Anhang zur Datenverarbeitung

 

Dieser Anhang bildet einen integralen Bestandteil des Vertrags und wird abgeschlossen von:

 

  1. (i) Dem Kunden ("Datenexporteur")
  2. (ii) IQUALIF ("Datenimporteur")

 

die jeweils eine "Partei" und gemeinsam "Parteien" sind.

 

Präambel

WO  der Datenimporteur professionelle Software-, Computer- und verwandte Dienstleistungen (wie z.B. Browser mit erweiterten Suchfunktionen) anbietet; 

IN DER ERWÄGUNG, dass der Datenimporteur gemäß dem Vertrag zugestimmt hat, dem Datenexporteur gemäß dem Vertrag zugestimmt hat, dem Datenexporteur die im Vertrag spezifizierten Dienstleistungen (die "Dienstleitungen") zu erbringen;

WO der Datenimporteur durch die Erbringung der Dienstleistungen Zugang  zu den Informationen des Datenexporteurs oder zu den Informationen anderer Personen, die in einer (potenziellen) Beziehung zum Datenexporteur stehen, erhält oder davon profitiert, wobei diese Informationen als personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("GDPR") und anderer anwendbarer Datenschutzgesetze qualifiziert werden können. 

WO dieser Anhang die Bedingungen enthält, die für die Erhebung, Verarbeitung und Nutzung solcher personenbezogenen Daten durch den Datenimporteur in seiner Eigenschaft als bevollmächtigter Datenverarbeitungsbeauftragter des Datenexporteurs gelten, um sicherzustellen, dass die Parteien das geltende Datenschutzrecht einhalten.

 

DARUM, und damit die Parteien ihre Beziehung rechtmäßig fortsetzen können, haben die Parteien diesen Anhang wie folgt abgeschlossen:

Teil 1

 

1. Aufbau des Dokuments und Definitionen

1.1 Aufbau

Dieser Anhang besteht aus verschiedenen Teilen wie folgt:

 

Teil 1: 

enthält allgemeine Bestimmungen, z. B. zu den in diesem Anhang verwendeten Definitionen, zur Einhaltung lokaler Gesetze, zum Zeitrahmen und zur Terminierung. 

 

Teil 2:

umfasst den Hauptteil des unveränderten Standardvertragsklauseldokuments

 

Anhang 1.1 zu Teil 2:

enthält die Einzelheiten der Verarbeitungsvorgänge, die der Datenimporteur dem Datenexporteur als autorisiertem Datenverarbeitungsbeauftragten zur Verfügung stellt (einschließlich der Verarbeitung, der Art und des Zwecks der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien der betroffenen Personen) gemäß diesem Anhang

 

Anhang 2 zu Teil 2:

enthält eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, die im Zusammenhang mit allen in Anlage 1.1 von Teil 2 beschriebenen Verarbeitungstätigkeiten angewendet werden

 

Teil 3:

enthält die Unterschriften der Parteien, die durch diesen Anhang gebunden sind, und identifiziert jeden Datenimporteur

 

 

1.2 Terminologie und Definitionen

Für Zwecke dieses Anhangs gelten die von der DSGVO verwendete Terminologie und Definitionen (im Hauptteil des Standardvertragsklauseldokuments in Teil 2, wo definierte Begriffe nicht großgeschrieben werden)

 

"Mitgliedsstaaten"

bedeutet ein Land, welches der Europäischen Union oder dem Europäischen Wirtschaftsraum angehört

 

"Sonderkategorien von (personenbezogenen) Daten"

bezieht sich auf personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie auf genetische Daten, biometrische Daten, sofern sie zur eindeutigen Identifizierung einer Person verarbeitet werden, Daten zum Gesundheitszustand, Daten über das Sexualleben oder die sexuelle Orientierung einer Person 

 

"Standard-Vertragsklauseln"

bezieht sich auf die Standardvertragsklauseln für die Übermittlung personenbezogener Daten von in Drittländern ansässigen Verarbeitern gemäß dem Beschluss 2010/87/EU der Kommission vom 5. Februar 2010, der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geändert wurde

 

“Datenverarbeiter”

bezeichnet jeden innerhalb oder außerhalb der EU/des EWR ansässigen Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder einem anderen Auftragsverarbeiter des Datenimporteurs personenbezogene Daten zum ausschließlichen Zweck der Verarbeitungstätigkeiten zu erhalten, die vom Datenexporteur nach der Übermittlung gemäß den Anweisungen des Datenexporteurs, den Bedingungen dieses Anhangs und dem Vertrag mit dem Datenimporteur durchzuführen sind

 

 

 

2. Pflichten des Datenexporteurs

2.1 Der Datenexporteur ist verpflichtet, die Einhaltung aller anwendbaren Verpflichtungen gemäß der DSGVO und aller anwendbaren Verpflichtungen gemäß der DSGVO und aller anderen anwendbaren Datenschutzgesetze, die für den Datenexporteur gelten, sicherzustellen und diese Einhaltung gemäß Artikel 5 (2) Der DSGVO nachzuweisen. Der Datenexporteur gewährleistet, dass der Datenimporteur die vorherige Einwilligung der betroffenen Personen gemäß Artikel 6 (a) der DSGVO eingeholt hat und seiner Verpflichtung zur Information der betroffenen Personen gemäß Artikel 13 und 14 der DSGVO nachgekommen ist. 

2.2 Der Datenexporteur muss dem Datenimporteur die jeweiligen Dateien der Datenverarbeitungsprozesse gemäß Artikel 30 (1) der DSGVO im Zusammenhang mit den Dienstleistungen gemäß diesem Anhang zur Verfügung stellen, soweit dies für den Datenimporteur erforderlich ist, um die Verpflichtungen gemäß Artikel 30 (2) der DSGVO zu erfüllen. 

2.3 Der Datenexporteur muss einen Datenschutzbeauftragten oder -vertreter benennen, soweit dies nach geltendem Datenschutzrecht erforderlich ist. Der Datenexporteur ist verpflichtet, die Kontaktdaten des Datenschutzbeauftragten oder -vertreters, sofern vorhanden, dem Datenimporteur mitzuteilen. 

2.4. Der Datenexporteur bestätigt vor Abschluss der Verarbeitung durch Annahme dieser Anlage, dass die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs gemäß Anlage 2 zu Teil 2 angemessen und ausreichend sind, um die Rechte der betroffenen Personen zu schützen und bestätigt, dass der Datenimporteur diesbezüglich ausreichende Sicherheitsmaßnahmen trifft. 

 

3. Einhaltung lokaler Gesetze

Um die Anforderungen der Implementierung der Verarbeitungsbeauftragten nach Artikel 28 der DSGVO zu erfüllen, gelten die folgenden Ergänzungen: 

 

3.1 Anweisungen

  1. (i) Der Datenexporteur weist den Datenimporteur an, personenbezogene Daten nur im Auftrag des Datenexporteurs zu verarbeiten. Die Anweisungen des Datenexporteurs sind in diesem Anhang und im Vertrag aufgeführt. Der Datenexporteur ist verpflichtet, sicherzustellen, dass alle Anweisungen, die dem Datenimporteur erteilt wurden, mit den geltenden Datenschutzgesetzen übereinstimmen. Der Datenimporteur darf personenbezogene Daten nur in Übereinstimmung mit den Anweisungen des Datenexporteurs verarbeiten, es sei denn, die Europäische Union oder das Recht des Mitgliedstaates schreibt etwas anderes vor (im letzteren Fall gilt Teil 1 Ziffer 3.2 (iv) (c)).
  2. (ii) Alle anderen Anweisungen, die über die Anweisungen in diesem Anhang oder im Vertrag hinausgehen, müssen in den Vertragsgegenstand dieses Anhangs und des Vertrages aufgenommen werden. Ist die Umsetzung dieser zusätzlichen Weisung für den Datenimporteur mit Kosten verbunden, so hat der Datenimporteur den Datenexporteur vor der Umsetzung der Weisung über diese Kosten zu informieren und zu begründen. Erst nachdem der Datenexporteur die Übernahme dieser Kosten für die Umsetzung der Weisung bestätigt hat, wird der Datenimporteur diese zusätzliche Weisung umsetzen. Der Datenexporteur muss zusätzliche Weisungen schriftlich erteilen, es sei denn, die Dringlichkeit oder andere besondere Umstände erfordern eine andere Form (z.B. mündlich, elektronisch). Weisungen in einer anderen Form als der schriftlichen Form müssen vom Datenexporteur unverzüglich schriftlich bestätigt werden. 
  3. 1. Sofern der Datenexporteur die Berichtigung, Löschung oder Einschränkung personenbezogener Daten nicht selbst durchführen kann, können sich die Anweisungen auch auf die Berichtigung, Löschung und/oder Einschränkungen personenbezogener Daten gemäß Teil 1 Ziffer 3.3 beziehen. 
  4. 2. Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn eine Anweisung seiner Meinung nach gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaates verstößt ("Angefochtene Anweisungen"). Wenn der Datenimporteur der Ansicht ist, dass eine Anweisung gegen die DSGVO oder andere anwendbare Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaates verstößt, ist der Datenimporteur nicht verpflichtet, die beanstandete Anweisung zu befolgen. Bestätigt der Datenexporteur die beanstandete Weisung nach Erhalt der Information durch den Datenimporteur und erkennt er seine Verantwortung für die beanstandete Weisung an, so hat der Datenimporteur die beanstandete Weisung umzusetzen, es sei denn, die beanstandete Weisung bezieht sich auf (i) die Umsetzung technischer und organisatorischer Maßnahmen, (ii) die Rechte der betroffenen Personen oder (iii) die Beauftragung von Datenverarbeitern. In den Fällen (i) bis (iii) kann sich der Datenimporteur an eine zuständige Aufsichtsbehörde wenden, um die beanstandete Weisung durch diese rechtlich bewerten zu lassen. Erklärt die Aufsichtsbehörde die beanstandete Weisung für rechtmäßig, hat der Datenimporteur die beanstandete Weisung umzusetzen. Teil 1 Ziff. 3.1 (ii) bleibt wirksam. 

 

3.2 Pflichten des Datenimporteurs

  1. (i) Der Datenimporteur hat sicherzustellen, dass die vom Datenimporteur zur Verarbeitung personenbezogener Daten im Auftrag des Datenexporteurs beauftragten Personen, insbesondere Mitarbeiter des Datenimporteurs und Mitarbeiter etwaiger Subunternehmer, sich zur Verschwiegenheit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen, und dass diese Personen, die Zugang zu personenbezogenen Daten haben, diese nach den Weisungen des Datenexporteurs verarbeiten. 
  2. (ii) Der Datenimporteur muss die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 2 zu Teil 2 umsetzen, bevor er die personenbezogenen Daten im Auftrag des Datenexporteurs verarbeitet. Der Datenimporteur kann die technischen und organisatorischen Sicherheitsmaßnahmen von Zeit zu Zeit ändern, wenn sie keinen geringeren Schutz bieten als die in Anlage 2 zu Teil 2 festgelegten. 
  3. (iii) Der Datenimporteur stellt dem Datenexporteur auf Anfrage des Datenexporteurs Informationen zur Verfügung, die die Einhaltung der Verpflichtungen des Datenimporteurs nach diesem Anhang belegen. Die Parteien sind sich darüber einig, dass diese Informationspflicht dadurch erfüllt wird, dass der Datenexporteur dem Datenimporteur einen Auditbericht (über die Sicherheit der Grundsätze, die Systemverfügbarkeit und die Vertraulichkeit) zur Verfügung stellt ("Auditbericht"). Falls zusätzlich Audittätigkeiten gesetzlich vorgeschrieben sind, kann der Datenexporteur verlangen, dass Inspektionen durch den Datenexporteur oder einen anderen vom Datenexporteur beauftragten Auditor durchgeführt werden, vorbehaltlich der Unterzeichnung einer Vertraulichkeitsvereinabarung mit dem Datenimporteur durch diesen Auditor zur angemessenen Zufriedenheit des Datenimporteurs ("Audit"). Dieses Audit unterliegt den folgenden Bedingungen: (i) die vorherige formelle schriftliche Zustimmung des Datenimporteur; und (ii) der Datenexporteur trägt alle Kosten im Zusammenhang mit dem Vor-Ort-Audit für den Datenexporteur und den Datenimporteur. Der Datenexporteur muss einen Auditbericht erstellen, der die Ergebnisse und Beobachtungen des Vor-Ort-Audits zusammenfasst ("Vor-Ort-Auditbericht"). Die Vor-Ort-Auditberichte und die Auditberichte sind vertrauliche Informationen des Datenimporteurs und dürfen nicht an Dritte weitergegeben werden, es sei denn, dies ist nach geltendem Datenschutzrecht oder mit Zustimmung des Datenimporteurs erforderlich.
  4. (iv) Der Datenimporteur ist verpflichtet, den Datenexporteur unverzüglich zu informieren:
    1. a. in Bezug auf jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung personenbezogener Daten, sofern dies nicht anderweitig untersagt ist, wie z.B. ein strafrechtliches Verbot zum Schutz der Vertraulichkeit einer strafrechtlichen Untersuchung
    2. b. bezüglich Beschwerden und Anfragen, die direkt von einer betroffenen Person eingehen (z.B. bezüglich Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Datenverarbeitung, automatisierte Entscheidungsfindung), ohne auf diese Anfrage zu reagieren, es sei denn, der Datenimporteur wurde dazu ermächtigt
    3. c. wenn der Datenimporteur oder der Datenverarbeiter nach dem Recht der Europäischen Union oder des Mitgliedstaates, dem der Datenimporteur oder der Datenverarbeiter unterliegt, verpflichtet ist, die personenbezogenen Daten über die Weisung des Datenexporteurs hinaus zu verarbeiten, bevor er diese Verarbeitung über die Weisung hinaus durchführt, es sei denn, das Recht der Europäischen Union oder des Mitgliedstaates verbietet eine solche Verarbeitung aus Gründen eines wichtigen öffentlichen Interesses; in diesem Fall ist in der Meldung an den Datenexporteur die rechtliche Verpflichtung nach diesem Recht der Europäischen Union oder des Mitgliedstaates anzugeben; oder
    4. d. wenn der Datenimporteur allein durch sich selbst oder seinen Subunternehmer einen Verstoß gegen personenbezogene Daten feststellt, der sich auf die unter diesen Vertrag fallenden personenbezogenen Daten des Datenexporteurs auswirken würde; in diesem Fall unterstützt der Datenimporteur den Datenexporteur bei seiner Verpflichtung gegenüber dem geltenden Datenschutzrecht, die betroffenen Personen und gegebenenfalls die Aufsichtsbehörden zu informieren, indem er die ihm zur Verfügung stehenden  Informationen gemäß Artikel 33 (3) der DSGVO bereitstellt. 
    5. (v) Auf Anfrage des Datenexporteurs ist der Datenimporteur verpflichtet, den Datenexporteur bei seiner Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung, die gemäß Artikel 35 der DSGVO erforderlich sein kann, und einer vorherigen Konsultation, die gemäß Artikel 36 der DSGVO erforderlich sein kann, in Bezug auf die vom Datenimporteur für den Datenexporteur gemäß diesem Anhang erbrachten Dienstleistungen zu unterstützen, indem er dem Datenexporteur die erforderlichen Informationen zur Verfügung stellt. Der Datenimporteur ist nur dann zu einer solchen Unterstützung verpflichtet, wenn der Datenexporteur seine Verpflichtung nicht auf andere Weise erfüllen kann. Der Datenimporteur wird den Datenexporteur über die Kosten dieser Unterstützung informieren. Sobald der Datenexporteur bestätigt hat, dass er diese Kosten tragen kann, wird der Datenimporteur dem Datenexporteur diese Hilfe zur Verfügung stellen. 
    6. (vi) Nach Beendigung der Erbringung der Dienstleistungen kann der Datenexporteur die Rückgabe der vom Datenimporteur gemäß dieser Anlage verarbeiteten personenbezogenen Daten innerhalb eines Monats nach den Dienstleistungen verlangen. Sofern die Gesetzgebung des Mitgliedstaates oder der Europäischen Union den Datenimporteur nicht dazu verpflichtet, diese personenbezogenen Daten zu speichern oder aufzubewahren, wird der Datenimporteur alle diese personenbezogenen oder nicht personenbezogenen Daten nach Ablauf der einmonatigen Frist löschen, unabhängig davon, ob sie dem Datenexporteur auf dessen Verlangen zurückgegeben wurden oder nicht. 

 

3.3 Rechte der betroffenen Personen

  1.  
    1. (i) Der Datenexporteur verwaltet und beantwortet die Anfragen der betroffenen Personen. Der Datenimporteur ist nicht verpflichtet den Personen direkt zu antworten. 
    2. (ii) Benötigt der Datenexporteur die Unterstützung des Datenimporteurs bei der Bearbeitung und Beantwortung der Anfragen der betroffenen Personen, so erteilt der Datenexporteur eine weitere Weisung gemäß Teil 1 Ziffer 3.1 (ii). Der Datenimporteur unterstützt den Datenexporteur mit den folgenden angemessenen und technischen organisatorischen Maßnahmen, um auf die Anfragen zur Ausübung der Rechte der betroffenen Personen gemäß Kapitel III der DSGVO wie folgt zu reagieren:
    3. a. Hinsichtlich der Auskunftsersuche wird der Datenimporteur dem Datenexporteur nur die in Art. 13 und 14 der PGRD geforderten Informationen zur Verfügung stellen, über die er verfügen kann, wenn der Datenexporteur sie nicht selbst finden kann. 
    4. b. In Bezug auf Auskunftsersuchen (Artikel 15 der DSGVO) stellt der Datenimporteur dem Datenexporteur nur die Informationen zur Verfügung, die einer betroffenen Person für das besagte Auskunftsersuchen zur Verfügung gestellt werden sollen, falls diese sie nicht selbst finden kann. 
    5. c. Bei Anträgen auf Berichtigung (Artikel 16 DSGVO), auf Löschung (Artikel 17 DSGVO), auf Einschränkung der Verarbeitung (Artikel 18 DSGVO) oder auf Übertragbarkeit (Artikel 20 DSGVO) und nur dann, wenn der Datenexporteur die personenbezogenen Daten nicht selbst berichtigen oder löschen, einschränken oder an einen anderen Dritten übermitteln kann, bietet der Datenimporteur dem Datenexporteur die Möglichkeit, die betreffenden personenbezogenen Daten zu berichtigen oder zu löschen, einzuschränken oder an einen Dritten zu übermitteln. Falls dies nicht möglich ist, leistet er Unterstützung bei der Berichtigung oder Löschung, Einschränkung oder Übermittlung der betreffenden personenbezogenen Daten an einen Dritten. 
    6. d. In Bezug auf die Meldung zur Berichtigung, Löschung oder Einschränkung der Verarbeitung (Artikel 19 der DSGVO) unterstützt der Datenimporteur den Datenexporteur, indem er alle Empfänger personenbezogener Daten, die vom Datenimporteur als Auftragsverarbeiter beauftragt wurden, benachrichtigt, wenn der Datenexporteur dies verlangt und wenn der Datenexporteur die Situation nicht selbst beheben kann. 
    7. e. In Bezug auf das von einer betroffenen Person ausgeübte Widerspruchsrecht (Artikel 21 und 22 der DSGVO) wird der Datenexporteur bestimmen, ob der Widerspruch legitim ist und wie er zu behandeln ist.
    8. (iii) Die Mitwirkungspflichten des Datenimporteurs beschränken sich auf personenbezogene Daten, die innerhalb seiner Infrastruktur verarbeitet werden (z.B. Datenbanken, Systeme, Anwendungen, die dem Datenimporteur gehören oder von ihm bereitgestellt werden).
    9. (iv) Der Datenexporteur stellt fest, ob eine betroffene Person die in Ziffer 3.1 dieses Teils 1 genannten Rechte der betroffenen Personen ausüben kann und teilt dem Datenimporteur mit, inwieweit die in Ziffer 3.3 (ii), (iii) dieses Teils 1 genannte Unterstützung erforderlich ist.
    10. (v) Verlangt der Datenexporteur zusätzliche oder geänderte technische und organisatorische Maßnahmen zur Erfüllung der Rechte der betroffenen Personen, die über die Unterstützung des Datenimporteurs nach Teil 1 Ziffer 3.3 (ii), (iii) hinausgehen, informiert der Datenimporteur den Datenexporteur über die Kosten für die Umsetzung dieser zusätzlichen oder geänderten technischen und organisatorischen Maßnahmen. Sobald der Datenimporteur bestätigt hat, dass er diese Kosten tragen kann, wird der Datenimporteur diese zusätzlichen oder gänderten technischen Maßnahmen umsetzen, um den Datenexporteur bei der Beantwortung der Anfragen der betroffenen Personen zu unterstützen. 
    11. (vi) Ohne den Geltungsbereich von Ziffer 3.3 (v) des Teils 1 einzuschränken, ist der Datenexporteur verpflichtet, dem Datenimporteur seine angemessenen Aufwendungen für die Beantwortung der Anfragen der betroffenen Personen zu erstatten. 

 

3.4 Weiterverarbeitung

  1.  
    1. (i) Der Datenexporteur gestattet dem Datenimporteur den Einsatz von Subunternehmern für die Erbringung von Dienstleistungen im Rahmen dieses Anhangs. Der Datenimporteur wählt den/die Datenverarbeiter sorgfältig aus. Der Datenexporteur genehmigt den/die in Anlage 1.1 am Ende von Teil 2 aufgeführten Datenverarbeiter. 
    2. (ii) Der Datenimporteur überträgt seine Verpflichtungen gemäß diesem Anhang auf den/die Datenverarbeiter, soweit dies für die untervergebenen Dienstleistungen gilt. 
    3. (iii) Der Datenimporteur kann nach eigenem Ermessen einen anderen geeigneten und zuverlässigen Datenverarbeiter entlassen, ersetzen oder beauftragen. Wenn der Datenexporteur dies schriftlich verlangt, muss der Datenimporteur das unten beschriebene Verfahren einhalten: 
  2.  
    1. a. Der Datenimporteur informiert den Datenexporteur vor jeder Änderung der Liste der Datenverarbeiter, auf die unter Ziffer 3.4 (i) des Teils 1 verwiesen wird. Widerspricht der Datenexporteur nicht gemäß Ziffer 3.4. (b) von Teil 1 dreißig Tage nach Erhalt der Mitteilung des Datenimporteurs, gelten die zusätzlichen Datenverarbeiter als akzeptiert. 
    2. b. Wenn der Datenexporteur einen berechtigten Grund hat, gegen einen zusätzlichen Datenverarbeiter Einspruch zu erheben, wird er dies dem Datenimporteur innerhalb von dreißig Tagen nach Erhalt der Mitteilung des Datenimporteurs schriftlich mitteilen. Wenn der Datenexporteur dem Einsatz eines zusätzlichen Datenverarbeiters widerspricht, kann der Datenimporteur den Widerspruch durch eine der folgenden Möglichkeiten (nach eigenen Ermessen) ausräumen: (A) der Datenimporteur sagt seine Pläne zur Nutzung eines weiteren Datenverarbeiters in Bezug auf die personenbezogenen Daten des Datenexporteurs ab; (B) der Datenimporteur ergreift die vom Datenexporteur in seinem Widerspruch geforderten Abhilfemaßnahmen (Aufhebung des Widerspruchs) und nutzt den weiteren Datenverarbeiter in Bezug auf die personenbezogenen Daten des Datenexporteurs; (C) der Datenimporteur kann die Bereitstellung eines bestimmten Aspekts des Dienstes, der Nutzung des weiteren Datenverarbeiters in Bezug auf die personenbezogenen Daten des Datenexporteurs beinhalten würde, einstellen oder der Datenexporteur kann sich damit einverstanden erklären diesen (vorübergehend oder dauerhaft) nicht zu nutzen. 
  3.  
    1. (iv) wenn der Datenverarbeiter seinen Sitz außerhalb der EU bzw. des EWR in einem Land hat, das nach einem Beschluss der Europäischen Kommission kein angemessenes Datenschutzniveau bietet, wird der Datenimporteur die Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau gemäß der DSGVO einzuhalten (solche Maßnahmen können u. a. die Verwendung von Datenverarbeitungsverträgen auf der Grundlage der Klauseln des EU-Modells, die Übermittlung an selbstzertifizierte Datenverarbeiter im Rahmen des EU-US Protection Shield oder eines ähnlichen Programms umfassen).

 

3.5 Gültigkeitsdauer

Das Ablaufdatum dieses Anhangs ist identisch mit dem Ablaufdatum des entsprechenden Vertrags. Sofern in diesem Anhang nicht anders geregelt, sind die Rechte und Pflichten in Bezug auf die Kündigung dieselben wie die im Vertrag enthaltenen.  

 

4. Haftungsbeschränkung

4.1 Jede Partei übernimmt ihre Verpflichtungen gemäß diesem Anhang und der geltenden Datenschutzgesetzgebung. 

4.2 Jegliche Haftung im Zusammenhang mit einer Verletzung der Verpflichtungen aus diesem Anhang oder der anwendbaren Datenschutzgesetze unterliegen den im Vertrag festgelegten oder auf den Vertrag anwendbaren Haftungsbestimmungen, sofern in diesem Anhang nicht anderweitig geregelt. Wenn die Haftung durch die im Vertrag festgelegten oder auf den Vertrag anwendbaren Haftungsbestimmungen geregelt wird, gilt für die Berechnung der haftungsgrenzen oder die Bestimmung der Anwendung anderer Haftungsbeschränkungen jede Haftung, die unter diesem Anhang entsteht, als unter dem Vertrag entstanden. 

 

5. Allgemeine Bestimmungen

5.1 Bei Widersprüchen oder Diskrepanzen zwischen den Teilen 1 und 2 dieses Anhangs ist Teil 2 maßgebend. Insbesondere bleibt auch in einem solchen Fall der Teil 1 der lediglich über den Teil 2 (d.h. die Bestimmungen der Standardklauseln) hinausgeht, ohne diesem zu widersprechen, gültig. 

5.2 Bei Unstimmigkeiten zwischen den Bestimmungen dieses Anhangs und denen anderer Verträge, die die Parteien binden, ist dieser Anhang hinsichtlich der Datenschutzverspflichtungen der Parteien maßgebend. Bei Zweifeln darüber, ob Klauseln in anderen Verträgen die Datenschutzverpflichtungen der Parteien betreffen, ist diese Anhang maßgebend. 

5.3 Sollte eine Bestimmung dieses Anhangs ungültig oder nicht durchsetzbar sein, bleibt der Rest dieses Anhangs in vollem Umfang in Kraft und wirksam. Diese unwirksame oder undurchführbar Bestimmung wird (i) so geändert, dass ihre Wirksamkeit und Durchführbarkeit gewährleistet ist, wobei die Absicht der Parteien so weit wie möglich erhalten bleibt, oder - falls dies nicht möglich ist - (ii) so ausgelegt, als ob der unwirksame oder undurchführbare Teil nie Teil des Vertrags gewesen wäre. Das Vorstehende gilt auch für den Fall, dass dieser Anhang eine Lücke aufweist. 

5.5 Soweit erforderlich, können die Parteien Änderungen an Teil 1, Klausel 3 (Einhaltung des lokalen Rechts) oder anderen Teilen des Anhangs beantragen, um Auslegungen, Richtlinien oder Anordnungen der zuständigen Behörden der Union oder der Mitgliedstaaten, nationalen Durchsetzungsbestimmungen oder anderen rechtlichen Entwicklungen in Bezug auf die DSGVO oder anderen Bedingungen für die Delegation an der Datenverarbeitung beteiligte Stellen und insbesondere in Bezug auf die Verwendung der Standardvertragsklauseln in der DSGVO zu entsprechen. Die Bedingungen der Standardvertragsklauseln dürfen nicht geändert oder ersetzt werden, es sei denn, die Europäische Kommission genehmigt dies ausdrücklich (z.B. durch neue angemessene Klauseln und Datenschutzstandards).

5.6 Jede Bezugnahme in diesem Anhang auf die "Klauseln" ist so zu verstehen, dass sie sich auf alle Bestimmungen dieses Anhangs bezieht, sofern nicht anders angegeben.

5.7 Der Gerichtsstand in Teil 2, Ziff. 9 gilt für den gesamten Vertrag. 

 

6. Personenbezogene Daten, die von den Parteien zu persönlichen Zwecken übermittelt und verarbeitet werden (Übermittlung vom Datenverantwortlichen zum Datenverantwortlichen)

6.1 Die Parteien sind sich vollkommen darüber bewusst, dass bestimmte personenbezogene Daten vom Datenexporteur an den Datenimporteur und umgekehrt übermittelt werden, und dass diese Daten von jeder Partei für ihre eigenen Zwecke verarbeitet werden. In Bezug auf solche personenbezogenen Daten bleiben die anderen Bestimmungen dieses Anhangs (mit Ausnahme dieser Ziffer 6) unberührt.  

6.2 Der Datenexporteur kann personenbezogene Daten des Personals des Datenimporteurs an den Datenimporteur übermitteln, einschließlich Informationen über Sicherheitsvorfälle oder sonstige Dokumente oder Dateien, die vom Datenexporteur im Zusammenhang mit den vom Personal des Datenimporteurs erbrachten Dienstleistungen erstellt oder angelegt wurden. Der Datenimporteur kann solche personenbezogenen Daten für eigene Zwecke verarbeiten, insbesondere in seinen geschäftlichen Beziehungen mit dem Personal des Datenimporteurs, zur Qualitätskontrolle, Schulung oder für Geschäftszwecke. 

6.3. Der Datenimporteur kann personenbezogene Daten an den Datenexporteur übermitteln, einschließlich des Namens und der Kontaktdaten der Mitarbeiter des Datenimporteurs. Der Datenexporteur kann diese personenbezogenen Daten für seine eigenen Zwecke verarbeiten. 

6.4 Beide Parteien halten sich bei der Erhebung, Verarbeitung und Nutzung solcher personenbezogenen Daten, die sie von der anderen Partei gemäß Klausel 1 von Teil 1 erhalten haben, an alle geltenden Datenschutzgesetze, einschließlich der DSGVO. Insbesondere ergreifen beide Parteien angemessene Sicherheitsmaßnahmen, die ein vergleichbares Schutzniveau wie die in Anlage 2 von Teil 2 dargelegten Sicherheitsmaßnahmen bieten. Jeder Zugriff auf solche personenbezogenen Daten ist auf die Notwendigkeit ihrer Kenntnisnahme zu beschränken. 

6.5 Beide Parteien müssen diese personenbezogenen Daten so schnellstmöglich nach Erreichen der Ziele löschen. 

 

ENTSCHEIDUNG DER KOMMISSION

am 5. Februar 2010

über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter mit Sitz in Drittländern gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Europäischen Rates

 

 

 

Klausel 1

Definitionen

Im Sinne der Klauseln

a) haben "personenbezogene Daten", "besondere Kategorien von Daten", "Verarbeitung", "Verantwortlicher", "Auftragsverarbeiter", "betroffene Person" und "Kontrollstelle" die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Europäischen Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1);

b) der "Datenexporteur" ist der für die Datenverarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

c) der "Datenimporteur" ist der Datenverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung im Namen des Datenexporteurs gemäß dessen Anweisungen und gemäß den Bedingungen dieser Klauseln verarbeitet werden sollen, und der nicht dem Mechanismus eines Drittlandes unterliegt, der einen angemessenen Schutz im Sinne von Artikel 24 Absatz 1 der Richtlinie 95/46/EG gewährleistet; d) "Datenverarbeiter" bezeichnet den vom Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs beauftragten Datenverarbeiter, der sich bereit erklärt, vom Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich für Verarbeitungstätigkeiten zu erhalten, die nach der Übermittlung gemäß den Anweisungen des Datenexporteurs und unter den Bedingungen dieser Klauseln sowie unter den Bedingungen des schriftlichen Auftragsverarbeitungsvertrags im Auftrag des Datenexporteurs durchgeführt werden; 

e) "anwendbares Datenschutzrecht" bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, einschließlich des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;

f) “technische und organisatorische Sicherheitsmaßnahmen” sind Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über Netzwerke umfasst, und gegen jede andere Form der unrechtmäßigen Verarbeitung. 

Klausel 2

Details zur Übertragung

Die Einzelheiten der Übertragung, gegebenenfalls einschließlich besonderer Kategorien personenbezogener Daten, sind in Anlage 1 aufgeführt, die einen integralen Bestandteil dieser Klauseln bildet. 

Klausel 3

Drittbegünstigungsklausel

1. Die betroffene Person kann gegen den Datenexporteur diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6 (1) und (2), Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 als Drittbegünstigter geltend machen

2. Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur physisch verschwunden ist oder rechtlich nicht mehr existiert, es sei denn, alle seine rechtlichen Verpflichtungen sind vertraglich oder von Rechts wegen auf die Nachfolgeeinrichtung übertragen worden, auf die daher die Rechte und Pflichten des Datenexporteurs übergehen und gegen die die betroffene Person daher die genannten Klauseln geltend machen kann.

Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und die Klauseln 9 bis 12 gegenüber dem Datenverarbeiter geltend machen, jedoch nur in den Fällen, in denen der Datenexporteur und der Datenimporteur physisch verschwunden sind, rechtlich nicht mehr existieren oder insolvent sind, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs sind vertraglich oder von Rechts wegen auf den Rechtsnachfolger übergegangen, auf den daher die Rechte und Pflichten des Datenexporteurs übergehen und gegen den die betroffene Person daher diese Klauseln geltend machen kann. Eine solche Haftung des Datenverarbeiters muss auf seine eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln beschränkt sein. 

4. Die Parteien haben keine Einwände dagegen, dass die betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn sie dies wünscht und das nationale Recht dies zulässt. 

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur akzeptiert und garantiert das Folgende: 

a) Die Verarbeitung, einschließlich der tatsächlichen Übermittlung personenbezogener Daten, wurde und wird in Übereinstimmung mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt (und wurde, falls zutreffend, den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur seinen Sitz hat, gemeldet) und verstößt nicht gegen die einschlägigen Bestimmungen dieses Staates;

b) sie den Datenimporteur angewiesen haben und für die Dauer der Dienstleistungen zur Verarbeitung personenbezogener Daten anweisen werden, die übermittelten personenbezogenen Daten im alleinigen Auftrag des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und diesen Klauseln zu verarbeiten;

c) der Datenimporteur ausreichende Vorkehrungen hinsichtlich der in Anlage 2 zu diesem Vertrag genannten technischen und organisatorischen Sicherheitsmaßnahmen treffen wird;

d) nach Bewertung der Anforderungen des anwendbaren Datenschutzrechts sind die Sicherheitsmaßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang - insbesondere wenn die Verarbeitung die Übermittlung  von Daten über ein Netzwerk umfasst - und gegen jede andere Form der unrechtmäßigen Verarbeitung geeignet und gewährleisten ein Schutzniveau, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist, wobei der Stand der Technik und die Kosten der Umsetzung zu berücksichtigen sind. 

e) Sie sorgen für die Einhaltung der Sicherheitsmaßnahmen;

f) wenn sich die Übermittlung auf besondere Datenkategorien bezieht, die betroffene Personen vor der Übermittlung oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden können, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

g) sie leiten jede Meldung, die sie vom Datenimporteur oder einem Datenverarbeiter gemäß Klausel 5 (b) und 8 (3) erhalten, an die Datenschutzaufsichtsbehörde weiter, wenn diese beschließt die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

h) sie stellen den betroffenen Personen auf Anfrage eine Kopie dieser Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie jeder weiteren Unterauftragsvereinbarung, die im Rahmen dieser Klauseln geschlossen wurde, zur Verfügung, es sei denn, die Klauseln oder die Vereinbarung enthalten Geschäftsinformationen; in diesem Fall kann er diese Informationen zurückziehen;

i) im Falle einer Untervergabe der Datenverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Datenverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für personenbezogene Daten und Rechte der betroffenen Person bietet wie der Datenimporteur gemäß diesen Klauseln; und 

j) die Einhaltung von Klausel 4 (a) bis (i) sichergestellt wird. 

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur akzeptiert und garantiert das Folgende: 

a) sie die personenbezogenen Daten nur im Auftrag des Datenexporteurs und gemäß den Anweisungen des Datenexporteurs und diesen Klauseln verarbeiten; falls sie dies aus irgendeinem Grund nicht umsetzen können, verpflichten sie sich, den Datenexporteur so schnell wie möglich über ihre Unfähigkeit zu informieren; in diesem Fall kann der Datenexporteur den Datentransfer aussetzen und/oder den Vertrag beenden

b) er keinen Grund zu der Annahme hat, dass das für ihn geltende Recht ihn daran hindert, die vom Datenexporteur erteilten Anweisungen und die ihm nach dem Vertrag obliegende Verpflichtungen zu erfüllen, und wenn dieses Recht einer Änderung unterworfen ist, die sich wesentlich nachteilig auf die Zusicherungen und Verpflichtungen nach den Klauseln auswirken könnte, wird er den Datenexporteur unverzüglich nach Bekanntwerden über die Änderung informieren; in diesem Fall kann der Datenexporteur die Datenübermittlung aussetzen und/oder den Vertrag beenden; c) er die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen vor der Verarbeitung der übermittelten personenbezogenen Daten umgesetzt hat; 

d) werden sie den Datenexporteur unverzüglich informieren: 

i) jedes verbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung personenbezogener Daten, sofern nicht anders angegeben, wie z.B. ein strafrechtliches Verbot, das auf die Wahrung eines Ermittlungsgeheimnisses abzielt;

ii) jeden zufälligen oder unbefugten Zugriff; und

iii) jede Anfrage, die er direkt von den betroffenen Personen erhält, ohne sie zu beantworten, es sei denn, er ist dazu befugt; Administratoren

e) sie werden alle Anfragen des Datenexporteurs bezüglich der Verarbeitung der übermittelten personenbezogenen Daten unverzüglich und ordnungsgemäß bearbeiten und sich bei der Verarbeitung der übermittelten Daten nach der Stellungnahme der Aufsichtsbehörde richten

f) auf Verlangen des Datenexporteurs seine Datenverarbeitungseinrichtungen einer Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten zu unterziehen, die vom Datenexporteur oder einem Kontrollorgan durchgeführt wird, das sich aus unabhängigen, zur Verschwiegenheit verpflichteten Mitgliedern mit der erforderlichen fachlichen Qualifikation zusammensetzt und vom Datenexporteur, gegebenenfalls mit Zustimmung der Kontrollstelle, ausgewählt wird;

g) sie stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln oder eines bestehenden Untervertrags über die Datenverarbeitung zur Verfügung, es sei denn, die Klauseln oder der Vertrag enthalten kommerzielle Informationen; in diesem Fall können sie diese Informationen entfernen, mit Ausnahme des Anhangs 2, der durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird, wenn die betroffene Person keine Kopie vom Datenexporteur erhalten kann 

h) im Falle einer vertraulichen Weitergabe der Datenverarbeitung an Unterauftragnehmer stellt er sicher, dass er den Datenexporteur im Voraus informiert und dessen schriftliche Zustimmung einholt;

i) die vom Datenverarbeiter erbrachten Verarbeitungsleistungen müssen mit Punkt 11 übereinstimmen;

j) er wird dem Datenexporteur unverzüglich eine Kopie des von ihm gemäß diesen Klauseln abgeschlossenen Vertrags über die Untervergabe der Datenverarbeitung zukommen lassen.

Klausel 6

Zuständigkeiten

1. Die Parteien vereinbaren, dass jede betroffene Person, die aufgrund einer Verletzung der in Ziffer 3 oder Ziffer 11 genannten Pflichten durch eine Partei oder einen Datenverarbeiter einen Schaden erlitten hat, vom Datenexporteur eine Entschädigung für den erlittenen Schaden erhalten kann. 

2. Wenn eine betroffene Person daran gehindert wird, eine Schadenersatzklage gemäß Absatz 1 gegen den Datenexporteur zu erheben, weil der Datenimporteur oder sein Datenverarbeiter eine seiner Verpflichtungen gemäß Klausel 3 oder Klausel 11 nicht erfüllt hat, weil der Datenexporteur physisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist, erklärt sich der Datenimporteur damit einverstanden, dass die betroffene Person eine Beschwerde gegen ihn einreichen kann, als ob er der Datenexporteur wäre, es sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs sind vertraglich oder von Rechts wegen auf seine Nachfolgeeinrichtung übergegangen, gegen die die betroffene Person dann ihre Rechte geltend machen kann. Der Datenimporteur kann sich nicht auf eine Verletzung seiner Pflichten durch einen Datenverarbeiter berufen, um seine eigene Haftung zu vermeiden. 

3. Wenn eine betroffene Person nicht in der Lage ist, die in den Absätzen 1 und 2 genannte Klage gegen den Datenexporteur oder den Datenimporteur wegen eines Verstoßes des Datenverarbeiters gegen seine Verpflichtungen gemäß Klausel 3 oder Klausel 11 zu erheben, weil der Datenexporteur und der Datenimporteur physisch verschwunden sind, rechtlich nicht mehr existieren oder insolvent geworden sind, erklärt sich der Datenverarbeiter damit einverstanden, dass die betroffene Person eine Beschwerde gegen ihn bezüglich seiner eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln einreichen kann, als wäre er der Datenexporteur oder Datenimporteur, sei denn, alle rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs sind vertraglich oder von Rechts wegen auf den Rechtsnachfolger übergegangen, gegen den die betroffene Person dann ihre Rechte geltend machen kann. Die Haftung des Datenverarbeiters muss auf seine eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln beschränkt sein. 

 

Klausel 7

Mediation und Gerichtsbarkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass er die Entscheidung der betroffenen Person akzeptiert, wenn diese gemäß den Klauseln das Recht des Drittbegünstigten gegen ihn geltend macht und/oder eine Entschädigung für den erlittenen Schaden fordert:

a) den Streitfall einer Schlichtung durch eine unabhängige Persone oder ggf. die Aufsichtsbehörde zu unterziehen;

b) den Streitfall vor die Gerichte des Mitgliedstaates zu bringen, in dem der Datenexporteur seinen Sitz hat.

2. Die Parteien vereinbaren, dass die von der betroffenen Person getroffene Wahl das verfahrensrechtliche oder materiellrechtliche Recht der betroffenen Person, Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts zu erlangen, unberührt lässt. .

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur verpflichtet sich, eine Kopie dieses Vertrages bei der Aufsichtsbehörde zu hinterlegen, wenn diese dies verlangt oder wenn eine solche Hinterlegung im geltenden Datenschutzrecht vorgesehen ist.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde beim Datenimporteur und bei jedem Datenverarbeiter Kontrollen im gleichen Umfang und unter den gleichen Bedingungen durchführen kann wie bei den Kontrollen beim Datenexporteur gemäß dem geltenden Datenschutzrecht. .

3. Der Datenimporteur informiert den Datenexporteur so schnell wie möglich über das Bestehen von Rechtsvorschriften in Bezug auf den Datenimporteur oder einen Datenverarbeiter, die eine Überprüfung beim Datenimporteur oder einem Datenverarbeiter gemäß Absatz 2 verhindern. In einem solchen Fall kann der Datenexporteur die in Klausel 5 (b) vorgesehenen Maßnahmen ergreifen. 

Klausel 9

Anzuwendendes Recht

Die Klauseln gelten und unterliegen dem Recht des Mitgliedstaates, in dem der Datenexporteur seinen Sitz hat. 

Klausel 10

Modifizierung des Vertrages

Die Parteien verpflichten sich, die vorliegenden Klauseln nicht zu ändern. es steht den Parteien frei, weitere Handelsklauseln aufzunehmen, die sie für notwendig erachten, sofern sie nicht im Widerspruch zu den vorliegenden Klauseln stehen. 

Klausel 11

Untervergabe von Aufträgen an Dritte

1. Der Datenimporteur darf keine seiner im Auftrag des Datenexporteurs gemäß diesen Klauseln durchgeführten Verarbeitungstätigkeiten ohne die vorherige schriftliche Zustimmung des Datenexporteurs an Unterauftragnehmer vergeben. Der Datenimporteur darf seine Verpflichtungen gemäß diesen Klauseln nur mit Zustimmung des Datenexporteurs durch einen schriftlichen Vertrag mit dem Datenverarbeiter untervergeben, der dem Datenverarbeiter die gleichen Verpflichtungen auferlegt, die dem Datenimporteur gemäß diesen Klauseln auferlegt werden.) Wenn der Datenverarbeiter seine Datenschutzverpflichtungen gemäß dieser schriftlichen Vereinbarung nicht einhalten kann, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung dieser Verpflichtungen voll verantwortlich. 

2. Die vorausgehende schriftliche Vereinbarung zwischen dem Datenimporteur und dem Datenverarbeiter muss auch eine Drittbegünstigungsklausel gemäß Klausel 3 für Fälle enthalten, in denen die betroffene Person daran gehindert ist, den in Klausel 6 (1) genannten Schadensersatzanspruch gegen den Datenexporteur oder Datenimporteur geltend zu machen, weil der Datenexporteur oder Datenimporteur physisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist und nicht alle rechtlichen Verpflichtungen des Datenexporteurs oder Datenimporteurs vertraglich oder kraft Gesetzes auf eine andere Nachfolgeeinrichtung übertragen wurden. Die Haftung des Datenverarbeiters muss auf seine eigenen Verarbeitungstätigkeiten gemäß diesen Klauseln beschränkt sein. 

3. Die Bestimmungen über die datenschutzrechtlichen Aspekte der Untervergabe der Datenverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist. 

4. Der Datenexporteur führt eine Liste der Unterauftragnehmer der gemäß diesen Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 (j) gemeldeten Datenverarbeitungsverträge, die mindestens einmal jährlich zu aktualisieren ist. Diese Liste wird der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung gestellt.

Klausel 12

Pflichten nach Beendigung der Dienste zur Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass der Datenimporteur und Datenverarbeiter nach Beendigung der Datenverarbeitungsleistungen nach Wahl des Datenexporteurs alle übertragenen personenbezogenen Daten und Kopien davon an den Datenexporteur zurückgeben oder alle diese Daten vernichten und dem Datenexporteur einen Nachweis über die Vernichtung vorlegen, es sei denn, die dem Datenimporteur auferlegte Gesetzgebung hindert ihn daran, alle oder einen Teil der übertragenen personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und die Daten nicht mehr aktiv verarbeitet.

2. Der Datenimporteur und der Datenverarbeiter stellen sicher, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Mittel zur Datenverarbeitung einer Überprüfung der in Absatz 1 genannten Maßnahmen unterziehen werden. .

 

 

 

 

Anhang 1.1 zu Teil 2

Details zur Übertragung

 

 

Datenexporteur

Der Datenexporteur ist der in der vertraglichen Vereinbarung definierte Kunde. 

 

Datenimporteur

Der Datenimporteur ist IQUALIF und hat den Auftrag, die Daten zu verarbeiten und Dienstleistungen für den Datenexporteur zu erbringen. 

 

Zweckbestimmung der Daten

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen: 

☒ Telefonabonnenten, die im Unversalverzeichnis eingetragen sind

☐ Andere, darunter:

 

Datenkategorien 

Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von Daten:

 

Kategorien personenbezogener Daten der betroffenen Personen des Datenexporteurs im Besonderen,

☒ Vollständiger Name

☒ Postanschrift

☒ Kontaktdaten (E-Mail, Telefon, IP-Adresse, etc.)

☒ Details zu Marketingaktivitäten, die den Telefonteilnehmer betreffen

☒ Sonstiges, einschließlich der Art der Wohnung, des Einkommens und des Durchschnittsalters nach Stadt, die anonymisiert wurden

 

Besondere Kategorien von Daten (falls zutreffend)

Die übertragenen personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien:

☒ Die Übermittlung von besonderen Datenkategorien ist nicht vorgesehen.

☐ Rasse oder ethnische Herkunft

☐ Religiöse oder philosophische Überzeugungen 

☐ Gewerkschaftszugehörigkeit

☐ Politische Ansichten

☐ Genetische Informationen

☐ Biometrische Daten

☐ Informationen zur sexuellen Orientierung oder zum Sexualleben

☐ Daten zum Gesundheitszustand

 

Verarbeitungstätigkeiten

Die übertragenen personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen:

 

  •  
    • Zweck der Verarbeitung

Die Verarbeitung, die im Auftrag des Datenexporteurs durchgeführt wird, basiert insbesondere auf den nachstehend angeführten Zwecken:

☒ Die Übernahme der vom Datenexporteur angebotenen Produkte oder Dienstleistungen

☒ Das Angebot eines Produkts oder einer Dienstleistung, die die angerufene Person anfordern kann

☒ Entgegennahme von Aufträgen der angerufenen Personen und Weiterverarbeitung dieser Aufträge

☒ Studienfragebögen und Auswertungen

☒ Telemarketing

☐ Sonstige, darunter:

 

  •  
    • Art und Zweck der Verarbeitung

Der Datenimporteur verarbeitet die personenbezogenen Daten der betroffenen Personen im Auftrag des Datenexporteurs, um die folgenden Dienstleistungen zu erbringen, und zwar insbesondere:

☒ Vertrieb and Marketing

☒ Sonstiges, einschließlich der Aktualisierung von Datenbanken von Rathäusern und politischen Parteien 

 

  •  
    • Bereitstellung von Dienstleistungen und Beschäftigung von Dienstleistern

 

IQUALIF bündelt, zentralisiert und liefert hauptsächlich Dienste für den Datenexporteur. Die vom genannten Dienstleister erbrachten Dienstleistungen können (unter anderem, je nach Sachlage) um die folgenden Nebenleistungen strukturiert sein: (i) Bereitstellung von Anwendungen, Werkzeugen, Systemen und IT-Infrastruktur in Bezug auf die verwendeten Datenverarbeitungszentren, um die Dienste, einschließlich der Verarbeitung der personenbezogenen Daten der betroffenen Personen, wie oben beschrieben, über solche Anwendungen, Werkzeuge und Systeme bereitzustellen und zu unterstützen, (ii) die Bereitstellung von IT-Support, Wartung und anderen Diensten in Bezug auf solche Anwendungen, Werkzeuge, Systeme und IT-Infrastruktur, einschließlich des potenziellen Zugriffs auf personenbezogene Daten, die in solchen Anwendungen, Werkzeugen und Systemen gespeichert sind, und (iii) die Bereitstellung von Datenschutzdiensten, Schutzüberwachung und Incident-Response-Diensten, einschließlich des potenziellen Zugriffs auf personenbezogene Daten bei der Bereitstellung solcher Schutzdienste. IQULIF kann Datenverarbeiter engagieren, wie unten festgelegt, um die Dienste zu erbringen, einschließlich zusätzlicher Dienste. 

 

  •  
    • • Externe Drittdienstleister als Unterauftragnehmer für die Datenverarbeitung

 

IQUALIF beauftragt externe und fremde Dienstleister, die keine Tochtergesellschaften von IQUALIF sind, mit der Unterstützung der Erbringung von Dienstleistungen für den Datenexporteur. Der Datenexporteur genehmigt solche externen Drittdienstleister als mit der Datenverarbeitung beauftragte Untereinheiten.

 

Wenn sich eine an der Datenverarbeitung beteiligte Untereinheit außerhalb der EU/des EWR befindet, in einem Land, das gemäß einer Entscheidung der Europäischen Kommission als nicht angemessenes Datenschutzniveau gilt, wird der Datenimporteur Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau in Übereinstimmung mit der GDPR und Abschnitt 3.4 (iv) von Teil 1 zu erreichen. 

 

 

Anhang 2, zu Teil 2

Technische und organisatorische Schutzmaßnahmen

 

Der Datenimporteur ergreift die folgenden, vom Datenexporteur bestätigten technischen und organisatorischen Schutzmaßnahmen, um je nach Risiko ein angemessenes Sicherheitsniveau für die Rechte und Freiheiten der Personen zu gewährleisten. Bei der Bewertung des jeweiligen Schutzniveaus hat der Datenexporteur insbesondere die mit der Verarbeitung verbundenen Risiken berücksichtigt, einschließlich der zufälligen oder unrechtmäßigen Zerstörung, Veränderung, unbefugten Weitergabe oder des Zugriffs auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden. Zur Klarstellung: Diese technischen und organisatorischen Schutzmaßnahmen gelten nicht für die vom Datenexporteur bereitgestellten Anwendungen, Tools, Systeme und/oder IT-Infrastruktur.

1 Allgemeine technische und organisatorische Schutzmaßnahmen
1.1 Allgemeine Informationen und Datenschutzstrategien
Die folgenden Schritte sollten unternommen werden, um allgemeine Daten- und Informationschutzstrategien zu verfolgen:
  • a) Maßnahmen ergreifen, um diese hinsichtlich des technischen und organisatorischen Schutzes zu bewerten;
  • b) Schulungen durchführen, um das Bewusstsein der Mitarbeiter zu erhöhen;
  • c) über eine Beschreibung der betreffenden Systeme verfügen und den Mitarbeitern Zugang gewähren;
  • d) einen formalen Dokumentationsprozess etablieren, wenn Systeme implementiert oder verändert werden;
  • e) die Organisationsstruktur, die Prozesse, die Verantwortlichkeiten und die jeweiligen Bewertungen zu dokumentieren;
 
1.2 Organisation des Informationsschutzes
Folgende Maßnahmen sollten ergriffen werden, um die Aktivitäten zum Daten- und Informationsschutz zu koordinieren:
  • a) definierte Zuständigkeiten für den Schutz von Informationen und Daten (z.B. durch die Datenschutz-Management-Policy);
  • b) das notwendige Fachwissen zum Schutz von Informationen und Daten bleibt verfügbar;
  • c) alle Mitarbeiter zur Wahrung der Vertraulichkeit personenbezogener Daten verpflichtet sind und über die möglichen Folgen eines Verstoßes gegen diese Verpflichtung informiert wurden.
 
1.3 Zugangskontrolle zu den Verarbeitungsbereichen
Es sind folgende Maßnahmen zu treffen, um zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen (insbesondere Soft- und Hardware) erhalten, in denen personenbezogene Daten verarbeitet, gespeichert oder übertragen werden:
  • a) sichere Bereiche einrichten;
  • b) den Zugang zu Datenverarbeitungssystemen schützen und beschränken;
  • c) Zugriffsberechtigungen für Mitarbeiter und Dritte einschließlich der entsprechenden Dokumente einrichten;
  • d) jeden Zugang zu Datenverarbeitungszentren, in denen personenbezogene Daten gespeichert sind, zu protokollieren.
 
1.4 Zugangskontrolle zu Datenverarbeitungssystemen 
Um den unbefugten Zugriff auf Datenverarbeitungssyteme zu verhindern, müssen folgende Maßnahmen getroffen werden:
  • a) Richtlinien und Verfahren zur Benutzerauthentifizierung;
  • b) die Verwendung von Passwörtern auf allen Computersystemen;
  • c) der Fernzugriff auf das Netzwerk erfordert eine Multi-Faktor-Authentifizierung und wird der betreffenden Person entsprechend ihrer Verantwortung und nach Autorisierung gewährt:
  • d) der Zugriff auf bestimmte Funktionen basiert auf den einzelnen Tätigkeitsbereichen und/oder Attributen, die dem Konto eines Benutzers individuell zugeordnet sind;
  • e) Zugriffrechte, die sich auf personenbezogene Daten beziehen, werden regelmäßig überprüft;
  • f) Protokolle über Änderungen von Zugriffsrechten auf dem neuesten Stand gehalten werden. 
 
1.5 Zugangskontrolle zu bestimmten Bereichen der Nutzung von Datenverarbeitungssystemen
Durch folgende Maßnahmen ist sicherzustellen, dass die zur Nutzung des Datenverarbeitungssystems berechtigten Personen nur im Rahmen ihrer jeweiligen Zuständigkeiten und Zugriffsberechtigungen auf Daten zugreifen können und dass personenbezogene Daten nicht befugt gelesen, kopiert, verändert oder gelöscht werden können:
  1.  
    1. a) Richtlinien, Anweisungen und Schulungen der Mitarbeiter, die die Pflichten jedes Einzelnen in Bezug auf Vertraulichkeit, Zugriffsrechte auf personenbezogene Daten und den Umfang der Verarbeitung von personenbezogenen Daten betreffen;
  • b) disziplinarische Maßnahmen gegen Personen, die unbefugte auf personenbezogene Daten zugreifen;
  • c) der Zugriff auf personenbezogene Daten wird nur autorisierten Personen auf einer bedarfsgerechten Basis gewährt;
  • d) eine Liste der Systemadministratoren zu führen und geeignete Maßnahmen zur Überwachung der Systemadministratoren zu treffen;
  • e) keine personenbezogenen Daten auf einem Speichersystem zu kopieren oder zu vervielfältigen, um es Unbefugten zu ermöglichen, die Informationen des Urhebers zu entfernen;
  • f) kontrollierte und dokumentierte Löschung oder Vernichtung von Daten;
  • g) alle personenbezogenen Daten, die aus gesetzlichen oder regulatorischen Gründen (z.B. Aufbewahrungspflichten) aufbewahrt werden müssen, sicher zu speichern, und zwar nur so lange, wie es das Gesetz verlangt.
 
1.6 Transmissionskontrolle
Um zu verhindern, dass personenbezogene Daten während der Übertragung oder des Transports von Datenträgern (je nach der vorgenommenen Verarbeitung personenbezogener Daten) von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden können, müssen folgende Maßnahmen getroffen werden:
  1.  
    1. a) Einsatz von Firewalls;
  • b) Vermeidung der Speicherung personenbezogener Daten auf mobilen Speichermedien zu Transportzwecken oder Verschlüsselung der Geräte;
  • c) Nutzung auf Laptops und anderen mobilen Geräten nur nach Aktivierung des Verschlüsselungsschutzes;
  • d) Protokollierung von Übertragungen personenbezogener Daten.
 
1.7 Kontrolle der Dateneingabe
Es ist durch folgende Maßnahmen sicherzustellen, dass überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder aus diesen gelöscht wurden:
  1.  
    1. a) eine Richtlinie zur Autorisierung des Lesens, Änderns und Löschens von gespeicherten Daten;
  • b) Schutzmaßnahmen bezüglich des Lesens, Änderns und Löschens von gespeicherten Daten.
 
1.8 Arbeitskontrolle
Im Falle einer delegierten Verarbeitung personenbezogener Daten sind folgende Maßnahmen zu ergreifen, um sicherzustellen, dass diese Daten in Übereinstimmung mit den Anweisungen des Vorgesetzten verarbeitet werden:
  1.  
    1. a) die mit der Datenverarbeitung beauftragten Stellen oder Unterstellen, die sorgfältig ausgewählt werden (Dienstleister, die personenbezogene Daten im Auftrag des Inhabers verarbeiten);
  • b) Weisungen über den Umfang der Verarbeitung personenbezogener Daten an die mit der Datenverarbeitung beauftragten Mitarbeiter, Stellen oder Unterstellen;
  • c) mit den mit der Datenverarbeitung beauftragten Stellen oder Unterstellen vereinbarte Prüfungsrechte;
  • d) Vereinbarungen, die mit den mit der Datenverarbeitung beauftragten Stellen oder Unterstellen bestehen.
 
1.9 Trennung von der Verarbeitung zu anderen Zwecken
Durch folgende Maßnahmen muss sichergestellt werden, dass die für andere Zwecke erhobenen Daten getrennt verarbeitet werden können:
  1.  
    1. a) Getrennter Zugriff auf personenbezogene Daten entsprechend den bestehenden Rechten der Nutzer;
  • b) Schnittstellen, Batch- Verarbeitung und Reporting sind für andere Zwecke und Funktionen vorgesehen, so dass die für andere Zwecke erhobenen Daten getrennt verarbeitet werden können.
 
1.10 Pseudonymisierung
Für die Pseudonymisierung von personenbezogenen Daten sind folgende Maßnahmen zu treffen:
  1.  
    1. a) Wenn der Datenexporteur eine bestimmte Verarbeitung anordnet oder wenn dies vom Datenimporteur in Übereinstimmung mit den geltenden Datenschutzgesetzen für bestimmte Verarbeitungstätigkeiten als angemessen erachtet wird, erfolgt die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Diese zusätzlichen Informationen werden getrennt aufbewahrt;
  • b) Verwendung von Pseudonymisierungstechniken, einschließlich der Randomisierung von Zuordnungslisten; Erstellung von Werten in Form von Sharps.
 
1.11 Encryption

Die folgenden Schritte zur Verschlüsselung von personenbezogenen Daten in Anwendungen und Übertragungen, die Verschlüsselungsverfahren unterstützen, sollten durchgeführt werden:

  1.  
    1. a) Einsatz von Verschlüsselungstechniken;
  • b) die Einrichtung eines Verschlüsselungsmanagements zur Unterstützung der zu verwendenden Verschlüsselungstechniken;
  • c) Unterstützung des Einsatzes von Kryptografie durch Verfahren und Protokolle zum Erzeugen, Ändern, Widerrufen, Zerstören, Verteilen, Zertifizieren, Speichern, Erfassen, Verwenden und Archivieren von kryptografischen Schlüsseln zum Schutz vor unbefugter Änderung und Offenlegung. 
 
1.12 Vollständigkeit der Datenverarbeitungssysteme und -dienste
Um die Vollständigkeit der Datenverarbeitungssysteme und -dienste zu gewährleisten, müssen folgende Maßnahmen getroffen werden: 
  1. a) Schutz der Datenverarbeitungssysteme gegen Manipulation oder Zerstörung durch geeignete Maßnahmen (z.B. Antivirus-Software, Software zur Verhinderung von Datenverlusten und Software gegen Malware, Software-Patches, Firewalls und Managed-Desktop-Protection);
  • b) die Installation von Diensten oder Software zu untersagen, die schädlich für Datenverarbeitungssysteme, Dienste oder die Manipulation von personenbezogenen Datensind;
  • c) die Verwendung eines Systems zur Erkennung und Verhinderung von unerwünschten Zugriffen auf das Netzwerk in der Netzwerkstruktur selbst. 
 
1.13 Verfügbarkeit von Datenverarbeitungssystemen und -diensten und die Möglichkeit der Wiederherstellung des Zugriffs auf und der Nutzung von personenbezogenen Daten im Fall eines materiellen oder technischen Störungsfalls
Um die Verfügbarkeit von Datenverarbeitungssystemen zu gewährleisten sowie die Verfügbarkeit von und den Zugriff auf personenbezogene Daten im Fall eines materiellen oder technischen Störungsfalls schnell wiederherstellen zu können (insbesondere durch den Schutz personenbezogener Daten vor zufälliger Zerstörung oder Verlust), müssen folgende Maßnahmen getroffen werden:
  • a) über Kontrollmittel zur Aufbewahrung von Sicherungskopien und zur Wiederherstellung verlorener oder gelöschter Daten verfügen;
  • b) infrastrukturelle Redundanz und Leistungstests;
  • c) physischer Schutz der Computerressourcen;
  • d) Einsatz von Werkzeugen zur Überwachung des Status und der Verfügbarkeit des internen Netzwerks;
  • e) Richtlinien für die Meldung von Vorfällen und die Reaktion darauf, die das Verfahren für das Management von Störungsfällen regeln, sowie die Wiederholung der Einhaltung dieser Richtlinien als Teil der regelmäßigen Schulungen;
  • f) Backups (ggf. außerhalb des Unternehmens) zur Wiederherstellung des Systems, damit es seine Funktion wieder ausführen kann;
  • g) Business Continuity/Disaster-Recovery Plan
 
1.14 Resilienz von Datenverarbeitungssystemen und -diensten
Um die Resilienz von Datenverarbeitungssystemen und -diensten zu gewährleisten, müssen folgende Maßnahmen getroffen werden: 
  • a) Systeme und harmonisch konfiguriert, unter Verwendung bewährter Sicherheitsparameter;
  • b) Netzwerkredundanz;
  • c) Eindämmungsschutz von kritischen Systemen.
 
1.15 Prozeduren zur regelmäßigen Prüfung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung
Prozeduren zur regelmäßigen Prüfung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen zum Schutz der Datenverarbeitung.
  • a) Ergreifen der notwendigen Schritte zur Bewertung von Risiken und Strategien zur Risikominderung;
  • b) Service-Analysebesprechungen der IT-Abteilung, um aktuelle Probleme anzugehen;
  • c) Business-Continuity/Disaster-Recovery Pläne werden regelmäßig aktualisiert.

 

Teil 3

Unterschriften der Parteien und Liste der Datenimporteure

 

Wenn Sie das Online-Bestellformular ausfüllen und es durch Ankreuzen des Kästchens, das die allgemeinen Nutzungsbedingungen akzeptiert, bestätigen, wird der Vertrag, der die Beziehung zwischen dem Kunden und IQUALIF regelt, geschlossen. 

Wenn Sie die Zahlung an IQUALIF senden, gilt der Vertrag als vereinbart und abgeschlossen. 


Bitte beachten Sie: Dieser Text wurde aus dem Französischen übersetzt. Die gültige und rechtlich einschränkende französische Originalfas finden Sie hier.