Standardvertragsklauseln für Kunden (SCC) (Datenverantwortlicher zu Datenverarbeiter)
Diese Standardvertragsklauseln stellen einen Anhang und Bestandteil der Datenverarbeitungsbedingungen von monday.com dar, die unter https://www.monday.com/terms/dpa verfügbar sind. Darüber hinaus sind diese Bedingungen als Anhang und Bestandteil aller weiteren Vereinbarungen zwischen dem Kunden und monday.com zu sehen und legen Sie Bedingungen für die verarbeitung personenbezogener Daten entsprechend fest, die in den Kundendaten inbegriffen sind (die „DPA”, Abkürzung für „Vereinbarung zur Verarbeitung von Daten”). Sofern nicht anderweitig in diesem Anhang erläutert, sind die in diesen Standardvertragsklauseln aufgeführten Begriffe wie in der DPA zu interpretieren.
ABSCHNITT I
Paragraf 1
Zweck und Umfang
(a) Der Zweck dieser Standardvertragsklauseln besteht darin,d ie Einhaltung der EU-Datenschutzbedingung DSGVO (EU) 2016/679 des EU-Parlaments und Rates der Europäischen Union vom 27. April 2016 zum Schutz der Daten natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten und dem freien Datenverkehr dieser Daten zu entsprechen. Dies bezieht sich ebenfalls auf die Übertragung dieser Daten in Länder außerhalb der EU.
(b) Die Vertragsparteien sind:
(i) Die natürlichen oder juristischen Personen, öffentlichen Behörden/Agenturen oder andere Personen (nachfolgend als „natürliche oder juristische Personen” bezeichnet), welche die Daten entsprechend Anhang I.A übermitteln (im Folgenden als „Datenexporteur” bezeichet).
(ii) Die juristischen Personen in einem Drittland (außerhalb der EU), welche die personenbezogenen Daten direkt oder indirekt (durch eine weitere Partei dieser Bedingungen) vom Datenexporteuer erhalten, entsprechend der Bedingungen von Anhang I.A (im Folgenden jeweils als „Datenimporteur” bezeichnet)
Diese Vertragsparteien vereinbaren die folgenden Standardvertragsklauseln (nachfolgend als „Bedingungen” bezeichnet).
(c) Diese Bedingungen gelten unter Berücksichtigung der Bedingungen von Anhang I.B zur Übertragung personenbezogener Daten.
(d) Der Anhang zu diesen Bedingungen beinhaltet die Anhänge, welche einen integralen Bestandteil dieser Bedingungen darstellen.
Paragraf 2
Wirksamkeit und Unveränderlichkeit der Bedingungen
(a) Diese Bedingungen legen die angemessenen Sicherheitsvorkehrungen, einschließlich der vollstreckbaren Rechte der Datensubjekte und der wirksamen Rechtsbehelfe dar, welche entsprechend Artikel 46(1) und Artikel 46(2)(c) der EU-Verordnung 2016/679 bestehen, sowie die Bedingungen in Bezug auf die Übertragung von Daten von Datenverantwortlichen zu Datenverarbeitenden und/oder von Datenverarbeitenden zu Datenverantwortlichen entsprechend der Standardbedingungen von Artikel 28(7) der EU-Verordnung 2016/679, sofern diese nicht verändert werden, mit Ausnahme der Auswahl entsprechender Module bzw. Ergänzungen und Aktualisierungen von Informationen im Anhang. Dies verhindert nicht, dass die Parteien berechtigt sind, die Standardvertragsklauseln entsprechend dieser Bedingungen in einem weiteren vertraglichen Rahmen anzufinden und/oder weitere Bedingungen als zusätzliche Sicherheitsmaßnahmen aufzustellen, sofern diese keinen direkten oder indirekten Widerspruch gegen diese Bedingungen oder die grundlegenden Freiheits- und Datenrechte der Datensubjekte darstellen.
(b) Diese Bedingungen verstehen sich ohne Einschränkung der Verpflichtungen des Datenexporteurs entsprechend der EU-Verordnung 2016/679.
Paragraf 3
Drittbegünstigte
(a) Datensubjekte sind dazu berechtigt, ihre rechtlichen Ansprüche entsprechend dieser Bedingungen als Drittbegünstigte gegenüber dem Datenexporteur und/oder dem Datenimporteur geltend zu machen, mit folgenden Ausnahmen:
(i) Paragraf 1, Paragraf 2, Paragraf 3, Paragraf 6, Paragraf 7
(ii) Paragraf 8.1(b) und 8.9(a), (c), (d), (e)
(iii) Paragraf 9(a), (c), (d) und (e)
(iv) Paragraf 12(a), (d) und (f)
(v) Paragraf 13
(iii) Paragraf 15.1(c), (d) und (e)
(vii) Paragraf 16(e)
(viii) Paragraf 18(a) und (b)
(b) Artikel (a) versteht sich ohne Einschränkung der Rechte von Datensubjekten entsprechend EU-Vorschrift 2016/679.
Paragraf 4
Interpretation
(a) Sofern diese Bedingungen Begriffe nutzen, die in der EU-Richtlinie 2016/679 definiert sind, sind diese Bedingungen wie in der Richtlinie zu interpretieren.
(b) Diese Bedingungen sind im Zusammenhand mit den Bedingungen der EU-Richtlinie 2016/679 zu interpretieren.
(c) Diese Bedingungen sind in keiner Weise zu interpretieren, die einen Widerspruch gegen die Rechte und Bedingungen von EU-Richtlinie 2016/679 zu interpretieren wären.
Paragraf 5
Hierarchie
Im Fall eines Widerspruchs zwischen diesen Bedingungen sowie den Bedingungen der zwischen den Parteien getroffenen Vereinbarungen, die zum Zeitpunkt der Vereinbarung dieser Bedingungen bestehen oder danach abgeschlossen werden, haben diese Bedingungen Vorrang.
Paragraf 6
Beschreibung der Übertragung(en)
Die Details zu Übertragungen, insbesondere in Bezug auf die Übertragung personenbezogener Daten und der Zwecke einer solchen Übertragung, werden in Anhang I.B festgehalten.
Paragraf 7 – Optional
Keine Anwendung.
ABSCHNITT II – VERPFLICHTUNGEN DER PARTEIEN
Paragraf 8
Sicherheitsmaßnahmen zum Datenschutz
Der Datenexporteur gewährleistet, dass er angemessene Maßnahmen in die Wege geleitet hat, um dafür zu sorgen, dass der Datenimporteur durch Nutzung angemessener technischer und organisatorischer Maßnahmen seinen Verpflichtungen im Rahmen dieser Bedingungen nachzukommen.
8.1 Anweisungen
(a) Der Datenimporteur ist ausschließlich zu einer Verarbeitung personenbezogener Daten im Rahmen der dokumentierten Anweisungen des Datenexporteurs befugt. Der Datenexporteur ist dazu berechtigt, entsprechende Anweisungen über die Vertragslaufzeit hinweg zu erteilen.
(b) Der Datenimporteur ist dazu verpflichtet, den Datenexporteur unverzüglich zu informieren, wenn er nicht in der Lage ist, diese Anweisungen zu befolgen.
8.2 Zweckbindung
Der Datenimporteur ist dazu verpflichtet, personenbezogene Daten ausschließlich für die spezifischen Übertragungszwecke bzw. den Übertragungszweck zu verarbeiten, die in Anhang I.B festgehalten sind, sofern keine weiteren Anweisungen seitens des Datenexporteurs erteilt werden.
8.3 Transparenz
Auf Anfrage ist der Datenexporteur dazu verpflichtet, eine Kopie dieser Bedingungen, einschließlich des Anhanges, der von beiden Parteien vereinbart wird, anzufertigen und dem Datensubjekt kostenlos zur Verfügung zu stellen. Sofern es notwendig ist, Geschäftsgeheimnisse oder andere vertrauliche Informationen zu schützen, einschließlich der in Anhang II beschriebenen Maßnahmen sowie personenbezogene Daten, ist der Datenexporteur dazu berechtigt, einen Teil des Anhangs zu schwärzen, bevor er eine Kopie übermittelt. In diesem Fall ist er jedoch dazu verpflichtet, geschwärzte Inhalte soweit zusammenzufassen, dass daraus für das Datensubjekt seine/ihre Rechte erkenntlich werden. Auf Anfrage sind die Parteien dazu verpflichtet, dem Datensubjekt den Grund für die Schwärzung mitzuteilen, sofern dies möglich ist, ohne die geschwärzten Informationen offenzulegen. Dieser Paragraf versteht sich unbeschadet der Verpflichtungen des Datenexporteurs im Rahmen von Paragraf 13 und 14 der EU-Richtlinie 2016/679.
8.4 Genauigkeit
Sollte der Datenimporteur sich bewusst werden, dass die von ihm erhaltenen personenbezogenen Informationen nicht korrekt bzw. nicht mehr aktuell sind, ist er dazu verpflichtet, den Datenexporteur zeitnah darüber zu informieren. In diesem Fall ist der Datenimporteur dazu verpflichtet, gemeinsam mit dem Datenexporteur daran zu arbeiten, die Daten zu löschen bzw. zu korrigieren.
8.5 Verarbeitungsdauer und Löschung bzw. Rückgabe von Daten
Eine Verarbeitung durch den Datenimporteur darf ausschließlich innerhalb des in Anhang I.B festgehaltenen Zeitrahmens stattfinden. Nach Ende der Bereitstellung der Verarbeitungsdienstleistungen ist der Datenimporteur je nach Wunsch des Datenexporteurs dazu verpflichtet, alle personenbezogenen Daten, die in seinem Auftrag verarbeitet wurden, zu löschen und zu bestätigen, dass diese Löschung erfolgt ist oder dem Datenexporteur alle im Auftrag verarbeiteten Daten zurückzugeben und zu bestätigen, dass jegliche Kopien gelöscht wurden. Bis zur Löschung bzw. Rückgabe ist der Datenimporteur dazu verpflichtet, die Einhaltung dieser Bedingungen zu gewährleisten. Sollten örtliche Gesetze verhindern oder untersagen, dass der Datenimporteur die personenbezogenen Daten zurückgibt bzw. löscht, gewährleistet der Datenimporteur, dass er die Einhaltung dieser Bedingungen weiterhin versichert und Daten nur so lange und in dem Rahme verarbeitet, wie es entsprechend örtlichem Gesetz erforderlich ist. Diese Bedingungen verstehen sich unberührt der Bedingungen von Paragraf 14, insbesondere in Bezug auf die Verpflichtung des Datenimporteurs unter Paragraf 14(e), den Datenexporteur im Laufe der Vertragslaufzeit zu informieren, sollte Grund zu der Annahme bestehen, dass die Daten bzw. die Verarbeitung Gesetzen oder Praktiken unterliegen, welche gegen die Bedingungen von Paragraf 14(a) verstoßen.
8.6 Sicherheit bei der Verarbeitung
(a) Der Datenimporteur und während der Verarbeitung ebenfalls der Datenexporteur, sind dazu verpflichtet, während der Verarbeitung angemessene technische und organisatorische Maßnahmen zu befolgen, welche die Sicherheit der Daten gewährleisten, einschließlich eines Schutzes vor Sicherheitsverstößen, die zu einer unrechtmäßigen Vernichtung, einem Verlust, einer Veränderung, unbefugter Offenlegung oder Zugang zu diesen Daten führen (nachfolgend als „Datenschutzverletzung” bezeichnet). Für eine Prüfung eines angemessenen Sicherheitsniveaus sind von beiden Parteien der aktuellste Stand der Technik, die Umsetzungskosten, die Art, der Umfang, Kontext und der Zweck der Verarbeitung sowie die Risiken in Verbindung mit der Verarbeitung für die Datensubjekte zu berücksichtigen. Die Parteien sind insbesondere dazu verpflichtet, auf eine Verschlüsselung oder Pseudonymisierung zurückzugreifen (einschließlich während der Verarbeitung), sofern der Zweck der Verarbeitung unter Nutzung dieser Maßnahmen möglich ist. Im Falle einer Pseudonomyisierung sollten, wenn möglich, die zusätzlichen Informationen zur Zuordnung personenbezogener Daten zu einem bestimmten Datensubjekt der alleinigen Kontrolle des Datenexporteurs unterliegen. Durch die Erfüllung seiner Verpflichtungen im Rahmen dieses Artikels ist der Datenimporteur dazu verpflichtet, mindestens die in Anhang II aufgeführten technischen und organisatorischen Maßnahmen anzuwenden. Der Datenimporteur ist dazu verpflichtet, regelmäßige Prüfungen durchzuführen, um sicherzustellen, dass diese Maßnahmen auf einem angemessenen Sicherheitsniveau Bestand haben.
(b) Der Datenimporteur ist dazu verpflichtet, seinem Personal die Daten nur in dem Rahmen zur Verfügung zu stellen, indem diese Informationen zur Umsetzung, Verwaltung und Überprüfung der vertraglichen Verpflichtungen erforderlich ist. Er ist dazu verpflichtet, sicherzustellen, dass Personen, die dazu berechtigt sind, personenbezogene Daten zu verarbeiten, an eine Verschwiegenheitserklärung zu binden bzw. dass diese Personen entsprechenden gesetzlichen Verschwiegenheitsverpflichtungen unterliegen.
(c) Im Fall einer Datenschutzverletzung in Bezug auf personenbezogene Daten, welche der Datenimporteur im Rahmen dieser Bedingungen verarbeitet, ist der Datenimporteur dazu verpflichtet, angemessene Schritte durchzuführen, um die Auswirkungen der Datenschutzverletzung, einschließlich deren negativer Folgen, zu minimieren. Darüber hinaus ist der Datenimporteur dazu verpflichtet, den Datenexporteur unverzüglich zu informieren, sobald er sich der Datenschutzverletzung bewusst wird. Eine solche Benachrichtigung muss die Kontaktdaten eines Ansprechpartners/einer Kontaktstelle beinhalten, unter der weitere Daten abgerufen werden können, eine Beschreibung der Art der Datenschutzverletzung (einschließlich, sofern möglich, Kategorien und ungefähre Zahlen der betroffenen Datensubjekte und Datensätze), die wahrscheinlichen Konsequenzen sowie die Maßnahmen, die gegen den Datenschutzverstoß unternommen werden, einschließlich, sofern angemessen, Maßnahmen zur Minderung der möglichen negativen Nebeneffekte. Falls und insofern es nicht möglich sein sollte, alle Informationen gleichzeitig zu übermitteln, soll die erste Benachrichtigung die zu diesem Zeitpunkt verfügbaren Informationen beinhalten. Weitere Informationen sind unverzüglich zur Verfügung zu stellen, sobald sie verfügbar werden.
(d) Der Datenimporteur ist dazu verpflichtet, den Datenexporteur bei der Erfüllung seiner Verpflichtungen in Bezug auf EU-Richtlinie 2016/679 zu unterstützen, insbesondere durch die Benachrichtigung der zuständigen Datenschutzbehörde und der betroffenen Datensubjekte, unter Berücksichtigung der Art und Weise, wie die Informationen dem Datenimporteur zur Verfügung gestellt und von ihm verarbeitet werden.
8.7 Sensible Informationen
Sofern die Übertragung eine Übermittlung personenbezogener Daten beinhaltet, welche ethnische Herkunft, politische Meinungen, religiöse oder philosophische Glaubenssätze, Gewerkschaftsmitgliedschaften, genetische oder biometrische Daten, durch welche die Identität einer natürlichen Person festgestellt werden kann, Daten in Bezug auf die Gesundheit, das Sexualleben oder die geschlechtliche Orientierung einer Person oder Daten in Bezug auf strafrechtliche Verteilungen oder Straftaten beinhalten (nachfolgend als „Sensible Informationen” bezeichnet), ist der Datenimporteur dazu verpflichtet, die in Anhang I.B beschriebenen und/oder zusätzliche Sicherheitsmaßnahmen zu nutzen.
8.8 Weiterübertragung
Der Datenimporteur ist dazu verpflichtet, personenbezogene Daten nur nach schriftlicher Anweisung des Datenexporteurs an Dritte zu übertragen. Darüber hinaus dürfen Daten nur an eine Drittpartei mit Sitz außerhalb der Europäischen Union übermittelt werden (im gleichen Land, im dem sich der Datenimporteur befindet oder in einem anderen Drittstaat, nachfolgend als „Weiterübertragung” bezeichnet), wenn die Drittpartei sich mit den entsprechenden Abschnitten dieser Bedingungen einverstanden erkläre und sich rechtlich an diese bindet, oder unter folgenden Bedingungen:
(i) Die Weiterübertragung findet in ein Land statt, welches einer Angemessenheitsentscheidung entsprechend Paragraf 45 der EU-Richtlinie 2016/679 unterliegt und welche die Weiterübertragung abdeckt.
(ii) Die Drittpartei gewährleistet anderweitige angemessene Sicherheitsmaßnahmen entsprechend Paragraf 46 oder 47 der EU-Richtlinie 2016/679 in Bezug auf die relevante Datenverarbeitung.
(iii) Die Datenübertragung ist für die Einrichtung, Durchsetzung oder Verteidigung rechtlicher Ansprüche im Rahmen spezieller administrativer, behördlicher oder gerichtlicher Verfahren erforderlich ODER
(iv) Die Weiterübertragung ist notwendig, um die wesentlichen Interessen des Datensubjekts oder einer anderen natürlichen Person zu schützen.
Jegliche Weiterübertragung unter Erfüllung jeglicher weiterer Sicherheitsmaßnahmen und Bedingungen dieser Datenschutzbedingungen durch den Datenimporteur erfüllen, insbesondere der Bedingungen zur Zweckbindung.
8.9 Dokumentierung und Einhaltung der Vorschriften
(a) Der Datenimporteur ist dazu verpflichtet, alle Anfragen des Datenexporteurs, die sich auf die Verarbeitung von Daten entsprechend dieser Bedingungen beziehen, unverzüglich und angemessen zu beantworten bzw. darauf zu reagieren.
(b) Die Parteien müssen in der Lage sein, Ihre Einhaltung dieser Bedingungen nachweisen zu können. Insbesondere ist der Datenimporteur dazu verpflichtet, die im Auftrag des Datenexporteurs durchgeführten Verarbeitungsaktivitäten angemessen zu dokumentieren.
(c) Der Datenimporteur ist dazu verpflichtet, dem Datenexporteur auf dessen Verlangen alle notwendigen Informationen zur Verfügung zu stellen, um die Einhaltung seiner Verpflichtungen entsprechend dieser Bedingungen zu belegen, sowie Prüfungen in Bezug auf die Einhaltung dieser Bedingungen in regelmäßigen zeitlichen Abständen zu unterstützen, sofern es Gründe dafür gibt, einen Verstoß gegen die Bedingungen anzunehmen. Beim Beschluss zur Durchführung dieser Prüfungen kann der Datenexporteur sich auf relevante Zertifizierungen seitens des Datenimporteurs berufen.
(d) Der Datenexporteur ist dazu berechtigt, eine solche Prüfung selbst durchzuführen oder einen unabhängigen Prüfer damit zu beauftragen. Prüfungen können Inspektionen vor Ort, in den Geschäftsräumen oder Anlagen der Datenimporteurs umfassen und können, sofern angemessen, mit angemessener Vorankündigung durchgeführt werden.
(e) Die Parteien sind dazu verpflichtet, die in Artikel (b) und (c) aufgeführten Informationen, einschließlich der Prüfungsergebnisse, den zuständigen Aufsichtsbehörden auf Anfrage zur Verfügung zu stellen.
Paragraf 9
Einsatz von Unterauftragsverarbeitern
(a) Der Datenimporteur verfügt über eine generelle Befugnis seitens des Datenexporteurs, Unterauftragsverarbeiter aus einer im Voraus vereinbarten Liste zu beschäftigen. Der Datenimporteur ist insbesondere dazu verpflichtet, den Datenexporteur schriftlich über beabsichtigte Änderungen dieser Liste zu informieren, insofern ein Ersatz oder eine Ergänzung von Unterauftragsverarbeitern mindestens zehn (10) Werktage im Voraus gemeldet wird und der Datenexporteur ausreichend Zeit hat, gegen die Auftragsvergabe an einen oder mehrere Unterauftragsverarbeiter zu widersprechen. Der Datenimporteur ist dazu verpflichtet, dem Datenexporteur die notwendigen Informationen zur Verfügung zu stellen, um von seinem Widerspruchsrecht Gebrauch zu machen.
(b) Sofern der Datenimporteur einen Unterauftragsverarbeiter damit beauftragt, bestimmte Verarbeitungsaufgaben (im Auftrag des Datenexporteurs) durchzuführen, ist dies im Rahmen eines schriftlichen Vertrags festzuhalten, der den Unterauftragsverarbeiter an die grundlegend gleichen Datenschutzbedingungen binden, zu denen der Datenimporteur im Rahmen dieses Vertrags verpflichtet ist, einschließlich der Bedingungen in Bezug auf Drittbegünstigtenrechte für Datensubjekte. Die Parteien vereinbaren, dass der Datenimporteur durch die Erfüllung dieser Bedingung seinen Verpflichtungen entsprechend Paragraf 8.8 nachkommt. Der Datenimporteur ist dazu verpflichtet, sicherzustellen, dass sein Unterauftragsverarbeiter den Verpflichtungen nachkommt, zu welchen der Datenimporteur im Rahmen dieser Bedingungen verpflichtet ist.
(c) Der Datenimporteur ist dazu verpflichtet, dem Datenexporteur auf dessen Aufforderung eine Kopie solcher Verträge mit Unterauftragsverarbeitern und alle entsprechend Anpassungen und Aktualisierungen dieser Bedingungen zur Verfügung zu stellen. Sofern es notwendig ist, um Geschäftsgeheimnisse oder andere vertrauliche Informationen zu schützen, ist der Datenimporteur dabei dazu verpflichtet, den Vertragstext stellenweise zu schwärzen, bevor er dem Datenexporteur eine Kopie zur Verfügung stellt.
(d) Der Datenimporteur behält die vollständige Verantwortung gegenüber dem Datenexporteur für die Erfüllung der Verpflichtungen des Untervertragsverarbeiters im Rahmen seines Vertrags mit dem Datenimporteur. Der Datenimporteur ist dazu verpflichtet, den Datenexporteur über jeglichen Verstoß oder Versäumnisse von Untervertragsverarbeitern gegenüber deren vertraglicher Verpflichtungen zu informieren.
(e) Der Datenimporteur ist dazu verpflichtet, eine Drittbegünstigtenvereinbarung mit dem Untervertragsverarbeiter zu vereinbaren, in deren Rahmen der Datenexporteur in dem Fall, dass der Datenimporteur faktisch oder rechtlich nicht mehr besteht oder insolvent wird, das Recht darauf hat, den Vertrag mit dem Untervertragsverarbeiter zu kündigen und diesen anzuweisen, personenbezogene Daten zu löschen oder zurückzugeben.
Paragraf 10
Rechte der Datensubjekte
(a) Der Datenimporteur ist dazu verpflichtet, den Datenexporteur unverzüglich über jegliche Anfragen seitens eines Datensubjekts zu informieren. Er ist nicht dazu berechtigt, selbst auf eine solche Anfrage zu antworten, sofern der Datenexporteur ihm nicht die ausdrückliche Genehmigung dazu erteilt hat.
(b) Der Datenimporteur ist dazu verpflichtet, den Datenexporteur bei der Erfüllung seiner Verpflichtungen im Rahmen von Anfragen seitens Datensubjekten zu unterstützen, in deren Rahmen diese von ihren Rechten entsprechend EU-Richtlinie 2016/679 Gebrauch machen. In diesem Rahmen legen die Parteien in Anhang II angemessene technische und organisatorische Maßnahmen fest, welche die Art der Verarbeitung, die zu angebotene Unterstützung sowie der Rahmen und Umfang der Unterstützung festgelegt werden.
(c) Bei der Erfüllung seiner Verpflichtungen entsprechend Artikel (a) und (b) ist der Datenimporteur dazu verpflichtet, den Anweisungen des Datenexporteurs zu folgen.
Paragraf 11
Abhilfemaßnahmen
(a) Der Datenimporteur informiert Datensubjekte auf eine transparente und leicht zugängliche Weise, durch individuelle Mitteilungen oder über seine Webseite, über den Ansprechpartner für Beschwerden und dessen/deren Kontaktinformationen. Er ist dazu verpflichtet, alle Beschwerden von Datensubjekten unverzüglich zu bearbeiten.
(b) In einem Streitfall zwischen einem Datensubjekt und einer der Parteien in Bezug auf die Einhaltung dieser Bedingungen ist die betroffene Partei dazu verpflichtet, sich um eine rechtzeitige, einvernehmliche Beilegung des Konflikts zu bemühen. Die Parteien vereinbaren, einander über solche Konflikte auf dem Laufenden zu halten und, falls angemessen, gemeinsam an einer Lösung zu arbeiten.
(c) Sofern ein Datensubjekt Anspruch auf seine Drittbegünstigtenansprüche entsprechend Paragraf 3 erhebt, ist der Datenimporteur dazu verpflichtet, folgende Entscheidungen des Datensubjekts zu akzeptieren:
(i) Einlegen einer Beschwerde an die Aufsichtsbehörde des Mitgliedsstaates, in dem das Datensubjekt seinen/ihren Wohnsitz hat oder Arbeitet, bzw. an eine zuständige Aufsichtsbehörde entsprechend Paragraf 13.
(ii) Weiterleitung des Streitfalls an zuständige Gerichte innerhalb der Auslegung von Paragraf 18.
(d) Die Parteien erklären sich damit einverstanden, dass das Datensubjekt durch eine gemeinnützige Organisation oder einen Verband im Rahmen der Bedingungen von Artikel 80(1) der EU-Richtlinie (EU) 2016/679 vertreten werden kann.
(e) Der Datenimporteur ist dazu verpflichtet, verbindlichen Beschlüssen durch zuständige EU-Gesetze oder Gesetze von EU-Mitgliedsstaaten zu entsprechen.
(f) Der Datenimporteur erklärt sich damit einverstanden, dass Entscheidungen des Datensubjekts sich nicht auf seine/ihre materiellen und prozessualen Rechtsbehelfe entsprechend geltendem Recht auswirken.
Paragraf 12
Haftung
(a) Jede Partei haftet gegenüber anderen Parteien für jegliche Schäden, die sie durch einen Verstoß gegen diese Vertragsbedingungen verursacht.
(b) Der Datenimporteur ist dem Datensubjekt gegenüber haftbar für alle materiellen und nicht-materiellen Schäden, welche der Datenimporteur oder seine Untervertragsverarbeiter dem Datensubjekt durch einen Verstoß gegen die Drittbegünstigtenrechte im Rahmen dieser Bedingungen verursachen und ist dazu verpflichtet, dem Datensubjekt Schadensersatz zu leisten.
(c) Unabhängig von den Bedingungen unter (b) ist der Datenexporteur dem Datensubjekt gegenüber haftbar und das Datensubjekt hat Anspruch auf Schadensersatz für jegliche materiellen oder nicht-materiellen Schäden, welche dem Datenexporteur oder Datenimporteur (oder deren Unterbeauftragten) durch einen Verstoß gegen die Drittbegünstigtenrechte im Rahmen dieser Bedingungen entstehen. Dies versteht sich ohne eine Einschränkung der Haftbarkeit des Datenexporteurs entsprechend EU-Richtlinie 2016/679 oder EU-Richtlinien 2018/1725, sofern der Datenexporteur als Datenverarbeiter im Auftrag eines Datenverantwortlichen tätig ist bzw. diesem gegenüber haftbar ist.
(d) Die Parteien vereinbaren, dass falls der Datenexporteur entsprechend Artikel (c) haftbar für Schäden gemacht werden, die durch den Datenimporteur (oder seine Unterauftragsverarbeiter) verursachte wurden, der Datenexporteur Anspruch auf eine Erstattung des entsprechenden Schadenersatzes zu fordern, insofern der Datenimporteur verantwortlich für den Schaden ist.
(e) Sofern mehr als eine Partei verantwortlich für Schäden ist, welche einem Datensubjekt infolge eines Verstoßes gegen diese Bedingungen entstehen, haften alle verantwortlichen Parteien gesamtschuldnerisch und das Datensubjekt hat Anspruch darauf, eine gerichtliche Klage gegen jede dieser Parteien zu erheben.
(f) Die Parteien vereinbaren, dass wenn eine Partei entsprechend (e) haftbar gemacht wird, diese Anspruch darauf hat, die andere Partei um eine anteilige Rückerstattung des gezahlten Schadenersatzes entsprechend der Schadensverantwortung der anderen Partei einzufordern.
(g) Der Datenimporteur hat kein Recht dazu, sich auf das Verhalten/die Verstöße eines Unterauftragsverarbeiters zu beziehen, um seine eigene Haftbarkeit zu umgehen.
Paragraf 13
Aufsicht
(a) Sofern der Datenexporteur seinen Sitz in einem EU-Mitgliedsstaat hat: Die verantwortliche Aufsichtsbehörde, welche die Verantwortung für die Einhaltung der EU-Richtlinien 2016/679 durch den Datenexporteur in Bezug auf die Datenübertragung hat (wie in Anhang I.C angegeben), agiert als zuständige Aufsichtsbehörde.
Sofern der Datenexport nicht über einen eingetragenen Unternehmenssitz in einem EU-Mitgliedsstaat verfügt, jedoch unter den territorialen Geltungsbereich von EU-Richtlinie 2016/679 und deren Paragraf 3(2) fällt sowie einen Vertreter entsprechend Paragraf 27(1) von EU-Richtlinie 2016/679 ernannt hat: Die Aufsichtsbehörde des EU-Mitgliedsstaats, in welchem der Vertreter entsprechend der Auslegung von Paragraf 27(1) der EU-Richtlinie 2016/679 registriert ist (siehe Anhang I.C), agiert als zuständige Aufsichtsbehörde.
Sofern der Datenexport nicht über einen eingetragenen Unternehmenssitz in einem EU-Mitgliedsstaat verfügt, jedoch unter den territorialen Geltungsbereich von EU-Richtlinie 2016/679 und deren Paragraf 3(2) fällt, ohne jedoch zur Ernennung eines Vertreters entsprechend Paragraf 27(2) von EU-Richtlinie 2016/679 verpflichtet ist: Die Aufsichtsbehörde eines der Mitgliedsstaaten, in welchen die personenbezogenen Daten entsprechend dieser Bedingungen im Rahmen einer Bereitstellung von Waren oder Dienstleistungen übertragen werden, oder des Mitgliedstaats, in welchem diese Tätigkeiten überwacht werden, gilt als zuständige Aufsichtsbehörde.
(b) Der Datenimporteur erklärt sich damit einverstanden, sich dem zuständigen Gerichtsstand und allen Verfahren der zuständigen Aufsichtsbehörde zu unterwerfen, welche die Einhaltung dieser Bedingungen gewährleisten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, auf Anfragen zu reagieren, Prüfungen durchführen zu lassen und eventuellen Maßnahmen der Aufsichtsbehörden zu entsprechen bzw. deren Bedingungen zu erfüllen, einschließlich Abhilfs- und Ausgleichsmaßnahmen. Er ist dazu verpflichtet, die Aufsichtsbehörde schriftlich zu bestätigen, dass die erforderlichen Maßnahmen durchgeführt wurden.
ABSCHNITT III – ÖRTLICHE GESETZE UND VERPFLICHTUNGEN IM FALL EINES ZUGRIFFS DURCH ÖFFENTLICHE BEHÖRDEN
Paragraf 14
Örtliche Gesetze und Verfahren, welche sich auf die Einhaltung dieser Bedingungen auswirken
(a) Die Parteien gewährleisten, dass sie keinen Grund zur Annahme haben, dass die Gesetze oder Verfahren im Bestimmungsland in Bezug auf die Verarbeitung personenbezogener Daten durch den Datenimporteur, einschließlich jeglicher Anforderungen zur Offenlegung personenbezogener Daten gegenüber zuständigen Behörden bzw. eine Zugangsgenehmigung für zuständige Behörden verhindern, dass der Datenimporteur seinen Verpflichtungen im Rahmen dieser Bedingungen nachkommt. Dies basiert auf der Annahme, dass Gesetze und Verfahren in Bezug auf grundlegende Rechte und Freiheiten in einer demokratischen Gesellschaft und der Gewährleistung der Objektiven von Paragraf 23(1) der EU-Richtlinie 2016/679 keinen Widerspruch gegen diese Bedingungen darstellen.
(b) Die Parteien erklären, dass sie bei ihrer Gewährleistung in Artikel (a) insbesondere die folgenden Aspekte berücksichtigt haben:
(i) Die spezifischen Umstände der Übertragung, einschließlich der Länge der Verarbeitungskette, die Anzahl der beteiligten Personen und der verwendeten Übertragungswege, die beabsichtigten Weiterübertragungen, die Art des Empfängers, den Verarbeitungszweck, Kategorien und Format der übertragenen personenbezogenen Daten, den wirtschaftlichen Bereich, in welchem die Übertragung stattfindet und den Standort, an dem die übertragenen Daten gelagert/gespeichert werden.
(ii) Die Gesetze und Praktiken in Drittbestimmungsländern – einschließlich solcher, welche eine Offenlegung der Daten an öffentliche Behörden oder eine Zugangsberechtigung durch öffentliche Behörden erfordern – insofern diese Gesetze und Praktiken auf die spezifischen Umstände der Übertragung anwendbar ist, sowie die geltenden Einschränkungen und Sicherheitsmaßnahmen.
(iii) Alle relevanten vertraglichen, technischen oder organisatorischen Sicherheitsmaßnahmen, welche durchgeführt oder angewendet werden, um die Sicherheitsmaßnahmen entsprechend dieser Bedingungen zu unterstützen, einschließlich Maßnahmen, welche während der Übertragung und Verarbeitung personenbezogener Daten im Bestimmungsland verwendet werden.
(c) Der Datenimporteur gewährleistet, dass er sich im Rahmen seiner Prüfung entsprechend Paragraf (b) angemessen bemüht hat, dem Datenexporteur relevante Informationen zur Verfügung zu stellen und erklärt sich damit einverstanden, dass er weiterhin mit dem Datenexporteur kooperieren wird, um die Einhaltung dieser Bedingungen sicherzustellen.
(d) Die Parteien erklären sich damit einverstanden, die Prüfung entsprechend Paragraf (b) zu dokumentieren und auf Verlangen der zuständigen Aufsichtsbehörde zur Verfügung zu stellen.
(e) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur umgehend zu informieren, sollte er, nach Zustimmung zu diesen Bedingungen für die Vertragslaufzeit, Grund zu der Annahme haben, dass er Gesetzen oder Verfahren unterliegt, welche gegen die Bedingungen von Artikel (a) verstoßen, einschließlich einer Gesetzesänderung in Drittländern oder von Maßnahmen (wie eine Aufforderung zur Offenlegung), welche auf eine praktische Anwendung von Gesetzen hinweist, die gegen die Bedingungen von Artikel (a) verstoßen.
(f) In Folge einer Benachrichtigung entsprechend Artikel (e) oder falls der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur nicht länger in der Lage ist, seinen Verpflichtungen im Rahmen dieser Bedingungen nachzukommen, ist der Datenexporteur dazu verpflichtet, umgehend angemessene Maßnahmen zu bestimmen (z. B. technische oder administrative Maßnahmen, die Sicherheit und Vertraulichkeit gewährleisten), die vom Datenexporteur und/oder Datenimporteur durchzuführen sind. Der Datenexporteur stellt die Datenübertragung ein, wenn er nach eigenem Ermessen feststellt, dass keine angemessenen Sicherheitsmaßnahmen für diese Übertragung gewährleistet sind oder falls er von einer zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall hat der Datenexporteur das Recht, den Vertrag unter Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieser Bedingungen zu kündigen. Sollten mehr als zwei Parteien am Vertrag beteiligt sein, hat der Datenexporteur das Recht dazu, die Kündigung nur der entsprechenden Partei gegenüber auszusprechen, es sei denn, die Parteien haben eine anderweitige Vereinbarung getroffen. Sofern der Vertrag aufgrund dieser Bedingung gekündigt wird, gelten die Bedingungen von Paragraf 16(d) und (e).
Paragraf 15
Verpflichtungen des Datenimporteurs bei einem Zugriff durch öffentliche Behörden
15.1 Benachrichtigung
(a) Der Datenimporteur erklärt sich damit einverstanden, den Datenimporteur und falls möglich, das Datensubjekt (ggf. mit Unterstützung des Datenexporteurs) unter folgenden Umständen umgehend zu benachrichtigen:
(i) Wenn der Datenimporteur eine rechtlich verbindliche Anfrage durch eine öffentliche Behörde, einschließlich durch gerichtliche Behörden, im Rahmen der Gesetze des Bestimmungslandes erhält, die personenbezogenen Daten, welche im Rahmen dieser Bedingungen übertragen wurden, offenzulegen. Eine solche Benachrichtigung muss Informationen zu der Art der angeforderten personenbezogenen Daten, der gesetzlichen Grundlage dafür und die Antwort des Datenimporteurs beinhalten.
(ii) Wenn der Datenimporteur sich eine direkten Zugriffs öffentlicher Behörden auf im Rahmen dieser Bedingungen übertragenen personenbezogenen Daten im Rahmen der Gesetze am Bestimmungsstandort bewusst wird; eine solche Benachrichtigung muss alle Informationen beinhalten, welche dem Importeur zur Verfügung stehen.
(b) Sofern dem Datenimporteur im Rahmen der Gesetze des Bestimmungslandes untersagt ist, den Datenexporteur und/oder das Datensubjekt zu informieren, erklärt der Datenimporteur, alles in seiner Macht stehende zu tun, um einen Verzichtserklärung für dieses Verbot zu bewirken, um in der Lage zu sein, schnellstmöglich so viele Informationen wie möglich teilen zu können. Der Datenimporteur erklärt sich damit einverstanden, seine Bemühungen zu dokumentieren, um sie dem Datenexporteur auf Anfrage zur Verfügung zu stellen.
(c) Sofern entsprechend der Gesetze im Bestimmungsland zulässig, erklärt sich der Datenimporteur damit einverstanden, dem Datenexporteur während der Vertragslaufzeit regelmäßig so viele relevante Informationen zu den erhalten Anfragen zu übermitteln, wie möglich (insbesondere zur Anzahl der Anfragen, Art der angeforderten Daten, anfordernde Behörden, ob Einspruch gegen Anforderungen erhoben wurde, die Ergebnisse dieser Einsprüche usw.)
(d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen entsprechend Artikel (a) bis (c) über die gesamte Vertragslaufzeit hinweg aufzubewahren und auf Anfrage den zuständigen Aufsichtsbehörden zur Verfügung zu stellen.
(e) Artikel (a) bis (c) verstehen sich ohne Einschränkung der Verpflichtungen des Datenimporteurs entsprechend Paragraf 14(e) und Paragraf 16, den Datenexporteur zu informieren, sofern er nicht in der Lage ist, diesen Bedingungen zu entsprechen.
15.2 Legaliätsprüfung und Datenminimierung
(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit der Offenlegungsanfrage zu prüfen, insbesondere, ob die anfragende öffentliche Behörde dazu verpflichtet ist, und die Anfrage zur Offenlegung anzufechten, sollte er nach sorgfältiger Prüfung entscheiden, dass es angemessene Gründe dafür gibt, anzunehmen, dass die Anfrage nach den Gesetzen des Bestimmungslandes, geltenden Verpflichtungen nach internationalem Recht oder den Rechtsprinzipien eines internationalen Komitees unzulässig ist. Der Datenimporteur ist unter den gleichen Bedingungen dazu verpflichtet, mögliche Anfechtungsmaßnahmen zu nutzen. Beim Anfechten einer Anfrage ist der Datenimporteur dazu verpflichtet, einstweilige Maßnahmen in die Wege zu leiten, welche die Auswirkungen der Anfrage aushebeln, bis eine zuständige gerichtliche Behörde über den Sachverhalt entscheidet. Der Datenimporteur ist nicht dazu berechtigt, die angefragten Daten offenzulegen, sofern er nicht entsprechend geltender Verfahrensregeln dazu verpflichtet ist. Diese Bedingungen verstehen sich ohne Einschränkung der Verpflichtung des Datenimporteurs entsprechend Paragraf 14(e).
(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Prüfung und jegliche Anfechtungen von Offenlegungsanfragen innerhalb des zulässigen gesetzlichen Rahmens im Bestimmungsland zu dokumentieren und diese Dokumentation dem Datenexporteur zur Verfügung zu stellen. Darüber hinaus ist er verpflichtet, die Dokumentation auf Anfrage der zuständigen Aufsichtsbehörde mitzuteilen.
(c) Der Datenimporteur erklärt sich damit einverstanden, in seiner Antwort auf eine Offenlegungsanfrage entsprechend einer angemessenen Interpretation der Anfrage so wenige Informationen wie zulässig offenzulegen.
ABSCHNITT IV – SCHLUSSBESTIMMUNGEN
Paragraf 16
Verstoß gegen die Bedingungen und Kündigung
(a) Der Datenimporteur ist dazu verpflichtet, den Datenexporteur umgehend zu informieren, sollte er nicht in der Lage sein, diesen Bedingungen nachzukommen, unabhängig von den Gründen.
(b) Sollte der Datenimporteur gegen diese Bedingungen verstoßen oder nicht in der Lage sein, diesen Bedingungen nachzukommen, ist der Datenexporteur dazu berechtigt, die Übertragung personenbezogener Daten an den Datenimporteur einzustellen, bis die Einhaltung der Bedingungen wieder gewährleistet werden kann oder der Vertrag beendet wird. Dies versteht sich ohne Einschränkung der Bedingungen unter Paragraf 14(f).
(c) Der Datenexporteur hat in folgenden Situationen einen Anspruch auf die Kündigung des Vertrags, in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieser Bedingungen:
(i) Der Datenexporteur hat die Übertragung personenbezogener Daten an den Datenimporteur entsprechend Artikel (b) eingestellt und der Importeur konnte innerhalb eines angemessenen Zeitrahmens, maximal jedoch innerhalb eines Monats nach Einstellung der Übertragung die Einhaltung dieser Bedingungen nicht erneut gewährleisten.
(ii) Der Datenimporteur hat erheblich oder anhaltend gegen diese Bedingungen verstoßen.
(iii) Der Datenimporteur ist nicht in der Lage, dem verbindlichen Beschluss eines zuständigen Gerichts oder einer Aufsichtsbehörde in Bezug auf seine Verpflichtungen im Rahmen dieser Bedingungen nachzukommen.
In diesen Fällen hat er die zuständige Aufsichtsbehörde über den entsprechenden Verstoß zu informieren. Sollten mehr als zwei Parteien am Vertrag beteiligt sein, hat der Datenexporteur das Recht darauf, die Kündigung nur in Bezug auf die relevante Partei auszusprechen, sofern die Parteien keine anderweitige Vereinbarung getroffen haben.
(d) Personenbezogene Daten, welche vor der Kündigung des Vertrags entsprechend Artikel (c) übertragen wurden, sind je nach Wahl des Datenexporteurs sofort an diesen zurückzugeben oder vollständig zu vernichten. Das gleiche gilt für jegliche Kopien dieser Daten. Der Datenimporteur ist dazu verpflichtet, dem Datenexporteur die Löschung der Daten zu bestätigen. Bis zur Rückgabe oder Löschung der Daten ist der Datenimporteur dazu verpflichtet, die Einhaltung dieser Bedingungen weiterhin zu gewährleisten. Sollten örtliche Gesetze für den Datenimporteur gelten, welche eine Rückgabe oder Löschung der übertragenen personenbezogenen Daten untersagen, gewährleistet der Datenimporteur, die Einhaltung dieser Bedingungen fortzusetzen und die Daten nur insofern und so lange zu verarbeiten, wie dies nach lokalem Recht erforderlich ist.
(e) Jede Partei ist dazu berechtigt, ihre Zustimmung zu diesen Bedingungen unter folgenden Bedingungen zurückzuziehen: (i) Sofern die Europäische Kommission einen Beschluss entsprechend Artikel 45(3) von EU-Richtlinie 2016/679 umsetzt, welcher sich auf die Übertragung der personenbezogenen Daten bezieht, die durch diese Bedingungen geregelt wird ODER (ii) Falls EU-Richtlinie 2016/679 Bestandteil des gesetzlichen Rahmens eines Landes wird, in welches die personenbezogenen Daten übertragen werden. Dies versteht sich ohne Einschränkung der anderweitigen Verpflichtungen in Bezug auf die Datenverarbeitung unter EU-Richtlinie 2016/679.
Paragraf 17
Geltendes Recht
Diese Bedingungen unterliegen dem Gesetz eines der EU-Mitgliedsstaaten, sofern diese Gesetze Rechte für Drittbegünstigte zulassen. Die Parteien vereinbaren, dass die Gesetze der Republik Irland Anwendung finden.
Paragraf 18
Gerichtsstandvereinbarung
(a) Jegliche Konflikte in Bezug auf diese Bedingungen sind von den Gerichten eines EU-Mitgliedsstaats beizulegen.
(b) Die Parteien vereinbaren, dass die zuständigen Gerichte die der Republik Irland sind.
(c) Datensubjekte sind zudem dazu berechtigt, gerichtliche Verfahren gegen den Datenexporteur und/oder Datenimporteur in den Gerichten des Mitgliedsstaats vorzubringen, in dem sich ihr Wohnsitz befindet.
(d) Die Parteien vereinbaren, an die Rechtsprechung dieser Gerichte gebunden zu sein.
ANHANG I
A. LISTE DER PARTEIEN
Datenexporteur(e):
Name: Die natürliche oder juristische Person, welche in der Datenschutzerklärung oder im Vertrag als „Kunde“ bezeichnet wird.
Adresse: Die Adresse des Kunden, angegeben in der Datenschutzerklärung oder dem Vertrag.
Name, Position und Kontaktdaten des Ansprechpartners: Die Kontaktdaten des Kunden, festgelegt in der Datenschutzerklärung oder dem Vertrag.
In Bezug auf die Datenübertragung im Rahmen dieser Bedingungen relevante Aktivitäten: Die Aktivitäten, welche in Abschnitt 2.3 und Anhang 1 der Datenschutzerklärung angegeben werden.
Unterschrift und Datum: Durch Abschluss des Vertrags und der Datenschutzerklärung sowie der Nutzung der Dienste für Übertragungen im europäischen Wirtschaftsraum gilt, dass der Datenexporteur die Standardvertragsklauseln und die entsprechenden Anhänge/Ergänzungen akzeptiert.
Rolle (Datenverantwortlicher/Datenverarbeiter): Datenverantwortlicher
Datenimporteur(e):
Name: monday.com, wie in der Datenschutzerklärung identifiziert.
Adresse: Die im Vertrag notierte Anschrift von monday.com
Name, Position und Kontaktdaten des Ansprechpartners: Die im Vertrag angegebenen Kontaktdaten von monday.com
Für die Übertragung der Daten entsprechend dieser Bedingungen relevante Aktivitäten:
Die in Abschnitt 2.3 und Anhang 1 der Datenschutzerklärung angegebenen Aktivitäten.
Unterschrift und Datum: Durch Abschluss des Vertrags und der Datenschutzerklärung sowie dem Umgang mit mit Übertragungen im europäischen Wirtschaftsraum als Datenimporteur im Auftrag des Datenexporteurs gilt, dass der Datenimporteur die Standardvertragsklauseln und die entsprechenden Anhänge/Ergänzungen unterzeichnet hat und akzeptiert.
Rolle (Datenverantwortlicher/Datenverarbeiter): Datenverarbeiter.
B. BESCHREIBUNG DER ÜBERTRAGUNG
Kategorien der Datensubjekte, deren personenbezogene Daten übertragen werden
Die Datensubjekt-Kategorien werden in Anhang 1 (Verarbeitungsdetails) der Datenschutzerklärung beschrieben.
Kategorien der übertragenen personenbezogenen Daten
Die Kategorien der übertragenen personenbezogenen Daten werden in Anhang 1 (Verarbeitungsdetails) der Datenschutzerklärung beschrieben.
Übertragene sensible Informationen (sofern zutreffend) sowie geltende Einschränkungen oder Sicherheitsmaßnahmen, welche die Art der Daten und die damit verbundenen Risiken berücksichtigen, wie zum Beispiel eine Zweckbindung, Zugriffsbeschränkungen (einschließlich Zugang ausschließlich für Personal, das bestimmte Schulungen durchlaufen hat), Aufbewahrung der Dokumentation, welche auf Daten zugreift, Einschränkungen für Weiterübertragungen oder zusätzliche Sicherheitsmaßnahmen.
Die Parteien vereinbaren, dass keine sensiblen Informationen übertragen werden, mit Ausnahme der Bedingungen unter 2.5 der Datenschutzerklärung.
Die Häufigkeit der Übertragung (z. B. ob die Datenübertragung einmalig oder auf kontinuierlicher Basis stattfindet)
Personenbezogene Daten im Rahmen der Nutzung der Dienstleistungen durch den Kunden sowie durch die Übertragung personenbezogener Daten in diesem Rahmen kontinuierlich Übertragen.
Art der Verarbeitung
Die Art der Verarbeitung wird in Anhang 1 (Verarbeitungsdetails) der Datenschutzerklärung erläutert.
Zweck(e) der Datenübertragung und Weiterverarbeitung
Der Zweck der Verarbeitung ist in Anhang 1 (Verarbeitungsdetails) der Datenschutzerklärung erläutert.
Der Zeitrahmen, über den personenbezogene Daten gespeichert werden, oder, wenn dies nicht möglich ist, die Kriterien zur Bestimmung dieses Zeitraums
Der Zeitraum, über den personenbezogene Daten gespeichert werden, entspricht der Vertragslaufzeit, sofern im Vertrag/der Datenschutzerklärung kein abweichender Zeitraum festgelegt wird.
Für Übertragungen an (Unter-)Verarbeitungsbeauftragte sind ebenfalls Zweck, Art und Dauer der Verarbeitung anzugeben
Bei Übertragungen an Untervertragsbeauftragte sind Zweck sowie Art der Verarbeitung unter dem Link zu Abschnitt 5.2.1 der Datenschutzerklärung festgehalten. Die Verarbeitungsdauer durch Untervertragsbeauftragte entspricht der Vertragslaufzeit, sofern keine anderweitige Vereinbarung im Vertrag und/oder der Datenschutzerklärung getroffen wird.
C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE
Angabe der zuständigen Aufsichtsbehörde(n) entsprechend Paragraf 13
Die für den Datenexporteur zuständige Aufsichtsbehörde wird entsprechend der Bedingungen der DSGVO festgelegt.
ANHANG II
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH TECHNISCHER UND ORGANISATORISCHER MASSNAHMEN ZUR GEWÄHRLEISTUNG DER DATENSICHERHEIT
Beschreibung der technischen und organisatorischen Maßnahmen (einschließlich aller relevanten Zertifikate), welche vom Datenimporteur/den Datenimporteuren verwendet werden, um ein angemessenes Sicherheitsniveau zu gewährleisten, unter Berücksichtigung der Art, des Umfangs, von Zusammenhang und Zweck der Verarbeitung, sowie des Risikos in Bezug auf die Rechte und Freiheiten natürlicher Personen
Die technischen und organisatorischen Maßnahmen (einschließlich aller Zertifizierungen seitens des Datenimporteurs) sowie Umfang der notwendigen Unterstützung, um auf Anfragen von Datensubjekten zu reagieren; diese sind in den Datenschutzbedingungen sowie der Sicherheitsdokumentation beschrieben.
Für Übertragungen an (Unter-)Vertragsverarbeiter sind zudem die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die von (Unter-)Vertragsverarbeitern durchgeführt werden, um den Datenverantwortlichen zu unterstützen (sowie für Übertragungen von einem Verarbeiter an einen Untervertragsverarbeiter an den Datenexporteur).
Die technischen und organisatorischen Maßnahmen, die vom Datenimporteur gefordert werden, sind in den Datenschutzbedingungen erläutert.
ANHANG III
GRENZÜBERSCHREITENDE DATENÜBERTRAGUNGEN FÜR GROSSBRITANNIEN
1. Dieser Anhang III (Grenzüberschreitende Datenübertragungen für Großbritannien) wird mit dem gleichen Datum wirksam wie die Standardvertragsklauseln.
Hintergrund:
2. Dieser Anhang III legt die angemessenen Sicherheitsmaßnahmen für die Übertragung personenbezogener Daten an ein Drittland oder eine internationale Organisation unter Bezug auf Artikel der UK GDPR (britischen Datenschutzverordnung) sowie in Bezug auf Übertragungen von Datenverantwortlichen an Datenverarbeiter und/oder Datenverarbeiter an Datenverarbeiter fest.
Auslegung:
3. Sofern in diesem Anhang III Begriffe verwendet werden, die in den Standardvertragsklauseln definiert wurden, sind diese Bedingungen genauso wie in diesen Standardbedingungen zu definieren. Darüber hinaus sind die folgenden Begriffe wie folgt definiert:
| Britisches Datenschutzrecht | Alle Gesetze, die sich in Großbritannien auf Datenschutz, die Verarbeitung personenbezogener Daten, Privatsphäre und/oder elektronische Kommunikation beziehen, die zu diesem Zeitpunkt gültig sind, einschließlich der UK GDPR und des Data Protection Act 2018. |
| UK GDPR | Die allgemeinen Datenschutzbedingungen von Großbritannien, in Bezug auf die geltenden Gesetze in England, Wales, Schottland und Nordirland entsprechend Abschnitt 3 der EU-Austrittsbedingungen von 2018 (European Union (Withdrawal) Act 2018). |
| Großbritannien | Das Vereinigte Königreich von Großbritannien und Nordirland |
4. Dieser Anhang III ist entsprechend der Bedingungen der britischen Datenschutzgesetze zu lesen und zu interpretieren, insofern, dass der Anhang die angemessenen Sicherheitsmaßnahmen erläutert, welche entsprechend Artikel 46 GDPR erforderlich sind.
5. Dieser Anhang III ist in keiner Weise zu interpretieren, die einen Konflikt mit den Rechten oder Verpflichtungen entsprechend des britischen Datenschutzgesetzes darstellt.
6. Jegliche Bezüge auf Gesetze (oder bestimmte gesetzliche Bestimmungen) verstehen sich unter Berücksichtigung der Tatsache, dass Gesetze (oder bestimmte Bedingungen) sich mit der Zeit ändern können. Dies beinhaltet den Ort, an dem ein Gesetz (oder eine bestimmte Bedingung) verabschiedet, durchgesetzt und/oder ersetzt wurde, nachdem die Datenschutzvereinbarung abgeschlossen wurde und auf welche Gebiete sie Anwendung finden.
7. Im Fall eines Konfliktes oder eine Widersprüchlichkeit zwischen diesem Anhang III sowie den Standardvertragsklauseln oder anderen zwischen den Parteien geschlossenen Vereinbarungen, die zum Zeitpunkt, an dem diese Datenschutzbedingungen vereinbart wurden Bestand hatten oder danach beschlossen wurden, gelten die Bedingungen, welche Datensubjekten den jeweils höchsten Schutz einräumen.
8. Dieser Anhang III beinhaltet die Standardvertragsklauseln, welche ggf. angepasst werden können, damit sie durchsetzbar bleiben:
(a) In Bezug auf Übertragungen vom Datenexporteur an den Datenimporteur insofern, als dass britisches Datenschutzrecht für die Verarbeitung durch den Exporteur zum Zeitpunkt der Übertragung gilt.
(b) Um angemessene Sicherheitsmaßnahmen bei der Übertragung entsprechend Artikel 46 UK GDPR zu gewährleisten.
9. Die entsprechend des obigen Abschnitts 8 erforderlichen Änderungen beinhalten folgende (ohne Beschränkung):
(a) Bezüge auf die „Bedingungen” beziehen sich auf diesen Anhang III, da er die Standardvertragsklauseln beinhaltet
(b) Abschnitt 6 zur Beschreibung der Übertragung wird durch folgenden Absatz ersetzt:
„Die Details zu/r Übertragung(en), insbesondere in Bezug auf die Übertragung personenbezogener Daten und der Zwecke einer solchen Übertragung entsprechend Anhang I.B, sofern bei dieser Übertragung und Verarbeitung durch den Datenexporteur britische Datenschutzrechte Anwendung finden.”
(c) Jegliche Bezüge auf „EU-Richtlinie 2016/679” oder „die Richtlinien” werden durch „britische Datenschutzgesetz” und Bezüge auf spezifische Artikel oder Paragrafen der „EU-Richtlinie 2016/679” sind durch entsprechende Abschnitt britischen Datenschutzrechtes zu ersetzen.
(d) Bezüge auf die EU-Richtlinie 2018/1725 werden entfernt.
(e) Jegliche Bezüge auf „die Union”, „EU” und „EU-Mitgliedsstaaten” werden durch „Großbritannien” ersetzt.
(f) Bedingung 13(a) und Teil C von Anhang II finden keine Anwendung; als „zuständige Aufsichtsbehörde” gilt der britische Information Commissioner.
(g) Paragraf 17 wird durch folgenden Satz ersetzt: „Diese Bedingungen unterliegen den Gesetzen von England und Wales.”
(h) Paragraf 18 wird durch folgende Formulierung ersetzt:
„Jegliche Konflikte, welche im Rahmen dieser Bedingungen entstehen, sind von den Gerichten von England und Wales beizulegen. Ein Datensubjekt hat zudem Anspruch darauf, gerichtliche Verfahren gegen den Datenexporteur und/oder den Datenimporteur vor Gerichten in beliebigen Ländern des Vereinigten Königreichs in die Wege zu leiten. Die Parteien vereinbaren, die entsprechenden Gerichte als Gerichtsstand anzuerkennen.”
(i) Die Fußnoten zu den Bedingungen stellen keinen Bestandteil von Anhang III dar.
10. Die Parteien sind dazu berechtigt, die Bedingungen so zu ändern, dass sich Paragraf 17 und/oder 18 auf die Gesetze und/oder Gerichte von Schottland und Nordirland beziehen.
11. Die Parteien sind dazu berechtigt, diesen Anhang III zu ändern, sofern die angemessenen Sicherheitsmaßnahmen entsprechend Paragraf 46 UK GDPR für die relevante Übertragung gewahrt werden, indem die Standardvertragsklauseln einbezogen werden und Änderungen daran entsprechend der Bedingungen von Abschnitt 8 vorgenommen werden.
12. Die Parteien sind dazu berechtigt, diesem Anhang III (unter Einbeziehung der Standardvertragsklauseln) insofern Wirkung zu verleihen, dass sie den Parteien und Datensubjekten ermöglichen, ihre Rechte entsprechend der Vertragsbedingungen durchzusetzen. Sollten die Standardvertragsklauseln für GB-Übertragungen als unzureichend beurteilt werden, können solche GB-Übertragungen stattdessen den Standardvertragsklauseln für die Übertragung personenbezogener Daten an Datenverarbeiter oder Unterverarbeiter in Drittländern entsprechend der EU-Kommission nach EU-Direktive 95/46/EC folgen.
ANHANG IV
ZUSÄTZLICHE SICHERHEITSMASSNAHMEN
1. Im Fall einer Übertragung im europäischen Wirtschaftsraum oder Großbritannien erklären sich die Parteien damit einverstanden, die folgenden zusätzlichen Sicherheitsmaßahnen anzuwenden, sofern angemessen:
(a) Der Datenimporteur ist dazu verpflichtet, angemessene und bewährte Industriemaßnahmen zu nutzen, um einem Abfangen personenbezogener Daten vorzubeugen (einschließlich bei der Übertragung vom Datenexporteur an den Datenimporteur und zwischen verschiedenen Systemen und Diensten). Dies beinhaltet einen angemessenen Netzwerkschutz, welche Angreifern den Zugang zu Daten verweigert, sowie eine Verschlüsselung personenbezogener Daten bei der Übertragung und während der Speicherung, um zu verhindern, dass Eindringlinge die Daten lesen.
(b) Der Datenimporteur verpflichtet sich, entsprechend geltendem Recht wirtschaftlich zumutbare Maßnahmen zu nutzen, um eine Massenüberwachung in Bezug auf personenbezogene Daten entsprechend der DSGVO oder UK GDPR zu verhindern, einschließlich der Bedingungen von Abschnitt 702 des Foreign Intelligence Surveillance Court („FISA”) der Vereinigten Staaten von Amerika.
(c) Sollte der Datenimporteur sich bewusst werden, dass eine Regierungsbehörde (einschließlich der Polizei) Zugang zu einigen oder Teilen der personenbezogenen Daten bzw. eine Kopie davon anfordert, ob auf freiwilliger oder rechtlich verpflichtender Basis, gelten die folgenden Bedingungen, sofern kein gesetzliches Verbot oder eine rechtliche Verpflichtung zur Offenlegung greift:
(i) Der Datenimporteur ist dazu verpflichtet, die zuständige Regierungsbehörde zu informieren, dass der Datenimporteur ein Verarbeiter der personenbezogenen Daten ist und der Datenexporteur ihn nicht zur Offenlegung personenbezogener Daten gegenüber einer Regierungsbehörde befugt hat. Darüber hinaus hat er die zuständige Regierungsbehörde darüber zu informieren, dass jegliche Anfragen oder Aufforderungen eines Zugangs zu personenbezogenen Daten daher schriftlich an den Datenexporteur zu stellen sind.
(ii) Der Datenimporteur nutzt alle wirtschaftlich zumutbaren und angemessenen rechtlichen Maßnahmen, um Anfragen zum Zugriff auf personenbezogene Daten zu verweigern, die sich in seiner Kontrolle befinden. Unabhängig von den obigen Bedingungen gilt: (a) Der Datenexporteur erkennt an, dass eine solche Weigerung angesichts von Art, Umfang, Zusammenhang und Zweck der Anfrage der Regierungsbehörde nicht immer möglich ist. (b) Sollte der Datenimporteur angesichts von Art, Umfang, Zusammenhang und Zweck der Anfrage der Regierungsbehörde guten Grund zur Annahme haben, dass dringender Zugang zu den Daten notwendig ist, um eine drohende Gefahr für natürliche oder juristische Personen abzuwenden, finden die Bedingungen dieses Unterabschnitts (e)(II) keine Anwendung. In diesem Fall ist der Datenimporteur dazu verpflichtet, den Datenexporteur schnellstmöglich nach Zugriff durch die Regierungsbehörde zu informieren und ihm alle relevanten Details der Situation darzulegen, sofern ihm dies nicht rechtlich untersagt ist.
2. Einmal in einem Zeitraum von 12 Monaten informiert der Datenimporteur den Datenexporteur auf dessen schriftliche Anfrage über die Art der rechtlich verbindlichen Anfragen für personenbezogene Daten, die er erhalten hat, insofern solche Informationen angefordert wurden, einschließlich im Rahmen von Anweisungen und Direktiven in Bezug auf nationale Sicherheit, einschließlich jeglicher Verfahren im Rahmen von Abschnitt 702 FISA (US-amerikanisches Recht).
HAFTUNGSAUSSCHLUSS: Diese Version ist eine Übersetzung der englischen Originalfassung und wird nur zu Ihrer Bequemlichkeit zur Verfügung gestellt. Das englische Original ist die offizielle, rechtlich verbindliche Version und hat bei Abweichungen Vorrang.