übermittelten Daten;

(ii) die Gesetze und Praktiken des Bestimmungsdrittlandes - einschließlich derjenigen, die die Weitergabe von Daten an Behörden vorschreiben oder den Zugang solcher Behörden gestatten -, die angesichts der besonderen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien;

(iii) alle einschlägigen vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingeführt wurden, einschließlich Maßnahmen, die bei der Übermittlung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.

(c) Der Datenimporteur gewährleistet, dass er sich bei der Beurteilung nach Buchstabe b) nach besten Kräften bemüht hat, dem Datenexporteur einschlägige Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.

(d) Die Vertragsparteien kommen überein, die Bewertung nach Buchstabe b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln und während der Laufzeit des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen unter Buchstabe a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z. B. einer Aufforderung zur Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen unter Buchstabe a) übereinstimmt.

(f) Nach einer Meldung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen gemäß diesen Klauseln nicht mehr nachkommen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) fest, die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Kontrollstelle dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, so gilt Klausel 16 Buchstaben d) und e).

Paragraf 15 - Pflichten des Datenimporteurs im Falle des Zugriffs von Behörden

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

15.1 Benachrichtigung

(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (erforderlichenfalls mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:

(i) ein rechtsverbindliches Ersuchen einer Behörde, einschließlich der Justizbehörden, nach dem Recht des Bestimmungslandes um Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Meldung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder

(ii) Kenntnis von einem direkten Zugriff öffentlicher Stellen auf personenbezogene Daten erhält, die gemäß den Rechtsvorschriften des Bestimmungslandes übermittelt wurden; diese Mitteilung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.

(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften zu bemühen, eine Aufhebung des Verbots zu erwirken, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.

c) Der Datenimporteur erklärt sich bereit, dem Datenexporteur während der Laufzeit des Vertrags in regelmäßigen Abständen so viele sachdienliche Informationen wie möglich über die eingegangenen Ersuchen zu übermitteln (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und wie diese Anfechtungen ausgegangen sind usw.), sofern dies nach dem Recht des Bestimmungslandes zulässig ist.

(d) Der Datenimporteur verpflichtet sich, die unter den Buchstaben a) bis c) genannten Informationen während der Laufzeit des Vertrags aufzubewahren und sie der zuständigen Kontrollstelle auf Anfrage zur Verfügung zu stellen.

(e) Die Absätze a) bis c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datensparsamkeit

a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsantrags zu überprüfen, insbesondere, ob er im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und den Antrag anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass der Antrag nach dem Recht des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Verständnisses (comity) rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen mit dem Ziel, die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er gibt die angeforderten personenbezogenen Daten erst dann weiter, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs nach Klausel 14 Buchstabe e).

(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Beurteilung und etwaige Einwände gegen das Auskunftsersuchen zu dokumentieren und die Dokumentation, soweit nach dem Recht des Bestimmungslandes zulässig, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.

(c) Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Auskunftsersuchens das zulässige Mindestmaß an Informationen auf der Grundlage einer angemessenen Auslegung des Ersuchens zur Verfügung zu stellen.

ABSCHNITT IV - SCHLUSSBESTIMMUNGEN

Klausel 16 - Nichteinhaltung der Klauseln und Kündigung

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, so setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 14 Buchstabe f).

(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, zu kündigen, wenn:

(i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Buchstabe b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb eines angemessenen Zeitraums, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(ii) der Datenimporteur in erheblichem Maße oder anhaltend gegen diese Klauseln verstößt; oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesen Klauseln nicht nachkommt.

In diesen Fällen unterrichtet er die zuständige Aufsichtsbehörde über die Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, so kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.

(d) Für Modul Zwei: Personenbezogene Daten, die vor Beendigung des Vertragsverhältnisses gemäß Absatz c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an diesen zurückzugeben oder vollständig zu löschen. Das Gleiche gilt für etwaige Kopien der Daten. Zu Modul Vier: Vom Datenexporteur in der EU erhobene personenbezogene Daten, die vor Beendigung des Vertragsverhältnisses gemäß Buchstabe c übermittelt wurden, sind unverzüglich in ihrer Gesamtheit, einschließlich aller Kopien, zu löschen. Der Datenimporteur hat dem Datenexporteur die Löschung der Daten zu bescheinigen. Bis zur Löschung oder Rückgabe der Daten hat der Datenimporteur weiterhin die Einhaltung dieser Klauseln zu gewährleisten. Für den Fall, dass die für den Datenimporteur geltenden lokalen Gesetze die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die lokalen Gesetze verlangen.

(e) Jede Vertragspartei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17 - Anwendbares Recht

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht die Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht des Mitgliedstaats ist, der in der Datenschutzvereinbarung, der diese Klauseln beigefügt sind, genannt ist.

MODUL VIER: Übertragung des Prozessors auf den Controller

Diese Klauseln unterliegen dem Recht eines Landes, in dem das Recht des Drittbegünstigten gilt. Die Parteien vereinbaren, dass dies das Recht ist, das in der Datenschutzvereinbarung, der diese Klauseln beigefügt sind, genannt wird.

Klausel 18 - Gerichtsstand und Wahl des Gerichtsstands

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

(a) Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte eines EU-Mitgliedstaats zuständig.

(b) Die Vertragsparteien vereinbaren, dass dies die Gerichte des Mitgliedstaats sind, der in der Datenschutzvereinbarung, der diese Klauseln beigefügt sind, genannt ist.

(c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, Klage gegen den Datenexporteur und/oder Datenimporteur erheben.

(d) Die Vertragsparteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

MODUL VIER: Übertragung des Prozessors auf den Controller

Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte des Mitgliedstaats zuständig, der in der Datenschutzvereinbarung, der diese Klauseln beigefügt sind, genannt ist.

APPENDIX

ANHANG I

A. LISTE DER PARTEIEN

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

MODUL VIER: Übertragung des Prozessors auf den Controller

Datenexporteur(en): Kunde, wie in der zugrunde liegenden Vereinbarung angegeben.

1. Name:

Kunde, wie in der zugrunde liegenden Vereinbarung angegeben

Adresse:

Wie in der zugrunde liegenden Vereinbarung festgelegt

Name, Position und Kontaktdaten der Kontaktperson:

Wie in der zugrunde liegenden Vereinbarung festgelegt

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:

Erhalt und Nutzung der Waren, Dienstleistungen und/oder Software im Rahmen des zugrunde liegenden Vertrags.

Rolle (Controller/Prozessor):

Controller

Datenimporteur(e): Lakeside

1. Name:

Lakeside

Adresse:

Wie in der zugrunde liegenden Vereinbarung festgelegt

Name, Position und Kontaktdaten der Kontaktperson:

Wie in der zugrunde liegenden Vereinbarung festgelegt

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten relevant sind:

Erfüllung der zugrunde liegenden Vereinbarung im Sinne des DPA, dem die Standardvertragsklauseln beigefügt sind.

Rolle (Controller/Prozessor):

Prozessor

B. BESCHREIBUNG DER ÜBERTRAGUNG

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

MODUL VIER: Übertragung des Prozessors auf den Controller

Kategorien von betroffenen Personen, deren personenbezogene Daten übermittelt werden.

Tatsächliche und/oder potentielle, direkte und/oder indirekte Kunden, Händler, Auftragnehmer, Verkäufer und andere Personen, die mit Lakeside oder einem oder mehreren mit Lakeside verbundenen Unternehmen Geschäfte machen oder machen könnten, sowie die Agenten und Vertreter der vorgenannten Personen.

Angestellte und/oder direkte oder indirekte Auftragnehmer des Datenexporteurs oder Datenimporteurs, die für den Datenimporteur oder Datenexporteur oder zu dessen Gunsten arbeiten, arbeiten oder gearbeitet haben, sowie diejenigen, die von diesen Personen oder über sie Ansprüche geltend machen.

Kategorien der übermittelten personenbezogenen Daten

Informationen, die üblicherweise in einem Support-Ticket enthalten sind (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse und organisatorische Rolle).

Informationen, die erforderlich sind, um Login- und ähnliche Anmeldeinformationen (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse und organisatorische Funktion) bereitzustellen und aufrechtzuerhalten oder um Rechnungen und Zahlungen zu erhalten.

Informationen, die für die Erbringung von Schulungs- und/oder Beratungsdienstleistungen erforderlich sind (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse, organisatorische Funktion, Standort, Schulungsversuch und erhaltene Schulung).

Übermittlung sensibler Daten (falls zutreffend) und Anwendung von Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weiterübermittlung oder zusätzliche Sicherheitsmaßnahmen.

Keine.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

Kontinuierlich.

Art der Verarbeitung

Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Einsichtnahme, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung und/oder Vernichtung, jeweils in dem Umfang, der für die Erfüllung der zugrunde liegenden Vereinbarung(en) im Sinne der DSGVO, der die Standardvertragsklauseln beigefügt sind, erforderlich ist.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Erfüllung der zugrunde liegenden Vereinbarung(en) und/oder Inanspruchnahme der Vorteile dieser Vereinbarung(en), wie sie in der DPA, der die Standardvertragsklauseln beigefügt sind, vorgesehen sind.

den Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum festgelegt wird

Die Laufzeit der zugrundeliegenden Vereinbarung(en), wie sie in der DPA, der die Standardvertragsklauseln beigefügt sind, vorgesehen sind, sowie jede zusätzliche Zeit, die Lakeside aufgrund dieser zugrundeliegenden Vereinbarung(en) für die Aufbewahrung dieser Informationen benötigt, und in jedem Fall die Zeit, die unter Anwendung branchenüblicher Verfahren für die Löschung dieser Informationen erforderlich ist.

Bei Übermittlungen an (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

Nennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13.

Wie in Klausel 13 beschrieben.

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

MODUL 1: Übertragung von Controller zu Controller

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

Die technischen und organisatorischen Maßnahmen, die gemäß der zugrunde liegenden Vereinbarung(en) erforderlich sind, wie sie in der DSGVO vorgesehen sind, der die Standardvertragsklauseln beigefügt sind.

ANHANG III

LISTE DER UNTERAUFTRAGSVERARBEITER

MODUL ZWEI: Übertragung des Controllers auf den Prozessor

MODUL DREI: Übertragung von Prozessor zu Prozessor

Der für die Verarbeitung Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:

1. Name

Microsoft Corp. (und/oder die mit ihr verbundenen Unternehmen, die Azure-Dienste anbieten)

Adresse

Ein Microsoft-Weg

Redmond, Washington 98052-6399

+1425-882-8080

Name, Position und Kontaktdaten der Kontaktperson:

Microsoft EU-Datenschutzbeauftragter

Ein Microsoft-Platz

South County Business Park

Leopardstown

Dublin 18

D18 P521

Irland

Telefon: +353 (1) 706-3117

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Zuständigkeiten, falls mehrere Unterauftragsverarbeiter zugelassen sind):

Hosting-Dienste, die für die Erbringung der Dienste im Rahmen der zugrunde liegenden Vereinbarung(en) erforderlich sind, wie sie in der DPA, der die Standardvertragsklauseln beigefügt sind, vorgesehen sind.

2. Name

Amazon Web Services, Inc. (und/oder die mit ihr verbundenen Unternehmen, die AWS-Hosting-Dienste anbieten, einschließlich, aber nicht beschränkt auf Amazon Web Services EMEA SARL und Amazon Internet Services Private Limited)

Adresse

410 Terry Avenue Nord

Seattle, Washington 98109-5210,

+1425-882-8080

Name, Position und Kontaktdaten der Kontaktperson:

Amazon Web Services EMEA SARL Datenschutzbeauftragter

38 Avenue John F. Kennedy

L-1855, Luxemburg,

ATTN: AWS EMEA Rechtsabteilung

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Zuständigkeiten, falls mehrere Unterauftragsverarbeiter zugelassen sind):

3. Name

Rackspace Technology, Inc. (und/oder die mit ihr verbundenen Unternehmen, die Hosting-Dienste anbieten)

Adresse

1 Fanatischer Ort

Windcrest, Texas 78218

+1 210-312-4000

Name, Position und Kontaktdaten der Kontaktperson:

Datenschutzbeauftragter

Rackspace Technologie, Inc.

1 Fanatischer Ort

Windcrest, Texas 78218

Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Zuständigkeiten, falls mehrere Unterauftragsverarbeiter zugelassen sind):

Was wir tun

Fähigkeiten

Kerntechnologien

Integrationen

Was wir lösen

Anwendungsfälle

Funktionen

Branchen

Suchen Sie etwas?

Ressourcen

Besuchen Sie uns

Über uns

Verbinden Sie sich mit uns

ZUSATZ ZUR DATENVERARBEITUNG

Plattform

Lösungen

Ressourcenzentrum

Unternehmen