Databehandlingsbilag

Data processing appendix

 

Dieses Anhang bildet einen integralen Bestandteil des Vertrags und wird geschlossen von:

 

  1. (i) Dem Kunden ("Data Exporter")
  2. (ii) IQUALIF ("Data Importer")

 

Jede ist eine "Partei" und gemeinsam "Parteien".

 

Präambel

WENN der Data Importer professionelle Software-Dienstleistungen, Computer und verwandte Dienste (wie Browser mit erweiterten Suchfunktionen) bereitstellt;

WENN gemäß Vertrag der Data Importer zugestimmt hat, dem Data Exporter die im Vertrag spezifizierten Dienste ("Services") bereitzustellen;

WENN durch die Erbringung der Services der Data Importer Zugriff auf Informationen des Data Exporters oder anderer Personen mit (potenzieller) Beziehung zum Data Exporter erhält oder daraus Vorteile zieht, diese Informationen als personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("GDPR") sowie anderer anwendbarer Datenschutzgesetze qualifiziert werden können.

WENN dieser Anhang die Bedingungen enthält, die für die Erhebung, Verarbeitung und Nutzung solcher personenbezogenen Daten durch den Data Importer in seiner Funktion als autorisierter Datenverarbeitungsagent des Data Exporters gelten, um sicherzustellen, dass die Parteien die geltenden Datenschutzgesetze einhalten.

 

DASFALLS haben die Parteien diesen Anhang wie folgt abgeschlossen, um ihre Beziehung rechtmäßig fortzusetzen:

Teil 1

 

1. Aufbau des Dokuments und Definitionen

1.1 Aufbau

Dieser Anhang besteht aus verschiedenen Teilen wie folgt:

 

Teil 1: 

enthält allgemeine Bestimmungen, z.B. bezüglich der in diesem Anhang verwendeten Definitionen, Einhaltung lokaler Gesetze, Zeitplanung und Beendigung

 
Teil 2:

enthält den Kern des unveränderten Standardvertragsklausel-Dokuments

 
Anhang 1.1 von Teil 2:

enthält die Details der vom Data Importer an den Data Exporter bereitgestellten Verarbeitungsvorgänge als autorisierter Datenverarbeitungsagent (einschließlich der Verarbeitung, Natur und Zweck der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien der betroffenen Personen) im Rahmen dieses Anhangs

 
Anhang 2 von Teil 2:

enthält eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen des Data Importers, die im Zusammenhang mit allen in Anhang 1.1 von Teil 2 beschriebenen Verarbeitungstätigkeiten angewendet werden

 
Teil 3:

enthält die Unterschriften der Parteien, die an diesen Anhang gebunden sind, und identifiziert jeden Data Importer

 

 

1.2 Terminologie und Definitionen

Für die Zwecke dieses Anhangs gelten die Terminologie und Definitionen der GDPR (im Text des Standardvertragsklausel-Dokuments in Teil 2, wo definierte Begriffe nicht großgeschrieben sind). 

 

"Mitgliedstaat"

bedeutet ein Land, das zur Europäischen Union oder zum Europäischen Wirtschaftsraum gehört

 
"Besondere Kategorien personenbezogener Daten"

bezieht sich auf personenbezogene Daten, die Rasse- oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder Gewerkschaftsmitgliedschaft offenbaren, sowie genetische Daten, biometrische Daten, wenn sie zum Zweck der eindeutigen Identifizierung einer Person verarbeitet werden, Daten über Gesundheit, Daten über das Sexualleben oder die sexuelle Orientierung einer Person

 
"Standardvertragsklauseln"

bedeuten die Standardvertragsklauseln für die Übermittlung personenbezogener Daten von Verarbeitungsstellen in Drittländern, gemäß Entscheidung der Kommission 2010/87/EU vom 5. Februar 2010, die durch die Durchführungsentscheidung (EU) 2016/2297 vom 16. Dezember 2016 geändert wurde

 
"Datenverarbeiter"

bedeuten jeden Verarbeitungsdienstleister, innerhalb oder außerhalb der EU/EEA, der zustimmt, personenbezogene Daten vom Data Importer oder einem anderen Verarbeiter des Data Importers zu erhalten, ausschließlich zum Zweck der Verarbeitungstätigkeiten, die vom Data Exporter nach der Übertragung gemäß den Anweisungen des Data Exporters, den Bedingungen dieses Anhangs und dem Vertrag mit dem Data Importer durchgeführt werden sollen

 

 

 

2. Pflichten des Data Exporters

2.1 Der Data Exporter ist verpflichtet, die Einhaltung aller anwendbaren Verpflichtungen gemäß der GDPR und anderer anwendbarer Datenschutzgesetze nachzuweisen und diese Einhaltung gemäß Artikel 5 Absatz 2 der GDPR zu gewährleisten. Der Data Exporter garantiert, dass der Data Importer die vorherige Zustimmung der betroffenen Personen gemäß Artikel 6 Buchstabe a der GDPR eingeholt hat und die Verpflichtung, die betroffenen Personen gemäß Artikel 13 und 14 der GDPR zu informieren, erfüllt hat.

2.2 Der Data Exporter muss dem Data Importer die entsprechenden Dateien der Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 1 der GDPR im Zusammenhang mit den Services unter diesem Anhang bereitstellen, soweit dies notwendig ist, damit der Data Importer die Verpflichtungen nach Artikel 30 Absatz 2 der GDPR erfüllen kann.

2.3 Der Data Exporter muss einen Datenschutzbeauftragten oder Vertreter benennen, soweit dies durch anwendbares Datenschutzrecht erforderlich ist. Der Data Exporter ist verpflichtet, die Kontaktdaten des Datenschutzbeauftragten oder Vertreters, falls vorhanden, dem Data Importer mitzuteilen.

2.4 Der Data Exporter bestätigt vor Abschluss der Verarbeitung durch Annahme dieses Anhangs, dass die technischen und organisatorischen Sicherheitsmaßnahmen des Data Importers, wie in Anhang 2 zu Teil 2 festgelegt, angemessen und ausreichend sind, um die Rechte der betroffenen Person zu schützen, und bestätigt, dass der Data Importer in dieser Hinsicht ausreichende Schutzmaßnahmen bietet.

 

3. Einhaltung der örtlichen Gesetze

Zur Erfüllung der Anforderungen bei der Umsetzung der Verarbeitung durch die Beauftragten gemäß Artikel 28 der GDPR gelten folgende Änderungen:

 

3.1 Anweisungen

  1. (i) Der Data Exporter weist den Data Importer an, personenbezogene Daten nur im Auftrag des Data Exporters zu verarbeiten. Die Anweisungen des Data Exporters sind in diesem Anhang und im Vertrag enthalten. Der Data Exporter ist verpflichtet, sicherzustellen, dass alle Anweisungen, die an den Data Importer gegeben werden, mit den geltenden Datenschutzgesetzen übereinstimmen. Der Data Importer darf personenbezogene Daten nur gemäß den vom Data Exporter vorgegebenen Anweisungen verarbeiten, es sei denn, das Europäische Recht oder das Recht des Mitgliedstaates (im letzteren Fall gilt Klausel 3.2 (iv) (c) des Anhangs) verlangt etwas anderes.
  2. (ii) Alle weiteren Anweisungen, die über die in diesem Anhang oder im Vertrag enthaltenen Anweisungen hinausgehen, müssen im Gegenstand dieses Anhangs und des Vertrags enthalten sein. Falls die Umsetzung dieser zusätzlichen Anweisung Kosten für den Data Importer verursacht, muss dieser den Data Exporter vor der Umsetzung über diese Kosten informieren und eine Erklärung abgeben. Erst nach Bestätigung durch den Data Exporter, diese Kosten zu übernehmen, darf der Data Importer die zusätzliche Anweisung umsetzen. Der Data Exporter muss zusätzliche Anweisungen schriftlich geben, es sei denn, Dringlichkeit oder andere besondere Umstände erfordern eine andere Form (z.B. mündlich, elektronisch). Anweisungen in anderer Form als schriftlich müssen vom Data Exporter schriftlich bestätigt werden.
  3. 1. Sofern der Data Exporter die Berichtigung, Löschung oder Einschränkung personenbezogener Daten nicht selbst vornehmen kann, können sich die Anweisungen auch auf die Berichtigung, Löschung und/oder Einschränkung personenbezogener Daten gemäß Klausel 3.3 beziehen.
  4. 2. Der Data Importer muss den Data Exporter unverzüglich informieren, wenn er der Meinung ist, dass eine Anweisung gegen die GDPR oder andere anwendbare Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaates verstößt ("Streitige Anweisung"). Falls der Data Importer der Ansicht ist, dass eine Anweisung gegen die GDPR oder andere anwendbare Datenschutzbestimmungen verstößt, ist er nicht verpflichtet, die streitige Anweisung auszuführen. Wenn der Data Exporter die streitige Anweisung nach Eingang der Information vom Data Importer bestätigt und seine Verantwortung für die streitige Anweisung anerkennt, wird der Data Importer die streitige Anweisung umsetzen, es sei denn, die Anweisung betrifft (i) die Umsetzung technischer und organisatorischer Maßnahmen, (ii) die Rechte der betroffenen Personen oder (iii) die Beauftragung von Datenverarbeitern. In den Fällen (i) bis (iii) kann der Data Importer eine zuständige Aufsichtsbehörde kontaktieren, um die rechtliche Bewertung der streitigen Anweisung durch diese Behörde vornehmen zu lassen. Wenn die Aufsichtsbehörde die angefochtene Anweisung für rechtmäßig erklärt, wird der Data Importer die angefochtene Anweisung umsetzen. Klausel 3.1 (ii) bleibt hiervon unberührt.

 

3.2 Pflichten des Data Importers

  1. (i) Der Data Importer muss sicherstellen, dass Personen, die vom Data Importer zur Verarbeitung personenbezogener Daten im Auftrag des Data Exporters autorisiert sind, insbesondere Mitarbeiter des Data Importers und Mitarbeiter etwaiger Subunternehmer, Vertraulichkeit vereinbart haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass diese Personen, die Zugriff auf personenbezogene Daten haben, diese gemäß den Anweisungen des Data Exporters verarbeiten.
  2. (ii) Der Data Importer muss die in Anhang 2 zu Teil 2 festgelegten technischen und organisatorischen Sicherheitsmaßnahmen vor der Verarbeitung personenbezogener Daten im Auftrag des Data Exporters umsetzen. Der Data Importer kann die technischen und organisatorischen Sicherheitsmaßnahmen von Zeit zu Zeit ändern, sofern sie keinen geringeren Schutz bieten als die in Anhang 2 zu Teil 2 festgelegten.
  3. (iii) Der Data Importer stellt dem Data Exporter auf Anfrage Informationen zur Verfügung, die die Einhaltung der Verpflichtungen des Data Importers im Rahmen dieses Anhangs nachweisen, z.B. durch einen Auditbericht ("Audit"). Der Data Exporter kann zusätzliche Prüfungen durch den Data Exporter oder einen von ihm beauftragten Prüfer verlangen, sofern dies gesetzlich erforderlich ist, unter der Bedingung, dass der Prüfer eine Vertraulichkeitsvereinbarung mit dem Data Importer unterzeichnet ("Audit"). Dieses Audit unterliegt den folgenden Bedingungen: (i) vorherige formale schriftliche Zustimmung des Data Importers; (ii) der Data Exporter trägt alle Kosten für das Vor-Ort-Audit. Der Data Exporter erstellt einen Bericht, der die Ergebnisse und Beobachtungen des Vor-Ort-Audits zusammenfasst ("Vor-Ort-Audit-Bericht"). Die Vor-Ort-Audit-Berichte und die Audit-Berichte sind vertrauliche Informationen des Data Importers und dürfen nur im Rahmen der geltenden Datenschutzgesetze oder mit Zustimmung des Data Importers an Dritte weitergegeben werden.
  4. (iv) Der Data Importer ist verpflichtet, den Data Exporter unverzüglich zu informieren:
    1. a. über jede rechtlich bindende Anfrage auf Offenlegung personenbezogener Daten durch eine Strafverfolgungsbehörde, sofern keine andere gesetzliche Einschränkung besteht, z.B. ein Verbot im Strafrecht zum Schutz der Vertraulichkeit einer polizeilichen Untersuchung
    2. b. über jede Beschwerde und Anfrage, die direkt von einer betroffenen Person (z.B. bezüglich Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Datenverarbeitung, automatisierte Entscheidung) eingeht, ohne auf diese Anfrage zu reagieren, sofern der Data Importer dazu nicht befugt ist
    3. c. wenn der Data Importer oder Datenverarbeiter gesetzlich verpflichtet ist, die personenbezogenen Daten über die Anweisungen des Data Exporters hinaus zu verarbeiten, bevor eine solche Verarbeitung erfolgt, es sei denn, das Recht der Europäischen Union oder eines Mitgliedstaates verbietet eine solche Verarbeitung aus lebenswichtigen öffentlichen Interessen, in diesem Fall muss die Mitteilung an den Data Exporter die rechtliche Grundlage nach diesem Recht angeben; oder
    4. d. wenn der Data Importer eine Verletzung personenbezogener Daten erkennt, ausschließlich durch sich selbst oder seinen Subunternehmer, die die personenbezogenen Daten des Data Exporters betreffen, in diesem Fall wird der Data Importer den Data Exporter bei seiner Verpflichtung unterstützen, die betroffenen Personen und ggf. die Aufsichtsbehörden gemäß Artikel 33 Absatz 3 der GDPR zu informieren, indem er die verfügbaren Informationen bereitstellt.
    5. (v) Auf Wunsch des Data Exporters muss der Data Importer den Data Exporter bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 der GDPR und einer vorherigen Konsultation gemäß Artikel 36 der GDPR unterstützen, indem er die erforderlichen Informationen bereitstellt. Der Data Importer ist nur verpflichtet, diese Unterstützung zu leisten, wenn der Data Exporter seine Verpflichtung anderweitig nicht erfüllen kann. Der Data Importer informiert den Data Exporter über die Kosten dieser Unterstützung. Sobald der Data Exporter bestätigt, diese Kosten tragen zu können, wird der Data Importer diese Unterstützung leisten.
    6. (vi) Am Ende der Dienstleistungserbringung kann der Data Exporter die Rückgabe der vom Data Importer im Rahmen dieses Anhangs verarbeiteten personenbezogenen Daten innerhalb eines Monats nach Abschluss der Dienste verlangen. Sofern das Recht des Mitgliedstaates oder der Europäischen Union die Speicherung oder Aufbewahrung dieser personenbezogenen Daten vorschreibt, löscht der Data Importer alle diese Daten nach Ablauf des Monats, unabhängig davon, ob sie auf Wunsch des Data Exporters zurückgegeben wurden oder nicht.

 

3.3 Rechte der betroffenen Personen

  1.  
    1. (i) Der Data Exporter verwaltet und reagiert auf Anfragen der betroffenen Personen. Der Data Importer ist nicht verpflichtet, direkt auf die betroffenen Personen zu reagieren.
    2. (ii) Wenn der Data Exporter die Unterstützung des Data Importers bei der Verarbeitung und Beantwortung der Anfragen der betroffenen Personen benötigt, erteilt der Data Exporter eine weitere Anweisung gemäß Klausel 3.1 (ii) von Teil 1. Der Data Importer unterstützt den Data Exporter mit den folgenden geeigneten technischen und organisatorischen Maßnahmen, um auf die Anfragen zur Ausübung der Rechte der betroffenen Personen gemäß Kapitel III der GDPR zu reagieren:
    3. a. Bei Anfragen nach Auskunft stellt der Data Importer dem Data Exporter nur die Informationen zur Verfügung, die ihm gemäß Artikel 13 und 14 der GDPR vorliegen, falls der Data Exporter diese nicht selbst finden kann.
    4. b. Bei Anfragen auf Auskunft (Artikel 15 der GDPR) stellt der Data Importer nur die Informationen bereit, die dem Data Exporter für die genannte Anfrage zur Verfügung stehen, falls dieser sie nicht selbst finden kann.
    5. c. Bei Anfragen auf Berichtigung (Artikel 16 der GDPR), Löschung (Artikel 17 der GDPR), Einschränkung der Verarbeitung (Artikel 18 der GDPR) oder Datenübertragbarkeit (Artikel 20 der GDPR), und nur wenn der Data Exporter diese nicht selbst vornehmen kann, bietet der Data Importer dem Data Exporter die Möglichkeit, die betreffenden Daten zu berichtigen, zu löschen, einzuschränken oder an einen anderen Dritten zu übertragen, oder unterstützt bei der Durchführung dieser Maßnahmen.
    6. d. Bei Mitteilungen über Berichtigung, Löschung oder Einschränkung der Verarbeitung (Artikel 19 der GDPR) unterstützt der Data Importer den Data Exporter, indem er alle Empfänger der personenbezogenen Daten, die vom Data Importer als Verarbeiter beteiligt sind, benachrichtigt, falls der Data Exporter dies verlangt und wenn der Data Exporter die Situation nicht selbst beheben kann.
    7. e. Bei Widerspruchsrechten der betroffenen Person (Artikel 21 und 22 der GDPR) entscheidet der Data Exporter, ob der Widerspruch gerechtfertigt ist und wie damit umzugehen ist.
    8. (iii) Die Unterstützungspflichten des Data Importers beschränken sich auf personenbezogene Daten, die innerhalb seiner Infrastruktur verarbeitet werden (z.B. Datenbanken, Systeme, Anwendungen, die im Eigentum des Data Importers stehen oder vom Data Importer bereitgestellt werden).
    9. (iv) Der Data Exporter entscheidet, ob eine betroffene Person die in Klausel 3.1 dieses Teils 1 genannten Rechte ausüben darf, und informiert den Data Importer darüber, in welchem Umfang die Unterstützung gemäß Klauseln 3.3 (ii), (iii) erforderlich ist.
    10. (v) Wenn der Data Exporter zusätzliche oder geänderte technische und organisatorische Maßnahmen verlangt, um die Rechte der betroffenen Personen zu gewährleisten, die über die Unterstützung gemäß Klauseln 3.3 (ii), (iii) hinausgehen, informiert der Data Importer den Data Exporter über die Kosten dieser Maßnahmen. Sobald der Data Exporter bestätigt, diese Kosten tragen zu können, setzt der Data Importer diese Maßnahmen um, um den Data Exporter bei der Beantwortung der Anfragen der betroffenen Personen zu unterstützen.
    11. (vi) Ohne die Begrenzung des Umfangs von Klausel 3.3 (v) ist der Data Exporter verpflichtet, dem Data Importer die angemessenen Kosten für die Beantwortung der Anfragen der betroffenen Personen zu erstatten.

 

3.4 Unterverarbeitung

  1.  
    1. (i) Der Data Exporter genehmigt die Nutzung von Subunternehmern durch den Data Importer für die Erbringung der Dienste im Rahmen dieses Anhangs. Der Data Importer wählt die Datenverarbeiter sorgfältig aus. Der Data Exporter genehmigt die in Anhang 1.1 am Ende von Teil 2 aufgeführten Datenverarbeiter.
    2. (ii) Der Data Importer überträgt seine Verpflichtungen aus diesem Anhang auf die Datenverarbeiter (falls zutreffend) im Umfang der ausgelagerten Dienste.
    3. (iii) Der Data Importer kann die Datenverarbeiter nach eigenem Ermessen absetzen, ersetzen oder einen anderen geeigneten und zuverlässigen Datenverarbeiter beauftragen. Auf schriftliche Anfrage des Data Exporters muss der Data Importer das folgende Verfahren einhalten:
  2.  
    1. a. Der Data Importer informiert den Data Exporter vor Änderungen an der Liste der in Klausel 3.4 (i) genannten Datenverarbeiter. Wenn der Data Exporter innerhalb von dreißig Tagen nach Erhalt der Mitteilung keine Einwände erhebt, gelten die zusätzlichen Datenverarbeiter als akzeptiert.
    2. b. Wenn der Data Exporter einen legitimen Grund hat, gegen einen zusätzlichen Datenverarbeiter Einwände zu erheben, muss er dies dem Data Importer innerhalb von dreißig Tagen nach Erhalt der Mitteilung schriftlich mitteilen, bevor der Dienst des Data Importers in Betrieb genommen wird. Wenn der Data Exporter Einwände gegen die Nutzung eines zusätzlichen Datenverarbeiters erhebt, kann der Data Importer die Einwendung durch eine der folgenden Optionen ausräumen (nach eigenem Ermessen): (A) Der Data Importer storniert die Pläne, einen zusätzlichen Verarbeiter im Hinblick auf die personenbezogenen Daten des Data Exporters zu verwenden; (B) Der Data Importer ergreift die vom Data Exporter geforderten Korrekturmaßnahmen (Stornierung der Einwendung) und nutzt den zusätzlichen Verarbeiter für die personenbezogenen Daten des Data Exporters; (C) Der Data Importer kann die Erbringung der Dienste einstellen oder der Data Exporter stimmt zu, bestimmte Aspekte des Dienstes (vorübergehend oder dauerhaft) nicht zu verwenden, die die Nutzung des weiteren Verarbeiters des Data Exporters betreffen.
  3.  
    1. (iv) Falls der Datenverarbeiter außerhalb der EU/EEA in einem Land ansässig ist, das nach einer Entscheidung der Europäischen Kommission kein angemessenes Datenschutzniveau bietet, wird der Data Importer Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau gemäß der GDPR zu gewährleisten (diese Maßnahmen können unter anderem die Verwendung von Datenverarbeitungsverträgen auf Basis der EU-Standardklauseln, Übertragungen an selbstzertifizierte Datenverarbeiter im Rahmen des EU-US Privacy Shield oder eines ähnlichen Programms umfassen).

 

3.5 Ablauf

Die Laufzeit dieses Anhangs entspricht dem Ablaufdatum des entsprechenden Vertrags. Sofern in diesem Anhang nichts anderes vorgesehen ist, gelten die Rechte und Pflichten bezüglich der Beendigung wie im Vertrag enthalten.

 

4. Haftungsbeschränkung

4.1 Jede Partei erfüllt ihre Verpflichtungen im Rahmen dieses Anhangs und der anwendbaren Datenschutzgesetze.

4.2 Jegliche Haftung im Zusammenhang mit einem Verstoß gegen die Verpflichtungen aus diesem Anhang oder den anwendbaren Datenschutzgesetzen richtet sich nach den im Vertrag oder für den Vertrag geltenden Haftungsbestimmungen, sofern in diesem Anhang nichts anderes bestimmt ist. Wenn die Haftung durch die Haftungsbestimmungen des Vertrags geregelt ist, gilt jede Haftung, die sich aus diesem Anhang ergibt, als aus dem Vertrag stammend, insbesondere bei der Berechnung von Haftungsgrenzen oder der Anwendung anderer Haftungsbeschränkungen.

 

5. Allgemeine Bestimmungen

5.1 Bei Unstimmigkeiten oder Abweichungen zwischen Teil 1 und Teil 2 dieses Anhangs hat Teil 2 Vorrang. Insbesondere bleibt Teil 1, das über Teil 2 hinausgeht (d.h. die Bedingungen der Standardklauseln), gültig, sofern es nicht im Widerspruch zu Teil 2 steht.

5.2 Bei Unklarheiten darüber, ob Klauseln in anderen Verträgen die Datenschutzpflichten der Parteien betreffen, hat dieser Anhang Vorrang.

5.3 Sollte eine Bestimmung dieses Anhangs unwirksam oder nicht durchsetzbar sein, bleiben die übrigen Bestimmungen in Kraft. Die unwirksame oder nicht durchsetzbare Bestimmung wird so geändert, dass sie wirksam und durchsetzbar ist, soweit dies möglich ist, unter Wahrung der Absicht der Parteien, oder – falls dies nicht möglich ist – so ausgelegt, als ob der unwirksame oder nicht durchsetzbare Teil nie Teil des Vertrags war. Dies gilt auch bei einer Lücke in diesem Anhang.

5.5 Soweit erforderlich, können die Parteien Änderungen an Teil 1, Klausel 3 (Einhaltung der örtlichen Gesetze) oder anderen Teilen des Anhangs verlangen, um den Vorgaben, Richtlinien oder Anordnungen der zuständigen Behörden der Union oder der Mitgliedstaaten, nationalen Durchsetzungsbestimmungen oder sonstigen rechtlichen Entwicklungen im Zusammenhang mit der GDPR oder anderen Bedingungen der Delegation an beteiligte Stellen, insbesondere im Hinblick auf die Verwendung der Standardklauseln, zu entsprechen. Die Bedingungen der Standardklauseln dürfen nur mit ausdrücklicher Genehmigung der Europäischen Kommission geändert oder ersetzt werden (z.B. durch neue angemessene Klauseln und Datenschutzstandards).

5.6 Jegliche Bezugnahme in diesem Anhang auf die "Klauseln" gilt als Bezug auf alle Bestimmungen dieses Anhangs, sofern nicht anders angegeben.

5.7 Die Rechtswahl in Teil 2, Klausel 9 gilt für den gesamten Vertrag.

 

6. Persönliche Daten, die von den Parteien für persönliche Zwecke übertragen und verarbeitet werden (Übertragung vom Verantwortlichen zum Verantwortlichen)

6.1 Die Parteien sind sich voll bewusst, dass bestimmte personenbezogene Daten vom Data Exporter an den Data Importer und umgekehrt übertragen werden, und dass diese Daten von jeder Partei für eigene Zwecke verarbeitet werden. In Bezug auf solche personenbezogenen Daten berührt dies nicht die anderen Bestimmungen dieses Anhangs (außer dieser Klausel 6).

6.2 Der Data Exporter kann personenbezogene Daten über das Personal des Data Importers an den Data Importer übertragen, einschließlich Informationen zu Sicherheitsvorfällen oder anderen Dokumenten oder Dateien, die vom Data Exporter im Zusammenhang mit den vom Personal des Data Importers erbrachten Diensten erstellt oder erstellt wurden. Der Data Importer darf solche personenbezogenen Daten für eigene Zwecke verarbeiten, insbesondere im beruflichen Verhältnis mit dem Personal des Data Importers, für Qualitätskontrolle, Schulungen oder geschäftliche Zwecke.

6.3 Der Data Importer kann personenbezogene Daten an den Data Exporter übertragen, einschließlich Name und Kontaktdaten des Personals des Data Importers. Der Data Exporter darf solche personenbezogenen Daten für eigene Zwecke verarbeiten.

6.4 Beide Parteien müssen alle anwendbaren Datenschutzgesetze einhalten, einschließlich der GDPR, bei der Erhebung, Verarbeitung und Nutzung solcher personenbezogenen Daten, die sie im Rahmen von Klausel 1 von Teil 1 vom anderen erhalten. Insbesondere müssen beide Parteien angemessene Sicherheitsmaßnahmen ergreifen, die ein ähnliches Schutzniveau wie die in Anhang 2 zu Teil 2 festgelegten Sicherheitsmaßnahmen bieten. Der Zugriff auf solche personenbezogenen Daten ist auf die Notwendigkeit beschränkt, sie zu kennen.

6.5 Beide Parteien müssen diese personenbezogenen Daten so schnell wie möglich nach Erreichung der Ziele löschen.