DIESER DATENVERARBEITUNGSZUSATZ ("DPA") ergänzt und ist Teil der Solunion.app-Geschäftsbedingungen, die zwischen Solunion GmbH, dem Eigentümer und Betreiber der Solunion.app-Plattform ("Solunion.app", "wir", "uns" und "unser"), und der natürlichen oder juristischen Person, die über die Abonnenten AGBs an der Solunion.app-Plattform erworben hat ("Abonnent", "du" und "dein"), abgeschlossen wurden. Bestimmte Wörter und Ausdrücke in dieser DPA haben eine besondere Bedeutung, die entweder an der Stelle, an der sie zum ersten Mal erscheinen, durch Fettdruck gekennzeichnet ist, oder in Abschnitt 6, an der sie zum ersten Mal erscheinen, durch einen Textlink gekennzeichnet ist. Diese deutsche Version gilt unabhängig von einer Übersetzung. Die Definitionen, die den definierten Wörtern zugeschrieben werden, sind unabhängig von der Großschreibung als definierte Begriffe zu verstehen.
NAVIGATION DURCH DIESE BEDINGUNGEN
Über die unten stehenden Links kannst du zu den Bereichen dieser Bedingungen navigieren, die speziell für dich gelten oder die sonst von Interesse sein könnten:
1. ANWENDUNGSBEREICH UND ZWECK
2. PFLICHTEN DES FÜR DIE VERARBEITUNG VERANTWORTLICHEN
3. PFLICHTEN DES VERARBEITERS
4. PRÄZEDENZFALL; BINDENDER VERTRAG
5. GLOSSAR; INTERPRETATION
1. ANWENDUNGSBEREICH UND ZWECK
1.1 Persönliche Daten der Abonnenten. Die Solunion.app-Plattform stellt Abonnenten Vorlagen, Blogs und andere Tools zur Verfügung, mit denen sie verkaufsorientierte Websites zur Leadgenerierung erstellen können, um ihre eigenen Produkte und Dienstleistungen an Endkunden zu vermarkten und zu verkaufen. Als du die Solunion.app-Plattform zum ersten Mal abonniert hast, hast du unseren Abonnentenbedingungen zugestimmt und uns erlaubt, bestimmte abonnementbezogene Daten von dir zu erheben, darunter einige begrenzte personenbezogene Daten wie deinen Namen, deine E-Mail-Adresse und Zahlungsinformationen. Wir sind für diese personenbezogenen Daten des Abonnenten verantwortlich.
1.2 Persönliche Endnutzerdaten. Nachdem du unsere Solunion.app-Plattform abonniert und sie zur Gestaltung deiner eigenen Websites genutzt hast, setzt du diese Websites in Betrieb, um Leads für dein Unternehmen zu generieren und diese Leads in Verkäufe umzuwandeln. Dabei erhebst du Daten von deinen eigenen Endnutzern, einschließlich der persönlichen Daten, die du für dein Geschäft benötigst. Du bist für die von dir gesammelten personenbezogenen Daten der Endnutzer verantwortlich. Wir wiederum fungieren als dein Auftragsverarbeiter, wenn du die Funktion unserer Solunion.app-Plattform nutzt, die es dir ermöglicht, personenbezogene Endnutzerdaten auf unseren Systemen zu speichern.
1.3 Zweck; Einhaltung der Datenschutzgesetze. Der doppelte Zweck dieser DPA besteht darin, die Allgemeinen Geschäftsbedingungen für Abonnenten zu ergänzen, indem die jeweiligen Rechte und Pflichten der Parteien gemäß den geltenden Datenschutzgesetzen in Bezug auf folgende Punkte festgelegt werden (a) die personenbezogenen Daten des Teilnehmers, für die du die betroffene Person bist und für die wir als Verantwortlicher handeln; und (b) die personenbezogenen Daten des Endnutzers, für die deine Endnutzer die betroffenen Personen sind, du als Verantwortlicher und wir als dein Auftragsverarbeiter handeln.
2. PFLICHTEN DES FÜR DIE VERARBEITUNG VERANTWORTLICHEN
2.1 Unabhängige Verantwortliche. Sofern die Parteien nichts anderes vereinbart haben, verarbeiten Solunion GmbH und der Abonnent personenbezogene Daten als unabhängige für die Verarbeitung Verantwortliche, wenn der Abonnent personenbezogene Daten als für die Verarbeitung Verantwortlicher gemäß den Bestimmungen der DPA verarbeitet. Jeder für die Verarbeitung Verantwortliche ist allein für seine eigenen Verpflichtungen als für die Verarbeitung Verantwortlicher verantwortlich, wie es das geltende Datenschutzgesetz verlangt. Sofern aufgrund der Verarbeitung, Weitergabe oder Übermittlung von personenbezogenen Endnutzerdaten durch dich eine Untersuchung oder Klage gegen uns eingeleitet wird (es sei denn, sie wird durch die Nichterfüllung unserer Verpflichtungen gemäß Abschnitt 3 dieser DPA verursacht), wirst du uns und unsere Bevollmächtigten und Vertreter entschädigen, verteidigen und schadlos halten.
2.2 Internationale Übermittlungen. In unserer Rolle als für die Verarbeitung personenbezogener Daten von Abonnenten zuständige Stelle nimmst du zur Kenntnis, dass wir und unsere Auftragsverarbeiter Daten in Ländern verarbeiten können, die sich außerhalb deines Wohnsitzes befinden. Wenn wir und unsere Auftragsverarbeiter personenbezogene Daten von Abonnenten mit Wohnsitz im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich, in der Schweiz und in anderen Ländern verarbeiten, in denen die geltenden Datenschutzgesetze eine ähnliche Datenübertragungsvereinbarung erfordern, schließen die Parteien als für die Verarbeitung Verantwortliche die Standardvertragsklauseln zwischen den für die Verarbeitung Verantwortlichen ab, die als Anhang 1 beigefügt und in diese DPA aufgenommen sind.
3. UNSERE VERPFLICHTUNGEN ALS VERARBEITER.
Wir handeln als dein Auftragsverarbeiter, wenn du die Funktion unserer Solunion.app-Plattform nutzt, die es dir ermöglicht, personenbezogene Endnutzerdaten auf unseren Systemen zu speichern. Der Gegenstand unserer Verarbeitung sind die personenbezogenen Daten der Endnutzer, die du uns zur Verfügung stellst. Art und Zweck unserer Verarbeitung beschränken sich auf die Speicherung zum Abruf durch dich. Bei der Verarbeitung der personenbezogenen Daten der Endnutzer/innen halten wir uns an die folgenden Verpflichtungen:
3.1 Angemessene Maßnahmen. Wir werden geeignete technische und organisatorische Maßnahmen ergreifen, damit unsere Verarbeitung in deinem Namen den Anforderungen des geltenden Rechts entspricht.
3.2 Ernennung von Unterauftragsverarbeitern. Du stimmst zu, dass wir Unterauftragsverarbeiter ernennen können, die uns bei der Bereitstellung unserer Produkte und Dienstleistungen unterstützen, insbesondere bei der Verarbeitung der personenbezogenen Daten der Abonnenten. Wir führen eine aktuelle Liste mit den Namen und dem Standort aller Unterauftragsverarbeiter, die für die Verarbeitung der personenbezogenen Daten der Teilnehmer/innen im Rahmen dieser DPA eingesetzt werden. Auf Anfrage stellen wir eine Liste aller Unterauftragsverarbeiter zur Verfügung. Falls du einem Unterauftragsverarbeiter gemäß den Bestimmungen dieser DPA widersprichst, musst du uns deinen Widerspruch unverzüglich schriftlich übermitteln. In diesem Fall werden wir dir die Möglichkeit geben, die Nutzungs- und Verkaufsbedingungen sofort zu kündigen.
3.3 Verarbeitungsverpflichtungen. In unserer Rolle als Verarbeiter personenbezogener Endnutzerdaten verpflichten wir uns insbesondere zu Folgendem
Wir werden dich unverzüglich informieren, wenn eine Anweisung, die du uns gegeben hast, unserer Meinung nach gegen geltende Datenschutzgesetze verstößt.
3.4 Unterauftragsverarbeiter. Wenn wir einen Unterauftragsverarbeiter damit beauftragen, bestimmte Verarbeitungstätigkeiten in deinem Namen durchzuführen, werden diesem Unterauftragsverarbeiter dieselben Verpflichtungen aus dieser DPA durch einen Vertrag oder einen anderen Rechtsakt auferlegt, der die Anforderungen der geltenden Datenschutzgesetze erfüllt, insbesondere die Bereitstellung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, so dass die Verarbeitung den Anforderungen der geltenden Datenschutzgesetze entspricht. Wenn der Unterauftragsverarbeiter gegen diese Verpflichtungen verstößt, sind wir dir gegenüber verantwortlich.
3.5 Endnutzeranfragen. Wir werden dich, soweit gesetzlich zulässig, unverzüglich benachrichtigen, wenn ein Endnutzer seine Rechte auf Zugang zu den Daten und die damit verbundenen Rechte nach geltendem Recht über uns statt über dich ausüben will, und wir werden in angemessener Weise mit dir zusammenarbeiten, um deine Verpflichtungen zu erfüllen, vorausgesetzt, du trägst alle daraus entstehenden angemessenen Kosten.
3.6 Benachrichtigung bei Verstößen. Wir werden dich unverzüglich benachrichtigen, nachdem wir erfahren haben, dass eine Verletzung der Sicherheit unserer Systeme stattgefunden hat, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf die von uns übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Endnutzerdaten geführt hat. Eine solche Mitteilung enthält die Informationen, die ein Auftragsverarbeiter einem für die Verarbeitung Verantwortlichen gemäß Artikel 33 Absatz 3 der DSGVO oder anderen anwendbaren Datenschutzgesetzen zur Verfügung stellen muss, soweit diese Informationen für Solunion.app vernünftigerweise verfügbar sind.
3.7 Internationale Übertragungen. Wenn du personenbezogene Daten von Endnutzern auf unseren Systemen speicherst, werden diese automatisch außerhalb deines Wohnsitzlandes in die Vereinigten Staaten übertragen. Wenn wir personenbezogene Endnutzerdaten eines Einwohners des EWR, der Schweiz, des Vereinigten Königreichs oder eines anderen Landes, in dem die geltenden Datenschutzgesetze eine ähnliche Datenübertragungsvereinbarung vorschreiben, verarbeiten oder unserem Unterauftragsverarbeiter die Verarbeitung gestatten, halten wir uns an die Anforderungen der Standardvertragsklauseln für Auftragsverarbeiter, die diesem Dokument als Anhang 2 beigefügt und in diese DSGVO aufgenommen sind.
3.8 Verwendung personenbezogener Daten. In unserer Rolle als Auftragsverarbeiter werden wir die personenbezogenen Daten der Endnutzer/innen nur für die spezifischen Zwecke der Erbringung der Dienstleistungen verkaufen, aufbewahren, nutzen oder offenlegen, wie in dieser DPA und den anderen geltenden Bestimmungen festgelegt.
4. PRÄZEDENZFALL; BINDENDER VERTRAG.
Widersprüche zwischen den Allgemeinen Geschäftsbedingungen für Abonnenten und/oder unserer allgemeinen Datenschutzerklärung einerseits und dieser DPA andererseits in Bezug auf die Rechte oder Pflichten einer Partei, die sich auf die persönlichen Daten von Abonnenten und Endnutzern beziehen oder aus diesen entstehen, werden zugunsten dieser DPA entschieden. Durch die weitere Nutzung der Solunion.app-Plattform nach dem Datum des Inkrafttretens dieser DPA hat der/die Abonnent/in seine/ihre Absicht bekräftigt, an die Bedingungen dieser DPA gebunden zu sein und sie zu befolgen.
5. GLOSSAR; INTERPRETATION.
"CCPA" bezeichnet das kalifornische Verbraucherschutzgesetz und seine Durchführungsbestimmungen in der jeweils gültigen Fassung.
"Solunion.app-Plattform" bezeichnet die Solunion.app-Plattform, die Solunion GmbH gehört und von ihr betrieben wird und hier beschrieben ist.
"Verantwortlicher" hat die Bedeutung, die ihm in den geltenden Datenschutzgesetzen zugewiesen wird, und bezeichnet im Allgemeinen eine Person, die (allein oder zusammen mit anderen) die Zwecke und die Art und Weise der Verarbeitung personenbezogener Daten bestimmt. Für die Zwecke des CCPA werden dieser Begriff und seine Bedeutung, wo immer er in dieser DPA verwendet wird, durch den Begriff "Unternehmen" gemäß der Definition im CCPA ersetzt.
Der Begriff "betroffene Person" hat die Bedeutung, die ihm in den geltenden Datenschutzgesetzen gegeben wird, mit der Ausnahme, dass dieser Begriff und seine Bedeutung für die Zwecke des CCPA an allen Stellen in dieser DPA durch den Begriff "Verbraucher" gemäß der Definition im CCPA ersetzt wird.
"Datenschutzgesetze" sind Gesetze und Vorschriften, die für die Erhebung, Nutzung, Speicherung und Übertragung von personenbezogenen Daten des Teilnehmers oder Endnutzers gelten, einschließlich, aber nicht beschränkt auf die DSGVO, CCPA, LGPD und UK DPA.
"Endnutzer" bezeichnet jede natürliche Person, von der du personenbezogene Daten erhebst, einschließlich der Besucher deiner Websites und der tatsächlichen und potenziellen Kunden deiner Waren und Dienstleistungen.
"Nutzungsbedingungen für Abonnenten" bezeichnet die Solunion.app-Nutzungsbedingungen, die du hier findest.
"Personenbezogene Daten der Endnutzer" bezeichnet bestimmte personenbezogene Daten, die du von potenziellen und tatsächlichen Kunden der Waren und Dienstleistungen erhebst, die du über mit unserer Solunion.app-Plattform erstellte Websites bewirbst, wie hier beschrieben.
"DSGVO" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 und alle nationalen Rechtsvorschriften zu ihrer Umsetzung oder Ergänzung, die von Zeit zu Zeit geändert werden.
"LGPD" ist das brasilianische Lei Geral de Proteção de Dados Pessoais (Allgemeines Datenschutzgesetz).
"Verkaufen" hat die Bedeutung, die ihm im CCPA gegeben wird.
"Personenbezogene Daten" hat die Bedeutung, die ihm in den geltenden Datenschutzgesetzen gegeben wird, mit der Ausnahme, dass für die Zwecke des CCPA dieser Begriff und seine Bedeutung, wo immer er in dieser DPA verwendet wird, durch den Begriff "personenbezogene Daten" gemäß der Definition im CCPA ersetzt wird.
"Verarbeiter"/"Verarbeitung" hat die Bedeutung, die ihm in den geltenden Datenschutzgesetzen gegeben wird, und bezeichnet im Allgemeinen jede Person, die keine Angestellte der verantwortlichen Stelle ist, die personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitet.
"Verarbeiter" hat die Bedeutung, die ihm in den geltenden Datenschutzgesetzen zugewiesen wird.
"Personenbezogene Daten des Abonnenten" bezeichnet bestimmte personenbezogene Daten, die wir von dir und deiner Belegschaft erheben, wenn du dich bei unserer Solunion.app-Plattform anmeldest, wie hier beschrieben.
"Unterauftragsverarbeiter" bezeichnet jeden vom Auftragsverarbeiter beauftragten Drittverarbeiter, einschließlich Unternehmen und verbundene Unternehmen des Auftragsverarbeiters, die personenbezogene Daten vom Auftragsverarbeiter zur Verarbeitung im Auftrag des für die Verarbeitung Verantwortlichen und in Übereinstimmung mit den Anweisungen des für die Verarbeitung Verantwortlichen (wie vom Auftragsverarbeiter mitgeteilt) und den Bedingungen des schriftlichen Untervertrags erhalten.
"Standardvertragsklauseln" sind die von der Europäischen Kommission am 4. Juni 2021 herausgegebenen Standardvertragsklauseln gemäß der DSGVO für Datenübermittlungen von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern in der EU/im EWR (oder die anderweitig der DSGVO unterliegen) an für die Verarbeitung Verantwortliche oder Auftragsverarbeiter mit Sitz außerhalb der EU/des EWR (die nicht der DSGVO unterliegen). Die Standardvertragsklauseln sind in diesem Nachtrag enthalten. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen diesem Nachtrag und den Standardvertragsklauseln haben die Standardvertragsklauseln Vorrang. Siehe https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en für aktuelle Informationen zu den Klauseln. Siehe auch Anhang 1 und 2, die hiermit durch Verweis in diese DPA aufgenommen werden.
"UK DPA" bezeichnet den United Kingdom Data Protection Act 2018 in seiner aktuellen Fassung.
ENDE DES DATENVERARBEITUNGSZUSATZES
ANHANG 1
Standardvertragsklauseln (Controller)
Für die Zwecke von Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten
Die in der DPA als "Abonnent", "du" und "dein" bezeichnete Stelle
(der "Datenexporteur")
und
Solunion GmbH, Solunion.app
Im Grossholz 37
8253 Diessenhofen
(der "Datenimporteur")
jeweils eine "Partei"; zusammen "die Parteien".
SIND auf die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anhang A aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.
ABSCHNITT I
Klausel 1
Zweck und Umfang
(a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) bei der Übermittlung personenbezogener Daten in ein Drittland erfüllt werden.
(b) Die Parteien:
(c) Diese Klauseln gelten für die Übermittlung der in Anlage A, Anhang I.B aufgeführten personenbezogenen Daten.
(d) Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist Bestandteil dieser Klauseln.
Klausel 2
Wirkung und Unveränderlichkeit der Klauseln
(a) Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
(b) Diese Klauseln berühren nicht die Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
a. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:
b. Absatz (a) gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.
Klausel 4
Interpretation
(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in der genannten Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.
Klausel 5
Hierarchie
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verbundener Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, sind diese Klauseln maßgebend.
Klausel 6
Beschreibung der Übertragung(en)
Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, für den/die sie übermittelt werden, sind in Anlage A, Anhang I.B aufgeführt.
Klausel 7
Andockklausel
Die Option der Andockklausel gemäß Klausel 7 findet keine Anwendung.
ABSCHNITT II - VERPFLICHTUNGEN DER PARTEIEN
Klausel 8
Datenschutzgarantien
Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seine Verpflichtungen aus diesen Klauseln zu erfüllen.
8.1 Zweckbeschränkung
Der Datenimporteur darf die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung, wie in Anlage A, Anhang I.B dargelegt, verarbeiten:
8.2 Transparenz
(a) Damit die betroffenen Personen ihre Rechte gemäß Klausel 10 wirksam ausüben können, muss der Datenimporteur sie entweder direkt oder über den Datenexporteur informieren:
(b) Absatz a) findet keine Anwendung, wenn die betroffene Person bereits über die Informationen verfügt, auch wenn diese Informationen bereits vom Datenexporteur erteilt wurden, oder wenn sich die Erteilung der Informationen als unmöglich erweist oder für den Datenimporteur mit einem unverhältnismäßigen Aufwand verbunden wäre. In letzterem Fall macht der Datenimporteur die Informationen so weit wie möglich öffentlich zugänglich.
(c) Die Parteien stellen der betroffenen Person auf Anfrage kostenlos eine Kopie dieser Klauseln einschließlich des von ihnen ausgefüllten Anhangs A zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, können die Parteien Teile des Textes des Anhangs vor der Weitergabe einer Kopie unkenntlich machen, müssen aber eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist.
(d) Die Absätze (a) bis (c) berühren nicht die Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.
8.3 Genauigkeit und Datenminimierung
(a) Jede Vertragspartei stellt sicher, dass die personenbezogenen Daten richtig sind und, soweit erforderlich, auf dem neuesten Stand gehalten werden. Der Datenimporteur unternimmt alle angemessenen Schritte, um sicherzustellen, dass personenbezogene Daten, die im Hinblick auf den/die Zweck(e) der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
(b) Stellt eine der Parteien fest, dass die von ihr übermittelten oder erhaltenen personenbezogenen Daten unrichtig oder veraltet sind, informiert sie die andere Partei unverzüglich.
(c) Der Datenimporteur stellt sicher, dass die personenbezogenen Daten angemessen und sachdienlich sind und sich auf das beschränken, was in Bezug auf den/die Zweck(e) der Verarbeitung erforderlich ist.
8.4 Begrenzung der Speicherung
Der Datenimporteur bewahrt die personenbezogenen Daten nicht länger auf, als es für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich ist. Er ergreift geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung zu gewährleisten, einschließlich der Löschung oder Anonymisierung der Daten und aller Sicherungskopien am Ende der Aufbewahrungsfrist.
8.5 Sicherheit der Verarbeitung
(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Weitergabe oder einem unbefugten Zugriff führt (im Folgenden "Verletzung der Sicherheit personenbezogener Daten"). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen sie den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und den Zweck/die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffene Person. Die Parteien erwägen insbesondere den Einsatz von Verschlüsselung oder Pseudonymisierung, auch bei der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann.
(b) Die Parteien haben sich auf die in Anlage A, Anhang II aufgeführten technischen und organisatorischen Maßnahmen geeinigt. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.
(c) Der Datenimporteur stellt sicher, dass die Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
(d) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur gemäß diesen Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich Maßnahmen zur Milderung ihrer möglichen negativen Auswirkungen.
(e) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt der Datenimporteur unverzüglich sowohl den Datenexporteur als auch die zuständige Aufsichtsbehörde gemäß Klausel 13. Diese Benachrichtigung enthält (i) eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und personenbezogenen Datensätze), (ii) die voraussichtlichen Folgen, (iii) die zur Behebung der Verletzung ergriffenen oder vorgeschlagenen Maßnahmen und (iv) die Angaben zu einer Kontaktstelle, bei der weitere Informationen eingeholt werden können. Sofern es dem Datenimporteur nicht möglich ist, alle Informationen gleichzeitig zu übermitteln, kann er dies ohne unangemessene weitere Verzögerung in mehreren Phasen tun.
(f) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, benachrichtigt der Datenimporteur die betroffenen Personen ebenfalls unverzüglich über die Verletzung des Schutzes personenbezogener Daten und deren Art, erforderlichenfalls in Zusammenarbeit mit dem Datenexporteur, zusammen mit den in Absatz e) Ziffern ii) bis iv) genannten Informationen, es sei denn, der Datenimporteur hat Maßnahmen ergriffen, um das Risiko für die Rechte oder Freiheiten natürlicher Personen erheblich zu verringern, oder die Benachrichtigung wäre mit unverhältnismäßigem Aufwand verbunden. In letzterem Fall muss der Datenimporteur stattdessen eine öffentliche Mitteilung herausgeben oder eine ähnliche Maßnahme ergreifen, um die Öffentlichkeit über die Verletzung des Schutzes personenbezogener Daten zu informieren.
(g) Der Datenimporteur dokumentiert alle relevanten Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, einschließlich ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen, und führt darüber Buch.
8.6 Sensible Daten
Handelt es sich bei der Übermittlung um personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, um genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, um Daten über die Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder um Daten über strafrechtliche Verurteilungen oder Straftaten (im Folgenden "sensible Daten"), wendet der Datenimporteur besondere Beschränkungen und/oder zusätzliche Garantien an, die der besonderen Art der Daten und den damit verbundenen Risiken angepasst sind. Dazu können die Beschränkung des Personals, das auf die personenbezogenen Daten zugreifen darf, zusätzliche Sicherheitsmaßnahmen (z. B. Pseudonymisierung) und/oder zusätzliche Beschränkungen in Bezug auf die Weitergabe gehören.
8.7 Weitergabe von Daten
Der Datenimporteur darf die personenbezogenen Daten nicht an einen Dritten weitergeben, der sich außerhalb der Europäischen Union befindet (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden "Weiterübermittlung"), es sei denn, der Dritte ist im Rahmen des entsprechenden Moduls an diese Klauseln gebunden oder erklärt sich damit einverstanden. Andernfalls kann eine Weiterübermittlung durch den Datenimporteur nur erfolgen, wenn:
(i) es sich um ein Land handelt, das von einem Angemessenheitsbeschluss gemäß Artikel 45 der Verordnung (EU) 2016/679 profitiert, der die Weiterübermittlung abdeckt;
(ii) der Dritte anderweitig angemessene Garantien gemäß Artikel 46 oder 47 der Verordnung (EU) 2016/679 in Bezug auf die betreffende Verarbeitung gewährleistet;
(iii) der Dritte schließt mit dem Datenimporteur eine verbindliche Vereinbarung ab, die das gleiche Datenschutzniveau wie nach diesen Klauseln gewährleistet, und der Datenimporteur legt dem Datenexporteur eine Kopie dieser Garantien vor;
(iv) sie für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen im Rahmen eines bestimmten Verwaltungs-, Aufsichts- oder Gerichtsverfahrens erforderlich ist;
(v) sie ist notwendig, um die lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; oder
(vi) wenn keine der anderen Bedingungen zutrifft, hat der Datenimporteur die ausdrückliche Einwilligung der betroffenen Person für eine Weiterübermittlung in einer bestimmten Situation eingeholt, nachdem er sie über den/die Zweck(e), die Identität des Empfängers und die möglichen Risiken einer solchen Übermittlung für sie aufgrund des Fehlens angemessener Datenschutzgarantien informiert hat. In diesem Fall informiert der Datenimporteur den Datenexporteur und übermittelt diesem auf Anfrage eine Kopie der Informationen, die er der betroffenen Person gegeben hat.
Jede Weiterübermittlung setzt voraus, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.
8.8 Verarbeitung unter der Aufsicht des Datenimporteurs
Der Datenimporteur stellt sicher, dass jede Person, die unter seiner Aufsicht handelt, einschließlich eines Auftragsverarbeiters, die Daten nur auf seine Anweisung hin verarbeitet.
8.9 Dokumentation und Einhaltung der Vorschriften
(a) Jede Partei muss in der Lage sein, die Einhaltung ihrer Verpflichtungen aus diesen Klauseln nachzuweisen. Insbesondere muss der Datenimporteur eine angemessene Dokumentation über die unter seiner Verantwortung durchgeführten Verarbeitungstätigkeiten führen.
(b) Der Datenimporteur stellt diese Unterlagen der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
Klausel 9
Einsatz von Unterauftragsverarbeitern
Diese Klausel ist nicht auf dieses Modul (Controller-Controller) der Standardvertragsklauseln anwendbar.
Klausel 10
Rechte der betroffenen Person
(a) Der Datenimporteur bearbeitet - gegebenenfalls mit Unterstützung des Datenexporteurs - alle Anfragen und Anträge, die er von einer betroffenen Person in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und die Ausübung ihrer Rechte nach diesen Klauseln erhält, ohne unangemessene Verzögerung und spätestens innerhalb eines Monats nach Eingang der Anfrage oder des Antrags. Der Datenimporteur trifft geeignete Maßnahmen, um solche Anfragen, Anträge und die Ausübung der Rechte der betroffenen Person zu erleichtern. Alle Informationen, die der betroffenen Person zur Verfügung gestellt werden, müssen in einer verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache abgefasst sein.
(b) Insbesondere muss der Datenimporteur auf Anfrage der betroffenen Person unentgeltlich
(c) Verarbeitet der Datenimporteur die personenbezogenen Daten zu Zwecken der Direktwerbung, so stellt er die Verarbeitung zu diesen Zwecken ein, wenn die betroffene Person dem widerspricht.
(d) Der Datenimporteur darf keine allein auf der automatisierten Verarbeitung der übermittelten personenbezogenen Daten beruhende Entscheidung (im Folgenden "automatisierte Entscheidung") treffen, die rechtliche Folgen für die betroffene Person hätte oder sie in ähnlicher Weise erheblich beeinträchtigen würde, es sei denn, es liegt die ausdrückliche Einwilligung der betroffenen Person vor oder sie ist nach dem Recht des Bestimmungslandes dazu befugt, sofern dieses Recht geeignete Maßnahmen zur Wahrung der Rechte und berechtigten Interessen der betroffenen Person vorsieht. In diesem Fall wird der Datenimporteur, soweit erforderlich, in Zusammenarbeit mit dem Datenexporteur:
(e) Sind die Anträge einer betroffenen Person übermäßig, insbesondere weil sie sich wiederholen, kann der Datenimporteur entweder eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten für die Bearbeitung des Antrags erheben oder die Bearbeitung des Antrags ablehnen.
(f) Der Datenimporteur kann den Antrag einer betroffenen Person ablehnen, wenn eine solche Ablehnung nach dem Recht des Bestimmungslandes zulässig und in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen.
(g) Beabsichtigt der Datenimporteur, den Antrag einer betroffenen Person abzulehnen, unterrichtet er die betroffene Person über die Gründe für die Ablehnung und die Möglichkeit, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen und/oder einen Rechtsbehelf einzulegen.
Klausel 11
Abhilfe
(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilungen oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er muss alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich bearbeiten.
(b) Bei Streitigkeiten zwischen einer betroffenen Person und einer der Parteien über die Einhaltung dieser Klauseln bemüht sich die Partei nach besten Kräften, die Angelegenheit zeitnah gütlich zu regeln. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
(c) Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht nach Klausel 3, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person, (i) eine Beschwerde bei der
(d) Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.
(e) Der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.
(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Entscheidung ihre materiellen und prozessualen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.
Klausel 12
Haftung
(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.
(b) Jede Partei haftet der betroffenen Person gegenüber für alle materiellen oder immateriellen Schäden, die die Partei der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten nach diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs gemäß der Verordnung (EU) 2016/679.
(c) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, jede dieser Parteien gerichtlich zu verklagen.
(d) Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (c) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
(e) Der Datenimporteur kann sich nicht auf das Verhalten eines Auftragsverarbeiters oder Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.
Klausel 13
Beaufsichtigung
(a) Ist der Datenexporteur in einem EU-Mitgliedstaat niedergelassen, fungiert die in Anlage A, Anhang I.C angegebene Aufsichtsbehörde, die dafür zuständig ist, die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung sicherzustellen, als zuständige Aufsichtsbehörde.
Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren räumlichen Geltungsbereich und hat er einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt, fungiert die in Anlage A, Anhang I.C angegebene Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, als zuständige Aufsichtsbehörde.
Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren räumlichen Anwendungsbereich, ohne dass er jedoch einen Vertreter im Sinne von Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen muss, fungiert die in Anlage A, Anhang I.C angegebene Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, als zuständige Aufsichtsbehörde.
(b) Der Datenimporteur erklärt sich bereit, sich der Rechtsprechung der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde getroffenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er muss der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Maßnahmen ergriffen worden sind.
ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS
DURCH ÖFFENTLICHE STELLEN
Klausel 14
Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken
(a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden zulassen, den Datenimporteur daran hindern, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
(b) Die Vertragsparteien erklären, dass sie bei der Übernahme der Garantie in Absatz (a) insbesondere die folgenden Elemente angemessen berücksichtigt haben:
(c) Der Datenimporteur sichert zu, dass er sich bei der Beurteilung nach Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
(d) Die Parteien vereinbaren, die Bewertung nach Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und während der Vertragslaufzeit Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen nach Absatz (a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (wie z. B. einer Aufforderung zur Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen nach Absatz (a) übereinstimmt.
(f) Nach einer Meldung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen nach diesen Klauseln nicht mehr nachkommen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit) fest, die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um der Situation zu begegnen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, gilt Klausel 16(d) und (e).
Klausel 15
Pflichten des Datenimporteurs im Falle eines Zugriffs durch öffentliche Behörden
15.1 Benachrichtigung
(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen (falls erforderlich mit Hilfe des Datenexporteurs), wenn er:
(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.
c) Der Datenimporteur erklärt sich bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen so viele relevante Informationen wie möglich über die eingegangenen Anfragen zu übermitteln (insbesondere die Anzahl der Anfragen, die Art der angeforderten Daten, die anfragende(n) Behörde(n), ob Anfragen angefochten wurden und was dabei herausgekommen ist, usw.), sofern dies nach den Gesetzen des Bestimmungslandes zulässig ist.
(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14 (e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
(a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob es im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Rechtsverkehrs rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei der Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen, um die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er darf die angeforderten personenbezogenen Daten erst dann offenlegen, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen lassen die Verpflichtungen des Datenimporteurs nach Klausel 14(e) unberührt.
(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Bewertung und etwaige Einwände gegen den Antrag auf Offenlegung zu dokumentieren und die Dokumentation, soweit nach den Gesetzen des Bestimmungslandes zulässig, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
(c) Der Datenimporteur verpflichtet sich, bei der Beantwortung eines Auskunftsersuchens das zulässige Mindestmaß an Informationen zur Verfügung zu stellen, das auf einer angemessenen Auslegung des Ersuchens beruht.
ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS
DURCH ÖFFENTLICHE STELLEN
Klausel 16
Nichteinhaltung der Klauseln und Kündigung
(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.
(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung wieder gewährleistet ist oder der Vertrag beendet wird. Dies gilt unbeschadet der Klausel 14(f).
(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, wenn:
In diesen Fällen informiert er die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.
(d) Personenbezogene Daten, die vor der Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder in ihrer Gesamtheit zu löschen. Das Gleiche gilt für etwaige Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die örtlichen Gesetze vorschreiben.
(e) Jede Partei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
Klausel 17
Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht die Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht der Schweiz sein soll.
Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht die Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht der Schweiz sein soll.
ANHANG 2
A. LISTE DER PARTEIEN
Datenexporteur(e):
Der Datenexporteur ist das Unternehmen, das in der DPA als "Abonnent", "du" und "dein" bezeichnet wird.
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind:
Solunion GmbH-Kunden abonnieren die Solunion.app-Plattform und stimmen den Solunion GmbH-Abonnentenbedingungen zu, wobei sie begrenzte personenbezogene Daten wie ihren Namen, ihre E-Mail-Adresse und Zahlungsinformationen angeben.
Rolle (Verantwortlicher/Verarbeiter): Controller
Datenimporteur(en):
Solunion GmbH Solunion.app
Im Grossholz 37
8253 Diessenhofen
compliance@solunion.app
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind:
Die Solunion.app-Plattform stellt Abonnenten Vorlagen und andere Tools zur Verfügung, mit denen sie verkaufsorientierte Websites zur Lead-Generierung erstellen können, um ihre eigenen Produkte und Dienstleistungen zu vermarkten und an Endverbraucher zu verkaufen. Wenn Abonnenten die Solunion.app-Plattform zum ersten Mal abonnieren, erklären sie sich mit unseren Nutzungsbedingungen einverstanden und erlauben uns, bestimmte abonnementbezogene Daten zu erfassen, einschließlich einiger begrenzter persönlicher Daten wie Name, E-Mail-Adresse und Zahlungsinformationen. Solunion GmbH agiert als Verantwortlicher für diese persönlichen Daten der Abonnenten.
Rolle (Controller/Verarbeiter): Verantwortlicher
B. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden:
Die übertragenen personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:
Die Besucher und Nutzer der Online- und Mobilressourcen vom Datenimporteur, die Kunden vom Datenimporteur, unsere derzeitigen Mitarbeiter und diejenigen, die sich auf ausgeschriebene Stellen bewerben, sowie Drittanbieter und Geschäftspartner.
Kategorien der übermittelten personenbezogenen Daten
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von Daten:
Informationen, die automatisch von jedem Besucher erfasst werden, wie z. B. das Betriebssystem des Geräts; und persönliche Daten, die dem Datenimporteur freiwillig zur Verfügung gestellt werden oder die automatisch erfasst werden, wie z. B. Name, E-Mail-Adresse, Anschrift, Telefonnummer und IP-Adresse.
Übertragene sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.
Nicht anwendbar.
Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
Die Daten werden kontinuierlich übertragen.
Art der Verarbeitung
Die Solunion.app-Plattform stellt Abonnenten Vorlagen und andere Tools zur Verfügung, mit denen sie verkaufsorientierte Websites zur Lead-Generierung erstellen können, um ihre eigenen Produkte und Dienstleistungen zu vermarkten und an Endverbraucher zu verkaufen. Wenn Abonnenten die Solunion.app-Plattform zum ersten Mal abonnieren, stimmen sie den Allgemeinen Geschäftsbedingungen des Datenimporteurs zu und erlauben die Erhebung bestimmter abonnementbezogener Daten, einschließlich einiger begrenzter personenbezogener Daten wie Name, E-Mail-Adresse und Zahlungsinformationen des Abonnenten.
Zweck(e) der Datenübertragung und Weiterverarbeitung
Die Übermittlung erfolgt zu den folgenden Zwecken:
Um die in den Solunion.app-Abonnentenbedingungen beschriebenen Dienstleistungen zu erbringen.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird
Sofern nicht gesetzlich vorgeschrieben, werden die Daten vom Datenimporteur für einen Zeitraum von 2 Jahren aufbewahrt, nachdem der Abonnent nicht mehr Kunde von Solunion.app ist.
Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben
Der Datenimporteur kann Unterauftragsverarbeiter beauftragen, die ihn bei der Bereitstellung seiner Produkte und Dienstleistungen unterstützen, insbesondere bei der Verarbeitung der personenbezogenen Daten des Abonnenten. Gegenstand der Unterverarbeitungen sind die personenbezogenen Daten der Abonnenten, die uns für die Erbringung der in den Solunion.app-Nutzungsbedingungen beschriebenen Dienstleistungen zur Verfügung gestellt werden. Art und Zweck der Unterverarbeitung sind auf die Speicherung zum Abruf durch den Datenexporteur beschränkt. Die Dauer der Unterverarbeitung stimmt mit der oben beschriebenen Aufbewahrungsfrist des Datenimporteurs überein.
Der Datenimporteur hat eine Folgenabschätzung für die Datenübermittlung gemäß Klausel 14 abgeschlossen und dokumentiert, die einer relevanten und zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt wird.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Benennung der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13
Die zuständige Aufsichtsbehörde wird von Fall zu Fall bestimmt, abhängig von den Umständen der betroffenen Personen, die von der Angelegenheit betroffen sind.
ANHANG A, ANHANG 2 - WIE WIR DEINE DATEN SCHÜTZEN
Datenschutz und -sicherheit stehen bei Solunion.app an erster Stelle. Im Folgenden findest du die Maßnahmen, mit denen wir sicherstellen, dass deine Daten geschützt, privat und korrekt sind.
1. Datenverschlüsselung
(a) Wenn Daten nicht verwendet werden, gelten sie als ruhend. Alle Daten, die auf den Solunion.app-Servern ruhen, werden mit der neuesten Verschlüsselungstechnologie verschlüsselt.
(b) Wenn Daten durch das Internet reisen und von unseren Servern an andere Rechner übertragen werden, um dort abgerufen und genutzt zu werden, gelten diese Daten als unterwegs. Alle Daten werden verschlüsselt, während sie von unseren Servern oder unseren Caches übertragen werden.
2. Backups:
(a) Um Datenverlusten vorzubeugen, führt Solunion.app kontinuierlich Backups durch, um sicherzustellen, dass die Daten im Falle eines Datenvorfalls wiederhergestellt werden können.
3. Hohe Verfügbarkeit:
(a) Solunion.app hostet seine Server in der Google Cloud. Die Hosting-Anbieter verfügen über umfangreiche physische und ökologische Sicherheitsvorkehrungen. Diese Cloud-Dienste werden von unserem Infrastrukturteam so konfiguriert, dass eine maximale Betriebszeit und Verfügbarkeit unserer Server gewährleistet ist.
4. Sicherheit, Infrastruktur und Datenbankverwaltung.
(a) Neben unserem Entwicklungsteam beschäftigen wir zahlreiche Ingenieure in den Bereichen Sicherheit, Infrastruktur und Betrieb, um sicherzustellen, dass die Infrastruktur ordnungsgemäß aufgebaut ist und dass wir bei Problemen innerhalb von Minuten in einem 24/7/365-System reagieren können.
(b) Solunion.app führt jährlich eine Sicherheitsüberprüfung seiner Einrichtungen, Netzwerke und Systeme durch.
5. Reaktion auf Vorfälle:
(a) Als Teil unserer PCI DSS Level 1-Zertifizierung hat Solunion.app einen Plan zur Reaktion auf Vorfälle implementiert, getestet und unterhält diesen, der es uns ermöglicht, auf jede Art von Problem zu reagieren, um die Geschäftskontinuität sicherzustellen. Der Notfallplan deckt derzeit die folgenden Bereiche ab:
(i) Ausfall der Website oder nicht korrektes Funktionieren zum Nachteil aller Nutzer/innen;
(ii) Sicherheitsvorfälle; und
(iii) Globale Pandemie.
6. Fehler-Eskalation:
(a) Um unsere Kunden bedienen zu können, haben wir außerdem Verfahren zur Sichtung und Eskalation von Softwarefehlern mit höherer Priorität eingerichtet. So können wir schnell reagieren, wenn unsere Kunden nicht in der Lage sind, Daten oder Einnahmen von ihren Kunden zu erhalten.
7. Zugangskontrolle:
(a) Solunion.app führt eine Liste mit allen autorisierten Nutzern, die Zugang zu allen Backend-Systemen haben. Diese Liste wird regelmäßig aktualisiert und überprüft, um sicherzustellen, dass nur Solunion.app-Mitarbeiter/innen, die Zugang benötigen, Zugang haben. Die Zugriffsaktivitäten werden in einer zentralen Logging-Infrastruktur protokolliert. Autorisierte Mitarbeiter, die auf Datenverarbeitungssysteme zugreifen, erhalten zu Authentifizierungszwecken eigene Benutzer-IDs. Solunion.app unterhält eine Passwortrichtlinie, die die Komplexität der Passwörter und deren Ablauf vorschreibt und die Weitergabe von Passwörtern untersagt. Inaktive Sitzungen unterliegen einer automatischen Zeitüberschreitung, und Konten werden nach mehreren aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen gesperrt.
8. MFA: Multi-Faktor-Authentifizierung:
Damit unsere Techniker/innen Zugang zu den Systemen erhalten, auf denen sensible Daten gespeichert sind, haben wir für jedes dieser Systeme eine Multi-Faktor-Authentifizierung eingeführt.
9. Datenschutz- und Sicherheitsrichtlinien und -verfahren:
Solunion.app unterhält formelle Richtlinien zur Informationssicherheit, zum Datenschutz, zur Klassifizierung, zur Aufbewahrung und zur Vernichtung von Unternehmens- und Kundendaten, die die Erhebung, die Speicherung, den Zugriff, die Verarbeitung und die Übertragung von Daten regeln.
ANHANG 2
Standardvertragsklauseln (Verarbeiter)
Für die Zwecke von Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten
Die in der DPA als "Abonnent", "du" und "dein" bezeichnete Stelle
(der "Datenexporteur")
und
Solunion GmbH, Solunion.app
Im Grossholz 37
8253 Diessenhofen
(der "Datenimporteur")
jeweils eine "Partei"; zusammen "die Parteien".
SIND über die folgenden Vertragsklauseln (die Klauseln) ÜBEREINGEKOMMEN, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen bei der Übermittlung der in Anhang B aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.
ABSCHNITT I
Klausel 1
Zweck und Umfang
(a) Zweck dieser Standardvertragsklauseln ist es, die Einhaltung der Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) für die Übermittlung personenbezogener Daten in ein Drittland zu gewährleisten.
(b) Die Parteien:
(c) Diese Klauseln gelten für die Übermittlung der in Anlage B, Anhang I.B aufgeführten personenbezogenen Daten.
(d) Der Anhang zu diesen Klauseln, der die darin genannten Anhänge enthält, ist Bestandteil dieser Klauseln.
Klausel 2
Wirkung und Unveränderlichkeit der Klauseln
(a) Diese Klauseln enthalten angemessene Garantien, einschließlich durchsetzbarer Rechte der betroffenen Person und wirksamer Rechtsbehelfe, gemäß Artikel 46 Absatz 1 und Artikel 46 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 und, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679, sofern sie nicht geändert werden, außer um das/die geeignete(n) Modul(e) auszuwählen oder um Informationen im Anhang hinzuzufügen oder zu aktualisieren. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag einzubeziehen und/oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.
(b) Diese Klauseln berühren nicht die Verpflichtungen, denen der Datenexporteur aufgrund der Verordnung (EU) 2016/679 unterliegt.
Klausel 3
Drittbegünstigte
a. Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/oder Datenimporteur geltend machen und durchsetzen, mit den folgenden Ausnahmen:
b. Absatz (a) gilt unbeschadet der Rechte der betroffenen Personen gemäß der Verordnung (EU) 2016/679.
Klausel 4
Interpretation
(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in der genannten Verordnung.
(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 zu lesen und auszulegen.
(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die im Widerspruch zu den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 steht.
Klausel 5
Hirarchie
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen verbundener Vereinbarungen zwischen den Parteien, die zum Zeitpunkt der Vereinbarung dieser Klauseln bestehen oder danach abgeschlossen werden, sind diese Klauseln maßgebend.
Klausel 6
Beschreibung der Übertragung(en)
Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, für den/die sie übermittelt werden, sind in Anlage B, Anhang I.B aufgeführt.
Klausel 7
Andockklausel
Die Andockklausel gemäß Klausel 7 findet keine Anwendung.
ABSCHNITT II - VERPFLICHTUNGEN DER PARTEIEN
Klausel 7
Datenschutzgarantien
Der Datenexporteur gewährleistet, dass er sich in angemessener Weise vergewissert hat, dass der Datenimporteur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in der Lage ist, seinen Verpflichtungen aus diesen Klauseln nachzukommen.
8.1 Anweisungen
(a) Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs verarbeiten. Der Datenexporteur kann solche Anweisungen während der gesamten Vertragslaufzeit erteilen.
(b) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Anweisungen nicht befolgen kann.
8.2 Zweckbeschränkung
Der Datenimporteur darf die personenbezogenen Daten nur für den/die spezifischen Zweck(e) der Übermittlung gemäß Anlage B, Anhang I.B, verarbeiten, es sei denn, der Datenexporteur erteilt weitere Anweisungen.
8.3 Transparenz
Der Datenexporteur stellt der betroffenen Person auf Anfrage kostenlos ein Exemplar dieser Klauseln einschließlich des von den Parteien ausgefüllten Anhangs B zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anlage B, Anhang II beschriebenen Maßnahmen und personenbezogenen Daten, erforderlich ist, kann der Datenexporteur Teile des Textes von Anlage B zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen, muss aber eine aussagekräftige Zusammenfassung zur Verfügung stellen, wenn die betroffene Person andernfalls nicht in der Lage wäre, den Inhalt zu verstehen oder ihre Rechte auszuüben. Auf Anfrage teilen die Parteien der betroffenen Person die Gründe für die Schwärzungen mit, soweit dies ohne Offenlegung der geschwärzten Informationen möglich ist. Diese Klausel berührt nicht die Verpflichtungen des Datenexporteurs gemäß Artikel 13 und 14 der Verordnung (EU) 2016/679.
8.4 Korrektheit
Stellt der Datenimporteur fest, dass die personenbezogenen Daten, die er erhalten hat, unrichtig oder veraltet sind, informiert er den Datenexporteur unverzüglich. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.
8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten
Die Verarbeitung durch den Datenimporteur erfolgt nur für die in Anlage B, Anhang I.B angegebene Dauer. Nach dem Ende der Erbringung der Verarbeitungsdienste löscht der Datenimporteur nach Wahl des Datenexporteurs alle im Auftrag des Datenexporteurs verarbeiteten personenbezogenen Daten und bescheinigt dem Datenexporteur, dass er dies getan hat, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten personenbezogenen Daten zurück und löscht vorhandene Kopien. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es das örtliche Gesetz verlangt. Dies gilt unbeschadet der Klausel 14, insbesondere der Verpflichtung des Datenimporteurs nach Klausel 14(e), den Datenexporteur während der gesamten Vertragsdauer zu benachrichtigen, wenn er Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen nach Klausel 14(a) übereinstimmen.
8.6 Sicherheit der Verarbeitung
(a) Der Datenimporteur und bei der Übermittlung auch der Datenexporteur müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Weitergabe oder zum Zugriff auf diese Daten führt (im Folgenden "Verletzung der Sicherheit personenbezogener Daten"). Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigen die Parteien den Stand der Technik, die Kosten der Umsetzung, die Art, den Umfang, den Kontext und den Zweck/die Zwecke der Verarbeitung sowie die mit der Verarbeitung verbundenen Risiken für die betroffenen Personen. Die Parteien erwägen insbesondere den Rückgriff auf Verschlüsselung oder Pseudonymisierung, auch während der Übermittlung, wenn der Zweck der Verarbeitung auf diese Weise erfüllt werden kann. Im Falle der Pseudonymisierung verbleiben die zusätzlichen Informationen zur Zuordnung der personenbezogenen Daten zu einer bestimmten betroffenen Person nach Möglichkeit unter der ausschließlichen Kontrolle des Datenexporteurs. Bei der Erfüllung seiner Verpflichtungen nach diesem Absatz muss der Datenimporteur mindestens die in Anlage B, Anhang II genannten technischen und organisatorischen Maßnahmen umsetzen. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein angemessenes Maß an Sicherheit bieten.
(b) Der Datenimporteur gewährt seinen Mitarbeitern nur insoweit Zugang zu den personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er stellt sicher, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(c) Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die vom Datenimporteur im Rahmen dieser Klauseln verarbeitet werden, ergreift der Datenimporteur geeignete Maßnahmen, um die Verletzung zu beheben, einschließlich Maßnahmen zur Abmilderung ihrer negativen Auswirkungen. Der Datenimporteur benachrichtigt auch den Datenexporteur unverzüglich, nachdem er von der Verletzung erfahren hat. Diese Benachrichtigung enthält die Angabe einer Kontaktstelle, bei der weitere Informationen eingeholt werden können, eine Beschreibung der Art der Verletzung (möglichst mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze), die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, gegebenenfalls einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Folgen. Wenn es nicht möglich ist, alle Informationen gleichzeitig zu übermitteln, muss die erste Meldung die zu diesem Zeitpunkt verfügbaren Informationen enthalten, und weitere Informationen werden, sobald sie verfügbar sind, unverzüglich nachgereicht.
(d) Der Datenimporteur arbeitet mit dem Datenexporteur zusammen und unterstützt ihn, damit der Datenexporteur seinen Verpflichtungen aus der Verordnung (EU) 2016/679 nachkommen kann, insbesondere bei der Benachrichtigung der zuständigen Aufsichtsbehörde und der betroffenen Personen, wobei die Art der Verarbeitung und die dem Datenimporteur vorliegenden Informationen berücksichtigt werden.
8.7 Sensible Daten
Handelt es sich bei der Übermittlung um personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft hervorgehen, um genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, um Daten über die Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder um Daten über strafrechtliche Verurteilungen und Straftaten (im Folgenden "sensible Daten"), wendet der Datenimporteur die in Anlage B, Anhang I.B beschriebenen spezifischen Einschränkungen und/oder zusätzlichen Garantien an.
8.8 Weitergabe von Daten
Der Datenimporteur darf die personenbezogenen Daten nur auf dokumentierte Anweisung des Datenexporteurs an Dritte weitergeben. Darüber hinaus dürfen die Daten nur dann an einen Dritten weitergegeben werden, der sich außerhalb der Europäischen Union befindet (im selben Land wie der Datenimporteur oder in einem anderen Drittland, im Folgenden "Weiterübermittlung"), wenn der Dritte im Rahmen des entsprechenden Moduls an diese Klauseln gebunden ist oder sich damit einverstanden erklärt, oder wenn:
Jede Weiterübermittlung setzt voraus, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.
8.9 Dokumentation und Einhaltung
(a) Der Datenimporteur ist verpflichtet, Anfragen des Datenexporteurs, die sich auf die Verarbeitung nach diesen Klauseln beziehen, unverzüglich und angemessen zu beantworten.
(b) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen. Insbesondere muss der Datenimporteur eine angemessene Dokumentation über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten führen.
(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht auf Verlangen des Datenexporteurs in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der Datenexporteur die einschlägigen Zertifizierungen des Datenimporteurs berücksichtigen.
(d) Der Datenexporteur kann das Audit entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können Inspektionen in den Räumlichkeiten oder Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
(e) Die Vertragsparteien stellen der zuständigen Aufsichtsbehörde auf Anfrage die in den Absätzen b) und c) genannten Informationen, einschließlich der Ergebnisse von Audits, zur Verfügung.
Klausel 7
Einsatz von Unterauftragsverarbeitern
(a) Der Datenimporteur verfügt über die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Datenimporteur informiert den Datenexporteur mindestens zehn (10) Tage im Voraus schriftlich über beabsichtigte Änderungen dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der Datenexporteur genügend Zeit hat, vor der Beauftragung des/der Unterauftragsverarbeiter(s) gegen diese Änderungen Einspruch zu erheben. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit der Datenexporteur sein Widerspruchsrecht ausüben kann.
(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Namen des Datenexporteurs), so erfolgt dies im Rahmen eines schriftlichen Vertrags, der im Wesentlichen die gleichen Datenschutzverpflichtungen vorsieht, wie sie für den Datenimporteur gemäß diesen Klauseln gelten, einschließlich der Rechte von Drittbegünstigten für betroffene Personen. Die Parteien sind sich einig, dass der Datenimporteur durch die Einhaltung dieser Klausel seine Verpflichtungen aus Klausel 8.8 erfüllt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Datenimporteur gemäß diesen Klauseln unterliegt.
(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Anfrage eine Kopie der Vereinbarung mit dem Unterauftragsverarbeiter und aller nachfolgenden Änderungen zur Verfügung. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Datenimporteur den Text der Vereinbarung vor der Weitergabe einer Kopie schwärzen.
(d) Der Datenimporteur bleibt gegenüber dem Datenexporteur in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus seinem Vertrag mit dem Datenimporteur verantwortlich. Der Datenimporteur meldet dem Datenexporteur, wenn der Unterauftragsverarbeiter seinen Verpflichtungen aus diesem Vertrag nicht nachkommt.
Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, nach der der Datenexporteur das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben, wenn der Datenimporteur faktisch verschwunden ist, rechtlich nicht mehr existiert oder insolvent geworden ist.
Klausel 10
Rechte der betroffenen Person
(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jede Anfrage, die er von einer betroffenen Person erhalten hat. Er antwortet nicht selbst auf diese Anfrage, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.
(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/679. Zu diesem Zweck legen die Parteien in Anlage B, Anhang II die geeigneten technischen und organisatorischen Maßnahmen unter Berücksichtigung der Art der Verarbeitung fest, mit denen die Unterstützung geleistet werden soll, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.
(c) Bei der Erfüllung seiner Verpflichtungen nach den Buchstaben a) und b) hat der Datenimporteur die Anweisungen des Datenexporteurs zu befolgen.
Klausel 11
Entschädigung
(a) Der Datenimporteur informiert die betroffenen Personen in einem transparenten und leicht zugänglichen Format durch individuelle Mitteilungen oder auf seiner Website über eine Kontaktstelle, die für die Bearbeitung von Beschwerden zuständig ist. Er muss alle Beschwerden, die er von einer betroffenen Person erhält, unverzüglich bearbeiten.
(b) Bei Streitigkeiten zwischen einer betroffenen Person und einer der Parteien über die Einhaltung dieser Klauseln bemüht sich die Partei nach besten Kräften, die Angelegenheit zeitnah gütlich zu regeln. Die Parteien halten sich gegenseitig über solche Streitigkeiten auf dem Laufenden und arbeiten gegebenenfalls bei deren Beilegung zusammen.
(c) Beruft sich die betroffene Person auf ein Drittbegünstigungsrecht nach Klausel 3, akzeptiert der Datenimporteur die Entscheidung der betroffenen Person, (i) eine Beschwerde bei der
(d) Die Parteien akzeptieren, dass die betroffene Person unter den in Artikel 80 Absatz 1 der Verordnung (EU) 2016/679 genannten Bedingungen durch eine gemeinnützige Einrichtung, Organisation oder Vereinigung vertreten werden kann.
(e) Der Datenimporteur hält sich an eine Entscheidung, die nach dem geltenden Recht der EU oder eines Mitgliedstaats verbindlich ist.
(f) Der Datenimporteur erklärt sich damit einverstanden, dass die von der betroffenen Person getroffene Entscheidung ihre materiellen und prozessualen Rechte auf Rechtsbehelfe gemäß den geltenden Gesetzen nicht beeinträchtigt.
Klausel 12
Haftung
(a) Jede Partei haftet gegenüber der/den anderen Partei(en) für alle Schäden, die sie der/den anderen Partei(en) durch einen Verstoß gegen diese Klauseln zufügt.
(b) Der Datenimporteur haftet der betroffenen Person gegenüber für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten nach diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz.
(c) Ungeachtet des Absatzes b) haftet der Datenexporteur gegenüber der betroffenen Person für alle materiellen oder immateriellen Schäden, die der Datenexporteur oder der Datenimporteur (oder sein Unterauftragsverarbeiter) der betroffenen Person durch die Verletzung der Rechte des Drittbegünstigten nach diesen Klauseln zufügt, und die betroffene Person hat Anspruch auf Schadenersatz. Dies gilt unbeschadet der Haftung des Datenexporteurs und, wenn der Datenexporteur ein Auftragsverarbeiter ist, der im Namen eines für die Verarbeitung Verantwortlichen handelt, unbeschadet der Haftung des für die Verarbeitung Verantwortlichen gemäß der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725, soweit anwendbar.
(d) Die Vertragsparteien vereinbaren, dass der Datenexporteur für den Fall, dass er gemäß Absatz c) für einen vom Datenimporteur (oder seinem Unterauftragsverarbeiter) verursachten Schaden haftbar gemacht wird, berechtigt ist, vom Datenimporteur den Teil der Entschädigung zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.
(e) Ist mehr als eine Partei für einen Schaden verantwortlich, der der betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden ist, haften alle verantwortlichen Parteien gesamtschuldnerisch, und die betroffene Person ist berechtigt, jede dieser Parteien gerichtlich zu verklagen.
(f) Die Parteien vereinbaren, dass eine Partei, die gemäß Absatz (e) haftbar gemacht wird, berechtigt ist, von der/den anderen Partei(en) den Teil der Entschädigung zurückzufordern, der ihrer Verantwortung für den Schaden entspricht.
(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiters berufen, um seine eigene Haftung zu umgehen.
Klausel 13
Beaufsichtigung
(a) Ist der Datenexporteur in einem EU-Mitgliedstaat niedergelassen, fungiert die in Anlage B, Anhang I.C angegebene Aufsichtsbehörde, die dafür zuständig ist, die Einhaltung der Verordnung (EU) 2016/679 durch den Datenexporteur in Bezug auf die Datenübermittlung sicherzustellen, als zuständige Aufsichtsbehörde.
Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren räumlichen Geltungsbereich und hat er einen Vertreter gemäß Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 bestellt, fungiert die in Anlage B, Anhang I.C angegebene Aufsichtsbehörde des Mitgliedstaats, in dem der Vertreter im Sinne von Artikel 27 Absatz 1 der Verordnung (EU) 2016/679 niedergelassen ist, als zuständige Aufsichtsbehörde.
Ist der Datenexporteur nicht in einem EU-Mitgliedstaat niedergelassen, fällt aber gemäß Artikel 3 Absatz 2 der Verordnung (EU) 2016/679 in deren räumlichen Anwendungsbereich, ohne dass er jedoch einen Vertreter im Sinne von Artikel 27 Absatz 2 der Verordnung (EU) 2016/679 benennen muss, fungiert die in Anlage B, Anhang I.C angegebene Aufsichtsbehörde eines der Mitgliedstaaten, in dem sich die betroffenen Personen befinden, deren personenbezogene Daten gemäß diesen Klauseln im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an sie übermittelt werden oder deren Verhalten überwacht wird, als zuständige Aufsichtsbehörde.
(b) Der Datenimporteur erklärt sich bereit, sich der Rechtsprechung der zuständigen Aufsichtsbehörde zu unterwerfen und mit ihr bei allen Verfahren zusammenzuarbeiten, die darauf abzielen, die Einhaltung dieser Klauseln sicherzustellen. Insbesondere verpflichtet sich der Datenimporteur, auf Anfragen zu antworten, sich Prüfungen zu unterziehen und die von der Aufsichtsbehörde getroffenen Maßnahmen, einschließlich Abhilfe- und Ausgleichsmaßnahmen, zu befolgen. Er muss der Aufsichtsbehörde schriftlich bestätigen, dass die erforderlichen Maßnahmen ergriffen worden sind.
ABSCHNITT III - LOKALE GESETZE UND VERPFLICHTUNGEN IM FALLE DES ZUGRIFFS
DURCH ÖFFENTLICHE STELLEN
Klausel 14
Lokale Gesetze und Praktiken, die sich auf die Einhaltung der Klauseln auswirken
(a) Die Parteien garantieren, dass sie keinen Grund zu der Annahme haben, dass die Gesetze und Praktiken im Bestimmungsdrittland, die auf die Verarbeitung der personenbezogenen Daten durch den Datenimporteur anwendbar sind, einschließlich etwaiger Anforderungen an die Offenlegung personenbezogener Daten oder Maßnahmen, die den Zugang von Behörden zulassen, den Datenimporteur daran hindern, seinen Verpflichtungen gemäß diesen Klauseln nachzukommen. Dies beruht auf dem Verständnis, dass Gesetze und Praktiken, die den Kern der Grundrechte und -freiheiten respektieren und nicht über das hinausgehen, was in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele zu schützen, nicht im Widerspruch zu diesen Klauseln stehen.
(b) Die Vertragsparteien erklären, dass sie bei der Übernahme der Garantie in Absatz (a) insbesondere die folgenden Elemente angemessen berücksichtigt haben:
(c) Der Datenimporteur sichert zu, dass er sich bei der Beurteilung nach Absatz (b) nach besten Kräften bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen, und erklärt sich bereit, weiterhin mit dem Datenexporteur zusammenzuarbeiten, um die Einhaltung dieser Klauseln sicherzustellen.
(d) Die Parteien vereinbaren, die Bewertung nach Absatz (b) zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Der Datenimporteur verpflichtet sich, den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach der Zustimmung zu diesen Klauseln und während der Vertragslaufzeit Grund zu der Annahme hat, dass er Gesetzen oder Praktiken unterliegt oder unterworfen wurde, die nicht mit den Anforderungen nach Absatz (a) übereinstimmen, einschließlich einer Änderung der Gesetze des Drittlandes oder einer Maßnahme (z. B. einer Aufforderung zur Offenlegung), die auf eine Anwendung dieser Gesetze in der Praxis hinweist, die nicht mit den Anforderungen nach Absatz (a) übereinstimmt.
(f) Nach einer Meldung gemäß Absatz (e) oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Verpflichtungen nach diesen Klauseln nicht mehr nachkommen kann, legt der Datenexporteur unverzüglich geeignete Maßnahmen fest (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die vom Datenexporteur und/oder Datenimporteur zu ergreifen sind, um die Situation zu beheben. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Ansicht ist, dass keine angemessenen Garantien für eine solche Übermittlung gewährleistet werden können, oder wenn er von der zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart. Wird der Vertrag gemäß dieser Klausel gekündigt, gilt Klausel 16(d) und (e).
Klausel 15
Pflichten des Datenimporteurs im Falle eines Zugriffs durch öffentliche Behörden
15.1 Benachrichtigung
(a) Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen (falls erforderlich mit Hilfe des Datenexporteurs), wenn er:
(b) Ist es dem Datenimporteur nach dem Recht des Bestimmungslandes untersagt, den Datenexporteur und/oder die betroffene Person zu benachrichtigen, erklärt sich der Datenimporteur bereit, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, um so schnell wie möglich so viele Informationen wie möglich zu übermitteln. Der Datenimporteur erklärt sich bereit, seine Bemühungen zu dokumentieren, damit er sie auf Anfrage des Datenexporteurs nachweisen kann.
c) Der Datenimporteur erklärt sich bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen so viele relevante Informationen wie möglich über die eingegangenen Anfragen zu übermitteln (insbesondere die Anzahl der Anfragen, die Art der angeforderten Daten, die anfragende(n) Behörde(n), ob Anfragen angefochten wurden und was dabei herausgekommen ist, usw.), sofern dies nach den Gesetzen des Bestimmungslandes zulässig ist.
(d) Der Datenimporteur verpflichtet sich, die Informationen gemäß den Absätzen (a) bis (c) für die Dauer des Vertrags aufzubewahren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
(e) Die Absätze (a) bis (c) berühren nicht die Verpflichtung des Datenimporteurs gemäß Klausel 14 (e) und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.
15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung
(a) Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob es im Rahmen der der ersuchenden Behörde eingeräumten Befugnisse bleibt, und das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung zu dem Schluss kommt, dass es berechtigte Gründe für die Annahme gibt, dass das Ersuchen nach den Gesetzen des Bestimmungslandes, den geltenden völkerrechtlichen Verpflichtungen und den Grundsätzen des internationalen Rechtsverkehrs rechtswidrig ist. Der Datenimporteur muss unter den gleichen Bedingungen Rechtsmittel einlegen können. Bei der Anfechtung eines Ersuchens beantragt der Datenimporteur einstweilige Maßnahmen, um die Wirkungen des Ersuchens auszusetzen, bis die zuständige Justizbehörde über die Begründetheit des Ersuchens entschieden hat. Er darf die angeforderten personenbezogenen Daten erst dann offenlegen, wenn er nach den geltenden Verfahrensvorschriften dazu verpflichtet ist. Diese Anforderungen lassen die Verpflichtungen des Datenimporteurs nach Klausel 14(e) unberührt.
(b) Der Datenimporteur erklärt sich bereit, seine rechtliche Bewertung und etwaige Einwände gegen den Antrag auf Offenlegung zu dokumentieren und die Dokumentation, soweit nach den Gesetzen des Bestimmungslandes zulässig, dem Datenexporteur zur Verfügung zu stellen. Er stellt sie auch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung.
(c) Der Datenimporteur verpflichtet sich, bei der Beantwortung eines Auskunftsersuchens das zulässige Mindestmaß an Informationen zur Verfügung zu stellen, das auf einer angemessenen Auslegung des Ersuchens beruht.
ABSCHNITT IV - SCHLUSSBESTIMMUNGEN
Klausel 16
Nichteinhaltung der Klauseln und Kündigung
(a) Der Datenimporteur informiert den Datenexporteur unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.
(b) Verstößt der Datenimporteur gegen diese Klauseln oder ist er nicht in der Lage, diese Klauseln einzuhalten, setzt der Datenexporteur die Übermittlung personenbezogener Daten an den Datenimporteur aus, bis die Einhaltung der Klauseln wieder gewährleistet ist oder der Vertrag gekündigt wird. Dies gilt unbeschadet der Klausel 14(f).
(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten nach diesen Klauseln betrifft, wenn:
In diesen Fällen informiert er die zuständige Aufsichtsbehörde über diese Nichteinhaltung. Sind an dem Vertrag mehr als zwei Parteien beteiligt, kann der Datenexporteur dieses Kündigungsrecht nur in Bezug auf die betreffende Partei ausüben, es sei denn, die Parteien haben etwas anderes vereinbart.
(d) Personenbezogene Daten, die vor der Beendigung des Vertrags gemäß Absatz (c) übermittelt wurden, sind nach Wahl des Datenexporteurs unverzüglich an den Datenexporteur zurückzugeben oder in ihrer Gesamtheit zu löschen. Das Gleiche gilt für etwaige Kopien der Daten. Der Datenimporteur muss dem Datenexporteur die Löschung der Daten bescheinigen. Bis zur Löschung oder Rückgabe der Daten muss der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicherstellen. Falls für den Datenimporteur örtliche Gesetze gelten, die die Rückgabe oder Löschung der übermittelten personenbezogenen Daten verbieten, garantiert der Datenimporteur, dass er weiterhin die Einhaltung dieser Klauseln gewährleistet und die Daten nur in dem Umfang und so lange verarbeitet, wie es die örtlichen Gesetze vorschreiben.
(e) Jede Partei kann ihr Einverständnis, an diese Klauseln gebunden zu sein, widerrufen, wenn (i) die Europäische Kommission einen Beschluss gemäß Artikel 45 Absatz 3 der Verordnung (EU) 2016/679 erlässt, der die Übermittlung personenbezogener Daten betrifft, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/679 Teil des Rechtsrahmens des Landes wird, in das die personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/679 gelten.
Klausel 17
Anwendbares Recht
Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht die Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass dies das Recht der Niederlande sein soll.
Klausel 18
Wahl des Gerichtsstands und der Gerichtsbarkeit
(a) Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaates entschieden.
(b) Die Parteien vereinbaren, dass dies die Gerichte der Niederlande sein sollen.
(c) Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten des Mitgliedstaates verklagen, in dem sie ihren gewöhnlichen Aufenthalt hat.
(d) Die Parteien vereinbaren, sich der Zuständigkeit dieser Gerichte zu unterwerfen.
ANHANG B, ANHANG I
A. LISTE DER PARTEIEN
Datenexporteur(e):
Der Datenexporteur ist das Unternehmen, das in der DPA als "Abonnent", "du" und "dein" bezeichnet wird.
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind:
Abonnenten der Solunion.app-Plattform nutzen diese, um ihre eigenen Websites zu gestalten, Leads für ihr Unternehmen zu generieren und Leads in Verkäufe umzuwandeln. Bei der Durchführung dieser Aktivitäten erheben die Abonnenten Daten von ihren eigenen Endnutzern, einschließlich aller personenbezogenen Daten, die sie für ihr Geschäft benötigen. Die Abonnenten handeln als Verantwortliche für die von ihnen gesammelten personenbezogenen Daten der Endnutzer.
Rolle (Verantwortlicher/Verarbeiter): Verantwortlicher
Datenimporteur(en):
Solunion GmbH Solunion.app
Im Grossholz 37
8253 Diessenhofen
compliance@solunion.app
Aktivitäten, die für die gemäß diesen Klauseln übertragenen Daten relevant sind:
Der Datenimporteur handelt als Auftragsverarbeiter des Abonnenten, wenn ein Abonnent die Funktionen der Solunion.app-Plattform nutzt, die es ihm ermöglichen, personenbezogene Endnutzerdaten auf den Systemen des Datenimporteurs zu speichern.
Rolle (Controller/Verarbeiter): Verarbeiter
B. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien von betroffenen Personen, deren personenbezogene Daten übertragen werden
Die übermittelten personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen (bitte angeben):
Bei den betroffenen Personen handelt es sich um Kunden, Interessenten, Endnutzer und Dritte, deren Daten der Datenexporteur nach eigenem Ermessen sammelt und in die Solunion.app-Plattform eingibt.
Kategorien der übermittelten personenbezogenen Daten
Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien (bitte angeben):
Der Datenexporteur kann nach eigenem Ermessen personenbezogene Daten in die Solunion.app-Plattform eingeben. Zu den übermittelten personenbezogenen Daten können unter anderem gehören: Name, E-Mail-Adresse, Telefonnummer, IP-Adresse und andere vom Datenexporteur erfasste personenbezogene Daten.
Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Schutzmaßnahmen, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.
Nicht anwendbar.
Die Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).
Die Daten werden kontinuierlich übertragen.
Art der Verarbeitung
Die übermittelten personenbezogenen Daten werden den folgenden grundlegenden Verarbeitungsaktivitäten unterzogen:
Die Datenexporteure sammeln Daten von ihren eigenen Endnutzern, einschließlich der personenbezogenen Daten, die sie für ihr Geschäft als notwendig erachten. Jeder Datenexporteur ist der Verantwortliche für die von ihm gesammelten personenbezogenen Daten der Endnutzer. Der Datenimporteur wiederum fungiert als Verarbeiter, wenn die Datenexporteure die Funktion der Solunion.app-Plattform nutzen, die es ihnen ermöglicht, die personenbezogenen Daten der Endnutzer auf den Systemen des Datenimporteurs zu speichern. Art und Zweck der Verarbeitung sind auf die Speicherung zum Abruf durch den Datenexporteur beschränkt.
Zweck(e) der Datenübermittlung und Weiterverarbeitung
Zur Erbringung der in den Solunion.app-Abonnentenbedingungen beschriebenen Dienstleistungen.
Der Zeitraum, für den die personenbezogenen Daten aufbewahrt werden, oder, falls dies nicht möglich ist, die Kriterien, nach denen dieser Zeitraum bestimmt wird
Sofern nicht gesetzlich vorgeschrieben, werden die Daten vom Datenimporteur für einen Zeitraum von 2 Jahren aufbewahrt, nachdem der Abonnent nicht mehr Kunde von Solunion.app ist.
Bei Übermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben
Der Datenimporteur kann Unterauftragsverarbeiter beauftragen, die ihn bei der Bereitstellung seiner Produkte und Dienstleistungen unterstützen, insbesondere bei der Verarbeitung der personenbezogenen Daten des Abonnenten. Gegenstand der Unterverarbeitungen sind die personenbezogenen Daten der Endnutzer, die uns für die Erbringung der in den Solunion.app-Nutzungsbedingungen beschriebenen Dienstleistungen zur Verfügung gestellt werden. Die Dauer der Unterverarbeitung entspricht der oben beschriebenen Aufbewahrungsfrist des Datenimporteurs.
Der Datenimporteur hat eine Folgenabschätzung für die Datenübermittlung gemäß Klausel 14 abgeschlossen und dokumentiert, die einer zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt wird.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Benennung der zuständigen Aufsichtsbehörde(n) gemäß Klausel 13
Die zuständige Aufsichtsbehörde wird von Fall zu Fall bestimmt, abhängig von den Umständen der betroffenen Personen, die von der Angelegenheit betroffen sind.
ANHANG B, ANHANG II - WIE WIR DEINE DATEN SCHÜTZEN
Datenschutz und -sicherheit stehen bei Solunion.app an erster Stelle. Im Folgenden findest du die Maßnahmen, mit denen wir sicherstellen, dass deine Daten geschützt, privat und korrekt sind.
1. Datenverschlüsselung
(a) Wenn Daten nicht verwendet werden, gelten sie als ruhend. Alle Daten, die auf den Solunion.app-Servern ruhen, werden mit der neuesten Verschlüsselungstechnologie verschlüsselt.
(b) Wenn Daten durch das Internet reisen und von unseren Servern an andere Rechner übertragen werden, um dort abgerufen und genutzt zu werden, gelten diese Daten als unterwegs. Alle Daten werden verschlüsselt, während sie von unseren Servern oder unseren Caches übertragen werden.
2. Backups:
(a) Um Datenverlusten vorzubeugen, führt Solunion.app kontinuierlich Backups durch, um sicherzustellen, dass die Daten im Falle eines Datenvorfalls wiederhergestellt werden können.
3. Hohe Verfügbarkeit:
(a) Solunion.app hostet seine Server in der Google Cloud. Die Hosting-Anbieter verfügen über umfangreiche physische und ökologische Sicherheitsvorkehrungen. Diese Cloud-Dienste werden von unserem Infrastrukturteam so konfiguriert, dass eine maximale Betriebszeit und Verfügbarkeit unserer Server gewährleistet ist.
4. Sicherheit, Infrastruktur und Datenbankverwaltung.
(a) Neben unserem Entwicklungsteam beschäftigen wir zahlreiche Ingenieure in den Bereichen Sicherheit, Infrastruktur und Betrieb, um sicherzustellen, dass die Infrastruktur ordnungsgemäß aufgebaut ist und dass wir bei Problemen innerhalb von Minuten in einem 24/7/365-System reagieren können.
(b) Solunion.app führt jährlich eine Sicherheitsüberprüfung seiner Einrichtungen, Netzwerke und Systeme durch.
5. Reaktion auf Vorfälle:
(a) Als Teil unserer PCI DSS Level 1-Zertifizierung hat Solunion.app einen Plan zur Reaktion auf Vorfälle implementiert, getestet und unterhält diesen, der es uns ermöglicht, auf jede Art von Problem zu reagieren, um die Geschäftskontinuität sicherzustellen. Der Notfallplan deckt derzeit die folgenden Bereiche ab:
(i) Ausfall der Website oder nicht korrektes Funktionieren zum Nachteil aller Nutzer/innen;
(ii) Sicherheitsvorfälle; und
(iii) Globale Pandemie.
6. Fehler-Eskalation:
(a) Um unsere Kunden bedienen zu können, haben wir außerdem Verfahren zur Sichtung und Eskalation von Softwarefehlern mit höherer Priorität eingerichtet. So können wir schnell reagieren, wenn unsere Kunden nicht in der Lage sind, Daten oder Einnahmen von ihren Kunden zu erhalten.
7. Zugangskontrolle:
(a) Solunion.app führt eine Liste mit allen autorisierten Nutzern, die Zugang zu allen Backend-Systemen haben. Diese Liste wird regelmäßig aktualisiert und überprüft, um sicherzustellen, dass nur Solunion.app-Mitarbeiter/innen, die Zugang benötigen, Zugang haben. Die Zugriffsaktivitäten werden in einer zentralen Logging-Infrastruktur protokolliert. Autorisierte Mitarbeiter, die auf Datenverarbeitungssysteme zugreifen, erhalten zu Authentifizierungszwecken eigene Benutzer-IDs. Solunion.app unterhält eine Passwortrichtlinie, die die Komplexität der Passwörter und deren Ablauf vorschreibt und die Weitergabe von Passwörtern untersagt. Inaktive Sitzungen unterliegen einer automatischen Zeitüberschreitung, und Konten werden nach mehreren aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen gesperrt.
8. MFA: Multi-Faktor-Authentifizierung:
Damit unsere Techniker/innen Zugang zu den Systemen erhalten, auf denen sensible Daten gespeichert sind, haben wir für jedes dieser Systeme eine Multi-Faktor-Authentifizierung eingeführt.
9. Datenschutz- und Sicherheitsrichtlinien und -verfahren:
Solunion.app unterhält formelle Richtlinien zur Informationssicherheit, zum Datenschutz, zur Klassifizierung, zur Aufbewahrung und zur Vernichtung von Unternehmens- und Kundendaten, die die Erhebung, die Speicherung, den Zugriff, die Verarbeitung und die Übertragung von Daten regeln.
ANHANG B - Zusatz zu den Standardvertragsklauseln der EU-Kommission für den internationalen Datentransfer ("UK-Addendum")
Hinweis: Dieser britische Nachtrag zu den Standardvertragsklauseln der EU-Kommission gilt nur für Abonnenten mit Sitz im Vereinigten Königreich.
Teil 1: Tabellen
Tabelle 1: Parteien
Startdatum 28. April 2022
Angaben zu den Parteien
Vollständiger rechtlicher Name: Die natürliche oder juristische Person mit Sitz im Vereinigten Königreich, die über die Solunion.app-Abonnementbedingungen Abonnementrechte für die Solunion.app-Plattform erworben hat, im Zusatz zur Datenverarbeitung zu den Solunion.app-Abonnementbedingungen als "Abonnent", "Sie" und "Ihr" bezeichnet
Handelsname (falls abweichend):
Hauptadresse (wenn es sich um eine registrierte Firmenadresse handelt): Firmenadresse des Abonnenten, wie in den Solunion.app-Informationssystemen erfasst
Offizielle Registrierungsnummer (falls vorhanden) (Firmennummer oder ähnliche Kennung): Falls vom Abonnenten angegeben, wie in den Informationssystemen des Subprozessors von Solunion.app aufgezeichnet
Vollständiger rechtlicher Name: Solunion GmbH
Handelsname (falls abweichend): Solunion.app
Hauptadresse (falls eine registrierte Firmenadresse): Im Grossholz 37 8253 Diessenhofen
Offizielle Registrierungsnummer (falls vorhanden) (Unternehmensnummer oder ähnliche Kennung): N/A
Kontaktperson
Vollständiger Name (optional): Name des Abonnentenkontoinhabers, wie er in den Solunion.app-Informationssystemen erfasst ist
Berufsbezeichnung: N/A
Kontaktinformationen einschließlich E-Mail: E-Mail-Adresse des Abonnenten, wie in den Solunion.app-Informationssystemen erfasst
Vollständiger Name (optional): Elias B.
Berufsbezeichnung: CEO
Kontaktinformationen einschließlich E-Mail: compliance@solunion.app
Unterschrift (falls für die Zwecke von Abschnitt 2 erforderlich)
Gemäß den Nutzungsbedingungen für Solunion.app-Abonnenten und dem beigefügten Zusatz zur Datenverarbeitung ("DPA", von dem dieser UK-Zusatz ein Teil ist) hat der Abonnent durch die weitere Nutzung der Solunion.app-Plattform nach dem Datum des Inkrafttretens des DPA seine Absicht bekräftigt, an die Bedingungen des DPA, einschließlich dieses UK-Zusatzes, gebunden zu sein.
Gemäß den Nutzungsbedingungen für Solunion.app-Abonnenten bildet die https://www.solunion.app/agb zusammen mit der Solunion.app DATENSCHUTZERKLÄRUNG UND dem DATENVERARBEITUNGSZUSATZ (von dem dieser UK-Zusatz ein Teil ist) eine rechtsverbindliche Vereinbarung zwischen dem Abonnenten bzw. dem Unternehmen des Abonnenten und Solunion.app.
Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
Addendum EU SCCs
☐ Die Version der genehmigten EU-SCC, an die dieser Nachtrag angehängt wird, einschließlich der Informationen im Anhang:
Datum:
Referenz (falls vorhanden):
Andere Kennung (falls zutreffend):
Oder
☒ die Genehmigten EU-SGB, einschließlich der Anhangsinformationen, wobei nur die folgenden Module, Klauseln oder optionalen Bestimmungen der Genehmigten EU-SGB für die Zwecke dieses Nachtrags in Kraft gesetzt werden:
Tabelle 3: Anhangsinformationen
"Zusatzhangsinformationen" sind die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU-SCCs (mit Ausnahme der Parteien) bereitgestellt werden müssen und die für diesen Nachtrag in Anhang 1A aufgeführt sind:
Anhang 1A: Liste der Parteien: Siehe Liste der Parteien in Anhang IA der Genehmigten EU SCCs
Anhang 1B: Beschreibung der Übertragung: Siehe Beschreibung der Übertragung in Anhang IB zu den Genehmigten EU SCCs
Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit: Siehe Anhang II der Anerkannten EU SCCs
Anhang III: Liste der Unterverarbeiter (nur Module 2 und 3): N/A
Tabelle 4: Beendigung dieses Nachtrags bei Änderungen des genehmigten Nachtrags
Beendigung dieses Nachtrags, wenn sich der genehmigte Nachtrag ändert
Die Parteien können diesen Nachtrag wie in Abschnitt 19 beschrieben beenden:
☒ Importeur
☐ Exporteur
☐ keine Partei
Teil 2: Obligatorische Klauseln
Beitritt zu diesem Nachtrag
1. Jede Partei erklärt sich damit einverstanden, an die in diesem Nachtrag festgelegten Bedingungen gebunden zu sein, wenn die andere Partei sich ebenfalls mit diesem Nachtrag einverstanden erklärt.
2. Obwohl Anhang 1A und Klausel 7 der genehmigten EU-SCCs die Unterzeichnung durch die Parteien erfordern, können die Parteien diesen Nachtrag zum Zwecke der Durchführung von eingeschränkten Übermittlungen auf jede Art und Weise abschließen, die sie für die Parteien rechtsverbindlich macht und es den betroffenen Personen ermöglicht, ihre in diesem Nachtrag festgelegten Rechte durchzusetzen. Der Abschluss dieses Nachtrags hat die gleiche Wirkung wie die Unterzeichnung der Genehmigten EU-SCCs und aller Teile der Genehmigten EU-SCCs.
Auslegung dieses Nachtrags
3. Wo in diesem Nachtrag Begriffe verwendet werden, die in den Genehmigten EU SCC definiert sind, haben diese Begriffe dieselbe Bedeutung wie in den Genehmigten EU SCC. Darüber hinaus haben die folgenden Begriffe die folgenden Bedeutungen:
Addendum
Dieses Addendum zum internationalen Datentransfer besteht aus diesem Addendum, das das Addendum EU SCCs enthält.
Addendum EU SCCs
Die Version(en) der genehmigten EU-SCCs, an die dieser Nachtrag angehängt wird, wie in Tabelle 2 aufgeführt, einschließlich der Anhangsinformationen.
Anhang Informationen
Wie in Tabelle 3 dargelegt.
Angemessene Sicherheitsvorkehrungen
Das Schutzniveau der personenbezogenen Daten und der Rechte der betroffenen Personen, das nach den britischen Datenschutzgesetzen erforderlich ist, wenn du eine eingeschränkte Übermittlung durchführst, die sich auf die Standarddatenschutzklauseln nach Artikel 46 Absatz 2 Buchstabe d der britischen Datenschutzgrundverordnung stützt.
Genehmigter Nachtrag
Die von der ICO herausgegebene und dem Parlament gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 vorgelegte Vorlage Addendum, die gemäß Abschnitt 18 überarbeitet wird.
Zugelassene EU-SCCs
Die Standardvertragsklauseln, die im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 aufgeführt sind.
ICO
Der Informationsbeauftragte.
Eingeschränkte Übertragung
Eine Übermittlung, die unter Kapitel V der britischen Datenschutz-Grundverordnung fällt.
UK
Das Vereinigte Königreich von Großbritannien und Nordirland.
UK-Datenschutzgesetze
Alle Gesetze, die sich auf den Datenschutz, die Verarbeitung personenbezogener Daten, den Schutz der Privatsphäre und/oder die elektronische Kommunikation beziehen und die von Zeit zu Zeit im Vereinigten Königreich gelten, einschließlich der britischen GDPR und des Data Protection Act 2018.
UK GDPR
Wie in Abschnitt 3 des Data Protection Act 2018 definiert.
4. Dieser Nachtrag muss immer so ausgelegt werden, dass er mit den britischen Datenschutzgesetzen übereinstimmt und dass er die Verpflichtung der Parteien erfüllt, die angemessenen Sicherheitsvorkehrungen zu treffen.
5. Sollten die im Addendum EU SCCs enthaltenen Bestimmungen die Genehmigten SCCs in einer Weise ändern, die nach den Genehmigten EU SCCs oder dem Genehmigten Addendum nicht zulässig ist, werden diese Änderungen nicht in dieses Addendum übernommen und die entsprechenden Bestimmungen der Genehmigten EU SCCs treten an ihre Stelle.
6. Bei Unstimmigkeiten oder Konflikten zwischen den britischen Datenschutzgesetzen und diesem Nachtrag gelten die britischen Datenschutzgesetze.
7. Wenn die Bedeutung dieses Nachtrags unklar ist oder es mehr als eine Bedeutung gibt, gilt die Bedeutung, die am ehesten mit den britischen Datenschutzgesetzen übereinstimmt.
8. Alle Verweise auf Rechtsvorschriften (oder spezifische Bestimmungen von Rechtsvorschriften) beziehen sich auf die jeweiligen Rechtsvorschriften (oder spezifischen Bestimmungen), wie sie sich im Laufe der Zeit ändern können. Dies gilt auch für den Fall, dass diese Gesetzgebung (oder spezifische Bestimmung) nach Abschluss dieses Nachtrags konsolidiert, wieder in Kraft gesetzt und/oder ersetzt wurde.
Hierarchie
9. Obwohl Klausel 5 der Genehmigten EU SCC festlegt, dass die Genehmigten EU SCC Vorrang vor allen damit zusammenhängenden Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass für Eingeschränkte Übertragungen die Hierarchie in Abschnitt 10 Vorrang hat.
10. Bei Unstimmigkeiten oder Widersprüchen zwischen dem Genehmigten Nachtrag und dem Nachtrag EU SCC (soweit zutreffend) hat der Genehmigte Nachtrag Vorrang vor dem Nachtrag EU SCC, es sei denn, die widersprüchlichen oder widersprüchlichen Bestimmungen des Nachtrags EU SCC bieten einen besseren Schutz für die betroffenen Personen; in diesem Fall haben diese Bestimmungen Vorrang vor dem Genehmigten Nachtrag.
11. Wenn dieser Nachtrag EU-Zusatzvereinbarungen enthält, die zum Schutz von Übermittlungen abgeschlossen wurden, die der Allgemeinen Datenschutzverordnung (EU) 2016/679 unterliegen, erkennen die Parteien an, dass dieser Nachtrag keine Auswirkungen auf diese EU-Zusatzvereinbarungen hat.
Einbeziehung von und Änderungen an den EU SCCs
12. Dieser Nachtrag enthält die Addendum EU SCCs, die im erforderlichen Umfang geändert werden, so dass:
13. Sofern die Parteien keine alternativen Änderungen vereinbart haben, die die Anforderungen von Abschnitt 12 erfüllen, gelten die Bestimmungen von Abschnitt 15.
14. Es dürfen keine anderen Änderungen an den genehmigten EU-SCC vorgenommen werden als die, die den Anforderungen von Abschnitt 12 entsprechen.
15. Die folgenden Änderungen an den Addendum EU SCCs (für die Zwecke von Abschnitt 12) werden vorgenommen:
"und, in Bezug auf Datenübermittlungen von für die Verarbeitung Verantwortlichen an Auftragsverarbeiter und/oder von Auftragsverarbeitern an Auftragsverarbeiter, Standardvertragsklauseln gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679";
"Die Einzelheiten der Übermittlung(en) und insbesondere die Kategorien personenbezogener Daten, die übermittelt werden, und der Zweck/die Zwecke, zu dem/denen sie übermittelt werden, sind in Anhang I.B aufgeführt, wenn die Datenschutzgesetze des Vereinigten Königreichs für die Verarbeitung durch den Datenexporteur bei dieser Übermittlung gelten."
"es sich um ein Land handelt, das von Angemessenheitsregelungen gemäß Abschnitt 17A der britischen Datenschutz-Grundverordnung profitiert, die die Weiterübermittlung abdecken";
"die Weiterübermittlung erfolgt in ein Land, das von Angemessenheitsregelungen gemäß Abschnitt 17A der britischen Datenschutz-Grundverordnung profitiert, die die Weiterübermittlung abdecken;"
"Der Minister erlässt gemäß Abschnitt 17A des Data Protection Act 2018 Verordnungen, die sich auf die Übermittlung personenbezogener Daten beziehen, für die diese Klauseln gelten;";
"Diese Klauseln unterliegen den Gesetzen von England und Wales.";
"Alle Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten in England und Wales entschieden. Eine betroffene Person kann den Datenexporteur und/oder Datenimporteur auch vor den Gerichten eines beliebigen Landes in Großbritannien verklagen. Die Parteien verpflichten sich, sich der Gerichtsbarkeit dieser Gerichte zu unterwerfen."; und
Änderungen an diesem Nachtrag
16. Die Parteien können vereinbaren, die Klauseln 17 und/oder 18 des Addendums EU SCCs zu ändern, um auf die Gesetze und/oder Gerichte von Schottland oder Nordirland zu verweisen.
17. Wenn die Parteien das Format der in Teil 1: Tabellen des genehmigten Nachtrags enthaltenen Informationen ändern wollen, können sie dies tun, indem sie der Änderung schriftlich zustimmen, vorausgesetzt, dass die Änderung die Angemessenen Schutzmaßnahmen nicht verringert.
18. Die ICO kann von Zeit zu Zeit einen überarbeiteten Genehmigten Nachtrag herausgeben, der:
In dem überarbeiteten Genehmigten Nachtrag wird angegeben, ab wann die Änderungen des Genehmigten Nachtrags gelten und ob die Parteien diesen Nachtrag einschließlich der Informationen im Anhang überprüfen müssen. Dieser Nachtrag wird ab dem angegebenen Anfangsdatum automatisch wie in dem überarbeiteten Genehmigten Nachtrag geändert.
19. Wenn die ICO einen überarbeiteten Genehmigten Nachtrag gemäß Abschnitt 18 herausgibt, hat eine der in Tabelle 4 "Beendigung des Nachtrags, wenn sich der Genehmigte Nachtrag ändert" ausgewählten Parteien als unmittelbare Folge der Änderungen des Genehmigten Nachtrags einen erheblichen, unverhältnismäßigen und nachweisbaren Anstieg von:
20. Die Parteien benötigen nicht die Zustimmung Dritter, um Änderungen an diesem Nachtrag vorzunehmen, aber alle Änderungen müssen in Übereinstimmung mit den Bestimmungen dieses Nachtrags vorgenommen werden.
LÖSUNGEN
Vertrieb optimieren
Mehr Leads generieren
Baue deine Marke auf
Bestehende Kunden beeindrucken
Aufgaben automatisieren
Ja, diese Seite wurde mit Solunion.app erstellt. Wir verschreiben uns auch dem, was wir predigen.
© Solunion.app 2025. Alle Rechte vorbehalten. Datenschutz | AGBs | Impressum
Source Sans Pro
Source Sans Pro