de Deutsch
English French Deutsch Português Español Русский
Anmelden
Register
de Deutsch
English French Deutsch Português Español Русский
Anmelden
Register

Zusatzvereinbarung zur Datenverarbeitung

Dieses Addendum zur Datenverarbeitung (das „Addendum“) wird von und zwischen DEVAR und dem Lizenznehmer („Entwickler“) geschlossen.

Dieser Nachtrag ist Bestandteil der Allgemeinen Geschäftsbedingungen, des Lizenzvertrags und/oder eines anderen Handelsvertrags zwischen dem Entwickler und DEVAR („Vertrag“) und gilt in Bezug auf die Erbringung der Dienstleistungen für den Entwickler, wenn die Verarbeitung personenbezogener Daten des Entwicklers (wie unten definiert) der DSGVO unterliegt, nur insoweit, als der Entwickler ein für die Verarbeitung personenbezogener Daten des Entwicklers Verantwortlicher ist und DEVAR ein Auftragsverarbeiter ist. Der Nachtrag soll die Anforderungen von Artikel 28 (3) der DSGVO erfüllen. Dieser Nachtrag gilt für die Laufzeit des Vertrages.

DEFINITIONEN.

1.1. Für die Zwecke des Nachtrags:

1.1.1. “Persönliche Daten des Entwicklers” bezeichnet die in Abschnitt 2 dieses Nachtrags beschriebenen persönlichen Daten, für die der Entwickler die verantwortliche Stelle ist;

1.1.2. “Datenschutzgesetzgebung” bezeichnet alle anwendbaren Rechtsvorschriften in Bezug auf den Datenschutz und den Schutz der Privatsphäre, einschließlich, aber nicht beschränkt auf die DSGVO, zusammen mit allen nationalen Umsetzungsgesetzen in jedem Mitgliedstaat der Europäischen Union oder, soweit anwendbar, in jedem anderen Land, in der jeweils geänderten, aufgehobenen, konsolidierten oder ersetzten Fassung;

1.1.3. “GDPR” bezeichnet die Allgemeine Datenschutzverordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dieser Daten;

1.1.4. “Personenbezogene Daten”, “betroffene Person”, “Verletzung des Schutzes personenbezogener Daten”, “Verarbeitung”, “Auftragsverarbeiter” and “für die Verarbeitung Verantwortlicher” haben jeweils die Bedeutung, die ihnen in der DSGVO gegeben wird; und

1.1.5. “Standardvertragsklauseln” bezeichnet die von und zwischen den Parteien geschlossene und als Anlage 1 beigefügte Vereinbarung gemäß dem Beschluss der Europäischen Kommission (C(2010)593) vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten.

1.2. In Großbuchstaben geschriebene Begriffe, die hier nicht anderweitig definiert sind, haben die Bedeutung, die ihnen in der Vereinbarung gegeben wird.

2. EINZELHEITEN DER VERARBEITUNG

2.1. Kategorien von betroffenen Personen. Dieser Nachtrag gilt für die Verarbeitung personenbezogener Daten des Entwicklers, die sich auf die Endnutzer der Produkte und Dienstleistungen des Entwicklers beziehen.

2.2. Arten von Persönlichen Daten. Zu den personenbezogenen Daten des Entwicklers gehören personenbezogene Daten, deren Umfang der Entwickler nach eigenem Ermessen bestimmt und kontrolliert, wie z. B. die IP-Adresse, der Browser-Benutzer-Agent, die Marke, das Modell und das Betriebssystem des Endbenutzergeräts, Informationen über die Nutzung der Endbenutzerprodukte des Entwicklers, die den Service enthalten (z. B. die Dauer der Ausführung des Service), eine eindeutige Geräte-/Anwendungskennung, die nicht dazu verwendet werden kann, Geräte über Anwendungen oder Websites hinweg zu verfolgen, und, mit Zustimmung des Endbenutzers, Kameradaten des Endbenutzergeräts.

2.3. Gegenstand und Art der Verarbeitung. Der Gegenstand der Verarbeitung personenbezogener Daten des Entwicklers durch DEVAR ist die Erbringung der Dienstleistungen für den Entwickler, die die Verarbeitung personenbezogener Daten des Entwicklers beinhaltet. Die personenbezogenen Daten des Bauherrn unterliegen den Verarbeitungsaktivitäten, die DEVAR durchführen muss, um die Dienstleistungen gemäß dem Vertrag zu erbringen.

2.4. Zweck der Verarbeitung. Personenbezogene Daten des Bauherrn werden von DEVAR zum Zwecke der Erbringung der im Vertrag festgelegten Dienstleistungen verarbeitet.

2.5. Dauer der Verarbeitung. Personenbezogene Daten des Entwicklers werden für die Dauer des Vertrages verarbeitet, vorbehaltlich Abschnitt 10 dieses Nachtrags.

3. VERARBEITUNG DER PERSÖNLICHEN DATEN DES ENTWICKLERS

3.1. Die Parteien erkennen an und vereinbaren, dass der Entwickler der Verantwortliche für die personenbezogenen Daten des Entwicklers und DEVAR der Verarbeiter dieser Daten ist. DEVAR wird die personenbezogenen Daten des Entwicklers nur als Auftragsverarbeiter im Namen und in Übereinstimmung mit den vorherigen schriftlichen Anweisungen des Entwicklers verarbeiten, auch in Bezug auf die Übertragung personenbezogener Daten. DEVAR wird hiermit angewiesen, personenbezogene Daten des Entwicklers in dem Umfang zu verarbeiten, der erforderlich ist, um DEVAR in die Lage zu versetzen, die Dienstleistungen in Übereinstimmung mit dem Vertrag zu erbringen.

3.2. Wenn DEVAR die personenbezogenen Daten des Entwicklers aufgrund einer rechtlichen Anforderung nach geltendem Recht der Europäischen Union oder eines Mitgliedstaates nicht in Übereinstimmung mit den Anweisungen des Entwicklers verarbeiten kann, wird DEVAR (i) den Entwickler unverzüglich über diese Unmöglichkeit informieren und dabei die Anweisungen, denen nicht entsprochen werden kann, und die Gründe, warum nicht entsprochen werden kann, in angemessenem Umfang darlegen, soweit dies nach geltendem Recht zulässig ist; und (ii) jegliche Verarbeitung der betroffenen personenbezogenen Daten des Entwicklers (mit Ausnahme der bloßen Speicherung und Aufrechterhaltung der Sicherheit der betroffenen personenbezogenen Daten des Entwicklers) einstellen, bis der Entwickler neue Anweisungen erteilt, denen DEVAR entsprechen kann.

3.3. Sowohl der Entwickler als auch DEVAR werden ihren jeweiligen Verpflichtungen aus der Datenschutzgesetzgebung nachkommen. Der Entwickler stellt sicher, dass er alle Rechte und Zustimmungen (falls erforderlich) erhalten hat (oder erhalten wird), die DEVAR benötigt, um die personenbezogenen Daten des Entwicklers in Übereinstimmung mit diesem Nachtrag zu verarbeiten.

3.4. Der Entwickler erkennt an, dass DEVAR die personenbezogenen Daten des Entwicklers nicht in einer Weise verwaltet, die es DEVAR ermöglicht, die personenbezogenen Daten des Entwicklers mit einer bestimmten betroffenen Person in Verbindung zu bringen. Dementsprechend erklärt sich der Entwickler damit einverstanden, dass DEVAR nicht verpflichtet ist, die in den Abschnitten 7, 8 und 9 dieses Nachtrags angebotene Unterstützung zu leisten, es sei denn, (a) die Zwecke, für die der Entwickler die personenbezogenen Daten des Entwicklers verarbeitet, machen es erforderlich, dass der Entwickler die betroffene Person identifiziert, und (b) der Entwickler stellt DEVAR Informationen zur Verfügung, die ausreichen, um DEVAR die Zuordnung der personenbezogenen Daten des Entwicklers zu einer betroffenen Person zu ermöglichen.

3.5. Im Zusammenhang mit der Erfüllung der Vereinbarung gelten die Standardvertragsklauseln, die diesem Nachtrag als Anlage 1 beigefügt sind, für personenbezogene Daten des Entwicklers, die außerhalb des Europäischen Wirtschaftsraums („EWR“) entweder direkt oder im Wege der Weiterleitung in ein Land übermittelt werden, das von der Europäischen Kommission nicht als Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten (wie in der DSGVO beschrieben) bietet. Die Standardvertragsklauseln finden keine Anwendung mehr, wenn DEVAR einen alternativen anerkannten Compliance-Mechanismus für die rechtmäßige Übermittlung personenbezogener Daten außerhalb des EWR gemäß Artikel 46 der DSGVO eingeführt hat, wie z. B. die Zertifizierung nach dem Privacy-Shield-Rahmen.

4. VERTRAULICHKEIT

4.1. DEVAR stellt sicher, dass jede Person, die DEVAR ermächtigt, personenbezogene Daten des Entwicklers in seinem Namen zu verarbeiten, in Bezug auf diese personenbezogenen Daten des Entwicklers der Geheimhaltungspflicht unterliegt.

5. SICHERHEITSMASSNAHMEN

5.1. DEVAR ergreift geeignete technische und organisatorische Maßnahmen zum Schutz vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf die personenbezogenen Daten des Entwicklers (beschrieben in Anhang 2 der Standardvertragsklauseln).

5.2. DEVAR wird auf Anfrage des Entwicklers und unter der Voraussetzung, dass der Entwickler alle DEVAR-Gebühren zu den geltenden Sätzen und alle Kosten bezahlt, dem Entwickler angemessene Unterstützung gewähren, die für die Erfüllung der Verpflichtung des Entwicklers, die persönlichen Daten des Entwicklers zu schützen, erforderlich ist.

6. UNTERVERARBEITUNG

6.1. Der Entwickler ermächtigt DEVAR, Unterauftragsverarbeiter zu ernennen, um bestimmte Dienstleistungen im Namen von DEVAR zu erbringen, die es erforderlich machen können, dass diese Unterauftragsverarbeiter personenbezogene Daten des Entwicklers verarbeiten. Zur Vermeidung von Zweifeln stellt die vorstehende Ermächtigung die vorherige schriftliche Zustimmung des Entwicklers zur Unterverarbeitung durch DEVAR im Sinne von Ziffer 11 der Standardvertragsklauseln dar. DEVAR wird den Entwickler über alle beabsichtigten Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern informieren, und der Entwickler hat die Möglichkeit, innerhalb von fünfzehn (15) Werktagen nach der Benachrichtigung aus angemessenen Gründen Einspruch gegen diese Änderungen zu erheben.

6.2. DEVAR schließt mit dem Unterauftragsverarbeiter eine verbindliche schriftliche Vereinbarung ab, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die für DEVAR gemäß diesem Nachtrag gelten. Erfüllt einer der Unterauftragsverarbeiter seine Datenschutzverpflichtungen nicht, so haftet DEVAR gegenüber dem Entwickler für die Erfüllung der Verpflichtungen seiner Unterauftragsverarbeiter.

6.3. Ungeachtet des Vorstehenden gilt: Wenn DEVAR einen bedeutenden Anbieter als Unterauftragsverarbeiter einsetzt, wie z. B. Amazon Web Services, Inc, Microsoft, Inc. oder Google, Inc. (ein „Super-Unterauftragsverarbeiter“), erkennt der Entwickler an, dass DEVAR berechtigt ist, einen Vertrag zu den Standardbedingungen des Super-Unterauftragsverarbeiters abzuschließen, und dass in dem Maße, in dem dieser Nachtrag Verpflichtungen und Haftungen auferlegt, die mit den von dem Super-Unterauftragsverarbeiter gemäß den Standardbedingungen des Super-Unterauftragsverarbeiters übernommenen Verpflichtungen und Haftungen unvereinbar sind, die Standardbedingungen des Super-Unterauftragsverarbeiters zwischen DEVAR und dem Entwickler unter Ausschluss der unvereinbaren Bedingungen dieses Nachtrags gelten.

7. RECHTE DES DATENSUBJEKTS

7.1. Vorbehaltlich des Abschnitts 3.4 leistet DEVAR dem Entwickler die Unterstützung, die dieser benötigt, um seiner Verpflichtung nachzukommen, auf Anfragen zur Ausübung der Rechte der betroffenen Personen zu antworten. Der Entwickler ist für die Beantwortung solcher Anfragen allein verantwortlich. DEVAR wird solchen Anfragen nur mit vorheriger schriftlicher Zustimmung und schriftlichen Anweisungen des Entwicklers nachkommen.

8. VERSTÖSSE GEGEN PERSONENBEZOGENE DATEN

8.1. DEVAR wird den Entwickler unverzüglich nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten, die sich auf personenbezogene Daten des Entwicklers bezieht, benachrichtigen. Auf Ersuchen des Entwicklers und vorbehaltlich Abschnitt 3.4. wird DEVAR dem Entwickler unverzüglich jede angemessene Unterstützung gewähren, die erforderlich ist, damit der Entwickler den zuständigen Datenschutzbehörden und/oder den betroffenen betroffenen Personen relevante Sicherheitsverletzungen melden kann, wenn der Entwickler gemäß der Datenschutz-Grundverordnung dazu verpflichtet ist. Der Entwickler ist allein dafür verantwortlich, die für ihn geltenden Meldepflichten für Datenvorfälle einzuhalten und alle Meldepflichten Dritter im Zusammenhang mit Datenvorfällen zu erfüllen.

9. DATENSCHUTZ-FOLGENABSCHÄTZUNG; VORHERIGE KONSULTATION

9.1. Vorbehaltlich Abschnitt 3.4 leistet DEVAR dem Entwickler auf dessen Wunsch hin angemessene Unterstützung, um die Durchführung von Datenschutz-Folgenabschätzungen und die Konsultation von Datenschutzbehörden zu erleichtern, wenn der Entwickler nach der DSGVO zu solchen Aktivitäten verpflichtet ist, und zwar ausschließlich in dem Umfang, in dem diese Unterstützung notwendig ist und sich auf die Verarbeitung der personenbezogenen Daten des Entwicklers durch DEVAR bezieht, wobei die Art der Verarbeitung und die DEVAR zur Verfügung stehenden Informationen berücksichtigt werden.

10. RÜCKGABE ODER LÖSCHUNG VON PERSONENBEZOGENEN DATEN DES ENTWICKLERS

10.1. DEVAR wird nach Beendigung der Erbringung der mit der Verarbeitung zusammenhängenden Dienstleistungen nach Wahl des Entwicklers die personenbezogenen Daten des Entwicklers an diesen zurückgeben oder löschen und vorhandene Kopien löschen, es sei denn, das geltende Recht der Europäischen Union oder eines Mitgliedstaates verlangt die Aufbewahrung der Daten. Unbeschadet des Vorstehenden kann DEVAR anonymisierte Daten gemäß der Vereinbarung aufbewahren.

11. INFORMATIONEN

11.1 DEVAR stellt dem Entwickler auf dessen Wunsch und unter der Voraussetzung, dass der Entwickler den für DEVAR annehmbaren Geheimhaltungsverpflichtungen zustimmt und alle DEVAR-Gebühren zu den geltenden Sätzen sowie alle Auslagen bezahlt, alle Informationen zur Verfügung, die der Entwickler benötigt, um die Einhaltung seiner Verpflichtungen im Rahmen von DEVAR nachzuweisen und Prüfungen, einschließlich Inspektionen, durch den Entwickler oder durch den Wirtschaftsprüfer im Auftrag des Entwicklers zu ermöglichen (unter der Voraussetzung, dass ein solcher Wirtschaftsprüfer den Verpflichtungen im Rahmen der Geheimhaltungsverpflichtungen von DEVAR zustimmt). Aus Gründen der Klarheit werden alle Informationen, die ein Entwickler gemäß dieser Ziffer 11.1 zur Verfügung stellt oder erhält, von DEVAR als vertraulich betrachtet. DEVAR wird DEVAR unverzüglich benachrichtigen, wenn es der Ansicht ist, dass die Anweisung eines Entwicklers gegen das Datenschutzrecht verstößt, wobei solche Überprüfungen mit einer Frist von mindestens sechs Wochen zu einem einvernehmlich festgelegten Termin innerhalb des normalen Geschäftsbetriebs, jedoch nicht öfter als einmal pro Jahr, schriftlich angekündigt werden müssen. Aus Gründen der Klarheit werden alle Informationen, die ein Erschließungsunternehmen gemäß dieser Ziffer 11.1 zur Verfügung stellt oder erhält, von DEVAR als vertraulich betrachtet. DEVAR benachrichtigt DEVAR unverzüglich, wenn er der Ansicht ist, dass die Anweisung eines Entwicklers gegen Datenschutzgesetze verstößt. und unter der Voraussetzung, dass solche Überprüfungen mit einer Frist von mindestens sechs Wochen schriftlich innerhalb des normalen Geschäftstages zu einem gemeinsam vereinbarten Datum und Zeitpunkt, jedoch nicht öfter als einmal pro Jahr, durchgeführt werden. Aus Gründen der Klarheit gelten alle Informationen, die ein Entwickler gemäß dieser Ziffer 11.1 zur Verfügung stellt oder erhält, für DEVAR als vertraulich. DEVAR wird DEVAR unverzüglich benachrichtigen, wenn DEVAR der Ansicht ist, dass die Anweisung des Entwicklers gegen datenschutzrechtliche Bestimmungen verstößt. 1 gilt als vertrauliche Information von DEVAR. DEVAR wird den Entwickler unverzüglich benachrichtigen, wenn er der Ansicht ist, dass die Anweisung des Entwicklers gegen die Datenschutzgesetzgebung verstößt. 1 gilt als vertrauliche Information von DEVAR. DEVAR wird den Entwickler unverzüglich informieren, wenn er der Ansicht ist, dass die Anweisungen des Entwicklers gegen die Datenschutzgesetze verstoßen.

12. HAFTUNG

12.1. Die Haftung jeder Partei gegenüber der anderen Partei im Rahmen oder in Verbindung mit diesem Nachtrag ist gemäß den Bestimmungen des Vertrags begrenzt.

12.2. Der Entwickler erkennt an, dass DEVAR hinsichtlich des Umfangs, in dem DEVAR berechtigt ist, personenbezogene Daten des Entwicklers im Namen des Entwicklers bei der Erbringung der Dienstleistungen zu verarbeiten, auf die Weisung des Entwicklers angewiesen ist. Folglich haftet DEVAR im Rahmen des Vertrags nicht für Ansprüche, die von einer betroffenen Person aufgrund von Handlungen oder Unterlassungen von DEVAR erhoben werden, die sich aus den Anweisungen des Entwicklers oder aus der Nichteinhaltung der Verpflichtungen des Entwicklers gemäß dem geltenden Datenschutzrecht ergeben.

13. ALLGEMEINE BESTIMMUNGEN

13.1. Im Falle von Widersprüchen zwischen den Bestimmungen dieses Nachtrags und des Vertrags haben die Bestimmungen dieses Nachtrags Vorrang.

SCHEDULE 1

Beschluss C (2010)593 der Kommission
Standardvertragsklauseln (Verarbeiter)

Für die Zwecke von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten

Name der datenexportierenden Organisation: die im Nachtrag als Entwickler bezeichnete Einrichtung (der Datenexporteur)

Und

Name der datenimportierenden Organisation: DEVAR (der Datenimporteur)

jede „Partei“; zusammen „die Parteien“,

SIND über die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anlage 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu gewährleisten.

Klausel 1

Begriffsbestimmungen

Für die Zwecke der Klauseln:

(a) „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

(b) „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

(c) „Datenimporteur“ den Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln in seinem Namen verarbeitet werden sollen, und der nicht einem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

(d) „Unterauftragsverarbeiter“ jeden vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragten Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Auftrag des Datenexporteurs gemäß dessen Anweisungen, den Bestimmungen der Klauseln und den Bestimmungen des schriftlichen Untervertrags durchgeführt werden sollen;

(e) „anwendbares Datenschutzrecht“ die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;

(f) „technische und organisatorische Sicherheitsmaßnahmen“ die Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung.

Klausel 2

Angaben zur Übermittlung

Die Einzelheiten der Übermittlung und insbesondere die besonderen Kategorien personenbezogener Daten, sofern zutreffend, sind in Anlage 1 aufgeführt, die Bestandteil der Klauseln ist.

Klausel 3

Klausel über den Drittbegünstigten

1. Die betroffene Person kann diese Klausel, Klausel 4 Buchstaben b) bis i), Klausel 5 Buchstaben a) bis e) und g) bis j), Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.

2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a) bis e) und g), Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur faktisch oder rechtlich nicht mehr existiert, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen, wodurch es in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person sie gegenüber diesem Unternehmen geltend machen.

3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a) bis e) und g), Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, es sei denn, ein Nachfolgeunternehmen ist vertraglich oder kraft Gesetzes in alle rechtlichen Verpflichtungen des Datenexporteurs eingetreten, wodurch es die Rechte und Pflichten des Datenexporteurs übernimmt; in diesem Fall kann die betroffene Person diese gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

4. Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und das nationale Recht dies zulässt.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich damit einverstanden und sichert zu:

(a) dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, in Übereinstimmung mit den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

(b) dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Dienstleistungen zur Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;

(c) dass der Datenimporteur ausreichende Garantien hinsichtlich der in Anlage 2 zu diesem Vertrag aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen bietet;

(d) dass die Sicherheitsmaßnahmen nach Bewertung der Anforderungen des geltenden Datenschutzrechts geeignet sind, personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netz umfasst – und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist;

(e) dass sie die Einhaltung der Sicherheitsmaßnahmen gewährleisten wird;

(f) dass, falls die Übermittlung besondere Datenkategorien betrifft, die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;

(g) jede vom Datenimporteur oder einem Unterauftragsverarbeiter gemäß Klausel 5 Buchstabe b und Klausel 8 Absatz 3 erhaltene Meldung an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

(h) den betroffenen Personen auf Anfrage ein Exemplar der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie ein Exemplar jedes Vertrags über Unterverarbeitungsdienste, der gemäß den Klauseln geschlossen werden muss, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen;

(i) dass im Falle einer Weiterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Maß an Schutz für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln, und

(j) dass er die Einhaltung von Klausel 4 Buchstaben a) bis i) gewährleistet.

Klausel 5

Verpflichtungen des Datenimporteurs

Der Datenimporteur erklärt sich einverstanden und garantiert:

(a) die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Weisungen und den Klauseln zu verarbeiten; kann er dies aus welchen Gründen auch immer nicht leisten, so verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren, dass er dazu nicht in der Lage ist; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

(b) dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnte, den Datenexporteur unverzüglich über diese Änderung informieren wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

(c) dass er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

(d) dass er den Datenexporteur unverzüglich über Folgendes informieren wird

(i) jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, wie z. B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung,

(ii) jeder versehentliche oder unbefugte Zugriff, und

(iii) jede direkt von den betroffenen Personen erhaltene Anfrage, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;

(e) alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat der Kontrollstelle in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;

(f) auf Ersuchen des Datenexporteurs seine Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen; diese Prüfung wird vom Datenexporteur oder von einer Kontrollstelle durchgeführt, die sich aus unabhängigen und zur Verschwiegenheit verpflichteten Mitgliedern zusammensetzt und vom Datenexporteur gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde ausgewählt wird;

(g) der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags über die Weiterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen, mit Ausnahme von Anhang 2, der in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird;

(h) dass sie im Falle einer Weiterverarbeitung den Datenexporteur zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt hat;

(i) dass die Verarbeitungsdienste des Unterauftragsverarbeiters im Einklang mit Klausel 11 durchgeführt werden;

(j) dem Datenexporteur unverzüglich eine Kopie der von ihm im Rahmen der Klauseln geschlossenen Unterauftragsverarbeitungsverträge zu übermitteln.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jede betroffene Person, die infolge einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Pflichten durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Ersatz des erlittenen Schadens durch den Datenexporteur hat.

2. Ist eine betroffene Person nicht in der Lage, einen Schadensersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil der Datenexporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, so Der Datenimporteur erklärt sich damit einverstanden, dass die betroffene Person den Datenimporteur so in Anspruch nehmen kann, als wäre er der Datenexporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen.

Der Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter gegen seine Verpflichtungen verstoßen hat, um sich seiner eigenen Haftung zu entziehen.

3. Ist eine betroffene Person nicht in der Lage, einen Anspruch gegen den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 geltend zu machen, der sich aus einem Verstoß des Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, so der Unterauftragsverarbeiter erklärt sich damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf seine eigenen Verarbeitungen gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungsvorgänge gemäß den Klauseln beschränkt.

Klausel 7

Schlichtung und Gerichtsbarkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur für den Fall, dass sich die betroffene Person gegenüber dem Drittbegünstigten auf ihre Rechte beruft und/oder Schadensersatzansprüche gemäß den Klauseln geltend macht, die Entscheidung der betroffenen Person akzeptiert:

(a) den Streitfall der Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu überlassen;

(b) den Streitfall an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur niedergelassen ist.

2. Die Parteien sind sich darüber einig, dass die Wahl der betroffenen Person ihre materiell- und verfahrensrechtlichen Rechte auf Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts nicht beeinträchtigt.

Klausel 8

Zusammenarbeit mit den Aufsichtsbehörden

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese darum ersucht oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde das Recht hat, beim Datenimporteur und bei allen Unterauftragsverarbeitern eine Prüfung durchzuführen, die den gleichen Umfang hat und den gleichen Bedingungen unterliegt, wie sie für eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht gelten würden.

3. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften, die auf ihn oder einen Unterauftragsverarbeiter anwendbar sind und die die Durchführung eines Audits beim Datenimporteur oder einem Unterauftragsverarbeiter gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe (b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Geltendes Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10

Änderung des Vertrages

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu geschäftsbezogenen Fragen hinzufügen, sofern sie nicht im Widerspruch zu den Klauseln stehen.

Klausel 11

Weiterverarbeitung

1. Der Datenimporteur darf ohne die vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Namen des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungen an Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Zustimmung des Datenexporteurs Unteraufträge für seine Verpflichtungen gemäß den Klauseln, so darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur gemäß den Klauseln auferlegt werden. Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, so bleibt der Datenimporteur gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung haftbar.

2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vor, dass die betroffene Person nicht in der Lage ist, den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind und kein Nachfolgeunternehmen die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen hat. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

3. Die Bestimmungen über die Datenschutzaspekte bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4. Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 Buchstabe j) gemeldeten Unterverarbeitungsverträge, das mindestens einmal jährlich aktualisiert wird. Die Liste ist der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung zu stellen.

Klausel 12

Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Datenexporteur bescheinigen, es sei denn, der Datenimporteur ist aufgrund von Rechtsvorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeiten wird.

2. Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen für ein Audit der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

ANHANG 1 ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Datenexporteur. Der Datenexporteur ist die im Nachtrag als „Entwickler“ bezeichnete Stelle.

Datenimporteur. Der Datenimporteur ist die im Nachtrag als „DEVAR“ bezeichnete Stelle.

Betroffene Personen. Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):

Die betroffenen Personen sind in Abschnitt 2.1 des Nachtrags definiert.

Kategorien von Daten. Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):

Die Kategorien der personenbezogenen Daten sind in Abschnitt 2.2 des Nachtrags definiert.

Besondere Kategorien von Daten (falls zutreffend). Die übermittelten personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien (bitte angeben):

Nicht zutreffend.

Verarbeitungen. Die übermittelten personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungstätigkeiten unterzogen (bitte auflisten):

Die in Abschnitt 2 des Nachtrags und in der Vereinbarung definierten Verarbeitungstätigkeiten.

ANHANG 2 ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Teil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d) und 5 Buchstabe c) umgesetzt hat (oder Dokument/Rechtsvorschrift im Anhang):

Die vom Datenimporteur getroffenen technischen und organisatorischen Sicherheitsmaßnahmen sind unter https://mywebar.com/de/documents/tom beschrieben.

Diese Seite drucken