Ergänzung zu den Datenschutzbestimmungen

Gültig ab dem 1. Oktober 2021

Der Kunde, der diesen Bedingungen zustimmt („Kunde“), hat entweder eine Nutzungsvereinbarung oder eine SaaS-Dienstleistungsvereinbarung mit masernet GmbH Deutschland („masernet“, „wir“, „unser“, etc.) abgeschlossen, unter der masernet sich bereit erklärt hat, Dienstleistungen für den Kunden zu erbringen (in der jeweils gültigen Fassung, die „Vereinbarung“).

Dieser Datenschutznachtrag, einschließlich der dazugehörigen Anhänge (der „Nachtrag“), tritt ab dem Datum des Inkrafttretens des Nachtrags (wie unten definiert) in Kraft und ersetzt alle zuvor geltenden Datenverarbeitungs- und Sicherheitsbedingungen. Dieser Nachtrag ist Teil der Vereinbarung.

1 Definitionen

Für die Zwecke dieses Nachtrags haben die nachstehenden Begriffe die nachstehend angegebene Bedeutung. Begriffe in Großbuchstaben, die in diesem Nachtrag verwendet, aber nicht anderweitig definiert werden, haben die in der Vereinbarung festgelegte Bedeutung.

1.1 „Datum des Inkrafttretens des Nachtrags“ bezeichnet das Datum, an dem die Parteien diesem Nachtrag zugestimmt haben.

1.2 „Verbundene Unternehmen“ sind alle Unternehmen, die das betreffende Unternehmen direkt oder indirekt kontrollieren, von ihm kontrolliert werden oder mit ihm unter gemeinsamer Kontrolle stehen, wobei sich „Kontrolle“ auf die Befugnis bezieht, das betreffende Unternehmen zu leiten oder zu lenken, sei es durch den Besitz von stimmberechtigten Wertpapieren, durch Verträge oder auf andere Weise.

1.3 „Prüfungsberichte“ hat die in Abschnitt 5.4.4 (Prüfungsberichte) angegebene Bedeutung.

1.4 „CCPA“ bezeichnet den California Consumer Privacy Act von 2018.

1.5 „Persönliche Daten des Kunden“ sind alle persönlichen Daten oder persönlichen Informationen von Datensubjekten, die in den Daten enthalten sind, die masernet von oder im Namen des Kunden oder der Endnutzer des Kunden in Verbindung mit den Diensten zur Verfügung gestellt werden oder auf die masernet zugreift.

1.6 „Globale Datenschutzgesetze“ bedeutet die europäischen Datenschutzgesetze, CCPA und LGPD, die auf die Verarbeitung der personenbezogenen Daten des Kunden im Rahmen der Vereinbarung anwendbar sind.

1.7 „EWR“ bezeichnet den Europäischen Wirtschaftsraum.

1.8 „EU“ bedeutet die Europäische Union.

1.9 „Europäisches Datenschutzrecht“ bezeichnet die DSGVO und andere Datenschutzgesetze der EU, ihrer Mitgliedstaaten, der Schweiz, Islands, Liechtensteins und Norwegens, die für die Verarbeitung personenbezogener Kundendaten im Rahmen des Vertrags gelten.

1.10 „GDPR“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten von betroffenen Personen in der EU und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG.

1.11 „Informationssicherheitsvorfall“ bezeichnet eine Verletzung der Sicherheit von masernet, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum Zugriff auf personenbezogene Kundendaten im Besitz, in der Obhut oder unter der Kontrolle von masernet führt. „Informationssicherheitsvorfälle“ umfassen keine erfolglosen Versuche oder Aktivitäten, die die Sicherheit der persönlichen Daten des Kunden nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme.

1.12 „LGPD“ bedeutet das brasilianische allgemeine Datenschutzgesetz.

1.13 „Standardvertragsklauseln“ oder „SCCs“ sind die Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten, wie in Artikel 46 der DSGVO beschrieben.

1.14 „Sicherheitsdokumentation“ bezeichnet alle von masernet gemäß Abschnitt 5.4.1 (Audits) zur Verfügung gestellten Dokumente und Informationen.

1.15 „Sicherheitsmaßnahmen“ hat die in Abschnitt 5.1.1 (Sicherheitsmaßnahmen von masernet) angegebene Bedeutung.

1.16 „Dienstleistungen“ bezeichnet die Dienstleistungen und/oder Produkte, die masernet dem Kunden im Rahmen des Vertrags bereitstellt.

1.17 „Unterauftragsverarbeiter“ sind Dritte, die im Rahmen dieses Nachtrags ermächtigt sind, personenbezogene Daten des Kunden im Zusammenhang mit den Dienstleistungen zu verarbeiten.

1.18 „Laufzeit“ bezeichnet den Zeitraum vom Datum des Inkrafttretens des Nachtrags bis zum Ende der Erbringung der Dienste durch masernet.

1.19 „Übermittlungslösung“ bedeutet die Standardvertragsklauseln oder eine andere Lösung, die die rechtmäßige Übermittlung personenbezogener Daten in ein Drittland gemäß Artikel 45 oder 46 der DSGVO ermöglicht.

1.20 Die Begriffe „personenbezogene Daten“, „betroffene Person“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“ und „Aufsichtsbehörde“, wie sie in diesem Nachtrag verwendet werden, haben die in der DSGVO und LGPD angegebene Bedeutung, und die Begriffe „Datenimporteur“ und „Datenexporteur“ haben die in den Standardvertragsklauseln angegebene Bedeutung. Die Begriffe „personenbezogene Daten“, „Unternehmen“ und „Dienstanbieter“ haben die im CCPA festgelegte Bedeutung.

2 Dauer des Addendums

Dieser Nachtrag tritt am Datum des Inkrafttretens des Nachtrags in Kraft und bleibt ungeachtet des Ablaufs der Laufzeit bis zur Löschung aller persönlichen Daten des Kunden durch masernet, wie in diesem Nachtrag beschrieben, in Kraft und läuft dann automatisch aus.

3 Verarbeitung von Daten

3.1 Rollen und Einhaltung von Vorschriften; Autorisierung.

3.1.1 Verantwortlichkeiten des Verarbeiters und des Verantwortlichen. Dieser Nachtrag gilt nur in dem Umfang, in dem wir personenbezogene Daten des Kunden im Auftrag des Kunden verarbeiten. Wenn die europäische Datenschutzgesetzgebung, die LGPD oder die CCPA auf die Verarbeitung der personenbezogenen Daten des Kunden Anwendung finden, erkennen die Parteien dies an und stimmen zu:

a. der Gegenstand und die Einzelheiten der Verarbeitung sind in Anhang 1 beschrieben;

b. masernet ist ein Verarbeiter dieser personenbezogenen Daten des Kunden gemäß der Europäischen Datenschutzgesetzgebung oder der LGPD und/oder ein Dienstanbieter in Bezug auf diese personenbezogenen Daten des Kunden gemäß dem CCPA, je nachdem, was zutrifft;

c. Der Kunde ist entweder ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter dieser personenbezogenen Kundendaten gemäß der europäischen Datenschutzgesetzgebung oder der LGPD und/oder ein Unternehmen in Bezug auf diese personenbezogenen Kundendaten gemäß dem CCPA, je nachdem, was zutrifft; und

d. jede Partei wird die für sie geltenden Verpflichtungen gemäß den geltenden globalen Datenschutzgesetzen in Bezug auf die Verarbeitung dieser personenbezogenen Kundendaten einhalten.

3.1.2 Bevollmächtigung durch den Verantwortlichen Dritter. Wenn die europäische Datenschutzgesetzgebung auf die Verarbeitung personenbezogener Daten des Kunden anwendbar ist und der Kunde ein Auftragsverarbeiter ist, garantiert der Kunde masernet, dass die Anweisungen und Handlungen des Kunden in Bezug auf diese personenbezogenen Daten des Kunden, einschließlich seiner Ernennung von masernet als weiteren Auftragsverarbeiter und seiner Zustimmung zur Weitergabe personenbezogener Daten des Kunden durch masernet an seine Unterauftragsverarbeiter, von der entsprechenden verantwortlichen Stelle genehmigt wurden.

3.2 Umfang der Verarbeitung.

3.2.1 Anweisungen des Kunden. Durch den Abschluss dieses Nachtrags weist der Kunde masernet an, die persönlichen Daten des Kunden nur in Übereinstimmung mit dem geltenden Recht zu verarbeiten: (a) um die Dienste zu erbringen; (b) wie durch den Vertrag, einschließlich dieses Nachtrags und seiner Anhänge, autorisiert; und (c) wie in anderen schriftlichen Anweisungen, die vom Kunden erteilt und von masernet schriftlich als Anweisungen für die Zwecke dieses Nachtrags anerkannt wurden, weiter dokumentiert.

3.2.2 masernet hält sich an die Anweisungen. masernet wird personenbezogene Daten des Kunden nur in Übereinstimmung mit den in Abschnitt 3.2.1 beschriebenen Anweisungen des Kunden (einschließlich in Bezug auf Datenübertragungen) („Anweisungen des Kunden“) verarbeiten, es sei denn, die anwendbaren globalen Datenschutzgesetze, denen masernet unterliegt, erfordern eine andere Verarbeitung personenbezogener Daten des Kunden durch masernet; in diesem Fall wird masernet den Kunden benachrichtigen (es sei denn, das Gesetz verbietet masernet dies aus wichtigen Gründen des öffentlichen Interesses).

4 Löschung von Daten

4.1 Löschung bei Beendigung. Sofern im Vertrag nichts anderes geregelt ist, weist der Kunde masernet an, nach Ablauf der Vertragslaufzeit alle personenbezogenen Daten des Kunden (einschließlich vorhandener Kopien) aus den Systemen von masernet zu löschen, sobald dies nach geltendem Recht erforderlich ist, es sei denn, das geltende Recht hindert masernet daran, diese Daten zu löschen. Soweit der Kunde an Gesetze oder Vorschriften gebunden ist, die masernet verpflichten würden, persönliche Daten des Kunden nach Ablauf der Laufzeit aufzubewahren, und der Kunde masernet nicht über solche Aufbewahrungspflichten informiert, haftet der Kunde allein für die Löschung dieser Daten durch masernet gemäß dieser Ziffer 4.1.

5 Datensicherheit

5.1 Sicherheitsmaßnahmen, -kontrollen und -unterstützung von masernet.

5.1.1 Die Sicherheitsmaßnahmen von masernet. masernet wird technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Kunden vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten des Kunden, wie in Anhang 2 beschrieben (die „Sicherheitsmaßnahmen“), einführen und aufrechterhalten. masernet kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern solche Aktualisierungen und Änderungen die Sicherheit der Dienste insgesamt nicht wesentlich verringern.

5.1.2 Einhaltung der Sicherheitsvorschriften durch masernet-Mitarbeiter. masernet gewährt nur solchen Mitarbeitern, Auftragnehmern und Unterauftragsverarbeitern Zugang zu den personenbezogenen Daten des Kunden, die diesen Zugang für den Umfang ihrer Leistung benötigen und die entsprechenden Vertraulichkeitsvereinbarungen unterliegen.

5.1.3 masernet’s Sicherheitsunterstützung. masernet wird (unter Berücksichtigung der Art der Verarbeitung der persönlichen Daten des Kunden und der masernet zur Verfügung stehenden Informationen) dem Kunden die angemessene Unterstützung gewähren, die dieser benötigt, um seinen Verpflichtungen in Bezug auf die persönlichen Daten des Kunden gemäß der globalen Datenschutzgesetzgebung, einschließlich der Artikel 32 bis 34 (einschließlich) der GDPR und der Artikel 6 und 46 der LGPD, nachzukommen:

a. Umsetzung und Aufrechterhaltung der Sicherheitsmaßnahmen gemäß Abschnitt 5.1.1 (Sicherheitsmaßnahmen von masernet);

b. die Einhaltung der Bestimmungen von Abschnitt 5.2 (Informationssicherheitsvorfälle); und

c. dem Kunden die Sicherheitsdokumentation gemäß Abschnitt 5.4.1 (Überprüfung der Sicherheitsdokumentation) und der Vereinbarung, einschließlich dieses Nachtrags, zur Verfügung zu stellen.

5.2 Vorfälle im Bereich der Informationssicherheit.

5.2.1 Benachrichtigung bei Informationssicherheitsvorfällen. Wenn masernet Kenntnis von einem Informationssicherheitsvorfall erhält, wird masernet: (a) den Kunden unverzüglich nach Bekanntwerden des Informationssicherheitsvorfalls benachrichtigen; und (b) angemessene Schritte unternehmen, um den Fall eines solchen Informationssicherheitsvorfalls zu identifizieren, den Schaden zu minimieren und eine Wiederholung zu verhindern.

5.2.2 Einzelheiten des Informationssicherheitsvorfalls. Meldungen gemäß diesem Abschnitt 5.2 (Informationssicherheitsvorfälle) erfolgen, beschreiben, soweit dies nach vernünftigem Ermessen möglich ist, Einzelheiten des Informationssicherheitsvorfalls, einschließlich (i) der Art des Informationssicherheitsvorfalls, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze; (ii) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können; (iii) die voraussichtlichen Folgen des Informationssicherheitsvorfalls; (iv) die ergriffenen oder vorgeschlagenen Maßnahmen zur Minderung der potenziellen Risiken und die Schritte, die masernet dem Kunden zur Bewältigung des Informationssicherheitsvorfalls empfiehlt, einschließlich gegebenenfalls Maßnahmen zur Minderung seiner möglichen negativen Auswirkungen.

5.2.3 Benachrichtigung. Der Kunde ist allein verantwortlich für die Einhaltung der auf ihn anwendbaren Gesetze zur Meldung von Vorfällen und für die Erfüllung von Meldepflichten gegenüber Dritten im Zusammenhang mit einem oder mehreren Informationssicherheitsvorfällen.

5.2.4 Keine Anerkennung eines Verschuldens durch masernet. Die Benachrichtigung von masernet über einen Vorfall im Bereich der Informationssicherheit oder die Reaktion auf einen solchen Vorfall gemäß diesem Abschnitt 5.2 (Vorfälle im Bereich der Informationssicherheit) ist nicht als Anerkennung eines Verschuldens oder einer Haftung von masernet in Bezug auf den Vorfall im Bereich der Informationssicherheit zu verstehen.

5.3 Sicherheitsverantwortung und -bewertung des Kunden.

5.3.1 Sicherheitsverantwortung des Kunden. Der Kunde stimmt zu, dass unbeschadet der Verpflichtungen von masernet gemäß Abschnitt 5.1 (Sicherheitsmaßnahmen, -kontrollen und -unterstützung von masernet) und Abschnitt 5.2 (Informationssicherheitsvorfälle):

a. Der Kunde trägt die alleinige Verantwortung für seine Nutzung der Dienste, einschließlich:

i. angemessene Nutzung der Dienste, um ein dem Risiko angemessenes Sicherheitsniveau in Bezug auf die personenbezogenen Daten des Kunden zu gewährleisten;

ii. die Sicherung der Authentifizierungsdaten, Systeme und Geräte, die der Kunde für den Zugang zu den Diensten verwendet; und

iii. Sicherung der Systeme und Geräte des Kunden, die masernet zur Erbringung der Dienste verwendet; und

iv. die Sicherung der persönlichen Daten seiner Kunden.

b. masernet ist nicht verpflichtet, personenbezogene Daten des Kunden zu schützen, die der Kunde außerhalb der Systeme von masernet und seinen Unterauftragsverarbeitern speichert oder überträgt (z. B. Offline- oder Vor-Ort-Speicherung).

5.3.2 Sicherheitsbewertung des Kunden.

a. Der Kunde ist allein dafür verantwortlich, die Sicherheitsdokumentation zu überprüfen und selbst zu beurteilen, ob die Dienste, die Sicherheitsmaßnahmen und die Verpflichtungen von masernet gemäß diesem Abschnitt 5 (Datensicherheit) den Bedürfnissen des Kunden entsprechen, auch im Hinblick auf etwaige Sicherheitsverpflichtungen des Kunden gemäß der geltenden globalen Datenschutzgesetzgebung.

b. Der Kunde erkennt an und stimmt zu, dass (unter Berücksichtigung des Stands der Technik, der Kosten der Implementierung und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung der personenbezogenen Daten des Kunden sowie der Risiken für Einzelpersonen) die von masernet umgesetzten und aufrechterhaltenen Sicherheitsmaßnahmen, wie in Abschnitt 5.1.1 (Sicherheitsmaßnahmen von masernet) dargelegt, ein Sicherheitsniveau bieten, das dem Risiko in Bezug auf die personenbezogenen Daten des Kunden angemessen ist.

5.4 Überprüfungen und Audits der Einhaltung der Vorschriften.

5.4.1 Überprüfungen. Der Kunde kann die Einhaltung der Verpflichtungen von masernet im Rahmen dieses Nachtrags bis zu einmal pro Jahr überprüfen. Darüber hinaus kann der Kunde oder die Aufsichtsbehörde des Kunden in dem Umfang, der durch die anwendbare globale Datenschutzgesetzgebung vorgeschrieben ist, häufiger Audits (einschließlich Inspektionen) durchführen. masernet wird zu solchen Audits beitragen, indem es dem Kunden oder der Aufsichtsbehörde des Kunden die Informationen und Unterstützung zur Verfügung stellt, die für die Durchführung des Audits vernünftigerweise erforderlich sind, einschließlich aller relevanten Aufzeichnungen von Verarbeitungsaktivitäten, die für die Dienste gelten.

5.4.2 Einwände gegen den Prüfer einer dritten Partei. Soll ein Dritter das Audit durchführen, kann masernet den Auditor ablehnen, wenn dieser nach vernünftiger Einschätzung von masernet nicht ausreichend qualifiziert oder unabhängig, ein Wettbewerber von masernet oder sonst offensichtlich ungeeignet ist. Ein solcher Einwand von masernet verpflichtet den Kunden, einen anderen Prüfer zu bestellen oder das Audit selbst durchzuführen.

5.4.3 Antrag auf Audit. Um ein Audit zu beantragen, muss der Kunde masernet mindestens zwei Wochen vor dem vorgeschlagenen Audit-Termin einen detaillierten Audit-Plan vorlegen. Der vorgeschlagene Audit-Plan muss den vorgeschlagenen Umfang, die Dauer und den Beginn des Audits beschreiben. masernet wird den vorgeschlagenen Audit-Plan prüfen und dem Kunden alle Bedenken oder Fragen mitteilen (z.B. jede Anfrage nach Informationen, die die Sicherheit, den Datenschutz, die Arbeitsbedingungen oder andere relevante Richtlinien von masernet gefährden könnten). masernet wird mit dem Kunden zusammenarbeiten, um sich auf einen endgültigen Audit-Plan zu einigen. Nichts in diesem Abschnitt 5.4 (Überprüfungen und Audits der Einhaltung) verpflichtet masernet zur Verletzung von Geheimhaltungspflichten.

5.4.4 Audit-Berichte. Wenn der angeforderte Prüfungsumfang in einem SSAE 16/18/ISAE 3402 Type 2, AICPA SOC 2 (SOC for Service Organizations: Trust Services Criteria), ISO, NIST oder ähnlichen Prüfungsbericht behandelt wird, der von einem qualifizierten Drittprüfer („Prüfungsberichte“) innerhalb von zwölf (12) Monaten nach der Prüfungsanforderung des Kunden durchgeführt wurde, und masernet bestätigt, dass es keine bekannten wesentlichen Änderungen bei den geprüften Kontrollen gibt, erklärt sich der Kunde damit einverstanden, diese Ergebnisse zu akzeptieren, anstatt eine Prüfung der im Bericht behandelten Kontrollen anzufordern.

5.4.5 Durchführung des Audits. Das Audit muss während der regulären Geschäftszeiten in der betreffenden Einrichtung durchgeführt werden, vorbehaltlich des vereinbarten endgültigen Auditplans und der Gesundheits- und Sicherheits- oder anderer relevanter Richtlinien von masernet, und darf die Geschäftsaktivitäten von masernet nicht unangemessen beeinträchtigen.

5.4.6 Bedingungen der Prüfung. Der Kunde wird masernet unverzüglich über alle Verstöße informieren, die im Laufe eines Audits entdeckt werden, und masernet alle Audit-Berichte zur Verfügung stellen, die in Verbindung mit einem Audit gemäß diesem Abschnitt 5.4 (Überprüfungen und Audits der Compliance) erstellt werden, es sei denn, dies ist durch die anwendbare globale Datenschutzgesetzgebung verboten oder wird anderweitig von einer Aufsichtsbehörde angeordnet. Der Kunde darf die Prüfberichte nur für die Zwecke der Erfüllung seiner aufsichtsrechtlichen Prüfungsanforderungen und/oder zur Bestätigung der Einhaltung der Anforderungen dieses Nachtrags verwenden. Die Audit-Berichte und alle während des Audit-Prozesses ausgetauschten Masernet-Informationen sind vertrauliche Informationen der Parteien gemäß den Bedingungen der Vereinbarung.

5.4.7 Kosten der Prüfung. Alle Audits gehen zu Lasten des Kunden. Der Kunde erstattet masernet den Zeitaufwand, den masernet oder seine Unterauftragsverarbeiter im Zusammenhang mit Audits oder Inspektionen gemäß diesem Abschnitt 5.4 (Überprüfungen und Audits der Einhaltung von Vorschriften) auf der Grundlage der jeweils gültigen Tarife für professionelle Dienstleistungen von masernet, die dem Kunden auf Anfrage zur Verfügung gestellt werden. Der Kunde ist für alle Gebühren verantwortlich, die von einem vom Kunden mit der Durchführung eines solchen Audits beauftragten Wirtschaftsprüfer erhoben werden.

5.4.8 Standardvertragsklauseln. Die Parteien vereinbaren, dass dieser Abschnitt 5.4 (Überprüfungen und Audits der Einhaltung) die Verpflichtungen von masernet im Rahmen der Audit-Anforderungen der Standardvertragsklauseln erfüllt, die für den Datenimporteur gemäß Abschnitt 5(f) und für alle Unterauftragsverarbeiter gemäß Abschnitt 11 und Abschnitt 12(2) gelten.

6 Folgenabschätzungen und Konsultationen

masernet wird (unter Berücksichtigung der Art der Verarbeitung und der masernet zur Verfügung stehenden Informationen) den Kunden in angemessener Weise bei der Einhaltung seiner Verpflichtungen gemäß der geltenden globalen Datenschutzgesetzgebung in Bezug auf Datenschutz-Folgenabschätzungen und vorherige Konsultationen unterstützen, einschließlich, falls zutreffend, der Verpflichtungen des Kunden gemäß Artikel 35 und 36 der DSGVO:

6.1 Auditberichte und Sicherheitsmaßnahmen. Bereitstellung von Kopien der Audit-Berichte oder anderer Unterlagen, die relevante Aspekte des Informationssicherheitsprogramms von masernet und der in diesem Zusammenhang angewandten Sicherheitsmaßnahmen beschreiben, zur Überprüfung; und

6.2 Zusätzliche Informationen. Die Bereitstellung der in der Vereinbarung einschließlich dieses Nachtrags enthaltenen Informationen.

7 Rechte der betroffenen Person

7.1 Verantwortung des Kunden für Anfragen. Wenn masernet während der Laufzeit eine Anfrage von einer betroffenen Person in Bezug auf personenbezogene Daten des Kunden erhält, wird masernet nach eigenem Ermessen (i) den Kunden über die Anfrage informieren, (ii) der betroffenen Person raten, ihre Anfrage an den Kunden zu richten, und/oder (iii) die betroffene Person darüber informieren, dass ihre Anfrage an den Kunden weitergeleitet wurde. Der Kunde ist für die Beantwortung einer solchen Anfrage verantwortlich.

7.2 masernet’s Data Subject Request Assistance. masernet wird (unter Berücksichtigung der Art der Verarbeitung der personenbezogenen Daten des Kunden) dem Kunden eine Selbstbedienungsfunktionalität über die Dienste oder andere angemessene Unterstützung zur Verfügung stellen, die für den Kunden erforderlich ist, um seine Verpflichtung gemäß der anwendbaren globalen Datenschutzgesetzgebung zu erfüllen, auf Anfragen von betroffenen Personen zu reagieren, einschließlich, falls anwendbar, der Verpflichtung des Kunden, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß Kapitel III der GDPR, Artikel 18 und 19 der LGPD oder Abschnitt 1798.105 des CCPA zu reagieren. Der Kunde erstattet masernet die Kosten für eine solche Unterstützung, die über die Bereitstellung von Selbstbedienungsfunktionen, die Teil der Dienste sind, hinausgeht, zu den jeweils geltenden Tarifen für professionelle Dienstleistungen von masernet, die dem Kunden auf Anfrage zur Verfügung gestellt werden.

8 Datenübertragungen

8.1 Einrichtungen zur Datenspeicherung und -verarbeitung. masernet kann, vorbehaltlich Abschnitt 8.2 (Datenübertragungen aus dem EWR), personenbezogene Daten des Kunden überall dort speichern und verarbeiten, wo masernet oder seine Unterauftragsverarbeiter über Einrichtungen verfügen.

8.2 Datenübertragungen außerhalb des EWR.

8.2.1 Übermittlungsverpflichtungen von masernet. Wenn die Speicherung und/oder Verarbeitung personenbezogener Daten des Kunden (wie in Abschnitt 8.1 (Datenspeicherungs- und Verarbeitungseinrichtungen) dargelegt) die Übermittlung personenbezogener Daten des Kunden in Länder außerhalb des EWR oder der Schweiz beinhaltet und die europäische Datenschutzgesetzgebung auf die Übermittlung dieser Daten Anwendung findet („Übermittelte personenbezogene Daten“), wird masernet diese Übermittlung in Übereinstimmung mit einer Übermittlungslösung durchführen und dem Kunden auf Anfrage Informationen über diese Übermittlungslösung zur Verfügung stellen.

8.2.2 Verpflichtungen des Kunden bei der Übertragung. In Bezug auf übermittelte personenbezogene Daten erklärt sich der Kunde damit einverstanden, dass, wenn masernet gemäß der europäischen Datenschutzgesetzgebung vernünftigerweise verlangt, dass der Kunde eine andere von masernet angebotene Übermittlungslösung verwendet (abgesehen von den Standardvertragsklauseln, die als Anhang 3 beigefügt und durch Verweis einbezogen sind, soweit der Kunde personenbezogene Daten des Kunden aus der EAA oder der Schweiz an masernet übermittelt), und masernet vernünftigerweise verlangt, dass der Kunde alle Maßnahmen ergreift (was die Ausführung von Dokumenten einschließen kann), die erforderlich sind, um einer solchen Lösung volle Wirkung zu verleihen, der Kunde dies tun wird.

8.3 Offenlegung von vertraulichen Informationen, die personenbezogene Daten enthalten. Wenn der Kunde Standardvertragsklauseln, wie in Abschnitt 8.2 (Datenübertragungen aus dem EWR) beschrieben, abgeschlossen hat, wird masernet, ungeachtet gegenteiliger Bestimmungen in der Vereinbarung, jede Offenlegung von vertraulichen Informationen des Kunden, die personenbezogene Daten enthalten, und alle Benachrichtigungen in Bezug auf solche Offenlegungen in Übereinstimmung mit diesen Standardvertragsklauseln vornehmen. Für die Zwecke der Standardvertragsklauseln vereinbaren der Kunde und masernet, dass (i) der Kunde als Datenexporteur in seinem eigenen Namen und im Namen der Unternehmen des Kunden handelt und (ii) masernet oder sein jeweiliges verbundenes Unternehmen in seinem eigenen Namen und/oder im Namen der verbundenen Unternehmen von masernet als Datenimporteur handelt.

9 Unterprozessoren

9.1 Zustimmung zur Beauftragung von Unterauftragsverarbeitern. Der Kunde genehmigt generell die Beauftragung anderer Dritter als Unterauftragsverarbeiter und genehmigt die Weitergabe der personenbezogenen Daten des Kunden an die von masernet beauftragten Unterauftragsverarbeiter. Wenn der Kunde Standardvertragsklauseln, wie in Abschnitt 8.2 (Datenübertragungen aus dem EWR) beschrieben, abgeschlossen hat, stellen die oben genannten Genehmigungen die vorherige schriftliche Zustimmung des Kunden zur Untervergabe der Verarbeitung von personenbezogenen Daten des Kunden durch masernet dar, wenn eine solche Zustimmung gemäß den Standardvertragsklauseln erforderlich ist.

9.2 Informationen über Unterauftragsverarbeiter. Informationen über Unterauftragsverarbeiter, einschließlich ihrer Funktionen und Standorte, sind unter https://masernet.com/dpa/subprocessors verfügbar (und können von Zeit zu Zeit von masernet in Übereinstimmung mit diesem Nachtrag aktualisiert werden).

9.3 Anforderungen für die Beauftragung von Unterauftragsverarbeitern. Bei der Beauftragung eines Unterauftragsverarbeiters wird masernet einen schriftlichen Vertrag mit diesem Unterauftragsverarbeiter abschließen, der Datenschutzverpflichtungen enthält, die nicht weniger schützend sind als die in der Vereinbarung (einschließlich dieses Nachtrags) in Bezug auf den Schutz der personenbezogenen Daten des Kunden, soweit dies auf die Art der von diesem Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft. masernet haftet für alle Verpflichtungen, die an den Unterauftragsverarbeiter übertragen werden, sowie für alle Handlungen und Unterlassungen des Unterauftragsverarbeiters.

9.4 Möglichkeit zum Widerspruch gegen Änderungen des Unterauftragsverarbeiters. Wenn ein neuer Unterauftragsverarbeiter während der Vertragslaufzeit beauftragt wird, wird masernet den Kunden mindestens 30 Tage, bevor der neue Unterauftragsverarbeiter personenbezogene Daten des Kunden verarbeitet, über die Beauftragung informieren (einschließlich des Namens und des Standorts des betreffenden Unterauftragsverarbeiters und der Tätigkeiten, die er durchführen wird). Der Kunde kann jedem neuen Unterauftragsverarbeiter widersprechen, indem er masernet innerhalb von zehn (10) Werktagen, nachdem er über die Beauftragung des Unterauftragsverarbeiters wie oben beschrieben informiert wurde, eine schriftliche Mitteilung zukommen lässt. Falls der Kunde einem neuen Subverarbeiter widerspricht, werden der Kunde und masernet in gutem Glauben zusammenarbeiten, um eine für beide Seiten akzeptable Lösung zu finden, um diesen Widerspruch zu beseitigen. Sollten die Parteien nicht in der Lage sein, innerhalb eines angemessenen Zeitrahmens eine für beide Seiten akzeptable Lösung zu finden, kann der Kunde als einziges und ausschließliches Rechtsmittel die Vereinbarung durch schriftliche Mitteilung an masernet kündigen.

10 Verarbeitung von Datensätzen

10.1 Aufzeichnungen über die Verarbeitung durch masernet. Der Kunde nimmt zur Kenntnis, dass masernet gemäß der DSGVO verpflichtet ist,: (a) Aufzeichnungen über bestimmte Informationen, einschließlich des Namens und der Kontaktdaten jedes Auftragsverarbeiters und/oder Verantwortlichen, für den masernet tätig ist, und gegebenenfalls des lokalen Vertreters und des Datenschutzbeauftragten eines solchen Auftragsverarbeiters oder Verantwortlichen, zu sammeln und aufzubewahren; und (b) diese Informationen den Aufsichtsbehörden zur Verfügung zu stellen. Wenn die DSGVO auf die Verarbeitung personenbezogener Daten des Kunden Anwendung findet, wird der Kunde masernet diese Informationen auf Anfrage zur Verfügung stellen und sicherstellen, dass alle bereitgestellten Informationen korrekt und aktuell sind.

11 Haftung

11.1 11.1 Haftungsobergrenze. Die kombinierte Gesamthaftung einer Partei und ihrer verbundenen Unternehmen gegenüber der anderen Partei und ihren verbundenen Unternehmen, sei es aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, im Rahmen oder in Verbindung mit der Vereinbarung, diesem Nachtrag und den Standardvertragsklauseln, wenn diese wie in Abschnitt 8.2 (Datenübertragungen aus dem EWR) beschrieben abgeschlossen wurden, ist vorbehaltlich Abschnitt 11.2 (Ausschlüsse von Haftungsobergrenzen) auf Haftungsbeschränkungen oder andere von den Parteien in der Vereinbarung vereinbarte Haftungsobergrenzen beschränkt.

11.2 11.2 Ausschluss der Haftungsobergrenze. Abschnitt 11.1 (Haftungsobergrenze) berührt nicht die Haftung einer Partei gegenüber betroffenen Personen gemäß den Bestimmungen der Standardvertragsklauseln für Drittbegünstigte, soweit die Beschränkung dieser Rechte durch die europäische Datenschutzgesetzgebung untersagt ist.

12 Analytik

Der Kunde erkennt an und erklärt sich damit einverstanden, dass masernet anonymisierte und/oder aggregierte Daten, die weder den Kunden noch eine natürliche Person identifizieren, erstellen und aus der Verarbeitung im Zusammenhang mit den Diensten ableiten kann, und dass masernet diese Daten zur Verbesserung der Produkte und Dienste von masernet und für andere legitime Geschäftszwecke verwenden, veröffentlichen oder mit Dritten teilen kann.

13 Notizen

Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung können alle Mitteilungen, die von masernet an den Kunden erfolgen müssen oder dürfen, (a) in Übereinstimmung mit der Kündigungsklausel der Vereinbarung, (b) an die primären Kontaktpunkte von masernet mit dem Kunden und/oder (c) an eine vom Kunden zum Zweck der Bereitstellung von dienstbezogenen Mitteilungen oder Warnungen bereitgestellte E-Mail erfolgen. Der Kunde ist allein dafür verantwortlich, sicherzustellen, dass diese E-Mail-Adressen gültig sind.

14 Wirkung dieser Bedingungen

Ungeachtet gegenteiliger Bestimmungen in der Vereinbarung gilt im Falle von Konflikten oder Widersprüchen zwischen diesem Nachtrag und den übrigen Bestimmungen der Vereinbarung dieser Nachtrag.

Anhang 1

Gegenstand und Einzelheiten der Datenverarbeitung

Dieser Anhang 1 wird in den Nachtrag aufgenommen und ist auch Teil der Standardvertragsklauseln (sofern diese Standardvertragsklauseln auf den Kunden anwendbar sind).

Datenimporteur : Der Datenimporteur (oder Service Provider/Prozessor) ist masernet, ein Anbieter von Produktivitätslösungen.

Datenexporteur : Der Datenexporteur (oder das Unternehmen/der Kontrolleur) ist der Kunde, der eine Partei des Nachtrags ist.

Gegenstand : die Erbringung der Dienstleistungen durch masernet an den Kunden, wie im Vertrag und im Nachtrag dargelegt.

Dauer der Verarbeitung : Die Laufzeit zuzüglich des Zeitraums vom Ablauf der Laufzeit bis zur Löschung aller personenbezogenen Daten des Kunden durch masernet gemäß dem Nachtrag.

Art und Zweck der Verarbeitung : masernet erhält, verarbeitet und speichert personenbezogene Daten des Kunden für die Zwecke der Bereitstellung der Dienste für den Kunden in Übereinstimmung mit dem Vertrag und dem Nachtrag, um mit dem Kunden und seinen Endbenutzern zu kommunizieren, um Kundendienst zu leisten, um die Dienste zu überwachen, zu warten und zu verbessern und um anderweitig seine Verpflichtungen aus dem Vertrag zu erfüllen.

Kategorien von möglichen Daten :

• Vor- und Nachname

• Titel

• Position

• Arbeitgeber

• Kontaktinformationen (Unternehmen, E-Mail, Telefon, physische Geschäftsadresse)

• ID-Daten

• Verbindungsdaten

• Lokalisierungsdaten

• Andere elektronische Daten, die von einem Endnutzer übermittelt, gespeichert, gesendet oder empfangen werden (dazu können besondere Kategorien personenbezogener Daten gemäß der DSGVO oder sensible personenbezogene Daten gemäß der LGPD gehören, soweit solche Daten von einem Endnutzer übermittelt, gespeichert, gesendet oder empfangen werden; masernet fordert keine sensiblen oder besonderen Kategorien personenbezogener Daten für die Bereitstellung der Dienste an)

• Informationen über Rechnungen oder Zahlungen für den masernet-Dienst

• Informationen zur Verwendung

Daten Subjekte :

• Mitarbeiter, Vertreter, Berater und/oder Freiberufler des Kunden (die natürliche Personen sind) und/oder Personen, über die masernet über die Dienste vom Kunden (oder auf dessen Anweisung) Daten zur Verfügung gestellt werden

• Vom Kunden zur Nutzung der Dienste autorisierte Endnutzer

Unterprozessoren • Der Kunde willigt hiermit in die Weiterverarbeitung durch die unter https://masernet.com/dpa/subprocessors genannten Stellen ein.

Anhang 2

Sicherheitsmaßnahmen

Dieser Anhang 2 wird in den Nachtrag aufgenommen und ist auch Teil der Standardvertragsklauseln (sofern solche Standardvertragsklauseln auf den Kunden anwendbar sind).

Ab dem Datum des Inkrafttretens des Nachtrags wird masernet technische und organisatorische Sicherheitsmaßnahmen einführen und aufrechterhalten. masernet kann diese Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern solche Aktualisierungen und Änderungen die Sicherheit der Dienste insgesamt nicht wesentlich verringern.

Anhang 3

Standardvertragsklauseln

Im Sinne von Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau gewährleisten, akzeptiert der Kunde, der die Klauseln gemäß dem Nachtrag akzeptiert (der „Datenexporteur“)

Und

Masernet GmbH Deutschland (der „Datenimporteur“)

SIND über die folgenden Vertragsklauseln (die „Klauseln“) ÜBEREINGEKOMMEN, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und -freiheiten natürlicher Personen für die Übermittlung der in Anlage 1 aufgeführten personenbezogenen Daten durch den Datenexporteur an den Datenimporteur zu schaffen.

Hintergrund

Der Datenexporteur hat mit dem Datenimporteur ein Addendum zur Datenverarbeitung („DPA“) geschlossen. Gemäß den Bedingungen der DPA ist vorgesehen, dass die vom Datenimporteur erbrachten Dienstleistungen die Übermittlung personenbezogener Daten an den Datenimporteur beinhalten. Der Datenimporteur ist in einem Land ansässig, das kein angemessenes Datenschutzniveau gewährleistet. Um die Einhaltung der Richtlinie 95/46/EG und des geltenden Datenschutzrechts zu gewährleisten, erklärt sich der für die Verarbeitung Verantwortliche mit der Erbringung solcher Dienstleistungen, einschließlich der damit verbundenen Verarbeitung personenbezogener Daten, einverstanden, sofern der Datenimporteur die Bedingungen dieser Klauseln erfüllt und einhält.

Klausel 1: Begriffsbestimmungen

Für die Zwecke der Klauseln:

a. Die Begriffe „personenbezogene Daten“, „besondere Kategorien von Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ haben die gleiche Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

b. der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

c. Datenimporteur“: der Auftragsverarbeiter, der sich damit einverstanden erklärt, vom Datenexporteur personenbezogene Daten zu erhalten, die nach der Übermittlung gemäß seinen Anweisungen und den Bestimmungen der Klauseln in seinem Namen verarbeitet werden sollen, und der nicht einem System eines Drittlandes unterliegt, das einen angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

d. Unterauftragsverarbeiter“ ist jeder vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs beauftragte Auftragsverarbeiter, der sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten zu erhalten, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die nach der Übermittlung im Auftrag des Datenexporteurs gemäß seinen Anweisungen, den Bestimmungen der Klauseln und den Bestimmungen des schriftlichen Untervertrags durchgeführt werden;

e. das geltende Datenschutzrecht“ die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem Mitgliedstaat gelten, in dem der Datenexporteur niedergelassen ist;

f. technische und organisatorische Sicherheitsmaßnahmen“: Maßnahmen zum Schutz personenbezogener Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netz umfasst, sowie gegen jede andere Form der unrechtmäßigen Verarbeitung.

Klausel 2: Einzelheiten der Übertragung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sind in Anhang 1 aufgeführt, der Bestandteil der Klauseln ist.

Klausel 3: Drittbegünstigungsklausel

1. Die betroffene Person kann diese Klausel, Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 als Drittbegünstigter gegenüber dem Datenexporteur geltend machen.

2. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn der Datenexporteur faktisch oder rechtlich nicht mehr existiert, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen, wodurch es in die Rechte und Pflichten des Datenexporteurs eintritt; in diesem Fall kann die betroffene Person sie gegenüber diesem Unternehmen geltend machen.

3. Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, Klausel 6, Klausel 7, Klausel 8 Absatz 2 und die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder zahlungsunfähig geworden sind, es sei denn, eine Nachfolgeeinrichtung ist vertraglich oder kraft Gesetzes in alle rechtlichen Verpflichtungen des Datenexporteurs eingetreten, wodurch sie die Rechte und Pflichten des Datenexporteurs übernimmt; in diesem Fall kann die betroffene Person diese gegenüber dieser Einrichtung geltend machen. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

4. Die Parteien haben keine Einwände dagegen, dass eine betroffene Person durch einen Verband oder eine andere Einrichtung vertreten wird, wenn die betroffene Person dies ausdrücklich wünscht und es nach nationalem Recht zulässig ist.

Klausel 4: Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich damit einverstanden und gewährleistet dies:

a. dass die Verarbeitung der personenbezogenen Daten, einschließlich der Übermittlung selbst, im Einklang mit den einschlägigen Bestimmungen des geltenden Datenschutzrechts erfolgt ist und weiterhin erfolgen wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, gemeldet wurde) und nicht gegen die einschlägigen Bestimmungen dieses Staates verstößt;

b. dass er den Datenimporteur angewiesen hat und während der gesamten Dauer der Dienstleistungen zur Verarbeitung personenbezogener Daten anweisen wird, die übermittelten personenbezogenen Daten nur im Namen des Datenexporteurs und in Übereinstimmung mit dem geltenden Datenschutzrecht und den Klauseln zu verarbeiten;

c. dass der Datenimporteur ausreichende Garantien in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen gemäß Anlage 2 zu diesem Vertrag bietet;

d. dass nach Prüfung der Anforderungen des geltenden Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netz umfasst – und gegen jede andere Form der unrechtmäßigen Verarbeitung zu schützen, und dass diese Maßnahmen unter Berücksichtigung des Stands der Technik und der Kosten ihrer Durchführung ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist;

e. dass sie die Einhaltung der Sicherheitsmaßnahmen gewährleisten wird;

f. dass, falls die Übermittlung besondere Datenkategorien betrifft, die betroffene Person vor oder so bald wie möglich nach der Übermittlung darüber informiert wurde oder wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das keinen angemessenen Schutz im Sinne der Richtlinie 95/46/EG bietet;

g. jede Meldung des Datenimporteurs oder eines Unterauftragsverarbeiters gemäß Klausel 5 Buchstabe b und Klausel 8 Absatz 3 an die Datenschutzaufsichtsbehörde weiterzuleiten, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

h. den betroffenen Personen auf Anfrage ein Exemplar der Klauseln, mit Ausnahme von Anhang 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie ein Exemplar jedes Vertrags über Unterverarbeitungsdienste, der gemäß den Klauseln geschlossen werden muss, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann sie diese Geschäftsinformationen entfernen;

i. dass im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterauftragsverarbeiter durchgeführt wird, der mindestens das gleiche Maß an Schutz für die personenbezogenen Daten und die Rechte der betroffenen Person bietet wie der Datenimporteur gemäß den Klauseln; und

j. dass sie die Einhaltung von Klausel 4 Buchstaben a) bis i) sicherstellen wird.

Klausel 5: Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich damit einverstanden und gewährleistet dies:

a. die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Weisungen und den Klauseln zu verarbeiten; kann er dies aus welchen Gründen auch immer nicht leisten, verpflichtet er sich, den Datenexporteur unverzüglich darüber zu informieren, dass er dazu nicht in der Lage ist; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

b. dass er keinen Grund zu der Annahme hat, dass die für ihn geltenden Rechtsvorschriften ihn daran hindern, die vom Datenexporteur erhaltenen Anweisungen und seine Verpflichtungen aus dem Vertrag zu erfüllen, und dass er im Falle einer Änderung dieser Rechtsvorschriften, die erhebliche nachteilige Auswirkungen auf die in den Klauseln vorgesehenen Garantien und Verpflichtungen haben könnte, dem Datenexporteur diese Änderung unverzüglich mitteilen wird, sobald er davon Kenntnis hat; in diesem Fall ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen;

c. dass sie vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anlage 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen getroffen hat;

d. die sie dem Datenexporteur unverzüglich mitteilen wird:

i. jedes rechtsverbindliche Ersuchen einer Strafverfolgungsbehörde um Offenlegung der personenbezogenen Daten, sofern dies nicht anderweitig untersagt ist, z. B. durch ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung,

ii. jeden zufälligen oder unbefugten Zugang und

iii. jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;

e. alle Anfragen des Datenexporteurs in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu beantworten und den Rat der Kontrollstelle in Bezug auf die Verarbeitung der übermittelten Daten zu befolgen;

f. auf Ersuchen des Datenexporteurs seine Datenverarbeitungsanlagen einer Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zu unterziehen, die vom Datenexporteur oder einer Kontrollstelle durchgeführt wird, die sich aus unabhängigen Mitgliedern zusammensetzt, die über die erforderlichen beruflichen Qualifikationen verfügen und zur Verschwiegenheit verpflichtet sind; diese Stelle wird vom Datenexporteur gegebenenfalls im Einvernehmen mit der Kontrollstelle ausgewählt;

g. der betroffenen Person auf Anfrage eine Kopie der Klauseln oder eines bestehenden Vertrags über die Unterverarbeitung zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall kann er diese Geschäftsinformationen entfernen, mit Ausnahme von Anhang 2, der in den Fällen, in denen die betroffene Person keine Kopie vom Datenexporteur erhalten kann, durch eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen ersetzt wird;

h. dass sie im Falle einer Unterverarbeitung den Datenexporteur vorher informiert und dessen schriftliche Zustimmung eingeholt hat;

i. dass die Verarbeitung durch den Unterauftragsverarbeiter im Einklang mit Ziffer 11 durchgeführt wird;

j. dem Datenexporteur unverzüglich eine Kopie der von ihm im Rahmen der Klauseln abgeschlossenen Unterverarbeitungsverträge zu übermitteln.

Klausel 6: Haftung

1. Die Parteien sind sich darüber einig, dass jede betroffene Person, die infolge einer Verletzung der in Klausel 3 oder in Klausel 11 genannten Pflichten durch eine Partei oder einen Unterauftragsverarbeiter einen Schaden erlitten hat, Anspruch auf Ersatz des erlittenen Schadens durch den Datenexporteur hat.

2. Ist eine betroffene Person nicht in der Lage, einen Schadensersatzanspruch gemäß Absatz 1 gegen den Datenexporteur geltend zu machen, der sich aus einem Verstoß des Datenimporteurs oder seines Unterauftragsverarbeiters gegen eine der in Klausel 3 oder in Klausel 11 genannten Verpflichtungen ergibt, weil der Datenexporteur faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist, Der Datenimporteur erklärt sich damit einverstanden, dass die betroffene Person den Datenimporteur so in Anspruch nehmen kann, als wäre er der Datenexporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen.

Der Datenimporteur kann sich nicht darauf berufen, dass ein Unterauftragsverarbeiter gegen seine Verpflichtungen verstoßen hat, um sich seiner eigenen Haftung zu entziehen.

3. Ist eine betroffene Person nicht in der Lage, den Datenexporteur oder den Datenimporteur gemäß den Absätzen 1 und 2 wegen eines Verstoßes des Unterauftragsverarbeiters gegen eine ihrer Verpflichtungen gemäß Klausel 3 oder Klausel 11 in Anspruch zu nehmen, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr existieren oder insolvent sind, erklärt sich der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf ihre eigenen Verarbeitungen gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, der Unterauftragsverarbeiter erklärt sich damit einverstanden, dass die betroffene Person den Unterauftragsverarbeiter in Bezug auf seine eigenen Verarbeitungen gemäß den Klauseln so in Anspruch nehmen kann, als wäre er der Datenexporteur oder der Datenimporteur, es sei denn, ein Nachfolgeunternehmen hat die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder von Rechts wegen übernommen; in diesem Fall kann die betroffene Person ihre Rechte gegenüber diesem Unternehmen geltend machen. Die Haftung des Unterauftragsverarbeiters ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

Klausel 7: Schlichtung und Gerichtsbarkeit

1. Der Datenimporteur erklärt sich damit einverstanden, dass der Datenimporteur die Entscheidung der betroffenen Person akzeptiert, wenn die betroffene Person ihm gegenüber Rechte als Drittbegünstigter geltend macht und/oder Schadensersatz gemäß den Klauseln fordert:

a. den Streitfall der Schlichtung durch eine unabhängige Person oder gegebenenfalls durch die Aufsichtsbehörde zu unterziehen;

b. den Streitfall an die Gerichte des Mitgliedstaats zu verweisen, in dem der Datenexporteur niedergelassen ist.

2. Die Parteien kommen überein, dass die von der betroffenen Person getroffene Wahl ihre materiell- und verfahrensrechtlichen Rechte, Rechtsbehelfe nach anderen Bestimmungen des nationalen oder internationalen Rechts einzulegen, nicht beeinträchtigt.

Klausel 8: Zusammenarbeit mit den Aufsichtsbehörden

1. Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese darum ersucht oder wenn eine solche Hinterlegung nach dem geltenden Datenschutzrecht erforderlich ist.

2. Die Parteien kommen überein, dass die Kontrollstelle das Recht hat, den Datenimporteur und jeden Unterauftragsverarbeiter einer Prüfung zu unterziehen, die denselben Umfang hat und denselben Bedingungen unterliegt wie eine Prüfung des Datenexporteurs nach dem geltenden Datenschutzrecht.

3. Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über das Bestehen von Rechtsvorschriften, die auf ihn oder einen Unterauftragsverarbeiter anwendbar sind und die Durchführung eines Audits beim Datenimporteur oder einem Unterauftragsverarbeiter gemäß Absatz 2 verhindern. In einem solchen Fall ist der Datenexporteur berechtigt, die in Ziffer 5 Buchstabe b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9: Geltendes Recht

Die Klauseln unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

Klausel 10: Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu ändern oder zu modifizieren. Dies schließt nicht aus, dass die Parteien bei Bedarf Klauseln zu geschäftsbezogenen Fragen hinzufügen, solange sie nicht im Widerspruch zu den Klauseln stehen.

Klausel 11: Unterverarbeitungen

1. Der Datenimporteur darf ohne vorherige schriftliche Zustimmung des Datenexporteurs keine seiner im Namen des Datenexporteurs gemäß den Klauseln durchgeführten Verarbeitungen an Unterauftragnehmer vergeben. Vergibt der Datenimporteur seine Verpflichtungen nach den Klauseln mit Zustimmung des Datenexporteurs an Unterauftragnehmer, so darf er dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter tun, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenimporteur nach den Klauseln auferlegt werden. Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen aus einer solchen schriftlichen Vereinbarung nicht nach, so bleibt der Datenimporteur dem Datenexporteur gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters aus dieser Vereinbarung haftbar.

2. Der vorherige schriftliche Vertrag zwischen dem Datenimporteur und dem Unterauftragsverarbeiter sieht auch eine Drittbegünstigungsklausel gemäß Klausel 3 für den Fall vor, dass die betroffene Person nicht in der Lage ist, den in Klausel 6 Absatz 1 genannten Schadensersatzanspruch gegen den Datenexporteur oder den Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig geworden sind und keine Nachfolgeeinrichtung die gesamten rechtlichen Verpflichtungen des Datenexporteurs oder des Datenimporteurs vertraglich oder kraft Gesetzes übernommen hat. Die Haftung des Unterauftragsverarbeiters gegenüber Dritten ist auf seine eigenen Verarbeitungen gemäß den Klauseln beschränkt.

3. (2) Die Bestimmungen über die Datenschutzaspekte bei der Unterverarbeitung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

4. Der Datenexporteur führt ein Verzeichnis der gemäß den Klauseln geschlossenen und vom Datenimporteur gemäß Klausel 5 Buchstabe j) gemeldeten Unterverarbeitungsverträge, das mindestens einmal jährlich zu aktualisieren ist. Das Verzeichnis ist der Datenschutzaufsichtsbehörde des Datenexporteurs zur Verfügung zu stellen.

Klausel 12: Verpflichtungen nach Beendigung der Verarbeitung personenbezogener Daten

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Erbringung von Datenverarbeitungsdiensten nach Wahl des Datenexporteurs alle übermittelten personenbezogenen Daten und die Kopien davon an den Datenexporteur zurückgeben oder alle personenbezogenen Daten vernichten und dies dem Datenexporteur gegenüber bescheinigen, es sei denn, der Datenimporteur ist aufgrund von Rechtsvorschriften daran gehindert, alle oder einen Teil der übermittelten personenbezogenen Daten zurückzugeben oder zu vernichten. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeiten wird.

2. (2) Der Datenimporteur und der Unterauftragsverarbeiter gewährleisten, dass sie auf Ersuchen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungsanlagen einer Prüfung der in Absatz 1 genannten Maßnahmen unterziehen.