Dieser AVV wird zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen und ist Bestandteil der Vereinbarung; er unterliegt deren Bedingungen.
Jeder großgeschriebene Begriff, der in diesem AVV nicht definiert ist, hat die Bedeutung, die ihm in der Vereinbarung zugewiesen wird.
| „Affiliate“ | bezeichnet jede Einheit, die eine Partei direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht. „Kontrolle“ bedeutet für Zwecke dieser Definition das direkte oder indirekte Eigentum oder die Kontrolle von mehr als 50 % der Stimmrechte einer Partei; |
| „Vereinbarung“ | bezeichnet die Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter über die Erbringung der Services; |
| „CCPA“ | bezeichnet den California Consumer Privacy Act von 2018 sowie dessen Vorschriften und in der jeweils gültigen Fassung; |
| „Verantwortlicher“ | bezeichnet den Kunden; |
| „Datenschutzrecht“ | bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums, ihrer Mitgliedstaaten und des Vereinigten Königreichs, sowie deren jeweilige Änderungen, Ersetzungen oder Erneuerungen, die für die Verarbeitung personenbezogener Daten gelten, einschließlich – soweit anwendbar – der Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, der EU-DSGVO, der UK DSGVO, des UK Data Protection Act 2018, des FADP, des CCPA sowie sämtlicher anwendbarer nationaler Umsetzungsgesetze, Verordnungen und nachrangiger Rechtsvorschriften im Zusammenhang mit der Verarbeitung personenbezogener Daten und der Vertraulichkeit elektronischer Kommunikation, jeweils in der geänderten, ersetzten oder aktualisierten Fassung, einschließlich der Richtlinie über Privatsphäre und elektronische Kommunikation (2002/58/EG) und der Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426); |
| „Betroffene Person“ | hat dieselbe Bedeutung wie im Datenschutzrecht oder bezeichnet einen „Consumer“ im Sinne des CCPA; |
| „AVV“ | bezeichnet diesen Auftragsverarbeitungsvertrag zusammen mit den Anlagen A, B und C; |
| „EWR“ | bezeichnet den Europäischen Wirtschaftsraum; |
| „EU-DSGVO“ | bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung); |
| „FADP“ | bezeichnet das neue Schweizer Bundesgesetz über den Datenschutz vom 1. September 2023 in der jeweils gültigen Fassung; |
| „Personenbezogene Daten“ | hat dieselbe Bedeutung wie im Datenschutzrecht; |
| „Auftragsverarbeiter“ | bezeichnet das Unternehmen, einschließlich – soweit anwendbar – eines „Service Provider“ im Sinne des CCPA; |
| „Beschränkte Übermittlung“ | bezeichnet: (i) sofern die EU-DSGVO gilt, eine Übermittlung personenbezogener Daten über die Services aus dem EWR – entweder direkt oder im Rahmen einer Weiterübermittlung – an ein Land oder einen Empfänger außerhalb des EWR, für das/den keine Angemessenheitsentscheidung der Europäischen Kommission vorliegt; und (ii) sofern die UK DSGVO gilt, eine Übermittlung personenbezogener Daten über die Services aus dem Vereinigten Königreich – entweder direkt oder im Rahmen einer Weiterübermittlung – an ein Land oder einen Empfänger außerhalb des UK, für das/den keine Angemessenheitsregelungen gemäß Abschnitt 17A des United Kingdom Data Protection Act 2018 gelten; und (iii) eine Übermittlung personenbezogener Daten über die Services aus der Schweiz – entweder direkt oder im Rahmen einer Weiterübermittlung – an ein Land oder einen Empfänger außerhalb des EWR und/oder der Schweiz, für das/den keine Angemessenheitsentscheidung der Europäischen Kommission vorliegt; |
| „Services“ | bezeichnet sämtliche Services sowie Softwareanwendungen und -lösungen, die der Auftragsverarbeiter dem Verantwortlichen gemäß und wie in der Vereinbarung beschrieben bereitstellt; |
| „SCCs“ | bezeichnet: (i) sofern die EU-DSGVO gilt, die Standardvertragsklauseln im Anhang des Durchführungsbeschlusses 2021/914 der Europäischen Kommission vom 4. Juni 2021 zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer, veröffentlicht unter https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN („EU SCCs“); und (ii) sofern die UK DSGVO gilt, Standarddatenschutzklauseln, die gemäß Artikel 46(2)(c) der UK DSGVO angenommen wurden, wie in Anlage C dieses AVV festgelegt („UK SCCs“); und (iii) sofern personenbezogene Daten aus der Schweiz in ein Land außerhalb der Schweiz oder des EWR übermittelt werden, die EU SCCs, angepasst gemäß den Leitlinien der Schweizer Datenschutzbehörde („Swiss SCCs“); |
| „Unterauftragsverarbeiter“ | bezeichnet jede dritte Partei (einschließlich Affiliates des Auftragsverarbeiters), die vom Auftragsverarbeiter direkt oder indirekt beauftragt wird, personenbezogene Daten im Rahmen dieses AVV bei der Erbringung der Services für den Verantwortlichen zu verarbeiten; |
| „Aufsichtsbehörde“ | bezeichnet eine staatliche oder staatlich mandatierte Aufsichts- bzw. Regulierungsbehörde mit verbindlicher gesetzlicher Zuständigkeit gegenüber einer Partei; |
| „UK DSGVO“ | bezeichnet die EU-DSGVO, soweit sie aufgrund von Abschnitt 3 des European Union (Withdrawal) Act 2018 Teil des Rechts von England und Wales, Schottland und Nordirland ist. |
2.1. Der Auftragsverarbeiter hat sich verpflichtet, dem Verantwortlichen die Services gemäß den Bedingungen der Vereinbarung bereitzustellen. Bei der Erbringung der Services verarbeitet der Auftragsverarbeiter Kundendaten im Auftrag des Verantwortlichen. Kundendaten können personenbezogene Daten enthalten. Der Auftragsverarbeiter verarbeitet und schützt diese personenbezogenen Daten gemäß den Bedingungen dieses AVV.
3.1. Bei der Erbringung der Services für den Verantwortlichen gemäß der Vereinbarung verarbeitet der Auftragsverarbeiter personenbezogene Daten nur in dem Umfang, der erforderlich ist, um die Services gemäß der Vereinbarung, diesem AVV sowie den in der Vereinbarung und diesem AVV dokumentierten Weisungen des Verantwortlichen – jeweils in der von Zeit zu Zeit aktualisierten Fassung – bereitzustellen.
3.2. Verantwortlicher und Auftragsverarbeiter treffen Maßnahmen, um sicherzustellen, dass jede natürliche Person, die unter der Autorität des Verantwortlichen oder des Auftragsverarbeiters handelt und Zugang zu personenbezogenen Daten hat, diese nicht anders als auf Weisung des Verantwortlichen verarbeitet, sofern nicht eine Verarbeitung aufgrund von Datenschutzrecht erforderlich ist.
4.1. Der Auftragsverarbeiter darf personenbezogene Daten ausschließlich im Rahmen dieses AVV erheben, verarbeiten oder nutzen.
4.2. Der Auftragsverarbeiter bestätigt, dass er personenbezogene Daten im Auftrag des Verantwortlichen gemäß den dokumentierten Weisungen des Verantwortlichen verarbeitet.
4.3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn nach Auffassung des Auftragsverarbeiters Weisungen des Verantwortlichen zur Verarbeitung personenbezogener Daten gegen Datenschutzrecht verstoßen.
4.4. Der Auftragsverarbeiter stellt sicher, dass alle Mitarbeiter, Beauftragten, Organe und Auftragnehmer, die an der Verarbeitung personenbezogener Daten beteiligt sind: (i) sich der Vertraulichkeit der personenbezogenen Daten bewusst sind und vertraglich zur Vertraulichkeit verpflichtet sind; (ii) eine angemessene Schulung zu ihren Pflichten als Auftragsverarbeiter erhalten haben; und (iii) an die Bedingungen dieses AVV gebunden sind.
4.5. Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten um, unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen.
4.6. Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich – soweit angemessen –: (i) Pseudonymisierung und Verschlüsselung personenbezogener Daten; (ii) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und Services sicherzustellen; (iii) die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang dazu im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; (iv) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Sicherstellung der Sicherheit der Verarbeitung. Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere durch zufällige oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.
4.7. Die in Anlage B beschriebenen technischen und organisatorischen Maßnahmen sind jederzeit mindestens als Sicherheitsstandard einzuhalten. Der Verantwortliche erkennt an und stimmt zu, dass diese Maßnahmen der Weiterentwicklung und Überprüfung unterliegen und dass der Auftragsverarbeiter alternative geeignete Maßnahmen einsetzen darf, sofern diese mindestens gleichwertig zu den in Anlage B festgelegten technischen und organisatorischen Maßnahmen sind und den Pflichten des Auftragsverarbeiters gemäß den vorstehenden Klauseln 4.5 und 4.6 entsprechen.
4.8. Der Verantwortliche erkennt an und stimmt zu, dass es im Rahmen der Erbringung der Services erforderlich sein kann, dass der Auftragsverarbeiter auf personenbezogene Daten zugreift, um technische Probleme oder Anfragen des Verantwortlichen zu beantworten und die ordnungsgemäße Funktion der Services sicherzustellen. Jeder solche Zugriff des Auftragsverarbeiters ist auf diese Zwecke beschränkt.
4.9. Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter verfügbaren Informationen unterstützt der Auftragsverarbeiter den Verantwortlichen – soweit möglich – durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Pflicht des Verantwortlichen, Anfragen zur Ausübung von Betroffenenrechten zu beantworten, sowie bei der Einhaltung der Datenschutzpflichten des Verantwortlichen im Zusammenhang mit der Verarbeitung personenbezogener Daten.
4.10. Der Auftragsverarbeiter darf nicht: (i) personenbezogene Daten verkaufen; (ii) personenbezogene Daten zu kommerziellen Zwecken außerhalb der Erbringung der Services nach der Vereinbarung aufbewahren, nutzen oder offenlegen; oder (iii) personenbezogene Daten außerhalb der Bedingungen der Vereinbarung aufbewahren, nutzen oder offenlegen.
5.1. Der Verantwortliche sichert zu und gewährleistet: (i) dass er diesen AVV und seine Pflichten nach Datenschutzrecht einhält; (ii) dass er alle erforderlichen Einwilligungen, Genehmigungen und Autorisierungen eingeholt hat, die notwendig sind, damit der Auftragsverarbeiter, seine Affiliates und Unterauftragsverarbeiter ihre Rechte ausüben oder ihre Pflichten nach diesem AVV erfüllen können; und (iii) dass alle Affiliates des Verantwortlichen, die die Services nutzen, die in diesem AVV festgelegten Pflichten des Verantwortlichen einhalten.
5.2. Der Verantwortliche setzt geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten um, unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen. Der Verantwortliche setzt geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich – soweit angemessen –: (i) Pseudonymisierung und Verschlüsselung personenbezogener Daten; (ii) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und Services sicherzustellen; (iii) die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang dazu im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen; (iv) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Sicherstellung der Sicherheit der Verarbeitung. Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere durch zufällige oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten.
5.3. Der Verantwortliche erkennt an und stimmt zu, dass bestimmte Weisungen des Verantwortlichen – einschließlich der Unterstützung des Auftragsverarbeiters bei Audits, Inspektionen, DPIAs oder jeglicher Unterstützung nach diesem AVV – zusätzliche Gebühren auslösen können. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vorab über seine Gebühren für diese Unterstützung und ist berechtigt, dem Verantwortlichen seine angemessenen Kosten und Auslagen für die Erbringung dieser Unterstützung in Rechnung zu stellen, sofern nicht schriftlich etwas anderes vereinbart wurde.
6.1. Der Verantwortliche erkennt an und stimmt zu, dass der Auftragsverarbeiter im Zusammenhang mit der Erbringung der Services Unterauftragsverarbeiter einsetzen darf.
6.2. Alle Unterauftragsverarbeiter, die im Rahmen der Services personenbezogene Daten für den Verantwortlichen verarbeiten, müssen die in diesem AVV festgelegten Pflichten des Auftragsverarbeiters einhalten.
6.3. Der Verantwortliche autorisiert den Auftragsverarbeiter, die in der unter https://multiply.cloud/en/legal-resources/ veröffentlichten Liste aufgeführten Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten einzusetzen. Während der Laufzeit dieses AVV informiert der Auftragsverarbeiter den Verantwortlichen 30 Tage im Voraus per E-Mail über Änderungen der Unterauftragsverarbeiterliste, bevor er einen neuen oder ersetzenden Unterauftragsverarbeiter zur Verarbeitung personenbezogener Daten im Zusammenhang mit der Erbringung der Services autorisiert.
6.4. Der Verantwortliche kann der Nutzung eines neuen oder ersetzenden Unterauftragsverarbeiters widersprechen, indem er den Auftragsverarbeiter unverzüglich und schriftlich innerhalb von fünfzehn (15) Tagen nach Erhalt der Mitteilung des Auftragsverarbeiters informiert. Widerspricht der Verantwortliche, kann er die Vereinbarung hinsichtlich derjenigen Services kündigen, die der Auftragsverarbeiter ohne den neuen oder ersetzenden Unterauftragsverarbeiter nicht erbringen kann. Der Auftragsverarbeiter erstattet dem Verantwortlichen vorausbezahlte Gebühren für die verbleibende Laufzeit der Vereinbarung ab dem Wirksamkeitsdatum der Kündigung in Bezug auf die gekündigten Services.
6.5. Alle Unterauftragsverarbeiter, die personenbezogene Daten verarbeiten, müssen die in diesem AVV festgelegten Pflichten des Auftragsverarbeiters einhalten. Bevor der jeweilige Unterauftragsverarbeiter Verarbeitungstätigkeiten in Bezug auf personenbezogene Daten ausführt, wird der Auftragsverarbeiter: (i) jeden Unterauftragsverarbeiter durch einen schriftlichen Vertrag beauftragen, der im Wesentlichen dieselben Pflichten enthält wie die Pflichten des Auftragsverarbeiters in diesem AVV und durch den Auftragsverarbeiter durchsetzbar ist; und (ii) sicherstellen, dass jeder Unterauftragsverarbeiter diese Pflichten einhält.
6.6. Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter und seine Unterauftragsverarbeiter beschränkte Übermittlungen personenbezogener Daten vornehmen dürfen, um die Services für den Verantwortlichen gemäß der Vereinbarung bereitzustellen. Der Auftragsverarbeiter bestätigt, dass diese Unterauftragsverarbeiter: (i) in einem Drittland oder Gebiet ansässig sind, das von der EU-Kommission oder – je nach Anwendbarkeit – einer Aufsichtsbehörde als Land/Gebiet mit angemessenem Schutzniveau anerkannt wurde; oder (ii) die anwendbaren SCCs mit dem Auftragsverarbeiter abgeschlossen haben; oder (iii) über andere gesetzlich anerkannte geeignete Garantien verfügen.
7.1. Die Parteien vereinbaren, dass eine Übermittlung personenbezogener Daten zwischen Verantwortlichem und Auftragsverarbeiter oder vom Auftragsverarbeiter an einen Unterauftragsverarbeiter, die eine beschränkte Übermittlung darstellt, den jeweils anwendbaren SCCs unterliegt.
7.2. Die Parteien vereinbaren, dass die EU SCCs auf beschränkte Übermittlungen aus dem EWR Anwendung finden. Die EU SCCs gelten als abgeschlossen (und durch Verweis in diesen AVV einbezogen) und wie folgt ausgefüllt:
7.3. Die Parteien vereinbaren, dass die EU SCCs in der gemäß Klausel 7.2 oben geänderten Fassung wie folgt angepasst werden, soweit das FADP auf eine beschränkte Übermittlung Anwendung findet:
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte („EDÖB“/„FDPIC“) ist die einzige Aufsichtsbehörde für beschränkte Übermittlungen, die ausschließlich dem FADP unterliegen; Beschränkte Übermittlungen, die sowohl dem FADP als auch der EU-DSGVO unterliegen, werden durch die in Anlage A dieses AVV benannte EU-Aufsichtsbehörde betreut; Der Begriff „Mitgliedstaat“ darf nicht so ausgelegt werden, dass betroffene Personen in der Schweiz daran gehindert werden, ihre Rechte an ihrem gewöhnlichen Aufenthaltsort (Schweiz) gemäß Klausel 18(c) der EU SCCs gerichtlich geltend zu machen; Soweit beschränkte Übermittlungen ausschließlich dem FADP unterliegen, sind alle Verweise auf die DSGVO in den EU SCCs als Verweise auf das FADP zu verstehen; Soweit beschränkte Übermittlungen sowohl dem FADP als auch der EU-DSGVO unterliegen, sind alle Verweise auf die DSGVO in den EU SCCs als Verweise auf das FADP zu verstehen, soweit die beschränkten Übermittlungen dem FADP unterliegen; Die Swiss SCCs schützen zudem personenbezogene Daten juristischer Personen bis zum Inkrafttreten des revidierten FADP. 7.4. Die Parteien vereinbaren, dass die UK SCCs auf beschränkte Übermittlungen aus dem UK Anwendung finden und die UK SCCs als abgeschlossen gelten (und durch Verweis in diesen AVV einbezogen werden), wie in Anlage C dieses AVV festgelegt.
7.5. Im Falle eines direkten oder indirekten Widerspruchs zwischen einer Bestimmung dieses AVV und SCCs haben die Bestimmungen der jeweils anwendbaren SCCs Vorrang vor den Bedingungen dieses AVV.
8.1. Der Verantwortliche kann während oder nach Beendigung der Vereinbarung die Berichtigung, Löschung, Sperrung und/oder Bereitstellung der personenbezogenen Daten verlangen. Der Verantwortliche erkennt an und stimmt zu, dass der Auftragsverarbeiter das Ersuchen im gesetzlich zulässigen Umfang bearbeitet und es nach Möglichkeit im Einklang mit seinen standardmäßigen Betriebsabläufen angemessen erfüllt.
8.2. Erhält der Auftragsverarbeiter ein Ersuchen einer betroffenen Person in Bezug auf personenbezogene Daten, verweist der Auftragsverarbeiter die betroffene Person an den Verantwortlichen, sofern dies nicht gesetzlich untersagt ist. Der Verantwortliche erstattet dem Auftragsverarbeiter alle Kosten, die durch angemessene Unterstützung bei der Bearbeitung eines Ersuchens einer betroffenen Person entstehen. Soweit der Auftragsverarbeiter gesetzlich verpflichtet ist, der betroffenen Person zu antworten, wird der Verantwortliche den Auftragsverarbeiter entsprechend vollständig unterstützen.
9.1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung seiner Verarbeitungspflichten nachzuweisen, und ermöglicht und unterstützt Audits und Inspektionen.
9.2. Jedes Audit nach diesem AVV besteht aus der Prüfung der neuesten Berichte, Zertifikate und/oder Auszüge, die von einem unabhängigen Prüfer erstellt wurden, der an Vertraulichkeitsbestimmungen gebunden ist, die den in der Vereinbarung festgelegten entsprechen. Sofern die Bereitstellung dieser Unterlagen nach angemessener Einschätzung des Verantwortlichen nicht ausreicht, kann der Verantwortliche ein umfassenderes Audit durchführen, das: (i) auf Kosten des Verantwortlichen erfolgt; (ii) in seinem Umfang auf den Verantwortlichen betreffende Themen beschränkt ist und vorab abgestimmt wird; (iii) während der üblichen Geschäftszeiten des Auftragsverarbeiters und nach angemessener Vorankündigung erfolgt, die mindestens 4 Wochen beträgt, es sei denn, es ist ein identifizierbares wesentliches Problem aufgetreten; und (iv) so durchgeführt wird, dass der laufende Geschäftsbetrieb des Auftragsverarbeiters nicht beeinträchtigt wird.
9.3. Diese Klausel ändert oder beschränkt die Auditrechte des Verantwortlichen nicht; sie dient vielmehr der Klarstellung der Verfahren für Audits, die hiernach durchgeführt werden.
10.1. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich nach Kenntniserlangung (und in jedem Fall innerhalb von 72 Stunden nach Feststellung) über jede Sicherheitsverletzung, die zur zufälligen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt („Verletzung des Schutzes personenbezogener Daten“).
10.2. Im Falle einer Verletzung des Schutzes personenbezogener Daten ergreift der Auftragsverarbeiter alle kommerziell angemessenen Maßnahmen, um die personenbezogenen Daten zu sichern, die Auswirkungen der Verletzung zu begrenzen und den Verantwortlichen bei der Erfüllung seiner Pflichten nach anwendbarem Recht zu unterstützen.
11.1. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über jedes Ersuchen oder jede Beschwerde zur Verarbeitung personenbezogener Daten, die sich nachteilig auf den Verantwortlichen auswirkt, sofern eine solche Mitteilung nicht nach anwendbarem Recht oder aufgrund einer entsprechenden gerichtlichen Anordnung untersagt ist.
11.2. Der Auftragsverarbeiter darf Kopien personenbezogener Daten erstellen und/oder personenbezogene Daten aufbewahren, soweit dies zur Einhaltung gesetzlicher oder regulatorischer Anforderungen erforderlich ist, einschließlich – aber nicht beschränkt auf – Aufbewahrungspflichten.
11.3. Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessenem Umfang bei der Erfüllung der Pflicht des Verantwortlichen zur Durchführung von Datenschutz-Folgenabschätzungen (DPIAs), unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter verfügbaren Informationen.
11.4. Der Verantwortliche informiert den Auftragsverarbeiter innerhalb angemessener Frist über Änderungen anwendbarer Datenschutzgesetze, -kodizes oder -vorschriften, die die vertraglichen Pflichten des Auftragsverarbeiters beeinflussen können. Der Auftragsverarbeiter reagiert innerhalb angemessener Frist hinsichtlich der erforderlichen Änderungen an den Bedingungen dieses AVV oder an den technischen und organisatorischen Maßnahmen zur Aufrechterhaltung der Compliance. Kann der Auftragsverarbeiter notwendige Änderungen nicht umsetzen, kann der Verantwortliche den Teil bzw. die Teile der Services kündigen, die zur Nicht-Compliance führen. Soweit andere Teile der erbrachten Services von solchen Änderungen nicht betroffen sind, bleibt deren Erbringung unberührt.
11.5. Der Verantwortliche und der Auftragsverarbeiter und – soweit anwendbar – deren Vertreter arbeiten auf Anfrage mit einer Aufsichtsbehörde bei der Erfüllung ihrer jeweiligen Pflichten nach diesem AVV und Datenschutzrecht zusammen.
12.1. Die in der Vereinbarung festgelegten Haftungsbeschränkungen gelten für alle Ansprüche aufgrund eines Verstoßes gegen die Bedingungen dieses AVV.
12.2. Die Parteien vereinbaren, dass der Auftragsverarbeiter für Verstöße gegen diesen AVV haftet, die durch Handlungen oder Unterlassungen oder Fahrlässigkeit seiner Unterauftragsverarbeiter verursacht werden, in demselben Umfang, in dem der Auftragsverarbeiter haften würde, wenn er die Services jedes Unterauftragsverarbeiters direkt nach den Bedingungen dieses AVV erbringen würde – vorbehaltlich etwaiger Haftungsbeschränkungen in der Vereinbarung.
12.3. Die Parteien vereinbaren, dass der Verantwortliche für Verstöße gegen diesen AVV haftet, die durch Handlungen oder Unterlassungen oder Fahrlässigkeit seiner Affiliates verursacht werden, als wären diese Handlungen, Unterlassungen oder Fahrlässigkeit vom Verantwortlichen selbst begangen worden.
12.4. Der Verantwortliche ist nicht berechtigt, denselben Schaden mehrfach ersetzt zu verlangen.
13.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur für die Dauer dieses AVV. Die Laufzeit dieses AVV beginnt am Datum des Inkrafttretens der Vereinbarung und dieser AVV endet automatisch mit der Beendigung oder dem Ablauf der Vereinbarung.
14.1. Der Auftragsverarbeiter löscht oder gibt – nach Wahl des Verantwortlichen – personenbezogene Daten an den Verantwortlichen zurück, sofern innerhalb von 30 Tagen nach Ende der Erbringung der Services ein entsprechendes schriftliches Ersuchen eingeht. Der Auftragsverarbeiter löscht in jedem Fall alle Kopien personenbezogener Daten in seinen Systemen innerhalb von 1 Jahr ab dem Wirksamkeitsdatum der Beendigung der Vereinbarung oder der Deaktivierung des Kontos des Verantwortlichen, sofern nicht anwendbares Recht oder Vorschriften die Speicherung personenbezogener Daten nach der Beendigung verlangen.
15.1. Dieser AVV stellt die gesamte Vereinbarung der Parteien in Bezug auf den hierin geregelten Gegenstand dar.
15.2. Sollte eine Bestimmung dieses AVV unwirksam sein oder werden, bleibt die Rechtswirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung gilt eine wirksame Bestimmung als vereinbart, die dem wirtschaftlich Gewollten der Parteien am nächsten kommt. Entsprechendes gilt für Regelungslücken.
15.3. Vorbehaltlich entgegenstehender Bestimmungen der SCCs unterliegt dieser AVV dem Recht von England und Wales. Für die Beilegung aller Streitigkeiten aus diesem AVV sind die Gerichte Englands ausschließlich zuständig.
15.4. Die Parteien vereinbaren, dass dieser AVV Bestandteil der Vereinbarung ist und deren Bedingungen unterliegt.
Liste der Parteien, Beschreibung der Verarbeitung und Übermittlung personenbezogener Daten, Zuständige Aufsichtsbehörde
A. Liste der Parteien
| bezeichnet den Kunden. | |
| Adresse: | Wie für den Kunden in der Vereinbarung angegeben. |
| Name, Position und Kontaktdaten der Kontaktperson: | Wie vom Kunden in seinem Konto angegeben und für Benachrichtigungs- und Abrechnungszwecke genutzt. |
| Wie vom Kunden in seinem Konto angegeben und für Benachrichtigungs- und Abrechnungszwecke genutzt. | Nutzung der Services. |
| Unterschrift und Datum: | Mit Abschluss der Vereinbarung gilt der Exporteur als Unterzeichner der in diesen AVV einbezogenen SCCs einschließlich ihrer Anhänge – mit Wirkung zum Datum des Inkrafttretens der Vereinbarung. |
| Rolle: | Verantwortlicher. |
| Name des Vertreters (falls anwendbar): | Jeder UK- oder EU-Vertreter, der in der Datenschutzerklärung des Exporteurs benannt ist. |
| bezeichnet die Multiply Software Limited. | |
| Adresse: | 2 Leman Street, London, E1W 9US, Vereinigtes Königreich |
| Name, Position und Kontaktdaten der Kontaktperson: | Julien Demoor Chief Executive Officer
|
| Tätigkeiten im Zusammenhang mit den gemäß SCCs übermittelten Daten: | Bereitstellung von Cloud-Computing-Lösungen für den Exporteur, in deren Rahmen der Importeur personenbezogene Daten auf Weisung des Exporteurs gemäß den Bedingungen der Vereinbarung verarbeitet. |
| Unterschrift und Datum: | Mit Abschluss der Vereinbarung gilt der Exporteur als Unterzeichner der in diesen AVV einbezogenen SCCs einschließlich ihrer Anhänge – mit Wirkung zum Datum des Inkrafttretens der Vereinbarung. |
| Rolle: | Auftragsverarbeiter. |
| Kategorien betroffener Personen: | Mitarbeiter, Beauftragte, Berater, Consultants und Freelancer des Verantwortlichen (natürliche Personen). Nutzer, Affiliates und sonstige Teilnehmer, die vom Verantwortlichen autorisiert sind, gemäß den Bedingungen der Vereinbarung auf die Services zuzugreifen oder sie zu nutzen. |
| Kategorien personenbezogener Daten: | Kategorien personenbezogener Daten: Der Verantwortliche kann personenbezogene Daten in die Services einstellen; Umfang und Inhalt werden vom Verantwortlichen bestimmt und kontrolliert. Die personenbezogenen Daten umfassen unter anderem:
|
| Sensible Daten: | Es werden keine sensiblen Daten verarbeitet oder übermittelt; solche Daten dürfen auch nicht in den Inhalten oder Anhängen von E-Mails enthalten sein. |
| Häufigkeit der Verarbeitung und Übermittlung (z. B. einmalig oder fortlaufend): | Fortlaufend für die Dauer der Vereinbarung. |
| Art der Verarbeitung: | Verarbeitungsvorgänge umfassen unter anderem:
|
| Zweck(e) der Datenübermittlung und weiteren Verarbeitung: | Personenbezogene Daten werden an Subunternehmer übermittelt, die bestimmte personenbezogene Daten verarbeiten müssen, um ihre Services für den Auftragsverarbeiter zu erbringen – als Bestandteil der Services, die der Auftragsverarbeiter dem Verantwortlichen bereitstellt. |
| Zeitraum, für den personenbezogene Daten gespeichert werden, oder – falls nicht möglich – die Kriterien zur Bestimmung dieses Zeitraums: | Sofern nicht schriftlich anders vereinbart, für die Dauer der Vereinbarung, vorbehaltlich Klausel 14 des AVV. |
| Bei Übermittlungen an (Unter-)Auftragsverarbeiter: Gegenstand, Art und Dauer der Verarbeitung angeben: | Die unter https://multiply.cloud/en/sub-processor-list/ veröffentlichte Liste der Unterauftragsverarbeiter führt die von jedem Unterauftragsverarbeiter verarbeiteten personenbezogenen Daten sowie die von ihm erbrachten Services auf. |
| Benennen Sie die zuständige(n) Aufsichtsbehörde(n) (z. B. gemäß Klausel 13 der SCCs) | Soweit die EU-DSGVO gilt: die irische Datenschutzbehörde – Data Protection Commission (DPC). Soweit die UK DSGVO gilt: das UK Information Commissioner’s Office (ICO). Soweit das FADP gilt: der Swiss Federal Data Protection and Information Commissioner (FDPIC). |
Anlage B
Technische und organisatorische Sicherheitsmaßnahmen
(einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit)
Nachfolgend finden Sie eine Beschreibung der vom Auftragsverarbeiter umgesetzten technischen und organisatorischen Maßnahmen (einschließlich relevanter Zertifizierungen), um ein angemessenes Sicherheitsniveau zu gewährleisten – unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen.
Soweit anwendbar dient diese Anlage B als Anhang II zu den SCCs.
| Maßnahme | Beschreibung |
| Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten | Zum Zweck der Übermittlungskontrolle wird eine Verschlüsselungstechnologie eingesetzt. Die Eignung einer Verschlüsselungstechnologie wird am Schutzzweck gemessen. Archivierte Daten des Verantwortlichen werden im Ruhezustand mit AES256-Bit-Verschlüsselung verschlüsselt. Daten bei der Übertragung werden durch Transport Layer Security („TLS“) geschützt. |
| Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und Services | Der Zugriff auf Daten, die zur Erfüllung der jeweiligen Aufgabe erforderlich sind, wird innerhalb der Systeme und Anwendungen durch ein entsprechendes Rollen- und Berechtigungskonzept sichergestellt. Nach den Prinzipien „least privilege“ und „need-to-know“ erhält jede Rolle nur die Rechte, die für die Erfüllung der jeweiligen Aufgabe durch die Person notwendig sind. Zur Aufrechterhaltung der Zugriffskontrolle wird – soweit zur risikobasierten Absicherung sensibler Daten angemessen – Verschlüsselung nach dem Stand der Technik auf die personenbezogenen Daten selbst angewendet. |
| Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung sicherzustellen | Der Auftragsverarbeiter führt mehrere interne Audits durch. Der Auftragsverarbeiter strebt an, Audits zu automatisieren; daher ist der Großteil des Monitorings seiner Infrastruktur automatisiert, läuft 24/7 und basiert auf verschiedenen Frameworks (CIS, NEST usw.). Der Auftragsverarbeiter lässt einmal pro Kalenderjahr ein externes Security- und Compliance-Audit durchführen. |
| Maßnahmen zur Nutzeridentifikation und Autorisierung | Der Fernzugriff auf die Datenverarbeitungssysteme ist nur über den sicheren VPN-Tunnel des Auftragsverarbeiters möglich. Nachdem sich Nutzer zuerst am sicheren VPN-Tunnel authentifiziert haben, erfolgt die Autorisierung durch Eingabe eines eindeutigen Benutzernamens und Passworts gegenüber einem zentralen Verzeichnisdienst. Sämtliche Zugriffsversuche – erfolgreiche wie auch erfolglose – werden protokolliert und überwacht. |
| Maßnahmen zum Schutz von Daten bei der Übertragung | Daten bei der Übertragung werden durch Transport Layer Security („TLS“) geschützt. |
| Maßnahmen zum Schutz von Daten bei der Speicherung | Personenbezogene Daten werden nur intern sowie auf Servern von Rechenzentren Dritter gespeichert. Archivierte Daten des Verantwortlichen werden im Ruhezustand verschlüsselt, und Daten bei der Übertragung werden durch Transport Layer Security („TLS“) geschützt. |
| Maßnahmen zur internen IT- und IT-Sicherheits-Governance sowie zum Management | Mitarbeiter werden angewiesen, personenbezogene Daten ausschließlich im Rahmen und zu den Zwecken ihrer Aufgaben (z. B. Servicebereitstellung) zu erheben, zu verarbeiten und zu nutzen. Auf technischer Ebene umfasst die Mandantenfähigkeit eine Trennung von Funktionen sowie eine angemessene Trennung von Test- und Produktionssystemen. Personenbezogene Daten des Verantwortlichen werden so gespeichert, dass sie logisch von anderen Kundendaten getrennt sind. |
| Maßnahmen zur Gewährleistung der Datenminimierung | Wenn personenbezogene Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr erforderlich sind, werden sie unverzüglich gelöscht. Zu beachten ist, dass personenbezogene Daten bei jeder Löschung zunächst gesperrt und erst mit einer gewissen Verzögerung endgültig gelöscht werden. Dies dient dazu, versehentliche Löschungen oder mögliche vorsätzliche Beschädigungen zu verhindern. |
| Maßnahmen zur Sicherstellung der Datenqualität | Alle Daten, über die der Auftragsverarbeiter verfügt, werden vom Verantwortlichen bereitgestellt. Der Auftragsverarbeiter bewertet die Qualität der vom Verantwortlichen bereitgestellten Daten nicht. Der Auftragsverarbeiter stellt innerhalb seines Produkts Reporting-Tools bereit, um dem Verantwortlichen zu helfen, die gespeicherten Daten zu verstehen und zu validieren. |
| Maßnahmen zur Gewährleistung einer begrenzten Datenaufbewahrung | Der Auftragsverarbeiter verwendet für alle von ihm gespeicherten Daten ein Datenklassifizierungsschema, und seine Aufbewahrungsrichtlinie legt fest, wie jede Datenart aufbewahrt wird. Wird ein Datensatz mit personenbezogenen Daten gelöscht, wird er dauerhaft aus den aktiven Datenbanken entfernt. Die Daten bleiben in Backups gespeichert, bis diese gemäß der Aufbewahrungsrichtlinie durch neuere Backups ersetzt (rotiert) werden. |
| Maßnahmen zur Gewährleistung der Rechenschaftspflicht | Der Auftragsverarbeiter überprüft seine internen Informationssicherheitsrichtlinien halbjährlich, um sicherzustellen, dass sie weiterhin relevant sind und eingehalten werden. Alle Mitarbeiter, die mit sensiblen Daten umgehen, müssen die Informationssicherheitsrichtlinien anerkennen. Diese Mitarbeiter werden einmal pro Jahr zu den Informationssicherheitsrichtlinien nachgeschult. Für Mitarbeiter, die die Informationssicherheitsrichtlinien nicht einhalten, existiert eine Disziplinarrichtlinie. |
| Maßnahmen des (Unter-)Auftragsverarbeiters, um den Verantwortlichen unterstützen zu können (und bei Übermittlungen von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter: den Datenexporteur). | Die Übermittlung personenbezogener Daten an Dritte (z. B. Kunden, Subunternehmer, Service Provider) erfolgt nur, wenn ein entsprechender Vertrag besteht, und nur für die jeweiligen Zwecke. Werden personenbezogene Daten außerhalb des EWR übermittelt, stellt der Auftragsverarbeiter sicher, dass am Zielort bzw. bei der Zielorganisation ein angemessenes Datenschutzniveau gemäß den Datenschutzanforderungen der Europäischen Union besteht, z. B. durch Verträge auf Grundlage der EU SCCs. |
Anlage C
International Data Transfer Addendum zu den Standardvertragsklauseln der EU-Kommission
VERSION B1.0, in Kraft seit 21. März 2022
Dieses Addendum wurde vom Information Commissioner für Parteien herausgegeben, die beschränkte Übermittlungen vornehmen. Der Information Commissioner ist der Auffassung, dass es geeignete Garantien für beschränkte Übermittlungen bietet, wenn es als rechtsverbindlicher Vertrag geschlossen wird.
Teil 1: Tabellen
Tabelle 1: Parteien
| Startdatum | Das in Anhang I der genehmigten EU SCCs genannte Datum. | - |
| Die Parteien | Exporteur (der die beschränkte Übermittlung sendet) | Importeur (der die beschränkte Übermittlung empfängt) |
| Angaben zu den Parteien | Vollständiger rechtlicher Name:. Hauptanschrift: Offizielle Registrierungsnummer (falls vorhanden) (Handelsregisternummer oder ähnlicher Identifikator): | Vollständiger rechtlicher Name: Hauptanschrift: Offizielle Registrierungsnummer (falls vorhanden) (Handelsregisternummer oder ähnlicher Identifikator): |
| Hauptkontakt | Vollständiger Name (optional): Jobtitel: Kontaktdaten einschließlich E-Mail: | Vollständiger Name (optional): Jobtitel: Kontaktdaten einschließlich E-Mail: |
| Unterschrift (falls für die Zwecke von Abschnitt 2 erforderlich) | - | - |
Tabelle 2: Ausgewählte SCCs, Module und ausgewählte Klauseln
| Addendum EU SCCs | die genehmigten EU SCCs einschließlich der Appendix Information und mit nur den folgenden Modulen, Klauseln oder optionalen Bestimmungen der genehmigten EU SCCs, die für die Zwecke dieses Addendums in Kraft gesetzt werden: | ||||
| Modul | Aktives Modul | Klausel 11 (Option) | Klausel 9a Allgemeine Autorisierung | Klausel 9a (Frist) | Werden vom Importeur erhaltene personenbezogene Daten mit vom Exporteur erhobenen personenbezogenen Daten zusammengeführt? |
| 1 | false | nicht verwendet | - | - | - |
| 2 | true | nicht verwendet | true | 30 Tage | - |
| 3 | true | nicht verwendet | true | 30 Tage | - |
| 4 | ja/nein | nicht verwendet | - | - | ja/nein |
Tabelle 3: Appendix Information
„Appendix Information“ bezeichnet die Informationen, die für die ausgewählten Module gemäß dem Anhang der genehmigten EU SCCs (mit Ausnahme der Parteien) bereitzustellen sind und die für dieses Addendum festgelegt sind in:
| Anhang 1A: Liste der Parteien: Wie in Anhang I der genehmigten EU SCCs festgelegt |
| Anhang 1B: Beschreibung der Übermittlung: Wie in Anhang I der genehmigten EU SCCs festgelegt |
| Anhang II: Technische und organisatorische Maßnahmen einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit: Wie in Anhang II der genehmigten EU SCCs festgelegt |
Tabelle 4: Beendigung dieses Addendums bei Änderungen des genehmigten Addendums
| Beendigung dieses Addendums bei Änderungen des genehmigten Addendums | Welche Parteien dieses Addendum gemäß Abschnitt 19 beenden können: Importeur Exporteur |
Teil 2: Zwingende Klauseln
Abschluss dieses Addendums
Auslegung dieses Addendums
| Addendum | Dieses International Data Transfer Addendum, bestehend aus diesem Addendum unter Einbeziehung der Addendum EU SCCs. |
| Addendum EU SCCs | Die Version(en) der genehmigten EU SCCs, an die dieses Addendum gemäß Tabelle 2 angehängt ist, einschließlich der Appendix Information. |
| Appendix Information | Wie in Tabelle 3 festgelegt. |
| Geeignete Garantien | Das Schutzniveau für personenbezogene Daten und die Rechte betroffener Personen, das nach UK Data Protection Laws erforderlich ist, wenn Sie eine beschränkte Übermittlung auf Grundlage von Standarddatenschutzklauseln nach Artikel 46(2)(d) UK DSGVO vornehmen. |
| Genehmigtes Addendum | Das vom ICO herausgegebene Muster-Addendum, das gemäß s119A des Data Protection Act 2018 am 2. Februar 2022 dem Parlament vorgelegt wurde, in der gemäß Abschnitt 18 überarbeiteten Fassung. |
| Genehmigte EU SCCs | Die Standardvertragsklauseln, wie im Anhang des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 festgelegt. |
| ICO | Der Information Commissioner. |
| Beschränkte Übermittlung | Eine Übermittlung, die unter Kapitel V der UK DSGVO fällt. |
| UK | Das Vereinigte Königreich Großbritannien und Nordirland. |
| UK Data Protection Laws | Alle jeweils geltenden Gesetze im UK in Bezug auf Datenschutz, die Verarbeitung personenbezogener Daten, Privatsphäre und/oder elektronische Kommunikation, einschließlich der UK DSGVO und des Data Protection Act 2018. |
| UK DSGVO | Wie in Abschnitt 3 des Data Protection Act 2018 definiert. |
4. Dieses Addendum ist stets so auszulegen, dass es mit den UK Data Protection Laws im Einklang steht und die Pflicht der Parteien erfüllt, geeignete Garantien bereitzustellen.
Soweit Bestimmungen der Addendum EU SCCs die genehmigten SCCs in einer Weise ändern, die nach den genehmigten EU SCCs oder dem genehmigten Addendum nicht zulässig ist, werden diese Änderung(en) nicht in dieses Addendum aufgenommen; an ihre Stelle tritt die entsprechende Bestimmung der genehmigten EU SCCs.
Bei Unstimmigkeiten oder Konflikten zwischen UK Data Protection Laws und diesem Addendum gelten die UK Data Protection Laws.
Ist die Bedeutung dieses Addendums unklar oder gibt es mehr als eine Auslegung, gilt die Auslegung, die am ehesten mit UK Data Protection Laws übereinstimmt.
Verweise auf Gesetze (oder bestimmte Gesetzesbestimmungen) beziehen sich auf diese Gesetze (oder Bestimmungen) in der jeweils geltenden Fassung. Dies schließt Fälle ein, in denen diese Gesetze (oder Bestimmungen) nach Abschluss dieses Addendums konsolidiert, neu erlassen und/oder ersetzt wurden.
Rangfolge
Obwohl Klausel 5 der genehmigten EU SCCs vorsieht, dass die genehmigten EU SCCs Vorrang vor allen damit zusammenhängenden Vereinbarungen zwischen den Parteien haben, vereinbaren die Parteien, dass für beschränkte Übermittlungen die Rangfolge in Abschnitt 10 gilt.
Bei Unstimmigkeiten oder Konflikten zwischen dem genehmigten Addendum und den Addendum EU SCCs (jeweils soweit anwendbar) hat das genehmigte Addendum Vorrang vor den Addendum EU SCCs – außer wenn (und soweit) die widersprüchlichen oder konflikthaften Bedingungen der Addendum EU SCCs einen höheren Schutz für betroffene Personen bieten; in diesem Fall haben diese Bedingungen Vorrang vor dem genehmigten Addendum.
Soweit dieses Addendum Addendum EU SCCs einbezieht, die zum Schutz von Übermittlungen geschlossen wurden, die der Datenschutz-Grundverordnung (EU) 2016/679 unterliegen, erkennen die Parteien an, dass nichts in diesem Addendum diese Addendum EU SCCs beeinträchtigt.
Einbeziehung und Änderungen der EU SCCs
a. sie zusammen für Datenübermittlungen funktionieren, die der Datenexporteur an den Datenimporteur vornimmt, soweit UK Data Protection Laws für die Verarbeitung des Datenexporteurs bei der Durchführung dieser Übermittlung gelten, und sie geeignete Garantien für diese Datenübermittlungen bieten;
b. die Abschnitte 9 bis 11 Klausel 5 (Rangfolge) der Addendum EU SCCs außer Kraft setzen; und
c. dieses Addendum (einschließlich der darin einbezogenen Addendum EU SCCs) (1) dem Recht von England und Wales unterliegt und (2) jede daraus entstehende Streitigkeit durch die Gerichte von England und Wales entschieden wird, jeweils sofern nicht die Gesetze und/oder Gerichte Schottlands oder Nordirlands von den Parteien ausdrücklich gewählt wurden.
Sofern die Parteien keine alternativen Änderungen vereinbart haben, die die Anforderungen von Abschnitt 12 erfüllen, gelten die Bestimmungen von Abschnitt 15.
Änderungen an den genehmigten EU SCCs dürfen – außer zur Erfüllung der Anforderungen von Abschnitt 12 – nicht vorgenommen werden.
Die folgenden Änderungen an den Addendum EU SCCs (für die Zwecke von Abschnitt 12) werden vorgenommen:
a. Verweise auf die „Klauseln“ bedeuten dieses Addendum unter Einbeziehung der Addendum EU SCCs;
b. In Klausel 2 werden die Worte gestrichen:
„and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679“;
c. Klausel 6 (Beschreibung der Übermittlung(en)) wird ersetzt durch:
„The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter’s processing when making that transfer.“;
d. Klausel 8.7(i) von Modul 1 wird ersetzt durch:
„it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer“;
e. Klausel 8.8(i) der Module 2 und 3 wird ersetzt durch:
„the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;“
f. Verweise auf „Regulation (EU) 2016/679“, „Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)“ und „that Regulation“ werden jeweils ersetzt durch „UK Data Protection Laws“. Verweise auf bestimmte Artikel von „Regulation (EU) 2016/679“ werden durch den entsprechenden Artikel oder Abschnitt der UK Data Protection Laws ersetzt;
g. Verweise auf Regulation (EU) 2018/1725 werden entfernt;
h. Verweise auf die „European Union“, „Union“, „EU“, „EU Member State“, „Member State“ und „EU or Member State“ werden jeweils ersetzt durch „UK“;
i. Der Verweis auf „Clause 12(c)(i)“ in Klausel 10(b)(i) von Modul 1 wird ersetzt durch „Clause 11(c)(i)“;
j. Klausel 13(a) und Teil C von Anhang I werden nicht verwendet;
k. „competent supervisory authority“ und „supervisory authority“ werden jeweils ersetzt durch „Information Commissioner“;
l. In Klausel 16(e) wird Unterabsatz (i) ersetzt durch:
„the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;“;
m. Klausel 17 wird ersetzt durch:
„These Clauses are governed by the laws of England and Wales.“;
n. Klausel 18 wird ersetzt durch:
„Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts.“; und
o. Die Fußnoten zu den genehmigten EU SCCs sind nicht Bestandteil dieses Addendums, ausgenommen die Fußnoten 8, 9, 10 und 11.
Änderungen dieses Addendums
Die Parteien können vereinbaren, Klauseln 17 und/oder 18 der Addendum EU SCCs so zu ändern, dass sie auf die Gesetze und/oder Gerichte Schottlands oder Nordirlands verweisen.
Wenn die Parteien das Format der in Teil 1: Tabellen des genehmigten Addendums enthaltenen Informationen ändern möchten, können sie dies durch eine schriftliche Vereinbarung tun, sofern die Änderung die geeigneten Garantien nicht verringert.
Von Zeit zu Zeit kann das ICO ein überarbeitetes genehmigtes Addendum herausgeben, das:
a. angemessene und verhältnismäßige Änderungen am genehmigten Addendum vornimmt, einschließlich der Korrektur von Fehlern im genehmigten Addendum; und/oder
b. Änderungen der UK Data Protection Laws widerspiegelt; Das überarbeitete genehmigte Addendum legt das Startdatum fest, ab dem die Änderungen wirksam sind, und ob die Parteien dieses Addendum einschließlich der Appendix Information überprüfen müssen. Dieses Addendum wird automatisch entsprechend dem überarbeiteten genehmigten Addendum ab dem genannten Startdatum geändert.
a. ihrer direkten Kosten zur Erfüllung ihrer Pflichten aus dem Addendum; und/oder
b. ihres Risikos aus dem Addendum,
und hat diese Partei in beiden Fällen zuvor angemessene Schritte unternommen, um diese Kosten oder Risiken zu reduzieren, sodass sie nicht wesentlich und unverhältnismäßig sind, dann kann diese Partei dieses Addendum zum Ende einer angemessenen Kündigungsfrist beenden, indem sie der anderen Partei vor dem Startdatum des überarbeiteten genehmigten Addendums eine schriftliche Kündigung mit dieser Frist zustellt.
Wow! Multiply hat
die Buy Box-Gewinne auf 80% gesteigert, den Umsatz um 32% erhöht und die Gewinne dort maximiert, wo wir keine Konkurrenz haben. Testphase vorbei, jetzt vollständig angemeldet. Vielen Dank!
Starten Sie in nur wenigen Klicks!
Entdecken Sie die Tools, die Sie brauchen