DIESER DATENVERARBEITUNGSANHANG („DPA“) zur Vereinbarung (wie nachstehend definiert) wird zum Datum des Inkrafttretens des Anhangs zwischen Foo Monk LLC, einer Gesellschaft nach dem Recht des Bundesstaates Wyoming mit Hauptgeschäftssitz in 30 N. Gould St., Ste. R, Sheridan, Wyoming, 82801, Vereinigte Staaten („Instantly“ oder „Dienstleister“); und der in der Vereinbarung genannte Abonnent („Abonnent“), zusammen die „Parteien“ und jeweils eine „Partei“.
1. AUSLEGUNG
1.1 In dieser DPA haben die folgenden Begriffe die in diesem Abschnitt 1 festgelegten Bedeutungen, sofern nicht ausdrücklich etwas anderes angegeben ist:
(a) „Datum des Inkrafttretens des Nachtrags“ bezeichnet das Datum des Inkrafttretens der Vereinbarung.
(b) „Vereinbarung“ bezeichnet die Nutzungsbedingungen, die unter folgender Adresse abgerufen werden können: https://instantly.ai/terms.
(c) „Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten von Abonnenten entscheidet.
(d) „Personenbezogene Daten des Abonnenten“ bezeichnet alle personenbezogenen Daten, die vom Dienstleister oder dessen Unterauftragsverarbeiter im Auftrag des Abonnenten zur Erbringung der Dienstleistung gemäß dem Vertrag verarbeitet werden, wobei jedoch die Kontaktdaten von Mitarbeitern oder Vertretern des Abonnenten, die als Geschäftskontakte des Abonnenten fungieren, nicht zu den personenbezogenen Daten des Abonnenten zählen (sofern der Dienstleister als Verantwortlicher für diese Daten auftritt).
(e) „betroffene Person“ bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten des Abonnenten beziehen.
(f) „Antrag der betroffenen Person“ bezeichnet die Ausübung der Rechte einer betroffenen Person gemäß den geltenden Datenschutzgesetzen in Bezug auf personenbezogene Daten des Abonnenten und deren Verarbeitung.
(g) „Anonymisierte Daten“ bezeichnet Daten, die vom Dienstleister oder dessen Unterauftragsverarbeiter im Auftrag des Abonnenten zur Erbringung der vertraglich vereinbarten Dienstleistungen verarbeitet werden und die nicht in angemessener Weise dazu verwendet werden können, Rückschlüsse auf eine identifizierte oder identifizierbare natürliche Person oder ein mit dieser Person verbundenes Gerät zu ziehen, oder anderweitig mit einer solchen Person in Verbindung gebracht werden können.
(h) „EWR“ bezeichnet den Europäischen Wirtschaftsraum.
(i) „DSGVO“ bezeichnet, soweit dies für die betreffende Verarbeitung relevant ist: (i) die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) („EU-DSGVO“); und/oder (ii) die EU-DSGVO, soweit sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 (in der geänderten Fassung, einschließlich der Änderungen durch den Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU-Austrittsverordnung von 2019) („UK-DSGVO“), einschließlich in den Fällen (i) und (ii) aller geltenden nationalen Durchführungs- oder Ergänzungsvorschriften (z. B. des britischen Datenschutzgesetzes von 2018) sowie aller Nachfolgevorschriften, Änderungen oder Neufassungen der vorgenannten Rechtsvorschriften. Verweise auf „Artikel“ und „Abschnitte“ der DSGVO sowie auf andere relevante definierte Begriffe darin sind entsprechend auszulegen.
(j) „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit des Dienstleisters, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten des Abonnenten führt, die sich im Besitz, in der Obhut oder unter der Kontrolle des Dienstleisters befinden. Zur Klarstellung: Eine Verletzung des Schutzes personenbezogener Daten umfasst keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit der personenbezogenen Daten des Abonnenten nicht gefährden (wie beispielsweise erfolglose Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe oder andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme).
(k) „Personal“ bezeichnet die Mitarbeiter, Beauftragten, Berater oder Auftragnehmer einer Person.
(l) „Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten von Abonnenten im Auftrag des Verantwortlichen verarbeitet.
(m) „Eingeschränkte Übermittlung“ bezeichnet die Offenlegung, die Gewährung des Zugriffs oder eine sonstige Übermittlung personenbezogener Daten von Abonnenten an Personen mit Sitz in: (i) im Zusammenhang mit dem EWR in einem Land oder Gebiet außerhalb des EWR, für das keine Angemessenheitsentscheidung der Europäischen Kommission vorliegt (eine „EWR-Eingeschränkte Übermittlung“); und (ii) im Zusammenhang mit dem Vereinigten Königreich jedes Land oder Gebiet außerhalb des Vereinigten Königreichs, für das keine Angemessenheitsentscheidung der britischen Regierung vorliegt (eine „eingeschränkte Übermittlung im Vereinigten Königreich“), was ohne eine Rechtsgrundlage gemäß Kapitel V der DSGVO verboten wäre.
(n) „SCCs“ bezeichnet zusammenfassend (i) die von der Europäischen Kommission gemäß dem Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 genehmigten Standardvertragsklauseln („EU-SCCs“) und (ii) den vom Information Commissioner herausgegebenen UK Transfer Addendum zu den EU-SCCs (Version B1.0, in Kraft am 21. März 2022) („UK-SCCs“).
(o) „Unterauftragsverarbeiter“ bezeichnet jeden Dritten, der vom Dienstleister oder in dessen Auftrag mit der Verarbeitung personenbezogener Daten des Abonnenten beauftragt wurde.
(p) „Aufsichtsbehörde“ (i) hat im Zusammenhang mit dem EWR und der EU-DSGVO die Bedeutung, die diesem Begriff in der EU-DSGVO zugewiesen wird; und (ii) bezeichnet im Zusammenhang mit dem Vereinigten Königreich und der britischen DSGVO das britische Information Commissioner’s Office.
1.2 Alle in dieser DPA verwendeten Begriffe, die großgeschrieben sind und in dieser DPA nicht anderweitig definiert werden, haben die ihnen in der Vereinbarung zugewiesene Bedeutung.
, 2. GELTUNGSBEREICH DIESES DATENVERARBEITUNGSANHANGS
2.1 Dieser DPA gilt für die Verarbeitung personenbezogener Daten von Abonnenten durch den Dienstleister im Rahmen der Vereinbarung nur insoweit, als die geltenden Datenschutzgesetze auf die betreffenden personenbezogenen Daten von Abonnenten Anwendung finden.
2.2 Die Parteien erkennen an und vereinbaren, dass die Einzelheiten der Verarbeitung personenbezogener Daten der Abonnenten durch den Dienstleister (einschließlich der jeweiligen Rollen der Parteien im Zusammenhang mit dieser Verarbeitung) in Anhang 1 (Einzelheiten zur Datenverarbeitung) dieser DPA beschrieben sind.
2.3 Anhang 2 (Europäischer Anhang) dieser Datenschutzvereinbarung gilt nur, sofern und soweit die Verarbeitung personenbezogener Daten von Teilnehmern durch den Dienstleister im Rahmen des Vertrags der DSGVO unterliegt.
2.4 Anhang 3 (Kalifornien-Anhang) dieser Datenschutzvereinbarung gilt nur, sofern und soweit die Verarbeitung personenbezogener Daten des Abonnenten durch den Dienstleister im Rahmen der Vereinbarung dem CCPA unterliegt, wobei der Abonnent im Sinne des CCPA als „Unternehmen“ gilt.
2.5 Abschnitt 9 (Unterstützung bei der Einhaltung von Vorschriften; Prüfungen) dieser DPA gilt für die Verarbeitung personenbezogener Daten von Abonnenten durch den Dienstleister, soweit dies gemäß den Anforderungen in Bezug auf Verträge mit Auftragsverarbeitern nach den geltenden Datenschutzgesetzen erforderlich ist, und in solchen Fällen nur in Bezug auf die Verarbeitung personenbezogener Daten von Abonnenten, die diesen Gesetzen unterliegen.
, 3. VERARBEITUNG DER PERSONENBEZOGENEN DATEN DER ABONNENTEN
3.1 Der Dienstleister darf die personenbezogenen Daten der Abonnenten nur auf schriftliche Anweisung des Abonnenten oder soweit dies nach geltendem Recht erforderlich oder zulässig ist, verarbeiten. Für die Zwecke der Dienste und dieser DPA gilt der Dienstleister als Auftragsverarbeiter (oder „Dienstleister“ im Sinne der geltenden Datenschutzgesetze). Ungeachtet des Vorstehenden erkennt der Abonnent an und erklärt sich damit einverstanden, dass der Dienstanbieter personenbezogene Daten des Abonnenten und Leistungsdaten verarbeiten darf, um die Dienste zu verbessern, weiterzuentwickeln und zu personalisieren, einschließlich der Überwachung des Betriebs der Dienste und der Weitergabe von personenbezogenen Daten des Abonnenten im Zusammenhang mit der Gültigkeit und Zustellbarkeit von E-Mails (z. B. ungültige E-Mail-Adressen, zurückgesendete E-Mails), die über die Dienste ermittelt wurden, an Dritte (die „spezifischen Zwecke“). Der Abonnent nimmt zur Kenntnis und erklärt sich damit einverstanden, dass die spezifischen Zwecke dazu dienen, die personenbezogenen Daten des Abonnenten sowie andere vom Dienstleister verarbeitete personenbezogene Daten von Dritten korrekt und auf dem neuesten Stand zu halten (einschließlich der Anforderungen, die sich aus den geltenden Datenschutzgesetzen oder anderen gesetzlichen Verpflichtungen des Dienstleisters ergeben). Der Abonnent nimmt zur Kenntnis und erklärt sich damit einverstanden, dass die spezifischen Zwecke Bestandteil der im Rahmen des Vertrags erbrachten Dienstleistungen sind und mit den Anweisungen zur Verarbeitung der personenbezogenen Daten des Abonnenten, die für die Erbringung der Dienstleistungen erforderlich sind, vereinbar sind. Der Abonnent gewährt dem Dienstanbieter ein nicht exklusives, weltweites Recht zur Nutzung seiner personenbezogenen Daten, um (a) die Dienste für den Abonnenten bereitzustellen; (b) anonymisierte, pseudonymisierte oder aggregierte Informationen zu erstellen, abzuleiten, zu nutzen, offenzulegen und anderweitig zu verarbeiten, sofern diese Informationen den Abonnenten nicht direkt identifizieren und nicht dazu verwendet werden können, ihn zu identifizieren; (c) seine Rechte auszuüben und seine Pflichten aus der Vereinbarung zu erfüllen; und (d) die Dienste zu warten und zu verbessern.
3.2 Der Kunde beauftragt den Dienstleister, die personenbezogenen Daten des Kunden zu verarbeiten, um dem Kunden die Dienste gemäß der Vereinbarung (einschließlich dieser DPA) bereitzustellen. Die Vereinbarung stellt die vollständige Niederschrift dieser Anweisungen dar, und zusätzliche Anweisungen des Auftraggebers sind für den Dienstleister nur dann verbindlich, wenn sie in einer schriftlichen Änderung dieser DPA festgehalten sind, die von beiden Parteien unterzeichnet wurde. Sofern dies nach den geltenden Datenschutzgesetzen erforderlich ist, muss der Dienstleister den Abonnenten benachrichtigen, wenn er eine Anweisung vom Abonnenten erhält, die nach seiner begründeten Auffassung gegen die geltenden Datenschutzgesetze verstößt.
3.3 Die Parteien erkennen an, dass die Verarbeitung personenbezogener Daten des Abonnenten durch den Dienstleister, die durch die im Vertrag (einschließlich dieser DPA) festgelegten Anweisungen des Abonnenten genehmigt wurde, ein wesentlicher Bestandteil der Dienste und der Geschäftsbeziehung zwischen den Parteien ist. Der Zugriff auf personenbezogene Daten von Abonnenten ist nicht Bestandteil der Gegenleistung, die die Parteien im Rahmen des Vertrags oder anderer geschäftlicher Beziehungen austauschen.
4 PERSONAL DES DIENSTLEISTERS
4.1 Der Dienstleister hat sicherzustellen, dass sein Personal, das zum Zugriff auf personenbezogene Daten des Abonnenten berechtigt ist, angemessenen Geheimhaltungspflichten unterliegt.
, 5. SICHERHEITS
5.1 Der Dienstleister hat in Bezug auf die personenbezogenen Daten des Abonnenten technische und organisatorische Maßnahmen zu ergreifen und aufrechtzuerhalten, die darauf ausgelegt sind, die personenbezogenen Daten des Abonnenten vor Verletzungen des Datenschutzes zu schützen, wie in Anhang 4 (Sicherheitsmaßnahmen) beschrieben (die „Sicherheitsmaßnahmen“).
5.2 Der Dienstleister kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren, sofern die aktualisierten Maßnahmen den Gesamtschutz der personenbezogenen Daten des Abonnenten nicht wesentlich beeinträchtigen.
, 6. ANFRAGEN VON BETROFFENEN
6.1 Unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Abonnenten durch den Dienstleister leistet der Dienstleister dem Abonnenten Unterstützung, indem er geeignete technische und organisatorische Maßnahmen ergreift, die der Abonnent vernünftigerweise verlangen kann, um den Abonnenten bei der Erfüllung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen zur Beantwortung von Anfragen betroffener Personen zu unterstützen.
6.2 Der Dienstleister hat:
(a) den Abonnenten unverzüglich zu benachrichtigen, wenn er eine Anfrage einer betroffenen Person erhält; und
(b) auf keine Anfrage einer betroffenen Person zu antworten, außer um die betroffene Person darauf hinzuweisen, die Anfrage an den Abonnenten zu richten, sofern dies nicht nach den geltenden Datenschutzgesetzen erforderlich ist. Der Abonnent ist dafür verantwortlich, auf solche Anfragen zu reagieren.
, 7.
bei Datenschutzverletzungen Benachrichtigung bei Datenschutzverletzungen und Unterstützung
7.1 Der Dienstleister hat den Abonnenten unverzüglich zu benachrichtigen, sobald er eine Datenschutzverletzung bestätigt hat, die die personenbezogenen Daten des Abonnenten betrifft. Die Meldung oder Reaktion des Dienstleisters auf eine Verletzung des Schutzes personenbezogener Daten ist nicht als Eingeständnis eines Verschuldens oder einer Haftung seitens des Dienstleisters in Bezug auf diese Verletzung des Schutzes personenbezogener Daten zu verstehen.
7.2 Soweit die Verletzung des Schutzes personenbezogener Daten auf eine Verletzung der dem Dienstleister gemäß dem Vertrag obliegenden Sicherheitspflichten zurückzuführen ist, hat der Dienstleister dem Abonnenten alle in angemessener Weise angeforderten Informationen zur Verfügung zu stellen (sofern diese Informationen im Besitz des Dienstleisters sind und ihm bekannt sind und dies nicht anderweitig die Sicherheit der vom Dienstleister verarbeiteten personenbezogenen Daten des Abonnenten oder die sonstigen Vertraulichkeits- oder Geheimhaltungspflichten des Dienstleisters gefährdet, einschließlich solcher, die von Strafverfolgungs-, einer Aufsichtsbehörde oder einer anderen staatlichen Behörde auferlegt wurden), die es dem Abonnenten ermöglichen sollen, seinen Verpflichtungen gemäß den geltenden Datenschutzgesetzen zur Meldung der Verletzung des Schutzes personenbezogener Daten nachzukommen. Sofern die Verletzung des Schutzes personenbezogener Daten nicht auf eine Verletzung der dem Dienstleister gemäß dem Vertrag obliegenden Sicherheitspflichten zurückzuführen ist, hat der Dienstleister in angemessener Weise mit dem Abonnenten zusammenzuarbeiten; der Abonnent hat dem Dienstleister jedoch alle ihm entstandenen Kosten zu erstatten. Der Abonnent ist allein dafür verantwortlich, die für ihn geltenden Meldepflichten einzuhalten und etwaige Meldepflichten gegenüber Dritten im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten zu erfüllen.
Benachrichtigung des Dienstleisters
7.3 Stellt der Abonnent fest, dass eine Verletzung des Schutzes personenbezogener Daten gemäß den geltenden Datenschutzgesetzen einer Aufsichtsbehörde oder einer anderen staatlichen Behörde, den betroffenen Personen, der Öffentlichkeit oder anderen Personen gemeldet werden muss, sofern sich diese Benachrichtigung direkt oder indirekt auf den Dienstleister bezieht oder diesen anderweitig identifiziert, verpflichtet sich der Abonnent, sofern dies nach geltendem Recht zulässig ist:
(a) den Dienstleister vorab schriftlich zu benachrichtigen; und
(b) sich in gutem Glauben mit dem Dienstleister abzustimmen und etwaige Klarstellungen oder Korrekturen zu berücksichtigen, die der Dienstleister in Bezug auf eine solche Meldung vernünftigerweise empfehlen oder verlangen kann, sofern diese: (i) sich auf die Beteiligung des Dienstleisters an oder die Relevanz für eine solche Verletzung des Schutzes personenbezogener Daten beziehen; und (ii) mit den geltenden Gesetzen vereinbar sind.
, 8. EN ZU UNTERAUFTRAGNEHMERN
8.1 Der Abonnent ermächtigt den Dienstleister generell, Unterauftragsverarbeiter gemäß diesem Abschnitt 8 zu beauftragen. Unbeschadet des Vorstehenden ermächtigt der Abonnent den Einsatz der Unterauftragsverarbeiter, die zum Zeitpunkt des Inkrafttretens der Vereinbarung auf der nachstehend definierten Website für Unterauftragsverarbeiter aufgeführt sind.
8.2 Informationen zu Unterauftragsverarbeitern, einschließlich ihrer Aufgaben und Standorte, sind unter folgender Adresse verfügbar:
https://trust.delve.co/instantly-ai/subprocessors (die vom Dienstleister von Zeit zu Zeit aktualisiert werden kann, vorbehaltlich der Verpflichtungen des Dienstleisters gemäß Abschnitt 8.4 unten) oder unter einer anderen Website-Adresse, die der Dienstleister dem Abonnenten von Zeit zu Zeit mitteilt (die „Website der Unterauftragsverarbeiter“).
8.3 Bei der Beauftragung eines Unterauftragsverarbeiters schließt der Dienstleister mit diesem einen schriftlichen Vertrag ab, der Datenschutzverpflichtungen enthält, die hinsichtlich der personenbezogenen Daten des Abonnenten nicht weniger streng sind als die in dieser DPA festgelegten und die der Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen angemessen sind. Im Verhältnis zwischen den Parteien haftet der Dienstleister für die Handlungen und Unterlassungen aller Unterauftragsverarbeiter im Rahmen oder im Zusammenhang mit dieser DPA in demselben Umfang, wie der Dienstleister gemäß den Bestimmungen dieser DPA haften würde, wenn er diese Dienstleistungen selbst direkt erbringen würde.
8.4 Bezieht der Dienstleister nach Inkrafttreten der Vereinbarung einen Unterauftragsverarbeiter ein, so hat er den Abonnenten über diese Einbeziehung (einschließlich des Namens und des Standorts des betreffenden Unterauftragsverarbeiters sowie der von ihm durchzuführenden Tätigkeiten) durch Aktualisierung der Seite für Unterauftragsverarbeiter oder auf anderem schriftlichen Wege mindestens 15 Tage vor der Verarbeitung der personenbezogenen Daten des Abonnenten durch diesen Unterauftragsverarbeiter zu unterrichten. Widerspricht der Kunde dieser Beauftragung innerhalb von 15 Tagen nach Erhalt der Mitteilung über die Beauftragung in einer schriftlichen Mitteilung an den Dienstleister aus triftigen Gründen, die den Schutz seiner personenbezogenen Daten betreffen, so werden der Kunde und der Dienstleister in gutem Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung für diesen Widerspruch zu finden. Sollten die Parteien innerhalb einer angemessenen Frist keine einvernehmliche Lösung erzielen können, ist der Abonnent berechtigt, innerhalb von 30 Tagen nach der ersten Mitteilung seines Einwands an den Dienstleister als einziges und ausschließliches Rechtsmittel den Vertrag zu kündigen und die Dienste durch schriftliche Mitteilung an den Dienstleister zu stornieren sowie dem Dienstleister alle zum Zeitpunkt der Kündigung gemäß dem Vertrag fälligen und geschuldeten Beträge zu zahlen. Erhebt der Auftraggeber innerhalb der in diesem Abschnitt 8.4 genannten Einspruchsfrist keinen Einspruch gegen die Beauftragung eines Unterauftragsverarbeiters durch den Dienstleister, so gilt dies als Zustimmung des Auftraggebers zur Beauftragung und zur fortgesetzten Inanspruchnahme dieses Unterauftragsverarbeiters.
, 9. UNTERSTÜTZUNG BEI DER EINHALTUNG VON VORSCHRIFTEN; AUDITS
9.1 Unter Berücksichtigung der Art der Verarbeitung personenbezogener Daten des Abonnenten durch den Dienstleister und der dem Dienstleister zur Verfügung stehenden Informationen hat der Dienstleister dem Abonnenten die Informationen und Unterstützung zur Verfügung zu stellen, die der Abonnent in angemessener Weise anfordert (soweit diese Informationen dem Dienstleister zur Verfügung stehen und deren Weitergabe die Sicherheit, Vertraulichkeit, Integrität oder Verfügbarkeit der vom Dienstleister verarbeiteten Daten nicht beeinträchtigt) um den Abonnenten bei der Erfüllung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen zu unterstützen, einschließlich in Bezug auf die Sicherheit der personenbezogenen Daten des Abonnenten, die Meldung und Untersuchung von Verletzungen des Schutzes personenbezogener Daten, den Nachweis der Einhaltung dieser Verpflichtungen durch den Abonnenten sowie die Durchführung von Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden oder anderen staatlichen Stellen bezüglich solcher Folgenabschätzungen im Zusammenhang mit der Verarbeitung personenbezogener Daten des Abonnenten durch den Dienstleister, einschließlich der gemäß den Artikeln 35 und 36 der DSGVO erforderlichen Maßnahmen.
9.2 Vorbehaltlich des nachstehenden Abschnitts 9.4 stellt der Dienstleister dem Abonnenten alle Informationen zur Verfügung, die dieser in angemessener Weise anfordert, damit der Dienstleister die Einhaltung der geltenden Datenschutzgesetze und dieser DPA nachweisen kann. Unbeschadet des Vorstehenden ist der Abonnent berechtigt, (gemäß Abschnitt 9.3) auf eigene Kosten angemessene Prüfungen (einschließlich Inspektionen, manueller Überprüfungen, automatisierter Scans und anderer technischer und betrieblicher Tests, jedoch nur in dem Umfang, in dem der Abonnent nach den geltenden Datenschutzgesetzen zur Durchführung dieser Tätigkeiten berechtigt ist) durchzuführen, wobei in jedem Fall der Abonnent oder ein vom Abonnenten benannter qualifizierter und unabhängiger Prüfer unter Verwendung eines geeigneten und anerkannten Prüfungsstandards oder -rahmens die technischen und organisatorischen Maßnahmen des Dienstleisters zur Unterstützung dieser Compliance prüfen kann und der Prüfungsbericht dem Abonnenten und dem Dienstleister zur Verfügung gestellt wird.
9.3 Der Abonnent hat den Dienstanbieter über solche Prüfungen rechtzeitig im Voraus zu informieren. Der Dienstleister ist nicht verpflichtet, bei einer Prüfung mitzuwirken, (a) die von einer Person oder Organisation durchgeführt wird, die mit dem Dienstleister keine Geheimhaltungsvereinbarung zu für den Dienstleister akzeptablen Bedingungen hinsichtlich der im Rahmen der Prüfung erlangten Informationen geschlossen hat; (b) die außerhalb der normalen Geschäftszeiten des Dienstleisters am betreffenden Standort durchgeführt wird; oder (c) die während der Laufzeit der Vereinbarung mehr als einmal in einem Kalenderjahr durchgeführt wird, mit Ausnahme zusätzlicher Prüfungen, zu deren Durchführung der Abonnent gemäß den geltenden Datenschutzgesetzen verpflichtet ist. Die Prüfung muss in Übereinstimmung mit den Sicherheits- und anderen einschlägigen Richtlinien des Dienstleisters durchgeführt werden, darf die Sicherheit, Vertraulichkeit, Integrität oder Verfügbarkeit der vom Dienstleister verarbeiteten Daten nicht beeinträchtigen und darf die Geschäftstätigkeit des Dienstleisters nicht unangemessen behindern. Der Abonnent darf ohne vorherige Zustimmung des Dienstanbieters (die nicht ohne triftigen Grund verweigert werden darf) keine Scans oder technischen bzw. betrieblichen Tests der Anwendungen, Websites, Dienste, Netzwerke oder Systeme des Dienstanbieters durchführen.
9.4 Werden die im Rahmen des beantragten Audits zu bewertenden Kontrollen oder Maßnahmen in einem SOC 2 Typ 2-, ISO- oder NIST- oder einem ähnlichen Prüfbericht, der von einem qualifizierten und unabhängigen externen Prüfer gemäß einem anerkannten branchenüblichen Prüfungsrahmen innerhalb von zwölf (12) Monaten nach dem Prüfungsantrag des Abonnenten erstellt wurde („Prüfbericht“), und der Dienstleister schriftlich bestätigt hat, dass keine wesentlichen Änderungen an den geprüften und von solchen Prüfberichten abgedeckten Kontrollen bekannt sind, erklärt sich der Abonnent damit einverstanden, die Vorlage dieses Prüfungsberichts bzw. dieser Prüfungsberichte anstelle der Beantragung einer Prüfung dieser Kontrollen oder Maßnahmen zu akzeptieren. Der Dienstleister stellt dem Abonnenten auf Anfrage Kopien dieser Prüfberichte zur Verfügung.
9.5 Diese Prüfberichte sowie alle sonstigen Informationen, die der Abonnent im Zusammenhang mit einer Prüfung gemäß diesem Abschnitt 9 erhält, gelten als vertrauliche Informationen des Dienstleisters, die der Abonnent ausschließlich zum Zweck der Überprüfung der Einhaltung der Anforderungen dieser DPA oder zur Erfüllung seiner Verpflichtungen gemäß den geltenden Datenschutzgesetzen verwenden darf. Keine Bestimmung dieses Abschnitts 9 ist so auszulegen, dass sie den Dienstleister dazu verpflichtet, gegen eine Geheimhaltungspflicht zu verstoßen.
, 10. RÜCKGABE- UND LÖSCH
10.1 Innerhalb von 30 Tagen nach Ablauf oder vorzeitiger Kündigung des Vertrags hat der Dienstleister, soweit dies unter den gegebenen Umständen technisch möglich ist, entweder (i) alle personenbezogenen Daten des Abonnenten, die sich in der Obhut, im Gewahrsam oder unter der Kontrolle des Dienstleisters befinden, gemäß den im Vertrag festgelegten Anweisungen des Abonnenten zur Rückgabe und Löschung der Abonnentendaten nach Beendigung des Vertrags zurückzugeben und/oder zu löschen oder, vorbehaltlich Abschnitt 11.5, weiteren Anweisungen des Abonnenten oder (ii) alle personenbezogenen Daten des Abonnenten, die sich in der Obhut, im Gewahrsam oder unter der Kontrolle des Dienstleisters befinden, unwiderruflich anonymisieren oder deidentifizieren.
10.2 Ungeachtet des Vorstehenden darf der Dienstleister personenbezogene Daten des Abonnenten aufbewahren, sofern dies gesetzlich vorgeschrieben ist (oder im Falle von personenbezogenen Daten des Abonnenten, die der DSGVO unterliegen, gemäß den geltenden Gesetzen des Vereinigten Königreichs oder des Europäischen Wirtschaftsraums), vorausgesetzt, dass der Dienstleister (a) alle diese personenbezogenen Daten des Abonnenten in Übereinstimmung mit dieser DPA verwahrt und (b) die personenbezogenen Daten des Abonnenten nur in dem Umfang verarbeitet, der für die Zwecke und die Dauer erforderlich ist, die in dem anwendbaren Gesetz, das eine solche Aufbewahrung vorschreibt, festgelegt sind.
, 11. VERPFLICHTUNGEN DES ABONNENTEN
11.1 Unbeschadet des Abschnitts 1.4 der Vereinbarung erklärt sich der Abonnent damit einverstanden, dass er – unbeschadet der Verpflichtungen des Dienstleisters gemäß Abschnitt 5 (Sicherheit) – allein für seine Nutzung der Dienste verantwortlich ist, einschließlich (a) der angemessenen Nutzung der Dienste zur Aufrechterhaltung eines Sicherheitsniveaus, das dem Risiko in Bezug auf die personenbezogenen Daten des Abonnenten angemessen ist; (b) die Sicherung der Anmeldedaten, Systeme und Geräte, die der Abonnent für den Zugriff auf die Dienste nutzt; (c) die Sicherung der Systeme und Geräte des Abonnenten, die der Dienstanbieter zur Erbringung der Dienste nutzt; und (d) die Sicherung der personenbezogenen Daten des Abonnenten.
11.2 Der Abonnent hat sicherzustellen:
(a) dass eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten des Abonnenten durch den Dienstleister gemäß dieser DPA und dem Vertrag (einschließlich aller vom Abonnenten von Zeit zu Zeit erteilten Anweisungen in Bezug auf diese Verarbeitung) im Sinne aller geltenden Datenschutzgesetze (einschließlich Artikel 6, Artikel 9 Absatz 2 und/oder Artikel 10 der DSGVO (sofern anwendbar)); und
(b) dass (und ist allein dafür verantwortlich sicherzustellen, dass) alle erforderlichen Mitteilungen an die betroffenen Personen und andere erfolgt sind und alle Einwilligungen, Genehmigungen und Rechte von diesen eingeholt wurden, wie dies nach den geltenden Datenschutzgesetzen oder anderweitig erforderlich ist, damit der Dienstleister die personenbezogenen Daten des Abonnenten wie in der Vereinbarung vorgesehen verarbeiten kann.
11.3 Der Kunde erklärt sich damit einverstanden, dass die Dienste, die Sicherheitsmaßnahmen und die Verpflichtungen des Dienstleisters im Rahmen dieser DPA den Anforderungen des Kunden genügen, einschließlich hinsichtlich etwaiger Sicherheitsverpflichtungen des Kunden gemäß den geltenden Datenschutzgesetzen, und ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf die personenbezogenen Daten des Kunden angemessen ist.
11.4 Der Abonnent darf dem Dienstleister keine personenbezogenen Daten des Abonnenten zur Verfügung stellen oder anderweitig zugänglich machen, die Folgendes enthalten, und verpflichtet sich, sicherzustellen, dass seine autorisierten Nutzer dies ebenfalls unterlassen: (a) Sozialversicherungsnummern oder andere von Behörden ausgestellte Identifikationsnummern; (b) geschützte Gesundheitsdaten, die dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen, oder andere Informationen über die Krankengeschichte, den psychischen oder physischen Zustand einer Person oder über medizinische Behandlungen oder Diagnosen durch medizinisches Fachpersonal; (c) Krankenversicherungsdaten; (d) biometrische Daten; (e) Zugangsdaten zu Finanzkonten oder Daten von Kredit-, Debit- oder anderen Zahlungskarten, die dem Payment Card Industry Data Security Standard (PCI DSS) unterliegen; (f) Daten aus Steuererklärungen; (g) genaue Geolokalisierungsdaten; (h) Daten, aus denen die rassische oder ethnische Herkunft, religiöse Überzeugungen, das Sexualleben oder die sexuelle Orientierung, die Gewerkschaftszugehörigkeit, die Staatsangehörigkeit oder der Einwanderungsstatus hervorgehen; (i) genetische Daten; (j) Daten, die von einem bekannten Kind erhoben wurden; (k) alle Informationen, die eine besondere Kategorie personenbezogener Daten darstellen (wie in Artikel 9 Absatz 1 der DSGVO beschrieben) und/oder Daten über strafrechtliche Verurteilungen und Straftaten; und (j) alle Zugangsdaten für Online-Konten. Der Abonnent bestätigt, dass der Dienstleister kein Geschäftspartner (im Sinne der Definition dieses Begriffs gemäß HIPAA) oder ein Zahlungskartenabwickler ist. Der Abonnent nimmt zur Kenntnis, dass die Dienste nicht darauf ausgelegt sind, die Anforderungen von HIPAA oder PCI DSS zu erfüllen.
11.5 Sofern dies nicht durch geltendes Recht untersagt ist, hat der Abonnent dem Dienstleister die zu diesem Zeitpunkt geltenden Tarife für professionelle Dienstleistungen zu vergüten und ihm alle Kosten zu erstatten, die dem Dienstleister im Rahmen der Erbringung der vom Abonnenten gemäß den Abschnitten 6 (Anfragen betroffener Personen), 9 (Unterstützung bei der Einhaltung von Vorschriften; Audits) und 10.1 (Rückgabe und Löschung) dieser DPA angefordert wurden und über die Bereitstellung der im Rahmen der Dienste enthaltenen Self-Service-Funktionen hinausgehen.
, 12. ENTIDENTIFIZIERTE, ANONYMISIERTE ODER AGGREGIERTE DATEN
12.1 Soweit der Dienstleister entidentifizierte Daten verarbeitet oder generiert, hat er angemessene Maßnahmen zu ergreifen, um zu verhindern, dass diese Daten einer natürlichen Person zugeordnet werden können.
12.2 Unterliegt die Erstellung und/oder Nutzung aggregierter, anonymisierter oder deidentifizierter Daten durch den Dienstleister den geltenden Datenschutzgesetzen, so ist die Erstellung und/oder Nutzung solcher Daten durch den Dienstleister, einschließlich, aber nicht beschränkt auf deidentifizierte Daten, nur insoweit zulässig, als diese Daten „aggregierte Verbraucherinformationen“ darstellen oder „deidentifiziert“ oder „anonymisiert“ wurden (wie diese Begriffe in den geltenden Datenschutzgesetzen definiert sind).
13. HAFTUNG
13.1 Die gesamte Haftung einer Partei gegenüber der anderen Partei, gleich aus welchem Grund, die sich aus oder im Zusammenhang mit dieser DPA und den SCCs (sofern und soweit diese Anwendung finden) ergibt, wird unter keinen Umständen die von den Parteien in der Vereinbarung vereinbarten Haftungsbeschränkungen oder -obergrenzen überschreiten und unterliegt den darin vereinbarten Haftungsausschlüssen; vorausgesetzt, dass keine Bestimmung in diesem Abschnitt 13 die Haftung einer Person gegenüber den betroffenen Personen gemäß den Bestimmungen über Drittbegünstigte der SCCs (sofern und soweit diese gelten) beeinträchtigt.
, 14. ÄNDERUNGEN DER GESETZGEBUNG
14.1 Der Dienstleister ist berechtigt, diese DPA nach vorheriger Ankündigung in dem Umfang zu ändern, den er (nach vernünftigem Ermessen) für erforderlich hält, um den Anforderungen der jeweils geltenden Datenschutzgesetze gerecht zu werden, einschließlich der Änderung oder Ersetzung der Standardvertragsklauseln in der in den Absätzen 2.1 und 2.2 von Anhang 2 (Europäischer Anhang) beschriebenen Weise.
, 15. EINBEZIEHUNG UND RANGFOLGE
15.1 Diese DPA wird mit Wirkung ab dem Datum des Inkrafttretens des Nachtrags in den Vertrag aufgenommen und ist Bestandteil desselben.
15.2 Im Falle eines Widerspruchs oder einer Unvereinbarkeit zwischen:
(a) dieser DPA und der Vereinbarung hat diese DPA Vorrang; oder
(b) den gemäß Absatz 2 von Anhang 2 (Europäischer Anhang) geschlossenen Standardvertragsklauseln (SCCs) und dieser DPA und/oder der Vereinbarung haben die SCCs in Bezug auf die eingeschränkte Übermittlung, auf die sie Anwendung finden, Vorrang.
Anhang 1
Angaben zur Datenverarbeitung
ANGABEN ZUM DIENSTLEISTER / „DATENIMPORTEUR“
Name: Foo Monk LLC
Adresse: Wie in der Präambel der DPA dargelegt
Kontaktdaten für den Datenschutz: E-Mail:
[email protected]Aktivitäten des Dienstleisters: Foo Monk LLC stellt eine Plattform bereit, die seinen Abonnenten hilft, ihre E-Mail-Kampagnen zu skalieren, sowie eine Business-to-Business-Lead-Datenbank („B2B“), die Abonnenten entweder für Cold-E-Mail-Kampagnen und/oder zur Suche nach B2B-Lead-Kontaktdaten nutzen können.
Rolle: Auftragsverarbeiter
ANGABEN ZUM ABONNENTEN / „DATENEXPORTEUR“
Name, Adresse und Kontaktdaten:
Wie vom Abonnenten bei der Kontoeröffnung oder anderweitig im Zusammenhang mit der Annahme der Vereinbarung angegeben und wie im Kontoprofil des Abonnenten gespeichert.
Aktivitäten des Abonnenten:
Die für diese DPA relevanten Aktivitäten des Abonnenten umfassen die Nutzung und den Bezug der Dienste im Rahmen und in Übereinstimmung mit der Vereinbarung sowie für die darin vorgesehenen und zulässigen Zwecke als Teil seines laufenden Geschäftsbetriebs.
Rolle: Verantwortlicher
DETAILS ZUR VERARBEITUNG
Kategorien von betroffenen Personen:
Zu den relevanten betroffenen Personen gehören:
Interessenten des Abonnenten
Bestehende Kunden des Abonnenten
Jede Kategorie umfasst aktuelle, ehemalige und potenzielle betroffene Personen.
Kategorien personenbezogener Daten von Abonnenten:
Zu den relevanten personenbezogenen Daten von Abonnenten gehören:
Identifikationsdaten (z. B. Name)
Marketingdaten (z. B. E-Mail-Adresse, Daten zur E-Mail-Aktivität)
Vom Abonnenten hochgeladene Inhalte (d. h. alle in den Abonnentendaten enthaltenen personenbezogenen Daten des Abonnenten wie Titel, Firmenname, LinkedIn-Firmenbeschreibung, Telefonnummer (geschäftlich), Anzahl der Mitarbeiter in diesem Unternehmen, Branche, persönliche und geschäftliche LinkedIn-Profiladresse, Stadt, Bundesland und Land der Person oder des Unternehmens, LinkedIn-Profilseiten, Facebook-URL, Twitter-URL und Websites).
Sensible Datenkategorien und damit verbundene zusätzliche Einschränkungen/Sicherheitsvorkehrungen:
Kategorien sensibler Daten:
Nicht zutreffend
Zusätzliche Sicherheitsvorkehrungen für sensible Daten:
Nicht zutreffend
Häufigkeit der Übermittlung:
Fortlaufend – initiiert durch den Abonnenten im Rahmen seiner Nutzung der Dienste oder der Nutzung in seinem Auftrag.
Art der Verarbeitung:
Verarbeitungsvorgänge, die zur Erbringung der Dienste gemäß dem Vertrag erforderlich sind, wie Erhebung, Erfassung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschung oder Vernichtung.
Zweck der Verarbeitung:
Die personenbezogenen Daten des Abonnenten werden verarbeitet: (i) soweit dies zur Erbringung der Dienste erforderlich ist, die der Abonnent durch deren Nutzung in Auftrag gegeben hat, und (ii) zur Erfüllung aller sonstigen angemessenen Anweisungen des Abonnenten gemäß den Bestimmungen dieser DPA.
Dauer der Verarbeitung / Aufbewahrungsfrist:
Für die Dauer der Vereinbarung und danach gemäß Abschnitt 10 (Rückgabe und Löschung) dieser DPA.
Weitergabe an Unterauftragsverarbeiter:
Die Weitergabe an Unterauftragsverarbeiter erfolgt in der Weise und zu den Zwecken, wie sie jeweils in der Liste der Unterauftragsverarbeiter beschrieben sind (die gemäß der DPA von Zeit zu Zeit aktualisiert werden kann).
Anhang 2 Europäischer Anhang
1. FOLGENABSCHÄTZUNG ZUM DATENSCHUTZ UND VORABKONSULTATION
1.1 Unter Berücksichtigung der Art der Verarbeitung der personenbezogenen Daten des Abonnenten durch den Dienstleister und der dem Dienstleister zur Verfügung stehenden Informationen leistet der Dienstleister dem Abonnenten auf dessen Kosten angemessene Unterstützung bei allen Datenschutz-Folgenabschätzungen und Vorabkonsultationen mit Aufsichtsbehörden, die der Abonnent nach vernünftigem Ermessen gemäß Artikel 35 oder Artikel 36 der DSGVO für erforderlich hält, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Abonnenten durch den Dienstleister.
, 2. EINGESCHRÄNKTE DATENÜBERMITTLUNGEN
Eingeschränkte Datenübermittlungen innerhalb des EWR
2.1 Soweit die Verarbeitung von personenbezogenen Daten des Abonnenten im Rahmen dieser DPA eine eingeschränkte Übermittlung aus dem EWR vom Abonnenten an den Dienstleister beinhaltet, haben die Parteien ihre jeweiligen Verpflichtungen gemäß den EU-Standardvertragsklauseln zu erfüllen, die hiermit als folgt gelten:
(a) ausgefüllt gemäß Teil 1 von Anhang 1 zu diesem Anhang 2 (Europäischer Anhang); und
(b) von den Parteien geschlossen und durch Verweis in diese DPA aufgenommen.
UK Restricted Transfers2.2 Soweit die Verarbeitung personenbezogener Daten des Abonnenten im Rahmen dieser DPA eine „UK Restricted Transfer“ vom Abonnenten an den Dienstleister beinhaltet, haben die Parteien ihre jeweiligen Verpflichtungen gemäß den UK SCCs zu erfüllen, die hiermit als folgt gelten:
(a) Die EU-SCCs in der geänderten Fassung zur Erfüllung der Anforderungen der britischen DSGVO gemäß dem britischen Übertragungszusatz und ausgefüllt gemäß Teil 2 von Anhang 1 zu diesem Anhang 2 (Europäischer Anhang); und
(b) die von den Parteien geschlossen und durch Verweis in diese DPA aufgenommen wurden.
Einführung eines neuen Übermittlungsmechanismus2.3 Der Dienstleister kann diese DPA nach vorheriger Ankündigung ändern und die entsprechenden Standardvertragsklauseln ersetzen durch:
(a) jede neue Fassung der entsprechenden Standardvertragsklauseln oder einen entsprechend erstellten und ausgefüllten Ersatz dafür (z. B. Standardvertragsklauseln, die von der Europäischen Kommission speziell für die Übermittlung an Datenimporteure gemäß Artikel 3 Absatz 2 der EU-DSGVO verabschiedet wurden); oder
(b) ein anderer Übermittlungsmechanismus,
der die rechtmäßige Übermittlung personenbezogener Daten des Abonnenten durch den Abonnenten an den Dienstleister gemäß dieser DPA in Übereinstimmung mit Kapitel V der DSGVO ermöglicht.
Bereitstellung der vollständigen Standardvertragsklauseln (SCCs)2.4 Im Zusammenhang mit einer bestimmten eingeschränkten Datenübermittlung hat der Dienstleister dem Abonnenten auf dessen Aufforderung durch eine Aufsichtsbehörde, eine betroffene Person oder einen weiteren Verantwortlichen (sofern zutreffend) – auf konkrete schriftliche Anfrage (gerichtet an die in Anhang 1 (Angaben zur Datenverarbeitung) angegebenen Kontaktdaten; zusammen mit geeigneten Belegen für die betreffende Anfrage) – stellt der Dienstleister dem Abonnenten eine unterzeichnete Fassung der relevanten SCCs zur Verfügung, die der an den Abonnenten gerichteten Anfrage entsprechen (geändert und ausgefüllt gemäß Anhang 1 zu diesem Anhang 2 (Europäischer Anhang) in Bezug auf die betreffende eingeschränkte Übermittlung), damit der Abonnent diese gegenzeichnen, an den jeweiligen Anfragenden weiterleiten und/oder zur Dokumentation der Einhaltung der geltenden Datenschutzgesetze durch den Abonnenten aufbewahren kann.
, 3. OPERATIVE KLÄRUNGEN
3.1 Im Rahmen der Erfüllung seiner Transparenzpflichten gemäß Ziffer 8.3 der EU-Standardvertragsklauseln verpflichtet sich der Abonnent, keine Geschäftsgeheimnisse, Betriebsgeheimnisse, vertraulichen Informationen und/oder sonstigen wirtschaftlich sensiblen Informationen des Dienstleisters und seiner Lizenzgeber weiterzugeben oder anderweitig zugänglich zu machen und alle geeigneten Maßnahmen zu ergreifen, um diese zu schützen.
3.2 Soweit anwendbar, erkennt der Abonnent für die Zwecke von Ziffer 10(a) von Modul 2 der EU-Standardvertragsklauseln an und erklärt sich damit einverstanden, dass es keine Umstände gibt, unter denen es angemessen wäre, dass der Dienstleister einen für die Verarbeitung Verantwortlichen als Dritten über eine Anfrage einer betroffenen Person informiert, und dass eine solche Benachrichtigung in der alleinigen Verantwortung des Abonnenten liegt.
3.3 Für die Zwecke von Ziffer 15.1(a) der EU-Standardvertragsklauseln erklärt sich der Abonnent damit einverstanden, dass er – sofern dies nicht durch geltendes Recht und/oder die zuständige Behörde untersagt ist – im Verhältnis zwischen den Parteien allein dafür verantwortlich ist, den betroffenen Personen gegebenenfalls die erforderlichen Mitteilungen zu übermitteln.
3.4 Die Bestimmungen in Abschnitt 8 dieser DPA gelten für die Beauftragung und den Einsatz von Unterauftragsverarbeitern durch den Dienstleister im Rahmen der EU-Standardvertragsklauseln. Jede Zustimmung des Auftraggebers zur Benennung eines Unterauftragsverarbeiters durch den Dienstleister, die ausdrücklich erteilt wird oder gemäß Abschnitt 8 als erteilt gilt, stellt eine dokumentierte Anweisung des Auftraggebers dar, Offenlegungen und Weitergaben an relevante Unterauftragsverarbeiter vorzunehmen, sofern und soweit dies gemäß Ziffer 8.8 der EU-Standardvertragsklauseln erforderlich ist.
3.5 Die in den Klauseln 8.9(c) und 8.9(d) der EU-Standardvertragsklauseln beschriebenen Prüfungen unterliegen den einschlägigen Bestimmungen und Bedingungen, die in Abschnitt 9 dieser DPA aufgeführt sind.
3.6 Eine Bescheinigung über die Löschung der personenbezogenen Daten des Abonnenten gemäß den Ziffern 8.5 und 16(d) der EU-Standardvertragsklauseln wird nur auf schriftliche Anfrage des Abonnenten ausgestellt.
Anhang 1 ZUM EUROPÄISCHEN ANHANG – VORGEGEBENE STANDARDKLAUSELN (SCCs)
Anmerkungen:
Im Rahmen jeder Datenübermittlung mit eingeschränkter Weitergabe innerhalb des EWR werden die gemäß Teil 1 dieses Anhangs 1 vorgegebenen EU-Standardklauseln durch Verweis in die Datenschutzvereinbarung (DPA) aufgenommen und bilden einen wirksamen Bestandteil derselben (sofern und soweit dies gemäß Absatz 2.1 von Anhang 2 (Europäischer Anhang) zur DPA zutrifft).
Im Zusammenhang mit jeder „UK Restricted Transfer“ werden die UK SCCs (d. h. die EU-SCCs in der durch den UK Transfer Addendum geänderten Fassung und ausgefüllt gemäß Teil 2 dieses Anhangs 1) durch Verweis in die DPA aufgenommen und bilden einen wirksamen Bestandteil derselben (sofern und soweit dies gemäß Absatz 2.2 von Anhang 2 (Europäischer Anhang) zur DPA zutrifft).
TEIL 1: BEVÖLKERUNG DER SCCs – EU-SCCs
1. UNTERZEICHNUNG DER EU-SCCs:
Sofern die EU-SCCs gemäß Absatz 2.1 von Anhang 2 (Europäischer Anhang) der DPA Anwendung finden, (a) gilt jede der Parteien hiermit als Unterzeichnerin der EU-SCCs im entsprechenden Unterschriftsfeld in Anhang I des Nachtrags zu den EU-SCCs; und (b) werden diese EU-SCCs zwischen den Parteien mit Wirkung ab (i) dem Datum des Inkrafttretens des Nachtrags oder (ii) dem Datum der ersten EWR-beschränkten Übermittlung, auf die sie gemäß Absatz 2.1 von Anhang 2 (Europäischer Anhang) der DPA Anwendung finden, geschlossen, je nachdem, welcher Zeitpunkt früher liegt.
, 2. MODULE
Das folgende Modul der EU-SCCs findet in der nachstehend dargelegten Weise Anwendung (unter Berücksichtigung der Rolle(n) des Unterzeichners, wie sie in Anhang 1 zu Anhang 2 (Europäischer Anhang) der DPA dargelegt sind): Modul 2 der EU-SCCs gilt für jede auf den EWR beschränkte Übermittlung, die die Verarbeitung personenbezogener Daten des Unterzeichners betrifft, bei der der Unterzeichner selbst als Verantwortlicher auftritt.
3. INHALT DES HAUPTTEILES DER EU-SCCs
3.1 Für Modul 2 der EU-SCCs gilt Folgendes, soweit dies für dieses Modul und dessen Klauseln zutrifft:
(a) Die optionale „Docking-Klausel“ in Klausel 7 wird nicht verwendet, und der Hauptteil dieser Klausel 7 bleibt bewusst leer.
(b) In Klausel 9:
(i) OPTION 2: Es gilt die „ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG“, und die Mindestfrist für die Vorankündigung der Hinzufügung oder des Austauschs von Unterauftragsverarbeitern entspricht der in Abschnitt 8.4 der DPA festgelegten Vorankündigungsfrist; und
(ii) OPTION 1: Eine SPEZIFISCHE VORHERIGE GENEHMIGUNG wird nicht verwendet, und dieser optionale Wortlaut wird gestrichen; ebenso wie Anhang III des Anhangs zu den EU-SCCs.
(c) In Ziffer 11 wird der fakultative Wortlaut nicht verwendet und gestrichen.
(d) In Ziffer 13 werden alle eckigen Klammern entfernt, der darin enthaltene Text bleibt jedoch unverändert.
In Ziffer 17 gilt OPTION 1, und die Parteien vereinbaren, dass die EU-Standardvertragsklauseln in Bezug auf jede auf den EWR beschränkte Datenübermittlung irischem Recht unterliegen; OPTION 2 wird nicht verwendet, und der entsprechende Wortlaut wird gestrichen.
(f) Für die Zwecke von Ziffer 18 vereinbaren die Parteien, dass alle Streitigkeiten, die sich aus den EU-Standardvertragsklauseln im Zusammenhang mit einer Datenübermittlung innerhalb des EWR ergeben, von den irischen Gerichten entschieden werden, und Ziffer 18(b) wird entsprechend ausgefüllt.
3.2 In diesem Absatz 3 beziehen sich Verweise auf „Klauseln“ auf die Klauseln der EU-Standardvertragsklauseln.
, 4. AUSFÜLLEN DER ANHÄNGE ZUM ANHANG DER EU-SCCs
4.1 Anhang I zum Anhang der EU-SCCs wird mit den entsprechenden Angaben aus Anhang 1 (Einzelheiten zur Datenverarbeitung) der Datenschutzvereinbarung ausgefüllt, wobei der Abonnent als „Datenexporteur“ und der Dienstleister als „Datenimporteur“ gilt.
4.2 Teil C von Anhang I des Anhangs zu den EU-Standardvertragsklauseln ist wie folgt ausgefüllt:
(a) Ist der Abonnent in einem EU-Mitgliedstaat niedergelassen, so ist die zuständige Aufsichtsbehörde die Aufsichtsbehörde des EU-Mitgliedstaats, in dem der Abonnent niedergelassen ist.
(b) Ist der Abonnent nicht in einem EU-Mitgliedstaat niedergelassen, gilt Artikel 3 Absatz 2 der EU-DSGVO, und hat der Abonnent einen EU-Vertreter gemäß Artikel 27 der EU-DSGVO benannt: Die zuständige Aufsichtsbehörde ist die Aufsichtsbehörde des EU-Mitgliedstaats, in dem der für die vorliegende Verarbeitung zuständige EU-Vertreter des Abonnenten (jeweils) ansässig ist.
(c) Ist der Abonnent nicht in einem EU-Mitgliedstaat niedergelassen und hat er keinen EU-Vertreter gemäß Artikel 27 der EU-DSGVO benannt, gilt Artikel 3 Absatz 2 der EU-DSGVO: ist die zuständige Aufsichtsbehörde die Aufsichtsbehörde des EU-Mitgliedstaats, der dem in Anhang 1 (Angaben zur Datenverarbeitung) der DPA genannten Ansprechpartner des Dienstleisters für den Datenschutz schriftlich mitgeteilt wurde; dabei muss es sich um einen EU-Mitgliedstaat handeln, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten im Rahmen dieser Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird.
4.3 Anhang II des Anhangs zu den EU-Standardvertragsklauseln ist wie folgt ausgefüllt:
General Allgemeines:
Bitte beachten Sie Abschnitt 5 der Datenschutzvereinbarung und die darin beschriebenen Sicherheitsmaßnahmen.
Falls der Abonnent eine Anfrage einer betroffenen Person gemäß der EU-DSGVO erhält und Unterstützung vom Dienstleister benötigt, sollte der Abonnent eine E-Mail an die in Anhang 1 (Angaben zur Datenverarbeitung) angegebene Datenschutzkontaktstelle des Dienstleisters an die Datenschutzbehörde senden.
Unterauftragsverarbeiter: Wenn der Dienstleister im Rahmen dieser Klauseln einen Unterauftragsverarbeiter beauftragt, muss der Dienstleister mit diesem Unterauftragsverarbeiter eine verbindliche vertragliche Vereinbarung treffen, die diesem Datenschutzverpflichtungen auferlegt, die im Wesentlichen den in diesen Klauseln und im DPA geforderten Standards entsprechen oder diese übertreffen – einschließlich in Bezug auf:
anwendbare Maßnahmen zur Informationssicherheit;
Meldung von Verletzungen des Schutzes personenbezogener Daten an den Dienstleister;
Rückgabe oder Löschung der personenbezogenen Daten des Abonnenten, soweit erforderlich; und
Beauftragung weiterer Unterauftragsverarbeiter.
TEIL 2: TRANSFERS MIT EINSCHRÄNKUNGEN IM VEREINIGTEN KÖNIGREICH – UK SCCs
1. NACHTRAG ZUR DATENÜBERMITTLUNG IN DAS VEREINIGTE KÖNIGREICH
1.1 Soweit dies gemäß Absatz 2.2 von Anhang 2 (Europäischer Anhang) der Datenschutzvereinbarung relevant ist, gelten die EU-Standardvertragsklauseln auch im Zusammenhang mit eingeschränkten Datenübermittlungen in das Vereinigte Königreich, die durch den Nachtrag zur Datenübermittlung in das Vereinigte Königreich (UK SCCs) in der nachstehend beschriebenen Weise angepasst wurden –
(a)
Teil 1 des Nachtrags zur Datenübermittlung in das Vereinigte Königreich. Die Parteien vereinbaren:
(i) Die Tabellen 1, 2 und 3 des Zusatzes zur Datenübermittlung in das Vereinigte Königreich gelten als mit den entsprechenden Angaben aus Anhang 1 (Angaben zur Datenverarbeitung) der DPA und den vorstehenden Bestimmungen dieses Anhangs 1 zu Anhang 2 (Europäischer Anhang) ausgefüllt (vorbehaltlich der Abweichungen, die durch die nachstehend unter (b) beschriebenen zwingenden Klauseln für das Vereinigte Königreich bewirkt werden); und
(ii) Tabelle 4 des UK Transfer Addendum gilt als ausgefüllt, indem das Kästchen mit der Bezeichnung „Data Importer“ als angekreuzt gilt.
(b)
Teil 2 des Zusatzes zur Übertragung im Vereinigten Königreich. Die Parteien erklären sich damit einverstanden, an die zwingenden Bestimmungen des britischen Zusatzes zur Datenübertragung gebunden zu sein.
4.5 Soweit dies gemäß Abschnitt 17 der britischen zwingenden Klauseln zulässig ist, vereinbaren die Parteien, die in „Teil 1: Tabellen“ des britischen Transfer-Nachtrags geforderten Informationen in der in Absatz 1.1 dieses Teils 2 dargelegten Weise darzustellen; vorausgesetzt, dass die Parteien ferner vereinbaren, dass nichts an der Art und Weise dieser Darstellung so wirkt oder ausgelegt werden darf, dass die angemessenen Schutzmaßnahmen (wie in Abschnitt 3 der britischen zwingenden Klauseln definiert)
4.6 In Bezug auf jede Datenübermittlung mit Beschränkungen im Vereinigten Königreich, auf die sie Anwendung finden, sind, sofern es der Kontext zulässt und erfordert, alle Verweise in der DPA auf die Standardvertragsklauseln als Verweise auf jene Standardvertragsklauseln zu verstehen, die gemäß Absatz 1.1 dieses Teils 2 geändert wurden.
Anhang 3
Anhang Kalifornien
1. In diesem Anhang haben die Begriffe „Unternehmen“, „geschäftlicher Zweck“, „kommerzieller Zweck“, „Verbraucher“, „verkaufen“, „weitergeben“ und „Dienstleister“ die ihnen im CCPA zugewiesene Bedeutung; und „personenbezogene Daten“ bezeichnet personenbezogene Daten von Abonnenten, die „personenbezogene Daten“ im Sinne des CCPA darstellen und dessen Bestimmungen unterliegen.
, 2. Die geschäftlichen Zwecke und Dienstleistungen, für die der Dienstleister personenbezogene Daten verarbeitet, bestehen darin, dass der Dienstleister die in der Vereinbarung festgelegten Dienstleistungen für den Abonnenten und in dessen Auftrag erbringt, wie in Anhang 1 (Einzelheiten zur Datenverarbeitung) näher beschrieben.
, 3. Es ist die Absicht der Parteien, dass der Dienstleister in Bezug auf personenbezogene Daten als Dienstleister fungiert. Der Dienstleister (a) bestätigt, dass personenbezogene Daten vom Abonnenten ausschließlich für die in der Vereinbarung beschriebenen begrenzten und spezifischen Zwecke offengelegt werden; (b) verpflichtet sich, die geltenden Verpflichtungen gemäß dem CCPA einzuhalten und für personenbezogene Daten denselben Datenschutzstandard zu gewährleisten, wie er vom CCPA vorgeschrieben ist; (c) erklärt sich damit einverstanden, dass der Abonnent das Recht hat, angemessene und geeignete Maßnahmen gemäß Abschnitt 9 (Unterstützung bei der Einhaltung; Audits) dieser DPA zu ergreifen, um sicherzustellen, dass die Verwendung personenbezogener Daten durch den Dienstleister mit den Verpflichtungen des Abonnenten gemäß dem CCPA im Einklang steht; (d) den Abonnenten schriftlich über jede Feststellung des Dienstleisters zu informieren, dass er seinen Verpflichtungen gemäß dem CCPA nicht mehr nachkommen kann; und (e) zuzustimmen, dass der Abonnent das Recht hat, nach einer entsprechenden Mitteilung, einschließlich gemäß der vorstehenden Klausel, angemessene und geeignete Maßnahmen zu ergreifen, um die unbefugte Nutzung personenbezogener Daten zu unterbinden und Abhilfe zu schaffen.
, 4. Der Dienstleister darf (a) keine personenbezogenen Daten verkaufen oder weitergeben; (b) personenbezogene Daten nicht für andere Zwecke als die in der Vereinbarung festgelegten geschäftlichen Zwecke speichern, verwenden oder offenlegen, einschließlich der Speicherung, Verwendung oder Offenlegung der personenbezogenen Daten für kommerzielle Zwecke, die nicht den in der Vereinbarung festgelegten geschäftlichen Zwecken entsprechen, oder wie anderweitig durch den CCPA gestattet; (c) personenbezogene Daten außerhalb der direkten Geschäftsbeziehung zwischen dem Dienstleister und dem Abonnenten speichern, verwenden oder offenlegen; oder (d) personenbezogene Daten, die gemäß der Vereinbarung erhalten wurden, mit personenbezogenen Daten kombinieren, die (i) von einer anderen Person oder im Namen einer anderen Person erhalten wurden oder (ii) aus der eigenen Interaktion des Dienstleisters mit einem Verbraucher, auf den sich diese personenbezogenen Daten beziehen, erhoben wurden.
, 5. Der Dienstleister hat angemessene Sicherheitsverfahren und -praktiken einzuführen, die der Art der personenbezogenen Daten entsprechen, die er vom oder im Namen des Abonnenten erhält, und zwar gemäß Abschnitt 5 (Sicherheit) der DPA.
, 6. Bezieht der Dienstleister einen Unterauftragsverarbeiter ein, so hat er den Abonnenten gemäß Abschnitt 8 (Unterauftragsvergabe) der DPA über diese Beauftragung zu informieren.
Anhang 4
Sicherheitsmaßnahmen
Ab dem Datum des Inkrafttretens des Nachtrags wird der Dienstleister die in diesem Anhang 4 dargelegten Sicherheitsmaßnahmen umsetzen und aufrechterhalten.
, 1. Die Unternehmensleitung und engagierte Mitarbeiter, die für die Entwicklung, Umsetzung und Pflege des Informationssicherheitsprogramms des Dienstleisters verantwortlich sind.
, 2. Prüfungs- und Risikobewertungsverfahren zur regelmäßigen Überprüfung und Bewertung der Risiken für die Organisation des Dienstleisters, zur Überwachung und Aufrechterhaltung der Einhaltung der Richtlinien und Verfahren des Dienstleisters sowie zur Berichterstattung über den Stand der Informationssicherheit und der Compliance an die interne Geschäftsleitung.
, 3. Maßnahmen zur Datensicherheit, die mindestens Folgendes umfassen: logische Trennung der Daten, eingeschränkter (z. B. rollenbasierter) Zugriff und Überwachung sowie den Einsatz wirtschaftlich angemessener Verschlüsselungstechnologien für personenbezogene Daten der Abonnenten.
, 4. Logische Zugriffskontrollen zur Verwaltung des elektronischen Zugriffs auf Daten und Systemfunktionen auf der Grundlage von Berechtigungsstufen und Aufgabenbereichen.
, 5. Passwortkontrollen zur Verwaltung und Überwachung der Passwortstärke, der Gültigkeitsdauer und der Nutzung.
, 6. Systemüberwachung oder Ereignisprotokollierung sowie damit verbundene Überwachungsverfahren zur proaktiven Erfassung von Benutzerzugriffen und Systemaktivitäten.
, 7. Physische und umgebungsbezogene Sicherheit von Rechenzentren, Serverräumen und anderen Bereichen, in denen personenbezogene Daten von Teilnehmern gespeichert sind, zum Schutz der Informationsressourcen vor unbefugtem physischem Zugriff oder Beschädigung.
, 8. Betriebsverfahren und Kontrollmaßnahmen zur Konfiguration, Überwachung und Wartung von Technologie- und Informationssystemen, einschließlich der sicheren Entsorgung von Systemen und Datenträgern, um alle darin enthaltenen Informationen oder Daten vor der endgültigen Entsorgung oder der Rückgabe aus dem Besitz des Dienstleisters unlesbar oder unwiederherstellbar zu machen.
, 9. Verfahren zum Änderungsmanagement und Überwachungsmechanismen, die dazu dienen, alle wesentlichen Änderungen an den technologischen und informationsbezogenen Ressourcen des Dienstleisters zu prüfen, zu genehmigen und zu überwachen.
, 10. Verfahren zum Vorfallmanagement, die es dem Dienstleister ermöglichen sollen, Vorfälle im Zusammenhang mit seinen technischen und informationstechnologischen Ressourcen zu untersuchen, darauf zu reagieren, deren Auswirkungen zu mindern und darüber zu informieren.
, 11. Netzwerksicherheitsmaßnahmen, die den Einsatz von Unternehmensfirewalls und Intrusion-Detection-Systemen vorsehen, um Systeme vor Eindringversuchen zu schützen und den Umfang eines erfolgreichen Angriffs zu begrenzen.
, 12. Technologien zur Schwachstellenanalyse und zum Schutz vor Bedrohungen sowie planmäßige Überwachungsverfahren, die darauf ausgelegt sind, erkannte Sicherheitsbedrohungen, Viren und anderen schädlichen Code zu identifizieren, zu bewerten, zu mindern und davor zu schützen.
, 13. Verfahren zur Gewährleistung der Betriebsfortführung und zur Notfallwiederherstellung, die darauf ausgelegt sind, den Dienst aufrechtzuerhalten und/oder nach vorhersehbaren Notfällen oder Katastrophen den Betrieb wiederherzustellen.
Der Dienstanbieter von
kann die Sicherheitsmaßnahmen gemäß Abschnitt 5.2 (im Abschnitt „Sicherheit“) der DPA von Zeit zu Zeit aktualisieren.
.svg)
%20(1).svg)