STANDARDVERTRAGSKLAUSELN

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

  1. Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)1 für die Übermittlung personenbezogener Daten an ein Drittland zu gewährleisten.
  2. Die Parteien:
    1. die natürliche(n) oder juristische(n) Person(en), Behörde(n), Einrichtung(en) oder andere Stelle(n) (im Folgenden „Einheit(en)“), die die personenbezogenen Daten übermitteln, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenexporteur“), und
    2. die Einheit(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt über eine andere Einheit, die ebenfalls Partei dieser Klauseln ist, empfangen, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenimporteur“),
    haben diese Standardvertragsklauseln (im Folgenden: „Klauseln“) vereinbart.
  3. Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß den Angaben in Anhang I.B.
  4. Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist integraler Bestandteil dieser Klauseln.

Klausel 2

Wirkung und Unveränderlichkeit der Klauseln

  1. Diese Klauseln legen geeignete Garantien, einschließlich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 fest sowie, in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um die entsprechenden Module auszuwählen oder Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen weiter gefassten Vertrag aufzunehmen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder direkt noch indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.
  2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.

1 Wenn der Datenexporteur ein Auftragsverarbeiter ist, der der Verordnung (EU) 2016/679 unterliegt und im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, gewährleistet die Heranziehung dieser Klauseln bei der Beauftragung eines weiteren Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht der Verordnung (EU) 2016/679 unterliegt, auch die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39), soweit diese Klauseln und die Datenschutzpflichten gemäß dem Vertrag oder einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 29 Absatz 3 der Verordnung (EU) 2018/1725 aufeinander abgestimmt sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss […] enthaltenen Standardvertragsklauseln stützen.

Klausel 3

Drittbegünstigte

  1. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:
    1. Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
    2. Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e);
    3. Klausel 9 – Modul Zwei: Klausel 9(a), (c), (d) und (e);
    4. Modul Zwei: Klausel 12(a), (d) und (f);
    5. Klausel 13;
    6. Klausel 15.1(c), (d) und (e);
    7. Klausel 16(e);
    8. Klausel 18 – Modul Zwei: Klausel 18(a) und (b).
  2. Buchstabe a gilt unbeschadet der Rechte betroffener Personen gemäß der Verordnung (EU) 2016/679.

Klausel 4

Auslegung

  1. Soweit in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in jener Verordnung.
  2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
  3. Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten steht.

Klausel 5

Rangfolge

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.

Klausel 6

Beschreibung der Übermittlung(en)

Die Einzelheiten der Übermittlung(en), insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, für den/die sie übermittelt werden, sind in Anhang I.B aufgeführt.

Klausel 7 – Optional

Koppelungsklausel

  1. Eine Einheit, die nicht Partei dieser Klauseln ist, kann mit Zustimmung der Parteien diesen Klauseln jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie den Anhang vervollständigt und Anhang I.A unterzeichnet.
  2. Sobald sie den Anhang vervollständigt und Anhang I.A unterzeichnet hat, wird die beitretende Einheit Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gemäß ihrer Bezeichnung in Anhang I.A.
  3. Die beitretende Einheit hat keine Rechte oder Pflichten aus diesen Klauseln für den Zeitraum vor ihrem Beitritt.

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur sichert zu, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur in der Lage ist, durch die Implementierung geeigneter technischer und organisatorischer Maßnahmen seine Verpflichtungen aus diesen Klauseln zu erfüllen.

MODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter

8.1 Weisungen

  1. Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.
  2. Der Datenimporteur hat den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diese Weisungen zu befolgen.

8.2 Zweckbindung

Der Datenimporteur darf die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anhang I.B verarbeiten, es sei denn, es liegen weitere Weisungen des Datenexporteurs vor.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der betroffenen Person unentgeltlich eine Kopie dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, erforderlich ist, kann der Datenexporteur Teile des Textes des Anhangs zu diesen Klauseln vor der Weitergabe einer Kopie schwärzen, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies möglich ist, ohne die geschwärzten Informationen preiszugeben. Diese Klausel gilt unbeschadet der Verpflichtungen des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.

8.4 Richtigkeit

Wird dem Datenimporteur bekannt, dass die von ihm empfangenen personenbezogenen Daten unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten

Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsleistungen löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bestätigt dem Datenexporteur, dass dies geschehen ist, oder gibt alle in seinem Auftrag verarbeiteten personenbezogenen Daten an den Datenexporteur zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der personenbezogenen Daten verbieten, sichert der Datenimporteur zu, dass er weiterhin die Einhaltung dieser Klauseln gewährleisten wird und die Daten nur insoweit und so lange verarbeiten wird, wie dies nach diesem lokalen Recht erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Anforderung an den Datenimporteur gemäß Klausel 14 Buchstabe e, den Datenexporteur während der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Klausel 14 Buchstabe a im Einklang stehen.

8.6 Sicherheit der Verarbeitung

  1. Der Datenimporteur und während der Übermittlung auch der Datenexporteur implementieren geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, dem Kontext und dem Zweck/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere die Nutzung von Verschlüsselung oder Pseudonymisierung in Betracht, auch während der Übermittlung, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die Zusatzinformationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Bei der Erfüllung seiner Verpflichtungen gemäß diesem Absatz implementiert der Datenimporteur mindestens die in Anhang II genannten technischen und organisatorischen Maßnahmen. Der Datenimporteur führt regelmäßige Überprüfungen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.
  2. Der Datenimporteur gewährt den Zugang zu den personenbezogenen Daten seinen Mitarbeitern nur in dem Umfang, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitete Daten betrifft, ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt den Datenexporteur außerdem unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung muss die Einzelheiten einer Kontaktstelle enthalten, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen Datensätze), ihre wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Sofern und soweit es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, enthält die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden anschließend unverzüglich bereitgestellt, sobald sie verfügbar sind.
  4. Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt diesen, um dem Datenexporteur die Einhaltung seiner Verpflichtungen gemäß der Verordnung (EU) 2016/679 zu ermöglichen, insbesondere die Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen, unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen.

8.7 Sensible Daten

Sofern die Übermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen spezifischen Beschränkungen und/oder zusätzlichen Garantien an.

8.8 Weiterübermittlungen

Der Datenimporteur darf die personenbezogenen Daten an einen Dritten nur auf dokumentierte Weisung des Datenexporteurs offenlegen. Darüber hinaus dürfen die Daten an einen Dritten außerhalb der Europäischen Union2 (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) nur dann offengelegt werden, wenn der Dritte an diese Klauseln unter dem entsprechenden Modul gebunden ist oder sich damit einverstanden erklärt, daran gebunden zu sein, oder wenn:

  1. die Weiterübermittlung in ein Land erfolgt, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;
  2. der Dritte anderweitig geeignete Garantien gemäß den Artikeln 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;
  3. die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen spezifischer Verwaltungs-, Aufsichts- oder Gerichtsverfahren erforderlich ist; oder
  4. die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung setzt voraus, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln einhält, insbesondere die Zweckbindung.

2 Das Abkommen über den Europäischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausweitung des Binnenmarktes der Europäischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor. Die Datenschutzgesetzgebung der Union, einschließlich der Verordnung (EU) 2016/679, ist vom EWR-Abkommen abgedeckt und wurde in dessen Anhang XI aufgenommen. Daher gilt eine Offenlegung durch den Datenimporteur gegenüber einem im EWR ansässigen Dritten nicht als Weiterübermittlung im Sinne dieser Klauseln.

8.9 Dokumentation und Compliance

  1. Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und angemessen.
  2. Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere führt der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.
  3. Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Anfrage des Datenexporteurs Audits der von diesen Klauseln abgedeckten Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anhaltspunkten für eine Nichteinhaltung und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur relevante Zertifizierungen des Datenimporteurs berücksichtigen.
  4. Der Datenexporteur kann das Audit selbst durchführen oder einen unabhängigen Auditor beauftragen. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
  5. Die Parteien stellen der zuständigen Aufsichtsbehörde die in den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, auf Anfrage zur Verfügung.

Klausel 9

Inanspruchnahme von Unterauftragsverarbeitern

MODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter

  1. Der Datenimporteur verfügt über die allgemeine Genehmigung des Datenexporteurs zur Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur mindestens 10 Werktage im Voraus ausdrücklich schriftlich über alle beabsichtigten Änderungen an dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Datenexporteur damit ausreichend Zeit, um vor der Beauftragung des/der Unterauftragsverarbeiter(s) gegen solche Änderungen Einspruch erheben zu können. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die erforderlich sind, damit der Datenexporteur sein Einspruchsrecht ausüben kann.
  2. Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so erfolgt dies durch einen schriftlichen Vertrag, der im Wesentlichen die gleichen Datenschutzpflichten vorsieht wie diejenigen, die für den Datenimporteur gemäß diesen Klauseln bindend sind, einschließlich in Bezug auf Drittbegünstigtenrechte für betroffene Personen.3 Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen gemäß Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
  3. Der Datenimporteur stellt dem Datenexporteur auf dessen Anfrage eine Kopie einer solchen Unterauftragsverarbeiter-Vereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.
  4. Der Datenimporteur bleibt gegenüber dem Datenexporteur voll verantwortlich für die Erfüllung der Pflichten des Unterauftragsverarbeiters aus dessen Vertrag mit dem Datenimporteur. Der Datenimporteur benachrichtigt den Datenexporteur über jede Nichterfüllung der Pflichten des Unterauftragsverarbeiters aus diesem Vertrag.
  5. Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur – für den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich aufgehört hat zu existieren oder insolvent geworden ist – das Recht hat, den Unterauftragsverarbeiter-Vertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

3 Diese Anforderung kann dadurch erfüllt werden, dass der Unterauftragsverarbeiter diesen Klauseln unter dem entsprechenden Modul gemäß Klausel 7 beitritt.

Klausel 10

Rechte der betroffenen Person

MODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter

  1. Der Datenimporteur benachrichtigt den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er beantwortet diese Anfrage nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
  2. Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. In diesem Zusammenhang legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest, unter Berücksichtigung der Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
  3. Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.

Klausel 11

Rechtsbehelfe

  1. Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilung oder auf seiner Website über eine zur Bearbeitung von Beschwerden befugte Kontaktstelle. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erhält, umgehend.

MODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter

  1. Im Falle eines Streits zwischen einer betroffenen Person und einer der Parteien hinsichtlich der Einhaltung dieser Klauseln bemüht sich diese Partei nach besten Kräften, die Angelegenheit zeitnah gütlich beizulegen. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
  2. Macht die betroffene Person ein Drittbegünstigtenrecht gemäß Klausel 3 geltend, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:
    1. eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsplatzes oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;
    2. den Streit vor die zuständigen Gerichte im Sinne der Klausel 18 zu bringen.
  3. Die Parteien akzeptieren, dass die betroffene Person durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen vertreten werden kann.
  4. Der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden Recht der EU oder eines Mitgliedstaats bindend ist.
  5. Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.

Klausel 12

Haftung

MODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter

  1. Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch eine Verletzung dieser Klauseln verursacht.
  2. Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Drittbegünstigtenrechte gemäß diesen Klauseln verursacht.
  3. Ungeachtet des Buchstabens b haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Drittbegünstigtenrechte gemäß diesen Klauseln verursacht. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, je nach Einzelfall.
  4. Die Parteien vereinbaren, dass der Datenexporteur, wenn er gemäß Buchstabe c für Schäden haftbar gemacht wird, die vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursacht wurden, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
  5. Sind mehrere Parteien für einen Schaden verantwortlich, der der betroffenen Person infolge einer Verletzung dieser Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.
  6. Die Parteien vereinbaren, dass eine Partei, wenn sie gemäß Buchstabe e haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
  7. Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.

Klausel 13

Aufsicht

MODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter

  1. Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist: Als zuständige Aufsichtsbehörde fungiert die Aufsichtsbehörde, die für die Gewährleistung der Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung zuständig ist, wie in Anhang I.C angegeben.

    Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren territorialen Anwendungsbereich fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Als zuständige Aufsichtsbehörde fungiert die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie in Anhang I.C angegeben.

    Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren territorialen Anwendungsbereich fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Als zuständige Aufsichtsbehörde fungiert die Aufsichtsbehörde eines der Mitgliedstaaten, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie gemäß diesen Klauseln übermittelt werden oder deren Verhalten beobachtet wird, wie in Anhang I.C angegeben.

  2. Der Datenimporteur erklärt sich damit einverstanden, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und mit dieser in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere erklärt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Audits zu unterziehen und die von der Aufsichtsbehörde beschlossenen Maßnahmen, einschließlich Abhilfe- und Entschädigungsmaßnahmen, einzuhalten. Er stellt der Aufsichtsbehörde eine schriftliche Bestätigung zur Verfügung, dass die erforderlichen Maßnahmen ergriffen wurden.

ABSCHNITT III – LOKALE GESETZE UND PFLICHTEN BEI ZUGRIFF DURCH BEHÖRDEN

Klausel 14

Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeinträchtigen

MODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter

  1. Die Parteien sichern zu, dass sie keinen Grund zu der Annahme haben, dass die im Drittland des Bestimmungsortes für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur geltenden Gesetze und Praktiken, einschließlich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen zur Genehmigung des Zugriffs durch Behörden, den Datenimporteur daran hindern, seine Verpflichtungen aus diesen Klauseln zu erfüllen. Dies basiert auf dem Verständnis, dass Gesetze und Praktiken, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu wahren, nicht im Widerspruch zu diesen Klauseln stehen.
  2. Die Parteien erklären, dass sie bei der Abgabe der Zusicherung in Buchstabe a insbesondere die folgenden Elemente gebührend berücksichtigt haben:
    1. die spezifischen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungswege; beabsichtigte Weiterübermittlungen; die Art des Empfängers; den Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; den Wirtschaftssektor, in dem die Übermittlung erfolgt; den Speicherort der übermittelten Daten;
    2. die Gesetze und Praktiken des Drittlandes des Bestimmungsortes – einschließlich derjenigen, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugriff durch solche Behörden genehmigen –, die angesichts der spezifischen Umstände der Übermittlung relevant sind, sowie die geltenden Beschränkungen und Garantien4;
    3. alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich der während der Übermittlung und bei der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandten Maßnahmen.
  3. Der Datenimporteur sichert zu, dass er bei der Durchführung der Bewertung gemäß Buchstabe b sein Bestes getan hat, um dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
  4. Die Parteien vereinbaren, die Bewertung gemäß Buchstabe b zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  5. Der Datenimporteur erklärt sich bereit, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Vereinbarung dieser Klauseln und für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gemäß Buchstabe a im Einklang stehen, einschließlich infolge einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie einem Auskunftsersuchen), die auf eine Anwendung solcher Gesetze in der Praxis hindeutet, die nicht mit den Anforderungen in Buchstabe a im Einklang steht.
  6. Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seine Verpflichtungen aus diesen Klauseln nicht mehr erfüllen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen fest (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung von Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Umfasst der Vertrag mehr als zwei Parteien, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, gelten Klausel 16 Buchstaben d und e.

4 Was die Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln betrifft, können verschiedene Elemente im Rahmen einer Gesamtbewertung berücksichtigt werden. Solche Elemente können relevante und dokumentierte praktische Erfahrungen mit früheren Fällen von Auskunftsersuchen von Behörden oder das Fehlen solcher Ersuchen über einen ausreichend repräsentativen Zeitraum umfassen. Dies bezieht sich insbesondere auf interne Aufzeichnungen oder andere Dokumentationen, die kontinuierlich gemäß der Sorgfaltspflicht erstellt und auf der Ebene der Geschäftsleitung zertifiziert wurden, sofern diese Informationen rechtmäßig an Dritte weitergegeben werden können. Wenn diese praktischen Erfahrungen herangezogen werden, um zu dem Schluss zu gelangen, dass der Datenimporteur nicht an der Einhaltung dieser Klauseln gehindert wird, müssen sie durch andere relevante, objektive Elemente gestützt werden, und es obliegt den Parteien, sorgfältig zu prüfen, ob diese Elemente zusammen in Bezug auf ihre Zuverlässigkeit und Repräsentativität ausreichend Gewicht haben, um diesen Schluss zu stützen. Insbesondere müssen die Parteien berücksichtigen, ob ihre praktischen Erfahrungen durch öffentlich verfügbare oder anderweitig zugängliche, zuverlässige Informationen über das Vorhandensein oder Fehlen von Ersuchen innerhalb desselben Sektors und/oder die Anwendung des Gesetzes in der Praxis, wie z. B. Rechtsprechung und Berichte unabhängiger Aufsichtsgremien, bestätigt und nicht widerlegt werden.

Klausel 15

Pflichten des Datenimporteurs bei Zugriff durch Behörden

MODUL ZWEI: Übermittlung Verantwortlicher an Auftragsverarbeiter

15.1 Benachrichtigung

  1. Der Datenimporteur erklärt sich bereit, den Datenexporteur und, sofern möglich, die betroffene Person unverzüglich (gegebenenfalls mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:
    1. ein rechtlich bindendes Ersuchen einer Behörde, einschließlich Justizbehörden, nach den Gesetzen des Bestimmungslandes zur Offenlegung von gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; eine solche Benachrichtigung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für das Ersuchen und die erteilte Antwort enthalten; oder
    2. Kenntnis von einem direkten Zugriff von Behörden auf gemäß diesen Klauseln übermittelte personenbezogene Daten nach den Gesetzen des Bestimmungslandes erlangt; eine solche Benachrichtigung muss alle dem Importeur zur Verfügung stehenden Informationen enthalten.
  2. Ist es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sein Bestes zu tun, um eine Aufhebung des Verbots zu erwirken, mit dem Ziel, so bald wie möglich so viele Informationen wie möglich mitzuteilen. Der Datenimporteur erklärt sich bereit, seine Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.
  3. Soweit nach den Gesetzen des Bestimmungslandes zulässig, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen so viele relevante Informationen wie möglich über die erhaltenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
  4. Der Datenimporteur erklärt sich bereit, die Informationen gemäß den Buchstaben a bis c für die Dauer des Vertrags aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
  5. Die Buchstaben a bis c gelten unbeschadet der Verpflichtung des Datenimporteurs gemäß Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diese Klauseln einzuhalten.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

  1. Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob es im Rahmen der der ersuchenden Behörde übertragenen Befugnisse bleibt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass hinreichende Gründe für die Annahme bestehen, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den geltenden Verpflichtungen aus dem Völkerrecht und den Grundsätzen der internationalen Höflichkeit rechtswidrig ist. Der Datenimporteur wird unter denselben Bedingungen Rechtsmittel einlegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er darf die angeforderten personenbezogenen Daten erst offenlegen, wenn er nach den geltenden Verfahrensregeln dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14 Buchstabe e.
  2. Der Datenimporteur erklärt sich bereit, seine rechtliche Bewertung und jede Anfechtung des Offenlegungsersuchens zu dokumentieren und die Dokumentation, soweit nach den Gesetzen des Bestimmungslandes zulässig, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
  3. Der Datenimporteur erklärt sich bereit, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer angemessenen Auslegung des Ersuchens die geringstmögliche Menge an zulässigen Informationen bereitzustellen.

ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Nichteinhaltung der Klauseln und Kündigung

  1. Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.
  2. Falls der Datenimporteur gegen diese Klauseln verstößt oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder sichergestellt ist oder der Vertrag gekündigt wird. Dies lässt Klausel 14(f) unberührt.
  3. Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, wenn:
    1. der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wird;
    2. der Datenimporteur diese Klauseln in erheblichem Maße oder fortdauernd verletzt; oder
    3. der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde hinsichtlich seiner Pflichten aus diesen Klauseln nicht nachkommt.
    In diesen Fällen informiert er die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Umfasst der Vertrag mehr als zwei Parteien, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, sofern die Parteien nichts anderes vereinbart haben.
  4. Für Modul Zwei: Personenbezogene Daten, die vor der Kündigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs entweder unverzüglich an den Datenexporteur zurückzugeben oder vollständig zu löschen. Dies gilt ebenso für etwaige Kopien der Daten.

    Der Datenimporteur bestätigt dem Datenexporteur die Löschung der Daten. Bis die Daten gelöscht oder zurückgegeben wurden, stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Sofern für den Datenimporteur geltende lokale Gesetze die Rückgabe oder Löschung der übermittelten personenbezogenen Daten untersagen, gewährleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und nur so lange verarbeitet, wie es nach diesem lokalen Recht erforderlich ist.

  5. Jede Partei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 einen Beschluss erlässt, der die Übermittlung personenbezogener Daten erfasst, auf die diese Klauseln Anwendung finden; oder (ii) die Verordnung (EU) 2016/679 Bestandteil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies lässt andere Verpflichtungen unberührt, die für die betreffende Verarbeitung nach der Verordnung (EU) 2016/679 gelten.

Klausel 17

Anwendbares Recht

MODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter

Diese Klauseln unterliegen dem Recht eines EU-Mitgliedstaats, sofern dieses Recht Rechte zugunsten Dritter zulässt. Die Parteien vereinbaren, dass dies das Recht Spaniens ist.

Klausel 18

Wahl des Gerichtsstands und der Zuständigkeit

MODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter

  1. Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats entschieden.
  2. Die Parteien vereinbaren, dass dies die Gerichte Spaniens sind.
  3. Eine betroffene Person kann auch ein Gerichtsverfahren gegen den Datenexporteur und/oder den Datenimporteur vor den Gerichten des Mitgliedstaats anstrengen, in dem sie ihren gewöhnlichen Aufenthalt hat.
  4. Die Parteien vereinbaren, sich der Zuständigkeit solcher Gerichte zu unterwerfen.

ANHANG

ANLAGE I

MODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter

A. LISTE DER PARTEIEN

Datenexporteur(e): Der Datenexporteur ist der Verantwortliche, der mit dem Datenimporteur einen Dienstleistungsvertrag abgeschlossen hat. Identität und Kontaktdaten des Datenexporteurs sind im Dienstleistungsvertrag angegeben, dessen verbindlicher Bestandteil diese Klauseln sind.

Datenimporteur(e):

Name: PEGASUS BUSINESS INTELLIGENCE LLP
Adresse: Two Lincoln Centre
5420 LBJ Freeway, Suite 900
Dallas, TX 75240
Vereinigte Staaten

Der Datenimporteur ist ein führender globaler Anbieter von B2B-Zahlungen und Business-Intelligence-Lösungen für die Hotellerie mit Sitz in den USA; die Kontaktdaten des Datenimporteurs sind im Dienstleistungsvertrag angegeben, dessen verbindlicher Bestandteil diese Klauseln sind.

B. BESCHREIBUNG DER ÜBERMITTLUNG

MODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter

Kategorien betroffener Personen, deren personenbezogene Daten übermittelt werden

Hotelgäste und Kontaktpersonen des Datenexporteurs.

Kategorien der übermittelten personenbezogenen Daten

Name, Nachname und Buchungsdaten der Hotelgäste.

Kontaktdaten (E-Mail-Adresse, Telefonnummer) der Kontaktpersonen des Datenexporteurs.

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken vollumfänglich Rechnung tragen, wie z. B. strikte Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeitende mit spezieller Schulung), Protokollierung des Datenzugriffs, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder fortlaufend übermittelt werden).

Die Daten werden fortlaufend übermittelt.

Art der Verarbeitung sowie Zweck der Datenübermittlung und der weiteren Verarbeitung

Im Rahmen der Tätigkeiten, die der Auftragsverarbeiter zugunsten seiner Kunden erbringt, kann er auf bestimmte personenbezogene Daten zugreifen, da dieser Zugriff für die Erbringung der vertraglich vereinbarten Leistungen erforderlich ist.

Der Umfang der Leistungen ist im zwischen dem Datenimporteur und dem Datenexporteur geschlossenen Dienstleistungsvertrag festgelegt; die personenbezogenen Daten werden vom Datenimporteur als Auftragsverarbeiter verarbeitet, um diese Leistungen zu erbringen und die Bedingungen des Dienstleistungsvertrags und dieser Klauseln einzuhalten.

Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums

Die personenbezogenen Daten werden auf schriftliches Verlangen des Datenexporteurs nach Beendigung der Erbringung der betreffenden, mit der Verarbeitung zusammenhängenden Leistungen gelöscht oder zurückgegeben oder, falls früher, sobald die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zur Erfüllung der Verpflichtungen der Parteien aus dem zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossenen Dienstleistungsvertrag nicht mehr erforderlich ist, und vorhandene Kopien werden sicher gelöscht.

Bei Übermittlungen an (Unter-)Auftragsverarbeiter außerdem Angabe von Gegenstand, Art und Dauer der Verarbeitung

Für Daten, die zur Rechnungsstellung in Italien und Indien verwendet werden, arbeitet der Auftragsverarbeiter mit Sovos zusammen, um sicherzustellen, dass alle lokalen regulatorischen Anforderungen erfüllt werden.

Flexential stellt eine Rechenzentrumsplattform bereit und bietet Colocation- und Disaster-Recovery-Services für Onyx-Services an, die nicht Teil einer cloudbasierten Infrastruktur sind. Die US-Betriebe und Rechenzentren werden vollständig von Flexential betrieben, während EU-basierte Rechenzentrumsstandorte von Equnix betrieben werden.

Amazon Web Services (AWS) ist die bevorzugte Plattform für cloudfähige Services, die von Onyx in einer Private-Cloud-Umgebung (VPC) bereitgestellt werden. Microsoft Azure bietet ebenfalls Cloud-Services, ist jedoch auf InvoicePro-Services beschränkt.

Zum oben genannten Gegenstand, zur Art und zur Dauer.

C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

MODUL ZWEI: Übermittlung vom Verantwortlichen an den Auftragsverarbeiter

Benennen Sie die zuständige(n) Aufsichtsbehörde(n) gemäß Klausel 13

Die spanische Datenschutzbehörde

ANLAGE II – TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MAßNAHMEN ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Zutrittskontrolle zu Verarbeitungsbereichen

Der Datenimporteur implementiert geeignete Maßnahmen, um zu verhindern, dass unbefugte Personen Zugang zu den Datenverarbeitungsanlagen (Netzwerktechnik, Server und zugehörige Hardware) erhalten, in denen personenbezogene Daten verarbeitet oder genutzt werden, einschließlich:

  • Einrichtung von Sicherheitsbereichen;
  • Schutz und Beschränkung von Zugangswegen;
  • Einrichtung von Zugriffsberechtigungen für Mitarbeitende und Dritte einschließlich der entsprechenden Dokumentation;
  • Sämtliche Zugriffe auf das Rechenzentrum, in dem personenbezogene Daten gehostet werden, werden protokolliert, überwacht und nachverfolgt; und
  • Das Rechenzentrum, in dem personenbezogene Daten gehostet werden, ist durch eine Einbruchmeldeanlage sowie weitere geeignete Sicherheitsmaßnahmen geschützt.

Zugangskontrolle zu Datenverarbeitungssystemen

  • Der Datenimporteur implementiert geeignete Maßnahmen, um zu verhindern, dass seine Datenverarbeitungssysteme von unbefugten Personen genutzt werden, einschließlich:
  • Einsatz geeigneter Verschlüsselungstechnologien;
  • Identifizierung des Endgeräts und/oder des Endgerätenutzers gegenüber dem Datenimporteur/Unterauftragsverarbeiter und den Verarbeitungssystemen;
  • Automatische, temporäre Sperre des Endgeräts bei Inaktivität; zur Wiederfreigabe sind Identifizierung und Passwort erforderlich;
  • Automatische, temporäre Sperre der Benutzer-ID nach mehreren falschen Passworteingaben, Ereignisprotokollierung, Überwachung von Einbruchsversuchen (Warnmeldungen).

Zugriffskontrolle zur Nutzung bestimmter Bereiche von Datenverarbeitungssystemen

Der Datenimporteur/Unterauftragsverarbeiter verpflichtet sich, dass die zur Nutzung seines Datenverarbeitungssystems berechtigten Personen nur im Rahmen und in dem Umfang auf die Daten zugreifen können, der von ihrer jeweiligen Zugriffsberechtigung (Autorisierung) erfasst ist, und dass personenbezogene Daten nicht ohne Autorisierung gelesen, kopiert, verändert oder entfernt werden können. Dies wird durch verschiedene Maßnahmen erreicht, einschließlich:

  • Mitarbeiterrichtlinien und Schulungen in Bezug auf die Zugriffsrechte jeder Mitarbeiterin/jedes Mitarbeiters auf die personenbezogenen Daten;
  • Überwachungsmöglichkeiten in Bezug auf Personen, die personenbezogene Daten löschen, hinzufügen oder ändern;
  • Freigabe von Daten nur an autorisierte Personen, einschließlich Zuweisung differenzierter Zugriffsrechte und Rollen; und
  • Einsatz geeigneter Verschlüsselungstechnologien sowie Dateikontrolle, kontrollierte und dokumentierte Datenvernichtung.

Verfügbarkeitskontrolle

Der Datenimporteur implementiert geeignete Maßnahmen, um sicherzustellen, dass personenbezogene Daten vor zufälliger Zerstörung oder Verlust geschützt sind, einschließlich:

  • Infrastruktur-Redundanz; und
  • Backups werden an einem alternativen Standort gespeichert und stehen zur Wiederherstellung bei Ausfall des Primärsystems zur Verfügung;
  • Primäre und sekundäre Standorte für vollständiges Failover.

Übertragungskontrolle

Der Datenimporteur implementiert geeignete Maßnahmen, um zu verhindern, dass personenbezogene Daten während ihrer Übertragung oder während des Transports der Datenträger von unbefugten Parteien gelesen, kopiert, verändert oder gelöscht werden. Dies wird durch verschiedene Maßnahmen erreicht, einschließlich:

  • Einsatz geeigneter Firewall-, VPN- und Verschlüsselungstechnologien zum Schutz der Gateways und Datenpfade, über die die Daten übertragen werden; und
  • Soweit möglich, werden sämtliche Datenübertragungen protokolliert, überwacht und nachverfolgt.

Unterauftragsverarbeiter, Lieferantenbewertungen

Der Datenimporteur bewertet alle Unterauftragsverarbeiter und Lieferanten, um sicherzustellen, dass alle personenbezogenen Daten gemäß den Sicherheitsrichtlinien des Datenimporteurs geschützt werden und dem Informationssicherheitsprogramm des Datenimporteurs entsprechen, einschließlich:

  • Jährliche Lieferantenbewertungen zur Risikobestimmung; und
  • Datenschutzmaßnahmen einschließlich Zertifizierungen.

1. RECHENZENTRUMS- UND NETZWERKSICHERHEIT

(a) Rechenzentren

  • Colocation (Colo): Der Datenimporteur nutzt einen Drittanbieter zum Hosting von Rechenzentrumsinfrastruktur; Colocation-Services bieten eine sichere physische Unterbringung von Servern und Netzwerkanbindungen sowie redundante Strom- und Kühlressourcen zum Schutz der Infrastruktur.
  • Infrastruktur: Der Datenimporteur betreibt geografisch verteilte Rechenzentren. Der Datenimporteur speichert alle Produktionsdaten in physisch gesicherten Rechenzentren.
  • Redundanz: Infrastruktursysteme sind so konzipiert, dass Single Points of Failure vermieden und die Auswirkungen erwarteter Umweltrisiken minimiert werden. Doppelte Stromkreise, Switches, Netzwerke oder andere erforderliche Geräte tragen zur Redundanz bei. Die Services sind so ausgelegt, dass der Datenimporteur bestimmte Arten vorbeugender und korrigierender Wartungsarbeiten ohne Unterbrechung durchführen kann. Für sämtliche Umweltsysteme und Anlagen liegen dokumentierte Verfahren zur vorbeugenden Wartung vor, die Prozess und Häufigkeit der Durchführung gemäß Herstellervorgaben oder internen Spezifikationen beschreiben.
  • Stromversorgung: Die elektrischen Stromversorgungssysteme des Rechenzentrums sind redundant ausgelegt und können ohne Auswirkungen auf den kontinuierlichen Betrieb instand gehalten werden – 24 Stunden am Tag, 7 Tage die Woche. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum sowohl eine primäre als auch eine alternative Stromquelle mit gleicher Kapazität bereitgestellt. Die Notstromversorgung erfolgt über verschiedene Mechanismen wie unterbrechungsfreie Stromversorgungen (USV) mit Batterien, die während Netzunterspannung, Stromausfällen, Überspannung, Unterspannung sowie Frequenzabweichungen eine gleichmäßig zuverlässige Stromversorgung gewährleisten. Bei Ausfall der Netzstromversorgung ist die Notstromversorgung so ausgelegt, dass sie das Rechenzentrum vorübergehend bei voller Kapazität versorgt, bis die Dieselgeneratoren übernehmen. Die Dieselgeneratoren können innerhalb von Sekunden automatisch starten und ausreichend Notstrom bereitstellen, um das Rechenzentrum bei voller Kapazität typischerweise über mehrere Tage zu betreiben.
  • Business Continuity: Der Datenimporteur repliziert Daten über mehrere Systeme, um vor zufälliger Zerstörung oder Verlust zu schützen. Der Datenimporteur hat Programme zur Business-Continuity-Planung und Disaster Recovery konzipiert und plant, testet und überprüft diese regelmäßig.

(b) Netzwerke und Übertragung

  • Datenübertragung: Rechenzentren sind typischerweise über schnelle private Verbindungen gekoppelt, um eine sichere und schnelle Datenübertragung zwischen Rechenzentren zu ermöglichen. Dies soll verhindern, dass Daten während der elektronischen Übertragung oder des Transports ohne Autorisierung gelesen, kopiert, verändert oder entfernt werden. Dedizierte Verbindungen zwischen Bürostandorten und Rechenzentren werden über SD-WAN bereitgestellt. Der Datenimporteur überträgt Daten über Internet-Standardprotokolle.
  • Externe Angriffsfläche: Der Datenimporteur setzt mehrere Schichten von Netzwerkkomponenten und Intrusion Detection ein, um seine externe Angriffsfläche zu schützen. Der Datenimporteur berücksichtigt potenzielle Angriffsvektoren und integriert geeignete, zweckgebundene Technologien in extern erreichbare Systeme.
  • Intrusion Detection: Die Intrusion Detection dient dazu, Einblicke in laufende Angriffsaktivitäten zu ermöglichen und ausreichende Informationen für die Reaktion auf Vorfälle bereitzustellen. Die Intrusion Detection des Datenimporteurs umfasst eine strikte Kontrolle von Größe und Zusammensetzung der Angriffsfläche des Datenimporteurs durch präventive Maßnahmen sowie den Einsatz intelligenter Erkennungskontrollen an Dateneingangspunkten.
  • Incident Response: Der Datenimporteur überwacht verschiedene Kommunikationskanäle auf Sicherheitsvorfälle, und das Sicherheitspersonal des Datenimporteurs reagiert unverzüglich auf bekannte Vorfälle.
  • Verschlüsselungstechnologien: Der Datenimporteur stellt HTTPS-Verschlüsselung (auch als TLS-Verbindung bezeichnet) zur Verschlüsselung von Daten während der Übertragung bereit; dabei werden branchenübliche Best-Practice-Konfigurationen (Chiffren) und Protokolle verwendet und entsprechend konfiguriert. Werden Daten über FTP übertragen, wird ein sicherer Kanal verwendet (SFTP oder FTPS).
  • Anwendungssicherheit: Der Datenimporteur hat ein sicheres Entwicklungsprogramm entwickelt und implementiert, basierend auf dem Open Web Application Security Project (OWASP) und dem Microsoft Security Development Lifecycle. Nach Abschluss werden sensible Produktentwicklungen getestet, um sicherzustellen, dass die Anwendungssicherheit umfassend und ordnungsgemäß berücksichtigt wurde.
  • Schwachstellenüberwachung durch Penetrationstests: Der Datenimporteur führt mindestens zwei jährliche Penetrationstests zur Informationssicherheit durch, die von akkreditierten und vollständig unabhängigen Informationssicherheitsunternehmen durchgeführt werden. Der Datenimporteur führt mindestens einmal monatlich sowie nach wesentlichen Infrastrukturänderungen in unserer Produktionsumgebung Schwachstellen-Scans mittels Drittanbieter-Tools durch.

2. ZUGANGS- UND STANDORTKONTROLLEN

(a) Standortkontrollen

  • Sicherheitsbetrieb im Rechenzentrum vor Ort: Die Rechenzentren des Datenimporteurs verfügen über einen Sicherheitsbetrieb vor Ort, der 24 Stunden am Tag, 7 Tage die Woche für alle physischen Sicherheitsfunktionen des Rechenzentrums zuständig ist. Das Sicherheitspersonal vor Ort überwacht CCTV-Kameras (Videoüberwachung) und alle Alarmsysteme. Das Sicherheitspersonal vor Ort führt regelmäßig interne und externe Patrouillen im Rechenzentrum durch.
  • Zugangsverfahren zum Rechenzentrum: Der Datenimporteur unterhält formelle Zugangsverfahren für den physischen Zugang zu den Rechenzentren. Die Rechenzentren befinden sich in Einrichtungen, die einen elektronischen Kartenzugang erfordern, mit Alarmen, die mit dem Sicherheitsbetrieb vor Ort verbunden sind. Alle Personen, die das Rechenzentrum betreten, müssen sich identifizieren und einen Identitätsnachweis gegenüber dem Sicherheitsbetrieb vor Ort vorlegen. Zutritt zu den Rechenzentren erhalten nur autorisierte Mitarbeitende, Auftragnehmer und Besucher. Nur autorisierte Mitarbeitende und Auftragnehmer dürfen einen elektronischen Kartenzugang zu diesen Einrichtungen beantragen. Anträge auf elektronischen Kartenzugang zum Rechenzentrum müssen per E-Mail gestellt werden und bedürfen der Genehmigung durch die Rechenzentrumsleitung. Alle übrigen Personen, die vorübergehenden Zugang zum Rechenzentrum benötigen, müssen: (i) vorab die Genehmigung der Rechenzentrumsleitung für das jeweilige Rechenzentrum und die internen Bereiche einholen, die sie besuchen möchten; (ii) sich beim Sicherheitsbetrieb vor Ort anmelden; und (iii) auf einen genehmigten Zugangsnachweis verweisen, der die Person als genehmigt ausweist.
  • Sicherheitsvorrichtungen im Rechenzentrum vor Ort: Die Rechenzentren des Datenimporteurs setzen ein elektronisches Kartenschlüssel- und biometrisches Zugangskontrollsystem ein, das mit einem Alarm verbunden ist. Das Zugangskontrollsystem überwacht und protokolliert den elektronischen Kartenschlüssel jeder Person und den Zugriff auf Perimetertüren, Versand- und Empfangsbereiche sowie andere kritische Bereiche. Unautorisierte Aktivitäten und fehlgeschlagene Zugriffsversuche werden vom Zugangskontrollsystem protokolliert und ggf. untersucht. Der autorisierte Zugang innerhalb des Geschäftsbetriebs und der Rechenzentren ist zonenbasiert und nach den Aufgabenbereichen der jeweiligen Person eingeschränkt. Die Brandschutztüren der Rechenzentren sind alarmgesichert. CCTV-Kameras sind innerhalb und außerhalb der Rechenzentren in Betrieb. Die Positionierung der Kameras ist darauf ausgelegt, strategische Bereiche abzudecken, darunter u. a. den Perimeter, Türen zum Rechenzentrumsgebäude sowie Versand/Empfang. Das Sicherheitspersonal vor Ort verwaltet die Überwachung, Aufzeichnung und Steuerung der CCTV-Anlagen. Gesicherte Kabel verbinden die CCTV-Komponenten innerhalb der Rechenzentren. Die Kameras zeichnen vor Ort über digitale Videorekorder 24 Stunden am Tag, 7 Tage die Woche auf. Die Überwachungsaufzeichnungen werden mindestens 30 Tage lang aufbewahrt, abhängig von Aktivität und Compliance-Anforderungen.

(b) Zugangskontrollen

  • Infrastruktur-Sicherheitspersonal: Der Datenimporteur verfügt über eine Sicherheitsrichtlinie für sein Personal und verlangt Sicherheitsschulungen als Teil des Schulungsprogramms für sein Personal. Das Infrastruktur- und Sicherheitspersonal des Datenimporteurs ist verantwortlich für die laufende Überwachung der Sicherheitsinfrastruktur des Datenimporteurs, die Prüfung der Services und die Reaktion auf Sicherheitsvorfälle.
  • Zugangskontrolle und Berechtigungsverwaltung: Die Administratoren des Datenexporteurs müssen sich über ein zentrales Authentifizierungssystem oder über ein Single-Sign-on-System authentifizieren, um die Services zu administrieren.
  • Interne Prozesse und Richtlinien für Datenzugriff: Die internen Prozesse und Richtlinien des Datenimporteurs für den Datenzugriff sind darauf ausgelegt, zu verhindern, dass unbefugte Personen und/oder Systeme Zugriff auf Systeme erhalten, die zur Verarbeitung personenbezogener Daten verwendet werden. Der Datenimporteur gestaltet seine Systeme so, dass: (i) nur autorisierte Personen Zugriff auf Daten erhalten, für die sie autorisiert sind; und (ii) personenbezogene Daten während der Verarbeitung, Nutzung und nach der Aufzeichnung nicht ohne Autorisierung gelesen, kopiert, verändert oder entfernt werden können. Die Systeme sind so ausgelegt, dass unangemessener Zugriff erkannt wird. Der Datenimporteur nutzt ein zentrales Zugriffsmanagementsystem zur Steuerung des Personalszugriffs auf Produktionsserver und gewährt Zugriff nur einer begrenzten Anzahl autorisierter Personen. Active Directory, LDAP und Kerberos sind darauf ausgelegt, dem Datenimporteur sichere und flexible Zugriffsmöglichkeiten bereitzustellen. Diese Mechanismen sind so konzipiert, dass nur genehmigte Zugriffsrechte auf Site-Hosts, Protokolle, Daten und Konfigurationsinformationen gewährt werden. Der Datenimporteur verlangt die Verwendung eindeutiger Benutzer-IDs, starker Passwörter und gegebenenfalls Zwei-Faktor-Authentifizierung, um das Potenzial unbefugter Kontonutzung zu minimieren. Die Vergabe oder Änderung von Zugriffsrechten erfolgt auf Grundlage der Aufgabenbereiche der autorisierten Personen, der zur Erledigung autorisierter Aufgaben erforderlichen Pflichten sowie nach dem Need-to-know-Prinzip. Die Vergabe oder Änderung von Zugriffsrechten muss außerdem den internen Richtlinien und Schulungen des Datenimporteurs zum Datenzugriff entsprechen. Genehmigungen werden über Workflow-Tools verwaltet, die Audit-Aufzeichnungen aller Änderungen führen. Zugriffe auf Systeme werden protokolliert, um einen Audit-Trail zur Nachvollziehbarkeit zu erstellen. Werden Passwörter zur Authentifizierung verwendet (z. B. Anmeldung an Workstations), werden Passwortrichtlinien implementiert, die mindestens branchenüblichen Standards entsprechen. Diese Standards umfassen Einschränkungen bei der Wiederverwendung von Passwörtern sowie eine ausreichende Passwortstärke.

3. DATENSPEICHERUNG UND ENTSORGUNG

(a) Datenspeicherung

Der Datenimporteur speichert Daten in einer Multi-Tenant-Umgebung auf vom Datenimporteur verwalteten/privaten Servern. Die Daten- und Dateisystemarchitektur wird zwischen mehreren geografisch verteilten Rechenzentren repliziert. Der Datenimporteur verschlüsselt alle Daten im Ruhezustand; zudem isoliert der Datenimporteur die Daten des Datenexporteurs logisch, und der Datenexporteur erhält die Kontrolle über spezifische Richtlinien zur Datenfreigabe.

(b) Datenentsorgung

Datenträger mit Daten können Leistungsprobleme, Fehler oder Hardwareausfälle aufweisen, die dazu führen, dass sie außer Betrieb genommen werden. Jeder außer Betrieb genommene Datenträger durchläuft eine Reihe von Datenvernichtungsprozessen, bevor er die Räumlichkeiten des Datenimporteurs entweder zur Wiederverwendung oder zur Vernichtung verlässt. Außer Betrieb genommene Datenträger werden in einem mehrstufigen Prozess gelöscht, und die vollständige Löschung wird verifiziert. Die Löschresultate werden zur Nachverfolgung anhand der Seriennummer des außer Betrieb genommenen Datenträgers protokolliert.

4. PERSONALSICHERHEIT

Das Personal des Datenimporteurs ist verpflichtet, sich in einer Weise zu verhalten, die den Unternehmensrichtlinien zu Vertraulichkeit, Geschäftsethik, angemessener Nutzung und professionellen Standards entspricht. Der Datenimporteur führt in angemessenem Umfang Hintergrundprüfungen durch, soweit dies rechtlich zulässig ist und gemäß den anwendbaren lokalen arbeitsrechtlichen Vorschriften und gesetzlichen Bestimmungen.

Das Personal ist verpflichtet, eine Vertraulichkeitsvereinbarung abzuschließen und muss den Erhalt sowie die Einhaltung der Sicherheits- und Datenschutzrichtlinien des Datenimporteurs bestätigen. Das Personal erhält Sicherheitsschulungen. Mitarbeitende, die Kundendaten verarbeiten, müssen zusätzliche, ihrer Rolle entsprechende Anforderungen erfüllen. Das Personal des Datenimporteurs verarbeitet Kundendaten nicht ohne Autorisierung.

5. SICHERHEIT VON UNTERAUFTRAGSVERARBEITERN

Vor der Einbindung von Unterauftragsverarbeitern führt der Datenimporteur ein Audit der Sicherheits- und Datenschutzpraktiken der Unterauftragsverarbeiter durch, um sicherzustellen, dass diese ein Sicherheits- und Datenschutzniveau bieten, das ihrem Datenzugriff und dem Umfang der von ihnen zu erbringenden Leistungen angemessen ist.

ANLAGE III – LISTE DER UNTERAUFTRAGSVERARBEITER

Sovos: Sovos ermöglicht die Ausstellung von Rechnungen im Rahmen des Onyx InvoicePro CTC-Prozesses für Italien und Indien.

Kurt D. Ring
Global Alliances Manager | Sovos Compliance
O: 978.527.1276 | M: 617.877.2115
200 Ballardvale Street, Building 1, 4th Floor, Wilmington MA 01887

Flexential: Flexential stellt eine Rechenzentrumsplattform bereit und bietet Colocation- und Disaster-Recovery-Services an.

Derek Sieburg | Sr. Customer Success Manager | Flexential
O:720.354.3758|[email protected]|www.flexential.com [email protected]
z. Hd.: Privacy & Security Officer, Flexential Corp., 8809 Lenox Pointe Drive, Suite G, Charlotte, NC 28273
https://www.flexential.com/flexential-gdpr-policy-statement

Equinix: Equinix stellt Rechenzentrumsflächen und Infrastruktur für in der EU ansässige Services bereit, die von Flexential erbracht werden.

[email protected] +1.866.977.3749
https://www.equinix.nl/about/legal/privacy

Amazon Web Services (AWS): AWS ist die bevorzugte Plattform für cloudfähige Services, die von Onyx bereitgestellt werden. Weitere Details entnehmen Sie bitte dem AWS GDPR DPA, der in die AWS Service Terms aufgenommen ist.

https://aws.amazon.com/privacy/

Microsoft Azure: Azure stellt Cloud-Services für das Hosting des Onyx InvoicePro-Frontends bereit. Weitere Informationen finden Sie im Microsoft Online Services Data Protection Addendum.

Microsoft Corporation
z. Hd.: Chief Privacy Officer
1 Microsoft Way
Redmond, WA 98052 USA

ZUSATZVEREINBARUNG ZUR INTERNATIONALEN DATENÜBERMITTLUNG ZU DEN STANDARDVERTRAGSKLAUSELN DER EU-KOMMISSION

TEIL 1: TABELLEN

Tabelle 1: Parteien

Startdatum Datum des Inkrafttretens des Zusatzes zur Datenverarbeitung
Die Parteien Exporteur (der die eingeschränkte Übermittlung vornimmt) Importeur (der die eingeschränkte Übermittlung erhält)
Angaben zu den Parteien Siehe Anlage 1, Anhang 1, Abschnitt A Siehe Anlage 1, Anhang 1, Abschnitt A
Hauptansprechpartner Siehe Anlage 1, Anhang 1, Abschnitt A Siehe Anlage 1, Anhang 1, Abschnitt A
Unterschrift (falls für die Zwecke von Abschnitt 2 erforderlich) Der Abschluss des Zusatzes zur Datenverarbeitung am Datum des Inkrafttretens gilt als Abschluss dieser Zusatzvereinbarung Der Abschluss des Zusatzes zur Datenverarbeitung am Datum des Inkrafttretens gilt als Abschluss dieser Zusatzvereinbarung

Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln

Zusatz EU-SCCs Die Version der genehmigten EU-SCCs, an die diese Zusatzvereinbarung angehängt ist, wie nachstehend einschließlich der Informationen im Anhang angegeben:

Datum: Datum des Inkrafttretens des Zusatzes zur Datenverarbeitung
Referenz (falls vorhanden): Keine
Sonstiger Identifikator (falls vorhanden): Keine

Tabelle 3: Informationen im Anhang

Informationen im Anhang“ bezeichnet die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) bereitgestellt werden müssen und die für diese Zusatzvereinbarung in Folgendem enthalten sind:

Anhang 1A: Liste der Parteien: Siehe Anlage 1, Anhang 1, Abschnitt A

Anhang 1B: Beschreibung der Übermittlung: Siehe Anlage 1, Anhang 1, Abschnitt B

Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Daten: Siehe Anlage 1, Anhang II

Anhang III: Liste der Unterauftragsverarbeiter (nur Module 2 und 3): Siehe Anlage 1, Anhang III

Tabelle 4: Beendigung dieser Zusatzvereinbarung bei Änderungen der genehmigten Zusatzvereinbarung

Beendigung dieser Zusatzvereinbarung bei Änderungen der genehmigten Zusatzvereinbarung Welche Parteien diese Zusatzvereinbarung gemäß Abschnitt 19 beenden können:

☐ Importeur
☐ Exporteur
☐ Keine Partei

TEIL 2: VERPFLICHTENDE KLAUSELN

Abschluss dieser Zusatzvereinbarung

  1. Jede Partei erklärt sich damit einverstanden, an die in dieser Zusatzvereinbarung festgelegten Bedingungen gebunden zu sein, im Austausch dafür, dass sich auch die andere Partei damit einverstanden erklärt, an diese Zusatzvereinbarung gebunden zu sein.
  2. Obwohl Anhang 1A und Klausel 7 der genehmigten EU-SCCs die Unterzeichnung durch die Parteien verlangen, können die Parteien zum Zweck der Durchführung eingeschränkter Übermittlungen diese Zusatzvereinbarung in jeder Weise schließen, die sie für die Parteien rechtsverbindlich macht und betroffenen Personen ermöglicht, ihre in dieser Zusatzvereinbarung festgelegten Rechte durchzusetzen. Der Abschluss dieser Zusatzvereinbarung hat die gleiche Wirkung wie die Unterzeichnung der genehmigten EU-SCCs sowie jedes Teils der genehmigten EU-SCCs.

Auslegung dieser Zusatzvereinbarung

  1. Verwendet diese Zusatzvereinbarung Begriffe, die in den genehmigten EU-SCCs definiert sind, haben diese Begriffe die gleiche Bedeutung wie in den genehmigten EU-SCCs. Darüber hinaus haben die folgenden Begriffe die nachstehende Bedeutung:
Zusatzvereinbarung Diese Zusatzvereinbarung zur internationalen Datenübermittlung, bestehend aus dieser Zusatzvereinbarung einschließlich der Zusatz-EU-SCCs.
Nachtrag EU-SCC Die Version(en) der genehmigten EU-SCC, denen dieser Nachtrag beigefügt ist, wie in Tabelle 2 dargelegt, einschließlich der Informationen im Anhang.

Die EU-SCC des Nachtrags sind in Anhang 1 des Nachtrags zur Datenverarbeitung enthalten.
Informationen im Anhang Wie in Tabelle 3 dargelegt.
Angemessene Garantien Das Schutzniveau für die personenbezogenen Daten und die Rechte der betroffenen Personen, das nach den britischen Datenschutzgesetzen erforderlich ist, wenn Sie eine eingeschränkte Übermittlung unter Berufung auf Standarddatenschutzklauseln gemäß Artikel 46(2)(d) UK GDPR vornehmen.
Genehmigter Nachtrag Die vom ICO herausgegebene Nachtragsvorlage, die dem Parlament gemäß s119A des Data Protection Act 2018 am 28. Januar 2022 vorgelegt wurde, in der jeweils nach Abschnitt 18 überarbeiteten Fassung.
Genehmigte EU-SCC Die Standardvertragsklauseln gemäß Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021.
ICO Der Information Commissioner.
Eingeschränkte Übermittlung Eine Übermittlung, die unter Kapitel V der UK GDPR fällt.
UK Das Vereinigte Königreich Großbritannien und Nordirland.
Britische Datenschutzgesetze Alle Gesetze in Bezug auf Datenschutz, die Verarbeitung personenbezogener Daten, Privatsphäre und/oder elektronische Kommunikation, die jeweils im Vereinigten Königreich gelten, einschließlich der UK GDPR und des Data Protection Act 2018.
UK GDPR Wie in Abschnitt 3 des Data Protection Act 2018 definiert.
  1. Dieser Nachtrag ist stets im Einklang mit den britischen Datenschutzgesetzen auszulegen, sodass er die Verpflichtung der Parteien erfüllt, angemessene Garantien bereitzustellen.
  2. Soweit die in den EU-SCC des Nachtrags enthaltenen Bestimmungen die genehmigten SCC in einer Weise ändern, die nach den genehmigten EU-SCC oder dem genehmigten Nachtrag nicht zulässig ist, werden diese Änderung(en) nicht in diesen Nachtrag aufgenommen; an ihre Stelle tritt die entsprechende Bestimmung der genehmigten EU-SCC.
  3. Bei Unstimmigkeiten oder Konflikten zwischen den britischen Datenschutzgesetzen und diesem Nachtrag gelten die britischen Datenschutzgesetze.
  4. Ist die Bedeutung dieses Nachtrags unklar oder gibt es mehr als eine Bedeutung, gilt die Bedeutung, die den britischen Datenschutzgesetzen am nächsten kommt.
  5. Verweise auf Gesetze (oder bestimmte Bestimmungen von Gesetzen) beziehen sich auf das jeweilige Gesetz (oder die jeweilige Bestimmung) in der Fassung, die sich im Laufe der Zeit ändern kann. Dies gilt auch für den Fall, dass dieses Gesetz (oder diese Bestimmung) nach Abschluss dieses Nachtrags konsolidiert, neu erlassen und/oder ersetzt wurde.

Rangfolge

  1. Obwohl Klausel 5 der genehmigten EU-SCC vorsieht, dass die genehmigten EU-SCC gegenüber allen damit verbundenen Vereinbarungen zwischen den Parteien Vorrang haben, vereinbaren die Parteien, dass für eingeschränkte Übermittlungen die Rangfolge in Abschnitt 10 gilt.
  2. Bei Unstimmigkeiten oder Konflikten zwischen dem genehmigten Nachtrag und den EU-SCC des Nachtrags (je nach Anwendbarkeit) hat der genehmigte Nachtrag Vorrang vor den EU-SCC des Nachtrags, außer wenn (und soweit) die widersprüchlichen oder kollidierenden Bedingungen der EU-SCC des Nachtrags einen höheren Schutz für betroffene Personen vorsehen; in diesem Fall haben diese Bedingungen Vorrang vor dem genehmigten Nachtrag.
  3. Soweit dieser Nachtrag EU-SCC des Nachtrags einbezieht, die zum Schutz von Übermittlungen geschlossen wurden, die der Datenschutz-Grundverordnung (EU) 2016/679 unterliegen, bestätigen die Parteien, dass nichts in diesem Nachtrag diese EU-SCC des Nachtrags beeinträchtigt.

Einbeziehung der EU-SCC und Änderungen daran

  1. Dieser Nachtrag bezieht die EU-SCC des Nachtrags ein, die in dem Umfang geändert werden, der erforderlich ist, damit:
    1. sie zusammen für Datenübermittlungen gelten, die vom Datenexporteur an den Datenimporteur vorgenommen werden, soweit die britischen Datenschutzgesetze für die Verarbeitung des Datenexporteurs bei der Durchführung dieser Datenübermittlung gelten, und sie angemessene Garantien für diese Datenübermittlungen bieten;
    2. die Abschnitte 9 bis 11 die Klausel 5 (Rangfolge) der EU-SCC des Nachtrags außer Kraft setzen; und
    3. dieser Nachtrag (einschließlich der darin einbezogenen EU-SCC des Nachtrags) (1) dem Recht von England und Wales unterliegt und (2) alle daraus entstehenden Streitigkeiten durch die Gerichte von England und Wales entschieden werden, jeweils sofern nicht das Recht und/oder die Gerichte von Schottland oder Nordirland von den Parteien ausdrücklich gewählt wurden.
  2. Sofern die Parteien keine alternativen Änderungen vereinbart haben, die den Anforderungen von Abschnitt 12 entsprechen, gelten die Bestimmungen von Abschnitt 15.
  3. Es dürfen keine Änderungen an den genehmigten EU-SCCs vorgenommen werden, außer zur Erfüllung der Anforderungen von Abschnitt 12.
  4. Die folgenden Änderungen an den Addendum EU-SCCs (für die Zwecke von Abschnitt 12) werden vorgenommen:
    1. Verweise auf die „Klauseln“ bedeuten dieses Addendum, das die Addendum EU-SCCs einschließt;
    In Klausel 2 werden die Worte gestrichen:

    „und, in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679“;

    1. Klausel 6 (Beschreibung der Übermittlung(en)) wird ersetzt durch:

    „Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, sowie der/die Zweck(e), für den/die sie übermittelt werden, sind in Anhang I.B festgelegt, sofern die britischen Datenschutzgesetze auf die Verarbeitung des Datenexporteurs bei dieser Übermittlung Anwendung finden.“;

    1. Klausel 8.7(i) von Modul 1 wird ersetzt durch:

    „es sich um ein Land handelt, das von Angemessenheitsvorschriften gemäß Abschnitt 17A der britischen DSGVO profitiert, die die Weiterübermittlung abdecken“;

    1. Klausel 8.8(i) der Module 2 und 3 wird ersetzt durch:

    „die Weiterübermittlung erfolgt in ein Land, das von Angemessenheitsvorschriften gemäß Abschnitt 17A der britischen DSGVO profitiert, die die Weiterübermittlung abdecken;“

    1. Verweise auf „Verordnung (EU) 2016/679“, „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ und „diese Verordnung“ werden alle durch „britische Datenschutzgesetze“ ersetzt. Verweise auf bestimmte Artikel der „Verordnung (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt der britischen Datenschutzgesetze ersetzt;
    2. Verweise auf die Verordnung (EU) 2018/1725 werden entfernt;
    3. Verweise auf die „Europäische Union“, „Union“, „EU“, „EU-Mitgliedstaat“, „Mitgliedstaat“ und „EU oder Mitgliedstaat“ werden alle durch das „Vereinigte Königreich“ ersetzt;
    4. Der Verweis auf „Klausel 12(c)(i)“ in Klausel 10(b)(i) von Modul eins wird durch „Klausel 11(c)(i)“ ersetzt;
    5. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;
    6. Die „zuständige Aufsichtsbehörde“ und die „Aufsichtsbehörde“ werden beide durch den „Information Commissioner“ ersetzt;
    7. In Klausel 16(e) wird Unterabschnitt (i) ersetzt durch:

    „der Staatssekretär erlässt Vorschriften gemäß Abschnitt 17A des Data Protection Act 2018, die die Übermittlung personenbezogener Daten, auf die diese Klauseln Anwendung finden, abdecken;“;

    1. Klausel 17 wird ersetzt durch:

    „Diese Klauseln unterliegen den Gesetzen von England und Wales.“;

    1. Klausel 18 wird ersetzt durch:

    „Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten von England und Wales beigelegt. Eine betroffene Person kann auch rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur vor den Gerichten eines beliebigen Landes im Vereinigten Königreich einleiten. Die Parteien erklären sich damit einverstanden, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.“; und

    1. Die Fußnoten zu den genehmigten EU-SCCs sind nicht Bestandteil des Addendums, mit Ausnahme der Fußnoten 8, 9, 10 und 11.

Änderungen an diesem Addendum

  1. Die Parteien können vereinbaren, die Klauseln 17 und/oder 18 der Addendum EU-SCCs so zu ändern, dass sie sich auf die Gesetze und/oder Gerichte Schottlands oder Nordirlands beziehen.
  2. Wenn die Parteien das Format der in Teil 1: Tabellen des genehmigten Addendums enthaltenen Informationen ändern möchten, können sie dies durch schriftliche Vereinbarung der Änderung tun, vorausgesetzt, die Änderung reduziert die angemessenen Schutzmaßnahmen nicht.
  3. Von Zeit zu Zeit kann der ICO ein überarbeitetes genehmigtes Addendum herausgeben, das:
    1. angemessene und verhältnismäßige Änderungen am genehmigten Addendum vornimmt, einschließlich der Korrektur von Fehlern im genehmigten Addendum; und/oder
    2. Änderungen der britischen Datenschutzgesetze widerspiegelt;
    Das überarbeitete genehmigte Addendum legt das Startdatum fest, ab dem die Änderungen am genehmigten Addendum wirksam werden, und ob die Parteien dieses Addendum einschließlich der Anhangsinformationen überprüfen müssen. Dieses Addendum wird automatisch wie im überarbeiteten genehmigten Addendum festgelegt ab dem angegebenen Startdatum geändert.
  4. Wenn der ICO ein überarbeitetes genehmigtes Addendum gemäß Abschnitt 18 herausgibt und eine in Tabelle 4 „Beendigung des Addendums bei Änderungen des genehmigten Addendums“ ausgewählte Partei infolge der Änderungen im genehmigten Addendum eine erhebliche, unverhältnismäßige und nachweisbare Zunahme ihrer direkten Kosten zur Erfüllung ihrer Verpflichtungen aus dem Addendum und/oder ihres Risikos aus dem Addendum hat,
    1. ihrer direkten Kosten zur Erfüllung ihrer Verpflichtungen aus dem Addendum; und/oder
    2. ihres Risikos aus dem Addendum,
    und in beiden Fällen zuerst angemessene Schritte unternommen hat, um diese Kosten oder Risiken so zu reduzieren, dass sie nicht erheblich und unverhältnismäßig sind, dann kann diese Partei dieses Addendum am Ende einer angemessenen Kündigungsfrist beenden, indem sie der anderen Partei vor dem Startdatum des überarbeiteten genehmigten Addendums eine schriftliche Mitteilung für diesen Zeitraum zukommen lässt.
  5. Die Parteien benötigen nicht die Zustimmung Dritter, um Änderungen an diesem Addendum vorzunehmen, aber alle Änderungen müssen in Übereinstimmung mit seinen Bedingungen erfolgen.

ALTERNATIVE TEIL 2 ZWINGENDE KLAUSELN:

Zwingende Klauseln Teil 2: Zwingende Klauseln des genehmigten Addendums, d. h. das vom ICO herausgegebene und dem Parlament gemäß § 119A des Data Protection Act 2018 am 28. Januar 2022 vorgelegte Muster-Addendum B.1.0, in der Fassung, die gemäß Abschnitt 18 dieser zwingenden Klauseln überarbeitet wurde.