AffiliatesWissensdatenbankNachrichtenUnterstützung
DreamHost
Zurück zur rechtlichen Übersicht

Diese Übersetzungen wurden als Service bereitgestellt, aber die englischen Versionen der Nutzungsbedingungen regeln alle rechtlichen Angelegenheiten.

Zusatzvereinbarung zur Verarbeitung von Kundendaten

Letzte Aktualisierung:

  1. Dezember 2022

Diese Datenverarbeitungsvereinbarung ("DPA"), datiert auf den 27. Dezember 2022 (das "Datum des Inkrafttretens"), ist Teil des allgemeinen Vertrags und der Beziehung unter den Nutzungsbedingungen (sowie allen anderen Vereinbarungen, die unsere Dienste regeln), die von Zeit zu Zeit geändert und ergänzt werden (die "Vereinbarung"), zwischen Ihnen ("Kunde") und DreamHost ("Unternehmen"). Alle in diesem DPA nicht definierten, großgeschriebenen Begriffe haben die in der Vereinbarung festgelegte Bedeutung.

Definitionen

  • „Affiliate“ bezeichnet eine Einheit, die direkt oder indirekt Kontrolle hat, kontrolliert wird oder unter gemeinsamer Kontrolle mit einer anderen Einheit steht.
  • „Vereinbarung“ hat die Bedeutung, die im einleitenden Abschnitt festgelegt ist.
  • „Kontrolle“ bedeutet einen Besitz-, Stimm- oder ähnlichen Anteil, der fünfzig Prozent (50%) oder mehr der insgesamt ausstehenden Anteile der fraglichen Einheit repräsentiert. Der Begriff „kontrolliert“ wird entsprechend ausgelegt.
  • „Verantwortlicher“ bezeichnet eine Einheit, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
  • „Kundendaten“ bedeutet alle personenbezogenen Daten, die das Unternehmen im Rahmen der Erbringung von Dienstleistungen im Auftrag des Kunden verarbeitet.
  • „Anwendbare Datenschutzgesetze“ bedeutet alle geltenden Datenschutz- und Privatsphäre-Gesetze, die auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar sind, einschließlich, aber nicht beschränkt auf, die DSGVO, UK-Datenschutzgesetze und die CCPA, soweit anwendbar.
  • „EWR“ bedeutet für die Zwecke dieser DPA den Europäischen Wirtschaftsraum und die Schweiz.
  • „DSGVO“ bedeutet die Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) und alle anwendbaren nationalen Umsetzungen davon.
  • „Modellklauseln“ bedeutet das Standardvertragsklausel-Modul für Verantwortliche gegenüber Auftragsverarbeitern, wie von der Europäischen Kommission in der in Anhang D dargelegten Form genehmigt, ergänzt durch die Internationale Datenübertragungszusatzverordnung des britischen Information Commissioner's Office.
  • „CCPA“ bedeutet das California Consumer Privacy Act von 2018 [California Civil Code Sections 1798.100 – 1798.199], in der jeweils geltenden Fassung (einschließlich des California Privacy Rights Act von 2020) und deren Durchführungsbestimmungen.
  • „Personenbezogene Daten“ bedeutet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind.
  • „Verletzung des Schutzes personenbezogener Daten“ bedeutet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
  • „Verarbeitung“ bedeutet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Sätzen von personenbezogenen Daten durchgeführt werden, sei es durch automatisierte Verfahren oder nicht, wie Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, Abgleichen oder Verknüpfen, Einschränken, Löschen oder Vernichten. „Verarbeiten“, „Verarbeitungen“ und „Verarbeitet“ werden entsprechend ausgelegt.
  • „Auftragsverarbeiter“ bedeutet eine Einheit, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
  • „Dienstleistungen“ bedeutet jedes vom Unternehmen im Rahmen der Vereinbarung an den Kunden bereitgestellte Produkt oder jede Dienstleistung.
  • „Unterauftragsverarbeiter“ bedeutet einen Dritten, der vom Unternehmen beauftragt wird, bei der Erfüllung seiner Verpflichtungen in Bezug auf die Bereitstellung der Dienstleistungen gemäß der Vereinbarung oder dieser DPA zu unterstützen.
  • „UK-Datenschutzgesetze“ bedeutet: (i) die britische Datenschutz-Grundverordnung; und (ii) das Datenschutzgesetz 2018.

1. Geltungsbereich dieser DPA

Diese DPA gilt, sofern und nur in dem Umfang, in dem das Unternehmen Kundendaten im Rahmen der anwendbaren Datenschutzgesetze im Auftrag des Kunden im Zuge der Erbringung von Dienstleistungen für den Kunden gemäß der Vereinbarung verarbeitet.

2. Rollen und Umfang der Verarbeitung

Rolle der Parteien. Zwischen dem Unternehmen und dem Kunden ist der Kunde der Verantwortliche für die Kundendaten, und das Unternehmen verarbeitet die Kundendaten nur als Auftragsverarbeiter im Auftrag des Kunden. Soweit der CCPA auf die Verarbeitung von Kundendaten gemäß der Vereinbarung anwendbar ist, stimmen die Parteien zu, dass der Kunde ein "Unternehmen" und das Unternehmen ein "Dienstleister" im Sinne des CCPA ist.

Verarbeitung von Kundendaten durch den Kunden. Der Kunde stimmt zu, dass (i) er seine jeweiligen Verpflichtungen gemäß den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung von Kundendaten und alle Verarbeitungsanweisungen, die er dem Unternehmen erteilt, einhalten wird; und (ii) er alle notwendigen Benachrichtigungen vorgenommen und (oder vornehmen wird) alle Zustimmungen und Rechte gemäß den geltenden Datenschutzgesetzen eingeholt hat, die erforderlich sind, damit das Unternehmen die Kundendaten gemäß der Vereinbarung und dieser DPA verarbeiten kann.

Verarbeitung von Kundendaten durch das Unternehmen. Das Unternehmen wird Kundendaten nur für die in dieser DPA beschriebenen Zwecke und nur gemäß den dokumentierten rechtmäßigen Anweisungen des Kunden verarbeiten. Die Parteien stimmen zu, dass diese DPA und die Vereinbarung die vollständigen und endgültigen Anweisungen des Kunden an das Unternehmen in Bezug auf die Verarbeitung von Kundendaten festlegen und dass eine Verarbeitung außerhalb des Umfangs dieser Anweisungen (falls vorhanden) eine vorherige schriftliche Vereinbarung zwischen dem Kunden und dem Unternehmen erfordert.

Details der Verarbeitung. Die Einzelheiten der Verarbeitung gemäß der Vereinbarung sind in Anhang A festgelegt.

Ausnahmen. Ungeachtet anderslautender Bestimmungen in der Vereinbarung (einschließlich dieser DPA) erkennt der Kunde an, dass das Unternehmen das Recht hat, Daten in Bezug auf den Betrieb, die Unterstützung und/oder die Nutzung der Dienste für seine berechtigten Geschäftszwecke wie Abrechnung, Kontoverwaltung, technischen Support, Produktentwicklung und -verbesserung sowie Vertrieb und Marketing zu verwenden und offenzulegen. Soweit solche Daten ausschließlich für Geschäftszwecke des Unternehmens als personenbezogene Daten im Sinne der geltenden Datenschutzgesetze gelten, ist das Unternehmen der Verantwortliche für diese Daten und gewährleistet dementsprechend, dass es diese Daten gemäß der Datenschutzrichtlinie des Unternehmens und den Datenschutzgesetzen verarbeitet.

3. Unterauftragsverarbeitung

Autorisierte Unterauftragsverarbeiter. Der Kunde stimmt zu, dass das Unternehmen Unterauftragsverarbeiter beauftragen darf, Kundendaten im Namen des Kunden zu verarbeiten. Die derzeit vom Unternehmen beauftragten und vom Kunden autorisierten Unterauftragsverarbeiter können im "Profil & Datenschutz"-Tab des DreamHost Control Panels eingesehen werden; die Liste dieser Unterauftragsverarbeiter wird als "Unterauftragsverarbeiterliste" bezeichnet.

Pflichten der Unterauftragsverarbeiter. Das Unternehmen wird: (i) eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter abschließen, die Datenschutzbestimmungen enthält, die den Unterauftragsverarbeiter dazu verpflichten, die Kundendaten gemäß den geltenden Datenschutzgesetzen zu schützen; und (ii) weiterhin für die Einhaltung der Verpflichtungen aus diesem Datenschutzvertrag sowie für alle Handlungen oder Unterlassungen des Unterauftragsverarbeiters verantwortlich bleiben, die dazu führen, dass das Unternehmen gegen seine Verpflichtungen aus diesem Datenschutzvertrag verstößt.

Änderungen bei Unterauftragsverarbeitern. Das Unternehmen wird dem Kunden Änderungen bei den Unterauftragsverarbeitern mitteilen, indem es die Unterauftragsverarbeiter-Liste mit einer Vorankündigungsfrist von fünf (5) Tagen aktualisiert, bevor ein neuer Unterauftragsverarbeiter zur Erbringung der Dienstleistungen eingesetzt wird. Die Unterauftragsverarbeiterliste wird stets das Datum der letzten Aktualisierung enthalten. Der Kunde kann E-Mail-Benachrichtigungen über Änderungen an der Unterauftragsverarbeiterliste erhalten. Wenn der Kunde einem neuen Unterauftragsverarbeiter nach Erhalt einer solchen Mitteilung nicht zustimmt und der Kunde innerhalb der Frist von fünf (5) Tagen vor dem Einsatz des neuen Unterauftragsverarbeiters zur Erbringung der Dienstleistungen eine schriftliche Mitteilung an das Unternehmen sendet, die eine Erklärung enthält, warum der Kunde dem neuen Unterauftragsverarbeiter nicht zustimmt, kann der Kunde die betroffenen Dienstleistungen schriftlich gegenüber dem Unternehmen kündigen.

4. Sicherheit

Aktualisierungen der Sicherheitsmaßnahmen. Der Kunde ist dafür verantwortlich, die von der Gesellschaft bereitgestellten Informationen bezüglich der Datensicherheit zu überprüfen und eigenständig zu bestimmen, ob die Dienstleistungen die Anforderungen und gesetzlichen Verpflichtungen des Kunden gemäß den anwendbaren Datenschutzgesetzen erfüllen. Die minimalen technischen und organisatorischen Maßnahmen des Unternehmens zum Schutz der Kundendaten sind in Anhang B (die „Informationssicherheitsmaßnahmen“) festgelegt. Der Kunde erkennt an, dass die Informationssicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass das Unternehmen die Informationssicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder modifizieren kann, vorausgesetzt, dass solche Aktualisierungen und Modifikationen nicht zu einer Verschlechterung der allgemeinen Sicherheit der vom Kunden erworbenen Dienstleistungen führen.

Personal. Das Unternehmen stellt sicher, dass jede Person, die vom Unternehmen zur Verarbeitung der Kundendaten autorisiert ist (einschließlich seiner Mitarbeiter, Vertreter und autorisierten Unterauftragsverarbeiter), einer angemessenen Vertraulichkeitsverpflichtung unterliegt (sei es vertraglich oder gesetzlich). Darüber hinaus wird das Unternehmen Schritte unternehmen, um sicherzustellen, dass jede Person, die vom Unternehmen zur Nutzung der Kundendaten autorisiert ist, diese Daten nur gemäß den Anweisungen des Kunden verarbeitet, es sei denn, diese Person ist durch anwendbare Datenschutzgesetze zur Verarbeitung dieser Daten verpflichtet.

Verantwortlichkeiten des Kunden. Ungeachtet des Vorstehenden stimmt der Kunde zu, dass der Kunde außer wie in dieser DPA vorgesehen, für die sichere Nutzung der Dienste verantwortlich ist.

Reaktion auf Datenschutzverletzungen. Sobald das Unternehmen Kenntnis von einer Datenschutzverletzung erlangt, wird es den Kunden unverzüglich benachrichtigen und zeitnahe Informationen über die Datenschutzverletzung bereitstellen, sobald diese bekannt werden oder vernünftigerweise vom Kunden angefordert werden. Das Unternehmen wird umgehend angemessene Schritte unternehmen, um die Auswirkungen einer Datenschutzverletzung zu mindern und, soweit möglich, zu beheben.

5. Prüfungsberichte

Der Kunde erkennt an, dass das Unternehmen regelmäßig auf die Einhaltung dieses DPA und die Sicherheitsstandards des Unternehmens geprüft wird. Auf schriftliche Anfrage, die an die in der Datenschutzrichtlinie angegebene Adresse des Unternehmens gesendet wird, stellt das Unternehmen dem Kunden einen zusammenfassenden Prüfungsbericht ("Bericht") zur Verfügung, wobei dieser Bericht den Vertraulichkeitsbestimmungen einer Vertraulichkeitsvereinbarung unterliegt, die das Unternehmen dem Kunden im Zusammenhang mit dem Bericht zur Unterschrift vorlegt. Das Unternehmen wird auch auf alle wirtschaftlich vertretbaren schriftlichen Prüfungsfragen antworten, die ihm vom Kunden vorgelegt werden, vorausgesetzt, dass der Kunde dieses Recht nicht häufiger als einmal alle zwölf (12) Monate ausübt.

6. Internationale Übermittlungen

Standorte der Datenzentren. Das Unternehmen kann Kundendaten weltweit überall dort übertragen und verarbeiten, wo das Unternehmen, seine verbundenen Unternehmen oder seine Unterauftragsverarbeiter Verarbeitungsaktivitäten unterhalten. Das Unternehmen wird zu jeder Zeit ein angemessenes Schutzniveau für die verarbeiteten Kundendaten entsprechend den Anforderungen der geltenden Datenschutzgesetze gewährleisten.

Musterklauseln. Soweit das Unternehmen gemäß der Vereinbarung Kundendaten verarbeitet, die durch die DSGVO oder die britischen Datenschutzgesetze geschützt sind und/oder die aus dem EWR oder dem Vereinigten Königreich stammen, in einem Land, das von der Europäischen Kommission, der Schweizerischen Datenschutzbehörde oder dem Datenschutzbeauftragten des Vereinigten Königreichs (je nach Anwendbarkeit) nicht als ein angemessenes Schutzniveau für personenbezogene Daten bietend eingestuft wurde, erkennen die Parteien an, dass das Unternehmen durch die Einhaltung der Musterklauseln ein angemessenes Schutzniveau (im Sinne des geltenden Datenschutzrechts) für solche Kundendaten bietet. Das Unternehmen stimmt zu, dass es ein „Datenimporteur“ und der Kunde ein „Datenexporteur“ im Rahmen der Musterklauseln ist (ungeachtet dessen, dass der Kunde eine außerhalb des EWR gelegene Einrichtung ist). Anhang III der Musterklauseln gilt nur in Bezug auf die Übermittlung von Kundendaten, die gemäß den britischen Datenschutzgesetzen unter der Vereinbarung geschützt sind und/oder die aus dem Vereinigten Königreich stammen.

7. Rückgabe oder Löschung von Daten

Bei Beendigung oder Ablauf des Vertrags wird das Unternehmen nach Wahl und authentifizierter Anfrage des Kunden alle Kundendaten in seinem Besitz oder unter seiner Kontrolle zurückgeben oder, soweit technisch möglich, löschen. Ungeachtet des Vorstehenden kann das Unternehmen Kundendaten auf seinen Backup-Systemen aufbewahren oder archivieren, wenn das Unternehmen durch geltendes Recht, vertragliche oder regulatorische Verpflichtungen dazu verpflichtet ist oder wenn das Unternehmen berechtigte geschäftliche Interessen hat, die die Aufbewahrung einiger oder aller Kundendaten erfordern. Das Unternehmen wird solche Kundendaten sicher isolieren und vor weiterer Verarbeitung schützen, außer soweit dies durch geltendes Recht, vertragliche oder regulatorische Verpflichtungen erforderlich ist.

8. Zusammenarbeit

Die Dienste können dem Kunden eine Reihe von Kontrollmöglichkeiten bereitstellen, die der Kunde nutzen kann, um Kundendaten abzurufen, zu korrigieren, zu löschen oder einzuschränken. Diese Kontrollen kann der Kunde im Zusammenhang mit seinen Verpflichtungen gemäß den anwendbaren Datenschutzgesetzen, einschließlich seiner Verpflichtungen in Bezug auf die Beantwortung von Anfragen von betroffenen Personen oder zuständigen Datenschutzbehörden, nutzen. Soweit der Kunde nicht in der Lage ist, die relevanten Kundendaten eigenständig innerhalb der Dienste zuzugreifen, wird das Unternehmen auf Kosten des Kunden eine angemessene Unterstützung leisten, um dem Kunden zu helfen, Anfragen von Einzelpersonen oder zuständigen Datenschutzbehörden in Bezug auf die Verarbeitung personenbezogener Daten gemäß der Vereinbarung zu beantworten. Für den Fall, dass eine solche Anfrage direkt an das Unternehmen gerichtet wird, wird das Unternehmen ohne die vorherige Zustimmung des Kunden nicht direkt auf diese Kommunikation antworten, es sei denn, das Unternehmen ist gesetzlich dazu verpflichtet. Wenn das Unternehmen verpflichtet ist, auf eine solche Anfrage zu antworten, wird das Unternehmen den Kunden umgehend benachrichtigen und ihm eine Kopie der Anfrage zur Verfügung stellen, es sei denn, dies ist gesetzlich verboten.

Das Unternehmen wird Kundendaten nicht an staatliche Stellen oder Dritte weitergeben, es sei denn, dies ist notwendig, um solche Informationen aufgrund einer gültigen und verbindlichen Anordnung einer Strafverfolgungsbehörde offenzulegen. Sollte das Unternehmen verpflichtet sein, Kundendaten an eine Strafverfolgungsbehörde offenzulegen, wird das Unternehmen dem Kunden eine angemessene Benachrichtigung über die Forderung geben, um dem Kunden die Möglichkeit zu geben, einen Schutzbefehl oder ein anderes geeignetes Rechtsmittel zu erwirken, es sei denn, das Unternehmen ist gesetzlich daran gehindert.

Soweit das Unternehmen gemäß den anwendbaren Datenschutzgesetzen dazu verpflichtet ist, wird das Unternehmen (auf Kosten des Kunden) angemessen angeforderte Informationen über die Dienste bereitstellen, um dem Kunden zu ermöglichen, Datenschutz-Folgenabschätzungen oder vorherige Konsultationen mit Datenschutzbehörden gemäß den gesetzlichen Anforderungen durchzuführen.

9. CCPA-Klauseln

Soweit der CCPA auf die Verarbeitung von Kundendaten im Rahmen der Vereinbarung anwendbar ist, werden die Parteien Anhang C einhalten.

10. Allgemeines

Alle Ansprüche, die im Rahmen oder in Verbindung mit dieser DPA geltend gemacht werden, unterliegen den allgemeinen Geschäftsbedingungen des Unternehmens (einschließlich der Nutzungsbedingungen), wie sie auf der Rechts-Webseite aktualisiert wurden, einschließlich, aber nicht beschränkt auf die im Vertrag festgelegten Ausschlüsse und Beschränkungen. Ansprüche gegen das Unternehmen oder seine verbundenen Unternehmen im Rahmen dieser DPA dürfen ausschließlich gegen die Vertragspartei erhoben werden, die Vertragspartner des Abkommens ist. In keinem Fall darf eine Partei ihre Haftung in Bezug auf die Datenschutzrechte einer Person im Rahmen dieser DPA oder anderweitig beschränken. Der Kunde stimmt ferner zu, dass eventuelle regulatorische Strafen, die dem Unternehmen in Bezug auf die Kundendaten entstehen und die auf das Versäumnis des Kunden, seine Verpflichtungen aus dieser DPA oder den anwendbaren Datenschutzgesetzen zu erfüllen, zurückzuführen sind, als Haftung des Unternehmens gegenüber dem Kunden gemäß dem Abkommen gelten und die Haftung des Unternehmens gemäß dem Abkommen reduzieren.

Niemand außer einer Partei dieser DPA, deren Nachfolger und zulässige Abtretungsempfänger hat das Recht, irgendwelche Bestimmungen durchzusetzen. Diese DPA wird gemäß den geltenden Rechts- und Gerichtsstandbestimmungen des Abkommens ausgelegt und geregelt, es sei denn, anwendbare Datenschutzgesetze erfordern etwas anderes.

Die Parteien vereinbaren, dass diese DPA jede bestehende DPA (einschließlich der Standardvertragsklauseln (sofern zutreffend)), die die Parteien möglicherweise zuvor im Zusammenhang mit den Dienstleistungen abgeschlossen haben, ersetzt.

Diese DPA und die Standardvertragsklauseln enden gleichzeitig und automatisch mit der Beendigung oder dem Ablauf des Abkommens; jedoch bleiben Bestimmungen, die eine sichere Vernichtung personenbezogener Daten und die Aufbewahrung personenbezogener Daten zur Erfüllung gesetzlicher, vertraglicher oder regulatorischer Anforderungen erfordern, über die Beendigung oder den Ablauf der DPA hinaus für die erforderliche Mindestzeit bestehen, um die jeweiligen Verpflichtungen gemäß diesen Bestimmungen zu erfüllen.

Mit Ausnahme der durch diese DPA vorgenommenen Änderungen bleibt das Abkommen unverändert und in vollem Umfang in Kraft. Falls es einen Konflikt zwischen dieser DPA und dem Abkommen gibt, hat diese DPA im Umfang dieses Konflikts Vorrang.

Die Anhänge zu dieser DPA sind durch diesen Verweis in diese DPA eingebunden. Im Falle eines Konflikts zwischen dieser DPA und den Anhängen zu dieser DPA hat diese DPA im Umfang dieses Konflikts Vorrang. Ungeachtet des Vorangegangenen, im Falle eines Konflikts zwischen dieser DPA und den Standardvertragsklauseln, haben die Standardvertragsklauseln im Umfang dieses Konflikts Vorrang.

Die Bestimmungen dieser DPA sind trennbar. Sollte irgendein Satz, eine Klausel oder eine Bestimmung ganz oder teilweise ungültig oder undurchsetzbar sein, beeinflusst diese Ungültigkeit oder Undurchsetzbarkeit nur diesen Satz, diese Klausel oder diese Bestimmung, und der Rest dieser DPA bleibt in vollem Umfang in Kraft und wirksam.

Anlage A

Einzelheiten zur Verarbeitung

  1. Gegenstand: Der Gegenstand der Verarbeitung unter dieser DPA ist die Kundendaten.
  2. Dauer: Zwischen dem Unternehmen und dem Kunden ist die Dauer der Verarbeitung unter dieser DPA in Abschnitt 7 dieser DPA festgelegt.
  3. Zweck und Art: Der Zweck und die Art der Verarbeitung unter dieser DPA ist die Bereitstellung der Dienstleistungen für den Kunden und die Erfüllung der Verpflichtungen des Unternehmens aus der Vereinbarung (einschließlich dieser DPA) oder wie anderweitig von den Parteien vereinbart.
  4. Kategorien der betroffenen Personen: Der Kunde kann bei der Nutzung der Dienstleistungen personenbezogene Daten hochladen, deren Umfang vom Kunden bestimmt und kontrolliert werden kann. Dazu können, aber nicht ausschließlich, folgende Kategorien gehören:
    1. Interessenten, Kunden, Geschäftspartner, Anbieter oder Dritte des Kunden (die natürliche Personen sind);
    2. Mitarbeiter, Agenten, Berater, Dritte und Freiberufler des Kunden;
    3. Mitarbeiter oder verbundene Personen der oben genannten Kategorien;
    4. Vom Kunden autorisierte Nutzer der Dienstleistungen.
  5. Arten personenbezogener Daten: Der Kunde kann bei der Nutzung der Dienstleistungen personenbezogene Daten hochladen, deren Umfang vom Kunden bestimmt und kontrolliert werden kann. Dazu können, aber nicht ausschließlich, folgende Kategorien gehören: Name, Adresse, Telefonnummer, Geburtsdatum, E-Mail und andere Kundendaten.

Anhang B

Informationssicherheitsmaßnahmen

Die folgenden Punkte werden als die minimalen Sicherheitsanforderungen angesehen, die das Unternehmen implementiert hat und die darauf abzielen, Kundendaten zu schützen:

  • Ernennung eines oder mehrerer Beamter, die für die Koordinierung und Überwachung der IT-Richtlinien und -Verfahren verantwortlich sind.
  • Dokumentierte Richtlinien und Verfahren für die Nutzung des IT-Systems durch Mitarbeiter und Anbieter.
  • Verfahren zur Identifizierung und Reaktion auf vermutete oder bekannte Sicherheitsvorfälle.
  • Intern werden ruhende Daten durch Rollen- oder Gruppenberechtigungen gesichert und regelmäßig überprüft, um sicherzustellen, dass Personen nur Zugriff auf die Daten haben, die sie zur Erfüllung ihrer Aufgaben benötigen, und dass gesperrte Benutzerkonten deaktiviert werden.
  • Server werden zeitnah gepatcht, um sicherzustellen, dass die neuesten Sicherheitsupdates angewendet werden.
  • Transport Layer Security (TLS) wird, wo immer anwendbar, sowohl für Web- als auch für E-Mail-Verkehr verwendet. E-Mails werden auch mehrfach gefiltert und gescannt.
  • Virtuelle private Netzwerke (VPNs) werden verwendet, um den Datenverkehr zwischen all unseren Standorten zu verschlüsseln.
  • Externe Benutzer verwenden ebenfalls verschlüsselte VPN-Verbindungen, um Zugang zu internen Ressourcen zu erhalten, und dieser Zugang wird benutzerspezifisch gewährt.
  • Alle gespeicherten Passwörter sind verschlüsselt.
  • Daten werden täglich zwischen dem primären und dem Backup-Standort synchronisiert.
  • Dritte Prüfer führen jährlich IT-Audits durch und prüfen Richtlinien und Verfahren.

Anhang C

CCPA-Klauseln

Dieser Anhang gilt nur für die DPA, sofern der CCPA auf die Verarbeitung von Kundendaten gemäß der Vereinbarung anwendbar ist. Wie in diesem Anhang verwendet, haben die Begriffe "Persönliche Informationen", "Verkaufen", "Teilen", "Geschäftszweck" und "Kommerzieller Zweck" die im CCPA festgelegten Bedeutungen.

Soweit Kundendaten gemäß der Vereinbarung als Persönliche Informationen gelten:

  • Das Unternehmen wird keine Kundendaten verkaufen oder teilen.
  • Das Unternehmen wird Kundendaten nicht für andere Zwecke als die im Vertrag genannten Geschäftszwecke verwenden oder offenlegen, nämlich die Bereitstellung von Domain-Namen, Webhosting und -design, Cloud-Diensten, E-Mail-Diensten, einschließlich für jegliche kommerziellen Zwecke, die über die im Vertrag genannten Geschäftszwecke hinausgehen.
  • Das Unternehmen wird Kundendaten nicht außerhalb der direkten Geschäftsbeziehung zwischen Kunde und Unternehmen aufbewahren, nutzen oder offenlegen.
  • Das Unternehmen wird die von oder im Namen des Kunden erhaltenen Kundendaten nicht mit Kundendaten kombinieren, die von oder im Namen eines Dritten erhalten wurden, außer um einen durch den CCPA erlaubten Geschäftszweck zu erfüllen.
  • Das Unternehmen wird die anwendbaren Verpflichtungen gemäß dem CCPA einhalten und denselben Schutz für Kundendaten bieten, wie er gemäß dem CCPA erforderlich ist, einschließlich der Unterstützung des Kunden bei der Erfüllung der CCPA-Anfragen von Verbrauchern.
  • Der Kunde hat das Recht, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass das Unternehmen die Kundendaten in einer Weise verwendet, die mit den Verpflichtungen des Kunden gemäß dem CCPA übereinstimmt.
  • Das Unternehmen wird den Kunden benachrichtigen, wenn es feststellt, dass das Unternehmen seine Verpflichtungen gemäß dem CCPA nicht mehr erfüllen kann. Wenn das Unternehmen den Kunden über eine unbefugte Nutzung von Kundendaten benachrichtigt, auch gemäß dem vorhergehenden Satz, hat das Unternehmen das Recht, angemessene und geeignete Maßnahmen zu ergreifen, um diese unbefugte Nutzung zu stoppen und zu beheben.

Anhang D

Modellklauseln

ABSCHNITT 1

Klausel 1

Zweck und Anwendungsbereich

(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) für die Übermittlung personenbezogener Daten an ein Drittland sicherzustellen.

(b) Die Parteien:

  • (i) die natürliche oder juristische Person(en), öffentliche Behörde(n), Agentur(en) oder andere Stelle(n) (im Folgenden "Einrichtung(en)"), die die personenbezogenen Daten übermitteln, wie in Anhang I.A. aufgeführt (im Folgenden jeweils "Datenexporteur"), und
  • (ii) die Einrichtung(en) in einem Drittland, die die personenbezogenen Daten direkt oder indirekt über eine weitere Einrichtung, die ebenfalls Partei dieser Klauseln ist, vom Datenexporteur erhält oder erhalten, wie in Anhang I.A. aufgeführt (im Folgenden jeweils "Datenimporteur"), haben diesen Standardvertragsklauseln (im Folgenden: "Klauseln") zugestimmt.

(c) Diese Klauseln gelten in Bezug auf die Übermittlung personenbezogener Daten, wie in Anhang I.B. angegeben.

(d) Der Anhang dieser Klauseln, der die darin genannten Anhänge enthält, bildet einen integralen Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

(a) Diese Klauseln stellen angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsmittel, gemäß Artikel 46 Abs. 1 und Artikel 46 Abs. 2 Buchstabe c der Verordnung (EU) 2016/679 dar und, in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, standardvertragliche Klauseln gemäß Artikel 28 Abs. 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer zur Auswahl der entsprechenden Module oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten standardvertraglichen Klauseln in einen weiter gefassten Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Sicherheiten hinzuzufügen, sofern diese nicht diesen Klauseln direkt oder indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.

(b) Diese Klauseln lassen die Verpflichtungen unberührt, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.

Klausel 3

Begünstigte Dritter

(a) Betroffene Personen können diese Klauseln als begünstigte Dritte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:

  • (i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
  • (ii) Klausel 8.1(b), 8.9(a), (c), (d) und (e);
  • (iii) Klausel 9(a), (c), (d) und (e);
  • (iv) Klausel 12(a), (d) und (f);
  • (v) Klausel 13;
  • (vi) Klausel 15.1(c), (d) und (e);
  • (vii) Klausel 16(e);
  • (viii) Klausel 18(a) und (b).

(b) Absatz (a) lässt die Rechte der betroffenen Personen gemäß Verordnung (EU) 2016/679 unberührt.

Klausel 4

Auslegung

(a) Begriffe, die in diesen Klauseln verwendet und in der Verordnung (EU) 2016/679 definiert sind, haben die gleiche Bedeutung wie in dieser Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten in Konflikt steht.

Klausel 5

Rangfolge

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt des Abschlusses dieser Klauseln bestehen oder danach abgeschlossen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übertragung(en)

Die Einzelheiten der Übertragung(en), insbesondere die Kategorien der übermittelten personenbezogenen Daten und der Zweck bzw. die Zwecke der Übermittlung, sind in Anhang I.B. festgelegt.

Klausel 7

Anlegeklausel

Nicht zutreffend.

ABSCHNITT II - PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzmaßnahmen

Der Datenexporteur gewährleistet, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur durch die Implementierung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.

8.1 Anweisungen

(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisungen des Datenexporteurs hin verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Vertragslaufzeit erteilen.

(b) Der Datenimporteur hat den Datenexporteur unverzüglich zu informieren, wenn er diesen Anweisungen nicht folgen kann.

8.2 Zweckbindung

Der Datenimporteur darf die personenbezogenen Daten nur zu dem spezifischen Zweck oder den spezifischen Zwecken der Übermittlung verarbeiten, wie in Anhang I.B festgelegt, es sei denn, der Datenexporteur weist ihn anderweitig an.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur den betroffenen Personen eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, kostenlos zur Verfügung. Soweit es notwendig ist, um Geschäftsgeheimnisse oder andere vertrauliche Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, zu schützen, kann der Datenexporteur Teile des Textes des Anhangs zu diesen Klauseln vor der Weitergabe schwärzen, muss jedoch eine sinnvolle Zusammenfassung bereitstellen, wenn die betroffene Person sonst den Inhalt nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben. Diese Klausel steht den Verpflichtungen des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 nicht entgegen.

8.4 Richtigkeit

Wenn der Datenimporteur feststellt, dass die von ihm erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich darüber. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten

Die Verarbeitung durch den Datenimporteur erfolgt nur für die Dauer, die in Anhang I.B festgelegt ist. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle personenbezogenen Daten, die er im Auftrag des Datenexporteurs verarbeitet hat, und bestätigt dem Datenexporteur die Löschung, oder er gibt dem Datenexporteur alle personenbezogenen Daten zurück, die er im Auftrag des Datenexporteurs verarbeitet hat, und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur die Einhaltung dieser Klauseln weiterhin sicher. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach diesem lokalen Gesetz erforderlich ist. Diese Klausel steht Klausel 14 nicht entgegen, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14(e), den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt, die den Anforderungen gemäß Klausel 14(a) nicht entsprechen.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und, während der Übermittlung, auch der Datenexporteur setzen geeignete technische und organisatorische Maßnahmen um, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu diesen Daten führt (nachfolgend 'Verletzung des Schutzes personenbezogener Daten' genannt). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Implementierungskosten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die Risiken für die betroffenen Personen. Die Parteien ziehen insbesondere die Verwendung von Verschlüsselung oder Pseudonymisierung in Betracht, insbesondere während der Übertragung, wenn der Zweck der Verarbeitung in dieser Art erfüllt werden kann. Im Falle der Pseudonymisierung bleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seiner Verpflichtungen aus diesem Absatz implementiert der Datenimporteur mindestens die in Anhang II angegebenen technischen und organisatorischen Maßnahmen. Der Datenimporteur führt regelmäßig Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.

(b) Der Datenimporteur gewährt Mitgliedern seines Personals nur in dem Maße Zugang zu den personenbezogenen Daten, wie es für die Implementierung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitete personenbezogene Daten betrifft, ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt den Datenexporteur auch unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung enthält die Details einer Kontaktstelle, bei der weitere Informationen erhältlich sind, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, Kategorien und ungefährer Anzahl betroffener Personen und betroffener Datensätze), ihre wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich ggf. Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen. Soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden nach Verfügbarkeit und ohne unangemessene Verzögerung bereitgestellt.

(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere um die zuständige Aufsichtsbehörde und die betroffenen Personen zu benachrichtigen, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt werden.

8.7 Besondere Daten

Wenn die Übermittlung personenbezogene Daten offenbart, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten betreffen (nachfolgend 'besondere Daten' genannt), wendet der Datenimporteur die spezifischen Einschränkungen und/oder zusätzlichen Schutzmaßnahmen an, die in Anhang I.B beschrieben sind.

8.8 Weitergaben

Der Datenimporteur darf die personenbezogenen Daten nur an Dritte weitergeben, wenn dies auf dokumentierte Anweisungen des Datenexporteurs hin erfolgt. Darüber hinaus dürfen die Daten nur an Dritte weitergegeben werden, die außerhalb der Europäischen Union 2 ansässig sind (im selben Land wie der Datenimporteur oder in einem anderen Drittland, nachfolgend 'Weitergabe' genannt), wenn der Dritte durch diese Klauseln, unter dem entsprechenden Modul, gebunden ist oder wenn:

  1. die Weitergabe an ein Land erfolgt, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weitergabe abdeckt;
  2. der Dritte auf andere Weise angemessene Schutzmaßnahmen gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;
  3. die Weitergabe notwendig ist, um Rechtsansprüche im Rahmen spezifischer administrativer, regulatorischer oder gerichtlicher Verfahren zu begründen, auszuüben oder zu verteidigen; oder
  4. die Weitergabe notwendig ist, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weitergabe unterliegt der Einhaltung aller anderen Schutzmaßnahmen gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.

8.9 Dokumentation und Einhaltung

(a) Der Datenimporteur geht Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, unverzüglich und angemessen nach.

(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere hält der Datenimporteur geeignete Dokumentationen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten bereit.

(c) Der Datenimporteur stellt dem Datenexporteur alle notwendigen Informationen zur Verfügung, um die Einhaltung der in diesen Klauseln festgelegten Verpflichtungen nachzuweisen, und ermöglicht auf Anfrage des Datenexporteurs und trägt zu Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten bei, in angemessenen Abständen oder bei Anzeichen von Nichteinhaltung. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die relevanten Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann wählen, das Audit selbst durchzuführen oder einen unabhängigen Prüfer zu beauftragen. Audits können Inspektionen an den Geschäftsräumen oder physischen Einrichtungen des Datenimporteurs umfassen und werden, sofern angemessen, mit angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen der zuständigen Aufsichtsbehörde auf Anfrage die in den Absätzen (b) und (c) genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, zur Verfügung.

Klausel 9

Einsatz von Unterauftragsverarbeitern

(a) ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für den Einsatz von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur muss den Datenexporteur mindestens fünf (5) Tage im Voraus schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Austausch von Unterauftragsverarbeitern informieren, sodass der Datenexporteur ausreichend Zeit hat, Änderungen vor dem Einsatz der Unterauftragsverarbeiter zu widersprechen. Der Datenimporteur muss dem Datenexporteur die notwendigen Informationen zur Verfügung stellen, um ihm zu ermöglichen, sein Widerspruchsrecht auszuüben.

(b) Falls der Datenimporteur einen Unterauftragsverarbeiter für spezifische Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs) einsetzt, muss dies durch einen schriftlichen Vertrag erfolgen, der im Wesentlichen dieselben Datenschutzverpflichtungen vorsieht, die für den Datenimporteur gemäß diesen Klauseln bindend sind, einschließlich der Rechte Dritter für betroffene Personen. Die Parteien sind sich einig, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Verpflichtungen gemäß Klausel 8.8 nachkommt. Der Datenimporteur muss sicherstellen, dass der Unterauftragsverarbeiter die Pflichten erfüllt, die dem Datenimporteur gemäß diesen Klauseln obliegen.

(c) Der Datenimporteur muss dem Datenexporteur auf dessen Anfrage eine Kopie eines solchen Unterauftragsverarbeitungsvertrags und etwaiger nachfolgender Änderungen zur Verfügung stellen. Soweit notwendig, um Geschäftsgeheimnisse oder andere vertrauliche Informationen, einschließlich personenbezogener Daten, zu schützen, kann der Datenimporteur den Text des Vertrags vor der Weitergabe schwärzen.

(d) Der Datenimporteur bleibt in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur gegenüber dem Datenexporteur verantwortlich. Der Datenimporteur muss den Datenexporteur über jegliches Versagen des Unterauftragsverarbeiters bei der Erfüllung seiner Verpflichtungen aus diesem Vertrag informieren.

(e) Der Datenimporteur muss mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel vereinbaren, wonach - im Falle des tatsächlichen Verschwindens, der rechtlichen Nichtexistenz oder der Insolvenz des Datenimporteurs - der Datenexporteur das Recht hat, den Vertrag mit dem Unterauftragsverarbeiter zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

Klausel 10

Rechte der betroffenen Person

(a) Der Datenimporteur wird den Datenexporteur unverzüglich über jede Anfrage einer betroffenen Person informieren, die er erhalten hat. Er wird auf diese Anfrage nicht selbst antworten, es sei denn, er wurde vom Datenexporteur dazu autorisiert.

(b) Der Datenimporteur wird den Datenexporteur bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß Verordnung (EU) 2016/679 unterstützen. In diesem Zusammenhang legen die Parteien in Anhang II die entsprechenden technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) wird der Datenimporteur die Anweisungen des Datenexporteurs befolgen.

Klausel 11

Abhilfe

(a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form, entweder durch individuelle Benachrichtigung oder auf seiner Website, über eine Kontaktstelle, die befugt ist, Beschwerden zu bearbeiten. Er wird Beschwerden, die er von einer betroffenen Person erhält, unverzüglich bearbeiten.

(b) Im Falle eines Streits zwischen einer betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln, wird diese Partei ihr Bestes tun, um das Problem zeitnah gütlich zu lösen. Die Parteien werden sich über solche Streitigkeiten gegenseitig informieren und, falls angemessen, bei der Lösung dieser Streitigkeiten zusammenarbeiten.

(c) Falls die betroffene Person ein Drittbegünstigtenrecht gemäß Klausel 3 geltend macht, wird der Datenimporteur die Entscheidung der betroffenen Person akzeptieren, entweder:

  1. eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaates einzureichen, in dem sie ihren gewöhnlichen Aufenthalt oder Arbeitsplatz hat, oder bei der zuständigen Aufsichtsbehörde nach Klausel 13;
  2. den Streit dem zuständigen Gericht im Sinne der Klausel 18 vorzulegen.

(d) Die Parteien akzeptieren, dass die betroffene Person durch eine gemeinnützige Körperschaft, Organisation oder Vereinigung gemäß den Bedingungen des Artikels 80(1) der Verordnung (EU) 2016/679 vertreten werden kann.

(e) Der Datenimporteur hält sich an eine Entscheidung, die gemäß dem geltenden EU- oder nationalen Recht bindend ist.

(f) Der Datenimporteur stimmt zu, dass die Wahl der betroffenen Person deren materielle und verfahrensrechtliche Rechte, Rechtsmittel gemäß den geltenden Gesetzen einzulegen, nicht beeinträchtigt.

Klausel 12

Haftung

(a) Jede Partei haftet der/den anderen Partei/en für alle Schäden, die sie der/den anderen Partei/en durch einen Verstoß gegen diese Klauseln verursacht.

(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadensersatz, für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte als Drittbegünstigter gemäß diesen Klauseln zufügt.

(c) Ungeachtet Absatz (b) haftet der Datenexporteur der betroffenen Person, und die betroffene Person hat Anspruch auf Schadensersatz, für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte als Drittbegünstigter gemäß diesen Klauseln zufügt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur als Auftragsverarbeiter im Auftrag eines Verantwortlichen handelt, der Haftung des Verantwortlichen gemäß Verordnung (EU) 2016/679 oder Verordnung (EU) 2018/1725, sofern anwendbar.

(d) Die Parteien vereinbaren, dass der Datenexporteur, sollte er gemäß Absatz (c) für Schäden haftbar gemacht werden, die vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursacht wurden, berechtigt ist, von dem Datenimporteur den Teil des Schadensersatzes zurückzufordern, der dem Anteil der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Wenn mehr als eine Partei für einen Schaden verantwortlich ist, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, eine Klage gegen jede dieser Parteien zu erheben.

(f) Die Parteien vereinbaren, dass jede Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/dem anderen Partei/en den Teil des Schadensersatzes zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu vermeiden.

Klausel 13

Überwachung

(a) [Falls der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:] Die Aufsichtsbehörde, die für die Gewährleistung der Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur im Hinblick auf die Datenübertragung zuständig ist, wie in Anlage I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

[Falls der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber unter den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel 3(2) fällt und einen Vertreter gemäß Artikel 27(1) der Verordnung (EU) 2016/679 benannt hat:] Die Aufsichtsbehörde des Mitgliedstaates, in dem der Vertreter im Sinne von Artikel 27(1) der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anlage I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

[Falls der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber unter den territorialen Anwendungsbereich der Verordnung (EU) 2016/679 gemäß Artikel 3(2) fällt, ohne jedoch einen Vertreter gemäß Artikel 27(2) der Verordnung (EU) 2016/679 benennen zu müssen:] Die Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an diese oder deren Verhalten überwacht wird, wie in Anlage I.C angegeben, fungiert als zuständige Aufsichtsbehörde.

(b) Der Datenimporteur verpflichtet sich, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr in allen Verfahren zu kooperieren, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde ergriffenen Maßnahmen, einschließlich Abhilfe- und Entschädigungsmaßnahmen, zu befolgen. Er wird der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III - LOKALE GESETZE UND PFLICHTEN IM FALLE DES ZUGRIFFS DURCH ÖFFENTLICHE BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinflussen

(a) Die Parteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die im Drittland des Bestimmungsortes geltenden Gesetze und Praktiken, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur relevant sind, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang durch öffentliche Behörden erlauben, den Datenimporteur daran hindern, seinen Verpflichtungen aus diesen Klauseln nachzukommen. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die das Wesen der fundamentalen Rechte und Freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Schutz eines der in Artikel 23(1) der Verordnung (EU) 2016/679 aufgeführten Ziele notwendig und verhältnismäßig ist, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Parteien erklären, dass sie bei der Abgabe der Gewährleistung gemäß Absatz (a) insbesondere die folgenden Elemente berücksichtigt haben:

  • (i) die spezifischen Umstände der Übertragung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; vorgesehene Weiterübertragungen; die Art des Empfängers; den Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; den Wirtschaftssektor, in dem die Übertragung erfolgt; der Speicherort der übermittelten Daten;
  • (ii) die im Drittland des Bestimmungsortes geltenden Gesetze und Praktiken - einschließlich derjenigen, die die Offenlegung von Daten an öffentliche Behörden erfordern oder den Zugang durch solche Behörden erlauben - in Anbetracht der spezifischen Umstände der Übertragung und der geltenden Einschränkungen und Schutzmaßnahmen4;
  • (iii) etwaige relevante vertragliche, technische oder organisatorische Schutzmaßnahmen, die zur Ergänzung der Schutzmaßnahmen gemäß diesen Klauseln getroffen wurden, einschließlich Maßnahmen, die während der Übertragung und der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandt werden.

(c) Der Datenimporteur gewährleistet, dass er bei der Durchführung der Bewertung gemäß Absatz (b) sein Bestes getan hat, um dem Datenexporteur relevante Informationen bereitzustellen, und stimmt zu, dass er weiterhin mit dem Datenexporteur zusammenarbeiten wird, um die Einhaltung dieser Klauseln sicherzustellen.

(d) Die Parteien stimmen zu, die Bewertung gemäß Absatz (b) zu dokumentieren und sie auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.

(e) Der Datenimporteur stimmt zu, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Vereinbarung dieser Klauseln und während der Vertragslaufzeit Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterlegen ist, die nicht den Anforderungen gemäß Absatz (a) entsprechen, einschließlich nach einer Änderung der Gesetze des Drittlands oder einer Maßnahme (wie einer Offenlegungsanforderung), die eine Anwendung solcher Gesetze in der Praxis anzeigt, die nicht den Anforderungen gemäß Absatz (a) entspricht.

(f) Nach einer Benachrichtigung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seine Verpflichtungen aus diesen Klauseln nicht mehr erfüllen kann, muss der Datenexporteur unverzüglich geeignete Maßnahmen (z.B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) identifizieren, die vom Datenexporteur und/oder Datenimporteur zur Bewältigung der Situation ergriffen werden sollen. Der Datenexporteur muss die Datenübertragung aussetzen, wenn er der Ansicht ist, dass keine geeigneten Schutzmaßnahmen für eine solche Übertragung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu aufgefordert wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Wenn der Vertrag mehr als zwei Parteien umfasst, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wenn der Vertrag gemäß dieser Klausel gekündigt wird, gelten Klausel 16(d) und (e).

Klausel 15

Pflichten des Datenimporteurs im Falle des Zugriffs durch öffentliche Behörden

15.1 Benachrichtigung

(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen (gegebenenfalls mit Hilfe des Datenexporteurs), wenn:

  • (i) er eine rechtsverbindliche Anfrage einer öffentlichen Behörde, einschließlich der Justizbehörden, nach den Gesetzen des Bestimmungslandes bezüglich der Offenlegung von gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die anfragende Behörde, die Rechtsgrundlage der Anfrage und die bereitgestellte Antwort enthalten; oder
  • (ii) er Kenntnis von einem direkten Zugriff öffentlicher Behörden auf gemäß diesen Klauseln übermittelte personenbezogene Daten gemäß den Gesetzen des Bestimmungslandes erlangt; eine solche Benachrichtigung muss alle dem Importeur verfügbaren Informationen enthalten.

(b) Wenn der Datenimporteur nach den Gesetzen des Bestimmungslandes daran gehindert wird, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, verpflichtet sich der Datenimporteur, sein Bestes zu tun, um eine Aufhebung des Verbots zu erwirken, um so viele Informationen wie möglich so schnell wie möglich mitzuteilen. Der Datenimporteur verpflichtet sich, seine besten Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.

(c) Soweit es nach den Gesetzen des Bestimmungslandes zulässig ist, verpflichtet sich der Datenimporteur, dem Datenexporteur in regelmäßigen Abständen für die Dauer des Vertrags so viele relevante Informationen wie möglich über die erhaltenen Anfragen zur Verfügung zu stellen (insbesondere die Anzahl der Anfragen, die Art der angeforderten Daten, die anfragende(n) Behörde(n), ob Anfragen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).

(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14(e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diesen Klauseln nachzukommen.

15.2 Prüfung der Rechtmäßigkeit und Datenminimierung

(a) Der Datenimporteur verpflichtet sich, die Rechtmäßigkeit der Anfrage zur Offenlegung zu überprüfen, insbesondere ob sie im Rahmen der Befugnisse der anfragenden öffentlichen Behörde bleibt, und die Anfrage anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es hinreichende Gründe gibt, die Anfrage nach den Gesetzen des Bestimmungslandes, den anwendbaren Verpflichtungen nach internationalem Recht und den Grundsätzen der internationalen Höflichkeit für unrechtmäßig zu halten. Der Datenimporteur soll unter den gleichen Bedingungen die Möglichkeiten einer Berufung verfolgen. Bei Anfechtung einer Anfrage soll der Datenimporteur einstweilige Maßnahmen anstreben, um die Auswirkungen der Anfrage auszusetzen, bis die zuständige Justizbehörde über die Begründetheit entschieden hat. Er darf die angeforderten personenbezogenen Daten nicht offenlegen, bis er dies nach den anwendbaren Verfahrensregeln tun muss. Diese Anforderungen berühren nicht die Verpflichtungen des Datenimporteurs gemäß Klausel 14(e).

(b) Der Datenimporteur verpflichtet sich, seine rechtliche Bewertung und jede Anfechtung der Offenlegungsanfrage zu dokumentieren und, soweit nach den Gesetzen des Bestimmungslandes zulässig, die Dokumentation dem Datenexporteur zur Verfügung zu stellen. Er soll sie auch auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung stellen.

(c) Der Datenimporteur verpflichtet sich, die minimale Menge an Informationen zur Verfügung zu stellen, die bei der Beantwortung einer Offenlegungsanfrage zulässig ist, basierend auf einer vernünftigen Auslegung der Anfrage.

ABSCHNITT IV - SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Vertragsbeendigung

(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Falls der Datenimporteur gegen diese Klauseln verstößt oder diese Klauseln nicht einhalten kann, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet von Klausel 14(f).

(c) Der Datenexporteur ist berechtigt, den Vertrag, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, zu kündigen, wenn:

  • (i) der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall jedoch innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;
  • (ii) der Datenimporteur in wesentlicher oder wiederholter Weise gegen diese Klauseln verstößt; oder
  • (iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde bezüglich seiner Verpflichtungen aus diesen Klauseln nicht nachkommt.

In diesen Fällen informiert er die zuständige Aufsichtsbehörde über eine solche Nichteinhaltung. Wenn der Vertrag mehr als zwei Parteien umfasst, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die relevante Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.

(d) Personenbezogene Daten, die vor der Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs sofort an den Datenexporteur zurückzugeben oder vollständig zu löschen. Dasselbe gilt für etwaige Kopien der Daten. Der Datenimporteur bestätigt dem Datenexporteur die Löschung der Daten. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur die Einhaltung dieser Klauseln weiterhin sicher. Im Falle örtlicher Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, gewährleistet der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin sicherstellt und die Daten nur insoweit und so lange verarbeitet, wie es nach diesem örtlichen Gesetz erforderlich ist.

(e) Jede Partei kann ihre Zustimmung zur Bindung an diese Klauseln widerrufen, wenn (i) die Europäische Kommission eine Entscheidung gemäß Artikel 45(3) der Verordnung (EU) 2016/679 trifft, die die Übermittlung personenbezogener Daten abdeckt, auf die diese Klauseln anwendbar sind; oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.

Klausel 17

Geltendes Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Drittbegünstigtenrechte zulässt. Die Parteien vereinbaren, dass dies das Recht der Republik Irland sein soll.

Klausel 18

Gerichtsstand und Zuständigkeit

(a) Jeder Streitfall, der sich aus diesen Klauseln ergibt, wird von den Gerichten eines EU-Mitgliedstaates entschieden.

(b) Die Vertragsparteien vereinbaren, dass diese Gerichte der Republik Irland sind.

(c) Eine betroffene Person kann auch rechtliche Schritte gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten des Mitgliedstaates einleiten, in dem sie ihren gewöhnlichen Aufenthalt hat.

(d) Die Vertragsparteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.

Endnoten

1 Wenn der Datenexporteur ein Auftragsverarbeiter ist, der gemäß der Verordnung (EU) 2016/679 im Namen einer Unionsinstitution oder eines -organs als Verantwortlicher handelt, stellt die Nutzung dieser Klauseln bei der Einschaltung eines weiteren Auftragsverarbeiters (Sub-Verarbeitung), der nicht der Verordnung (EU) 2016/679 unterliegt, auch die Einhaltung von Artikel 29(4) der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union und über den freien Datenverkehr sowie zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39) sicher, sofern diese Klauseln und die Datenschutzverpflichtungen, wie sie im Vertrag oder einem anderen Rechtsakt zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 29(3) der Verordnung (EU) 2018/1725 festgelegt sind, übereinstimmen. Dies ist insbesondere der Fall, wenn der Verantwortliche und der Auftragsverarbeiter auf die Standardvertragsklauseln gemäß dem Beschluss 2021/915 zurückgreifen.

2 Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausdehnung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor. Die Datenschutzgesetze der Union, einschließlich der Verordnung (EU) 2016/679, sind vom EWR-Abkommen abgedeckt und wurden in dessen Anhang XI aufgenommen. Daher stellt jede Offenlegung durch den Datenimporteur gegenüber einer dritten Partei im EWR für die Zwecke dieser Klauseln keine Weiterübermittlung dar.

3 Diese Anforderung kann erfüllt werden, indem der Unterauftragsverarbeiter diesen Klauseln gemäß der entsprechenden Klausel 7 beitritt.

4 Hinsichtlich der Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln können verschiedene Elemente als Teil einer Gesamtbewertung berücksichtigt werden. Solche Elemente können relevante und dokumentierte praktische Erfahrungen mit früheren Fällen von Anfragen auf Offenlegung durch öffentliche Behörden oder das Fehlen solcher Anfragen umfassen, die einen ausreichend repräsentativen Zeitraum abdecken. Dies bezieht sich insbesondere auf interne Aufzeichnungen oder andere Dokumentationen, die kontinuierlich gemäß der gebotenen Sorgfalt erstellt und auf Führungsebene zertifiziert wurden, sofern diese Informationen rechtmäßig mit Dritten geteilt werden können. Wenn diese praktischen Erfahrungen herangezogen werden, um zu dem Schluss zu kommen, dass der Datenimporteur nicht daran gehindert sein wird, diese Klauseln einzuhalten, muss dies durch andere relevante, objektive Elemente unterstützt werden, und es liegt an den Parteien, sorgfältig zu prüfen, ob diese Elemente zusammen ausreichend Gewicht haben, um diese Schlussfolgerung in Bezug auf ihre Zuverlässigkeit und Repräsentativität zu stützen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktischen Erfahrungen durch öffentlich zugängliche oder anderweitig zugängliche, zuverlässige Informationen über das Vorhandensein oder Fehlen von Anfragen im selben Sektor und/oder die Anwendung des Gesetzes in der Praxis, wie zum Beispiel Fallrecht und Berichte von unabhängigen Aufsichtsgremien, bestätigt und nicht widerlegt werden.

ANHANG

ANHANG I

A. LISTE DER PARTEIEN

Datenexporteur(e): [Identität und Kontaktdaten des/der Datenexporteur(e) und gegebenenfalls seines/ihres Datenschutzbeauftragten und/oder Vertreters in der Europäischen Union]

Name: [Kundenname, der im DreamHost-Konto gespeichert ist]

Adresse: [Kundenadresse, die im DreamHost-Konto gespeichert ist]

Name, Position und Kontaktdaten der Kontaktperson: [Kunde wie oben definiert]

Aktivitäten, die für die im Rahmen dieser Klauseln übermittelten Daten relevant sind: Wie in diesem Anhang, der DPA und dem Vertrag beschrieben.

Unterschrift und Datum: [Wie bei der Kontoerstellung digital erfasst und wie durch die Nutzungsbedingungen gebunden]

Rolle (Verantwortlicher/Auftragsverarbeiter): Verantwortlicher.

Datenimporteur(e): [Identität und Kontaktdaten des/der Datenimporteur(e), einschließlich einer Kontaktperson mit Verantwortung für den Datenschutz]

Name: DreamHost

Adresse: PMB #327, 417 Associated Rd., Brea, CA 92821-5802

Name, Position und Kontaktdaten der Kontaktperson:

An: Datenschutzbeauftragter

E-Mail: privacypolicy@dreamhost.com

Aktivitäten, die für die im Rahmen dieser Klauseln übermittelten Daten relevant sind: Wie in diesem Anhang, der DPA und dem Vertrag beschrieben.

Unterschrift und Datum: [Wie bei der Kontoerstellung digital erfasst und wie durch die Nutzungsbedingungen gebunden]

Rolle (Verantwortlicher/Auftragsverarbeiter): Auftragsverarbeiter.

B. BESCHREIBUNG DER ÜBERMITTLUNG

Kategorien der betroffenen Personen, deren personenbezogene Daten übermittelt werden

Wie in Anhang A dieser DPA festgelegt.

Kategorien der übermittelten personenbezogenen Daten

Wie in Anhang A dieser DPA festgelegt.

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die die Art der Daten und die damit verbundenen Risiken vollständig berücksichtigen, wie beispielsweise strikte Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die eine Spezialschulung absolviert haben), Aufzeichnung des Datenzugriffs, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen. Wie in Anhang A dieser DPA festgelegt.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

Kontinuierlich nach Bedarf zur Erbringung der Dienstleistungen.

Art der Verarbeitung

Wie in Anhang A dieser DPA festgelegt.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Wie in Anhang A dieser DPA festgelegt.

Dauer der Speicherung der personenbezogenen Daten oder, falls dies nicht möglich ist, die Kriterien zur Bestimmung dieser Dauer

Wie in Abschnitt 7 dieser DPA festgelegt.

Für Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

Wie im Vertrag festgelegt, um die Dienstleistungen für die Dauer des Vertrags zu erbringen.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Bestimmung der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13

[Basierend auf den Aktivitäten des Datenexporteurs auszufüllen]

ANHANG II

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MAßNAHMEN ZUR SICHERSTELLUNG DER DATENSICHERHEIT

Beschreibung der technischen und organisatorischen Maßnahmen, die von dem/den Datenimporteur(en) (einschließlich relevanter Zertifizierungen) implementiert wurden, um ein angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.

Wie in Anhang B zu dieser DPA festgelegt.

Für Übertragungen an (Unter-)Auftragsverarbeiter, auch die spezifischen technischen und organisatorischen Maßnahmen beschreiben, die vom (Unter-)Auftragsverarbeiter getroffen werden, um dem Verantwortlichen Unterstützung zu bieten, sowie bei Übertragungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter an den Datenexporteur.

Wie in Anhang B zu dieser DPA festgelegt.

ANLAGE III

ERGÄNZUNGSVEREINBARUNG FÜR DAS VEREINIGTE KÖNIGREICH

Diese Ergänzungsvereinbarung wurde vom Informationskommissar für Parteien, die eingeschränkte Übertragungen vornehmen, herausgegeben. Der Informationskommissar ist der Ansicht, dass sie angemessene Schutzmaßnahmen für eingeschränkte Übertragungen bietet, wenn sie als rechtlich bindender Vertrag abgeschlossen wird.

Teil 1: Tabellen

Tabelle 1: Parteien

Startdatum

das Wirksamkeitsdatum.

Die ParteienExporteur (der die eingeschränkte Übertragung sendet)

Importeur (der die eingeschränkte Übertragung empfängt)

Angaben zu den ParteienWie oben in Anhang I dargelegt.Wie oben in Anhang I dargelegt.
HauptkontaktWie oben in Anhang I dargelegt.Wie oben in Anhang I dargelegt.

Tabelle 2: Ausgewählte EU-Standardvertragsklauseln (SCCs), Module und ausgewählte Klauseln

Ergänzung EU-SCCs

☒ Die Version der genehmigten EU-SCCs, die dieser Ergänzungsvereinbarung beigefügt ist, wie unten detailliert, einschließlich der Anhang-Informationen:


Datum: das Wirksamkeitsdatum.


Referenz (falls zutreffend): N/A.


Andere Kennung (falls vorhanden): N/A.


Oder


☐ die genehmigten EU-SCCs, einschließlich der Anhang-Informationen, und nur die folgenden Module, Klauseln oder optionalen Bestimmungen der genehmigten EU-SCCs werden für die Zwecke dieser Ergänzungsvereinbarung wirksam:

ModulModul im EinsatzKlausel 7 (Andockklausel)Klausel 11 (Option)Klausel 9a (Vorerlaubnis oder allgemeine Erlaubnis)Klausel 9a (Zeitraum)

Werden personenbezogene Daten, die vom Importeur empfangen werden, mit personenbezogenen Daten kombiniert, die der Exporteur erhoben hat?

1
2XNicht ausgewählt.Nicht ausgewählt.Allgemeine Erlaubnis.Fünf (5) Tage.
3
4

Tabelle 3: Anhang-Informationen

"Anhang-Informationen" sind die Informationen, die für die ausgewählten Module im Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) bereitzustellen sind, und die für diese Ergänzungsvereinbarung in den folgenden Teilen enthalten sind:

Anhang 1A: Liste der Parteien: Wie oben in Anhang I dargelegt.
Anhang 1B: Beschreibung der Übertragung: Wie oben in Anhang I dargelegt.

Anhang II: Technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit: Wie oben in Anhang II dargelegt.

Anhang III: Liste der Unterauftragsverarbeiter (nur Module 2 und 3): N/A.

Tabelle 4: Beendigung dieser Ergänzungsvereinbarung bei Änderungen der genehmigten Ergänzungsvereinbarung

Beendigung dieser Ergänzungsvereinbarung bei Änderungen der genehmigten Ergänzungsvereinbarung

Welche Parteien können diese Ergänzungsvereinbarung gemäß Abschnitt beenden:
☐ Importeur
☐ Exporteur
☒ keine der Parteien

Teil 2: Verpflichtende Klauseln

Verpflichtende Klauseln

Teil 2: Verpflichtende Klauseln der genehmigten Ergänzungsvereinbarung, die die Vorlage Ergänzungsvereinbarung B.1.0 sind, die vom ICO veröffentlicht und dem Parlament gemäß s119A des Datenschutzgesetzes 2018 am 2. Februar 2022 vorgelegt wurde, wie sie gemäß Abschnitt 18 dieser verpflichtenden Klauseln überarbeitet wurde.