Zusatz zur Datenverarbeitung
In diesem Zusatz zur Datenverarbeitung (dieses „DPA“) sind die Verpflichtungen von GTreasury, Coprocess oder CashAnalytics im Rahmen des Rahmenvertrags in Bezug auf die erfassten personenbezogenen Daten festgelegt. In jedem Fall bedeutet „GTreasury“ in diesem Zusatz zur Datenverarbeitung das jeweilige Unternehmen, mit dem der Kunde im Rahmen eines Rahmenvertrags eine Partei ist.
1. Definierte Begriffe.
Jeder großgeschriebene Begriff in diesem DPA, der nicht in diesem DPA definiert ist, hat die Bedeutung, die diesem Begriff im Rahmenvertrag zugewiesen ist. Andernfalls haben die folgenden Begriffe die folgenden Bedeutungen.
(a) „Erfasste personenbezogene Daten“ sind personenbezogene Daten, die:
(i) GTreasury erhält im Rahmen der Vereinbarung vom Kunden oder Dritten (einschließlich, aber nicht beschränkt auf Datensubjekte); und
(ii) Ist durch das Datenschutzrecht geschützt und in Bezug auf dieses Datenschutzrecht schreibt das Datenschutzrecht aufgrund seines persönlichen Charakters Schutzmaßnahmen vor.
(b) „Datenschutzrecht“ bezeichnet internationales, nationales, bundesstaatliches oder provinzielles Recht, das die betreffenden personenbezogenen Daten schützt oder deren Verarbeitung einschränkt. Der Begriff umfasst, ist aber nicht beschränkt auf: die Allgemeine Datenschutzverordnung (Verordnung (EU) 2016/679) (die „DSGVO“) (die „DSGVO“), den Australian Privacy Act 1988, den New Zealand Privacy Act 2020, den kanadischen Gesetz über den Schutz personenbezogener Daten und elektronische Dokumente („PIPEDA“), das schweizerische Bundesgesetz über den Datenschutz, der britische Datenschutzgesetz 2018, der California Consumer Privacy Act von 2018 („CCPA“) und der California Privacy Rights Act von 2020 („CPRA“).
(c) Eine „betroffene Person“ in Bezug auf personenbezogene Daten ist die identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
(d) „Personenbezogene Daten aus dem EWR“ sind die erfassten personenbezogenen Daten, deren betroffene Personen sich im EWR befinden.
(e) Die „Europäische Union“ oder „EU“ bezeichnet die Mitgliedstaaten dieser Union, wie sie im Rahmen des Vertrags über die Europäische Union, des Vertrags über die Arbeitsweise der Europäischen Union und verwandter Verträge gegründet wurde, da diese Mitgliedstaaten beitreten oder austreten können.
(f) Der „Europäische Wirtschaftsraum“ oder „EWR“ bezeichnet die beitretenden Mitgliedstaaten im Rahmen des Abkommens über den Europäischen Wirtschaftsraum, da diese Mitgliedstaaten beitreten oder austreten können.
(g) „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei eine „identifizierbare natürliche Person“ eine Person ist, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere spezifische Faktoren, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
(h) „Verarbeitung“ personenbezogener Daten ist jeder Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten oder mit Sätzen personenbezogener Daten durchgeführt wird, unabhängig davon, ob mit automatisierten Mitteln oder nicht, wie Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Änderung, Abruf, Abfrage, Verwendung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Abgleich oder Kombination, Einschränkung, Löschung oder Zerstörung.
2. Allgemein.
(a) Der Kunde stellt GTreasury keine personenbezogenen Daten zur Verfügung, die für die Erfüllung der Verpflichtungen von GTreasury aus dem Vertrag nicht erforderlich sind.
(b) Die Verpflichtungen von GTreasury aus diesem DPA gelten insoweit, als das für den Kunden geltende Datenschutzgesetz vorschreibt, dass der Kunde solche Verpflichtungen den Verarbeitern der betroffenen personenbezogenen Daten auferlegt.
(c) GTreasury wird ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des Kunden keinen anderen Auftragsverarbeiter beauftragen. Im Falle einer allgemeinen schriftlichen Genehmigung wird GTreasury den Kunden über alle geplanten Änderungen in Bezug auf die Hinzufügung oder Ersetzung anderer Prozessoren informieren und dem Kunden die Möglichkeit geben, diesen Änderungen zu widersprechen.
(d) Gegenstand, Art und Zweck der Verarbeitung durch GTreasury sind die Lieferung der in der Vereinbarung genannten Waren, Dienstleistungen und/oder Software.
(e) Die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sind die in der Vereinbarung vorgesehenen Arten und Kategorien.
(f) GTreasury verarbeitet die betroffenen personenbezogenen Daten nur auf dokumentierte Anweisung des Kunden, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern dies nicht nach dem Datenschutzgesetz, dem GTreasury unterliegt, dazu verpflichtet ist. In einem solchen Fall wird das Finanzministerium den Kunden vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses, die im Datenschutzgesetz vorgesehen sind. Zur Klarstellung: Die Vereinbarung stellt die dokumentierte Anweisung des Kunden an GTreasury dar, die Verarbeitung durchzuführen, die für die Erfüllung der Vereinbarung durch GTreasury erforderlich ist.
(g) GTreasury stellt sicher, dass seine zur Verarbeitung der betroffenen personenbezogenen Daten befugten Vertreter sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen oder beruflichen Verschwiegenheitspflicht unterliegen.
(h) Sicherheit.
(i) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen wird GTreasury angemessene technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich, soweit erforderlich und angemessen:
(A) Pseudonymisierung und Verschlüsselung der erfassten personenbezogenen Daten;
(B) die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste sicherzustellen;
(C) Die Fähigkeit, die Verfügbarkeit und den Zugriff auf die betroffenen personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen; und/oder
(D) Ein Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(ii) Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigt GTreasury die mit der Verarbeitung verbundenen Risiken, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.
(iii) GTreasury kann die Einhaltung eines genehmigten Verhaltenskodex gemäß Artikel 40 der DSGVO oder eines genehmigten Zertifizierungsmechanismus gemäß Artikel 42 der DSGVO als Element verwenden, um die Einhaltung der in Abschnitt 2 (h) (i) genannten Anforderungen nachzuweisen.
(iv) GTreasury wird Maßnahmen ergreifen, um sicherzustellen, dass jede natürliche Person, die unter der Aufsicht des GTreasury-Prozessors handelt und Zugang zu den erfassten personenbezogenen Daten hat, die erfassten personenbezogenen Daten nur auf Anweisung des Kunden verarbeitet, es sei denn, sie ist nach geltendem Datenschutzrecht dazu verpflichtet.
(i) GTreasury wird keine Dritten mit der Durchführung einer anderen als der in dieser DPA vorgesehenen Verarbeitung beauftragen oder nutzen. Zur Klarstellung: GTreasury kann Hosting-Dienste nutzen, die von Microsoft Corporation, Amazon Web Services, Inc., Rackspace, Inc. und/oder ihren verbundenen Unternehmen bereitgestellt werden, vorausgesetzt, GTreasury erhält von diesen Anbietern vertragliche Verpflichtungen, die mit der Erfüllung seiner Verpflichtungen aus diesem DPA vereinbar sind.
(j) Unter Berücksichtigung der Art der Verarbeitung wird GTreasury den Kunden, soweit möglich, durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtungen des Kunden oder des für die Verarbeitung Verantwortlichen unterstützen, Anfragen zur Ausübung der Rechte der betroffenen Person zu beantworten, die in den folgenden Punkten festgelegt sind:
(i) Kapitel III der DSGVO, insbesondere Artikel 12 (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person), 13 (Informationspflicht, wenn personenbezogene Daten bei der betroffenen Person erhoben werden), 14 (Informationspflicht, wenn personenbezogene Daten nicht von der betroffenen Person erhoben wurden), 15 (Auskunftsrecht der betroffenen Person), 16 (Recht auf Berichtigung), 17 (Recht auf Löschung („Recht auf Vergessenwerden“), 18 (Recht auf Einschränkung der Verarbeitung), 19 (Mitteilungspflicht über Berichtigung oder Löschung von personenbezogene Daten oder Einschränkung der Verarbeitung), 20 (Recht auf Datenübertragbarkeit), 21 (Widerspruchsrecht und automatisierte individuelle Entscheidungsfindung), 22 (Automatisierte individuelle Entscheidungsfindung, einschließlich Profilerstellung) und 23 (Einschränkungen); und/oder
(ii) Anderes geltendes Datenschutzrecht.
(k) GTreasury unterstützt den Kunden dabei, die Einhaltung der Verpflichtungen gemäß den Artikeln 32 (Sicherheit der Verarbeitung), 33 (Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde), 34 (Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person), 35 (Datenschutz-Folgenabschätzung) und 36 (Vorherige Konsultation) sowie anderer geltender Datenschutzgesetze sicherzustellen; dabei werden die Art der Verarbeitung und die GTreasury zur Verfügung stehenden Informationen berücksichtigt.
(l) Nach Wahl des Kunden löscht GTreasury alle erfassten personenbezogenen Daten oder gibt sie nach Beendigung der Erbringung der Dienstleistungen im Zusammenhang mit der Verarbeitung an den Kunden zurück und löscht vorhandene Kopien, es sei denn, das geltende Recht schreibt eine fortgesetzte Aufbewahrung der abgedeckten personenbezogenen Daten durch GTreasury vor.
(m) GTreasury stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen gemäß Artikel 28 der DSGVO und ähnlicher Verpflichtungen aus anderen Datenschutzgesetzen nachzuweisen, und ermöglicht Prüfungen, einschließlich Inspektionen, die vom Kunden oder einem anderen vom Kunden beauftragten Prüfer durchgeführt werden, und trägt dazu bei. GTreasury wird den Kunden unverzüglich informieren, wenn nach Ansicht von GTreasury eine Anweisung gegen das Datenschutzrecht verstößt.
(n) Wenn GTreasury einen Dritten mit der Durchführung bestimmter Verarbeitungstätigkeiten im Namen oder zugunsten des Kunden beauftragt, werden diesem Dritten im Rahmen eines Vertrags Datenschutzverpflichtungen auferlegt, die mit der Erfüllung seiner in diesem DPA und dem Rahmenvertrag festgelegten Verpflichtungen durch GTreasury vereinbar sind, wobei insbesondere ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen vorgesehen sind, sodass die Verarbeitung den Anforderungen des geltenden Datenschutzrechts entspricht. Wenn dieser Dritte seinen Datenschutzpflichten nicht nachkommt, haftet das Finanzministerium gegenüber dem Kunden weiterhin in vollem Umfang für die Erfüllung dieser Verpflichtungen.
3. Spezifische Bestimmungen für die Vereinigten Staaten.
(a) Kalifornien. Die folgenden Bestimmungen gelten für die Übertragung versicherter personenbezogener Daten vom Kunden an GTreasury, die dem California Consumer Privacy Act von 2018 unterliegen (Cal. Ziv. Kodex (§ 1798.100 ff.) („CCPA“) und der California Privacy Rights Act von 2020 (Cal. Civ. Kodex (§ 1798.100 ff. ff.) („CPRA“), jeweils in der jeweils gültigen Fassung („In Kalifornien abgedeckte personenbezogene Daten“), sofern der Kunde ein „Unternehmen“ ist und GTreasury in Bezug auf die in Kalifornien erfassten personenbezogenen Daten als „Dienstleister“ auftritt.
(i) GTreasury verarbeitet die in Kalifornien erfassten personenbezogenen Daten als Dienstleister.
(ii) Der Kunde gibt im Zusammenhang mit der Vereinbarung an GTreasury unter Kalifornien fallende personenbezogene Daten nur für die begrenzten und spezifizierten Zwecke des Empfangs der Dienstleistungen im Rahmen der Vereinbarung weiter.
(iii) GTreasury wird die von Kalifornien erfassten personenbezogenen Daten ausschließlich für den spezifischen Zweck der Erbringung der Dienstleistungen im Rahmen der Vereinbarung oder wie anderweitig gesetzlich vorgeschrieben aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten.
(iv) Das Finanzministerium wird nicht:
(A) In Kalifornien abgedeckte personenbezogene Daten aufzubewahren, zu verwenden, offenzulegen oder anderweitig zu verarbeiten, es sei denn, dies ist für die Erbringung von Dienstleistungen im Rahmen der Vereinbarung erforderlich oder anderweitig gesetzlich vorgeschrieben;
(B) In Kalifornien abgedeckte personenbezogene Daten verkaufen; oder
(C) Weitergabe der unter Kalifornien fallenden personenbezogenen Daten, sofern dies nicht für die Erfüllung der Vereinbarung erforderlich ist.
(v) GTreasury wird bei allen angemessenen und angemessenen Prüfungen, Inspektionen oder anderen Schritten zusammenarbeiten, zu deren Durchführung der Kunde nach kalifornischem Recht verpflichtet ist, um zu bestätigen, dass GTreasury die in Kalifornien erfassten personenbezogenen Daten in einer Weise verarbeitet, die den Verpflichtungen von GTreasury aus dieser Datenschutzvereinbarung entspricht.
(vi) GTreasury wird den Kunden umgehend benachrichtigen, wenn GTreasury den Verpflichtungen von GTreasury aus diesem DPA nicht mehr nachkommen kann.
(vii) GTreasury arbeitet mit dem Kunden zusammen, um überprüfbare Verbraucheranfragen zur Ausübung der Rechte, die Verbrauchern nach kalifornischem Recht zustehen, zu beantworten und umzusetzen, unter anderem durch Unterstützung bei geeigneten technischen und organisatorischen Maßnahmen. GTreasury übermittelt dem Kunden innerhalb von fünf Werktagen alle Anfragen von Verbrauchern zur Ausübung eines Rechts nach kalifornischem Recht, unabhängig davon, ob sie von einem Verbraucher oder einem bevollmächtigten Vertreter eingehen, sofern die personenbezogenen Daten des Antragstellers in den für Kalifornien erfassten personenbezogenen Daten enthalten sind.
(viii) Auf schriftliche Anfrage des Kunden oder bei Kündigung der Vereinbarung löscht GTreasury umgehend alle in Kalifornien erfassten personenbezogenen Daten.
(ix) GTreasury verarbeitet die in Kalifornien erfassten personenbezogenen Daten nicht, um anonymisierte Daten zu erstellen, ohne zuvor die Genehmigung des Kunden einzuholen. Falls GTreasury ordnungsgemäß autorisiert ist, wird GTreasury:
(A) angemessene Maßnahmen ergreifen, um zu verhindern, dass anonymisierte Daten dazu verwendet werden, Informationen über eine bestimmte natürliche Person oder einen bestimmten Haushalt abzuleiten oder auf andere Weise mit ihnen in Verbindung gebracht werden;
(B) anonymisierte Daten in anonymisierter Form zu pflegen und zu verwenden und nicht zu versuchen, die anonymisierten Daten erneut zu identifizieren, mit der Ausnahme, dass GTreasury versuchen kann, die Informationen ausschließlich zu dem Zweck, festzustellen, ob seine Anonymisierungsprozesse den Anforderungen des kalifornischen Rechts entsprechen, erneut zu identifizieren; und
(C) Alle Empfänger der anonymisierten Daten, einschließlich Unterauftragsverarbeiter, Auftragnehmer und anderer Dritter, vertraglich verpflichten, die Verpflichtungen einzuhalten, die den Verpflichtungen von GTreasury aus diesem DPA entsprechen.
(D) Bleiben Sie in vollem Umfang haftbar für jegliche Nichteinhaltung der Verpflichtungen von GTreasury oder seiner Mitarbeiter, Vertreter oder Auftragnehmer in Bezug auf anonymisierte Daten.
(b) Colorado. Am und nach dem 1. Juli 2023 gelten die folgenden Bestimmungen für die Übertragung versicherter personenbezogener Daten vom Kunden an GTreasury und die Verarbeitung abgedeckter personenbezogener Daten durch GTreasury, der dem Colorado Privacy Act (Col. Rev. Stat. § 6-1-1301 ff.) in der jeweils gültigen Fassung („Colorado Covered Personal Data“) unterliegt, sofern der Kunde als Verantwortlicher für die von Colorado abgedeckten personenbezogenen Daten fungiert und GTreasury als Verarbeiter der von Colorado abgedeckten personenbezogenen Daten fungiert:
(i) GTreasury verarbeitet die von Colorado erfassten personenbezogenen Daten als Verarbeiter bei der Erbringung der Dienstleistungen im Rahmen der Vereinbarung.
(ii) Das Finanzministerium wird:
(A) Von Colorado abgedeckte personenbezogene Daten ausschließlich für den spezifischen Zweck der Erbringung der Dienstleistungen im Rahmen der Vereinbarung oder wie anderweitig gesetzlich vorgeschrieben aufzubewahren, zu verwenden, offenzulegen oder anderweitig zu verarbeiten;
(iii) Stellen Sie sicher, dass jeder Vertreter von GTreasury, der unter Colorado fallende personenbezogene Daten verarbeitet, einer Vertraulichkeitspflicht in Bezug auf die betroffenen personenbezogenen Daten aus Colorado unterliegt; und
(iv) Soweit der Kunde nach den Gesetzen von Colorado verpflichtet ist, von GTreasury Folgendes zu verlangen:
(A) GTreasury wird angemessene Bewertungen durch den Kunden oder den vom Kunden benannten Gutachter zulassen und mit ihnen zusammenarbeiten; oder
(B) GTreasury kann einen qualifizierten und unabhängigen Gutachter beauftragen, eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von GTreasury unter Verwendung eines geeigneten und anerkannten Kontrollstandards oder Rahmens und Bewertungsverfahrens für solche Bewertungen durchzuführen, und GTreasury wird dem Kunden auf Anfrage einen Bericht über diese Bewertung vorlegen.
(v) Auf Anweisung des Kunden löscht GTreasury alle von Colorado erfassten personenbezogenen Daten oder gibt sie an den Kunden zurück, wie am Ende der Erbringung der Dienstleistungen angefordert, es sei denn, die Aufbewahrung der von Colorado erfassten personenbezogenen Daten ist gesetzlich vorgeschrieben;
(vi) Auf berechtigte Anfrage des Kunden stellt GTreasury dem Kunden alle in seinem Besitz befindlichen Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um nachzuweisen, dass GTreasury diese DPA einhält;
(vii) GTreasury wird mit dem Kunden durch angemessene technische und organisatorische Maßnahmen zusammenarbeiten, soweit dies vernünftigerweise durchführbar ist, um die Verpflichtung des Kunden zu erfüllen, auf Anfragen zu Verbraucherrechten zu antworten. GTreasury übermittelt dem Kunden innerhalb von fünf Werktagen jede Anfrage einer betroffenen Person zur Ausübung eines Rechts nach dem Recht von Colorado, unabhängig davon, ob sie von einer betroffenen Person oder einem bevollmächtigten Vertreter eingegangen ist, sofern die geschützten personenbezogenen Daten des Antragstellers in den von Colorado erfassten personenbezogenen Daten enthalten sind.
(viii) GTreasury unterstützt den Kunden bei der Erfüllung seiner Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung personenbezogener Daten, die unter den Schutz von Colorado fallen, und in Bezug auf die Meldung einer Sicherheitsverletzung des Systems von GTreasury gemäß geltendem Recht.
(ix) GTreasury verarbeitet unter Colorado fallende personenbezogene Daten nicht, um anonymisierte Daten zu erstellen, ohne zuvor die Genehmigung des Kunden einzuholen. Falls GTreasury ordnungsgemäß autorisiert ist, wird GTreasury:
(A) angemessene Maßnahmen ergreifen, um zu verhindern, dass anonymisierte Daten verwendet werden, um Informationen über eine bestimmte natürliche Person oder einen bestimmten Haushalt abzuleiten oder auf andere Weise mit ihnen in Verbindung gebracht zu werden; und
(B) Alle Empfänger der anonymisierten Daten, einschließlich Unterauftragsverarbeiter, Auftragnehmer und anderer Dritter, vertraglich verpflichten, die Verpflichtungen einzuhalten, die den Verpflichtungen von GTreasury aus diesem DPA entsprechen.
(c) Virginia. Die folgenden Bestimmungen gelten für alle Übermittlungen versicherter personenbezogener Daten vom Kunden an GTreasury und für die Verarbeitung abgedeckter personenbezogener Daten durch GTreasury, die dem Virginia Consumer Data Protection Act (Va. Code § 59.1-571 ff.) in der jeweils gültigen Fassung („VCDPA“) („Von Virginia abgedeckte personenbezogene Daten“), soweit der Kunde als Verantwortlicher für die von Virginia abgedeckten personenbezogenen Daten fungiert und GTreasury als Verarbeiter der von Virginia abgedeckten personenbezogenen Daten fungiert.
(i) GTreasury verarbeitet personenbezogene Daten, die unter Virginia fallen, als Verarbeiter bei der Erbringung der Dienstleistungen im Rahmen der Vereinbarung.
(ii) GTreasury wird die von Virginia erfassten personenbezogenen Daten ausschließlich für den spezifischen Zweck der Erbringung der Dienste im Rahmen der Vereinbarung oder wie anderweitig gesetzlich vorgeschrieben aufbewahren, verwenden, offenlegen oder anderweitig verarbeiten.
(iii) GTreasury stellt sicher, dass jeder Vertreter von GTreasury, der von Virginia abgedeckte personenbezogene Daten verarbeitet, einer Vertraulichkeitspflicht in Bezug auf die Daten unterliegt.
(iv) Soweit der Kunde nach den Gesetzen von Virginia verpflichtet ist, von GTreasury Folgendes zu verlangen:
(A) GTreasury wird angemessene Bewertungen durch den Kunden oder den vom Kunden benannten Gutachter zulassen und mit ihnen zusammenarbeiten; oder
(B) GTreasury kann einen qualifizierten und unabhängigen Gutachter beauftragen, eine Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von GTreasury unter Verwendung eines geeigneten und anerkannten Kontrollstandards oder Rahmens und Bewertungsverfahrens für solche Bewertungen durchzuführen, und GTreasury wird dem Kunden auf Anfrage einen Bericht über diese Bewertung vorlegen.
(v) Auf Anweisung des Kunden löscht GTreasury alle von Virginia abgedeckten personenbezogenen Daten oder gibt sie an den Kunden zurück, wie am Ende der Erbringung der Dienstleistungen angefordert, es sei denn, die Aufbewahrung der von Virginia abgedeckten personenbezogenen Daten ist gesetzlich vorgeschrieben.
(vi) Auf berechtigte Anfrage des Kunden stellt GTreasury dem Kunden alle in seinem Besitz befindlichen Informationen zur Verfügung, die erforderlich sind, um nachzuweisen, dass GTreasury den Verpflichtungen von GTreasury aus diesem DPA nachkommt.
(vii) GTreasury wird mit dem Kunden durch angemessene technische und organisatorische Maßnahmen zusammenarbeiten, soweit dies vernünftigerweise durchführbar ist, um die Verpflichtung des Kunden zu erfüllen, auf Anfragen zu Rechten der betroffenen Person zu antworten. GTreasury übermittelt dem Kunden innerhalb von fünf Werktagen alle Anfragen zur Ausübung eines Rechts gemäß dem Datenschutzgesetz von Virginia, unabhängig davon, ob sie von einer betroffenen Person oder einem bevollmächtigten Vertreter eingehen, sofern die personenbezogenen Daten des Antragstellers in den von Virginia erfassten personenbezogenen Daten enthalten sind.
(viii) GTreasury wird den Kunden dabei unterstützen, seinen Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung der in Virginia erfassten personenbezogenen Daten und in Bezug auf die Meldung einer Sicherheitsverletzung des Systems von GTreasury nachzukommen, soweit dies nach den Gesetzen von Virginia erforderlich ist.
(ix) GTreasury verarbeitet personenbezogene Daten, die unter Virginia fallen, nicht, um anonymisierte Daten zu erstellen, ohne zuvor die Genehmigung des Kunden einzuholen. Falls GTreasury ordnungsgemäß autorisiert ist, wird GTreasury:
(A) angemessene Maßnahmen ergreifen, um zu verhindern, dass anonymisierte Daten dazu verwendet werden, Informationen über eine bestimmte natürliche Person oder einen bestimmten Haushalt abzuleiten oder auf andere Weise mit ihnen in Verbindung gebracht werden;
(B) anonymisierte Daten in anonymisierter Form zu pflegen und zu verwenden und nicht zu versuchen, die anonymisierten Daten erneut zu identifizieren, mit der Ausnahme, dass GTreasury versuchen kann, die Informationen ausschließlich zu dem Zweck, festzustellen, ob seine Anonymisierungsprozesse den Anforderungen des Rechts von Virginia entsprechen, erneut zu identifizieren; und
(C) Alle Empfänger der anonymisierten Daten, einschließlich Unterauftragsverarbeiter, Auftragnehmer und anderer Dritter, vertraglich verpflichten, die Verpflichtungen einzuhalten, die den Verpflichtungen von GTreasury aus diesem DPA entsprechen.
4. Kanada-spezifische Bestimmungen.
Die folgenden Bestimmungen gelten für alle Übermittlungen versicherter personenbezogener Daten vom Kunden an GTreasury, deren Verarbeitung dem Personal Information Protection and Electronic Documents Act in der jeweils gültigen Fassung („PIPEDA“) und allen ähnlichen kanadischen Bundes- oder Provinzgesetzen zum Schutz personenbezogener Daten („Abgedeckte kanadische personenbezogene Daten“) unterliegt.
(a) Der Kunde fungiert als für die Verarbeitung der erfassten kanadischen personenbezogenen Daten und GTreasury fungiert als Verarbeiter der abgedeckten kanadischen personenbezogenen Daten.
(b) Der Kunde wird eine angemessene Mitteilung machen und die entsprechenden Einwilligungen einholen, soweit zutreffend, gemäß PIPEDA und anderen geltenden kanadischen Gesetzen.
(c) GTreasury ergreift die in der Vereinbarung vorgeschriebenen Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten Kanadas.
(d) Sowohl der Kunde als auch GTreasury müssen allen gültigen Anfragen der zuständigen Justizbehörden nachkommen.
(e) Auf Anfrage des Kunden bietet GTreasury dem Kunden die Möglichkeit, die kanadischen personenbezogenen Daten abzurufen.
5. Rechte an personenbezogenen Daten;
Recht auf Bearbeitung. Der Kunde versichert und garantiert gegenüber GTreasury und den verbundenen Unternehmen und Unterauftragsverarbeitern von GTreasury, dass der Kunde alle Rechte in Bezug auf die betroffenen personenbezogenen Daten hat (unabhängig davon, ob er ein berechtigtes Interesse gemäß Artikel 6 der DSGVO hat, eine oder mehrere Ausnahmeregelungen gemäß Artikel 49 DSGVO oder anderweitig nach geltendem Datenschutzrecht) in Bezug auf die betroffenen personenbezogenen Daten hat, die erforderlich sind, um diese an GTreasury zu übertragen, GTreasury zum Besitz und zur Verarbeitung dieser personenbezogenen Daten zu veranlassen oder anzuweisen wie in diesem DPA und/oder der Vereinbarung gefordert, und Genehmigung GTreasury, die in diesem DPA und/oder der Vereinbarung vorgesehenen personenbezogenen Daten zu besitzen, zu verarbeiten und unterverarbeiten zu lassen. Der Kunde verpflichtet sich, GTreasury und seine verbundenen Unternehmen und Unterauftragsverarbeiter vor allen Ansprüchen von oder zugunsten einer betroffenen Person oder einer Regierungsbehörde zu schützen, schadlos zu halten und schadlos zu halten, die Fakten vorbringen, die, falls sie zutreffen, einen Verstoß gegen die Zusicherungen und Garantien in diesem Abschnitt 5 darstellen würden.
6. EWR-spezifische Bestimmungen.
Der Kunde als Datenexporteur und GTreasury als Datenimporteur stimmen den als Anlage 1 beigefügten Standardvertragsklauseln zu, als ob der Kunde und GTreasury sie ausgeführt und geliefert hätten. Solche Standardvertragsklauseln gelten ausschließlich für betroffene personenbezogene Daten von betroffenen Personen, die sich im EWR befinden.
(a) Im Falle der Übertragung von erfassten personenbezogenen Daten durch den Kunden an GTreasury gilt nur Modul Zwei (für Übertragungen vom für die Verarbeitung Verantwortlichen an den Auftragsverarbeiter).
(b) Im Falle der Übertragung von erfassten personenbezogenen Daten durch GTreasury an den Kunden gilt nur Modul Vier (für Übertragungen vom Prozessor an den für die Verarbeitung Verantwortlichen).
(c) Die Module Eins und Drei gelten nicht, und keine der Parteien wird eine Übertragung auf die andere vornehmen, die von einem dieser Module abgedeckt wird.
(d) Für die Zwecke von Klausel 17 gilt niederländisches Recht für die Standardvertragsklauseln.
(e) Für die Zwecke von Klausel 18 werden alle Streitigkeiten, die sich aus den Standardvertragsklauseln ergeben, von den Gerichten der Niederlande beigelegt.
7. Für das Vereinigte Königreich geltende Bestimmungen.
Die folgenden Bestimmungen gelten in Bezug auf abgedeckte personenbezogene Daten, die unter das britische Datenschutzgesetz 2018 in seiner jeweils gültigen Fassung (das „Gesetz des Vereinigten Königreichs“) fallen (bei diesen personenbezogenen Daten handelt es sich um „im Vereinigten Königreich abgedeckte personenbezogene Daten“).
(a) Der Kunde fungiert als Verantwortlicher und Exporteur der im Vereinigten Königreich erfassten personenbezogenen Daten und GTreasury fungiert als Verarbeiter und Importeur der britischen personenbezogenen Daten.
(b) „Zusatz für das Vereinigte Königreich“ bezeichnet den genehmigten Nachtrag B.1.0, der vom britischen Information Commissioner's Office („ICO“) herausgegeben und dem Parlament gemäß S119a des britischen Gesetzes vorgelegt wurde, da er gemäß Abschnitt 18 dieser obligatorischen Klauseln überarbeitet wurde. Zum Zeitpunkt der letzten Überarbeitung des Formulars dieser Datenschutzvereinbarung ist die aktuelle Version des britischen Nachtrags unter https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf verfügbar.
(c) Die Parteien werden die Bestimmungen von Teil 2: Pflichtklauseln des britischen Nachtrags in der gemäß Abschnitt 18 dieser Pflichtklauseln überarbeiteten Fassung einhalten;
(d) Mit der Unterzeichnung dieses DPA wird davon ausgegangen, dass die Parteien den britischen Nachtrag unterzeichnet haben;
(e) Zu Teil 1, Tabelle 2 des britischen Addendums:
(i) Klausel 7 (die Docking-Klausel) ist ausgeschlossen;
(ii) Eine vorherige Genehmigung gemäß Klausel 9 (a) (vorherige Genehmigung oder allgemeine Genehmigung) gilt nicht;
(iii) Die Option gemäß Klausel 11 (Wiedergutmachung) gilt nicht;
(iv) Die in Teil 1, Tabellen 1 und 2 des britischen Addendums vorgeschriebenen Informationen sind in Anhang I dieses DPA (soweit zutreffend) enthalten;
(f) In Bezug auf Tabelle 4 Teil 1 des britischen Nachtrags kann jede Partei den britischen Nachtrag wie in Abschnitt 19 des britischen Nachtrags dargelegt beenden (aber zur Klarstellung: Wenn der Kunde den britischen Nachtrag gemäß diesem Abschnitt 7 (f) beendet, hat eine solche Beendigung keine Auswirkungen auf die Verpflichtungen des Kunden aus dem Vertrag mit Ausnahme dieses DPA; und
(g) Alle Verweise auf die „Klauseln“ in den Standardvertragsklauseln schließen die in diesem Abschnitt dargelegten Änderungen ein
8. Übertragungen an Dritte, die vom Kunden mithilfe der GTreasury-Dienste initiiert wurden.
Zur Klarstellung: Wenn die normale Funktionalität der Waren, Dienstleistungen und/oder Software von GTreasury es dem Kunden ermöglicht, Transaktionen einzuleiten oder die Waren, Dienstleistungen und/oder Software anderweitig zum Senden und/oder Empfangen von Informationen zu verwenden, die personenbezogene Daten enthalten, ist jede Übertragung, die aus einer solchen vom Kunden initiierten Aktivität resultiert, eine Übertragung durch den Kunden und nicht durch GTreasury.
9. Betroffene Personen als Begünstigte.
Wenn, aber nur in dem Umfang, in dem das Datenschutzgesetz vorschreibt, dass der Kunde GTreasury veranlasst, eine oder mehrere betroffene Personen der betroffenen personenbezogenen Daten zu Drittbegünstigten einer oder mehrerer Verpflichtungen aus diesem DPA zu machen, ist jede dieser betroffenen Personen der erfassten personenbezogenen Daten ein ausdrücklicher Drittbegünstigter der Verpflichtungen von GTreasury aus diesem DPA.
10. Dienstleistungen, die nicht unter die Vereinbarung fallen, außer dieser DPA.
Wenn eine Verpflichtung von GTreasury aus dieser DPA oder den Standardvertragsklauseln nicht durch eine andere Vereinbarung als diese DPA abgedeckt ist, bezahlt der Kunde GTreasury für die mit dieser Verpflichtung verbundenen Dienstleistungen zu den jeweils aktuellen (aber in jedem Fall wirtschaftlich angemessenen) Tarifen von GTreasury. Wenn der Kunde beispielsweise administrative oder ähnliche Dienstleistungen benötigt, um die Anforderungen einer betroffenen Person oder eine Datenschutzfolgenabschätzung zu erfüllen, und diese Dienstleistungen nicht unter die Vereinbarung fallen, die nicht unter diese DPA fällt, bezahlt der Kunde GTreasury für diese Dienstleistungen.
Anlage 1
STANDARDVERTRAGSKLAUSELN
ABSCHNITT I
Klausel 1 — Zweck und Umfang
(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutzverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland sicherzustellen.
(b) Die Parteien:
i) die in Anhang I.A aufgeführte (n) natürliche oder juristische Person (en), Behörde (n) oder andere Stelle (im Folgenden „Einrichtung (en)“), die die personenbezogenen Daten übermittelt, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenexporteur“), und
ii) die Stelle (en) in einem Drittland, die die personenbezogenen Daten vom Datenexporteur erhalten, direkt oder indirekt über eine andere Stelle, die ebenfalls Vertragspartei dieser Klauseln ist, wie in Anhang I.A aufgeführt (im Folgenden jeweils „Datenimporteur“)
haben diesen Standardvertragsklauseln (im Folgenden: „Klauseln“) zugestimmt.
(c) Diese Klauseln gelten für die Übermittlung personenbezogener Daten gemäß Anhang I.B.
(d) Der Anhang zu diesen Klauseln mit den darin genannten Anhängen ist integraler Bestandteil dieser Klauseln.
Klausel 2 — Wirkung und Unveränderlichkeit der Klauseln
(a) Diese Klauseln enthalten angemessene Schutzmaßnahmen, einschließlich durchsetzbarer Betroffenenrechte und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübertragungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder Auftragsverarbeiter an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer zur Auswahl des entsprechenden Moduls (s) oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen und/oder weitere Klauseln oder zusätzliche Schutzmaßnahmen hinzuzufügen, sofern sie diesen Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beeinträchtigen.
(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/679 unterliegt.
Klausel 3 — Drittbegünstigte
(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:
(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;
(ii) Klausel 8 — Modul Eins: Klausel 8.5 (e) und Klausel 8.9 (b); Modul Zwei: Klausel 8.1 (b), 8.9 (a), (c), (d) und (e); Modul Drei: Klausel 8.1 (a), (c) und (d) und Klausel 8.9 (a), (c), (d), (e), (f) und (g); Modul Vier: Klausel 8.1 (b) und Klausel 8.3 (b);
(iii) Klausel 9 — Modul Zwei: Klausel 9 (a), (c), (d) und (e); Modul Drei: Klausel 9 (a), (c), (d) und (e);
(iv) Klausel 12 — Modul Eins: Klausel 12 (a) und (d); Module Zwei und Drei: Klausel 12 (a), (d) und (f);
(v) Klausel 13;
(vi) Klausel 15.1 (c), (d) und (e);
(vii) Klausel 16 (e);
(viii) Klausel 18 — Module Eins, Zwei und Drei: Klausel 18 (a) und (b); Modul Vier: Klausel 18.
(b) Absatz (a) lässt die Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679 unberührt.
Klausel 4 — Auslegung
(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
(c) Diese Klauseln dürfen nicht so ausgelegt werden, dass sie mit den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten kollidieren.
Klausel 5 — Hierarchie
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verwandter Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung oder des späteren Abschlusses dieser Klauseln bestanden, haben diese Klauseln Vorrang.
Klausel 6 — Beschreibung der Übertragung (en)
Die Einzelheiten der Übertragung (en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und die Zwecke, für die sie übermittelt werden, sind in Anhang I.B aufgeführt.
Klausel 7 — Fakultativ
[Absichtlich weggelassen.]
ABSCHNITT II — PFLICHTEN DER PARTEIEN
Klausel 8 — Datenschutzgarantien
Der Datenexporteur garantiert, dass er angemessene Anstrengungen unternommen hat, um festzustellen, dass der Datenimporteur in der Lage ist, seinen Verpflichtungen aus diesen Klauseln durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen nachzukommen.
MODUL EINS: Controller zu Controller übertragen
8.1 Zweckbeschränkung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den oder die spezifischen Zwecke der Übertragung, wie in Anhang I.B dargelegt. Er darf die personenbezogenen Daten nur für einen anderen Zweck verarbeiten:
(i) wenn sie die vorherige Einwilligung der betroffenen Person eingeholt hat;
(ii) wenn dies für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich ist; oder
(iii) wenn dies zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist.
8.2 Transparenz
(a) Damit die betroffenen Personen ihre Rechte gemäß Klausel 10 wirksam ausüben können, informiert der Datenimporteur sie entweder direkt oder über den Datenexporteur über:
(i) seiner Identität und seiner Kontaktdaten;
(ii) der Kategorien der verarbeiteten personenbezogenen Daten;
(iii) des Rechts, eine Kopie dieser Klauseln zu erhalten;
(iv) wenn sie beabsichtigt, die personenbezogenen Daten an Dritte weiterzuleiten, des Empfängers oder der Kategorien von Empfängern (je nachdem, ob dies zur Bereitstellung aussagekräftiger Informationen angemessen ist), den Zweck dieser Weitergabe und die Gründe dafür gemäß Klausel 8.7.
(b) Absatz (a) gilt nicht, wenn die betroffene Person bereits über die Informationen verfügt, auch wenn diese Informationen bereits vom Datenexporteur bereitgestellt wurden, oder wenn sich die Bereitstellung der Informationen als unmöglich erweist oder einen unverhältnismäßigen Aufwand für den Datenimporteur bedeuten würde. In letzterem Fall macht der Datenimporteur die Informationen, soweit möglich, öffentlich zugänglich.
(c) Auf Anfrage stellen die Parteien der betroffenen Person eine Kopie dieser Klauseln, einschließlich des von ihnen ausgefüllten Anhangs, kostenlos zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, können die Vertragsparteien den Text des Anhangs vor der Weitergabe einer Kopie teilweise redigieren, müssen jedoch eine aussagekräftige Zusammenfassung bereitstellen, in der die betroffene Person den Inhalt sonst nicht verstehen oder ihre Rechte ausüben könnte. Auf Anfrage teilen die Vertragsparteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit möglich, ohne die redigierten Informationen preiszugeben.
(d) Die Absätze (a) bis (c) lassen die Verpflichtungen des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 unberührt.
8.3 Genauigkeit und Datenminimierung
a) Jede Vertragspartei stellt sicher, dass die personenbezogenen Daten korrekt sind und erforderlichenfalls auf dem neuesten Stand gehalten werden. Der Datenimporteur ergreift alle angemessenen Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die unter Berücksichtigung der Zwecke der Verarbeitung ungenau sind, unverzüglich gelöscht oder berichtigt werden.
(b) Stellt eine der Vertragsparteien fest, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, informiert sie die andere Partei unverzüglich.
(c) Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen, relevant und auf das beschränkt sind, was für die Zwecke der Verarbeitung erforderlich ist.
8.4 Speicherbeschränkung
Der Datenimporteur bewahrt die personenbezogenen Daten nicht länger auf, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Er trifft geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung sicherzustellen, einschließlich der Löschung oder Anonymisierung der Daten und aller Backups am Ende der Aufbewahrungsfrist.
8.5 Sicherheit der Verarbeitung
(a) Der Datenimporteur und während der Übermittlung auch der Datenexporteur ergreifen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor Sicherheitsverletzungen, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff führen (im Folgenden „Verletzung personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen sie dem Stand der Technik, den Implementierungskosten, Art, Umfang, Kontext und Zweck der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Vertragsparteien erwägen insbesondere, auf Verschlüsselung oder Pseudonymisierung zurückzugreifen, auch während der Übertragung, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.
b) Die Vertragsparteien haben sich auf die in Anlage II aufgeführten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Sicherheitsniveau bieten.
(c) Der Datenimporteur stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(d) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
(e) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt der Datenimporteur unverzüglich sowohl den Datenexporteur als auch die zuständige Aufsichtsbehörde gemäß Klausel 13. Diese Mitteilung muss i) eine Beschreibung der Art des Verstoßes (einschließlich, wenn möglich, Kategorien und ungefähre Anzahl der betroffenen Personen und personenbezogenen Datensätze), ii) seiner wahrscheinlichen Folgen, iii) die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes und iv) die Angaben zu einer Kontaktstelle enthalten, bei der weitere Informationen eingeholt werden können. Soweit es dem Datenimporteur nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, kann er dies schrittweise ohne unangemessene weitere Verzögerung tun.
(f) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen wird, unterrichtet der Datenimporteur die betroffenen Personen außerdem unverzüglich über die Verletzung des Schutzes personenbezogener Daten und deren Art, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur, zusammen mit den in Absatz (e), Ziffern ii) bis iv) genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko erheblich zu verringern die Rechte oder Freiheiten natürlicher Personen oder eine Notifizierung würde einen unverhältnismäßigen Aufwand erfordern. In letzterem Fall veröffentlicht der Datenimporteur stattdessen eine öffentliche Mitteilung oder ergreift eine ähnliche Maßnahme, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.
(g) Der Datenimporteur dokumentiert alle relevanten Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und aller ergriffenen Abhilfemaßnahmen, und führt Aufzeichnungen darüber.
8.6 Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Orientierung einer Person oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten (im Folgenden „sensible Daten“), wendet der Datenimporteur spezifische Einschränkungen und/oder zusätzliche Schutzmaßnahmen an, die an die besondere Art der Daten angepasst sind, und damit verbundene Risiken. Dies kann die Einschränkung des Personals, das auf die personenbezogenen Daten zugreifen darf, zusätzliche Sicherheitsmaßnahmen (wie Pseudonymisierung) und/oder zusätzliche Einschränkungen in Bezug auf die weitere Offenlegung beinhalten.
8.7 Weiterüberweisungen
Der Datenimporteur gibt die personenbezogenen Daten nicht an Dritte außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weiter, es sei denn, der Dritte ist gemäß dem entsprechenden Modul an diese Klauseln gebunden oder erklärt sich damit einverstanden. Andernfalls darf eine Weiterübermittlung durch den Datenimporteur nur erfolgen, wenn:
i) es handelt sich um ein Land, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, der die Weiterübermittlung regelt;
ii) der Dritte gewährleistet auf andere Weise angemessene Schutzmaßnahmen gemäß den Artikeln 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung;
(iii) der Dritte schließt mit dem Datenimporteur ein verbindliches Instrument ab, das das gleiche Datenschutzniveau wie in diesen Klauseln gewährleistet, und der Datenimporteur stellt dem Datenexporteur eine Kopie dieser Schutzmaßnahmen zur Verfügung;
iv) es ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich;
v) es ist erforderlich, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen, oder
vi) wenn keine der anderen Bedingungen zutrifft, hat der Datenimporteur die ausdrückliche Zustimmung der betroffenen Person für eine Weiterübermittlung in einer bestimmten Situation eingeholt, nachdem er sie über deren Zweck (e), die Identität des Empfängers und die möglichen Risiken einer solchen Übertragung für sie aufgrund des Fehlens geeigneter Datenschutzgarantien informiert hat. In diesem Fall informiert der Datenimporteur den Datenexporteur und übermittelt ihm auf dessen Ersuchen eine Kopie der Informationen, die der betroffenen Person zur Verfügung gestellt wurden. Jede Weiterübermittlung setzt voraus, dass der Datenimporteur alle anderen in diesen Klauseln vorgesehenen Schutzmaßnahmen, insbesondere die Zweckbindung, einhält.
8.8 Verarbeitung unter der Aufsicht des Datenimporteurs
Der Datenimporteur stellt sicher, dass jede Person, die unter seiner Aufsicht handelt, einschließlich eines Auftragsverarbeiters, die Daten nur auf seine Anweisung hin verarbeitet.
8.9 Dokumentation und Einhaltung
(a) Jede Partei muss nachweisen können, dass sie ihren Verpflichtungen aus diesen Klauseln nachkommt. Insbesondere muss der Datenimporteur angemessene Unterlagen über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten aufbewahren.
(b) Der Datenimporteur stellt der zuständigen Aufsichtsbehörde diese Unterlagen auf Anfrage zur Verfügung.
MODUL ZWEI: Controller zum Prozessor übertragen
8.1 Anweisungen
(a) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs. Der Datenexporteur kann solche Anweisungen während der gesamten Vertragsdauer geben.
(b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.
8.2 Zweckbeschränkung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den oder die spezifischen Zwecke der Übertragung gemäß Anhang I.B, sofern keine weiteren Anweisungen des Datenexporteurs vorliegen.
8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, kostenlos zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang II beschriebenen Maßnahmen und personenbezogener Daten, erforderlich ist, kann der Datenexporteur vor der Weitergabe einer Kopie einen Teil des Textes der Anlage zu diesen Klauseln redigieren, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person den Inhalt sonst nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit möglich, ohne die redigierten Informationen preiszugeben. Diese Klausel gilt unbeschadet der Verpflichtungen des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679.
8.4 Genauigkeit
Stellt der Datenimporteur fest, dass die personenbezogenen Daten, die er erhalten hat, unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu korrigieren.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Namen des Datenexporteurs verarbeiteten personenbezogenen Daten und bestätigt dem Datenexporteur, dass er dies getan hat, oder gibt alle in seinem Namen verarbeiteten personenbezogenen Daten an den Datenexporteur zurück und löscht vorhandene Kopien. Bis die Daten gelöscht oder zurückgegeben werden, stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin sicherstellt und sie nur in dem Umfang und so lange verarbeitet, wie dies nach dem lokalen Recht erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14 (e), den Datenexporteur während der gesamten Vertragsdauer zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder geworden ist, die den Anforderungen gemäß Klausel 14 (a) nicht entsprechen.
8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur und während der Übermittlung auch der Datenexporteur ergreifen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor Sicherheitsverletzungen, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf diese Daten führen (im Folgenden „Verletzung personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Umsetzung, Art, Umfang, Kontext und Zweck der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffenen Personen gebührend Rechnung. Die Vertragsparteien erwägen insbesondere, auf Verschlüsselung oder Pseudonymisierung zurückzugreifen, auch während der Übertragung, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung bleiben die zusätzlichen Informationen, die zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person führen, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Um seinen Verpflichtungen aus diesem Absatz nachzukommen, setzt der Datenimporteur zumindest die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen auch weiterhin ein angemessenes Sicherheitsniveau bieten.
(b) Der Datenimporteur gewährt Mitgliedern seines Personals Zugang zu den personenbezogenen Daten nur insoweit, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen. Der Datenimporteur unterrichtet den Datenexporteur außerdem unverzüglich, nachdem er von dem Verstoß Kenntnis erlangt hat. Diese Mitteilung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art des Verstoßes (einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen personenbezogenen Daten), seiner voraussichtlichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes, einschließlich gegebenenfalls Maßnahmen zur Minderung seiner möglichen nachteiligen Auswirkungen. Wenn und soweit es nicht möglich ist, alle Informationen gleichzeitig vorzulegen, enthält die erste Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen sind, sobald sie verfügbar sind, unverzüglich bereitzustellen.
(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachkommen kann, insbesondere um die zuständige Aufsichtsbehörde und die betroffenen betroffenen Personen zu benachrichtigen, wobei er die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen berücksichtigt.
8.7 Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), so wendet der Datenimporteur die in Anhang I.B beschriebenen spezifischen Einschränkungen und/oder zusätzlichen Schutzmaßnahmen an.
8.8 Weiterüberweisungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an Dritte weiter. Darüber hinaus dürfen die Daten nur an Dritte außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:
i) die Weiterübermittlung erfolgt in ein Land, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, der die Weiterübermittlung regelt;
ii) der Dritte gewährleistet auf andere Weise angemessene Schutzmaßnahmen gemäß den Artikeln 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung;
(iii) die Weiterübermittlung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich; oder
(iv) Die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Schutzmaßnahmen gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.
8.9 Dokumentation und Einhaltung
(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und angemessen.
(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere muss der Datenimporteur angemessene Unterlagen über die im Namen des Datenexporteurs durchgeführten Verarbeitungstätigkeiten aufbewahren.
(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Anfrage des Datenexporteurs Prüfungen der in diesen Klauseln erfassten Verarbeitungstätigkeiten und trägt dazu bei, und zwar in angemessenen Abständen oder wenn Anzeichen für eine Nichteinhaltung vorliegen. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die entsprechenden Zertifizierungen des Datenimporteurs berücksichtigen.
(d) Der Datenexporteur kann wählen, ob er die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen möchte. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und müssen gegebenenfalls mit einer angemessenen Frist durchgeführt werden.
e) Die Vertragsparteien stellen der zuständigen Aufsichtsbehörde die in den Absätzen b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
MODUL DREI: Prozessor zu Prozessor übertragen
8.1 Anweisungen
(a) Der Datenexporteur hat den Datenimporteur darüber informiert, dass er gemäß den Anweisungen des/der für die Verarbeitung Verantwortlichen als Auftragsverarbeiter fungiert, die der Datenexporteur dem Datenimporteur vor der Verarbeitung zur Verfügung stellt.
(b) Der Datenimporteur verarbeitet die personenbezogenen Daten nur auf Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen, wie sie dem Datenimporteur vom Datenexporteur mitgeteilt wurden, sowie auf alle zusätzlichen dokumentierten Anweisungen des Datenexporteurs. Diese zusätzlichen Anweisungen dürfen nicht im Widerspruch zu den Anweisungen des für die Verarbeitung Verantwortlichen stehen. Der für die Verarbeitung Verantwortliche oder der Datenexporteur kann während der gesamten Vertragsdauer weitere dokumentierte Anweisungen zur Datenverarbeitung geben.
(c) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann. Ist der Datenimporteur nicht in der Lage, die Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen, setzt der Datenexporteur den für die Verarbeitung Verantwortlichen unverzüglich davon in Kenntnis.
(d) Der Datenexporteur gewährleistet, dass er dem Datenimporteur dieselben Datenschutzpflichten auferlegt hat, die in dem Vertrag oder einem anderen Rechtsakt nach dem Recht der Union oder der Mitgliedstaaten zwischen dem für die Verarbeitung Verantwortlichen und dem Datenexporteur festgelegt sind.
8.2 Zweckbeschränkung
Der Datenimporteur verarbeitet die personenbezogenen Daten nur für den oder die spezifischen Zwecke der Übermittlung gemäß Anhang I.B., sofern keine weiteren Anweisungen des für die Verarbeitung Verantwortlichen vorliegen, die dem Datenimporteur vom Datenexporteur oder vom Datenexporteur mitgeteilt wurden.
8.3 Transparenz
Auf Anfrage stellt der Datenexporteur der betroffenen Person eine Kopie dieser Klauseln, einschließlich des von den Parteien ausgefüllten Anhangs, kostenlos zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenexporteur vor der Weitergabe einer Kopie einen Teil des Textes der Anlage redigieren, muss jedoch eine aussagekräftige Zusammenfassung bereitstellen, wenn die betroffene Person den Inhalt sonst nicht verstehen oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Vertragsparteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit möglich, ohne die redigierten Informationen preiszugeben.
8.4 Genauigkeit
Stellt der Datenimporteur fest, dass die personenbezogenen Daten, die er erhalten hat, unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu korrigieren oder zu löschen.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe von Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anhang I.B angegebene Dauer. Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Namen des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten und bestätigt dem Datenexporteur, dass er dies getan hat, oder gibt alle in seinem Namen verarbeiteten personenbezogenen Daten an den Datenexporteur zurück und löscht vorhandene Kopien. Bis die Daten gelöscht oder zurückgegeben werden, stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er die Einhaltung dieser Klauseln weiterhin sicherstellt und sie nur in dem Umfang und so lange verarbeitet, wie dies nach dem lokalen Recht erforderlich ist. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs gemäß Klausel 14 (e), den Datenexporteur während der gesamten Vertragsdauer zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder geworden ist, die den Anforderungen gemäß Klausel 14 (a) nicht entsprechen.
8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur und während der Übermittlung auch der Datenexporteur ergreifen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor Sicherheitsverletzungen, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf diese Daten führen (im Folgenden „Verletzung personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus tragen sie dem Stand der Technik, den Implementierungskosten, Art, Umfang, Kontext und Zweck der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die betroffene Person gebührend Rechnung. Die Vertragsparteien erwägen insbesondere, auf Verschlüsselung oder Pseudonymisierung zurückzugreifen, auch während der Übertragung, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle einer Pseudonymisierung bleiben die zusätzlichen Informationen, die zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person führen, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs oder des für die Verarbeitung Verantwortlichen. Um seinen Verpflichtungen aus diesem Absatz nachzukommen, ergreift der Datenimporteur zumindest die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen auch weiterhin ein angemessenes Sicherheitsniveau bieten.
(b) Der Datenimporteur gewährt Mitgliedern seines Personals Zugang zu den Daten nur in dem Umfang, der für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Minderung ihrer nachteiligen Auswirkungen. Der Datenimporteur unterrichtet außerdem unverzüglich den Datenexporteur und, sofern angemessen und durchführbar, den für die Verarbeitung Verantwortlichen, nachdem er von dem Verstoß Kenntnis erlangt hat. Diese Mitteilung enthält die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art des Verstoßes (einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und der betroffenen personenbezogenen Daten), seiner wahrscheinlichen Folgen und der Maßnahmen, die ergriffen oder vorgeschlagen wurden, um der Datenschutzverletzung zu begegnen, einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen. Falls und soweit es nicht möglich ist, alle Informationen gleichzeitig vorzulegen, enthält die erste Mitteilung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen sind, sobald sie verfügbar sind, unverzüglich bereitzustellen.
(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seine
Verpflichtungen gemäß der Verordnung (EU) 2016/679, insbesondere den für die Verarbeitung Verantwortlichen zu benachrichtigen, damit dieser wiederum die zuständige Aufsichtsbehörde und die betroffenen Personen benachrichtigen kann, wobei die Art der Verarbeitung und die dem Datenimporteur zur Verfügung stehenden Informationen zu berücksichtigen sind.
8.7 Sensible Daten
Betrifft die Übermittlung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Orientierung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden „sensible Daten“), so wendet der Datenimporteur die in Anhang I.B aufgeführten spezifischen Einschränkungen und/oder zusätzlichen Schutzmaßnahmen an.
8.8 Weiterüberweisungen
Der Datenimporteur gibt die personenbezogenen Daten nur auf Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen an Dritte weiter, wie sie dem Datenimporteur vom Datenexporteur mitgeteilt wurden. Darüber hinaus dürfen die Daten nur an Dritte außerhalb der Europäischen Union (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden „Weiterübermittlung“) weitergegeben werden, wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:
i) die Weiterübermittlung erfolgt in ein Land, für das ein Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt, der die Weiterübermittlung regelt;
ii) der Dritte gewährleistet auf andere Weise angemessene Schutzmaßnahmen gemäß den Artikeln 46 oder 47 der Verordnung (EU) 2016/679;
(iii) die Weiterübermittlung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen bestimmter Verwaltungs-, Regulierungs- oder Gerichtsverfahren erforderlich; oder
(iv) Die Weiterübermittlung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Jede Weiterübermittlung unterliegt der Einhaltung aller anderen Schutzmaßnahmen gemäß diesen Klauseln durch den Datenimporteur, insbesondere der Zweckbindung.
8.9 Dokumentation und Einhaltung
(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs oder des für die Verarbeitung Verantwortlichen, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und angemessen.
(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere muss der Datenimporteur angemessene Unterlagen über die im Namen des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungstätigkeiten aufbewahren.
(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und dieser stellt sie dem für die Verarbeitung Verantwortlichen zur Verfügung.
(d) Der Datenimporteur ermöglicht und trägt dazu bei, dass der Datenexporteur die unter diese Klauseln fallenden Verarbeitungstätigkeiten überprüft, und zwar in angemessenen Abständen oder wenn Anzeichen für eine Nichteinhaltung vorliegen. Das Gleiche gilt, wenn der Datenexporteur auf Anweisung des für die Verarbeitung Verantwortlichen eine Prüfung beantragt. Bei der Entscheidung über ein Audit kann der Datenexporteur die entsprechenden Zertifizierungen berücksichtigen, über die der Datenimporteur verfügt.
(e) Wird das Audit auf Anweisung des für die Verarbeitung Verantwortlichen durchgeführt, stellt der Datenexporteur die Ergebnisse dem für die Verarbeitung Verantwortlichen zur Verfügung.
(f) Der Datenexporteur kann wählen, ob er die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen möchte. Audits können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und müssen gegebenenfalls mit einer angemessenen Frist durchgeführt werden.
g) Die Vertragsparteien stellen der zuständigen Aufsichtsbehörde die in den Absätzen b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
MODUL VIER: Prozessor zur Steuerung übertragen
8.1 Anweisungen
(a) Der Datenexporteur verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenimporteurs, der als sein für die Verarbeitung Verantwortlicher fungiert.
(b) Der Datenexporteur informiert den Datenimporteur unverzüglich, wenn er nicht in der Lage ist, diese Anweisungen zu befolgen, auch wenn diese Anweisungen gegen die Verordnung (EU) 2016/679 oder andere Datenschutzgesetze der Union oder der Mitgliedstaaten verstoßen.
(c) Der Datenimporteur unterlässt alle Maßnahmen, die den Datenexporteur daran hindern würden, seinen Verpflichtungen gemäß der Verordnung (EU) 2016/679 nachzukommen, auch im Zusammenhang mit der Unterverarbeitung oder in Bezug auf die Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
(d) Nach Beendigung der Erbringung der Verarbeitungsdienste löscht der Datenexporteur nach Wahl des Datenimporteurs alle im Namen des Datenimporteurs verarbeiteten personenbezogenen Daten und bestätigt dem Datenimporteur, dass er dies getan hat, oder gibt alle in seinem Namen verarbeiteten personenbezogenen Daten an den Datenimporteur zurück und löscht vorhandene Kopien.
8.2 Sicherheit der Verarbeitung
(a) Die Vertragsparteien ergreifen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten, auch während der Übertragung, und den Schutz vor einer Sicherheitsverletzung zu gewährleisten, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff führt (im Folgenden „Verletzung personenbezogener Daten“). Bei der Bewertung des angemessenen Sicherheitsniveaus berücksichtigen sie gebührend den Stand der Technik, die Implementierungskosten, die Art der personenbezogenen Daten, die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen und erwägen insbesondere, auf Verschlüsselung oder Pseudonymisierung zurückzugreifen, auch bei der Übertragung, sofern der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.
(b) Der Datenexporteur unterstützt den Datenimporteur dabei, eine angemessene Sicherheit der Daten gemäß Absatz (a) zu gewährleisten. Im Falle einer Verletzung des Schutzes personenbezogener Daten, die vom Datenexporteur gemäß diesen Klauseln verarbeitet werden, benachrichtigt der Datenexporteur den Datenimporteur unverzüglich, nachdem er davon Kenntnis erlangt hat, und unterstützt den Datenimporteur bei der Behebung des Verstoßes.
(c) Der Datenexporteur stellt sicher, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8.3 Dokumentation und Einhaltung
(a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
(b) Der Datenexporteur stellt dem Datenimporteur alle Informationen zur Verfügung, die erforderlich sind, um nachzuweisen, dass er seinen Verpflichtungen aus diesen Klauseln nachkommt, und ermöglicht Audits und trägt dazu bei.
Klausel 9 — Einsatz von Unterauftragsverarbeitern
MODUL ZWEI: Controller zum Prozessor übertragen
(a) Der Datenimporteur verfügt über die allgemeine Genehmigung des Datenexporteurs, Unterauftragsverarbeiter aus einer vereinbarten Liste zu beauftragen. Der Datenimporteur informiert den Datenexporteur ausdrücklich schriftlich über alle geplanten Änderungen an dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus, sodass der Datenexporteur ausreichend Zeit hat, um solchen Änderungen vor der Beauftragung des oder der Unterauftragsverarbeiter zu widersprechen. Der Datenimporteur stellt dem Datenexporteur die Informationen zur Verfügung, die er benötigt, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), erfolgt dies im Rahmen eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln verpflichten, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Verpflichtungen gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
(c) Der Datenimporteur stellt dem Datenexporteur auf Anfrage des Datenexporteurs eine Kopie einer solchen Unterverarbeitungsvereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Vertragstext vor der Weitergabe einer Kopie redigieren.
(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Klausel über Drittbegünstigte, wonach der Datenexporteur — falls der Datenimporteur tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist — das Recht hat, den Unterauftragsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
MODUL DREI: Prozessor zu Prozessor übertragen
(a) Der Datenimporteur verfügt über die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen, Unterauftragsverarbeiter aus einer vereinbarten Liste zu beauftragen. Der Datenimporteur informiert den für die Verarbeitung Verantwortlichen ausdrücklich schriftlich über alle geplanten Änderungen an dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern mindestens 30 Tage im Voraus, sodass der für die Verarbeitung Verantwortliche ausreichend Zeit hat, um solchen Änderungen vor der Beauftragung des oder der Unterauftragsverarbeiter zu widersprechen. Der Datenimporteur stellt dem für die Verarbeitung Verantwortlichen die Informationen zur Verfügung, die dieser benötigt, damit dieser sein Widerspruchsrecht ausüben kann. Der Datenimporteur informiert den Datenexporteur über die Beauftragung des/der Unterauftragsverarbeiter (s).
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des für die Verarbeitung Verantwortlichen), erfolgt dies im Rahmen eines schriftlichen Vertrags, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln verpflichten, auch in Bezug auf die Rechte der betroffenen Personen als Drittbegünstigte. Die Parteien vereinbaren, dass der Datenimporteur durch die Einhaltung dieser Klausel seinen Verpflichtungen nachkommt
Maßnahmen gemäß Klausel 8.8. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
(c) Der Datenimporteur stellt auf Anfrage des Datenexporteurs oder des für die Verarbeitung Verantwortlichen eine Kopie einer solchen Unterverarbeitungsvereinbarung und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie redigieren.
(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur unterrichtet den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Klausel über Drittbegünstigte, wonach der Datenexporteur — falls der Datenimporteur tatsächlich verschwunden ist, rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist — das Recht hat, den Unterauftragsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Klausel 10 — Rechte der betroffenen Person
MODUL EINS: Controller zu Controller übertragen
(a) Der Datenimporteur bearbeitet, gegebenenfalls mit Unterstützung des Datenexporteurs, alle Anfragen und Anfragen, die er von einer betroffenen Person im Zusammenhang mit der Verarbeitung seiner/ihrer personenbezogenen Daten und der Ausübung seiner/ihrer Rechte gemäß diesen Klauseln erhält, unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage oder Anfrage. Der Datenimporteur ergreift geeignete Maßnahmen, um solche Anfragen, Anfragen und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache zur Verfügung gestellt werden.
(b) Auf Anfrage der betroffenen Person muss der Datenimporteur insbesondere kostenlos:
(i) der betroffenen Person eine Bestätigung darüber erteilen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, eine Kopie der sie betreffenden Daten und der Informationen in Anhang I; falls personenbezogene Daten weitergegeben wurden oder werden, Informationen über Empfänger oder Kategorien von Empfängern (soweit angemessen, um aussagekräftige Informationen bereitzustellen), an die die personenbezogenen Daten weitergegeben wurden oder werden, den Zweck dieser Weitergabe Übertragungen und deren Grund gemäß Klausel 8.7; und stellen Informationen über die Recht, gemäß Klausel 12 (c) (i) eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
(ii) unrichtige oder unvollständige Daten über die betroffene Person berichtigen;
(iii) personenbezogene Daten, die die betroffene Person betreffen, zu löschen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln verarbeitet werden oder wurden, die Rechte Dritter gewährleisten, oder wenn die betroffene Person die Einwilligung widerruft, auf der die Verarbeitung beruhte.
(c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Direktmarketingzwecke, stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person dem widerspricht.
(d) Der Datenimporteur darf keine Entscheidung treffen, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruht (im Folgenden „automatisierte Entscheidung“), die rechtliche Auswirkungen für die betroffene Person haben oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, die betroffene Person hat ausdrücklich zugestimmt oder ist nach den Gesetzen des Bestimmungslandes dazu befugt, sofern diese Gesetze geeignete Maßnahmen zum Schutz der Rechte und berechtigten Interessen der betroffenen Person vorsehen. In diesem Fall geht der Datenimporteur, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, wie folgt vor:
(i) die betroffene Person über die geplante automatisierte Entscheidung, die geplanten Folgen und die damit verbundene Logik zu informieren; und
ii) angemessene Schutzmaßnahmen ergreifen, zumindest indem sie es der betroffenen Person ermöglichen, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch eine Person zu erwirken.
(e) Bei Anfragen einer betroffenen Person, insbesondere weil sie sich wiederholen, kann der Datenimporteur entweder eine angemessene Gebühr erheben, die die Verwaltungskosten für die Bewilligung des Antrags berücksichtigt, oder sich weigern, dem Antrag nachzukommen.
(f) Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Gesetzen des Bestimmungslandes zulässig ist und in einer demokratischen Gesellschaft notwendig und angemessen ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen.
(g) Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, informiert er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen und/oder Rechtsbehelfe einzulegen.
MODUL ZWEI: Controller zum Prozessor übertragen
(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über alle Anfragen, die er von einer betroffenen Person erhalten hat. Er beantwortet dieses Ersuchen nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. In diesem Zusammenhang legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest und berücksichtigen dabei die Art der Verarbeitung, im Rahmen derer die Unterstützung geleistet wird, sowie den Umfang und den Umfang der benötigten Unterstützung.
(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.
MODUL DREI: Prozessor zu Prozessor übertragen
a) Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den für die Verarbeitung Verantwortlichen unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat, ohne auf diese Anfrage zu antworten, sofern er nicht vom für die Verarbeitung Verantwortlichen dazu ermächtigt wurde.
(b) Der Datenimporteur unterstützt den für die Verarbeitung Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, sofern zutreffend. In diesem Zusammenhang legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest und berücksichtigen dabei die Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und den Umfang der benötigten Unterstützung.
(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) hat der Datenimporteur die vom Datenexporteur übermittelten Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen.
MODUL VIER: Prozessor zur Steuerung übertragen
Die Vertragsparteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anfragen von betroffenen Personen gemäß dem für den Datenimporteur geltenden lokalen Recht oder, für die Datenverarbeitung durch den Datenexporteur in der EU, gemäß der Verordnung (EU) 2016/679.
Klausel 10 — Rechte der betroffenen Person
MODUL EINS: Controller zu Controller übertragen
(a) Der Datenimporteur, gegebenenfalls mit Unterstützung des Datenexporteurs, bearbeitet alle Anfragen und Anfragen, die er von einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte gemäß diesen Klauseln erhält, unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage oder Anfrage. (10) Der Datenimporteur ergreift geeignete Maßnahmen, um solche Anfragen, Anfragen und die Ausübung der betroffenen Person zu erleichtern. Rechte. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache zur Verfügung gestellt werden.
(b) Auf Anfrage der betroffenen Person muss der Datenimporteur insbesondere kostenlos:
(i) der betroffenen Person eine Bestätigung darüber erteilen, ob sie betreffende personenbezogene Daten verarbeitet werden, und, falls dies der Fall ist, eine Kopie der sie betreffenden Daten und der Informationen in Anhang I; falls personenbezogene Daten weitergegeben wurden oder werden, Informationen über Empfänger oder Kategorien von Empfängern (soweit angemessen, um aussagekräftige Informationen bereitzustellen), an die die personenbezogenen Daten weitergegeben wurden oder werden, den Zweck dieser Weitergabe Übertragungen und deren Grund gemäß Klausel 8.7; und stellen Informationen über die Recht, gemäß Klausel 12 (c) (i) eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
(ii) unrichtige oder unvollständige Daten über die betroffene Person berichtigen;
(iii) personenbezogene Daten, die die betroffene Person betreffen, zu löschen, wenn diese Daten unter Verstoß gegen eine dieser Klauseln verarbeitet werden oder wurden, die Rechte Dritter gewährleisten, oder wenn die betroffene Person die Einwilligung widerruft, auf der die Verarbeitung beruhte.
(c) Verarbeitet der Datenimporteur die personenbezogenen Daten für Direktmarketingzwecke, stellt er die Verarbeitung für diese Zwecke ein, wenn die betroffene Person dem widerspricht.
(d) Der Datenimporteur darf keine Entscheidung treffen, die ausschließlich auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruht (im Folgenden „automatisierte Entscheidung“), die rechtliche Auswirkungen für die betroffene Person haben oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, die betroffene Person hat ausdrücklich zugestimmt oder ist nach den Gesetzen des Bestimmungslandes dazu befugt, sofern diese Gesetze geeignete Maßnahmen zum Schutz der Rechte und berechtigten Interessen der betroffenen Person vorsehen. In diesem Fall geht der Datenimporteur, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, wie folgt vor:
(i) die betroffene Person über die geplante automatisierte Entscheidung, die geplanten Folgen und die damit verbundene Logik zu informieren; und
ii) angemessene Schutzmaßnahmen ergreifen, zumindest indem sie es der betroffenen Person ermöglichen, die Entscheidung anzufechten, ihren Standpunkt darzulegen und eine Überprüfung durch eine Person zu erwirken.
(e) Bei Anfragen einer betroffenen Person, insbesondere weil sie sich wiederholen, kann der Datenimporteur entweder eine angemessene Gebühr erheben, die die Verwaltungskosten für die Bewilligung des Antrags berücksichtigt, oder sich weigern, dem Antrag nachzukommen.
(f) Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach den Gesetzen des Bestimmungslandes zulässig ist und in einer demokratischen Gesellschaft notwendig und angemessen ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen.
(g) Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, informiert er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen und/oder Rechtsbehelfe einzulegen.
MODUL ZWEI: Controller zum Prozessor übertragen
(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über alle Anfragen, die er von einer betroffenen Person erhalten hat. Er beantwortet dieses Ersuchen nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. In diesem Zusammenhang legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest und berücksichtigen dabei die Art der Verarbeitung, im Rahmen derer die Unterstützung geleistet wird, sowie den Umfang und den Umfang der benötigten Unterstützung.
(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.
MODUL DREI: Prozessor zu Prozessor übertragen
a) Der Datenimporteur unterrichtet den Datenexporteur und gegebenenfalls den für die Verarbeitung Verantwortlichen unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat, ohne auf diese Anfrage zu antworten, sofern er nicht vom für die Verarbeitung Verantwortlichen dazu ermächtigt wurde.
(b) Der Datenimporteur unterstützt den für die Verarbeitung Verantwortlichen, gegebenenfalls in Zusammenarbeit mit dem Datenexporteur, bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, sofern zutreffend. In diesem Zusammenhang legen die Vertragsparteien in Anhang II die geeigneten technischen und organisatorischen Maßnahmen fest und berücksichtigen dabei die Art der Verarbeitung, durch die die Unterstützung geleistet wird, sowie den Umfang und den Umfang der benötigten Unterstützung.
(c) Bei der Erfüllung seiner Verpflichtungen gemäß den Absätzen (a) und (b) hat der Datenimporteur die vom Datenexporteur übermittelten Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen.
MODUL VIER: Prozessor zur Steuerung übertragen
Die Vertragsparteien unterstützen sich gegenseitig bei der Beantwortung von Anfragen und Anfragen von betroffenen Personen gemäß dem für den Datenimporteur geltenden lokalen Recht oder, für die Datenverarbeitung durch den Datenexporteur in der EU, gemäß der Verordnung (EU) 2016/679.
Klausel 11 — Rechtsbehelfe
(a) Der Datenimporteur informiert die betroffenen Personen in transparenter und leicht zugänglicher Form durch eine individuelle Mitteilung oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Sie bearbeitet umgehend alle Beschwerden, die sie von einer betroffenen Person erhält.
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
(b) Im Falle einer Streitigkeit zwischen einer betroffenen Person und einer der Parteien über die Einhaltung dieser Klauseln wird sich diese Partei nach besten Kräften bemühen, das Problem rechtzeitig einvernehmlich zu lösen. Die Vertragsparteien halten einander über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
(c) Macht die betroffene Person ein Recht als Drittbegünstigter gemäß Klausel 3 geltend, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person,
(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats seines gewöhnlichen Aufenthalts oder Arbeitsplatzes oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;
(ii) den Rechtsstreit an die zuständigen Gerichte im Sinne von Klausel 18 weiterleiten.
(d) Die Vertragsparteien akzeptieren, dass sich die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 festgelegten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten lassen kann.
(e) Der Datenimporteur hält sich an eine Entscheidung, die nach geltendem EU-Recht oder dem Recht der Mitgliedstaaten verbindlich ist.
(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Wahl ihre materiellen und verfahrenstechnischen Rechte, Rechtsbehelfe gemäß den geltenden Gesetzen einzulegen, nicht beeinträchtigt.
Klausel 12 — Haftung
MODUL EINS: Controller zu Controller übertragen
MODUL VIER: Prozessor zur Steuerung übertragen
(a) Jede Partei haftet gegenüber der anderen Partei (en) für alle Schäden, die sie der anderen Partei (en) durch einen Verstoß gegen diese Klauseln zufügt.
(b) Jede Partei haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die die Partei der betroffenen Person durch die Verletzung der Rechte Dritter gemäß diesen Klauseln zufügt. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
(c) Wenn mehr als eine Partei für Schäden verantwortlich ist, die der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstehen, haften alle verantwortlichen Parteien gesamtschuldnerisch und die betroffene Person ist berechtigt, eine Klage gegen jede dieser Parteien vor Gericht zu erheben.
(d) Die Parteien kommen überein, dass, wenn eine Partei gemäß Absatz (c) haftbar gemacht wird, sie berechtigt ist, von der anderen Partei (n) den Teil der Entschädigung zurückzufordern, der ihren/ihrer Verantwortung für den Schaden entspricht.
(e) Der Datenimporteur darf sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um seiner eigenen Haftung zu entgehen.
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
(a) Jede Partei haftet gegenüber der anderen Partei (en) für alle Schäden, die sie der anderen Partei (en) durch einen Verstoß gegen diese Klauseln zufügt.
(b) Der Datenimporteur haftet gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte Dritter gemäß diesen Klauseln zufügt.
(c) Ungeachtet des Absatzes (b) haftet der Datenexporteur gegenüber der betroffenen Person, und die betroffene Person hat Anspruch auf Entschädigung für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch Verletzung der Rechte Dritter gemäß diesen Klauseln zufügt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, falls der Datenexporteur ein Auftragsverarbeiter ist, der im Namen eines für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725, soweit zutreffend.
(d) Die Vertragsparteien kommen überein, dass der Datenexporteur, wenn er gemäß Absatz (c) für Schäden haftet, die vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursacht wurden, berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
(e) Wenn mehr als eine Partei für Schäden verantwortlich ist, die der betroffenen Person durch einen Verstoß gegen diese Klauseln entstehen, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, vor Gericht gegen jede dieser Parteien zu klagen.
(f) Die Vertragsparteien kommen überein, dass, wenn eine Partei gemäß Absatz (e) haftbar gemacht wird, sie berechtigt ist, von der anderen Partei (n) den Teil der Entschädigung zurückzufordern, der ihren/ihrer Verantwortung für den Schaden entspricht.
(g) Der Datenimporteur darf sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seiner eigenen Haftung zu entgehen.
Klausel 13 — Aufsicht
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
(a) Wenn der Datenexporteur in einem EU-Mitgliedstaat ansässig ist: Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur die Verordnung (EU) 2016/679 in Bezug auf die Datenübertragung gemäß Anhang I.C einhält, fungiert als zuständige Aufsichtsbehörde.
(b) Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 fällt und einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 benannt hat: Die Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, wie im Anhang angegeben I.C., fungiert als zuständige Aufsichtsbehörde.
(c) Wenn der Datenexporteur nicht in einem EU-Mitgliedstaat ansässig ist, aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in den räumlichen Anwendungsbereich der Verordnung (EU) 2016/679 fällt, ohne jedoch einen Vertreter gemäß Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen zu müssen: Die Aufsichtsbehörde eines der Mitgliedstaaten, in die die betroffenen Personen, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen übermittelt werden für sie oder deren Verhalten überwacht wird, sich befinden, wie in Anhang I.C angegeben, handelt als zuständige Aufsichtsbehörde.
(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Gerichtsbarkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren zur Sicherstellung der Einhaltung dieser Klauseln mit der zuständigen Aufsichtsbehörde zusammenzuarbeiten. Insbesondere verpflichtet sich der Datenimporteur, Anfragen zu beantworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde ergriffenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, einzuhalten. Er bestätigt der Aufsichtsbehörde schriftlich, dass die erforderlichen Maßnahmen getroffen wurden.
ABSCHNITT III — LOKALE GESETZE UND PFLICHTEN IM FALLE DES ZUGRIFFS DURCH BEHÖRDEN
Klausel 14 — Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
VIERTES MODUL: Weiterverarbeiter an den für die Verarbeitung Verantwortlichen (wobei der EU-Auftragsverarbeiter die vom für die Verarbeitung Verantwortlichen aus dem Drittland erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden)
(a) Die Vertragsparteien gewährleisten, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die für die Verarbeitung der personenbezogenen Daten durch den Datenimporteur gelten, einschließlich der Anforderungen zur Offenlegung personenbezogener Daten oder der Maßnahmen, die den Zugriff durch Behörden genehmigen, den Datenimporteur daran hindern, seinen Verpflichtungen aus diesen Klauseln nachzukommen. Dies beruht auf der Auffassung, dass Gesetze und Praktiken, die den Kern der Grundrechte und Grundfreiheiten achten und nicht über das hinausgehen, was in einer demokratischen Gesellschaft zur Wahrung eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele erforderlich und angemessen ist, nicht im Widerspruch zu diesen Klauseln stehen.
b) Die Parteien erklären, dass sie bei der Gewährung der Garantie nach Absatz (a) insbesondere die folgenden Elemente gebührend berücksichtigt haben:
i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle; beabsichtigte Weiterübermittlungen; die Art des Empfängers; der Zweck der Verarbeitung; die Kategorien und das Format der übermittelten personenbezogenen Daten; der Wirtschaftssektor, in dem die Übertragung erfolgt; der Speicherort der übermittelten Daten;
ii) die Gesetze und Praktiken des Bestimmungsdrittlands — einschließlich derjenigen, die die Offenlegung von Daten an Behörden oder die Genehmigung des Zugriffs durch diese Behörden vorschreiben —, die angesichts der besonderen Umstände der Übertragung relevant sind, sowie die geltenden Beschränkungen und Schutzmaßnahmen;
(iii) alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsvorkehrungen, die zur Ergänzung der Schutzmaßnahmen gemäß diesen Klauseln getroffen wurden, einschließlich Maßnahmen, die während der Übertragung und Verarbeitung der personenbezogenen Daten im Zielland angewendet werden.
(c) Der Datenimporteur gewährleistet, dass er sich bei der Durchführung der Bewertung gemäß Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er weiterhin mit dem Datenexporteur zusammenarbeitet, um die Einhaltung dieser Klauseln sicherzustellen.
d) Die Vertragsparteien kommen überein, die Bewertung gemäß Absatz (b) zu dokumentieren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Der Datenimporteur verpflichtet sich, den Datenexporteur umgehend zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und für die Dauer des Vertrags Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder geworden ist, die nicht den Anforderungen gemäß Absatz (a) entsprechen, einschließlich aufgrund einer Änderung der Gesetze des Drittlands oder einer Maßnahme (wie einer Offenlegungsanfrage), die darauf hindeutet, dass diese Gesetze in der Praxis nicht im Einklang mit die Anforderungen in Absatz (a).
(f) Nach einer Mitteilung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen aus diesen Klauseln nicht mehr nachkommen kann, bestimmt der Datenexporteur umgehend geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/oder Datenimporteur ergreifen muss, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine angemessenen Schutzmaßnahmen für eine solche Übertragung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu aufgefordert wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft. Wenn an dem Vertrag mehr als zwei Parteien beteiligt sind, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die jeweilige Partei ausüben, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, gelten Klausel 16 (d) und (e).
Klausel 15 — Pflichten des Datenimporteurs im Falle des Zugriffs durch Behörden
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
VIERTES MODUL: Weiterverarbeiter an den für die Verarbeitung Verantwortlichen (wobei der EU-Auftragsverarbeiter die vom für die Verarbeitung Verantwortlichen aus dem Drittland erhaltenen personenbezogenen Daten mit personenbezogenen Daten kombiniert, die vom Auftragsverarbeiter in der EU erhoben wurden)
15.1 Benachrichtigung
(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich (falls erforderlich mit Hilfe des Datenexporteurs) zu benachrichtigen, wenn sie:
(i) von einer Behörde, einschließlich Justizbehörden, nach den Gesetzen des Bestimmungslandes eine rechtsverbindliche Anfrage zur Offenlegung der gemäß diesen Klauseln übermittelten personenbezogenen Daten erhält; diese Mitteilung muss Informationen über die angeforderten personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage für die Anfrage und die erteilte Antwort enthalten; oder
(ii) von jedem direkten Zugriff staatlicher Stellen auf personenbezogene Daten Kenntnis erlangt, die gemäß diesen Klauseln gemäß den Gesetzen des Bestimmungslandes übermittelt wurden; diese Mitteilung muss alle Informationen enthalten, die dem Importeur zur Verfügung stehen.
(b) Wenn es dem Datenimporteur nach den Gesetzen des Bestimmungslandes untersagt ist, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, verpflichtet sich der Datenimporteur, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur verpflichtet sich, seine Bemühungen zu dokumentieren, um sie auf Anfrage des Datenexporteurs nachweisen zu können.
(c) Soweit nach den Gesetzen des Bestimmungslandes zulässig, verpflichtet sich der Datenimporteur, dem Datenexporteur während der Vertragsdauer in regelmäßigen Abständen so viele relevante Informationen wie möglich über die eingegangenen Anfragen zur Verfügung zu stellen (insbesondere Anzahl der Anfragen, Art der angeforderten Daten, ersuchende Behörde (n), ob Anträge angefochten wurden und das Ergebnis solcher Anfechtungen usw.).
(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Die Absätze (a) bis (c) lassen die Verpflichtung des Datenimporteurs gemäß Klausel 14 (e) und Klausel 16 unberührt, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Antrags auf Offenlegung zu überprüfen, insbesondere, ob es im Rahmen der Befugnisse bleibt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass berechtigte Gründe zu der Annahme bestehen, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den geltenden Verpflichtungen nach dem Völkerrecht und den Grundsätzen der internationalen Zusammenarbeit rechtswidrig ist. Der Datenimporteur prüft unter den gleichen Bedingungen die Möglichkeit, Rechtsbehelfe einzulegen. Wenn der Datenimporteur ein Ersuchen anfechtet, ergreift er vorläufige Maßnahmen, um die Wirkung des Antrags auszusetzen, bis die zuständige Justizbehörde in der Sache entschieden hat. Er gibt die angeforderten personenbezogenen Daten nicht weiter, bis er dazu nach den geltenden Verfahrensvorschriften verpflichtet ist. Diese Anforderungen gelten unbeschadet der Verpflichtungen des Datenimporteurs gemäß Klausel 14 (e).
(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Bewertung und jede Anfechtung des Antrags auf Offenlegung zu dokumentieren und die Unterlagen, soweit dies nach den Gesetzen des Bestimmungslandes zulässig ist, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
(c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Auskunftsersuchens die zulässige Mindestmenge an Informationen bereitzustellen, und zwar auf der Grundlage einer angemessenen Interpretation des Antrags.
ABSCHNITT IV — SCHLUSSBESTIMMUNGEN
Klausel 16 — Nichteinhaltung der Klauseln und Kündigung
(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er aus irgendeinem Grund nicht in der Lage ist, diese Klauseln einzuhalten.
(b) Für den Fall, dass der Datenimporteur gegen diese Klauseln verstößt oder diese Klauseln nicht einhalten kann, setzt der Datenexporteur die Übertragung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung erneut gewährleistet ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet von Klausel 14 (f).
(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:
(i) der Datenexporteur hat die Übermittlung personenbezogener Daten an den Datenimporteur gemäß Absatz (b) ausgesetzt und die Einhaltung dieser Klauseln wird nicht innerhalb einer angemessenen Frist, in jedem Fall jedoch innerhalb eines Monats nach der Aussetzung, wiederhergestellt;
(ii) der Datenimporteur verstößt erheblich oder anhaltend gegen diese Klauseln; oder
(iii) der Datenimporteur kommt einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen aus diesen Klauseln nicht nach. In diesen Fällen informiert er die zuständige Aufsichtsbehörde über eine solche Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur gegenüber der betreffenden Partei ausüben, sofern die Parteien nichts anderes vereinbart haben.
(d) Für Modul Zwei: Personenbezogene Daten, die vor der Beendigung des Vertrags gemäß Absatz (c) übertragen wurden, werden nach Wahl des Datenexporteurs sofort an den Datenexporteur zurückgegeben oder vollständig gelöscht. Das Gleiche gilt für etwaige Kopien der Daten. Für Modul Vier: Personenbezogene Daten, die vom Datenexporteur in der EU erhoben und vor Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, werden unverzüglich in ihrer Gesamtheit gelöscht, einschließlich aller Kopien davon. Der Datenimporteur bestätigt dem Datenexporteur die Löschung der Daten. Bis die Daten gelöscht oder zurückgegeben werden, muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Im Falle lokaler Gesetze, die für den Datenimporteur gelten und die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln sicherstellt und die Daten nur in dem Umfang und so lange verarbeitet, wie dies nach dem lokalen Recht erforderlich ist.
(e) Jede Partei kann ihre Zustimmung, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten regelt, für die diese Klauseln gelten, oder
(ii) Die Verordnung (EU) 2016/679 wird Teil des Rechtsrahmens des Landes, in das die personenbezogenen Daten übertragen werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17 — Geltendes Recht
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht die Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies dem Recht des Mitgliedstaats unterliegt, der in der Datenschutzvereinbarung, der diese Klauseln beigefügt sind, angegeben ist.
MODUL VIER: Prozessor zur Steuerung übertragen
Diese Klauseln unterliegen dem Recht eines Landes, das die Rechte Dritter zulässt. Die Parteien vereinbaren, dass dies das in der Datenschutzvereinbarung festgelegte Recht ist, der diese Klauseln beigefügt sind.
Klausel 18 — Wahl des Gerichtsstands und des Gerichtsstands
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.
(b) Die Parteien vereinbaren, dass dies die Gerichte des Mitgliedstaats sind, der in der Datenschutzvereinbarung genannt ist, der diese Klauseln beigefügt sind.
(c) Eine betroffene Person kann auch vor den Gerichten des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt hat, rechtliche Schritte gegen den Datenexporteur und/oder Datenimporteur einleiten.
(d) Die Parteien vereinbaren, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen.
MODUL VIER: Prozessor zur Steuerung übertragen
Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten des Mitgliedstaats beigelegt, der in der Datenschutzvereinbarung, der diese Klauseln beigefügt sind, angegeben ist.
ANHANG
ANLAGE I
A. LISTE DER PARTEIEN
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
MODUL VIER: Prozessor zur Steuerung übertragen
Datenexporteur (en): Kunde, wie in der Datenverarbeitungsvereinbarung angegeben, der die Standardvertragsklauseln beigefügt sind.
1. Bezeichnung:
Kunde, wie im Rahmenvertrag angegeben.
Adresse:
Wie im Rahmenvertrag festgelegt.
Name, Position und Kontaktdaten der Kontaktperson:
Wie im Rahmenvertrag festgelegt.
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind:
Empfang und Nutzung der Waren, Dienstleistungen und/oder Software im Rahmen der Vereinbarung.
Unterschrift und Datum:
Siehe Unterschriftsseite zum Rahmenvertrag.
Von: [CounterpartySignerSignature_EQFX7OT]
(Unterschrift)
[Name des Unterzeichners der Gegenpartei _PZT2SXQ] _
(Gedruckter Name)
Es ist: [CounterPartySignerTitle_Z1IEB0Y] _
(Titel)
Rolle (Controller/Prozessor):
Steuerung
Datenimporteur (en): GTreasury, wie in der Datenverarbeitungsvereinbarung angegeben, der die Standardvertragsklauseln beigefügt sind
1. Bezeichnung:
GTreasury, wie im Rahmenvertrag festgelegt.
Adresse:
Wie im Rahmenvertrag angegeben.
Name, Position und Kontaktdaten der Kontaktperson:
Wie im Rahmenvertrag angegeben.
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind:
Leistung im Rahmen der Vereinbarung.
Unterschrift und Datum:
Siehe Unterschriftsseite zum Rahmenvertrag.
Von: [CounterpartySignerSignature_01PXZLP]
(Unterschrift)
[Name des Unterzeichners der Gegenpartei _2LI13B0]
(Gedruckter Name)
Es ist: [CounterPartySignerTitle_L33M0ML]
(Titel)
Rolle (Controller/Prozessor):
Prozessor
B. BESCHREIBUNG DER ÜBERTRAGUNG
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
MODUL VIER: Prozessor zur Steuerung übertragen
Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden.
Mitarbeiter, Auftragnehmer und andere, die die Software und/oder Dienste von GTreasury erhalten und nutzen und/oder die die Beziehung zwischen GTreasury und dem Kunden verwalten.
Personen, deren personenbezogene Daten der Kunde in Aufzeichnungen in den Systemen von GTreasury aufnimmt, soweit dies für die Erfüllung der Vereinbarung durch GTreasury erforderlich ist.
Kategorien der übermittelten personenbezogenen Daten
Informationen, die üblicherweise in einem Support-Ticket enthalten sind (z. B. Name, Geschäftstelefonnummer, geschäftliche E-Mail-Adresse und organisatorische Rolle).
Informationen, die für die Bereitstellung und Verwaltung von Anmelde- und ähnlichen Zugangsdaten (z. B. Name, geschäftliche Telefonnummer, geschäftliche E-Mail-Adresse und organisatorische Rolle) oder für die Rechnungsstellung und den Zahlungseingang erforderlich sind.
Informationen, die für die Erbringung von Schulungs- und/oder Beratungsdienstleistungen erforderlich sind (z. B. Name, Geschäftstelefonnummer, geschäftliche E-Mail-Adresse, organisatorische Rolle, Standort, versuchte und erhaltene Schulung).
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strenge Zweckbeschränkungen, Zugriffsbeschränkungen (einschließlich Zugriff nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Führung von Aufzeichnungen über den Zugriff auf die Daten, Beschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
Keine.
Die Häufigkeit der Übertragung (z. B. ob die Daten einmalig oder kontinuierlich übertragen werden).
Kontinuierlich.
Art der Verarbeitung
Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Konsultation, Verwendung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Anpassung oder Kombination, Einschränkung, Löschung und/oder Zerstörung, alles in dem Umfang, der für die Erfüllung der Vereinbarung erforderlich ist.
Zweck (e) der Datenübertragung und Weiterverarbeitung
Erfüllung der Vereinbarung und/oder Inanspruchnahme der Vorteile aus der Vereinbarung.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, anhand derer dieser Zeitraum festgelegt wurde
Die Laufzeit der Vereinbarung sowie jede zusätzliche Zeit, in der GTreasury aufgrund dieser Vereinbarung verpflichtet ist, diese Informationen aufzubewahren, und in jedem Fall die Zeit, die unter Anwendung branchenüblicher Verfahren erforderlich ist, um diese Informationen zu löschen.
Geben Sie bei Übertragungen an (Unter-) Auftragsverarbeiter auch den Gegenstand, die Art und die Dauer der Verarbeitung an.
Die Laufzeit der Vereinbarung sowie jede zusätzliche Zeit, in der GTreasury aufgrund dieser Vereinbarung verpflichtet ist, diese Informationen aufzubewahren, und in jedem Fall die Zeit, die unter Anwendung branchenüblicher Verfahren erforderlich ist, um diese Informationen zu löschen.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
Identifizieren Sie die zuständige (n) Aufsichtsbehörde (n) gemäß Klausel 13.
Wie in Klausel 13 beschrieben.
ANLAGE II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT
MODUL EINS: Controller zu Controller übertragen
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
Die technischen und organisatorischen Maßnahmen, die in der Vereinbarung mit Ausnahme dieses DPA erforderlich sind.
ANLAGE III
LISTE DER UNTERAUFTRAGSVERARBEITER
MODUL ZWEI: Controller zum Prozessor übertragen
MODUL DREI: Prozessor zu Prozessor übertragen
Der für die Verarbeitung Verantwortliche hat den Einsatz der folgenden Unterauftragsverarbeiter autorisiert:
1. Name
Microsoft Corp. (und/oder ihre verbundenen Unternehmen, die Azure-Dienste bereitstellen)
Adresse
Ein Microsoft-Weg
Redmond, Washington 98052-6399
+1425-882-8080
Name, Position und Kontaktdaten der Kontaktperson:
EU-Datenschutzbeauftragter von Microsoft
Ein Microsoft Place
Gewerbepark South County
Leopardstown
Dublin 18
D18 P521
Irland
Telefon: +353 (1) 706-3117
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Hosting-Dienste, die für die Erbringung der Dienste im Rahmen der Vereinbarung erforderlich sind.
2. Name
Amazon Web Services, Inc. (und/oder seine verbundenen Unternehmen, die AWS-Hostingdienste anbieten, einschließlich, aber nicht beschränkt auf Amazon Web Services EMEA SARL und Amazon Internet Services Private Limited)
Adresse
410 Terry Avenue North
Seattle, Washington 98109-5210,
+1425-882-8080
Name, Position und Kontaktdaten der Kontaktperson:
Datenschutzbeauftragter von Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy
L-1855, Luxemburg,
ACHTUNG: AWS EMEA Legal
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Hosting-Dienste, die für die Erbringung der Dienste im Rahmen der Vereinbarung erforderlich sind.
3. Name
Rackspace Technology, Inc. (und/oder seine verbundenen Unternehmen, die Hosting-Dienste anbieten)
Adresse
1 Fanatischer Ort
Windcrest, Texas 78218
+1 210-312-4000
Name, Position und Kontaktdaten der Kontaktperson:
Leitender Datenschutzbeauftragter
Rackspace Technology, Inc.
1 Fanatischer Ort
Windcrest, Texas 78218
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten für den Fall, dass mehrere Unterauftragsverarbeiter autorisiert sind):
Hosting-Dienste, die für die Erbringung der Dienste im Rahmen der Vereinbarung erforderlich sind.
Siehe GTreasury in Aktion
Nehmen Sie noch heute Kontakt mit unterstützenden Experten, umfassenden Lösungen und ungenutzten Möglichkeiten auf.
