Anhang zur Datenverarbeitung

 

Dieser Anhang bildet einen integralen Bestandteil des Vertrags und wird geschlossen von:

 

1. (i) Dem Kunden ("Datenexporteur")
2. (ii) IQUALIF ("Datenimporteur")

 

Jede ist eine "Partei" und gemeinsam "Parteien".

 

Präambel

WO der Datenimporteur professionelle Software-Dienstleistungen, Computer- und verwandte Dienste (wie Browser mit erweiterten Suchfunktionen) bereitstellt;

WO der Datenimporteur gemäß Vertrag zugestimmt hat, dem Datenexporteur die im Vertrag spezifizierten Dienste zu erbringen ("Dienstleistungen");

WO durch die Erbringung der Dienstleistungen der Datenimporteur Zugriff auf die Informationen des Datenexporteurs oder anderer Personen mit (potenzieller) Beziehung zum Datenexporteur erhält oder daraus Vorteile zieht, solche Informationen im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("GDPR") sowie anderer anwendbarer Datenschutzgesetze als personenbezogene Daten qualifiziert werden können.

WO dieser Anhang die Bedingungen enthält, die für die Erhebung, Verarbeitung und Nutzung solcher personenbezogenen Daten durch den Datenimporteur in seiner Funktion als autorisierter Datenverarbeitungsagent des Datenexporteurs gelten, um sicherzustellen, dass die Parteien die geltenden Datenschutzgesetze einhalten.

 

DESHALB haben die Parteien diesen Anhang wie folgt abgeschlossen:

Teil 1

 

1. Aufbau des Dokuments und Definitionen

1.1 Aufbau

Dieser Anhang besteht aus folgenden Teilen:

 

Teil 1:	enthält allgemeine Bestimmungen, z.B. zu den in diesem Anhang verwendeten Definitionen, Einhaltung lokaler Gesetze, Zeitplan und Beendigung
Teil 2:	enthält den Kern des unveränderten Standardvertragsklausel-Dokuments
Anhang 1.1 von Teil 2:	enthält die Details der vom Datenimporteur an den Datenexporteur im Rahmen dieses Anhangs bereitgestellten Verarbeitungsvorgänge (einschließlich der Verarbeitung, Natur und Zweck der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien der betroffenen Personen)
Anhang 2 von Teil 2:	enthält eine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, die im Zusammenhang mit allen in Anhang 1.1 von Teil 2 beschriebenen Verarbeitungstätigkeiten angewendet werden
Teil 3:	enthält die Unterschriften der Parteien, die an diesen Anhang gebunden sind, und identifiziert jeden Datenimporteur

 

1.2 Terminologie und Definitionen

Für die Zwecke dieses Anhangs gelten die vom GDPR verwendeten Terminologien und Definitionen (im Text des Standardvertragsklausel-Dokuments in Teil 2, wo definierte Begriffe nicht großgeschrieben sind). 

 

"Mitgliedstaat"	bedeutet ein Land, das zur Europäischen Union oder zum Europäischen Wirtschaftsraum gehört
"Besondere Kategorien personenbezogener Daten"	bezieht sich auf personenbezogene Daten, die Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder Gewerkschaftsmitgliedschaft offenbaren, sowie genetische Daten, biometrische Daten, wenn sie zum Zweck der eindeutigen Identifizierung einer Person verarbeitet werden, Daten über Gesundheit, Daten über das Sexualleben oder die sexuelle Orientierung einer Person
"Standardvertragsklauseln"	bedeuten die Standardvertragsklauseln für die Übermittlung personenbezogener Daten von Verarbeitungskräften in Drittländern, gemäß Entscheidung der Kommission 2010/87/EU vom 5. Februar 2010, die durch die Durchführungsentscheidung (EU) 2016/2297 vom 16. Dezember 2016 geändert wurde
"Datenverarbeiter"	bedeuten jeden Verarbeitungspartner, der innerhalb oder außerhalb der EU/EEA ansässig ist, der zustimmt, personenbezogene Daten vom Datenimporteur oder einem anderen Verarbeitungspartner des Datenimporteurs ausschließlich für die im Rahmen dieses Anhangs durchzuführenden Verarbeitungstätigkeiten zu erhalten, nach den Anweisungen des Datenexporteurs, den Bedingungen dieses Anhangs und des Vertrags mit dem Datenimporteur

 

 

2. Pflichten des Datenexporteurs

2.1 Der Datenexporteur ist verpflichtet, die Einhaltung aller anwendbaren Verpflichtungen gemäß GDPR und sonstigen Datenschutzgesetzen nachzuweisen, die für den Datenexporteur gelten, und diese Einhaltung gemäß Artikel 5 Absatz 2 der GDPR nachzuweisen. Der Datenexporteur versichert, dass der Datenimporteur die vorherige Zustimmung der betroffenen Personen gemäß Artikel 6 Buchstabe a der GDPR eingeholt hat und die Verpflichtung zur Information der betroffenen Personen gemäß Artikel 13 und 14 der GDPR erfüllt hat.

2.2 Der Datenexporteur muss dem Datenimporteur die entsprechenden Dateien der Verarbeitungstätigkeiten gemäß Artikel 30 Absatz 1 der GDPR im Zusammenhang mit den Dienstleistungen im Rahmen dieses Anhangs bereitstellen, soweit dies notwendig ist, damit der Datenimporteur die Verpflichtungen nach Artikel 30 Absatz 2 der GDPR erfüllen kann.

2.3 Der Datenexporteur muss einen Datenschutzbeauftragten oder Vertreter benennen, soweit dies durch geltendes Datenschutzrecht erforderlich ist. Der Datenexporteur ist verpflichtet, die Kontaktdaten des Datenschutzbeauftragten oder Vertreters, falls vorhanden, dem Datenimporteur mitzuteilen.

2.4 Der Datenexporteur bestätigt vor Abschluss der Verarbeitung durch Annahme dieses Anhangs, dass die technischen und organisatorischen Sicherheitsmaßnahmen des Datenimporteurs, wie in Anhang 2 zu Teil 2 festgelegt, angemessen und ausreichend sind, um die Rechte der betroffenen Person zu schützen, und bestätigt, dass der Datenimporteur in dieser Hinsicht ausreichende Schutzmaßnahmen bietet.

 

3. Einhaltung der lokalen Gesetze

Zur Erfüllung der Anforderungen bei der Umsetzung der Verarbeitungspartner gemäß Artikel 28 der GDPR gelten folgende Änderungen:

 

3.1 Anweisungen

1. (i) Der Datenexporteur weist den Datenimporteur an, personenbezogene Daten nur im Auftrag des Datenexporteurs zu verarbeiten. Die Anweisungen des Datenexporteurs sind in diesem Anhang und im Vertrag enthalten. Der Datenexporteur ist verpflichtet sicherzustellen, dass alle Anweisungen, die an den Datenimporteur gegeben werden, mit den geltenden Datenschutzgesetzen übereinstimmen. Der Datenimporteur darf personenbezogene Daten nur gemäß den vom Datenexporteur vorgegebenen Anweisungen verarbeiten, sofern nicht anders durch die Europäische Union oder das Recht des Mitgliedstaats (im letzteren Fall gilt Klausel 3.2 (iv) (c) von Teil 1).
2. (ii) Alle weiteren Anweisungen, die über die in diesem Anhang oder im Vertrag enthaltenen Anweisungen hinausgehen, müssen im Gegenstand dieses Anhangs und des Vertrags enthalten sein. Wenn die Umsetzung dieser zusätzlichen Anweisung Kosten für den Datenimporteur verursacht, muss der Datenimporteur den Datenexporteur vor der Umsetzung über diese Kosten informieren und eine Erklärung abgeben. Erst nach Bestätigung durch den Datenexporteur, diese Kosten zu übernehmen, darf der Datenimporteur diese zusätzliche Anweisung umsetzen. Der Datenexporteur muss zusätzliche Anweisungen schriftlich geben, es sei denn, Dringlichkeit oder andere besondere Umstände erfordern eine andere Form (z.B. mündlich, elektronisch). Mündliche Anweisungen sind schriftlich zu bestätigen und unverzüglich durch den Datenexporteur zu bestätigen.
3. 1. Sofern der Datenexporteur die Berichtigung, Löschung oder Einschränkung personenbezogener Daten nicht selbst vornehmen kann, können sich die Anweisungen auch auf die Berichtigung, Löschung und/oder Einschränkung personenbezogener Daten beziehen, wie in Klausel 3.3 von Teil 1 festgelegt.
4. 2. Der Datenimporteur muss den Datenexporteur unverzüglich informieren, wenn er der Ansicht ist, dass eine Anweisung gegen die GDPR oder andere anwendbare Datenschutzbestimmungen der Europäischen Union oder eines Mitgliedstaats verstößt ("Streitige Anweisung"). Falls der Datenimporteur der Meinung ist, dass eine Anweisung gegen die GDPR oder andere Datenschutzbestimmungen verstößt, ist er nicht verpflichtet, die streitige Anweisung auszuführen. Wenn der Datenexporteur die streitige Anweisung nach Eingang der Informationen vom Datenimporteur bestätigt und seine Verantwortung für die streitige Anweisung anerkennt, wird der Datenimporteur die streitige Anweisung umsetzen, es sei denn, die Anweisung betrifft (i) die Umsetzung technischer und organisatorischer Maßnahmen, (ii) die Rechte der betroffenen Personen oder (iii) die Beauftragung von Datenverarbeitern. In den Fällen (i) bis (iii) kann der Datenimporteur eine zuständige Aufsichtsbehörde kontaktieren, um die rechtliche Bewertung der streitigen Anweisung durch diese Behörde vornehmen zu lassen. Wenn die Aufsichtsbehörde die beanstandete Anweisung für rechtmäßig erklärt, wird der Datenimporteur die beanstandete Anweisung umsetzen. Klausel 3.1 (ii) von Teil 1 bleibt weiterhin anwendbar.

 

3.2 Pflichten des Datenimporteurs

1. (i) Der Datenimporteur muss sicherstellen, dass Personen, die vom Datenimporteur beauftragt sind, personenbezogene Daten im Auftrag des Datenexporteurs zu verarbeiten, insbesondere Mitarbeiter des Datenimporteurs und Mitarbeiter von Subunternehmern, Vertraulichkeit vereinbart haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass diese Personen personenbezogene Daten gemäß den Anweisungen des Datenexporteurs verarbeiten.
2. (ii) Der Datenimporteur muss die in Anhang 2 zu Teil 2 festgelegten technischen und organisatorischen Sicherheitsmaßnahmen vor der Verarbeitung personenbezogener Daten im Auftrag des Datenexporteurs umsetzen. Der Datenimporteur kann die technischen und organisatorischen Sicherheitsmaßnahmen von Zeit zu Zeit ändern, sofern sie keinen geringeren Schutz bieten als die in Anhang 2 zu Teil 2 festgelegten.
3. (iii) Der Datenimporteur stellt dem Datenexporteur auf Anfrage Informationen zur Verfügung, die die Einhaltung der Verpflichtungen des Datenimporteurs im Rahmen dieses Anhangs nachweisen, z.B. durch einen Auditbericht ("Audit"). Wenn gesetzliche Anforderungen zusätzliche Prüfungen erfordern, kann der Datenexporteur Inspektionen durch den Datenexporteur oder einen vom Datenexporteur beauftragten unabhängigen Prüfer verlangen, wobei der Prüfer eine Vertraulichkeitserklärung mit dem Datenimporteur unterzeichnen muss ("Audit"). Dieses Audit unterliegt den Bedingungen: (i) vorherige schriftliche Zustimmung des Datenimporteurs; (ii) der Datenexporteur trägt alle Kosten für das Vor-Ort-Audit. Der Datenexporteur erstellt einen Bericht, der die Ergebnisse zusammenfasst ("Vor-Ort-Audit-Bericht"). Die Audit-Berichte sind vertrauliche Informationen des Datenimporteurs und dürfen nur im Rahmen der geltenden Datenschutzgesetze oder mit Zustimmung des Datenimporteurs an Dritte weitergegeben werden.
4. (iv) Der Datenimporteur ist verpflichtet, den Datenexporteur unverzüglich zu informieren:
1. a. über rechtlich bindende Anfragen zur Offenlegung personenbezogener Daten durch Strafverfolgungsbehörden, sofern keine anderen Beschränkungen bestehen, z.B. gesetzliche Geheimhaltungspflichten;
2. b. über Beschwerden und Anfragen, die direkt von betroffenen Personen (z.B. bezüglich Zugriff, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Datenverarbeitung, automatisierte Entscheidungen) eingehen, ohne auf diese Anfragen zu reagieren, sofern der Datenimporteur dazu nicht befugt ist;
3. c. wenn der Datenimporteur oder Datenverarbeiter gesetzlich verpflichtet ist, personenbezogene Daten über die Anweisungen des Datenexporteurs hinaus zu verarbeiten, bevor diese Verarbeitung erfolgt, es sei denn, das Recht der Europäischen Union oder eines Mitgliedstaats verbietet eine solche Verarbeitung aus lebenswichtigen öffentlichen Interessen, wobei die Mitteilung an den Datenexporteur die rechtliche Grundlage angeben muss;
4. d. wenn der Datenimporteur eine Verletzung personenbezogener Daten erkennt, die nur auf eigenes Verschulden oder das seines Subunternehmers zurückzuführen ist und die die personenbezogenen Daten des Datenexporteurs betrifft, wird der Datenimporteur den Datenexporteur bei der Erfüllung seiner Verpflichtungen gemäß Artikel 33 Absatz 3 der GDPR unterstützen, indem er die verfügbaren Informationen bereitstellt.
5. (v) Auf Wunsch des Datenexporteurs muss der Datenimporteur den Datenexporteur bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 der GDPR und einer vorherigen Konsultation gemäß Artikel 36 der GDPR unterstützen, indem er die erforderlichen Informationen bereitstellt. Der Datenimporteur ist nur verpflichtet, diese Unterstützung zu leisten, wenn der Datenexporteur seine Verpflichtung anderweitig nicht erfüllen kann. Der Datenimporteur informiert den Datenexporteur über die Kosten dieser Unterstützung. Sobald der Datenexporteur bestätigt, diese Kosten tragen zu können, leistet der Datenimporteur diese Unterstützung.
6. (vi) Nach Abschluss der Dienstleistung kann der Datenexporteur die Rückgabe der vom Datenimporteur im Rahmen dieses Anhangs verarbeiteten personenbezogenen Daten innerhalb eines Monats verlangen. Sofern das Recht des Mitgliedstaats oder der Europäischen Union die Speicherung oder Aufbewahrung dieser Daten vorschreibt, löscht der Datenimporteur alle personenbezogenen oder sonstigen Daten nach Ablauf des Monats, unabhängig davon, ob sie auf Wunsch des Datenexporteurs zurückgegeben wurden oder nicht.

 

3.3 Rechte der betroffenen Personen

1.  
   1. (i) Der Datenexporteur verwaltet und reagiert auf Anfragen der betroffenen Personen. Der Datenimporteur ist nicht verpflichtet, direkt auf die betroffenen Personen zu reagieren.
   2. (ii) Wenn der Datenexporteur die Unterstützung des Datenimporteurs bei der Verarbeitung und Beantwortung der Anfragen der betroffenen Personen benötigt, erteilt der Datenexporteur eine weitere Anweisung gemäß Klausel 3.1 (ii) von Teil 1. Der Datenimporteur unterstützt den Datenexporteur mit geeigneten technischen und organisatorischen Maßnahmen bei der Beantwortung der in Kapitel III der GDPR genannten Rechte der betroffenen Personen, insbesondere:
   3. a. Bei Anfragen nach Informationen stellt der Datenimporteur dem Datenexporteur nur die gemäß Artikel 13 und 14 der GDPR verfügbaren Informationen bereit, falls der Datenexporteur diese nicht selbst finden kann.
   4. b. Bei Zugriffsanfragen (Artikel 15 der GDPR) stellt der Datenimporteur nur die Informationen bereit, die für die betroffene Person im Rahmen der Anfrage erforderlich sind und die ihm vorliegen, falls diese nicht selbst gefunden werden können.
   5. c. Bei Berichtigungs-, Lösch-, Einschränkungs- oder Übertragungsanfragen (Artikel 16, 17, 18, 20 der GDPR) bietet der Datenimporteur dem Datenexporteur die Möglichkeit, die betreffenden Daten zu berichtigen, zu löschen, einzuschränken oder an Dritte zu übertragen, oder unterstützt ihn dabei, falls dies nicht möglich ist.
   6. d. Bei Mitteilungen über Berichtigung, Löschung oder Einschränkung der Verarbeitung (Artikel 19 der GDPR) unterstützt der Datenimporteur den Datenexporteur, indem er alle Empfänger der personenbezogenen Daten informiert, falls der Datenexporteur dies verlangt und die Situation nicht selbst beheben kann.
   7. e. Bei Widerspruchsrechten (Artikel 21, 22 der GDPR) entscheidet der Datenexporteur, ob der Widerspruch gerechtfertigt ist und wie damit umzugehen ist.
   8. (iii) Die Unterstützungspflichten des Datenimporteurs beschränken sich auf personenbezogene Daten, die innerhalb seiner Infrastruktur verarbeitet werden (z.B. Datenbanken, Systeme, Anwendungen, die vom Datenimporteur betrieben oder bereitgestellt werden).
   9. (iv) Der Datenexporteur entscheidet, ob ein Betroffener die in Klausel 3.1 dieses Teils 1 genannten Rechte ausüben darf, und informiert den Datenimporteur, in welchem Umfang die Unterstützung gemäß Klauseln 3.3 (ii), (iii) notwendig ist.
   10. (v) Wenn der Datenexporteur zusätzliche oder geänderte technische und organisatorische Maßnahmen verlangt, um die Rechte der betroffenen Personen zu gewährleisten, die über die Unterstützung des Datenimporteurs gemäß Klausel 3.3 (ii), (iii) hinausgehen, informiert der Datenimporteur den Datenexporteur über die Kosten. Sobald der Datenexporteur bestätigt, diese Kosten tragen zu können, setzt der Datenimporteur diese Maßnahmen um.
   11. (vi) Ohne die Beschränkung des Absatzes (v) ist der Datenexporteur verpflichtet, dem Datenimporteur die angemessenen Kosten für die Beantwortung der Anfragen der betroffenen Personen zu erstatten.

 

3.4 Unterverarbeitung

1.  
   1. (i) Der Datenexporteur genehmigt die Nutzung von Subunternehmern durch den Datenimporteur für die Erbringung der Dienste im Rahmen dieses Anhangs. Der Datenimporteur wählt die Datenverarbeiter sorgfältig aus. Der Datenexporteur genehmigt die in Anhang 1.1 am Ende von Teil 2 aufgeführten Datenverarbeiter.
   2. (ii) Der Datenimporteur überträgt seine Verpflichtungen aus diesem Anhang auf die Datenverarbeiter, soweit dies für die unterverarbeiteten Dienste gilt.
   3. (iii) Der Datenimporteur kann einen anderen geeigneten und zuverlässigen Datenverarbeiter nach eigenem Ermessen abberufen, ersetzen oder beauftragen. Auf schriftliche Anfrage des Datenexporteurs muss der Datenimporteur das folgende Verfahren einhalten:
2.  
   1. a. Der Datenimporteur informiert den Datenexporteur vor Änderungen an der Liste der in Klausel 3.4 (i) genannten Datenverarbeiter. Wenn der Datenexporteur innerhalb von 30 Tagen nach Erhalt der Mitteilung keine Einwände erhebt, gelten die zusätzlichen Datenverarbeiter als akzeptiert.
   2. b. Bei berechtigtem Widerspruch des Datenexporteurs gegen einen zusätzlichen Datenverarbeiter, teilt dieser dies dem Datenimporteur innerhalb von 30 Tagen nach Erhalt der Mitteilung mit, bevor der Dienst des Datenimporteurs in Betrieb genommen wird. Der Datenimporteur kann den Widerspruch durch eine der folgenden Maßnahmen ausräumen (nach eigenem Ermessen): (A) Der Datenimporteur storniert die Pläne, einen zusätzlichen Verarbeiter für die personenbezogenen Daten des Datenexporteurs zu verwenden; (B) Der Datenimporteur ergreift die vom Datenexporteur geforderten Korrekturmaßnahmen (Widerspruchsaufhebung) und nutzt den zusätzlichen Verarbeiter für die personenbezogenen Daten des Datenexporteurs; (C) Der Datenimporteur stellt die Erbringung bestimmter Dienste ein oder der Datenexporteur stimmt vorübergehend oder dauerhaft zu, bestimmte Dienste, die die Nutzung eines weiteren Verarbeiters erfordern, nicht zu verwenden.
3.  
   1. (iv) Falls der Datenverarbeiter außerhalb der EU/EEA in einem Land ansässig ist, das nach einer Entscheidung der Europäischen Kommission kein angemessenes Datenschutzniveau bietet, wird der Datenimporteur Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau gemäß GDPR zu gewährleisten (diese Maßnahmen können u.a. die Nutzung von Datenverarbeitungsverträgen auf Basis der EU-Standardklauseln, Übertragungen an selbstzertifizierte Datenverarbeiter im Rahmen des EU-US Privacy Shield oder eines ähnlichen Programms umfassen).

 

3.5 Ablauf

Die Laufzeit dieses Anhangs entspricht dem Ablaufdatum des entsprechenden Vertrags. Sofern in diesem Anhang nichts anderes bestimmt ist, gelten die Rechte und Pflichten hinsichtlich Beendigung wie im Vertrag.

 

4. Haftungsbeschränkung

4.1 Jede Partei erfüllt ihre Verpflichtungen aus diesem Anhang und den anwendbaren Datenschutzgesetzen.

4.2 Jegliche Haftung im Zusammenhang mit Verstößen gegen die Verpflichtungen aus diesem Anhang oder den anwendbaren Datenschutzgesetzen richtet sich nach den im Vertrag oder für den Vertrag geltenden Haftungsbestimmungen, sofern in diesem Anhang nichts anderes bestimmt ist. Wenn die Haftung durch die Haftungsbestimmungen des Vertrags geregelt ist, gilt diese auch für die Berechnung der Haftungsgrenzen oder die Anwendung anderer Haftungsbeschränkungen, und jegliche Haftung im Rahmen dieses Anhangs gilt als aus dem Vertrag entstanden.

 

5. Allgemeine Bestimmungen

5.1 Bei Unstimmigkeiten zwischen Teil 1 und Teil 2 dieses Anhangs hat Teil 2 Vorrang. Insbesondere bleibt Teil 1, das über Teil 2 hinausgeht (d.h. die Bedingungen der Standardklauseln), gültig, sofern es nicht im Widerspruch zu Teil 2 steht.

5.2 Bei Unklarheiten, ob Klauseln in anderen Verträgen die Datenschutzpflichten betreffen, hat dieser Anhang Vorrang.

5.3 Sollte eine Bestimmung dieses Anhangs unwirksam oder nicht durchsetzbar sein, bleiben die übrigen Bestimmungen voll wirksam. Die unwirksame oder nicht durchsetzbare Bestimmung wird so geändert, dass sie wirksam wird und den ursprünglichen Willen möglichst widerspiegelt, oder – falls dies nicht möglich ist – so ausgelegt, als hätte sie nie bestanden. Dies gilt auch bei einer Lücke in diesem Anhang.

5.5 Soweit erforderlich, können die Parteien Änderungen an Teil 1, Klausel 3 (Einhaltung lokaler Gesetze) oder anderen Teilen des Anhangs verlangen, um den Vorgaben, Richtlinien oder Anordnungen der zuständigen Behörden der Union oder der Mitgliedstaaten, nationalen Durchsetzungsbestimmungen oder sonstigen rechtlichen Entwicklungen im Zusammenhang mit GDPR oder anderen Delegationsbedingungen gerecht zu werden. Die Bedingungen der Standardklauseln dürfen nur mit ausdrücklicher Genehmigung der Europäischen Kommission geändert oder ersetzt werden (z.B. durch neue angemessene Klauseln und Datenschutzstandards).

5.6 Verweise in diesem Anhang auf die "Klauseln" beziehen sich auf alle Bestimmungen dieses Anhangs, sofern nicht anders angegeben.

5.7 Die Rechtswahl in Klausel 9 von Teil 2 gilt für den gesamten Vertrag.

 

6. Personenbezogene Daten, die von den Parteien für persönliche Zwecke übertragen und verarbeitet werden (Übertragung vom Verantwortlichen zum Verantwortlichen)

6.1 Die Parteien wissen, dass bestimmte personenbezogene Daten vom Datenexporteur an den Datenimporteur und umgekehrt übertragen werden, und dass diese Daten von jeder Partei für eigene Zwecke verarbeitet werden. Für solche personenbezogenen Daten berührt dies nicht die übrigen Bestimmungen dieses Anhangs (außer dieser Klausel 6).

6.2 Der Datenexporteur kann personenbezogene Daten über das Personal des Datenimporteurs an den Datenimporteur übertragen, einschließlich Informationen zu Sicherheitsvorfällen oder anderen Dokumenten oder Dateien, die vom Datenexporteur im Zusammenhang mit den vom Personal des Datenimporteurs erbrachten Dienstleistungen erstellt oder erstellt wurden. Der Datenimporteur darf solche personenbezogenen Daten für eigene Zwecke verarbeiten, insbesondere im beruflichen Kontakt mit dem Personal des Datenimporteurs, zur Qualitätskontrolle, Schulung oder geschäftlichen Zwecken.

6.3 Der Datenimporteur kann personenbezogene Daten an den Datenexporteur übertragen, einschließlich Name und Kontaktdaten des Personals des Datenimporteurs. Der Datenexporteur darf solche personenbezogenen Daten für eigene Zwecke verarbeiten.

6.4 Beide Parteien müssen alle anwendbaren Datenschutzgesetze einhalten, einschließlich GDPR, bei Erhebung, Verarbeitung und Nutzung der von der anderen Partei im Rahmen dieses Klausel 1 von Teil 1 erhaltenen personenbezogenen Daten. Insbesondere müssen beide Parteien angemessene Sicherheitsmaßnahmen treffen, die ein vergleichbares Schutzniveau wie die in Anhang 2 zu Teil 2 festgelegten Sicherheitsmaßnahmen bieten. Der Zugriff auf solche personenbezogenen Daten ist auf das notwendige Maß zu beschränken.

6.5 Beide Parteien müssen solche personenbezogenen Daten so schnell wie möglich nach Erreichen der Zwecke löschen.

Teil 2

 

ENTSCHEIDUNG DER KOMMISSION

vom 5. Februar 2010

über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter in Drittländern gemäß Richtlinie 95/46/EG des Europäischen Parlaments und des Rates

 

 

 

Klausel 1

Definitionen

Im Sinne der Klauseln bedeuten:

a) 'personenbezogene Daten', 'besondere Kategorien personenbezogener Daten', 'Verarbeitung', 'Verantwortlicher', 'Auftragsverarbeiter', 'betroffene Person' und 'Aufsichtsbehörde' die gleichen Bedeutungen wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1);

b) der 'Datenexporteur' ist der Datenverantwortliche, der die personenbezogenen Daten übermittelt;

c) der 'Datenimporteur' ist der Datenverarbeiter, der zustimmt, personenbezogene Daten vom Datenexporteur zu empfangen, die nach der Übertragung im Auftrag des Datenexporteurs gemäß dessen Anweisungen verarbeitet werden sollen, unter den Bedingungen dieser Klauseln und der schriftlichen Unterauftragsverarbeitung;

d) 'Datenverarbeiter' bedeutet den vom Datenimporteur oder einem anderen Datenverarbeiter des Datenimporteurs beauftragten Datenverarbeiter, der zustimmt, personenbezogene Daten ausschließlich im Auftrag des Datenexporteurs nach den Anweisungen des Datenexporteurs zu verarbeiten, gemäß den Bedingungen dieser Klauseln und im Rahmen eines schriftlichen Unterauftragsverarbeitungsvertrags;

e) 'geltendes Datenschutzrecht' bezeichnet die Gesetze zum Schutz der Grundrechte und -freiheiten sowie der Rechte der betroffenen Personen, einschließlich des Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen Verantwortlichen im Mitgliedstaat gelten, in dem der Datenexporteur ansässig ist;

f) „technische und organisatorische Maßnahmen zum Schutz“ sind Maßnahmen, die zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung oder zufälligem Verlust, Veränderung, unbefugter Offenlegung oder Zugriff bestimmt sind, insbesondere bei der Übertragung von Daten über Netzwerke, und gegen alle anderen unrechtmäßigen Formen der Verarbeitung.

Klausel 2

Details der Übermittlung

Die Details der Übermittlung, einschließlich, falls zutreffend, besonderer Kategorien personenbezogener Daten, sind in Anhang 1 festgelegt, der Bestandteil dieser Klauseln ist.

Klausel 3

Drittschuldnerklausel

1. Die betroffene Person kann gegen den Datenexporteur diese Klausel, Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6 (1) und (2), Klausel 7, Klausel 8(2) und Klauseln 9 bis 12 als Drittschuldner durchsetzen.

2. Die betroffene Person kann diese Klausel, Klausel 5 (a) bis (e) und (g), Klausel 6, Klausel 7, Klausel 8 (2) und Klauseln 9 bis 12 gegen den Datenimporteur durchsetzen, wenn der Datenexporteur physisch verschwunden ist oder nicht mehr rechtlich besteht, es sei denn, alle seine rechtlichen Verpflichtungen wurden durch Vertrag oder Gesetz auf die Nachfolgeeinheit übertragen, gegen die die betroffene Person ihre Rechte geltend machen kann. Die betroffene Person kann diese Klauseln auch gegen den Datenverarbeiter durchsetzen, jedoch nur in Fällen, in denen der Datenexporteur und der Datenimporteur physisch verschwunden sind, nicht mehr rechtlich bestehen oder insolvent sind, sofern alle rechtlichen Verpflichtungen des Datenexporteurs auf den Rechtsnachfolger übertragen wurden. Die Haftung des Datenverarbeiters beschränkt sich auf seine eigenen Verarbeitungstätigkeiten im Rahmen dieser Klauseln.

4. Die Parteien widersprechen nicht, dass die betroffene Person durch eine Vereinigung oder andere Organisation vertreten wird, sofern sie dies wünscht und das nationale Recht dies zulässt.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur übernimmt und garantiert Folgendes:

a) Die Verarbeitung, einschließlich der tatsächlichen Übertragung personenbezogener Daten, wurde und wird in Übereinstimmung mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt (und wurde gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur ansässig ist, gemeldet) und verletzt keine der entsprechenden Bestimmungen dieses Staates;

b) Er hat den Datenimporteur angewiesen, die übertragenen personenbezogenen Daten ausschließlich im Auftrag des Datenexporteurs und gemäß den anwendbaren Datenschutzgesetzen sowie diesen Klauseln zu verarbeiten;

c) Der Datenimporteur wird ausreichende Schutzmaßnahmen hinsichtlich der in Anhang 2 dieses Vertrags festgelegten technischen und organisatorischen Sicherheitsmaßnahmen bereitstellen;

d) Nach Bewertung der Anforderungen des anwendbaren Datenschutzrechts sind die Sicherheitsmaßnahmen ausreichend, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen, insbesondere bei der Übertragung von Daten über Netzwerke, und gewährleisten ein angemessenes Sicherheitsniveau entsprechend den Risiken der Verarbeitung und der Art der zu schützenden Daten, unter Berücksichtigung des Standes der Technik und der Umsetzungskosten;

e) Sie werden die Einhaltung der Sicherheitsmaßnahmen sicherstellen;

f) Wenn die Übertragung besondere Kategorien von Daten betrifft, wurde die betroffene Person vor der Übertragung informiert oder wird informiert, dass ihre Daten in ein Drittland übertragen werden können, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

g) Sie werden alle Mitteilungen des Datenimporteurs oder eines Datenverarbeiters gemäß Klausel 5 (b) und 8 (3) an die Datenschutzaufsichtsbehörde weiterleiten, falls sie die Übertragung fortsetzen oder aussetzen wollen;

h) Sie stellen betroffenen Personen auf Anfrage eine Kopie dieser Klauseln sowie eine Zusammenfassung der Sicherheitsmaßnahmen und eine Kopie weiterer Unterauftragsvereinbarungen zur Verfügung, sofern diese keine geschäftlichen Informationen enthalten, oder entfernen diese entsprechend;

i) Bei Untervergabe der Datenverarbeitung stellt der Datenverarbeiter sicher, dass die Verarbeitung den Anforderungen von Klausel 11 entspricht und mindestens das gleiche Schutzniveau sowie die Rechte der betroffenen Personen gewährleistet wie der Datenimporteur unter diesen Klauseln;

j) Sie stellen die Einhaltung von Klausel 4 (a) bis (i) sicher.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur übernimmt und garantiert Folgendes:

a) Er verarbeitet personenbezogene Daten nur im Auftrag des Datenexporteurs und nach dessen Anweisungen sowie diesen Klauseln; falls er dies aus irgendeinem Grund nicht kann, informiert er den Datenexporteur unverzüglich, woraufhin der Datenexporteur die Datenübertragung aussetzen oder den Vertrag beenden kann;

b) Er hat keinen Grund zu glauben, dass das anwendbare Recht ihn daran hindert, den Anweisungen des Datenexporteurs zu folgen und die Verpflichtungen aus diesem Vertrag zu erfüllen; falls sich das Recht ändert und dies wesentliche Auswirkungen auf die Garantien und Verpflichtungen hat, informiert er den Datenexporteur unverzüglich; in diesem Fall kann der Datenexporteur die Übertragung aussetzen oder den Vertrag beenden;

c) Er hat die in Anhang 2 festgelegten technischen und organisatorischen Sicherheitsmaßnahmen vor der Verarbeitung umgesetzt;

d) Er informiert den Datenexporteur unverzüglich über:

1. a. rechtlich bindende Anfragen zur Offenlegung personenbezogener Daten durch Strafverfolgungsbehörden, sofern keine anderen Beschränkungen bestehen;
2. b. unbefugten Zugriff oder unbefugte Offenlegung;
3. c. Anfragen direkt von betroffenen Personen, ohne darauf zu reagieren, sofern er dazu nicht befugt ist;

e) Er behandelt Anfragen des Datenexporteurs zur Verarbeitung der personenbezogenen Daten umgehend und ordnungsgemäß und handelt im Einklang mit der Meinung der Aufsichtsbehörde;

f) Auf Wunsch des Datenexporteurs unterzieht er seine Datenverarbeitungsanlagen einer Prüfung durch den Datenexporteur oder eine unabhängige Stelle, die vom Datenexporteur beauftragt wird, unter der Voraussetzung, dass eine Vertraulichkeitserklärung mit dem Datenimporteur besteht;

g) Er stellt dem betroffenen Nutzer auf Wunsch eine Kopie dieser Klauseln oder eines bestehenden Unterauftragsverarbeitungsvertrags zur Verfügung, sofern diese keine geschäftlichen Informationen enthalten;

h) Bei vertraulicher Untervergabe der Datenverarbeitung informiert er den Datenexporteur im Voraus und erhält dessen schriftliche Zustimmung;

i) Die Verarbeitung im Rahmen der Dienstleistung entspricht Klausel 11;

j) Er sendet unverzüglich eine Kopie des Unterauftrags an den Datenexporteur.

Klausel 6

Verantwortlichkeit

1. Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der Verpflichtungen aus Klausel 3 oder Klausel 11 einen Schaden erleidet, vom Datenexporteur Schadensersatz verlangen kann.

2. Falls eine betroffene Person aufgrund des Verschuldens des Datenimporteurs oder eines seiner Datenverarbeiter die Klage nach Absatz 1 gegen den Datenexporteur nicht erheben kann, weil der Datenexporteur physisch verschwunden ist, nicht mehr rechtlich besteht oder insolvent ist, stimmt der Datenimporteur zu, dass die betroffene Person eine Beschwerde gegen ihn einreichen kann, als wäre er der Datenexporteur, sofern alle rechtlichen Verpflichtungen auf den Rechtsnachfolger übertragen wurden. Die Haftung des Datenverarbeiters beschränkt sich auf seine eigenen Verarbeitungstätigkeiten.

3. Falls eine betroffene Person die Klage nach Absatz 1 und 2 gegen den Datenexporteur oder den Datenimporteur wegen Verletzung durch den Datenverarbeiter nicht erheben kann, weil der Datenexporteur und der Datenimporteur nicht mehr rechtlich bestehen oder insolvent sind, kann die betroffene Person eine Beschwerde gegen den Datenverarbeiter im Rahmen seiner eigenen Verarbeitungstätigkeiten einreichen, als wäre er der Datenexporteur oder -importeur, sofern alle rechtlichen Verpflichtungen auf den Rechtsnachfolger übertragen wurden. Die Haftung des Datenverarbeiters beschränkt sich auf seine eigenen Verarbeitungstätigkeiten.

 

Klausel 7

Mediation und Gerichtsstand

1. Der Datenimporteur stimmt zu, dass im Falle eines Rechtsstreits der betroffenen Person gegen ihn die Entscheidung der betroffenen Person akzeptiert wird:

a) die Streitigkeit einem unabhängigen Mediator oder, falls zutreffend, der Aufsichtsbehörde vorzulegen;

b) die Streitigkeit vor den Gerichten des Mitgliedstaats, in dem der Datenexporteur ansässig ist, verhandelt wird.

2. Die Parteien vereinbaren, dass die Wahl der betroffenen Person die prozessrechtlichen oder materiellen Rechte der betroffenen Person auf Rechtsschutz nach anderen nationalen oder internationalen Gesetzen nicht berührt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1. Der Datenexporteur stimmt zu, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, falls diese dies verlangt oder dies durch das anwendbare Datenschutzrecht vorgesehen ist.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde Kontrollen beim Datenimporteur und bei allen Datenverarbeitern durchführen kann, unter den gleichen Bedingungen wie bei Kontrollen beim Datenexporteur gemäß geltendem Datenschutzrecht.

3. Der Datenimporteur informiert den Datenexporteur so bald wie möglich über bestehende Gesetze, die die Überprüfung beim Datenimporteur oder bei Datenverarbeitern gemäß Absatz 2 verhindern. In diesem Fall kann der Datenexporteur die in Klausel 5 (b) vorgesehenen Maßnahmen ergreifen.

Klausel 9

Anwendbares Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur ansässig ist.

Klausel 10

Änderung des Vertrags

Die Parteien verpflichten sich, diese Klauseln nicht zu ändern. Sie können jedoch andere geschäftliche Klauseln aufnehmen, die notwendig erscheinen, sofern sie diesen Klauseln nicht widersprechen.

Klausel 11

Nachfolgende Untervergabe

1. Der Datenimporteur darf keine seiner Verarbeitungstätigkeiten im Auftrag des Datenexporteurs ohne vorherige schriftliche Zustimmung des Datenexporteurs untervergeben. Der Datenimporteur darf seine Verpflichtungen nur durch eine schriftliche Vereinbarung mit dem Datenverarbeiter übertragen, die die gleichen Verpflichtungen auferlegt. Falls der Datenverarbeiter die Verpflichtungen nicht erfüllen kann, bleibt der Datenimporteur gegenüber dem Datenexporteur voll verantwortlich.

2. Die schriftliche Vereinbarung muss eine Klausel enthalten, die die betroffene Person schützt, falls der Datenexporteur oder Datenimporteur physisch verschwindet oder insolvent wird, und die Verpflichtungen auf den Rechtsnachfolger übertragen werden. Die Haftung des Datenverarbeiters beschränkt sich auf seine eigenen Verarbeitungstätigkeiten.

3. Die Regelungen zur Datenschutz-Subunterverarbeitung richten sich nach dem Recht des Mitgliedstaats, in dem der Datenexporteur ansässig ist.

4. Der Datenexporteur führt eine Liste der Unterverträge, die im Rahmen dieser Klauseln geschlossen wurden, und informiert die Datenschutzaufsichtsbehörde regelmäßig, mindestens einmal jährlich.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitung

1. Nach Abschluss der Datenverarbeitung übergibt der Datenimporteur alle personenbezogenen Daten an den Datenexporteur oder löscht sie, sofern keine gesetzlichen Vorschriften eine Rückgabe oder Löschung verhindern. Der Datenimporteur garantiert die Vertraulichkeit der Daten und keine aktive Weiterverarbeitung.

2. Der Datenimporteur und der Datenverarbeiter stellen sicher, dass sie auf Verlangen des Datenexporteurs oder der Aufsichtsbehörde die Maßnahmen gemäß Absatz 1 nachweisen.