{"id":994843,"date":"2026-02-09T19:04:35","date_gmt":"2026-02-09T19:04:35","guid":{"rendered":"https:\/\/onyxcentersource.com\/eu-standardvertragsklauseln\/"},"modified":"2026-02-11T17:29:34","modified_gmt":"2026-02-11T17:29:34","slug":"eu-standardvertragsklauseln","status":"publish","type":"page","link":"https:\/\/onyxcentersource.com\/de\/eu-standardvertragsklauseln\/","title":{"rendered":"EU-Standardvertragsklauseln"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\tSTANDARDVERTRAGSKLAUSELN<\/span>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

STANDARDVERTRAGSKLAUSELN<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

ABSCHNITT I<\/p>\n\n

Klausel 1<\/p>\n\n

Zweck und Anwendungsbereich<\/p>\n\n

    \n
  1. Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95\/46\/EG (Datenschutz-Grundverordnung)1<\/sup> f\u00fcr die \u00dcbermittlung personenbezogener Daten an ein Drittland zu gew\u00e4hrleisten.<\/li>\n\n
  2. Die Parteien:\n
      \n
    1. die nat\u00fcrliche(n) oder juristische(n) Person(en), Beh\u00f6rde(n), Einrichtung(en) oder andere Stelle(n) (im Folgenden \u201eEinheit(en)\u201c), die die personenbezogenen Daten \u00fcbermitteln, wie in Anhang I.A aufgef\u00fchrt (im Folgenden jeweils \u201eDatenexporteur\u201c), und<\/li>\n
    2. die Einheit(en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur direkt oder indirekt \u00fcber eine andere Einheit, die ebenfalls Partei dieser Klauseln ist, empfangen, wie in Anhang I.A aufgef\u00fchrt (im Folgenden jeweils \u201eDatenimporteur\u201c),<\/li>\n<\/ol>\nhaben diese Standardvertragsklauseln (im Folgenden: \u201eKlauseln\u201c) vereinbart.<\/li>\n\n
    3. Diese Klauseln gelten f\u00fcr die \u00dcbermittlung personenbezogener Daten gem\u00e4\u00df den Angaben in Anhang I.B.<\/li>\n\n
    4. Der Anhang zu diesen Klauseln, der die darin genannten Anh\u00e4nge enth\u00e4lt, ist integraler Bestandteil dieser Klauseln.<\/li>\n<\/ol>\n\n

      Klausel 2<\/p>\n\n

      Wirkung und Unver\u00e4nderlichkeit der Klauseln<\/p>\n\n

        \n
      1. Diese Klauseln legen geeignete Garantien, einschlie\u00dflich durchsetzbarer Rechte der betroffenen Personen und wirksamer Rechtsbehelfe, gem\u00e4\u00df Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016\/679 fest sowie, in Bezug auf Daten\u00fcbermittlungen von Verantwortlichen an Auftragsverarbeiter und\/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gem\u00e4\u00df Artikel 28 Absatz 7 der Verordnung (EU) 2016\/679, sofern sie nicht ge\u00e4ndert werden, au\u00dfer um die entsprechenden Module auszuw\u00e4hlen oder Informationen im Anhang hinzuzuf\u00fcgen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen weiter gefassten Vertrag aufzunehmen und\/oder andere Klauseln oder zus\u00e4tzliche Garantien hinzuzuf\u00fcgen, sofern diese weder direkt noch indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeintr\u00e4chtigen. <\/li>\n\n
      2. Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gem\u00e4\u00df der Verordnung (EU) 2016\/679 unterliegt.<\/li>\n<\/ol>\n\n

        1<\/sup> Wenn der Datenexporteur ein Auftragsverarbeiter ist, der der Verordnung (EU) 2016\/679 unterliegt und im Auftrag eines Organs oder einer Einrichtung der Union als Verantwortlicher handelt, gew\u00e4hrleistet die Heranziehung dieser Klauseln bei der Beauftragung eines weiteren Auftragsverarbeiters (Unterauftragsverarbeitung), der nicht der Verordnung (EU) 2016\/679 unterliegt, auch die Einhaltung von Artikel 29 Absatz 4 der Verordnung (EU) 2018\/1725 des Europ\u00e4ischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45\/2001 und des Beschlusses Nr. 1247\/2002\/EG (ABl. L 295 vom 21.11.2018, S. 39), soweit diese Klauseln und die Datenschutzpflichten gem\u00e4\u00df dem Vertrag oder einem anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gem\u00e4\u00df Artikel 29 Absatz 3 der Verordnung (EU) 2018\/1725 aufeinander abgestimmt sind. Dies ist insbesondere dann der Fall, wenn sich der Verantwortliche und der Auftragsverarbeiter auf die im Beschluss [\u2026] enthaltenen Standardvertragsklauseln st\u00fctzen. <\/p>\n\n

        Klausel 3<\/p>\n\n

        Drittbeg\u00fcnstigte<\/p>\n\n

          \n
        1. Betroffene Personen k\u00f6nnen diese Klauseln als Drittbeg\u00fcnstigte gegen\u00fcber dem Datenexporteur und\/oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:\n
            \n
          1. Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;<\/li>\n
          2. Modul Zwei: Klausel 8.1(b), 8.9(a), (c), (d) und (e);<\/li>\n
          3. Klausel 9 \u2013 Modul Zwei: Klausel 9(a), (c), (d) und (e); <\/li>\n
          4. Modul Zwei: Klausel 12(a), (d) und (f);<\/li>\n
          5. Klausel 13;<\/li>\n
          6. Klausel 15.1(c), (d) und (e);<\/li>\n
          7. Klausel 16(e);<\/li>\n
          8. Klausel 18 \u2013 Modul Zwei: Klausel 18(a) und (b).<\/li>\n<\/ol>\n<\/li>\n\n
          9. Buchstabe a gilt unbeschadet der Rechte betroffener Personen gem\u00e4\u00df der Verordnung (EU) 2016\/679.<\/li>\n<\/ol>\n\n

            Klausel 4<\/p>\n\n

            Auslegung<\/p>\n\n

              \n
            1. Soweit in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016\/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in jener Verordnung.<\/li>\n\n
            2. Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016\/679 zu lesen und auszulegen.<\/li>\n\n
            3. Diese Klauseln d\u00fcrfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den in der Verordnung (EU) 2016\/679 vorgesehenen Rechten und Pflichten steht.<\/li>\n<\/ol>\n\n

              Klausel 5<\/p>\n\n

              Rangfolge<\/p>\n\n

              Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenh\u00e4ngender Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach geschlossen werden, haben diese Klauseln Vorrang.<\/p>\n\n

              Klausel 6<\/p>\n\n

              Beschreibung der \u00dcbermittlung(en)<\/p>\n\n

              Die Einzelheiten der \u00dcbermittlung(en), insbesondere die Kategorien personenbezogener Daten, die \u00fcbermittelt werden, und der Zweck\/die Zwecke, f\u00fcr den\/die sie \u00fcbermittelt werden, sind in Anhang I.B aufgef\u00fchrt.<\/p>\n\n

              Klausel 7 \u2013 Optional<\/p>\n\n

              Koppelungsklausel<\/p>\n\n

                \n
              1. Eine Einheit, die nicht Partei dieser Klauseln ist, kann mit Zustimmung der Parteien diesen Klauseln jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie den Anhang vervollst\u00e4ndigt und Anhang I.A unterzeichnet.<\/li>\n\n
              2. Sobald sie den Anhang vervollst\u00e4ndigt und Anhang I.A unterzeichnet hat, wird die beitretende Einheit Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder Datenimporteurs gem\u00e4\u00df ihrer Bezeichnung in Anhang I.A.<\/li>\n\n
              3. Die beitretende Einheit hat keine Rechte oder Pflichten aus diesen Klauseln f\u00fcr den Zeitraum vor ihrem Beitritt.<\/li>\n<\/ol>\n\n

                ABSCHNITT II \u2013 PFLICHTEN DER PARTEIEN<\/p>\n\n

                Klausel 8<\/p>\n\n

                Datenschutzgarantien<\/p>\n\n

                Der Datenexporteur sichert zu, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur in der Lage ist, durch die Implementierung geeigneter technischer und organisatorischer Ma\u00dfnahmen seine Verpflichtungen aus diesen Klauseln zu erf\u00fcllen.<\/p>\n\n

                MODUL ZWEI: \u00dcbermittlung Verantwortlicher an Auftragsverarbeiter<\/strong><\/p>\n\n

                8.1 Weisungen<\/strong><\/p>\n\n

                  \n
                1. Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Weisungen w\u00e4hrend der gesamten Vertragslaufzeit erteilen. <\/li>\n\n
                2. Der Datenimporteur hat den Datenexporteur unverz\u00fcglich zu informieren, wenn er nicht in der Lage ist, diese Weisungen zu befolgen.<\/li>\n<\/ol>\n\n

                  8.2 Zweckbindung<\/strong><\/p>\n\n

                  Der Datenimporteur darf die personenbezogenen Daten nur f\u00fcr den\/die spezifischen Zweck(e) der \u00dcbermittlung gem\u00e4\u00df Anhang I.B verarbeiten, es sei denn, es liegen weitere Weisungen des Datenexporteurs vor.<\/p>\n\n

                  8.3 Transparenz<\/strong><\/p>\n\n

                  Auf Anfrage stellt der Datenexporteur der betroffenen Person unentgeltlich eine Kopie dieser Klauseln einschlie\u00dflich des von den Parteien ausgef\u00fcllten Anhangs zur Verf\u00fcgung. Soweit dies zum Schutz von Gesch\u00e4ftsgeheimnissen oder anderen vertraulichen Informationen, einschlie\u00dflich der in Anhang II beschriebenen Ma\u00dfnahmen und personenbezogener Daten, erforderlich ist, kann der Datenexporteur Teile des Textes des Anhangs zu diesen Klauseln vor der Weitergabe einer Kopie schw\u00e4rzen, muss jedoch eine aussagekr\u00e4ftige Zusammenfassung bereitstellen, wenn die betroffene Person andernfalls nicht in der Lage w\u00e4re, den Inhalt zu verstehen oder ihre Rechte auszu\u00fcben. Auf Anfrage teilen die Parteien der betroffenen Person die Gr\u00fcnde f\u00fcr die Schw\u00e4rzungen mit, soweit dies m\u00f6glich ist, ohne die geschw\u00e4rzten Informationen preiszugeben. Diese Klausel gilt unbeschadet der Verpflichtungen des Datenexporteurs gem\u00e4\u00df den Artikeln 13 und 14 der Verordnung (EU) 2016\/679. <\/p>\n\n

                  8.4 Richtigkeit<\/strong><\/p>\n\n

                  Wird dem Datenimporteur bekannt, dass die von ihm empfangenen personenbezogenen Daten unrichtig oder veraltet sind, informiert er den Datenexporteur unverz\u00fcglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu l\u00f6schen oder zu berichtigen. <\/p>\n\n

                  8.5 Dauer der Verarbeitung und L\u00f6schung oder R\u00fcckgabe von Daten<\/strong><\/p>\n\n

                  Die Verarbeitung durch den Datenimporteur erfolgt nur f\u00fcr die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsleistungen l\u00f6scht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und best\u00e4tigt dem Datenexporteur, dass dies geschehen ist, oder gibt alle in seinem Auftrag verarbeiteten personenbezogenen Daten an den Datenexporteur zur\u00fcck und l\u00f6scht bestehende Kopien. Bis zur L\u00f6schung oder R\u00fcckgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Im Falle lokaler Gesetze, die f\u00fcr den Datenimporteur gelten und die R\u00fcckgabe oder L\u00f6schung der personenbezogenen Daten verbieten, sichert der Datenimporteur zu, dass er weiterhin die Einhaltung dieser Klauseln gew\u00e4hrleisten wird und die Daten nur insoweit und so lange verarbeiten wird, wie dies nach diesem lokalen Recht erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Anforderung an den Datenimporteur gem\u00e4\u00df Klausel 14 Buchstabe e, den Datenexporteur w\u00e4hrend der gesamten Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gem\u00e4\u00df Klausel 14 Buchstabe a im Einklang stehen. <\/p>\n\n

                  8.6 Sicherheit der Verarbeitung<\/strong><\/p>\n\n

                    \n
                  1. Der Datenimporteur und w\u00e4hrend der \u00dcbermittlung auch der Datenexporteur implementieren geeignete technische und organisatorische Ma\u00dfnahmen, um die Sicherheit der Daten zu gew\u00e4hrleisten, einschlie\u00dflich des Schutzes vor einer Verletzung der Sicherheit, die zur versehentlichen oder unrechtm\u00e4\u00dfigen Zerst\u00f6rung, zum Verlust, zur Ver\u00e4nderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu diesen Daten f\u00fchrt (im Folgenden \u201eVerletzung des Schutzes personenbezogener Daten\u201c). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, dem Kontext und dem Zweck\/den Zwecken der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken f\u00fcr die betroffenen Personen geb\u00fchrend Rechnung. Die Parteien ziehen insbesondere die Nutzung von Verschl\u00fcsselung oder Pseudonymisierung in Betracht, auch w\u00e4hrend der \u00dcbermittlung, sofern der Zweck der Verarbeitung auf diese Weise erf\u00fcllt werden kann. Im Falle einer Pseudonymisierung verbleiben die Zusatzinformationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach M\u00f6glichkeit unter der ausschlie\u00dflichen Kontrolle des Datenexporteurs. Bei der Erf\u00fcllung seiner Verpflichtungen gem\u00e4\u00df diesem Absatz implementiert der Datenimporteur mindestens die in Anhang II genannten technischen und organisatorischen Ma\u00dfnahmen. Der Datenimporteur f\u00fchrt regelm\u00e4\u00dfige \u00dcberpr\u00fcfungen durch, um sicherzustellen, dass diese Ma\u00dfnahmen weiterhin ein angemessenes Sicherheitsniveau bieten. <\/li>\n\n
                  2. Der Datenimporteur gew\u00e4hrt den Zugang zu den personenbezogenen Daten seinen Mitarbeitern nur in dem Umfang, der f\u00fcr die Durchf\u00fchrung, Verwaltung und \u00dcberwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. <\/li>\n\n
                  3. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gem\u00e4\u00df diesen Klauseln verarbeitete Daten betrifft, ergreift der Datenimporteur geeignete Ma\u00dfnahmen zur Behebung der Verletzung, einschlie\u00dflich Ma\u00dfnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Der Datenimporteur benachrichtigt den Datenexporteur au\u00dferdem unverz\u00fcglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Benachrichtigung muss die Einzelheiten einer Kontaktstelle enthalten, bei der weitere Informationen eingeholt werden k\u00f6nnen, eine Beschreibung der Art der Verletzung (einschlie\u00dflich, soweit m\u00f6glich, der Kategorien und der ungef\u00e4hren Anzahl der betroffenen Personen und der betroffenen Datens\u00e4tze), ihre wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Ma\u00dfnahmen zur Behebung der Verletzung, einschlie\u00dflich gegebenenfalls Ma\u00dfnahmen zur Abmilderung ihrer m\u00f6glichen nachteiligen Auswirkungen. Sofern und soweit es nicht m\u00f6glich ist, alle Informationen gleichzeitig bereitzustellen, enth\u00e4lt die erste Benachrichtigung die zu diesem Zeitpunkt verf\u00fcgbaren Informationen, und weitere Informationen werden anschlie\u00dfend unverz\u00fcglich bereitgestellt, sobald sie verf\u00fcgbar sind. <\/li>\n\n
                  4. Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterst\u00fctzt diesen, um dem Datenexporteur die Einhaltung seiner Verpflichtungen gem\u00e4\u00df der Verordnung (EU) 2016\/679 zu erm\u00f6glichen, insbesondere die Benachrichtigung der zust\u00e4ndigen Aufsichtsbeh\u00f6rde und der betroffenen Personen, unter Ber\u00fccksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verf\u00fcgung stehenden Informationen.<\/li>\n<\/ol>\n\n

                    8.7 Sensible Daten<\/strong><\/p>\n\n

                    Sofern die \u00dcbermittlung personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religi\u00f6se oder weltanschauliche \u00dcberzeugungen oder die Gewerkschaftszugeh\u00f6rigkeit hervorgehen, sowie genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer nat\u00fcrlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person oder Daten \u00fcber strafrechtliche Verurteilungen und Straftaten (im Folgenden \u201esensible Daten\u201c), wendet der Datenimporteur die in Anhang I.B beschriebenen spezifischen Beschr\u00e4nkungen und\/oder zus\u00e4tzlichen Garantien an.<\/p>\n\n

                    8.8 Weiter\u00fcbermittlungen<\/strong><\/p>\n\n

                    Der Datenimporteur darf die personenbezogenen Daten an einen Dritten nur auf dokumentierte Weisung des Datenexporteurs offenlegen. Dar\u00fcber hinaus d\u00fcrfen die Daten an einen Dritten au\u00dferhalb der Europ\u00e4ischen Union2<\/sup> (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden \u201eWeiter\u00fcbermittlung\u201c) nur dann offengelegt werden, wenn der Dritte an diese Klauseln unter dem entsprechenden Modul gebunden ist oder sich damit einverstanden erkl\u00e4rt, daran gebunden zu sein, oder wenn: <\/p>\n\n

                      \n
                    1. die Weiter\u00fcbermittlung in ein Land erfolgt, das von einem Angemessenheitsbeschluss gem\u00e4\u00df Artikel 45 der Verordnung (EU) 2016\/679 profitiert, der die Weiter\u00fcbermittlung abdeckt;<\/li>\n\n
                    2. der Dritte anderweitig geeignete Garantien gem\u00e4\u00df den Artikeln 46 oder 47 der Verordnung (EU) 2016\/679 in Bezug auf die betreffende Verarbeitung gew\u00e4hrleistet;<\/li>\n\n
                    3. die Weiter\u00fcbermittlung zur Geltendmachung, Aus\u00fcbung oder Verteidigung von Rechtsanspr\u00fcchen im Rahmen spezifischer Verwaltungs-, Aufsichts- oder Gerichtsverfahren erforderlich ist; oder<\/li>\n\n
                    4. die Weiter\u00fcbermittlung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen nat\u00fcrlichen Person zu sch\u00fctzen.<\/li>\n<\/ol>\n\n

                      Jede Weiter\u00fcbermittlung setzt voraus, dass der Datenimporteur alle anderen Garantien gem\u00e4\u00df diesen Klauseln einh\u00e4lt, insbesondere die Zweckbindung.<\/p>\n\n

                      2<\/sup> Das Abkommen \u00fcber den Europ\u00e4ischen Wirtschaftsraum (EWR-Abkommen) sieht die Ausweitung des Binnenmarktes der Europ\u00e4ischen Union auf die drei EWR-Staaten Island, Liechtenstein und Norwegen vor. Die Datenschutzgesetzgebung der Union, einschlie\u00dflich der Verordnung (EU) 2016\/679, ist vom EWR-Abkommen abgedeckt und wurde in dessen Anhang XI aufgenommen. Daher gilt eine Offenlegung durch den Datenimporteur gegen\u00fcber einem im EWR ans\u00e4ssigen Dritten nicht als Weiter\u00fcbermittlung im Sinne dieser Klauseln. <\/p>\n\n

                      8.9 Dokumentation und Compliance<\/strong><\/p>\n\n

                        \n
                      1. Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gem\u00e4\u00df diesen Klauseln beziehen, umgehend und angemessen.<\/li>\n\n
                      2. Die Parteien m\u00fcssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere f\u00fchrt der Datenimporteur eine angemessene Dokumentation \u00fcber die im Auftrag des Datenexporteurs durchgef\u00fchrten Verarbeitungst\u00e4tigkeiten. <\/li>\n\n
                      3. Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verf\u00fcgung, die zum Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und erm\u00f6glicht auf Anfrage des Datenexporteurs Audits der von diesen Klauseln abgedeckten Verarbeitungst\u00e4tigkeiten in angemessenen Abst\u00e4nden oder bei Anhaltspunkten f\u00fcr eine Nichteinhaltung und tr\u00e4gt zu diesen bei. Bei der Entscheidung \u00fcber eine \u00dcberpr\u00fcfung oder ein Audit kann der Datenexporteur relevante Zertifizierungen des Datenimporteurs ber\u00fccksichtigen. <\/li>\n\n
                      4. Der Datenexporteur kann das Audit selbst durchf\u00fchren oder einen unabh\u00e4ngigen Auditor beauftragen. Audits k\u00f6nnen Inspektionen in den R\u00e4umlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorank\u00fcndigung durchgef\u00fchrt. <\/li>\n\n
                      5. Die Parteien stellen der zust\u00e4ndigen Aufsichtsbeh\u00f6rde die in den Buchstaben b und c genannten Informationen, einschlie\u00dflich der Ergebnisse etwaiger Audits, auf Anfrage zur Verf\u00fcgung. <\/li>\n<\/ol>\n\n

                        Klausel 9<\/p>\n\n

                        Inanspruchnahme von Unterauftragsverarbeitern<\/p>\n\n

                        MODUL ZWEI: \u00dcbermittlung Verantwortlicher an Auftragsverarbeiter<\/strong><\/p>\n\n

                          \n
                        1. Der Datenimporteur verf\u00fcgt \u00fcber die allgemeine Genehmigung des Datenexporteurs zur Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur mindestens 10 Werktage im Voraus ausdr\u00fccklich schriftlich \u00fcber alle beabsichtigten \u00c4nderungen an dieser Liste durch Hinzuf\u00fcgung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Datenexporteur damit ausreichend Zeit, um vor der Beauftragung des\/der Unterauftragsverarbeiter(s) gegen solche \u00c4nderungen Einspruch erheben zu k\u00f6nnen. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verf\u00fcgung, die erforderlich sind, damit der Datenexporteur sein Einspruchsrecht aus\u00fcben kann. <\/li>\n\n
                        2. Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchf\u00fchrung spezifischer Verarbeitungst\u00e4tigkeiten (im Auftrag des Datenexporteurs), so erfolgt dies durch einen schriftlichen Vertrag, der im Wesentlichen die gleichen Datenschutzpflichten vorsieht wie diejenigen, die f\u00fcr den Datenimporteur gem\u00e4\u00df diesen Klauseln bindend sind, einschlie\u00dflich in Bezug auf Drittbeg\u00fcnstigtenrechte f\u00fcr betroffene Personen.3<\/sup> Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen gem\u00e4\u00df Klausel 8.8 erf\u00fcllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einh\u00e4lt, denen der Datenimporteur gem\u00e4\u00df diesen Klauseln unterliegt. <\/li>\n\n
                        3. Der Datenimporteur stellt dem Datenexporteur auf dessen Anfrage eine Kopie einer solchen Unterauftragsverarbeiter-Vereinbarung und etwaiger sp\u00e4terer \u00c4nderungen zur Verf\u00fcgung. Soweit dies zum Schutz von Gesch\u00e4ftsgeheimnissen oder anderen vertraulichen Informationen, einschlie\u00dflich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schw\u00e4rzen. <\/li>\n\n
                        4. Der Datenimporteur bleibt gegen\u00fcber dem Datenexporteur voll verantwortlich f\u00fcr die Erf\u00fcllung der Pflichten des Unterauftragsverarbeiters aus dessen Vertrag mit dem Datenimporteur. Der Datenimporteur benachrichtigt den Datenexporteur \u00fcber jede Nichterf\u00fcllung der Pflichten des Unterauftragsverarbeiters aus diesem Vertrag. <\/li>\n\n
                        5. Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbeg\u00fcnstigtenklausel, wonach der Datenexporteur \u2013 f\u00fcr den Fall, dass der Datenimporteur faktisch verschwunden ist, rechtlich aufgeh\u00f6rt hat zu existieren oder insolvent geworden ist \u2013 das Recht hat, den Unterauftragsverarbeiter-Vertrag zu k\u00fcndigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu l\u00f6schen oder zur\u00fcckzugeben.<\/li>\n<\/ol>\n\n

                          3<\/sup> Diese Anforderung kann dadurch erf\u00fcllt werden, dass der Unterauftragsverarbeiter diesen Klauseln unter dem entsprechenden Modul gem\u00e4\u00df Klausel 7 beitritt.<\/p>\n\n

                          Klausel 10<\/p>\n\n

                          Rechte der betroffenen Person<\/p>\n\n

                          MODUL ZWEI: \u00dcbermittlung Verantwortlicher an Auftragsverarbeiter<\/strong><\/p>\n\n

                            \n
                          1. Der Datenimporteur benachrichtigt den Datenexporteur unverz\u00fcglich \u00fcber jede Anfrage, die er von einer betroffenen Person erhalten hat. Er beantwortet diese Anfrage nicht selbst, es sei denn, er wurde vom Datenexporteur dazu erm\u00e4chtigt. <\/li>\n\n
                          2. Der Datenimporteur unterst\u00fctzt den Datenexporteur bei der Erf\u00fcllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen zur Aus\u00fcbung ihrer Rechte gem\u00e4\u00df der Verordnung (EU) 2016\/679. In diesem Zusammenhang legen die Parteien in Anhang II die geeigneten technischen und organisatorischen Ma\u00dfnahmen fest, unter Ber\u00fccksichtigung der Art der Verarbeitung, durch die die Unterst\u00fctzung geleistet wird, sowie den Umfang und das Ausma\u00df der erforderlichen Unterst\u00fctzung. <\/li>\n\n
                          3. Bei der Erf\u00fcllung seiner Verpflichtungen gem\u00e4\u00df den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs. <\/li>\n<\/ol>\n\n

                            Klausel 11<\/p>\n\n

                            Rechtsbehelfe<\/p>\n\n

                              \n
                            1. Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zug\u00e4nglichen Format durch individuelle Mitteilung oder auf seiner Website \u00fcber eine zur Bearbeitung von Beschwerden befugte Kontaktstelle. Er bearbeitet alle Beschwerden, die er von einer betroffenen Person erh\u00e4lt, umgehend. <\/li>\n<\/ol>\n\n

                              MODUL ZWEI: \u00dcbermittlung Verantwortlicher an Auftragsverarbeiter<\/strong><\/p>\n\n

                                \n
                              1. Im Falle eines Streits zwischen einer betroffenen Person und einer der Parteien hinsichtlich der Einhaltung dieser Klauseln bem\u00fcht sich diese Partei nach besten Kr\u00e4ften, die Angelegenheit zeitnah g\u00fctlich beizulegen. Die Parteien halten sich gegenseitig \u00fcber solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen. <\/li>\n\n
                              2. Macht die betroffene Person ein Drittbeg\u00fcnstigtenrecht gem\u00e4\u00df Klausel 3 geltend, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person:\n
                                  \n
                                1. eine Beschwerde bei der Aufsichtsbeh\u00f6rde des Mitgliedstaats ihres gew\u00f6hnlichen Aufenthaltsorts oder ihres Arbeitsplatzes oder bei der zust\u00e4ndigen Aufsichtsbeh\u00f6rde gem\u00e4\u00df Klausel 13 einzureichen;<\/li>\n
                                2. den Streit vor die zust\u00e4ndigen Gerichte im Sinne der Klausel 18 zu bringen.<\/li>\n<\/ol>\n<\/li>\n\n
                                3. Die Parteien akzeptieren, dass die betroffene Person durch eine gemeinn\u00fctzige Einrichtung, Organisation oder Vereinigung unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016\/679 festgelegten Bedingungen vertreten werden kann.<\/li>\n\n
                                4. Der Datenimporteur h\u00e4lt sich an eine Entscheidung, die nach dem geltenden Recht der EU oder eines Mitgliedstaats bindend ist.<\/li>\n\n
                                5. Der Datenimporteur erkl\u00e4rt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiellen und verfahrensrechtlichen Rechte auf Rechtsbehelfe gem\u00e4\u00df den geltenden Gesetzen nicht beeintr\u00e4chtigt.<\/li>\n<\/ol>\n\n

                                  Klausel 12<\/p>\n\n

                                  Haftung<\/p>\n\n

                                  MODUL ZWEI: \u00dcbermittlung Verantwortlicher an Auftragsverarbeiter<\/strong><\/p>\n\n

                                    \n
                                  1. Jede Partei haftet gegen\u00fcber der\/den anderen Partei(en) f\u00fcr alle Sch\u00e4den, die sie der\/den anderen Partei(en) durch eine Verletzung dieser Klauseln verursacht.<\/li>\n\n
                                  2. Der Datenimporteur haftet gegen\u00fcber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz f\u00fcr alle materiellen oder immateriellen Sch\u00e4den, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Drittbeg\u00fcnstigtenrechte gem\u00e4\u00df diesen Klauseln verursacht.<\/li>\n\n
                                  3. Ungeachtet des Buchstabens b haftet der Datenexporteur gegen\u00fcber der betroffenen Person, und die betroffene Person hat Anspruch auf Schadenersatz f\u00fcr alle materiellen oder immateriellen Sch\u00e4den, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Drittbeg\u00fcnstigtenrechte gem\u00e4\u00df diesen Klauseln verursacht. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, der Haftung des Verantwortlichen gem\u00e4\u00df der Verordnung (EU) 2016\/679 oder der Verordnung (EU) 2018\/1725, je nach Einzelfall. <\/li>\n\n
                                  4. Die Parteien vereinbaren, dass der Datenexporteur, wenn er gem\u00e4\u00df Buchstabe c f\u00fcr Sch\u00e4den haftbar gemacht wird, die vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursacht wurden, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zur\u00fcckzufordern, der der Verantwortung des Datenimporteurs f\u00fcr den Schaden entspricht.<\/li>\n\n
                                  5. Sind mehrere Parteien f\u00fcr einen Schaden verantwortlich, der der betroffenen Person infolge einer Verletzung dieser Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, gegen jede dieser Parteien gerichtlich vorzugehen.<\/li>\n\n
                                  6. Die Parteien vereinbaren, dass eine Partei, wenn sie gem\u00e4\u00df Buchstabe e haftbar gemacht wird, berechtigt ist, von der\/den anderen Partei(en) den Teil des Schadenersatzes zur\u00fcckzufordern, der ihrer Verantwortung f\u00fcr den Schaden entspricht.<\/li>\n\n
                                  7. Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um sich seiner eigenen Haftung zu entziehen.<\/li>\n<\/ol>\n\n

                                    Klausel 13<\/p>\n\n

                                    Aufsicht<\/p>\n\n

                                    MODUL ZWEI: \u00dcbermittlung Verantwortlicher an Auftragsverarbeiter<\/strong><\/p>\n\n

                                      \n
                                    1. Wenn der Datenexporteur in einem EU-Mitgliedstaat niedergelassen ist:<\/strong> Als zust\u00e4ndige Aufsichtsbeh\u00f6rde fungiert die Aufsichtsbeh\u00f6rde, die f\u00fcr die Gew\u00e4hrleistung der Einhaltung der Verordnung (EU) 2016\/679 durch den Datenexporteur in Bezug auf die Daten\u00fcbermittlung zust\u00e4ndig ist, wie in Anhang I.C angegeben.\n\n

                                      Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gem\u00e4\u00df Artikel 3 Absatz 2 der Verordnung (EU) 2016\/679 in deren territorialen Anwendungsbereich f\u00e4llt und einen Vertreter gem\u00e4\u00df Artikel 27 Absatz 1 der Verordnung (EU) 2016\/679 benannt hat:<\/strong> Als zust\u00e4ndige Aufsichtsbeh\u00f6rde fungiert die Aufsichtsbeh\u00f6rde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016\/679 niedergelassen ist, wie in Anhang I.C angegeben.<\/p>\n\n

                                      Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen ist, aber gem\u00e4\u00df Artikel 3 Absatz 2 der Verordnung (EU) 2016\/679 in deren territorialen Anwendungsbereich f\u00e4llt, ohne jedoch einen Vertreter gem\u00e4\u00df Artikel 27 Absatz 2 der Verordnung (EU) 2016\/679 benennen zu m\u00fcssen:<\/strong> Als zust\u00e4ndige Aufsichtsbeh\u00f6rde fungiert die Aufsichtsbeh\u00f6rde eines der Mitgliedstaaten, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie gem\u00e4\u00df diesen Klauseln \u00fcbermittelt werden oder deren Verhalten beobachtet wird, wie in Anhang I.C angegeben.<\/p>\n<\/li>\n\n

                                    2. Der Datenimporteur erkl\u00e4rt sich damit einverstanden, sich der Gerichtsbarkeit der zust\u00e4ndigen Aufsichtsbeh\u00f6rde zu unterwerfen und mit dieser in allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere erkl\u00e4rt sich der Datenimporteur bereit, auf Anfragen zu antworten, sich Audits zu unterziehen und die von der Aufsichtsbeh\u00f6rde beschlossenen Ma\u00dfnahmen, einschlie\u00dflich Abhilfe- und Entsch\u00e4digungsma\u00dfnahmen, einzuhalten. Er stellt der Aufsichtsbeh\u00f6rde eine schriftliche Best\u00e4tigung zur Verf\u00fcgung, dass die erforderlichen Ma\u00dfnahmen ergriffen wurden. <\/li>\n<\/ol>\n\n

                                      ABSCHNITT III \u2013 LOKALE GESETZE UND PFLICHTEN BEI ZUGRIFF DURCH BEH\u00d6RDEN<\/p>\n\n

                                      Klausel 14<\/p>\n\n

                                      Lokale Gesetze und Praktiken, die die Einhaltung der Klauseln beeintr\u00e4chtigen<\/p>\n\n

                                      MODUL ZWEI: \u00dcbermittlung Verantwortlicher an Auftragsverarbeiter<\/strong><\/p>\n\n

                                        \n
                                      1. Die Parteien sichern zu, dass sie keinen Grund zu der Annahme haben, dass die im Drittland des Bestimmungsortes f\u00fcr die Verarbeitung der personenbezogenen Daten durch den Datenimporteur geltenden Gesetze und Praktiken, einschlie\u00dflich etwaiger Anforderungen zur Offenlegung personenbezogener Daten oder Ma\u00dfnahmen zur Genehmigung des Zugriffs durch Beh\u00f6rden, den Datenimporteur daran hindern, seine Verpflichtungen aus diesen Klauseln zu erf\u00fcllen. Dies basiert auf dem Verst\u00e4ndnis, dass Gesetze und Praktiken, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht \u00fcber das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verh\u00e4ltnism\u00e4\u00dfig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016\/679 aufgef\u00fchrten Ziele zu wahren, nicht im Widerspruch zu diesen Klauseln stehen. <\/li>\n\n
                                      2. Die Parteien erkl\u00e4ren, dass sie bei der Abgabe der Zusicherung in Buchstabe a insbesondere die folgenden Elemente geb\u00fchrend ber\u00fccksichtigt haben:\n
                                          \n
                                        1. die spezifischen Umst\u00e4nde der \u00dcbermittlung, einschlie\u00dflich der L\u00e4nge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten \u00dcbertragungswege; beabsichtigte Weiter\u00fcbermittlungen; die Art des Empf\u00e4ngers; den Zweck der Verarbeitung; die Kategorien und das Format der \u00fcbermittelten personenbezogenen Daten; den Wirtschaftssektor, in dem die \u00dcbermittlung erfolgt; den Speicherort der \u00fcbermittelten Daten;<\/li>\n
                                        2. die Gesetze und Praktiken des Drittlandes des Bestimmungsortes \u2013 einschlie\u00dflich derjenigen, die die Offenlegung von Daten gegen\u00fcber Beh\u00f6rden vorschreiben oder den Zugriff durch solche Beh\u00f6rden genehmigen \u2013, die angesichts der spezifischen Umst\u00e4nde der \u00dcbermittlung relevant sind, sowie die geltenden Beschr\u00e4nkungen und Garantien4<\/sup>;<\/li>\n
                                        3. alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Erg\u00e4nzung der Garantien gem\u00e4\u00df diesen Klauseln eingerichtet wurden, einschlie\u00dflich der w\u00e4hrend der \u00dcbermittlung und bei der Verarbeitung der personenbezogenen Daten im Bestimmungsland angewandten Ma\u00dfnahmen.<\/li>\n<\/ol>\n<\/li>\n\n
                                        4. Der Datenimporteur sichert zu, dass er bei der Durchf\u00fchrung der Bewertung gem\u00e4\u00df Buchstabe b sein Bestes getan hat, um dem Datenexporteur relevante Informationen zur Verf\u00fcgung zu stellen, und erkl\u00e4rt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.<\/li>\n\n
                                        5. Die Parteien vereinbaren, die Bewertung gem\u00e4\u00df Buchstabe b zu dokumentieren und der zust\u00e4ndigen Aufsichtsbeh\u00f6rde auf Anfrage zur Verf\u00fcgung zu stellen.<\/li>\n\n
                                        6. Der Datenimporteur erkl\u00e4rt sich bereit, den Datenexporteur unverz\u00fcglich zu benachrichtigen, wenn er nach der Vereinbarung dieser Klauseln und f\u00fcr die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen gem\u00e4\u00df Buchstabe a im Einklang stehen, einschlie\u00dflich infolge einer \u00c4nderung der Gesetze des Drittlandes oder einer Ma\u00dfnahme (wie einem Auskunftsersuchen), die auf eine Anwendung solcher Gesetze in der Praxis hindeutet, die nicht mit den Anforderungen in Buchstabe a im Einklang steht.<\/li>\n\n
                                        7. Nach einer Benachrichtigung gem\u00e4\u00df Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seine Verpflichtungen aus diesen Klauseln nicht mehr erf\u00fcllen kann, legt der Datenexporteur unverz\u00fcglich geeignete Ma\u00dfnahmen fest (z. B. technische oder organisatorische Ma\u00dfnahmen zur Gew\u00e4hrleistung von Sicherheit und Vertraulichkeit), die vom Datenexporteur und\/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Daten\u00fcbermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien f\u00fcr eine solche \u00dcbermittlung gew\u00e4hrleistet werden k\u00f6nnen, oder wenn er von der zust\u00e4ndigen Aufsichtsbeh\u00f6rde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu k\u00fcndigen, soweit er die Verarbeitung personenbezogener Daten gem\u00e4\u00df diesen Klauseln betrifft. Umfasst der Vertrag mehr als zwei Parteien, kann der Datenexporteur dieses K\u00fcndigungsrecht nur gegen\u00fcber der betreffenden Partei aus\u00fcben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gem\u00e4\u00df dieser Klausel gek\u00fcndigt, gelten Klausel 16 Buchstaben d und e.<\/li>\n<\/ol>\n\n

                                          4<\/sup> Was die Auswirkungen solcher Gesetze und Praktiken auf die Einhaltung dieser Klauseln betrifft, k\u00f6nnen verschiedene Elemente im Rahmen einer Gesamtbewertung ber\u00fccksichtigt werden. Solche Elemente k\u00f6nnen relevante und dokumentierte praktische Erfahrungen mit fr\u00fcheren F\u00e4llen von Auskunftsersuchen von Beh\u00f6rden oder das Fehlen solcher Ersuchen \u00fcber einen ausreichend repr\u00e4sentativen Zeitraum umfassen. Dies bezieht sich insbesondere auf interne Aufzeichnungen oder andere Dokumentationen, die kontinuierlich gem\u00e4\u00df der Sorgfaltspflicht erstellt und auf der Ebene der Gesch\u00e4ftsleitung zertifiziert wurden, sofern diese Informationen rechtm\u00e4\u00dfig an Dritte weitergegeben werden k\u00f6nnen. Wenn diese praktischen Erfahrungen herangezogen werden, um zu dem Schluss zu gelangen, dass der Datenimporteur nicht an der Einhaltung dieser Klauseln gehindert wird, m\u00fcssen sie durch andere relevante, objektive Elemente gest\u00fctzt werden, und es obliegt den Parteien, sorgf\u00e4ltig zu pr\u00fcfen, ob diese Elemente zusammen in Bezug auf ihre Zuverl\u00e4ssigkeit und Repr\u00e4sentativit\u00e4t ausreichend Gewicht haben, um diesen Schluss zu st\u00fctzen. Insbesondere m\u00fcssen die Parteien ber\u00fccksichtigen, ob ihre praktischen Erfahrungen durch \u00f6ffentlich verf\u00fcgbare oder anderweitig zug\u00e4ngliche, zuverl\u00e4ssige Informationen \u00fcber das Vorhandensein oder Fehlen von Ersuchen innerhalb desselben Sektors und\/oder die Anwendung des Gesetzes in der Praxis, wie z. B. Rechtsprechung und Berichte unabh\u00e4ngiger Aufsichtsgremien, best\u00e4tigt und nicht widerlegt werden. <\/p>\n\n

                                          Klausel 15<\/p>\n\n

                                          Pflichten des Datenimporteurs bei Zugriff durch Beh\u00f6rden<\/p>\n\n

                                          MODUL ZWEI: \u00dcbermittlung Verantwortlicher an Auftragsverarbeiter<\/strong><\/p>\n\n

                                          15.1 Benachrichtigung<\/strong><\/p>\n\n

                                            \n
                                          1. Der Datenimporteur erkl\u00e4rt sich bereit, den Datenexporteur und, sofern m\u00f6glich, die betroffene Person unverz\u00fcglich (gegebenenfalls mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn er:\n
                                              \n
                                            1. ein rechtlich bindendes Ersuchen einer Beh\u00f6rde, einschlie\u00dflich Justizbeh\u00f6rden, nach den Gesetzen des Bestimmungslandes zur Offenlegung von gem\u00e4\u00df diesen Klauseln \u00fcbermittelten personenbezogenen Daten erh\u00e4lt; eine solche Benachrichtigung muss Informationen \u00fcber die angeforderten personenbezogenen Daten, die ersuchende Beh\u00f6rde, die Rechtsgrundlage f\u00fcr das Ersuchen und die erteilte Antwort enthalten; oder<\/li>\n
                                            2. Kenntnis von einem direkten Zugriff von Beh\u00f6rden auf gem\u00e4\u00df diesen Klauseln \u00fcbermittelte personenbezogene Daten nach den Gesetzen des Bestimmungslandes erlangt; eine solche Benachrichtigung muss alle dem Importeur zur Verf\u00fcgung stehenden Informationen enthalten.<\/li>\n<\/ol>\n<\/li>\n\n
                                            3. Ist es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt, den Datenexporteur und\/oder die betroffene Person zu benachrichtigen, erkl\u00e4rt sich der Datenimporteur bereit, sein Bestes zu tun, um eine Aufhebung des Verbots zu erwirken, mit dem Ziel, so bald wie m\u00f6glich so viele Informationen wie m\u00f6glich mitzuteilen. Der Datenimporteur erkl\u00e4rt sich bereit, seine Bem\u00fchungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu k\u00f6nnen. <\/li>\n\n
                                            4. Soweit nach den Gesetzen des Bestimmungslandes zul\u00e4ssig, erkl\u00e4rt sich der Datenimporteur bereit, dem Datenexporteur w\u00e4hrend der Vertragslaufzeit in regelm\u00e4\u00dfigen Abst\u00e4nden so viele relevante Informationen wie m\u00f6glich \u00fcber die erhaltenen Ersuchen zur Verf\u00fcgung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Beh\u00f6rde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).<\/li>\n\n
                                            5. Der Datenimporteur erkl\u00e4rt sich bereit, die Informationen gem\u00e4\u00df den Buchstaben a bis c f\u00fcr die Dauer des Vertrags aufzubewahren und der zust\u00e4ndigen Aufsichtsbeh\u00f6rde auf Anfrage zur Verf\u00fcgung zu stellen.<\/li>\n\n
                                            6. Die Buchstaben a bis c gelten unbeschadet der Verpflichtung des Datenimporteurs gem\u00e4\u00df Klausel 14 Buchstabe e und Klausel 16, den Datenexporteur unverz\u00fcglich zu informieren, wenn er nicht in der Lage ist, diese Klauseln einzuhalten.<\/li>\n<\/ol>\n\n

                                              15.2 \u00dcberpr\u00fcfung der Rechtm\u00e4\u00dfigkeit und Datenminimierung<\/strong><\/p>\n\n

                                                \n
                                              1. Der Datenimporteur erkl\u00e4rt sich bereit, die Rechtm\u00e4\u00dfigkeit des Offenlegungsersuchens zu \u00fcberpr\u00fcfen, insbesondere ob es im Rahmen der der ersuchenden Beh\u00f6rde \u00fcbertragenen Befugnisse bleibt, und das Ersuchen anzufechten, wenn er nach sorgf\u00e4ltiger Pr\u00fcfung zu dem Schluss kommt, dass hinreichende Gr\u00fcnde f\u00fcr die Annahme bestehen, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den geltenden Verpflichtungen aus dem V\u00f6lkerrecht und den Grunds\u00e4tzen der internationalen H\u00f6flichkeit rechtswidrig ist. Der Datenimporteur wird unter denselben Bedingungen Rechtsmittel einlegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Ma\u00dfnahmen, um die Wirkungen des Ersuchens auszusetzen, bis die zust\u00e4ndige Justizbeh\u00f6rde \u00fcber dessen Begr\u00fcndetheit entschieden hat. Er darf die angeforderten personenbezogenen Daten erst offenlegen, wenn er nach den geltenden Verfahrensregeln dazu verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gem\u00e4\u00df Klausel 14 Buchstabe e. <\/li>\n\n
                                              2. Der Datenimporteur erkl\u00e4rt sich bereit, seine rechtliche Bewertung und jede Anfechtung des Offenlegungsersuchens zu dokumentieren und die Dokumentation, soweit nach den Gesetzen des Bestimmungslandes zul\u00e4ssig, dem Datenexporteur zur Verf\u00fcgung zu stellen. Er stellt sie auch der zust\u00e4ndigen Aufsichtsbeh\u00f6rde auf Anfrage zur Verf\u00fcgung. <\/li>\n\n
                                              3. Der Datenimporteur erkl\u00e4rt sich bereit, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer angemessenen Auslegung des Ersuchens die geringstm\u00f6gliche Menge an zul\u00e4ssigen Informationen bereitzustellen.<\/li>\n<\/ol>\n\n

                                                ABSCHNITT IV \u2013 SCHLUSSBESTIMMUNGEN<\/p>\n\n

                                                Klausel 16<\/p>\n\n

                                                Nichteinhaltung der Klauseln und K\u00fcndigung<\/p>\n\n

                                                  \n
                                                1. Der Datenimporteur informiert den Datenexporteur unverz\u00fcglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.<\/li>\n\n
                                                2. Falls der Datenimporteur gegen diese Klauseln verst\u00f6\u00dft oder nicht in der Lage ist, diese Klauseln einzuhalten, setzt der Datenexporteur die \u00dcbermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder sichergestellt ist oder der Vertrag gek\u00fcndigt wird. Dies l\u00e4sst Klausel 14(f) unber\u00fchrt. <\/li>\n\n
                                                3. Der Datenexporteur ist berechtigt, den Vertrag zu k\u00fcndigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, wenn:\n
                                                    \n
                                                  1. der Datenexporteur die \u00dcbermittlung personenbezogener Daten an den Datenimporteur gem\u00e4\u00df Absatz (b) ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist und in jedem Fall innerhalb eines Monats nach der Aussetzung wiederhergestellt wird;<\/li>\n
                                                  2. der Datenimporteur diese Klauseln in erheblichem Ma\u00dfe oder fortdauernd verletzt; oder<\/li>\n
                                                  3. der Datenimporteur einer verbindlichen Entscheidung eines zust\u00e4ndigen Gerichts oder einer Aufsichtsbeh\u00f6rde hinsichtlich seiner Pflichten aus diesen Klauseln nicht nachkommt.<\/li>\n<\/ol>\nIn diesen F\u00e4llen informiert er die zust\u00e4ndige Aufsichtsbeh\u00f6rde \u00fcber diese Nichteinhaltung. Umfasst der Vertrag mehr als zwei Parteien, kann der Datenexporteur dieses K\u00fcndigungsrecht nur in Bezug auf die betreffende Partei aus\u00fcben, sofern die Parteien nichts anderes vereinbart haben. <\/li>\n\n
                                                  4. F\u00fcr Modul Zwei:<\/strong> Personenbezogene Daten, die vor der K\u00fcndigung des Vertrags gem\u00e4\u00df Absatz (c) \u00fcbermittelt wurden, sind nach Wahl des Datenexporteurs entweder unverz\u00fcglich an den Datenexporteur zur\u00fcckzugeben oder vollst\u00e4ndig zu l\u00f6schen. Dies gilt ebenso f\u00fcr etwaige Kopien der Daten. \n\n

                                                    Der Datenimporteur best\u00e4tigt dem Datenexporteur die L\u00f6schung der Daten. Bis die Daten gel\u00f6scht oder zur\u00fcckgegeben wurden, stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Sofern f\u00fcr den Datenimporteur geltende lokale Gesetze die R\u00fcckgabe oder L\u00f6schung der \u00fcbermittelten personenbezogenen Daten untersagen, gew\u00e4hrleistet der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und nur so lange verarbeitet, wie es nach diesem lokalen Recht erforderlich ist. <\/p>\n<\/li>\n\n

                                                  5. Jede Partei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europ\u00e4ische Kommission gem\u00e4\u00df Artikel 45 Absatz 3 der Verordnung (EU) 2016\/679 einen Beschluss erl\u00e4sst, der die \u00dcbermittlung personenbezogener Daten erfasst, auf die diese Klauseln Anwendung finden; oder (ii) die Verordnung (EU) 2016\/679 Bestandteil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten \u00fcbermittelt werden. Dies l\u00e4sst andere Verpflichtungen unber\u00fchrt, die f\u00fcr die betreffende Verarbeitung nach der Verordnung (EU) 2016\/679 gelten. <\/li>\n<\/ol>\n\n

                                                    Klausel 17<\/p>\n\n

                                                    Anwendbares Recht<\/p>\n\n

                                                    MODUL ZWEI: \u00dcbermittlung vom Verantwortlichen an den Auftragsverarbeiter<\/strong><\/p>\n\n

                                                    Diese Klauseln unterliegen dem Recht eines EU-Mitgliedstaats, sofern dieses Recht Rechte zugunsten Dritter zul\u00e4sst. Die Parteien vereinbaren, dass dies das Recht Spaniens ist. <\/p>\n\n

                                                    Klausel 18<\/p>\n\n

                                                    Wahl des Gerichtsstands und der Zust\u00e4ndigkeit<\/p>\n\n

                                                    MODUL ZWEI: \u00dcbermittlung vom Verantwortlichen an den Auftragsverarbeiter<\/strong><\/p>\n\n

                                                      \n
                                                    1. Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats entschieden.<\/li>\n\n
                                                    2. Die Parteien vereinbaren, dass dies die Gerichte Spaniens sind.<\/li>\n\n
                                                    3. Eine betroffene Person kann auch ein Gerichtsverfahren gegen den Datenexporteur und\/oder den Datenimporteur vor den Gerichten des Mitgliedstaats anstrengen, in dem sie ihren gew\u00f6hnlichen Aufenthalt hat.<\/li>\n\n
                                                    4. Die Parteien vereinbaren, sich der Zust\u00e4ndigkeit solcher Gerichte zu unterwerfen.<\/li>\n<\/ol>\n\n

                                                      ANHANG<\/p>\n\n

                                                      ANLAGE I<\/p>\n\n

                                                      MODUL ZWEI: \u00dcbermittlung vom Verantwortlichen an den Auftragsverarbeiter<\/strong><\/p>\n\n

                                                      A. LISTE DER PARTEIEN<\/p>\n\n

                                                      Datenexporteur(e):<\/strong> Der Datenexporteur ist der Verantwortliche, der mit dem Datenimporteur einen Dienstleistungsvertrag abgeschlossen hat. Identit\u00e4t und Kontaktdaten des Datenexporteurs sind im Dienstleistungsvertrag angegeben, dessen verbindlicher Bestandteil diese Klauseln sind. <\/p>\n\n

                                                      Datenimporteur(e):<\/strong><\/p>\n\n

                                                      Name: PEGASUS BUSINESS INTELLIGENCE LLP
                                                      Adresse: Two Lincoln Centre
                                                      5420 LBJ Freeway, Suite 900
                                                      Dallas, TX 75240
                                                      Vereinigte Staaten<\/p>\n\n

                                                      Der Datenimporteur ist ein f\u00fchrender globaler Anbieter von B2B-Zahlungen und Business-Intelligence-L\u00f6sungen f\u00fcr die Hotellerie mit Sitz in den USA; die Kontaktdaten des Datenimporteurs sind im Dienstleistungsvertrag angegeben, dessen verbindlicher Bestandteil diese Klauseln sind.<\/p>\n\n

                                                      B. BESCHREIBUNG DER \u00dcBERMITTLUNG<\/p>\n\n

                                                      MODUL ZWEI: \u00dcbermittlung vom Verantwortlichen an den Auftragsverarbeiter<\/strong><\/p>\n\n

                                                      Kategorien betroffener Personen, deren personenbezogene Daten \u00fcbermittelt werden<\/em><\/p>\n\n

                                                      Hotelg\u00e4ste und Kontaktpersonen des Datenexporteurs.<\/p>\n\n

                                                      Kategorien der \u00fcbermittelten personenbezogenen Daten<\/em><\/p>\n\n

                                                      Name, Nachname und Buchungsdaten der Hotelg\u00e4ste.<\/p>\n\n

                                                      Kontaktdaten (E-Mail-Adresse, Telefonnummer) der Kontaktpersonen des Datenexporteurs.<\/p>\n\n

                                                      \u00dcbermittelte sensible Daten (falls zutreffend) und angewandte Beschr\u00e4nkungen oder Schutzma\u00dfnahmen, die der Art der Daten und den damit verbundenen Risiken vollumf\u00e4nglich Rechnung tragen, wie z. B. strikte Zweckbindung, Zugriffsbeschr\u00e4nkungen (einschlie\u00dflich Zugriff nur f\u00fcr Mitarbeitende mit spezieller Schulung), Protokollierung des Datenzugriffs, Beschr\u00e4nkungen f\u00fcr Weiter\u00fcbermittlungen oder zus\u00e4tzliche Sicherheitsma\u00dfnahmen.<\/em><\/p>\n\n

                                                      H\u00e4ufigkeit der \u00dcbermittlung (z. B. ob die Daten einmalig oder fortlaufend \u00fcbermittelt werden).<\/em><\/p>\n\n

                                                      Die Daten werden fortlaufend \u00fcbermittelt.<\/p>\n\n

                                                      Art der Verarbeitung sowie Zweck der Daten\u00fcbermittlung und der weiteren Verarbeitung<\/em><\/p>\n\n

                                                      Im Rahmen der T\u00e4tigkeiten, die der Auftragsverarbeiter zugunsten seiner Kunden erbringt, kann er auf bestimmte personenbezogene Daten zugreifen, da dieser Zugriff f\u00fcr die Erbringung der vertraglich vereinbarten Leistungen erforderlich ist.<\/p>\n\n

                                                      Der Umfang der Leistungen ist im zwischen dem Datenimporteur und dem Datenexporteur geschlossenen Dienstleistungsvertrag festgelegt; die personenbezogenen Daten werden vom Datenimporteur als Auftragsverarbeiter verarbeitet, um diese Leistungen zu erbringen und die Bedingungen des Dienstleistungsvertrags und dieser Klauseln einzuhalten.<\/p>\n\n

                                                      Zeitraum, f\u00fcr den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht m\u00f6glich ist, die Kriterien zur Festlegung dieses Zeitraums<\/em><\/p>\n\n

                                                      Die personenbezogenen Daten werden auf schriftliches Verlangen des Datenexporteurs nach Beendigung der Erbringung der betreffenden, mit der Verarbeitung zusammenh\u00e4ngenden Leistungen gel\u00f6scht oder zur\u00fcckgegeben oder, falls fr\u00fcher, sobald die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zur Erf\u00fcllung der Verpflichtungen der Parteien aus dem zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossenen Dienstleistungsvertrag nicht mehr erforderlich ist, und vorhandene Kopien werden sicher gel\u00f6scht.<\/p>\n\n

                                                      Bei \u00dcbermittlungen an (Unter-)Auftragsverarbeiter au\u00dferdem Angabe von Gegenstand, Art und Dauer der Verarbeitung<\/em><\/p>\n\n

                                                      F\u00fcr Daten, die zur Rechnungsstellung in Italien und Indien verwendet werden, arbeitet der Auftragsverarbeiter mit Sovos zusammen, um sicherzustellen, dass alle lokalen regulatorischen Anforderungen erf\u00fcllt werden.<\/p>\n\n

                                                      Flexential stellt eine Rechenzentrumsplattform bereit und bietet Colocation- und Disaster-Recovery-Services f\u00fcr Onyx-Services an, die nicht Teil einer cloudbasierten Infrastruktur sind. Die US-Betriebe und Rechenzentren werden vollst\u00e4ndig von Flexential betrieben, w\u00e4hrend EU-basierte Rechenzentrumsstandorte von Equnix betrieben werden. <\/p>\n\n

                                                      Amazon Web Services (AWS) ist die bevorzugte Plattform f\u00fcr cloudf\u00e4hige Services, die von Onyx in einer Private-Cloud-Umgebung (VPC) bereitgestellt werden. Microsoft Azure bietet ebenfalls Cloud-Services, ist jedoch auf InvoicePro-Services beschr\u00e4nkt. <\/p>\n\n

                                                      Zum oben genannten Gegenstand, zur Art und zur Dauer.<\/p>\n\n

                                                      C. ZUST\u00c4NDIGE AUFSICHTSBEH\u00d6RDE<\/p>\n\n

                                                      MODUL ZWEI: \u00dcbermittlung vom Verantwortlichen an den Auftragsverarbeiter<\/strong><\/p>\n\n

                                                      Benennen Sie die zust\u00e4ndige(n) Aufsichtsbeh\u00f6rde(n) gem\u00e4\u00df Klausel 13<\/em><\/p>\n\n

                                                      Die spanische Datenschutzbeh\u00f6rde<\/p>\n\n

                                                      ANLAGE II \u2013 TECHNISCHE UND ORGANISATORISCHE MA\u00dfNAHMEN EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MA\u00dfNAHMEN ZUR GEW\u00c4HRLEISTUNG DER SICHERHEIT DER DATEN<\/p>\n\n

                                                      Zutrittskontrolle zu Verarbeitungsbereichen<\/p>\n\n

                                                      Der Datenimporteur implementiert geeignete Ma\u00dfnahmen, um zu verhindern, dass unbefugte Personen Zugang zu den Datenverarbeitungsanlagen (Netzwerktechnik, Server und zugeh\u00f6rige Hardware) erhalten, in denen personenbezogene Daten verarbeitet oder genutzt werden, einschlie\u00dflich:<\/p>\n\n