SITEGROUND DATENVERARBEITUNGSVEREINBARUNG 

Diese Datenverarbeitungsvereinbarung (“DVV”) wird zwischen SiteGround Spain S.L. (“SiteGround”, “wir”) und dem Kunden (“Kunde”, “Sie”) abgeschlossen, im Folgenden gemeinsam die “Parteien”. Diese Datenverarbeitungsvereinbarung ist Bestandteil der Dienstleistungsbedingungen, der Datenschutzerklärung und anderer relevanter  Regelungen, die hier verfügbar  sind. Die Kunden, die diese Bedingungen akzeptieren, schließen diese  DVV  im eigenen Namen in dem von den einschlägigen Datenschutzbestimmungen und Gesetzen erforderlichen Umfang und in dem Umfang, in dem SiteGround Kundendaten nach den Weisungen des Verantwortlichen verarbeitet (laut der Definition in Abschnitt 1) ab. 


Im Laufe der Lieferung von Dienstleistungen dem Kunden darf SiteGround Kundendaten im Namen des Kunden verarbeiten. Die Parteien vereinbaren, folgende Regelungen hinsichtlich jeglicher Kundendaten einzuhalten, indem jede Partei angemessen  und in gutem Glauben handelt: 

1. Definitionen. 

Sofern in dieser DVV nicht anders definiert ist, haben alle Begriffe, die mit  Großbuchstaben beginnen, die unten beschriebenen Bedeutungen:

“Angemessenheitsbeschluss” bedeutet ein Beschluss, der von der EU angenommen wird und durch den anerkannt wird, dass ein Drittland, Hoheitsgebiet, Sektor oder eine internationale Organisation ein äquivalentes Schutzniveau für Personenbezogene Daten bietet wie die EU.

“Sichere Drittländer” bedeutet Länder, für die die EU einen Angemessenheitsbeschluss angenommen hat, meinend dass zwischen solchen Ländern Daten frei übermittelt werden dürfen.

“Weitere Produkte” bedeutet jegliche Eigenschaften, Produkte, Software, Programme, Add-ons, Plugins, Skripte, Tools oder jegliche andere Drittpartei - Software oder Inhalte, die nicht zu den Leistungen gehören, jedoch über die Kundenzone von SiteGround oder das Bedienfeld erreicht werden können.

“Vertrag” bedeutet die Dienstleistungsbedingungen und andere einschlägige auf unserer Website abrufbaren Dokumente, zusammen mit Ihrem Auftrag für den Kauf/ die Inanspruchnahme von Leistungen und der von SiteGround gesandten Auftragsbestätigung, falls zutreffend.

“Verantwortlicher” bedeutet eine natürliche oder juristische Person, die eigenständig oder zusammen mit anderen Personen die Zwecke und die Mittel für die Verarbeitung von Kundendaten bestimmt; in diesem Vertrag bedeutet das der Kunde (Sie).

“Kundendaten” bedeutet jegliche "Personenbezogene Daten", die an SiteGround von oder im Namen des Kunden durch die Inanspruchnahme der Leistungen zur Verfügung gestellt werden (um Missverständnisse auszuschließen, werden Personenbezogene Daten aus dem Auftrag für den Kauf/ die Inanspruchnahme der entsprechenden Leistung nicht als Kundendaten betrachtet, die dieser DVV unterliegen).

“Datenschutzverletzungen” bedeutet jegliche Verbindlichkeiten, einschließlich:

a. Forderungen, Ansprüche, Handlungen, Vergleiche, Anklagen, Verfahren, Kosten, Verluste und Schäden (körperlich sowie unkörperlich, und einschließlich für Seelenleiden);

b. in dem vom anwendbaren Recht zulässigen Umfang:

  1. Ordnungsgeld, Strafen, Auflagen, Verbindlichkeiten oder andere von der zuständigen Aufsichtsbehörde, von einer anderen zuständigen Regulierungsbehörde oder dem entsprechenden zuständigen Gericht auferlegten Rechtsmittel;

  2. Schadenersatz an eine Betroffene Person, veranlasst von einer zuständigen Aufsichtsbehörde oder vom entsprechenden zuständigen Gericht;

  3. Kosten in angemessenem Umfang für die Konformität mit den Prüfungen der zuständigen Aufsichtsbehörde oder von einer anderen zuständigen  Regulierungsbehörde; und

c. Die Kosten für das Hochladen von Kundendaten und für Ersetzung von Kundenmaterialien und Ausstattung, in dem Umfang, in dem sie verloren oder beschädigt sind, und jeglichen Verlust oder Verderb von Kundendaten, einschließlich die Kosten für die Berichtigung oder die Wiederherstellung von Kundendaten;

d. jegliche andere Kosten (einschließlich Rechtskosten).

“Datenschutzbestimmungen und Gesetze” oder “Datenschutzbestimmungen” bedeutet alle Regelungen und Gesetze, unter anderem Gesetze und Regelungen der Europäischen Union, des Europäischen Wirtschaftsraums, ihrer Mitgliedsstaaten, der Schweiz und des Vereinigten Königreichs, anwendbar zur Verarbeitung von Kundendaten im Rahmen dieser DVV.

Die Begriffe: “Betroffene Person”, “Personenbezogene Daten”, “Verarbeitung”, “Auftragsverarbeiter” und “Zuständige Aufsichtsbehörde” (oder “Datenschutzbehörde”) haben die gleiche Bedeutung wie es in den einschlägigen Datenschutzbestimmungen beschrieben ist.

“Gültigkeitsdatum” bedeutet, je nach dem Kontext:

  1. das Datum, an dem der Kunde anklickt, um den Vertrag anzunehmen oder die Parteien auf eine andere Weise diese DVV bezüglich des einschlägigen Vertrags vereinbaren; oder
  2. 10 Tage vom Datum, an dem SiteGround diese DVV  veröffentlicht  und dem Kunden eine Mitteilung schickt.

“DSGVO” bedeutet die Datenschutz - Grundverordnung (EU) 2016/ 679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung von Kundendaten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/ 46/ EG (Datenschutz-Grundverordnung).

“E-mail – Adresse für Meldungen” bedeutet die vom Kunde im Teil ‘Angaben über das Kundenprofil’ in der Kundenzone für Meldungen seitens SiteGround angegebene Adresse.

“Internationaler  Datenübermittlungsvertrag” (“IDTA”) bedeutet die Standardvertragsklauseln für die Übermittlung von Kundendaten, wenn sich die Betroffene Person im Vereinigten Königreich befindet, aufgenommen als Anhang 4 zu dieser DVV.

“Auftrag” bedeutet der Auftrag eines Kunden für den Kauf/ die Inanspruchnahme der entsprechenden Leistung (en). 

“Partner” bedeutet jede natürliche oder juristische Person, die SiteGround direkt oder indirekt verwaltet, von SiteGround verwaltet ist oder zusammen mit SiteGround von einer anderen Person verwaltet ist. Zum Zwecke dieser Definition bedeutet Verwaltung direktes oder indirektes Eigentum oder Verwaltung von mindestens 50% der Stimminteressen der entsprechenden Körperschaft.

“Leistungen” bedeutet jegliche Leistungen, die wir anbieten, die die Verarbeitung Personenbezogener Daten seitens SiteGround und ihrer Nachunternehmer umfassen.

“SiteGround” bedeutet SiteGround - Entität, die zu dieser DVV  Partei ist, und nämlich: SiteGround Spain S.L., eine Gesellschaft, eingetragen und bestehend nach dem Recht des Königreichs Spanien (Registrationsnummer CIF: B87194171), mit Anschrift: Calle de Prim 19, 28004 Madrid, Spanien.

“Unternehmensgruppe SiteGround” bedeutet jegliche und alle Gesellschaften, die zur Unternehmensgruppe SiteGround gehören und an der Verarbeitung von Kundendaten beteiligt sind:

“Standardvertragsklauseln” oder “SCCs” bedeutet die Standardvertragsklauseln für die Übermittlung von Kundendaten, wie beschrieben in Artikel 46, Abs. 2, Buchstabe c) der DSGVO, aufgenommen als Anhang 1 zu dieser DVV.

“Unterauftragsverarbeiter” bedeutet jeglicher Auftragsverarbeiter, der von SiteGround beauftragt ist oder zur Unternehmensgruppe SiteGround gehört.

“Vertragslaufzeit” bedeutet die Periode vom Gültigkeitsdatum bis zum Ende der Lieferung der Leistungen seitens SiteGround gemäß des entsprechenden Vertrags, einschließlich, falls zutreffend, jede Periode, währenddessen die Leistungen ausgesetzt waren und jegliche Periode nach der Beendigung des Vertrags, währenddessen SiteGround weiter Leistungen für Übergangszwecke liefern kann.

2. Datenverarbeitung. 

2.1. Geltungsbereich.

Diese DVV findet Anwendung soweit und nur in dem Umfang, in dem  SiteGround Kundendaten im Namen des Kunden im Laufe der Lieferung der Leistungen verarbeitet und solche Kundendaten den einschlägigen Datenschutzbestimmungen unterliegen.

Anhang 1 (Standardvertragsklauseln) findet Anwendung für Betroffene Personen, die sich in der EU aufhalten, während Anhang 4 (Internationaler Datenübermittlungsvertrag) Anwendung für Betroffene Personen findet, die im Vereinigten Königreich ansässig sind.

Falls der Kunde, der diese DVV vereinbart, bereits ein Kunde ist, stellt diese DVV einen Teil des Vertrags, der Datenschutzerklärung und anderer einschlägigen auf unserer Website abrufbaren Politiken und Dokumente. Diese DVV einschließlich die Anhänge dazu gelten und ersetzen jegliche vorherige Bedingungen bezüglich Personendatenschutz, Datenverarbeitung und/ oder Datensicherheit, in denen SiteGround als Auftragsverarbeiter agiert.

2.2. Gesetzmäßigkeit.

Jede Partei muss die für sie einschlägigen Pflichten gemäß der anwendbaren Datenschutzbestimmungen bezüglich Verarbeitung von Kundendaten einhalten.

2.3. Gegenstand und Angaben über die Datenverarbeitung.

2.3.1. Gegenstand.

SiteGround wird die für die Lieferung der Leistungen und der damit verbundenen technischen und anderen Betreuung erforderlichen Kundendaten verarbeiten, auch für andere vertragsmäßige Anfragen und nach weiteren Weisungen seitens des Kunden bei seiner Inanspruchnahme der Leistungen.

2.3.2. Laufzeit der Verarbeitung.

Abgesehen von den Regelungen nach Abschnitt 11 dauert die Datenverarbeitung innerhalb der im Auftrag und dem entsprechenden Vertrag angegebene Frist.

2.3.3. Art und Zweck der Verarbeitung.

SiteGround wird Kundendaten für die Zwecke der Lieferung von Leistungen und der damit verbundenen technischen und anderen Betreuung des Kunden gemäß des Vertrags, dieser DVV und anderer einschlägigen Dokumente verarbeiten.

2.3.4. Kategorien der Betroffenen Personen.

Wir verarbeiten Personenbezogene Daten aus den folgenden Kategorien Betroffener Personen:

2.3.5. Kategorien Personenbezogener Daten.

Im Laufe der Lieferung der Leistungen können wir die folgenden Kategorien Personenbezogener Daten verarbeiten:

2.4. Rollen der Parteien.

Die Parteien erkennen an und vereinbaren, dass:

  1. SiteGround ein Auftragsverarbeiter der Kundendaten gemäß den einschlägigen Datenschutzbestimmungen ist;
  2. Der Kunde ein Verantwortlicher oder Auftragsverarbeiter, je nach dem Kontext, der  Kundendaten gemäß den einschlägigen Datenschutzbestimmungen ist; er verlässt sich auf die gesetzliche Basis gemäß der einschlägigen Datenschutzbestimmungen, damit SiteGround die Kundendaten verarbeiten kann und die Leistungen gemäß des Vertrags und dieser DVV.

2.5. Weisungen für die Datenverarbeitung.

SiteGround wird die Kundendaten gemäß dieser DVV verarbeiten, der die vollständigen und endgültigen Weisungen des Kunden an SiteGround in Bezug auf die Verarbeitung von Kundendaten darstellt. Die Verarbeitung außerhalb des Umfangs dieser DVV (falls vorhanden) erfordert im Voraus einen schriftlichen Vertrag zwischen SiteGround und den Kunden mit zusätzlichen Verarbeitungsweisungen. Durch den Abschluss dieser DVV weist der Kunde SiteGround, die Kundendaten nur gemäß der einschlägigen Datenschutzbestimmungen zu verarbeiten:

  1. um die Leistungen und die damit verbundene technische und andere Betreuung zu liefern;
  2. wie es der Kunde und seine Endbenutzer/ Website - Besucher bei ihrer Inanspruchnahme der Leistungen einleiten;
  3. gemäß der Regelungen im Vertrag, in den Dienstleistungsbedingungen, in der Datenschutzerklärung und in anderen einschlägigen Dokumenten, die die Lieferung der Leistungen und die damit verbundene technische und andere Betreuung festsetzen.

2.6. Zugang oder Benutzung.

SiteGround darf auf die Kundendaten zugreifen und sie benutzen nur soweit das für die Lieferung der Leistungen und der der damit verbundenen technischen und anderen Betreuung am Kunden gemäß der DVV, dem Vertrag und anderer einschlägiger Dokumente notwendig ist, und um die einschlägige Gesetzgebung einzuhalten, einschließlich kraft einer geltenden und bindenden Verfügung (z. B. gerichtlicher Verfügung oder anderer bindender Dokumente) einer Vollstreckungsbehörde und/ oder einer anderen zuständigen Behörde/ öffentlicher Anstalt.

2.6.1. Verarbeitung seitens des Kunden.

Bei der Inanspruchnahme der Leistungen wird der Kunde seine Personenbezogenen Daten gemäß der Anforderungen der Datenschutzgesetze und der dazu anwendbaren Regelungen benutzen. Der Kunde haftet allein für die Richtigkeit, die Qualität und die Rechtmäßigkeit seiner Daten und für die Mittel, durch die der Kunde diese Daten erworben hat.

2.6.2. Verarbeitung von Kundendaten seitens SiteGround.

SiteGround darf Kundendaten nur im Namen des Kunden und gemäß seiner dokumentierten  Weisungen (dieser DVV) für die folgenden Zwecke verarbeiten: 

  1. Verarbeitung für die Lieferung der Leistungen und der damit verbundenen technischen und anderen Betreuung;
  2. Verarbeitung, wie es der Kunde und seine Endbenutzer/ Website - Besucher bei ihrer Inanspruchnahme der Leistungen einleiten;
  3. Verarbeitung, die für die Unterhaltung und für die Verbesserung der Leistungen notwendig ist.

2.6.3. Einhaltung der Weisungen seitens SiteGround.

Ab dem Gültigkeitsdatum muss SiteGround die oben beschriebenen Weisungen auch bezüglich Datenübermittlung einhalten, es sei denn, die anwendbare Gesetzgebung, der SiteGround unterliegt, eine andere Verarbeitung der Kundendaten seitens SiteGround erfordert, in welchem Fall SiteGround den Kunden ausrichten wird (sofern das SiteGround nicht gesetzlich aus wichtigen Gründen im öffentlichen Interesse untersagt ist). 

Die Kundendaten dürfen seitens SiteGround und seiner Unterauftragsverarbeiter zugegriffen und verarbeitet werden, um ihre Pflichten gemäß dieser DVV, des entsprechenden Vertrags oder der anwendbaren Gesetzgebung zu erfüllen. Solche Verarbeitung muss die in Abschnitten 3, Abschnitt 7 und Anhang 2 erläuterten Sicherheitsmaßnahmen einhalten.

2.7. Rechte der Betroffenen Personen.

2.7.1. Einsicht, Berichtigung, eingeschränkte Verarbeitung, unentgeltliche Kopie.

Während der entsprechenden Frist muss SiteGround auf eine mit der Funktionalität der Leistungen vereinbare Weise dem Kunde Einsicht, Korrektur und eingeschränkte Verarbeitung der Kundendaten einräumen, einschließlich durch Löschung aller oder Teile der Kundendaten auf dem Kundenkonto oder Löschung des Kundenkontos überhaupt, wie es in Abschnitt 2.8. beschrieben ist (Rückgabe und Löschung von Kundendaten), und durch Export von Kundendaten.

2.7.2.  Anfragen seitens Betroffener Personen.

2.7.2.1.  Kundenverantwortung für Anfragen.

Wenn SiteGround während der einschlägigen Laufzeit eine Anfrage von einer Betroffenen Person erhält, das Recht der Betroffenen Person auf Einsicht, Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“), unentgeltliche Kopie, Widerspruch gegen die Verarbeitung, oder sein Recht auszuüben, nicht einer automatisierten individuellen Entscheidungsfindung („Anfrage seitens der Betroffenen Person“) zu unterliegen, weist SiteGround die Betroffene Person an, ihre Anfrage an den Kunden zu richten, und der Kunde ist für die Beantwortung einer solchen Anfrage verantwortlich, einschließlich, falls erforderlich , indem er die Funktionalität der Leistungen benutzt. SiteGround wird, in dem gesetzlich zulässigen Umfang, wirtschaftlich angemessene Schritte unternehmen, um den Kunden über solche Anfragen zu informieren.

2.7.2.2. Unterstützung seitens SiteGround im Falle von Anfrage seitens einer Betroffenen Person.

Unter Berücksichtigung der Art der Verarbeitung erklärt sich der Kunde damit einverstanden, dass SiteGround angemessene technische und organisatorische Unterstützung leistet, soweit dies möglich ist, für die Erfüllung der Verpflichtung des Kunden, auf Anfragen betroffener Personen zu antworten, einschließlich, falls zutreffend, der Verpflichtung des Kunden, auf Anfragen zu antworten zur Ausübung der in den einschlägig Datenschutzbestimmungen niedergelegten Rechte der Betroffenen Person, durch:

(a) Bereitstellung von Dokumentationsquellen in der Form von Anleitungen und Wissensdatenbankartikeln, Funktionalität und/ oder Kontrollen im Bedienfeld, die der Kunde verwenden kann, um die Leistungen ordnungsgemäß zu konfigurieren und die Leistungen auf sichere Weise zu nutzen.

(b) Bereitstellung von Eigenschaften, Funktionalitäten und/ oder Bedienelementen im Bedienfeld, die der Kunde verwenden kann, um die Kundendaten aus den Leistungen abzurufen, zu berichtigen oder zu löschen.

(c) Einhaltung der Verpflichtungen aus dieser DVV.

(d) in dem Umfang, in dem der Kunde bei der Nutzung der Leistungen nicht in der Lage ist, eine Anfrage einer betroffenen Person zu behandeln, muss SiteGround auf Anfrage des Kunden wirtschaftlich angemessene Anstrengungen unternehmen, um den Kunden bei der Beantwortung einer solchen Anfrage einer Betroffenen Person in dem Umfang zu unterstützen, in dem SiteGround dazu gesetzlich verpflichtet ist, und die Beantwortung einer solchen Anfrage einer Betroffenen Person gemäß den einschlägigen Datenschutzbestimmungen erforderlich ist. Im gesetzlich zulässigen Umfang ist der Kunde für alle Kosten verantwortlich, die sich aus der Bereitstellung einer solchen Unterstützung durch SiteGround ergeben.

2.8. Rückgabe und Löschung von Kundendaten.

SiteGround wird es dem Kunden ermöglichen, Kundendaten während der einschlägigen Laufzeit im Einklang mit der Funktionalität der genutzten Leistungen und der entsprechenden Eigenschaften zu löschen. Abruf oder Löschung von Kundendaten durch den Kunden stellt eine Weisung an SiteGround dar, die entsprechenden Kundendaten, die auf Archivierungssystemen gespeichert sind, gemäß der einschlägigen Gesetze und innerhalb einer Frist von maximal 60 Kalendertagen zu löschen.

Die Deaktivierung der Leistungen oder Ablauf der einschlägigen Laufzeit stellt eine Anweisung an SiteGround dar, die auf Archivierungssystemen archivierten Kundendaten und die betreffenden Kundendaten innerhalb eines Zeitraums von maximal 60 Kalendertagen zu löschen.

Nichts in diesem Abschnitt 2.8 verändert oder ändert die Verpflichtung von SiteGround, einige oder alle Kundendaten aufzubewahren, wie dies zur Einhaltung der geltenden Gesetze erforderlich ist, einschließlich kraft einer geltenden und bindenden Verfügung (z. B. gerichtlicher Verfügung oder anderer bindender Dokumente) einer Vollstreckungsbehörde und/ oder jeder anderer zuständiger Behörde/ öffentlicher Anstalt.

2.9. Offenlegung.

SiteGround wird Kundendaten nicht an Regierungen, Vollstreckungsbehörden oder anderen Behörden weitergeben, es sei denn, dies ist erforderlich, um geltende Gesetze oder eine gültige und bindende Verfügung (z. B. gerichtliche Verfügung oder andere bindende Dokumente) einer Vollstreckungsbehörde und/ oder jeglicher anderer zuständiger/öffentlicher Anstalt zu erfüllen. Bei Erhalt einer Anordnung durch die Behörden eines Drittlandes wird SiteGround gemäß Klausel 15 der Standardvertragsklauseln vorgehen. SiteGround kann Kundendaten auch an Drittpersonen weitergeben, falls SiteGround Geschäfte oder Vermögenswerte verkauft oder kauft, in welchem Fall SiteGround Kundendaten an den potenziellen Verkäufer oder Käufer weitergeben kann, oder falls SiteGround verkauft, gekauft, fusioniert, erworben wird oder zusammen mit anderen Unternehmen oder Gesellschaften als Miteigentümer erwirbt oder einige oder alle seiner Vermögenswerte verkauft .

2.10. Mitarbeiter von SiteGround.

SiteGround schränkt die Verarbeitung von Kundendaten durch sein Personal nur durch Genehmigung seitens SiteGround ein. Die Einsicht in Kundendaten ist auf das Personal beschränkt, dessen Rolle und Verantwortlichkeiten mit der Erbringung von Leistungen verbunden sind.

SiteGround erlegt seinem Personal angemessene vertragliche Pflichten auf, einschließlich einschlägiger Pflichten in Bezug auf Vertraulichkeit, Datenschutz und Datensicherheit. SiteGround stellt sicher, dass diese Verschwiegenheitspflichten auch nach Beendigung des Personaleinsatzes weiter gelten.

2.11. Datenschutzbeauftragter.

In Übereinstimmung mit der einschlägigen Datenschutzgesetzgebung hat SiteGround einen Datenschutzbeauftragten bestellt, der unter  dpo@siteground.es.

3. Unterauftragsverarbeiter.

3.1. Genehmigung der Einsetzung eines Unterauftragsverarbeiters/ Bestellung eines Unterauftragsverarbeiters.

Der Kunde akzeptiert und erklärt sich einverstanden, dass: 

(a) Die Partner von SiteGround Partner als Unterauftragsverarbeiter bleiben dürfen; und 

(b) SiteGround bzw. SiteGround Partner Unterauftragsverarbeiter in Verbindung mit der Erbringung der Leistungen beauftragen dürfen. SiteGround hat mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag abgeschlossen, der Datenschutzpflichten enthält, die mindestens so schützend sind wie in dieser DVV in Bezug auf den Schutz von Kundendaten in dem auf die Art der von diesem Unterauftragsverarbeiter erbrachten Leistungen anwendbaren Umfang.

Wenn der Kunde Standardvertragsklauseln (Anhang 1) oder einen Internationalen Datenübermittlungsvertrag (Anhang 4) wie in Abschnitt 5 beschrieben abgeschlossen hat, stellen die oben genannten Genehmigungen die vorherige schriftliche Zustimmung des Kunden zur Unterbeauftragung der Verarbeitung von Kundendaten durch SiteGround dar, wenn eine solche Zustimmung gemäß den Standardvertragsklauseln erforderlich ist.

3.2. Information über den Unterauftragsverarbeiter.

3.2.1. SiteGround kann Informationen über Sie an Unterauftragsverarbeiter wie die Unternehmensgruppe SiteGround weitergeben, die möglicherweise mit der Erbringung von Leistungen gemäß Ihrem Vertrag beschäftigt sind und die innerhalb und/ oder außerhalb der EU, des Europäischen Wirtschaftsraums oder des Vereinigten Königreichs ansässig sind. Diese Unterauftragsverarbeiter verarbeiten die bereitgestellten Kundendaten unter Weisungen von SiteGround und in Übereinstimmung mit unserer Datenschutzerklärung und dieser DVV.

3.2.2. Eine Liste der Unterauftragsverarbeiter von SiteGround ist gemäß Anhang 3 auf Anfrage erhältlich.

3.3. Anforderungen für den Einsatz von Unterauftragsverarbeitern.

Im Falle von Einsatz von Unterauftragsverarbeitern muss SiteGround:

(a) durch einen schriftlichen Vertrag sicherstellen, dass:

(i) der Unterauftragsverarbeiter nur auf Kundendaten in dem Umfang zugreift und sie verwendet, die zur Erfüllung der ihm übertragenen Pflichten erforderlich sind, und das gemäß dieser DVV und allen Standardvertragsklauseln oder Internationalen Datenübermittlungsverträgen macht, die von SiteGround wie in Abschnitt 5 beschrieben übernommen wurden; und

(ii) die Datenschutzpflichten, die in den einschlägig Datenschutzbestimmungen, wie in dieser DVV beschrieben, dem Unterauftragsverarbeiter auferlegt werden; und

(b) haftet weiter in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen ihm beauftragten Pflichten nachkommt und für alle Handlungen und Unterlassungen des Unterauftragsverarbeiters.

3.4. Recht auf Verweigerung von Einsatz von Unterauftragsverarbeiter(s). 

3.4.1. Der Kunde darf gegen den Einsatz von Unterauftragsverarbeiter(n) Anspruch erheben, indem er den einschlägigen Vertrag unverzüglich durch schriftliche Voranmeldung an SiteGround kündigt, unter der Bedingung, dass der Kunde diese Voranmeldung innerhalb von 10 Kalendertagen ab Erhalt der Information über den Einsatz des entsprechenden Unterauftragsverarbeiter vorlegt. Dieses Recht auf Kündigung ist das einzige und ausschließliche Rechtsmittel des Kunden, falls der Kunde den Einsatz eines Unterauftragsverarbeiters ablehnt.

3.4.2. SiteGround wird dem Kunden alle vorausbezahlten Gebühren zurückzahlen, die den Rest der Laufzeit solcher Aufträge nach dem Gültigkeitsdatum der Kündigung in Bezug auf solche gekündigten Leistungen abdecken, ohne dass dem Kunden eine Strafe für eine solche Kündigung auferlegt wird.

4. Datenschutz-Folgenabschätzungen und Beratungen.

Auf Anfrage des Kunden wird SiteGround dem Kunden die angemessene Zusammenarbeit und Unterstützung leisten, die erforderlich sind, um die Verpflichtung des Kunden gemäß den einschlägigen Datenschutzbestimmungen zu erfüllen, eine Datenschutz-Folgenabschätzung (DPIA) in Bezug auf die Nutzung von Leistungen durch den Kunden durchzuführen, in dem Umfang, in dem der Kunde nichts anderes tut Zugang zu den betreffenden Informationen haben, und in dem Umfang, dass diese Informationen SiteGround zur Verfügung stehen. SiteGround leistet dem Kunden angemessene Unterstützung bei der Zusammenarbeit oder vorherigen Konsultation mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben im Zusammenhang mit dieser DVV, in dem gemäß den Datenschutzbestimmungen erforderlichen Umfang.

5. Übermittlung außerhalb der EU, des Europäischen Wirtschaftsraums und des Vereinigten Königreichs.

5.1. Datenzentren.

SiteGround verarbeitet Kundendaten in Datenzentren, gelegen innerhalb und außerhalb der Europäischen Union, des Europäischen Wirtschaftsraums und des Vereinigten Königreichs. Information über die Standorte der  Datenzentren finden Sie im Internet wie folgt:https://de.siteground.com/datacenters, und SiteGround behält sich das Recht vor, diese Liste periodisch zu aktualisieren.

Der Kunde darf einen Datenzentrum – Standort angeben, wo seine Hosting -Konto - Inhalte aufbewahrt werden. Der Kunde erklärt sich einverstanden, dass SiteGround die Standorte der Datenzentren verändern und den Hosting -Konto des Kunden zu einem Datenzentrum nach eigenem Ermessen versetzen. SiteGround wird den Kunden mindestens 10 Kalendertage vor der Versetzung des Hosting-Kontos des Kunden nach eigenem Ermessen zu einem neuen Datenzentrum entweder durch Sendung einer E-mail – Meldung an die E-mail – Adresse für Meldungen oder über die Kundenzone. Falls die Versetzung des Datenzentrums zu Aufbewahrung der im Hosting-Konto des Kunden enthaltenen Kundendaten unter einer anderen Gerichtsbarkeit führt, kann der Kunde diese Veränderung durch unverzügliche Vertragskündigung und durch schriftliche Voranmeldung an SiteGround widersprechen, unter der Bedingung, dass der Kunde diese Voranmeldung innerhalb von 10 Kalendertagen ab Erhalt der Information über  die Versetzung des Datenzentrums sendet.

Der Kunde kann zu jeder Zeit sein Hosting-Konto zu einem anderen Datenzentrum - Standort versetzen, vorausgesetzt dass die Funktionalität der Leistungen es erlaubt und gegen zusätzlichen Gebühren.

5.2. Verarbeitungsstandorte.

Soweit sich die Kundendaten in einem Rechenzentrum außerhalb der EU, des Europäischen Wirtschaftsraums oder des Vereinigten Königreichs befinden, und soweit SiteGround die Leistungen und die damit verbundene technische und andere Betreuung liefert, erklärt sich der Kunde einverstanden, dass SiteGround unter den Bedingungen von Abschnitt 5 die Kundendaten in der EU, im Europäischen Wirtschaftsraum, im Vereinigten Königreich, in Asien, in Australien und in den Vereinigten Staaten und allen anderen Ländern übermitteln, verarbeiten und auf sie zugreifen, wo SiteGround und/ oder ihre Partner und Unterauftragsverarbeiter Datenzentren oder Einrichtungen haben oder Datenverarbeitungsoperationen ausführen.

Dieser Typ von Operationen grenzüberschreitender Datenübermittlung können bei der Lieferung jeglicher von SiteGround angebotener Leistungen vorgenommen werden, einschließlich Content Delivery Network (CDN) - Leistungen.

Die geografischen Standorte der Server , an die Daten übermittelt werden können, sind auf unserer Website aufgelistet und wir können sie nach unserem alleinigen Ermessen verändern.

Falls die Aufbewahrung und/ oder Verarbeitung von Kundendaten Verarbeitung von Kundendaten außerhalb des Europäischen Wirtschaftsraum enthalten und die DSGVO der EU Anwendung finden, gelten diese DVV und Anhang 1, der die Standardvertragsklauseln enthält, automatisch als vertragliche Sicherung der grenzüberschreitenden Datenübermittlung.

Falls die Aufbewahrung und/ oder Verarbeitung von Kundendaten Verarbeitung von Kundendaten außerhalb des Vereinigten Königreichs enthalten und die UK DSGVO Anwendung finden, gelten diese DVV und Anhang 4, der den Internationalen Datenübermittlungsvertrag enthält, automatisch als vertragliche Sicherung der grenzüberschreitenden Datenübermittlung. 

5.3. Übermittlungsmechanismus.

Soweit SiteGround  nach dieser DVV von der Europäischen Union, vom Europäischen Wirtschaftsraum, vom Vereinigten Königreich Kundendaten nach Ländern verarbeitet oder übermittelt (direkt oder über Weiterübermittlung), die kein adäquates Niveau von Datenschutz in der Bedeutung der einschlägigen Datenschutzbestimmungen der oben genannten Hoheitsgebiete sicherstellen, vereinbaren die Parteien, dass:

1. Der Kunde hiermit jegliche Übermittlung oder Zugang zu Kundendaten von und zu solchen Standorten außerhalb der EU, des Europäischen Wirtschaftsraums und des Vereinigten Königreichs genehmigt;

2. Es wird davon ausgegangen, dass SiteGround angemessene und proportionale technische und organisatorische Datenschutz- und Cybersicherheitsrisiko mindernde Maßnahmen anwendet, sowie dass wir angemessenen Risikobewertungen vornehmen, wenn wir Kundendaten außerhalb der EU, des Europäischen Wirtschaftsraums und des Vereinigten Königreichs übermitteln;

3. Es wird davon ausgegangen, dass SiteGround durch zur Verfügungsstellung der Standardvertragsklauseln (Anhang 1) und des Internationalen  Datenübermittlungsvertrags (Anhang 4) als Übermittlungsmechanismus angemessene Garantien bereitstellt, die Kundendaten sicherzustellen.

3.1. The Standardvertragsklauseln (Anhang 1) finden Anwendung für übermittelte Kundendaten, wenn die Betroffene Person in der EU oder im Europäischen Wirtschaftsraum ist;

3.2. Der Internationale Datenübermittlungsvertrag (Anhang 4) findet Anwendung für übermittelte Kundendaten, wenn die Betroffene Person im Vereinigten Königreich ist.

6. Verarbeitungsaufzeichnungen.

Der Kunde akzeptiert, dass SiteGround von den einschlägig Datenschutzbestimmungen verpflichtet ist:

(a) Aufzeichnungen über bestimmte Informationen sammeln und führen muss, einschließlich Namen und Kontaktdaten jedes Auftragsverarbeiters und/ oder Verantwortlichen, in dessen Namen SiteGround handelt, und, sofern einschlägig, des örtlichen Vertreters dieses Auftragsverarbeiters oder Verantwortlichen und des Datenschutzbeauftragter; und 

(b) diese Informationen den Aufsichtsbehörden zur Verfügung stellen. Wenn die DSGVO Anwendung auf die Verarbeitung von Kundendaten findet, muss der Kunde SiteGround auf Anfrage diese Informationen über die SiteGround-Website oder andere von SiteGround bereitgestellte Mittel zur Verfügung stellen und sicherstellen, dass alle bereitgestellten Informationen korrekt und aktuell sind.

7.  Sicherheitspflichten von SiteGround.

7.1. Sicherheitsmaßnahmen.

SiteGround wird technische und organisatorische Maßnahmen implementieren und unterhalten, um Kundendaten gegen zufällige oder unrechtmäßige Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder Zugriff zu schützen, wie in Anhang 2 beschrieben (die „Sicherheitsmaßnahmen“). Wie in Anhang 2 beschrieben, umfassen die Sicherheitsmaßnahmen Maßnahmen zur Bereitstellung einer verschlüsselten Übertragung von Kundendaten außerhalb der Leistungsumgebung; zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Leistungen von SiteGround; zur Wiederherstellung des zeitnahen Zugriffs auf Kundendaten aus einer verfügbaren Sicherungskopie, die entweder von SiteGround Archivierungsleistungen oder der eigenen Sicherungskopie des Kunden nach einem Vorfall bereitgestellt wird; und für regelmäßige Wirksamkeitsprüfungen. SiteGround kann die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit der Leistungen führen.

7.2. Sicherheitspflichten und Bewertung seitens des Kunden.

Der Kunde erklärt sich einverstanden, dass, unbeschadet der Pflichten von SiteGround gemäß Abschnitt 7 (Sicherheitspflichten von SiteGround) und anderen relevanten Abschnitten in dieser DVV: 

7.2.1. Der Kunde allein für seine Nutzung der Leistungen, einschließlich:

i. Angemessenen Einsatz der Leistungen zur Gewährleistung eines Sicherheitsniveaus, das dem Risiko in Bezug auf die Kundendaten und die Inhalte seines Hosting-Kontos entspricht;

ii. Sicherung der Zugangsdaten, Systeme und Geräte zur Kontoauthentifizierung, die der Kunde für den Zugriff auf die Leistungen verwendet;

iii. Gewährleistung, dass alle Programme, Skripte, Add-ons, Plugins und andere Software, die auf seinem Hosting-Konto installiert sind, sicher, ordnungsgemäß konfiguriert und regelmäßig gewartet werden und ihre Verwendung kein Sicherheitsrisiko in Bezug auf die Kundendaten und das Konto selbst darstellt;

verantwortlich ist.

7.2.2. SiteGround ist nicht verpflichtet, Kundendaten zu schützen, die der Kunde außerhalb der Systeme von SiteGround und seinen Unterauftragsverarbeitern speichert oder übermittelt (z. B. Offline- oder On-Premise-Aufbewahrung), oder zusätzliche entgeltliche Sicherheitsleistungen zu erbringen, außer in dem Umfang, den SiteGround anbietet und bzw. der Kunde solche Leistungen beauftragt und bezahlt.

7.2.3. Der Kunde ist allein verantwortlich für die Überprüfung der Dokumentation und die Bewertung, ob die Leistungen, die Sicherheitsmaßnahmen, die Verpflichtungen von SiteGround gemäß diesem und den folgenden Abschnitten den Bedürfnissen des Kunden entsprechen, einschließlich aller Sicherheitsverpflichtungen des Kunden gemäß den einschlägigen Datenschutzbestimmungen.

7.2.4. Der Kunde akzeptiert und erklärt sich einverstanden, dass (unter Berücksichtigung der Implementierungskosten und der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung von Kundendaten sowie der Risiken für Personen) die in Abschnitt 7.1. dargelegten von SiteGround angewandten und unterhaltenen Sicherheitsmaßnahmen das erforderliche Sicherheitsniveau bezüglich des Kundendatenrisikos bereitstellen.

7.2.5. Es liegt in der Verantwortung des Kunden, Kundendaten und alle Daten und Inhalte, die auf seinem Hosting-Kkonto gespeichert sind, zu sichern, um einem möglichen Datenverlust vorzubeugen. SiteGround Archivierungsleistungen werden ohne Mängelgewähr bereitgestellt und unterliegen allen Haftungsbeschränkungen, die im einschlägigen Vertrag aufgeführt sind. Im Falle eines teilweisen oder vollständigen Datenverlusts oder einer Beschädigung und für den Fall, dass der Kunde mit dem Ergebnis der Wiederherstellung durch die SiteGround Archivierungsleistungen nicht zufrieden ist oder die Sicherungskopie von SiteGround nicht aktuell oder für die Wiederherstellung geeignet ist, ist der Kunde dazu verpflichtet, alle auf seinem Hosting-Kkonto gespeicherten Daten und Inhalte aus den eigenen Archiven des Kunden wiederherstellen.

8. Überprüfung und Prüfung der Einhaltung.

Gemäß den einschlägigen Datenschutzbestimmungen: 

  1. Der Kunde hat das Recht, die Einhaltung der Pflichten aus dieser DVV durch SiteGround zu überprüfen, indem er eine Überprüfung der Dokumentation oder eine Prüfung durchführt, die vom Kunden oder einem vom Kunden ernannten unabhängigen Wirtschaftsprüfer durchgeführt wird, indem SiteGround in schriftlicher Form eine besondere Anfrage an die in den entsprechenden Dienstleistungsbedingungen angegebene Adresse vorgelegt wird.
  2. Außerdem wird SiteGround schriftliche Antworten auf alle angemessene Anfragen des Kunden liefern und wir können eine Gebühr für jede Überprüfung oder Prüfung erheben. SiteGround wird Information über mögliche anwendbare Gebühren vor einem solchen Audit bereitstellen, und der Kunde ist für alle Gebühren verantwortlich, die von einem Prüfer erhoben werden, und für alle Gebühren, die mit der Ausführung eines Audits verbunden sind. Die Berichte einer solchen Prüfung werden SiteGround ohne Beschränkungen des Zwecks für die weitere Verwendung durch SiteGround zur Verfügung gestellt.
  3. SiteGround kann schriftlich gegenüber dem Kunden oder einem vom Kunden beauftragten Prüfer widersprechen und ablehnen, sich einer Prüfung zu unterziehen, wenn der Kunde oder der Prüfer nach der angemessener Meinung von SiteGround nicht ausreichend qualifiziert oder unabhängig sind, ein Konkurrent von SiteGround sind oder anderweitig offensichtlich ungeeignet sind.
  4. Sollte SiteGround verweigern, einer vom Kunden oder einem Wirtschaftsprüfer angeforderten Anweisung in Bezug auf eine ordnungsgemäß angeforderte und zielgerichtete Prüfung oder Überprüfung zu folgen, ist der Kunde berechtigt, diese DVV und den Vertrag zu kündigen.
  5. Nichts in diesem Abschnitt 8 (Überprüfung und Prüfung der Einhaltung) verändert oder ändert jegliche Rechte oder Pflichten des Kunden oder SiteGrounds nach den Standardvertragsklauseln, abgeschlossen wie dargelegt in Abschnitt 5.

9.  Benachrichtigung über Verletzung der Sicherheit. 

9.1. SiteGround unterhält Politiken für Management und Verfahren von Sicherheitsvorfällen, und wird werden den Kunden unverzüglich nach Kenntniserlangung der zufälligen oder rechtswidrigen Vernichtung, Verlust, Veränderung oder unbefugten Offenlegung oder Zugriff zu Kundendaten, einschließlich Kundendaten, die übermittelt, gespeichert oder von SiteGround oder unseren Unterauftragsverarbeiter auf andere Weise verarbeitet wurden und von denen SiteGround Kenntnis erlangt und die die Rechte und Freiheiten der Betroffenen Personen beeinträchtigen (“Vorfälle mit Kundendaten”). SiteGround wird angemessene Anstrengungen vornehmen, um die Ursachen für solche Vorfälle mit Kundendaten zu ermitteln, und die Schritte unternehmen, die SiteGround für notwendig und angemessen hält, um die Ursache solcher Vorfälle mit Kundendaten in dem Umfang zu beheben, in dem die Behebung innerhalb der vernünftigen Kontrolle von SiteGround liegt. Die Pflichten hierin gelten nicht für Vorfälle, die durch den Kunden, die Nutzung der Leistungen durch den Kunden, Handlungen oder Aktivitäten des Kunden oder von Benutzern des Kunden verursacht wurden.

9.2. Benachrichtigungen gemäß diesem Abschnitt müssen, in dem möglichen Umfang, Angaben über die Vorfälle mit Kundendaten beschreiben, einschließlich der Schritte, die unternommen wurden, um die potenziellen Risiken zu mindern, und Schritte, die SiteGround dem Kunden zu unternehmen empfiehlt, um die Vorfälle mit Kundendaten zu adressieren.

9.3. Benachrichtigungen über beliebige Vorfälle mit Kundendaten werden an die E-Mail – Adresse für Meldungen oder nach Ermessen von SiteGround durch direkte Kommunikation (z. B. per Telefonanruf) zugestellt. Der Kunde ist allein dafür verantwortlich, sicherzustellen, dass die E-Mail – Adresse für Meldungen und seine Kontaktinformationen, die im Abschnitt „Angaben über das Kundenprofil“ seiner Kundenzone angegeben sind, richtig und gültig sind.

9.4. SiteGround wird nicht die Inhalte der Kundendaten auswerten, um Informationen zu identifizieren, die besonderen rechtlichen Anforderungen unterliegen. Der Kunde ist allein für die Einhaltung der Vorfallmeldegesetze verantwortlich, die beim Kunden Anwendung finden, und für die Erfüllung aller Benachrichtigungslisten zu Drittpersonen im Zusammenhang mit Vorfällen mit Kundendaten.

9.5. Die Benachrichtigung oder die Reaktion von SiteGround auf einen Vorfall mit Kundendaten gemäß diesem Abschnitt 9 ist nicht als Bekenntnis eines Fehlers oder jeglicher Haftung von SiteGround in Bezug auf die Vorfälle mit Kundendaten auszulegen.

10. Haftung und Schadensersatz.

10.1. Der Kunde wird SiteGround entschädigen und von Haftung freistellen hinsichtlich alle Datenschutzverletzungen und Verluste erlitten oder entstanden durch, oder hervorgerufen von oder in Verbindung mit:

(a)  jeglicher Nichteinhaltung der Datenschutzgesetze und -regelungen seitens des Kunden;

(b)  jeglicher Verletzung seitens des Kunden seiner Datenschutz- und anderer Pflichten nach dieser DVV und dem Vertrag; 

10.2. SiteGround haftet für Datenschutzverletzungen und Verluste, die durch die Verarbeitung von Kundendaten verursacht wurden nur bis zum Umfang, in dem sie direkt durch Nichteinhaltung von SiteGround entstanden sind, unsere Pflichten als Auftragsverarbeiter gemäß der Datenschutzgesetze und -regelungen zu erfüllen. Die Haftung von SiteGround gemäß der DVV unterliegt der im Vertrag Haftungseinschränkungen oder Ausschließungen.

11. Kündigung.

Diese DVV tritt in Kraft ab dem Gültigkeitsdatum bis zum Ende der Bereitstellung der Leistungen durch SiteGround im Rahmen des einschlägig Vertrages, einschließlich, falls zutreffend, jeder Zeit, während der die Leistungen ausgesetzt wurden, und jeder Zeit nach der Kündigung (und nämlich maximal 60 Kalendertage), während welcher Zeit SiteGround die Verarbeitung von Kundendaten für Überbrückungszwecke fortsetzen kann („Laufzeit“). Nichts in diesem Abschnitt 11 ändert oder verändert die Verpflichtung von SiteGround, einige oder alle Kundendaten aufzubewahren, die erforderlich sind, um den geltenden Vorschriften oder kraft einer geltenden und bindenden Verfügung (z. B. einer Vorladung oder einer gerichtlichen Verfügung) einer Vollstreckungsbehörde und/ oder jeder anderen zuständigen Behörde/ öffentlicher Anstalt nachzukommen. Die DVV wird automatisch mit Kündigung des Vertrages und Löschung aller Kundendaten durch SiteGround beendet.

12.  Rechtswirksamkeit. Änderungen.

12.1. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bedingungen dieser DVV und denen des einschlägigen Vertrags im Zusammenhang mit der Verarbeitung von Kundendaten sind die Bedingungen dieser DVV maßgebend. Aus Gründen der Übersichtlichkeit, wenn der Kunde mehr als einen Vertrag abgeschlossen hat, wird diese DVV jeden der Verträge separat ändern.

12.2. SiteGround kann die Bedingungen dieser DVV jederzeit ändern. Wenn wir wesentliche Änderungen an dieser DVV vornehmen, werden wir Sie hier, per E-Mail, oder durch eine Mitteilung über unsere Website oder über Ihre Kundenzone mindestens zehn (10) Kalendertage vor Inkrafttreten der Änderungen benachrichtigen. Unwesentliche Änderungen dieser DVV werden sofort wirksam.


Anhang 1:

STANDARDVERTRAGSKLAUSELN

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

(a) Mit diesen Standardvertragsklauseln soll sichergestellt werden, dass die Anforderungen der Verordnung (EU) 2016/ 679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung Personenbezogener Daten und zum freien Datenverkehr dieser Daten (Datenschutz-Grundverordnung) bei der Übermittlung Personenbezogener Daten an ein Drittland eingehalten werden.

(b) Die Parteien:

(i) die in Anhang I.A aufgeführte(n) natürliche(n) oder juristische(n) Person(en), Behörde(n), Agentur(en) oder sonstige(n) Stelle(n) (im Folgenden „Einrichtung(en)“), die die Personenbezogenen Daten übermittelt/n (im Folgenden jeweils „Datenexporteur“), und

(ii) die in Anhang I.A aufgeführte(n) Einrichtung(en) in einem Drittland, die die Personenbezogenen Daten direkt oder indirekt über eine andere Einrichtung, die ebenfalls Partei dieser Klauseln ist, erhält/erhalten (im Folgenden jeweils „Datenimporteur“)

haben sich mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) einverstanden erklärt.

(c) Diese Klauseln gelten für die Übermittlung Personenbezogener Daten gemäß Anhang I.B.

(d) Die Anlage zu diesen Klauseln mit den darin enthaltenen Anhängen ist Bestandteil dieser Klauseln.

     

Klausel 2

Wirkung und Unabänderbarkeit der Klauseln

(a) Diese Klauseln enthalten geeignete Garantien, einschließlich durchsetzbarer Rechte Betroffener Personen und wirksamer Rechtsbehelfe gemäß Artikel 46, Absatz 1 und Artikel 46, Absatz 2, Buchstabe c der Verordnung (EU) 2016/ 679 sowie – in Bezug auf Datenübermittlungen von Verantwortlichen an Auftragsverarbeiter und/ oder von Auftragsverarbeitern an Auftragsverarbeiter – Standardvertragsklauseln gemäß Artikel 28, Absatz 7 der Verordnung (EU) 2016/ 679, sofern diese nicht geändert werden, mit Ausnahme der Auswahl des entsprechenden Moduls oder der entsprechenden Modul oder der Ergänzung oder Aktualisierung von Informationen in der Anlage. Dies hindert die Parteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und/ oder weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu diesen Klauseln stehen oder die Grundrechte oder Grundfreiheiten der Betroffenen Personen beschneiden. 

(b) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Datenexporteur gemäß der Verordnung (EU) 2016/ 679 unterliegt.


Klausel 3

Drittbegünstigte

(a) Betroffene Personen können diese Klauseln als Drittbegünstigte gegenüber dem Datenexporteur und/ oder dem Datenimporteur geltend machen und durchsetzen, mit folgenden Ausnahmen:

(i) Klausel 1, Klausel 2, Klausel 3, Klausel 6, Klausel 7;

(ii) Klausel 8 – Modul eins: Klausel 8.5, Buchstabe e und Klausel 8.9, Buchstabe b Modul zwei: Klausel 8.1, Buchstabe b, Klausel 8.9, Buchstaben a, c, d und e Modul drei: Klausel 8.1, Buchstaben a, c und d und Klausel 8.9, Buchstaben a, c, d, e, f und g Modul vier: Klausel 8.1, Buchstabe b und Klausel 8.3, Buchstabe b;

(iii) Klausel 9 – Modul zwei: Klausel 9 Buchstaben a, c, d und e Modul drei: Klausel 9 Buchstaben a, c, d und e;

(iv) Klausel 12 – Modul eins: Klausel 12 Buchstaben a und d Module zwei und drei: Klausel 12 Buchstaben a, d und f;

(v) Klausel 13;

(vi) Klausel 15.1, Buchstaben c, d und e;

(vii) Klausel 16(e);

(viii) Klausel 18 – Module eins, zwei und drei Klausel 18 Buchstaben a und b Modul vier: Klausel 18.

(b) Die Rechte Betroffener Personen gemäß der Verordnung (EU) 2016/ 679 bleiben von Buchstabe a unberührt.


Klausel 4

Auslegung

(a) Werden in diesen Klauseln in der Verordnung (EU) 2016/ 679 definierte Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in dieser Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/ 679 auszulegen.

(c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die mit den in der Verordnung (EU) 2016/ 679 vorgesehenen Rechten und Pflichten im Widerspruch steht.


Klausel 5

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen von damit zusammenhängenden Vereinbarungen zwischen den Parteien, die zu dem Zeitpunkt bestehen, zu dem diese Klauseln vereinbart oder eingegangen werden, haben diese Klauseln Vorrang.


Klausel 6

Beschreibung der Datenübermittlung(en)

Die Einzelheiten der Datenübermittlung(en), insbesondere die Kategorien der übermittelten Personenbezogenen Daten und der/die Zweck(e), zu dem/ denen sie übermittelt werden, sind in Anhang I.B aufgeführt.


Klausel 7 – fakultativ

Kopplungsklausel

(a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung der Parteien jederzeit entweder als Datenexporteur oder als Datenimporteur beitreten, indem sie die Anlage ausfüllt und Anhang I.A unterzeichnet.

(b) Nach Ausfüllen der Anlage und Unterzeichnung von Anhang I.A wird die beitretende Einrichtung Partei dieser Klauseln und hat die Rechte und Pflichten eines Datenexporteurs oder eines Datenimporteurs entsprechend ihrer Bezeichnung in Anhang I.A.

(c) Für den Zeitraum vor ihrem Beitritt als Partei erwachsen der beitretenden Einrichtung keine Rechte oder Pflichten aus diesen Klauseln.

     

ABSCHNITT II – PFLICHTEN DER PARTEIEN

Klausel 8

Datenschutzgarantien

Der Datenexporteur versichert, sich im Rahmen des Zumutbaren davon überzeugt zu haben, dass der Datenimporteur – durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen – in der Lage ist, seinen Pflichten aus diesen Klauseln nachzukommen.

8.1 Weisungen

(a) Der Datenimporteur verarbeitet die Personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs. Der Datenexporteur kann solche Weisungen während der gesamten Vertragslaufzeit erteilen.

(b) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er diese Weisungen nicht befolgen kann.

8.2 Zweckbindung

Der Datenimporteur verarbeitet die Personenbezogenen Daten nur für den/ die in Anhang I.B genannten spezifischen Zweck(e), sofern keine weiteren Weisungen des Datenexporteurs bestehen.

8.3 Transparenz

Auf Anfrage stellt der Datenexporteur der Betroffenen Person eine Kopie dieser Klauseln, einschließlich der von den Parteien ausgefüllten Anlage, unentgeltlich zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich der in Anhang 2 beschriebenen Maßnahmen und Personenbezogener Daten, notwendig ist, kann der Datenexporteur Teile des Textes der Anlage zu diesen Klauseln vor der Weitergabe einer Kopie unkenntlich machen; er legt jedoch eine aussagekräftige Zusammenfassung vor, wenn die Betroffene Person andernfalls den Inhalt der Anlage nicht verstehen würde oder ihre Rechte nicht ausüben könnte. Auf Anfrage teilen die Parteien der Betroffenen Person die Gründe für die Schwärzungen so weit wie möglich mit, ohne die geschwärzten Informationen offenzulegen. Diese Klausel gilt unbeschadet der Pflichten des Datenexporteurs gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/ 679.

8.4 Richtigkeit

Stellt der Datenimporteur fest, dass die erhaltenen Personenbezogenen Daten unrichtig oder veraltet sind, unterrichtet er unverzüglich den Datenexporteur. In diesem Fall arbeitet der Datenimporteur mit dem Datenexporteur zusammen, um die Daten zu löschen oder zu berichtigen.

8.5 Dauer der Verarbeitung und Löschung oder Rückgabe der Daten

Die Daten werden vom Datenimporteur nur für die in Anhang I.B angegebene Dauer verarbeitet. Nach Wahl des Datenexporteurs löscht der Datenimporteur nach Beendigung der Erbringung der Datenverarbeitungsdienste alle im Auftrag des Datenexporteurs verarbeiteten Personenbezogenen Daten und bescheinigt dem Datenexporteur, dass dies erfolgt ist, oder gibt dem Datenexporteur alle in seinem Auftrag verarbeiteten Personenbezogenen Daten zurück und löscht bestehende Kopien. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der Personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist. Dies gilt unbeschadet von Klausel 14, insbesondere der Pflicht des Datenimporteurs gemäß Klausel 14 Buchstabe e, den Datenexporteur während der Vertragslaufzeit zu benachrichtigen, wenn er Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten oder gelten werden, die nicht mit den Anforderungen in Klausel 14 Buchstabe a im Einklang stehen.

8.6 Sicherheit der Verarbeitung

(a) Der Datenimporteur und, während der Datenübermittlung, auch der Datenexporteur treffen geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten, einschließlich des Schutzes vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu diesen Daten führt (im Folgenden „Verletzung des Schutzes Personenbezogener Daten“). Bei der Beurteilung des Angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem/ den Zweck(en) der Verarbeitung sowie den mit der Verarbeitung verbundenen Risiken für die Betroffenen Personen gebührend Rechnung. Die Parteien ziehen insbesondere eine Verschlüsselung oder Pseudonymisierung, auch während der Datenübermittlung, in Betracht, wenn dadurch der Verarbeitungszweck erfüllt werden kann. Im Falle einer Pseudonymisierung verbleiben die zusätzlichen Informationen, mit denen die Personenbezogenen Daten einer speziellen Betroffenen Person zugeordnet werden können, soweit möglich, unter der ausschließlichen Kontrolle des Datenexporteurs. Zur Erfüllung seinen Pflichten gemäß diesem Absatz setzt der Datenimporteur mindestens die in Anhang 2 aufgeführten technischen und organisatorischen Maßnahmen um. Der Datenimporteur führt regelmäßige Kontrollen durch, um sicherzustellen, dass diese Maßnahmen weiterhin ein Angemessenes Schutzniveau bieten. 

(b) Der Datenimporteur gewährt seinem Personal nur insoweit Zugang zu den Personenbezogenen Daten, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Er gewährleistet, dass sich die zur Verarbeitung der Personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer Angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(c) Im Falle einer Verletzung des Schutzes Personenbezogener Daten im Zusammenhang mit der Verarbeitung Personenbezogener Daten durch den Datenimporteur gemäß diesen Klauseln ergreift der Datenimporteur geeignete Maßnahmen zur Behebung der Verletzung, darunter auch Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen. Zudem meldet der Datenimporteur dem Datenexporteur die Verletzung unverzüglich, nachdem sie ihm bekannt wurde. Diese Meldung enthält die Kontaktdaten einer Anlaufstelle für weitere Informationen, eine Beschreibung der Art der Verletzung (soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der Betroffenen Personen und der ungefähren Zahl der Betroffenen Personenbezogenen Datensätze), die wahrscheinlichen Folgen der Verletzung und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen. Wenn und soweit nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

(d) Unter Berücksichtigung der Art der Verarbeitung und der dem Datenimporteur zur Verfügung stehenden Informationen arbeitet der Datenimporteur mit dem Datenexporteur zusammen und unterstützt ihn dabei, seinen Pflichten gemäß der Verordnung (EU) 2016/ 679 nachzukommen, insbesondere die zuständige Aufsichtsbehörde und die Betroffenen Personen zu benachrichtigen

8.7 Sensible Daten

Soweit die Übermittlung Personenbezogene Daten umfasst, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Datenimporteur die in Anhang I.B beschriebenen speziellen Beschränkungen und/ oder zusätzlichen Garantien an.

8.8 Weiterübermittlungen

Der Datenimporteur gibt die Personenbezogenen Daten nur auf dokumentierte Weisung des Datenexporteurs an Dritte weiter. Die Daten dürfen zudem nur an Dritte weitergegeben werden, die (in demselben Land wie der Datenimporteur oder in einem anderen Drittland) außerhalb der Europäischen Union ansässig sind (im Folgenden „Weiterübermittlung“), sofern der Dritte im Rahmen des betreffenden Moduls an diese Klauseln gebunden ist oder sich mit der Bindung daran einverstanden erklärt oder falls

(i) die Weiterübermittlung an ein Land erfolgt, für das ein Angemessenheitsbeschluss nach Artikel 45 der Verordnung (EU) 2016/ 679 gilt, der die Weiterübermittlung abdeckt;

(ii) der Dritte auf andere Weise geeignete Garantien gemäß Artikel 46 oder Artikel 47 der Verordnung (EU) 2016/ 679 im Hinblick auf die betreffende Verarbeitung gewährleistet;

(iii) die Weiterübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit bestimmten Verwaltungs-, Gerichts- oder Regulatorischen Verfahren erforderlich ist oder

(iv) die Weiterübermittlung erforderlich ist, um lebenswichtige Interessen der Betroffenen Person oder einer anderen natürlichen Person zu schützen.

Jede Weiterübermittlung erfolgt unter der Bedingung, dass der Datenimporteur alle anderen Garantien gemäß diesen Klauseln, insbesondere die Zweckbindung, einhält.

8.9 Dokumentation und Einhaltung der Klauseln

(a) Der Datenimporteur bearbeitet Anfragen des Datenexporteurs, die sich auf die Verarbeitung gemäß diesen Klauseln beziehen, umgehend und in Angemessener Weise.

(b) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können. Insbesondere führt der Datenimporteur geeignete Aufzeichnungen über die im Auftrag des Datenexporteurs durchgeführten Verarbeitungstätigkeiten.

(c) Der Datenimporteur stellt dem Datenexporteur alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesen Klauseln festgelegten Pflichten nachzuweisen; auf Verlangen des Datenexporteurs ermöglicht er diesem, die unter diese Klauseln fallenden Verarbeitungstätigkeiten in Angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung zu prüfen, und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Datenexporteur einschlägige Zertifizierungen des Datenimporteurs berücksichtigen.

(d) Der Datenexporteur kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Datenimporteurs umfassen und werden gegebenenfalls mit Angemessener Vorankündigung durchgeführt.

(e) Die Parteien stellen der zuständigen Aufsichtsbehörde die unter den Buchstaben b und c genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.


Klausel 9

Einsatz von Unterauftragsverarbeitern

Der Datenimporteur besitzt die allgemeine Genehmigung des Datenexporteurs für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Datenimporteur unterrichtet den Datenexporteur mindestens 10 Tage im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Datenexporteur damit ausreichend Zeit ein, um vor der Beauftragung des/ der Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Datenimporteur stellt dem Datenexporteur die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Datenimporteur einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Datenexporteurs), so muss diese Beauftragung im Wege eines schriftlichen Vertrags erfolgen, der im Wesentlichen dieselben Datenschutzpflichten vorsieht wie diejenigen, die den Datenimporteur gemäß diesen Klauseln binden, einschließlich im Hinblick auf Rechte als Drittbegünstigte für Betroffene Personen. Die Parteien erklären sich damit einverstanden, dass der Datenimporteur durch Einhaltung der vorliegenden Klausel seinen Pflichten gemäß Klausel 8.8 nachkommt. Der Datenimporteur stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Datenimporteur gemäß diesen Klauseln unterliegt.

(c) Der Datenimporteur stellt dem Datenexporteur auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich Personenbezogener Daten, notwendig ist, kann der Datenimporteur den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

(d) Der Datenimporteur haftet gegenüber dem Datenexporteur in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Datenimporteur geschlossenen Vertrag nachkommt. Der Datenimporteur benachrichtigt den Datenexporteur, wenn der Unterauftragsverarbeiter seinen Pflichten gemäß diesem Vertrag nicht nachkommt.

(e) Der Datenimporteur vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Datenexporteur – sollte der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sein – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die Personenbezogenen Daten zu löschen oder zurückzugeben.


Klausel 10

Rechte Betroffener Personen

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich über jeden Antrag, den er von einer Betroffenen Person erhalten hat. Er beantwortet diesen Antrag nicht selbst, es sei denn, er wurde vom Datenexporteur dazu ermächtigt.

(b) Der Datenimporteur unterstützt den Datenexporteur bei der Erfüllung von dessen Pflicht, Anträge Betroffener Personen auf Ausübung ihrer Rechte gemäß der Verordnung (EU) 2016/ 679 zu beantworten. Zu diesem Zweck legen die Parteien in Anhang 2 unter Berücksichtigung der Art der Verarbeitung die geeigneten technischen und organisatorischen Maßnahmen, durch die Unterstützung geleistet wird, sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest. 

(c) Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Datenimporteur die Weisungen des Datenexporteurs.


Klausel 11

Rechtsbehelf

(a) Der Datenimporteur informiert die Betroffenen Personen in transparenter und leicht zugänglicher Form mittels individueller Benachrichtigung oder auf seiner Website über eine Anlaufstelle, die befugt ist, Beschwerden zu bearbeiten. Er bearbeitet umgehend alle Beschwerden, die er von einer Betroffenen Person erhält. 

(b) Im Falle einer Streitigkeit zwischen einer Betroffenen Person und einer der Parteien bezüglich der Einhaltung dieser Klauseln bemüht sich die betreffende Partei nach besten Kräften um eine zügige gütliche Beilegung. Die Parteien halten einander über derartige Streitigkeiten auf dem Laufenden und bemühen sich gegebenenfalls gemeinsam um deren Beilegung.

(c) Macht die Betroffene Person ein Recht als Drittbegünstigte gemäß Klausel 3 geltend, erkennt der Datenimporteur die Entscheidung der Betroffenen Person an,

(i) eine Beschwerde bei der Aufsichtsbehörde des Mitgliedstaats ihres gewöhnlichen Aufenthaltsorts oder ihres Arbeitsorts oder bei der zuständigen Aufsichtsbehörde gemäß Klausel 13 einzureichen;

(ii) den Streitfall an die zuständigen Gerichte im Sinne der Klausel 18 zu verweisen.

(d) Die Parteien erkennen an, dass die Betroffene Person von einer Einrichtung, Organisation oder Vereinigung ohne Gewinnerzielungsabsicht gemäß Artikel 80, Absatz 1 der Verordnung (EU) 2016/ 679 vertreten werden kann.

(e) Der Datenimporteur unterwirft sich einem nach geltendem Unionsrecht oder dem geltenden Recht eines Mitgliedstaats verbindlichen Beschluss.

(f) Der Datenimporteur erklärt sich damit einverstanden, dass die Entscheidung der Betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, Rechtsbehelfe im Einklang mit geltenden Rechtsvorschriften einzulegen.


Klausel 12

Haftung

(a) Jede Partei haftet gegenüber der/ den anderen Partei(en) für Schäden, die sie der/ den anderen Partei(en) durch einen Verstoß gegen diese Klauseln verursacht.

(b) Der Datenimporteur haftet gegenüber der Betroffenen Person, und die Betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenimporteur oder sein Unterauftragsverarbeiter der Betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt.

(c) Ungeachtet von Buchstabe b haftet der Datenexporteur gegenüber der Betroffenen Person, und die Betroffene Person hat Anspruch auf Schadenersatz für jeden materiellen oder immateriellen Schaden, den der Datenexporteur oder der Datenimporteur (oder dessen Unterauftragsverarbeiter) der Betroffenen Person verursacht, indem er deren Rechte als Drittbegünstigte gemäß diesen Klauseln verletzt. Dies gilt unbeschadet der Haftung des Datenexporteurs und, sofern der Datenexporteur ein im Auftrag eines Verantwortlichen handelnder Auftragsverarbeiter ist, unbeschadet der Haftung des Verantwortlichen gemäß der Verordnung (EU) 2016/ 679 oder gegebenenfalls der Verordnung (EU) 2018/1725.

(d) Die Parteien erklären sich damit einverstanden, dass der Datenexporteur, der nach Buchstabe c für durch den Datenimporteur (oder dessen Unterauftragsverarbeiter) verursachte Schäden haftet, berechtigt ist, vom Datenimporteur den Teil des Schadenersatzes zurückzufordern, der der Verantwortung des Datenimporteurs für den Schaden entspricht.

(e) Ist mehr als eine Partei für Schäden verantwortlich, die der Betroffenen Person infolge eines Verstoßes gegen diese Klauseln entstanden sind, so haften alle verantwortlichen Parteien gesamtschuldnerisch, und die Betroffene Person ist berechtigt, gegen jede der Parteien gerichtlich vorzugehen.

(f) Die Parteien erklären sich damit einverstanden, dass eine Partei, die nach Buchstabe e haftbar gemacht wird, berechtigt ist, von der/ den anderen Partei(en) den Teil des Schadenersatzes zurückzufordern, der deren Verantwortung für den Schaden entspricht.

(g) Der Datenimporteur kann sich nicht auf das Verhalten eines Unterauftragsverarbeiter berufen, um sich seiner eigenen Haftung zu entziehen.


Klausel 13

Aufsicht

(a) Die Aufsichtsbehörde, die dafür verantwortlich ist, sicherzustellen, dass der Datenexporteur bei Datenübermittlungen die Verordnung (EU) 2016/ 679 einhält, fungiert als zuständige Aufsichtsbehörde, entsprechend der Angabe in Anhang I.C.

(b) Der Datenimporteur erklärt sich damit einverstanden, sich der Zuständigkeit der zuständigen Aufsichtsbehörde zu unterwerfen und bei allen Verfahren, mit denen die Einhaltung dieser Klauseln sichergestellt werden soll, mit ihr zusammenzuarbeiten. Insbesondere erklärt sich der Datenimporteur damit einverstanden, Anfragen zu beantworten, sich Prüfungen zu unterziehen und den von der Aufsichtsbehörde getroffenen Maßnahmen, darunter auch Abhilfemaßnahmen und Ausgleichsmaßnahmen, nachzukommen. Er bestätigt der Aufsichtsbehörde in schriftlicher Form, dass die erforderlichen Maßnahmen ergriffen wurden.


ABSCHNITT III – LOKALE RECHTSVORSCHRIFTEN UND PFLICHTEN IM FALLE DES ZUGANGS VON BEHÖRDEN ZU DEN DATEN

Klausel 14

Lokale Rechtsvorschriften und Gepflogenheiten, die sich auf die Einhaltung der Klauseln auswirken

(a) Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung Personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung Personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23, Absatz 1 der Verordnung (EU) 2016/ 679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.

(b) Die Parteien erklären, dass sie hinsichtlich der Zusicherung in Buchstabe a insbesondere die folgenden Aspekte gebührend berücksichtigt haben:

(i) die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten Personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten;

(ii) die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes - einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten - sowie die geltenden Beschränkungen und Garantien;

(iii) alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung Personenbezogener Daten im Bestimmungsland angewandt werden.

(c) Der Datenimporteur versichert, dass er sich im Rahmen der Beurteilung nach Buchstabe b nach besten Kräften bemüht hat, dem Datenexporteur sachdienliche Informationen zur Verfügung zu stellen, und erklärt sich damit einverstanden, dass er mit dem Datenexporteur weiterhin zusammenarbeiten wird, um die Einhaltung dieser Klauseln zu gewährleisten.

(d) Die Parteien erklären sich damit einverstanden, die Beurteilung nach Buchstabe b zu dokumentieren und sie der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Der Datenimporteur erklärt sich damit einverstanden, während der Laufzeit des Vertrags den Datenexporteur unverzüglich zu benachrichtigen, wenn er nach Zustimmung zu diesen Klauseln Grund zu der Annahme hat, dass für ihn Rechtsvorschriften oder Gepflogenheiten gelten, die nicht mit den Anforderungen in Buchstabe a im Einklang stehen; hierunter fällt auch eine Änderung der Rechtsvorschriften des Drittlandes oder eine Maßnahme (z. B. ein Offenlegungsersuchen), die sich auf eine nicht mit den Anforderungen in Buchstabe a im Einklang stehende Anwendung dieser Rechtsvorschriften in der Praxis bezieht.

(f) Nach einer Benachrichtigung gemäß Buchstabe e oder wenn der Datenexporteur anderweitig Grund zu der Annahme hat, dass der Datenimporteur seinen Pflichten gemäß diesen Klauseln nicht mehr nachkommen kann, ermittelt der Datenexporteur unverzüglich geeignete Maßnahmen (z. B. technische oder organisatorische Maßnahmen zur Gewährleistung der Sicherheit und Vertraulichkeit), die der Datenexporteur und/ oder der Datenimporteur ergreifen müssen, um Abhilfe zu schaffen. Der Datenexporteur setzt die Datenübermittlung aus, wenn er der Auffassung ist, dass keine geeigneten Garantien für eine derartige Übermittlung gewährleistet werden können, oder wenn er von der dafür zuständigen Aufsichtsbehörde dazu angewiesen wird. In diesem Fall ist der Datenexporteur berechtigt, den Vertrag zu kündigen, soweit es um die Verarbeitung Personenbezogener Daten gemäß diesen Klauseln geht. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben. Wird der Vertrag gemäß dieser Klausel gekündigt, finden Klausel 16, Buchstaben d und e Anwendung.


Klausel 15

Pflichten des Datenimporteurs im Falle des Zugangs von Behörden zu den Daten

15.1 Benachrichtigung

(a) Der Datenimporteur erklärt sich damit einverstanden, den Datenexporteur und, soweit möglich, die Betroffene Person (gegebenenfalls mit Unterstützung des Datenexporteurs) unverzüglich zu benachrichtigen:

(i) wenn er von einer Behörde, einschließlich Justizbehörden, ein nach den Rechtsvorschriften des Bestimmungslandes rechtlich bindendes Ersuchen um Offenlegung Personenbezogener Daten erhält, die gemäß diesen Klauseln übermittelt werden; diese Benachrichtigung muss Informationen über die angeforderten Personenbezogenen Daten, die ersuchende Behörde, die Rechtsgrundlage des Ersuchens und die mitgeteilte Antwort enthalten; oder

(ii) wenn er Kenntnis davon erlangt, dass eine Behörde nach den Rechtsvorschriften des Bestimmungslandes direkten Zugang zu Personenbezogenen Daten hat, die gemäß diesen Klauseln übermittelt wurden; diese Benachrichtigung muss alle dem Datenimporteur verfügbaren Informationen enthalten.

(b) Ist es dem Datenimporteur gemäß den Rechtsvorschriften des Bestimmungslandes untersagt, den Datenexporteur und/ oder die Betroffene Person zu benachrichtigen, so erklärt sich der Datenimporteur einverstanden, sich nach besten Kräften um eine Aufhebung des Verbots zu bemühen, damit möglichst viele Informationen so schnell wie möglich mitgeteilt werden können. Der Datenimporteur verpflichtet sich, seine Anstrengungen zu dokumentieren, um diese auf Verlangen des Datenexporteurs nachweisen zu können.

(c) Soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist, erklärt sich der Datenimporteur bereit, dem Datenexporteur während der Vertragslaufzeit in regelmäßigen Abständen möglichst viele sachdienliche Informationen über die eingegangenen Ersuchen zur Verfügung zu stellen (insbesondere Anzahl der Ersuchen, Art der angeforderten Daten, ersuchende Behörde(n), ob Ersuchen angefochten wurden und das Ergebnis solcher Anfechtungen usw.).

(d) Der Datenimporteur erklärt sich damit einverstanden, die Informationen gemäß den Buchstaben a bis c während der Vertragslaufzeit aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

(e) Die Buchstaben a bis c gelten unbeschadet der Pflicht des Datenimporteurs gemäß Klausel 14, Buchstabe e und Klausel 16, den Datenexporteur unverzüglich zu informieren, wenn er diese Klauseln nicht einhalten kann.

15.2 Überprüfung der Rechtmäßigkeit und Datenminimierung

(a) Der Datenimporteur erklärt sich damit einverstanden, die Rechtmäßigkeit des Offenlegungsersuchens zu überprüfen, insbesondere ob das Ersuchen im Rahmen der Befugnisse liegt, die der ersuchenden Behörde übertragen wurden, und das Ersuchen anzufechten, wenn er nach sorgfältiger Beurteilung zu dem Schluss kommt, dass hinreichende Gründe zu der Annahme bestehen, dass das Ersuchen nach den Rechtsvorschriften des Bestimmungslandes, gemäß geltenden Internationalen Verpflichtungen und nach den Grundsätzen der Völkercourtoisie rechtswidrig ist. Unter den genannten Bedingungen sind vom Datenimporteur mögliche Rechtsmittel einzulegen. Bei der Anfechtung eines Ersuchens erwirkt der Datenimporteur einstweilige Maßnahmen, um die Wirkung des Ersuchens auszusetzen, bis die zuständige Justizbehörde über dessen Begründetheit entschieden hat. Er legt die angeforderten Personenbezogenen Daten erst offen, wenn dies nach den geltenden Verfahrensregeln erforderlich ist. Diese Anforderungen gelten unbeschadet der Pflichten des Datenimporteurs gemäß Klausel 14, Buchstabe e.

(b) Der Datenimporteur erklärt sich damit einverstanden, seine rechtliche Beurteilung und eine etwaige Anfechtung des Offenlegungsersuchens zu dokumentieren und diese Unterlagen dem Datenexporteur zur Verfügung zu stellen, soweit dies nach den Rechtsvorschriften des Bestimmungslandes zulässig ist. Auf Anfrage stellt er diese Unterlagen auch der zuständigen Aufsichtsbehörde zur Verfügung.

(c) Der Datenimporteur erklärt sich damit einverstanden, bei der Beantwortung eines Offenlegungsersuchens auf der Grundlage einer vernünftigen Auslegung des Ersuchens die zulässige Mindestmenge an Informationen bereitzustellen.


ABSCHNITT IV – SCHLUSSBESTIMMUNGEN

Klausel 16

Verstöße gegen die Klauseln und Beendigung des Vertrags

(a) Der Datenimporteur unterrichtet den Datenexporteur unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

(b) Verstößt der Datenimporteur gegen diese Klauseln oder kann er diese Klauseln nicht einhalten, setzt der Datenexporteur die Übermittlung Personenbezogener Daten an den Datenimporteur aus, bis der Verstoß beseitigt oder der Vertrag beendet ist. Dies gilt unbeschadet von Klausel 14, Buchstabe f.

(c) Der Datenexporteur ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung Personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

(i) der Datenexporteur die Übermittlung Personenbezogener Daten an den Datenimporteur gemäß Buchstabe b ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer Angemessenen Frist, in jedem Fall aber innerhalb einer einmonatigen Aussetzung, wiederhergestellt wurde;

(ii) der Datenimporteur in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder

(iii) der Datenimporteur einer verbindlichen Entscheidung eines zuständigen Gerichts oder einer zuständigen Aufsichtsbehörde, die seine Pflichten gemäß diesen Klauseln zum Gegenstand hat, nicht nachkommt.

In diesen Fällen unterrichtet der Datenexporteur die zuständige Aufsichtsbehörde über derartige Verstöße. Sind mehr als zwei Parteien an dem Vertrag beteiligt, so kann der Datenexporteur von diesem Kündigungsrecht nur gegenüber der verantwortlichen Partei Gebrauch machen, sofern die Parteien nichts anderes vereinbart haben.

(d) Personenbezogene Daten, die vor Beendigung des Vertrags gemäß Buchstabe c übermittelt wurden, müssen nach Wahl des Datenexporteurs unverzüglich an diesen zurückgegeben oder vollständig gelöscht werden. Dies gilt gleichermaßen für alle Kopien der Daten. Der Datenimporteur bescheinigt dem Datenexporteur die Löschung. Bis zur Löschung oder Rückgabe der Daten stellt der Datenimporteur weiterhin die Einhaltung dieser Klauseln sicher. Falls für den Datenimporteur lokale Rechtsvorschriften gelten, die ihm die Rückgabe oder Löschung der übermittelten Personenbezogenen Daten untersagen, sichert der Datenimporteur zu, dass er die Einhaltung dieser Klauseln auch weiterhin gewährleistet und diese Daten nur in dem Umfang und so lange verarbeitet, wie dies gemäß den betreffenden lokalen Rechtsvorschriften erforderlich ist.

(e) Jede Partei kann ihre Zustimmung widerrufen, durch diese Klauseln gebunden zu sein, wenn (i) die Europäische Kommission einen Beschluss nach Artikel 45, Absatz 3 der Verordnung (EU) 2016/ 679 erlässt, der sich auf die Übermittlung Personenbezogener Daten bezieht, für die diese Klauseln gelten, oder (ii) die Verordnung (EU) 2016/ 679 Teil des Rechtsrahmens des Landes wird, an das die Personenbezogenen Daten übermittelt werden. Dies gilt unbeschadet anderer Verpflichtungen, die für die betreffende Verarbeitung gemäß der Verordnung (EU) 2016/ 679 gelten.

     

Klausel 17

Anwendbares Recht

Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht Rechte als Drittbegünstigte zulässt. Die Parteien vereinbaren, dass dies das Recht von Königreich Spanien.

     

Klausel 18

Gerichtsstand und Zuständigkeit

(a) Streitigkeiten, die sich aus diesen Klauseln ergeben, werden von den Gerichten eines EU-Mitgliedstaats beigelegt.

(b) Die Parteien vereinbaren, dass dies die Gerichte von Königreich Spanien sind.

(c) Eine Betroffene Person kann Klage gegen den Datenexporteur und/ oder den Datenimporteur auch vor den Gerichten des Mitgliedstaats erheben, in dem sie ihren gewöhnlichen Aufenthaltsort hat.

(d) Die Parteien erklären sich damit einverstanden, sich der Zuständigkeit dieser Gerichte zu unterwerfen.


Anhang I.A. LISTE DER PARTEIEN

Datenexporteur(e):

Name: [Kundenname]

Anschrift: [Kundenadresse]

Name, Funktion und Kontaktdaten der Kontaktperson: [Kontaktperson für den Kunden]

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: der Datenimporteur liefert dem Datenexporteur die Leistungen gemäß dem Vertrag.

Unterschrift und Datum:

........................................................................................................

Rolle: Verantwortlicher

Datenimporteur(e):

Name: SiteGround Spain S.L. 

Anschrift: Calle de Prim 19, 28004 Madrid, Spanien

Name, Funktion und Kontaktdaten der Kontaktperson: Caberseg, Consultores y Auditores S.L.L., Datenschutzbeauftragter, dpo@siteground.es.

Tätigkeiten, die für die gemäß diesen Klauseln übermittelten Daten von Belang sind: Hosting und andere Leistungen

Unterschrift und Datum: 

........................................................................................................

Rolle: Auftragsverarbeiter


Anhang I.B. BESCHREIBUNG DER DATENÜBERMITTLUNG

Kategorien Betroffener Personen, deren Personenbezogene Daten übermittelt werden

Die Personenbezogenen Daten betreffen die Kategorien der Betroffenen Personen laut der Definition in Abschnitt 2.3.4. in der DVV.

Kategorien der übermittelten Personenbezogenen Daten

Die Personenbezogenen Daten betreffen die Datenkategorien laut der Definition in Abschnitt 2.3.5. der DVV.

Übermittelte sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen.

Der Kunde kann Kundendaten im Laufe seiner Nutzung der Leistungen übermitteln, deren Umfang vom Kunden nach eigenem Ermessen festgelegt und kontrolliert wird und die Kategorien sensibler Daten enthalten können. Um den Schutz zu gewährleisten, haben wir verschiedene Beschränkungen und Garantien angenommen, z. B. Sicherheitsmaßnahmen, System- und Datenzugriffskontrollen u. a., mehr Information finden Sie in Anhang 2.

Häufigkeit der Übermittlung (z. B. ob die Daten einmalig oder kontinuierlich übermittelt werden).

Die Daten werden kontinuierlich übermittelt.

Art der Verarbeitung

Die Art der Verarbeitung ist bestimmt gemäß Art. 2.3.3 der DVV.

Zweck(e) der Datenübermittlung und Weiterverarbeitung

Der Zweck der Datenübermittlung und -weiterverarbeitung besteht darin, die Serverinfrastruktur von SiteGround, die teilweise außerhalb des Europäischen Wirtschaftsraums gelegen ist, besser auszulasten.

Dauer, für die die Personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer

Die Dauer der Verarbeitung ist festgelegt gemäß Art. 2.3.2 der DVV. 

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

Gegenstand, Art und Dauer der Verarbeitung sind festgelegt entsprechend gemäß Art. 2.3.1, 2.3.2 und 2.3.3 der DVV


Anhang I.C. ZUSTÄNDIGE AUFSICHTSBEHÖRDE

Die zuständige Aufsichtsbehörde ist die Spanische Datenschutzagentur.


Anhang 2: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN, EINSCHLIESSLICH ZUR GEWÄHRLEISTUNG DER SICHERHEIT DER DATEN

Sicherheitsmaßnahmen

SiteGround implementiert und unterhält angemessene technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten, einschließlich Maßnahmen, die in diesem Anhang 2 zu der DVV aufgeführt sind. Diese Maßnahmen sollen Personenbezogene Daten vor zufälligem oder unbefugtem Verlust, Vernichtung, Veränderung, Offenlegung oder Zugriff und vor allen anderen rechtswidrigen Formen der Verarbeitung schützen. Zusätzliche Maßnahmen und Informationen zu solchen Maßnahmen, einschließlich der besonderen Sicherheitsmaßnahmen und Praktiken für die vom Kunden beauftragten besonderen Leistungen, können im Vertrag festgelegt werden.

SiteGround kann diese Sicherheitsmaßnahmen periodisch aktualisieren oder ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Herabsetzung der allgemeinen Sicherheit der Leistungen führen.

Die von SiteGround angewandten technischen und organisatorischen Sicherheitsmaßnahmen entsprechen den Standardvertragsklauseln.

Personal und Vertraulichkeit

SiteGround wird angemessene Schritte vornehmen, um sicherzustellen, dass keine Person von SiteGround bestimmt wird, Personenbezogenen Daten zu verarbeiten, solange diese Person nicht:

  1. kompetent und geschult ist, die ihr von SiteGround beauftragten besonderen Aufgaben u erfüllen;
  2. von SiteGround bevollmächtigt wurde; und
  3. von SiteGround über die für die Erfüllung der Pflichten von SiteGround gemäß dieser Klauseln einschlägigen Anforderungen angewiesen wurde, insbesondere über die Einschränkungen der Zwecke der Datenverarbeitung.

Von den Mitarbeitern von SiteGround wird erfordert, dass ihr Verhalten den Firmenrichtlinien bezüglich Vertraulichkeit, der Wirtschaftsethik, der geeigneten Nutzung und den Standesregeln entspricht. SiteGround führt angemessene geeignete Prüfungen der Vorgeschichte in dem gesetzlich zugelassenen Umfang und gemäß der einschlägigen lokalen Arbeitsgesetzgebung und den gesetzlichen Regelungen. Von den Mitarbeitern wird angefordert, dass sie einen Vertraulichkeitsvertrag ausfertigen und sie müssen akzeptieren, dass sie die Vertraulichkeits- und Personendatenschutzpolitiken von SiteGround bekommen haben und dass sie sie einhalten werden. Sie machen die einschlägigen Informationsschutz- und Datenschutzschulungen durch und die Mitarbeiter, die mit Kundendaten umgehen, müssen zusätzlichen Anforderungen je nach ihrer Funktion genügen.

Physische Sicherheit

SiteGround benutzt geografisch verteilte Datenzentren und speichert alle Produktionsdaten in physisch gesicherten Datenzentren. Die Produktionsrechenzentren der Unterauftragsverarbeitern von SiteGround setzen Maßnahmen ein, um den Zugriff auf die Datenverarbeitungssysteme zu sichern. Wir verfügen über ein Zutrittssystem, das den Zugang zum Rechenzentrum regelt. Dieses System erlaubt nur autorisiertem Personal den Zugang zu den geschützten Bereichen. Die Einrichtungen sind so konzipiert, dass sie ungünstigen Witterungsverhältnissen und anderen vernünftigerweise vorhersehbaren natürlichen Bedingungen standhalten, sind durch Wachpersonal Rund-um-die-Uhr, Videoüberwachung, Zugangskontrollen und eskortgesteuerten Zugang gesichert und werden auch bei Stromausfall durch Notstromgeneratoren vor Ort unterstützt.

Die Stromversorgungssysteme des Rechenzentrums sind redundant ausgelegt und ohne Beeinträchtigung des 24/ 7 - Dauerbetriebs wartbar. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum sowohl eine primäre als auch eine alternative Stromquelle bereitgestellt. Notstrom wird durch verschiedene Mechanismen bereitgestellt, z. B. unterbrechungsfreie Stromversorgungen (UPS), Batterien oder Dieselgeneratoren, die in der Lage sind, elektrische Notstromversorgung oder zuverlässigen Stromschutz bei Stromausfällen, Stromausfällen, Überspannung, Unterspannung und unzulässigen Frequenzbedingungen bereitzustellen.

Es wurden Infrastruktursysteme entwickelt, um einzelne Schwachstellen zu eliminieren und die Auswirkungen erwarteter Umweltrisiken zu minimieren. Die Produktionsanlagen und Einrichtungen von Unterauftragsverarbeitern von SiteGround verfügen über dokumentierte Verfahren zur vorbeugenden Wartung, in denen die Verarbeitung für und die Leistungshäufigkeit gemäß den Hersteller- oder internen Pflichtenheften aufgeführt sind. Die vorbeugende und ordnungsgemäße Wartung der Rechenzentrumsausrüstung wird durch eine standardisierte Änderungsverarbeitung gemäß dokumentierten Verfahren geplant.

Systemzugriffssteuerung

Die Server von SiteGround verwenden eine Linux-basierte Implementierung, die für die Leistungen angepasst ist. SiteGround verwendet eine Überprüfungsverarbeitung, um die Sicherheit der verwendeten Betriebssysteme zu erhöhen, um die Leistungen zu erbringen und die Sicherheit der Produkte in Produktionsumgebungen zu verbessern.

SiteGround hat und pflegt eine Reihe von Informationsschutzrichtlinien für unsere Mitarbeiter. Die Mitarbeiter von SiteGround für Infrastruktur, Entwicklung und Betreuung sind verantwortlich für die laufende Überwachung der Infrastruktursicherheit von SiteGround, die Überprüfung der Leistungen und die Reaktion auf Sicherheitsvorfälle.

Die internen Zugriffskontrollrichtlinien und Verfahren von SiteGround sollen verhindern, dass unbefugte Personen und/ oder Systeme Zugriff auf Systeme erhalten, die zur Verarbeitung von Kundendaten, einschließlich personenbezogener Daten, verwendet werden. SiteGround zielt darauf ab, seine Systeme so zu gestalten, dass sie: (i) nur autorisierten Personen den Zugriff auf Daten ermöglichen, zu denen sie berechtigt sind; und (ii) sicherzustellen, dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Aufzeichnung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. SiteGround verwendet ein Zugriffsverwaltungssystem, um den persönlichen Zugriff auf die Produktionsserver zu kontrollieren, und gewährt nur autorisierten Personen Zugriff. Je nach den jeweils beauftragten Leistungen können unter anderem folgende Kontrollen angewandt werden: Authentifizierung über Passwörter und/ oder Zwei-Faktor-Authentifizierung, SSH-Schlüssel, Autorisierungsprozess, Änderungsmanagementsprozess, der logische Zugriff auf die Datenzentren ist eingeschränkt und durch eine Firewall/ VLAN geschützt, Protokollierung und Überwachung der Zugriffe auf mehrere Ebenen. Die Gewährung oder die Veränderung von Zugriffsrechten basiert auf: den beruflichen Verantwortlichkeiten der autorisierten Mitarbeiter; berufliche Anforderungen, die erforderlich sind, um autorisierte Aufgaben auszuführen; und einer strikten Need-to-know-Basis. Die Gewährung oder Änderung von Zugriffsrechten muss auch gemäß den internen Datenzugriffsrichtlinien von SiteGround erfolgen.

Steuerung des Zugriffs zu Leistungen

Um Leistungen in Anspruch nehmen zu können müssen sich die Kunden über ein Authentifizierungssystem authentifizieren. Jede Anwendung prüft die Zugangsrechte, um dem Kunden die Daten abzubilden.

Je nach den jeweils beauftragten Leistungen können unter anderem folgende Kontrollen angewendet werden: Authentifizierung über Passwörter und/ oder Zwei-Faktor-Authentifizierung, SSH-Schlüssel, Autorisierungsprozess, Änderungsmanagementsprozess und Zugriffsprotokollierung auf mehreren Ebenen. Je nach den bestellten besonderen Leistungen können auch die folgenden Kontrollen angewandt werden: der verantwortlichen Person werden eindeutige Kennungen zugewiesen, Zugangssperrmechanismen bei aufeinanderfolgenden fehlgeschlagenen Anmeldeversuchen und Sperrzeiten, Passwortablauf- und Zurücksetzungsmechanismen, Passwortkomplexitätsanforderungen.

Datenzugriffskontrolle

SiteGround speichert Daten in einer mandantenfähigen Umgebung, was bedeutet, dass die Bereitstellungen mehrerer Kunden auf derselben physischen Hardware gespeichert werden. SiteGround verwendet logische Isolation, um die Daten jedes Kunden zu trennen, und trennt die Daten jedes Kunden logisch von denen anderer. Dies sorgt für die nötige Volumen und verhindert gleichzeitig sehr streng, dass Kunden auf die Daten der anderen zugreifen.

Dem Kunden wird die Steuerung über besondere Kontrollen für den gemeinsamen Zugriff auf die Daten an Endbenutzer für besondere Zwecke gemäß der Funktionalität der Leistungen übertragen. Der Kunde kann diese Kontrollen nutzen. SiteGround stellt bestimmte Protokollierungsfunktionen zur Verfügung.

Der direkte Zugriff auf Kundendaten ist eingeschränkt und falls ein solcher erforderlich ist, werden zusätzlich zu den in den vorherigen Abschnitten festgelegten Zugriffskontrollregeln nur für ordnungsgemäß autorisiertes Personal Zugriffsrechte eingerichtet und durchgesetzt.

Übermittlungssteuerung

Die Datenzentren sind in der Regel über private Hochgeschwindigkeitsverbindungen verbunden, um eine sichere und schnelle Datenübermittlung zwischen Datenzentren zu ermöglichen. Damit soll verhindert werden, dass Daten während der elektronischen Übermittlung oder des Transports oder während der Aufzeichnung auf Datenträgern zur Datenaufbewahrung oder beim Austausch innerhalb des Datenzentrums unbefugt gelesen, kopiert, verändert oder entfernt werden.

Für Daten bei der Übertragung verwendet SiteGround branchenübliche Transportprotokolle, z. B. SSL und TLS zwischen Kunde-Geräten und Leistungen von SiteGround und Datenzentren, und innerhalb der Datenzentren selbst. Sofern nicht auf andere Weise für die Leistungen angegeben (einschließlich im Auftrag, dem einschlägigen Vertrag oder der Benutzerdokumentation der Leistungen), werden Übertragungen von Daten außerhalb der Serviceumgebung verschlüsselt. Einige Funktionalitäten der Leistungen können es dem Kunden ermöglichen, bei der Nutzung der Leistung unverschlüsselte Kommunikation zu wählen. Der Kunde ist allein verantwortlich für die Folgen seiner Entscheidung, solche unverschlüsselten Mitteilungen oder Übertragungen zu verwenden.

Eingabesteuerung

Die Quelle der Personenbezogenen Daten steht unter der Kontrolle des Kunden, und die Integration der Personenbezogenen Daten in das System wird von einer gesicherten Dateiübermittlung verwaltet, über Webleistungen oder vom Kunden in die Anwendung eingegeben. Wie oben im Abschnitt Übermittlungssteuerung dargelegt, erlauben es einige Funktionalitäten der Leistungen den Kunden, unverschlüsselte Dateiübermittlungsprotokolle zu verwenden. In solchen Fällen ist der Kunde allein verantwortlich für die Folgen seiner Entscheidung, solche unverschlüsselten Feldübermittlungsprotokolle zu verwenden.

Die Leistungen werden keine Viren in Kundendaten einbringen; die Leistungen scannen jedoch nicht auf Viren, die in Anhängen oder anderen Personenbezogenen Daten enthalten sein könnten, die von Kunde in die Leistungen hochgeladen werden. Solche hochgeladenen Anhänge werden nicht in den Leistungen ausgeführt und werden daher die Leistungen weder beschädigen noch beeinträchtigen.

Netzwerksteuerung

SiteGround blockiert unautorisierten Datenverkehr zu und innerhalb der Datenzentren mithilfe einer Vielzahl von Technologien, z. B. Firewalls, NATs, partitionierte lokale Netzwerke und physische Trennung von Backend - Servern von öffentlich zugänglichen Schnittstellen.

SiteGround verwendet mehrere Schichten von Netzwerkgeräten und Einbruchserkennung, um seine externe Angriffsfläche zu schützen. SiteGround berücksichtigt potenzielle Angriffsvektoren und integriert geeignete zweckorientierte Technologien in nach außen gerichteten Systemen.

SiteGround und autorisiertes Personal überwachen die Leistungen auf unbefugten Einbruch mit netzwerkbasierten Einbruchserkennungsmechanismen. Die Einbruchserkennung soll einen Einblick in laufende Angriffsaktivitäten geben und angemessene Informationen liefern, um auf Vorfälle zu reagieren. Die Einbruchserkennung von SiteGround umfasst die strenge Kontrolle der Angriffsfläche der Netzwerkkommunikation durch vorbeugende Maßnahmen, z. B. Firewalls, Einsatz intelligenter Erkennungskontrollen an Dateneingabepunkten und Einsatz von Technologien, die bestimmte Gefahrensituationen automatisch beheben.

Reaktion auf Vorfälle

SiteGround unterhält Richtlinien und Verfahren zum Management von Sicherheitsvorfällen und überwacht eine Vielzahl von Kommunikationskanälen für Sicherheitsvorfälle. Die Mitarbeiter von SiteGround werden unverzüglich auf bekannte Vorfälle reagieren und den Kunde unverzüglich benachrichtigen, falls SiteGround Kenntnis von einer tatsächlichen oder vernünftigerweise vermuteten unbefugten Offenlegung von Personenbezogenen Daten erlangt.

Systemprotokolle

SiteGround stellt sicher, dass Verarbeitungssysteme verwendet werden, um Kundendaten - Protokollinformationen in ihrem entsprechenden Systemprotokolleinrichtung zu speichern. Die Protokolleinträge werden unterhalten und aufbewahrt, falls der Verdacht auf einen unangemessenen Zugriff besteht und eine Analyse erforderlich ist. Die Protokolldaten wird sicher aufbewahrt, um Manipulationen zu verhindern.

Zuverlässigkeit und Archivierung

Für die Leistungen stellt SiteGround sicher, dass regelmäßig Archive erstellt werden. Die Archive werden durch eine Kombination aus technischen und physischen Kontrollen gesichert.

SiteGround stellt sicher, dass die Systeme, auf denen Kundendaten aufbewahrt werden, über eine Notfallwiederherstellungseinrichtung verfügen und einem Notfallwiederherstellungsplan unterliegen. Für den Fall, dass die Produktionseinrichtungen nicht mehr verfügbar sind, wird SiteGround Wiederherstellungspläne ausführen, um den Betrieb rechtzeitig wiederherzustellen. SiteGround hat seine Notfallwiederherstellungspläne entworfen und plant und testet sie regelmäßig.

Datenvernichtung

Wenn Kunden Daten löschen oder den Service verlassen, stellt SiteGround sicher, dass die Daten gemäß den Bedingungen im einschlägigen Vertrag gelöscht werden. Die Produktionsrechenzentren der Unterauftragsverarbeiter von SiteGround wenden strenge Verfahren für die Wiederverwendung, Neubereitstellung, Datenvernichtung und Außerbetriebnahme von Festplatten und Hardware an.

Sicherheit der Unterauftragsverarbeiter

Vor dem Eintritt von Unterauftragsverarbeitern führt SiteGround eine Due-Diligence-Prüfung der Sicherheits- und Datenschutzpraktiken der Unterauftragsverarbeiter durch, um sicherzustellen, dass die Unterauftragsverarbeiter ein Sicherheitsniveau und einen angemessenen Datenschutz für ihren Zugriff auf Daten und den Umfang der Leistungen bereitstellen, für die sie verpflichtet sind. Der Unterauftragsverarbeiter ist verpflichtet, angemessene Sicherheits-, Vertraulichkeits- und Datenschutzbedingungen einzugehen.

Systemveränderungen und Erweiterungen

Während der Vertragslaufzeit kann SiteGround Änderungen in den Leistungen verbessern und implementieren. Die Sicherheitskontrollen, die Verfahren, die Richtlinien und Eigenschaften können sich ändern oder ergänzt werden. SiteGround wird Sicherheitskontrollen bereitstellen, die ein Sicherheitsniveau bieten, das nicht wesentlich niedriger ist als das zum Gültigkeitsdatum bereitgestellte.


Anhang 3: LISTE DER UNTERAUFTRAGSVERARBEITER

 

Auf Anfrage erhältlich.


Anhang 4: Internationaler  Datenübermittlungsvertrag

Dieser Internationale  Datenübermittlungsvertrag (IDTA) wurde vom Informationsbeauftragten für Parteien, die beschränkte Übermittlung betreiben, erlassen. Der Informationsbeauftragte meint, dass er Angemessene Garantien für beschränkte Übermittlung liefert, sofern er als rechtlich bindender Vertrag abgeschlossen wird.

Teil 1: Tabellen

Tabelle 1: Parteien und Unterschriften

Anfangsdatum

Vom Zeitpunkt, als der Datenexporteur (der Verantwortliche) Beziehungen mit dem Datenimporteur (dem Auftragsverarbeiter) anknüpft

Parteien

Exporteur (derjenige, der die beschränkte Übermittlung sendet)

Importeur (derjenige, der die beschränkte Übermittlung bekommt)

Angaben über die Parteien

Kunde von SiteGround, ansässig im Vereinigten Königreich

SiteGround Spain S.L.

  

Anschrift: Calle de Prim 19, 28004 Madrid, Spanien

CIF - Nummer: B87194171

Schlüsselkontakt

  • Wie beschrieben im Teil ‘Angaben über das Kundenprofil’ in der Kundenzone

Caberseg, Consultores y Auditores S.L.L.,

Datenschutzbeauftragter, dpo@siteground.es.

Kontakt mit dem Datenimporteur für Betroffene Personen


Caberseg, Consultores y Auditores S.L.L.,

Datenschutzbeauftragter, dpo@siteground.es.

Unterschriften, die bestätigen, dass jede  Partei sich einverstanden erklärt, von diesem  Internationalen Datenübermittlungsvertrag gebunden zu werden

Gilt als unterzeichnet mit der Annahme der DVV.

Gilt als unterzeichnet mit der Veröffentlichung auf der Website von SiteGround.


Tabelle 2: Übermittlungsangaben

Landesgesetzgebung des Vereinigten Königreichs, die den  Internationalen Datenübermittlungsvertrag regelt:

England und Wales

Hauptort für Erhebung rechtlicher Ansprüche seitens der Parteien

England und Wales

Status des Datenexporteurs

In Bezug auf die Verarbeitung der Übermittelten Daten:

Der Datenexporteur ist ein Verantwortlicher, ein Auftragsverarbeiter oder ein Unterauftragsverarbeiter.

Status des Datenimporteurs

In Bezug auf die Verarbeitung der Übermittelten Daten:

Der Datenimporteur ist Auftragsverarbeiter oder Unterauftragsverarbeiter des  Datenexporteurs.

Ob die UK DSGVO für den  Datenimporteur einschlägig ist

Die UK DSGVO findet Anwendung an die Verarbeitung der Übermittelten Daten seitens des Datenimporteurs, sofern die Betroffenen Personen im Vereinigten Königreich sind.

Verbundener Vertrag

 

Falls der Datenimporteur Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist – der Vertrag (die Verträge) zwischen den Parteien, die die Weisungen für Verarbeitung der Übermittelten Daten am Auftragsverarbeiter oder am Unterauftragsverarbeiter enthalten:

Name des Vertrags: Datenverarbeitungsvereibarung 

Vertragsdatum: Das Gültigkeitsdatum ist in der Datenverarbeitungsvereinbarung angegeben.

Parteien zum Vertrag: Kunden von SiteGround und SiteGround

Laufzeit

Der Datenimporteur darf die Übermittelten Daten für die folgende Zeitperiode benutzen:

Die Geltungsperiode der Verbundenen Verträge.

Beendigung des Internationalen Datenübermittlungsvertrags vor Fristablauf

die Parteien können den Internationalen Datenübermittlungsvertrag vor Fristablauf nur im Falle von Verletzung des Internationalen Datenübermittlungsvertrags oder durch schriftliche Vereinbarung der Parteien beenden.

Beendigung des Internationalen Datenübermittlungsvertrags bei Änderung des genehmigten Internationalen Datenübermittlungsvertrags

Welche Parteien können den Internationalen Datenübermittlungsvertrag nach den Regelungen in Abschnitt 29.2 beenden:

Der Datenimporteur

Darf der Datenimporteur die Übermittelten Daten weiter übermitteln?

Der Datenimporteur DARF die Übermittelten Daten an eine andere Organisation oder Person (die eine andere Rechtsperson darstellt) gemäß Abschnitt 16.1 übermitteln (Übermittlung von Übermittelten Daten).

Besondere Beschränkungen, wenn der Datenimporteur die Übermittelten Daten übermitteln darf

Es bestehen keine besondere Beschränkungen.

Überprüfungsdaten

Die Parteien müssen die Sicherheitsanforderungen mindestens einmal im Jahr oder bei jeder Veränderung der Übermittelten Daten, Zwecke, Datenimporteur - Information, TRA oder Risikobewertung überprüfen.

 

 


Tabelle 3: Übermittelte Daten

Übermittelte Daten

 

Die Kategorien von Übermittelten Daten werden automatisch aktualisiert, sobald sich die Information im Verbundenen Basisvertrag verändern wird.

Die Personenbezogenen Daten betreffen die Datenkategorien laut der Definition in Abschnitt 2.3.5. im Verbundenen Vertrag.

Der Kunde darf Kundendaten im Laufe der Nutzung der Leistungen, den Umfang von denen der Kunde bestimmt und nach seinem einzigen Ermessen benutzen darf, und die Kategorien von sensiblen Daten enthalten können. Um ihren Schutz zu sichern haben wir unterschiedliche Beschränkungen und Garantien angenommen, z. B. Sicherheitsmaßnahmen, System- und Datenzugangskontrollen u. a. Ausführlichere Information finden Sie in Anhang 2.

Besondere Kategorien Personenbezogener Daten und strafrechtliche Verurteilungen und Delikte

Alle Typen von sensiblen Daten können vom Kunden nach seinem eigenen Ermessen während der Inanspruchnahme der Leistungen übermittelt werden, und der Datenimporteur wird Beschränkungen oder Garantien anwenden, die das Art der Daten und die verbundenen Risiken völlig berücksichtigen, wie z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich Zugang nur für Mitarbeiter, die spezielle Schulung absolviert haben), Aufzeichnung der Zugangsdaten, Beschränkungen für weitere Übermittlung oder zusätzliche Sicherheitsmaßnahmen.

Entsprechende Betroffene Personen

Die von den Übermittelten Daten Betroffenen Personen sind:

Die Kategorien der Betroffenen Personen werden automatisch aktualisiert, wenn die Information im entsprechenden Verbundenen Vertrag aktualisiert wird.

Die Personenbezogenen Daten betreffen die Kategorien der Betroffenen Personen laut der Definition in Abschnitt 2.3.4. im Verbundenen Vertrag.

Zweck

Der Datenimporteur darf die Übermittelten Daten für die im Verbundenen Vertrag angegebenen Zwecke benutzen.

Die Zwecke werden automatisch aktualisiert, wenn die Information im entsprechenden Verbundenen Vertrag aktualisiert wird.


Tabelle 4: Sicherheitsanforderungen

Übermittlungssicherheit

Wie in Anhang 2 zum Verbundenen Vertrag dargelegt.

Aufbewahrungssicherheit

 Wie in Anhang 2 zum Verbundenen Vertrag dargelegt.

Verarbeitungssicherheit

 Wie in Anhang 2 zum Verbundenen Vertrag dargelegt.

Organisatorische Sicherheitsmaßnahmen

 Wie in Anhang 2 zum Verbundenen Vertrag dargelegt.

Minimale Anforderungen für die technische Sicherheit

 Wie in Anhang 2 zum Verbundenen Vertrag dargelegt.

Aktualisierung der Sicherheitsanforderungen

Die Sicherheitsanforderungen werden automatisch aktualisiert, wenn die Information im entsprechenden Verbundenen Vertrag aktualisiert wird.


Teil 2: Zusätzliche Schutzklauseln

Zusätzliche Schutzklauseln:

Wie im Verbundenen Vertrag und Anhang 2 dazu dargelegt.

(i) Zusätzliche technische Sicherheit

Wie im Verbundenen Vertrag und Anhang 2 dazu dargelegt.

(ii) Zusätzliche organisatorische Sicherheit

Wie im Verbundenen Vertrag und Anhang 2 dazu dargelegt.

(iii) Zusätzliche Vertragssicherheit

Wie im Verbundenen Vertrag und Anhang 2 dazu dargelegt.


Teil 3: Wirtschaftliche Klauseln

Wirtschaftliche Klauseln

Wie im Verbundenen Vertrag dargelegt.


Teil 4: Pflichtklauseln

Information, die Ihnen helfen wird, diesen Internationalen Datenübermittlungsvertrag zu verstehen

1.       Dieser Internationale Datenübermittlungsvertrag und die Verbundenen Verträge

1.1    Jede Partei akzeptiert, dass die im Internationalen Datenübermittlungsvertrag dargelegten Klauseln und Bedingungen bindend sind, gegen die Zustimmung der anderen Partei, die im Internationalen Datenübermittlungsvertrag dargelegten Klauseln und Bedingungen auch als bindend zu akzeptieren.

1.2    Dieser Internationale Datenübermittlungsvertrag besteht aus:

1.2.1    Teil Eins: Tabellen;

1.2.2    Teil Zwei: Zusätzliche Schutzklauseln;

1.2.3    Teil Drei: Wirtschaftliche Klauseln; und

1.2.4    Teil Vier: Pflichtklauseln.

1.3    Der Internationalen Datenübermittlungsvertrag läuft ab dem Anfangsdatum und endet wie dargelegt in Abschnitte 29 oder 30.

1.4    Falls der Datenimporteur ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist, der vom Datenexporteur Weisungen bekommt: der Datenexporteur muss sicherstellen, dass am oder vor dem Anfangsdatum und während der Laufzeit besteht ein Verbundener Vertrag, der zwischen die Parteien durchgesetzt werden kann und der die Anforderungen von Artikel 28 der UK DSGVO erfüllt (und für den sie sicherstellen werden, dass er weiter die Anforderungen von Artikel 28 der UK DSGVO erfüllen wird).

1.5    die Bezugnahmen zum Verbundenen Vertrag oder zu den Wirtschaftlichen Klauseln gelten zu diesem Verbundenen Vertrag oder zu diesen Wirtschaftlichen Klauseln nur insofern sie mit den Pflichtklauseln vereinbar sind.

2.       Rechtliche Bedeutung der Wörter

2.1    Falls ein Wort mit Großbuchstaben beginnt, hat es eine spezielle Bedeutung, die im Rechtsglossar in Abschnitt 36 dargelegt ist.

2.2    Zwecks besserer Lesbarkeit und Verständnis enthält dieser Internationalen Datenübermittlungsvertrag Titel und Orientierungshilfen. Sie sind nicht Teil des bindenden Vertrags, der den Internationalen Datenübermittlungsvertrag bildet.

3.       Sie haben die ganze erforderliche Information geliefert

3.1    Die Parteien müssen sicherstellen, dass die in Teil Eins: Tabellen enthaltene Information am Anfangsdatum und während der Laufzeit richtig und vollständig ist.

3.2    In Tabelle 2: Übermittlungsangaben, wenn die Auswahl, dass die Parteien  Verantwortliche, Auftragsverarbeiter oder Unterauftragsverarbeiter sind falsch ist (entweder als Tatsache oder durch Anwendung der Datenschutzgesetze des Vereinigten Königreichs), dann:

3.2.1    finden die Klauseln und Bedingungen des Genehmigten Internationalen Datenübermittlungsvertrags Anwendung, die der richtige Option entsprechen, die nicht ausgewählt wurde; und

3.2.2    die Parteien und jegliche Entsprechenden Betroffenen Personen sind berechtigt, die Klauseln und Bedingungen des Genehmigten Internationalen Datenübermittlungsvertrags durchzusetzen, die zu dieser richtigen Option anzuwenden sind.

3.3    In Tabelle 2: Übermittlungsangaben, wenn die Auswahl, dass die UK DSGVO angewandt werden falsch ist (entweder als Tatsache oder durch Anwendung der Datenschutzgesetze des Vereinigten Königreichs), dann gelten die Klauseln und Bedingungen des Internationalen Datenübermittlungsvertrags weitestgehend weiter.

4.       Wie ist der Internationale Datenübermittlungsvertrag zu unterzeichnen

4.1    Die Parteien können entscheiden, getrennt zu unterzeichnen (oder auszufertigen):

4.1.1    gleiche Kopien dieses Internationalen Datenübermittlungsvertrags;

4.1.2    zwei Kopien des Internationalen Datenübermittlungsvertrags. In diesem Fall gilt jede gleichförmige Kopie doch als Originalausfertigung dieser Internationalen Datenübermittlungsvertrags, und alle diese Kopien bilden zusammen einen Vertrag;

4.1.3    eine einzelne identische Kopie des Internationalen Datenübermittlungsvertrags. In diesem Fall stellt jede identische Kopie doch eine Originalausfertigung dieses Internationalen Datenübermittlungsvertrags dar, und alle diese Kopien bilden zusammen einen Vertrag,

es sei denn, die lokalen Rechtsvorschriften besagen, dass die Unterzeichnung (oder Ausfertigung) auf diese Weise den Internationalen Datenübermittlungsvertrag für die Parteien nicht bindend sein wird.

5.       Änderungen dieses Internationalen Datenübermittlungsvertrags

5.1    Keine Partei darf die Pflichtklauseln, wie sie im Genehmigten Internationalen Datenübermittlungsvertrag dargelegt sind, ändern, es sei denn:

5.1.1    richtige Querverweise sicherzustellen: Querverweise zu Teil Eins: Tabellen (oder eine beliebige Tabelle), Teil Zwei: Zusätzliche Schutzklauseln, und/ oder Teil Drei: Wirtschaftliche Klauseln dürfen verändert werden, indem die Parteien die Information in einem unterschiedlichen Format dargelegt haben, sodass die Querverweise die richtige Lage der gleichen Information erreichen, oder wenn Klauseln entfernt wurden, weil sie keine Anwendung finden, wie unten dargelegt;

5.1.2    die Abschnitte zu entfernen, für ausdrücklich erklärt wird, dass sie zu den von den Parteien in Tabelle 2: Übermittlungsangaben getroffenen Auswahlen, dass die Parteien Verantwortliche, Auftragsverarbeiter oder Unterauftragsverarbeiter sind und/ oder dass der Datenimporteur der UK DSGVO unterliegt oder eben nicht unterliegt, keine Anwendung finden. Der Datenexporteur und der Datenimporteur verstehen und akzeptieren, dass jegliche entfernte Abschnitte immer noch Anwendung finden können und weiter einen Teil dieses Internationalen Datenübermittlungsvertrags bilden, falls sie fälschlicherweise entfernt wurden, einschließlich weil in Tabelle 2: Übermittlungsangaben falsche Auswahl getroffen wurde;

5.1.3    so, dass der Internationalen Datenübermittlungsvertrag als ein Mehrparteien - Vertrag agiert, falls zum Internationalen Datenübermittlungsvertrag mehr als zwei Parteien bestehen. Das kann den Fall enthalten, dass eine oder mehrere Parteien als führend erklärt werden, die im Namen mancher der anderen oder allen anderen Parteien diesen Internationalen Datenübermittlungsvertrag Entscheidungen treffen dürfen (einschließlich Überprüfung von Tabelle 4: Sicherheitsanforderungen und Teil Zwei: Zusätzliche Schutzklauseln, und Aktualisierungen zu Teil Eins: Tabellen (oder jede beliebige Tabelle), Teil Zwei: Zusätzliche Schutzklauseln, und/ oder Teil Drei: Wirtschaftliche Klauseln) vornehmen; und/ oder

5.1.4    den Internationalen Datenübermittlungsvertrag aktualisieren, damit jegliche am Genehmigten Internationalen Datenübermittlungsvertrag nach Abschnitt 5.4 Veränderungen schriftlich darzulegen, falls die Parteien so wünschen. Die Veränderungen gelten automatisch, ohne dass die in Abschnitt 5.4 beschriebene Aktualisierung vorgenommen wird;

vorausgesetzt dass die Veränderungen die Angemessenen Garantien nicht reduzieren.

5.2    Falls die Parteien das Format der in Teil Eins: Tabellen, Teil Zwei: Zusätzliche Schutzklauseln oder Teil Drei: Wirtschaftliche Klauseln des Genehmigten Internationalen Datenübermittlungsvertrags enthaltenen Information verändern wollen, sie können es durch eine schriftliche Vereinbarung umsetzen, vorausgesetzt dass die Veränderungen die Angemessenen Garantien nicht reduzieren.

5.3    Falls die Parteien die in Teil Eins: Tabellen, Teil Zwei: Zusätzliche Schutzklauseln oder Teil Drei: Wirtschaftliche Klauseln Dieses Internationalen Datenübermittlungsvertrags enthaltenen Information (oder die äquivalente Information) verändern wollen, sie können es durch eine schriftliche Vereinbarung umsetzen, vorausgesetzt dass die Veränderungen die Angemessenen Garantien nicht reduzieren.

5.4    Die Kanzlei des Informationsbeauftragten (ICO) kann periodisch den überarbeiteten Genehmigten Internationalen Datenübermittlungsvertrag veröffentlichen, der:

5.4.1    Angemessene und proportionale Veränderungen des Genehmigten Internationalen Datenübermittlungsvertrags vornimmt, einschließlich Fehlerbehebung im Genehmigten Internationalen Datenübermittlungsvertrags; und/ oder

5.4.2    die Veränderungen der Datenschutzgesetze des Vereinigten Königreichs wiedergibt.

Der überarbeitete Genehmigte Internationale Datenübermittlungsvertrag wird das Anfangsdatum angeben, ab dem die Veränderungen des Genehmigten Internationalen Datenübermittlungsvertrags in Kraft treten und ob infolge der Veränderungen ein weiteres Überprüfungsdatum zu bestimmen ist. Dieser Internationalen Datenübermittlungsvertrag ist automatisch abgeändert, wie es im überarbeiteten Genehmigten Internationalen Datenübermittlungsvertrag ab den angegebenen Anfangsdatum dargelegt ist.

6.       Verstehen dieses Internationalen Datenübermittlungsvertrags

6.1    Dieser Internationale Datenübermittlungsvertrag muss immer so ausgelegt werden, dass er den Datenschutzgesetzen des Vereinigten Königreichs entspricht und so, dass er die Pflichten der Parteien widerspiegelt, Angemessene Garantien zu liefern.

6.2    Falls ein Widerspruch oder ein Konflikt zwischen der Datenschutzgesetze des Vereinigten Königreichs und diesem Internationalen Datenübermittlungsvertrag besteht, finden die Datenschutzgesetze des Vereinigten Königreichs Anwendung.

6.3    Falls die Bedeutung des Internationalen Datenübermittlungsvertrags unklar oder zweideutig ist, wird die Bedeutung angewandt, die der Datenschutzgesetze des Vereinigten Königreichs am nächsten ist.

6.4    Nichts im Internationalen Datenübermittlungsvertrag (einschließlich in den Wirtschaftliche Klauseln oder im Verbundenen Vertrag) darf die Haftung jeglicher Partei gegenüber den Entsprechenden Betroffenen Personen oder gegenüber der Kanzlei des Informationsbeauftragten nach diesem Internationalen Datenübermittlungsvertrag oder nach den Datenschutzgesetze des Vereinigten Königreichs einschränken oder ausschließen.

6.5    Falls in Teilen eins, zwei oder drei Wortlaute bestehen, die den Pflichtklauseln widersprechen, und/ oder darauf abzielen, jegliche Haftung gegenüber den Entsprechenden Betroffenen Personen oder der Kanzlei des Informationsbeauftragten einzuschränken oder auszuschließen, dann finden diese Wortlaute keine Anwendung.

6.6    Die Parteien dürfen im Verbundenen Vertrag Regelungen einschließen, die den Parteien erweiterte Rechte verleihen, die ansonsten von diesem Internationalem Datenübermittlungsvertrag gedeckt sind. Diese erweiterte Rechte können wirtschaftlichen Bedingungen unterliegen, einschließlich Zahlung, unter dem Verbundenen Vertrag, das wird jedoch nicht die durch diesen Internationalen Datenübermittlungsvertrag verliehenen Rechte beeinträchtigen.

6.7    Falls ein Widerspruch oder ein Konflikt zwischen diesem Internationalen Datenübermittlungsvertrag und einem Verbundenen Vertrag oder einem anderen Vertrag besteht, hat dieser Internationale Datenübermittlungsvertrag Vorrang gegenüber diesem Verbundenen Vertrag oder jedem anderen Vertrag, selbst wenn diese Verträge zwischen den Parteien vereinbart wurden. Ausnahmen davon bestehen, wenn (und insofern):

6.7.1    die widersprüchlichen oder gegensätzlichen Bedingungen des Verbundenen Vertrags oder des anderen Vertrags einen größeren Schutz für die Rechte der Entsprechenden Betroffenen Personen vorsehen, in welchem Fall diese Bedingungen Vorrang vor dem Internationalen Datenübermittlungsvertrag haben; und

6.7.2    eine Partei als Auftragsverarbeiter agiert und die widersprüchlichen oder gegensätzlichen Bedingungen im Verbundenen Vertrag Pflichten dieser Partei darstellen die von Artikel 28 der UK DSGVO ausdrücklich erforderlich sind, in welchem Fall diese Bedingungen den widersprüchlichen oder gegensätzlichen Bedingungen des Internationalen Datenübermittlungsvertrags in Bezug auf die Verarbeitung seitens dieser Partei als Auftragsverarbeiter Vorrang haben.

6.8    Die Wörter “umfassen”, “umfasst”, “einschließlich”, “im Einzelnen” werden benutzt, um Beispiele zu nennen, und nicht um vollständige Listen darzulegen.

6.9    Bezugnahmen auf:

6.9.1    Wörter oder Leute im Singular oder im Plural beinhalten auch Plural oder Singular dieser Wörter oder Leute;

6.9.2    Gesetzgebung (oder Besondere Regelungen der Gesetzgebung) bedeutet die Gesetzgebung (oder Sonderregelung) samt ihrer Veränderungen in der Zeit. Das umfasst auch die Fälle, wenn die Gesetzgebung (oder Sonderregelung) nach der Unterzeichnung dieses Internationalen Datenübermittlungsvertrags konsolidiert, neu verordnet und/ oder ersetzt wurde; und

6.9.3    Jede Verpflichtung, eine Handlung nicht vorzunehmen, umfasst auch die Verpflichtung, nicht zuzulassen oder zu veranlassen, dass eine andere Person diese Handlung vornimmt.

7.       Welche Gesetze finden zu diesem Internationalen Datenübermittlungsvertrag Anwendung?

7.1    Dieser Internationale Datenübermittlungsvertrag wird von den Gesetzen des Vereinigten Königreichs geregelt, dargelegt in Tabelle 2: Übermittlungsangaben. Falls keine Auswahl getroffen wurde, gelten die Gesetze von England und Wales. Das gilt nicht für Abschnitt 35, der immer von der Gesetzgebung von England und Wales geregelt wird.

Wie werden von diesem Internationalen Datenübermittlungsvertrag Angemessene Garantien bereitgestellt?

8.       Angemessene Garantien

8.1    Der Zweck dieses Internationalen Datenübermittlungsvertrags ist es, sicherzustellen, dass die Übermittelten Daten mit Angemessenen Garantien versehen sind, wenn sie vom Datenimporteur während der Laufzeit verarbeitet werden. Dieser Standard ist erreicht, wenn und solange:

8.1.1    beide Parteien die Bedingungen des Internationalen Datenübermittlungsvertrags erfüllen, einschließlich die Sicherheitsanforderungen und jegliche zusätzliche Schutzklauseln; und

8.1.2    die Sicherheitsanforderungen und jegliche zusätzliche Schutzklauseln ein Sicherheitsniveau sicherstellen, das dem Risiko von Verletzung Personenbezogener Daten und der Auswirkung solcher Verletzung Personenbezogener Daten auf die entsprechenden Betroffenen Personen, einschließlich hinsichtlich jeglicher Kategorien spezieller Personenbezogenen Daten im Rahmen der Datenübermittlung angemessenen ist.

8.2    Der Datenexporteur muss:

8.2.1    sicherstellen und belegen, dass dieser Internationale Datenübermittlungsvertrag (einschließlich jegliche Sicherheitsanforderungen und zusätzliche Schutzklauseln)  Angemessene Garantien bereitstellt; und

8.2.2    (falls der Datenimporteur vernünftig anfordert) eine Kopie jeglicher TRA zur Verfügung stellen.

8.3    The Datenimporteur muss:

8.3.1    vor Erhalt jeglicher Übermittelten Daten dem Datenexporteur alle einschlägigen Informationen bezüglich der lokalen Gesetze und Praktiken und die Schutzklauseln und Risiken zur Verfügung stellen, die an die Übermittelten Daten Anwendung finden, während sie vom Datenimporteur verarbeitet werden, einschließlich jegliche Informationen, die vom Datenexporteur vernünftig angefordert werden, damit jegliche TRA vorgenommen werden (die “Information für den Datenimporteur ”);

8.3.2    den Datenexporteur unterstützen, um sicherzustellen, dass die Erfüllung der  Pflichten des Datenexporteurs laut den Datenschutzgesetzen des Vereinigten Königreichs erfüllt sind;

8.3.3    überprüfen, ob sich irgendwelche Information für den Datenimporteur verändert hat und ob irgendwelche Lokale Gesetze seiner Pflichten nach diesem Internationalen Datenübermittlungsvertrag widersprechen und angemessene Schritte vornehmen, um das regelmäßig zu überprüfen. Diese Überprüfungen müssen mindestens so oft stattfinden wie die Daten für Überprüfung; und

8.3.4    den Datenexporteur umgehend nach Erfahren jeglicher Information ausrichten, die für den Datenimporteur die Bedingungen verändert und/ oder jeglicher Lokaler Gesetze, die den Datenimporteur bei der Erfüllung seiner Pflichten nach diesem Internationalen Datenübermittlungsvertrag verhindern oder einschränken würde. Diese Information wird dann Teil der Information für den Datenimporteur.

8.4    Der Datenimporteur muss sicherstellen, dass am Anfangsdatum und während der Laufzeit:

8.4.1    Die Information für den Datenimporteur richtig ist;

8.4.2    Er Angemessene Schritte vorgenommen hat, um zu prüfen, ob irgendwelche Lokale Gesetze bestehen, die seiner Pflichten in diesem Internationalen Datenübermittlungsvertrag widersprechen oder irgendwelche zusätzliche Information bezüglich Lokaler Gesetze, die zu diesem Internationalen Datenübermittlungsvertrag Anwendung finden würden.

8.5    Jede Partei muss sicherstellen, dass die Sicherheitsanforderungen und die Zusätzlichen Schutzklauseln ein Sicherheitsniveau sicherstellen, das dem Risiko von Verletzung Personenbezogener Daten und der Auswirkung solcher Verletzung Personenbezogener Daten auf die entsprechenden Betroffenen Personen angemessenen ist.

9.       Überprüfung, um sicherzustellen, dass die Angemessenen Garantien weiterbestehen

9.1    Jede Partei muss:

9.1.1    Diesen Internationalen Datenübermittlungsvertrag (einschließlich die Sicherheitsanforderungen und die Zusätzlichen Schutzklauseln und die Information für den Datenimporteur) regelmäßig überprüfen, um sicherzustellen, dass der Internationale Datenübermittlungsvertrag präzise und aktuell bleibt und die Angemessenen Garantien weiter sichergestellt sind. Jede Partei wird diese Überprüfung  mindestens so oft vornehmen wie die entsprechenden Daten für die Überprüfung oder öfter; und

9.1.2    die andere Partei schriftlich ausrichten, sobald er erfährt, dass irgendwelche entweder in diesem Internationalen Datenübermittlungsvertrag oder in irgendwelchen TRA oder Informationen für den Datenimporteur enthaltene Information nicht mehr richtig oder aktuell ist.

9.2    Falls zu jeglicher Zeit der Internationale Datenübermittlungsvertrag nicht mehr die Angemessenen Garantien sicherstellt, müssen die Parteien Unverzüglich:

9.2.1    Die Übermittlung und die Verarbeitung der Übermittelten Daten aussetzen, bis Änderung der Tabellen vereinbart wird. Der Datenimporteur darf eine Kopie der während dieser Pause Übermittelten Daten behalten, in welchem Fall der Datenimporteur jegliche Verarbeitung vornehmen muss, die dafür notwendig ist, die Maßnahmen soweit wie möglich zu unterhalten,  die er sofern vorgenommenen hat, um die Angemessenen Garantien sicherzustellen, die er vor dem Zeitpunkt sichergestellt hat, als es klar wurde, dass der Internationalen Datenübermittlungsvertrag die Angemessenen Garantien nicht mehr sicherstellt, aber keine andere Verarbeitung;

9.2.2    Vereinbaren, Teil Eins: Tabellen oder Teil Zwei: Zusätzliche Schutzklauseln zu verändern, so dass die Angemessenen Garantien (gemäß Abschnitt 5) unterhalten werden; und

9.2.3    Falls die Parteien keine Übereinstimmung über Veränderung von Teil Eins: Tabellen oder Teil Zwei: Zusätzliche Schutzklauseln erreichen können, um die Angemessenen Garantien zu unterhalten, muss der Datenexporteur diesen Internationalen Datenübermittlungsvertrag mittels schriftlicher Voranmeldung am Datenimporteur beenden.

10.   Die Kanzlei des Informationsbeauftragten

10.1 Jede Partei akzeptiert, die vernünftigen Anforderungen der Kanzlei des Informationsbeauftragten in Bezug auf diesen Internationalen Datenübermittlungsvertrag oder seiner Verarbeitung der Übermittelten Daten zu erfüllen.

10.2 Der Datenexporteur wird der Kanzlei des Informationsbeauftragten eine Kopie jeglicher TRA zur Verfügung stellen, die die Information für den Datenimporteur und diesen Internationalen Datenübermittlungsvertrag enthält, falls die Kanzlei des Informationsbeauftragten das anfordert.

10.3 Der Datenimporteur wird der Kanzlei des Informationsbeauftragten eine Kopie jeglicher  Information über den Datenimporteur und Diesen Internationalen Datenübermittlungsvertrag zur Verfügung stellen, falls die Kanzlei das anfordert.

Der Datenexporteur

11.   Pflichten des Datenexporteurs

11.1 Der Datenexporteur erklärt sich einverstanden, dass zur Verarbeitung der Übermittelten Daten, einschließlich Übermittlung am Datenimporteur die Datenschutzgesetze des Vereinigten Königreichs Anwendung finden.

11.2 Der Datenexporteur muss:

11.2.1 bei der Übermittlung der Übermittelten Daten am Datenimporteur die Datenschutzgesetze des Vereinigten Königreichs einhalten;

11.2.2 den Verbundenen Vertrag einhalten, da er mit der Übermittlung der Übermittelten Daten am Datenimporteur verbunden ist; und

11.2.3 angemessene Prüfungen der Fähigkeit des Datenimporteurs vornehmen, diesen Internationalen Datenübermittlungsvertrag einzuhalten, und eine angemessene Handlung vorzunehmen, einschließlich nach Abschnitt 9.2, Abschnitt 29 oder Abschnitt 30, falls wir zu jeglicher Zeit nicht mehr halten, dass der Datenimporteur fähig ist, diesen Internationalen Datenübermittlungsvertrag einzuhalten oder Angemessene Garantien bereitzustellen.

11.3 Der Datenexporteur muss allen seinen Pflichten im Internationalen Datenübermittlungsvertrag nachkommen, einschließlich diesen in den Sicherheitsanforderungen sowie jegliche Zusätzliche Schutzklauseln und jegliche Wirtschaftliche Klauseln.

11.4 Der Datenexporteur muss mit dem Datenimporteur bei Angemessenen Anfragen zusammenarbeiten, an und von den Entsprechenden Betroffenen Personen oder jeglicher Drittpartei als Verantwortlicher jeglicher Nachrichten oder andere Information übermitteln, falls es nicht vernünftig praktisch ist, dass es der Datenimporteur tut. Falls es vernünftig ist, wird der Datenexporteur sie durch eine Drittpartei übermitteln.

11.5 Der Datenexporteur muss mit dem Datenimporteur zusammenarbeiten und ihn angemessen unterstützen, sodass der Datenimporteur fähig ist, seinen Pflichten den Entsprechenden Betroffenen Personen gegenüber nach der Lokalen Gesetzgebung und nach diesem Internationalen Datenübermittlungsvertrag nachzukommen.

Der Datenimporteur

12.   Hauptpflichten des Datenimporteurs

12.1 Der Datenimporteur muss:

12.1.1 die Übermittelten Daten nur zweckmäßig verarbeiten;

12.1.2 allen seinen Pflichten im Internationalen Datenübermittlungsvertrag nachzukommen, einschließlich in den Sicherheitsanforderungen, jeglichen Zusätzlichen Schutzklauseln und jeglichen Wirtschaftlichen Klauseln;

12.1.3 allen seinen Pflichten im Verbundenen Vertrag nachzukommen, die die Verarbeitung der übermittelten Daten seinerseits betreffen;

12.1.4 seine Verarbeitung der übermittelten Daten schriftlich dokumentieren, um die Einhaltung dieses Internationalen Datenübermittlungsvertrags zu belegen, und diese schriftliche Dokumentation dem Datenexporteur vorzulegen falls er das anfordert;

12.1.5 falls der Verbundene Vertrag für den Datenexporteur Rechte vorsieht,  Information zu bekommen oder eine Prüfung vorzunehmen, dem Datenexporteur die gleichen Rechte in Bezug auf diesen Internationalen Datenübermittlungsvertrag einzuräumen; und

12.1.6 Falls die Kanzlei des Informationsbeauftragten anfordert, der Kanzlei des Informationsbeauftragten die Information bereitzustellen, die er dem Datenexporteur nach diesem Abschnitt 12.1 bereitstellen muss (einschließlich die schriftliche Dokumentation für seine Verarbeitung und die Befunde der Prüfungen und der Überprüfungen).

12.2 Der Datenimporteur muss mit dem Datenexporteur zusammenarbeiten und ihm sowie jeglichen Drittpartei - Verantwortlichen angemessene Unterstützung listen, sodass der Datenexporteur und jegliche Drittpartei - Verantwortlichen in der Lage sind, ihren Pflichten nach den Datenschutzgesetzen des Vereinigten Königreichs und diesem Internationalen Datenübermittlungsvertrag nachzukommen.

13.   Pflichten des Datenimporteurs, falls er den Datenschutzgesetzen des Vereinigten Königreichs unterliegt

13.1 Falls die Verarbeitung der Übermittelten Daten seitens des Datenimporteurs der Datenschutzgesetze des Vereinigten Königreichs unterliegt, erklärt er sich einverstanden, dass:

13.1.1 die Datenschutzgesetze des Vereinigten Königreichs zu seiner  Verarbeitung der übermittelten Daten Anwendung finden, und die Kanzlei des Informationsbeauftragten Gerichtsbarkeit darüber in dieser Hinsicht hat; und

13.1.2 er die Datenschutzgesetze des Vereinigten Königreichs in Bezug auf die Verarbeitung der übermittelten Daten eingehalten hat und einhalten wird.

13.2 Falls Abschnitt 13.1 Anwendung findet und der Datenimporteur Abschnitt 13.1 nachkommt, muss er die folgenden Klauseln nicht einhalten:

·   Abschnitt 14 (Pflichten des Datenimporteurs, Datenschutz - Schlüsselgesetzen einzuhalten);

·   Abschnitt 15 (Was passiert im Falle von Verletzung Personenbezogener Daten seitens des Datenimporteurs);

·   Abschnitt 15 (Wie können die entsprechenden Betroffenen Personen ihre Rechte als Betroffene Personen ausüben); und

·   Abschnitt 21 (Wie können die entsprechenden Betroffenen Personen ihre Rechte als Betroffene Personen ausüben – falls der Datenimporteur Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist).

14.   Pflichten des Datenimporteurs, Datenschutz - Schlüsselgesetzen einzuhalten

14.1 Der Datenimporteur braucht nicht, diesen Abschnitt 14 einzuhalten, falls er Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist. 

14.2 Der Datenimporteur muss:

14.2.1 sicherstellen, dass die Übermittelten Daten, die er verarbeitet, korrekt, einschlägig und auf das für den Zweck Notwendige beschränkt;

14.2.2 sicherstellen, das die Übermittelten Daten, die er verarbeitet, genau und (falls notwendig) aktuell sind, und (falls angemessenen hinsichtlich des Zwecks) richtig sind, oder alle ungenauen Übermittelten Daten, über die er erfährt, Unverzüglich löschen; und

14.2.3 sicherstellen, dass er die Übermittelten Daten höchstens solange verarbeitet, wie es für den Zweck angemessen notwendig ist.

15.   Was passiert im Falle von Verletzung Personenbezogener Daten seitens des Datenimporteurs

15.1 Im Falle von Verletzung Personenbezogener Daten seitens des Datenimporteurs muss der Datenimporteur:

15.1.1 Angemessene Schritte vornehmen, um es zu beheben, einschließlich um die schädlichen Auswirkungen auf entsprechende betroffene Personen zu mindern, zu verhindern, dass die Verletzung weiter dauert und zu verhindern, dass sie erneut passiert. Wenn der Datenimporteur  Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist: Diese Schritte müssen den Weisungen des Datenexporteurs und dem Verbundenen Vertrag entsprechen und in Zusammenarbeit mit dem Datenexporteur und allen verantwortlichen Drittparteien erfolgen; und

15.1.2 sicherstellen, dass die Sicherheitsanforderungen weiter das Sicherheitsniveau bereitstellen (oder gemäß diesem Internationalen Datenübermittlungsvertrag verändert werden, um es bereitzustellen), das dem Risiko einer Verletzung der Personenbezogenen Daten und der Auswirkung dieser Verletzung der Personenbezogenen Daten auf die Entsprechenden Betroffenen Personen angemessenen ist.

15.2 Falls der Datenimporteur ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist: falls eine Verletzung der Personenbezogenen Daten seitens des Datenimporteurs entsteht, muss der Datenimporteur:

15.2.1 den Datenexporteur Unverzüglich über die Verletzung erfahren hat, folgende Information bereitstellen:

15.2.1.1 Beschreibung der Art der Verletzung der Personenbezogenen Daten seitens des Datenimporteurs;

15.2.1.2 (wenn und falls möglich) die Kategorien und annähernde Anzahl der entsprechenden Betroffenen Personen und Übermittelten Datensätze;

15.2.1.3 wahrscheinliche Auswirkungen der Verletzung der Personenbezogenen Daten seitens des Datenimporteurs;

15.2.1.4 vorgenommene (oder vorgeschlagene) Schritte, um die Verletzung der Personenbezogenen Daten seitens des Datenimporteurs zu  reparieren (einschließlich die schädigenden Wirkungen auf die Entsprechenden Betroffenen Personen minimal zu halten, ihre Auswirkung aufzuhalten und zu verhindern, dass sie erneut passiert) und sicherzustellen, dass die Angemessenen Garantien bestehen;

15.2.1.5 Anlaufstelle für weitere Informationen; und

15.2.1.6 jegliche andere vom Datenexporteur vernünftig angeforderte Information,

15.2.2 falls der Datenimporteur nicht die ganze oben aufgelistete Information zugleich bereitstellen kann, muss er sie Unverzüglich und stufenweise bereitstellen; und

15.2.3 den Datenexporteur (und jegliche Drittpartei - Verantwortliche) dabei unterstützen, sodass der Datenexporteur (oder jeglicher Drittpartei – Verantwortliche) die Entsprechenden Betroffenen Personen oder die Kanzlei des Informationsbeauftragten oder jeglichen einschlägigen Regulator oder Behörde über die Verletzung der Personenbezogenen Daten seitens des Datenimporteurs Unverzüglich informieren kann.

15.3 Falls der Datenimporteur ein Verantwortlicher ist: falls es wahrscheinlich ist, dass die Verletzung der Personenbezogenen Daten seitens des Datenimporteurs ist zu einem Risiko für die Rechte oder die Freiheiten jeglicher Entsprechenden Betroffenen Person führen kann, muss der Datenimporteur den Datenexporteur Unverzüglich verständigen nachdem er über die  Verletzung erfahren hat, und folgende Information bereitstellen:

15.3.1 Beschreibung der Art der Verletzung der Personenbezogenen Daten seitens des Datenimporteurs;

15.3.2 (wenn und falls möglich) die Kategorien und die annähernde Anzahl der entsprechenden Betroffenen Personen und Übermittelten Datensätze;

15.3.3 wahrscheinliche Auswirkungen der Verletzung der Personenbezogenen Daten seitens des Datenimporteurs;

15.3.4 vorgenommene (oder vorgeschlagene) Schritte, um die Verletzung der Personenbezogenen Daten seitens des Datenimporteurs (einschließlich die schädigenden Wirkungen auf die Entsprechenden Betroffenen Personen minimal zu halten, ihre Auswirkung aufzuhalten und zu verhindern, dass sie erneut passiert) zu reparieren und sicherzustellen, dass die Angemessenen Garantien bestehen;

15.3.5 Anlaufstelle für weitere Informationen; und

15.3.6 jegliche andere vom Datenexporteur vernünftig angeforderte Information.

Falls der Datenimporteur nicht die ganze oben aufgelistete Information zugleich bereitstellen kann, muss er sie Unverzüglich und stufenweise bereitstellen.

15.4 Falls der Datenimporteur ein Verantwortlicher ist: falls es wahrscheinlich ist, dass die Verletzung der Personenbezogenen Daten seitens des Datenimporteurs zu einem Risiko für die Rechte oder die Freiheiten jegliche Entsprechende Betroffene Person führen kann, muss der Datenimporteur diese Entsprechende Betroffene Person Unverzüglich informieren, es sei denn, das würde unverhältnismäßige Anstrengungen anfordern, und falls der Datenimporteur sicherstellen kann, dass eine öffentliche Kommunikation oder ähnliche Maßnahmen bestehen, mittels dessen die Entsprechenden Betroffenen Personen auf eine ebenso effektive Weise informiert werden.

15.5 Der Datenimporteur muss alle einschlägigen Tatsachen in Bezug zur Verletzung der Personenbezogenen Daten seitens des Datenimporteurs schriftlich protokollieren und die Protokolle dem Datenexporteur und der Kanzlei des Informationsbeauftragten auf Anfrage vorlegen.

Das Protokoll muss die Schritte enthalten, die notwendig sind, um die Verletzung der Personenbezogenen Daten seitens des Datenimporteurs (einschließlich die schädigenden Wirkungen auf die Entsprechenden Betroffenen Personen minimal zu halten, ihre Auswirkung aufzuhalten und zu verhindern, dass sie erneut passiert) zu reparieren und sicherzustellen, dass die Sicherheitsanforderungen weiter ein dem Risiko von Verletzung der Personenbezogenen Daten und der Auswirkung der Verletzung der Personenbezogenen Daten auf die Entsprechenden Betroffenen Personen Sicherheitsniveau angemessen bereitstellen.

16.Übermittlung von übermittelten Daten

16.1 Der Datenimporteur darf die Übermittelten Daten an eine Drittpartei übermitteln, falls das laut Tabelle 2: Übermittlungsangaben erlaubt ist, die Übermittlung zweckmäßig ist, die Übermittlung verletzt den Verbundenen Vertrag nicht und es gilt eine der folgenden Bedingungen:

16.1.1 die Drittpartei hat mit dem Datenimporteur einen schriftlichen Vertrag abgeschlossen, der das gleiche Schutzniveau für die Betroffenen Personen wie in diesem Internationalen Datenübermittlungsvertrag (basierend auf der Rolle des Empfängers als Verantwortlicher oder Auftragsverarbeiter) enthält, und der Datenimporteur hat eine Risikobewertung durchgeführt, dass die Angemessenen Garantien durch diesen Vertrag geschützt werden; oder

16.1.2 die Drittpartei in diesen Internationalen Datenübermittlungsvertrag als Partei aufgenommen wurde; oder

16.1.3 wenn der Datenimporteur im Vereinigten Königreich wäre, die Übermittlung der Übermittelten Daten Artikel 46 der UK DSGVO entsprechen würde; oder

16.1.4 wenn der Datenimporteur im Vereinigten Königreich wäre, die Übermittlung der Übermittelten Daten eine der Ausnahmen in Artikel 49 der UK DSGVO erfüllen würde; oder

16.1.5 die Übermittlung erfolgt ins Vereinigte Königreich oder in ein Sicheres Drittland.

16.2 Der Datenimporteur muss Abschnitt 16.1 nicht einhalten, wenn es sich um die Übermittlung von Übermittelten Daten und/ oder die Gewährung des Zugriffs auf die Übermittelten Daten gemäß Abschnitt 23 (Zugriffsanfragen und Direktzugang) handelt.

17.   Haftung des Datenimporteurs, falls er andere Personen bevollmächtigt, seine Pflichten zu erfüllen

17.1 Der Datenimporteur darf seine Pflichten aus diesem Internationalen Datenübermittlungsvertrag an einen Auftragsverarbeiter oder Unterauftragsverarbeiter weiter vergeben (vorausgesetzt dass er Abschnitt 16 entspricht).

17.2 Falls der Datenimporteur Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist: er muss auch den Verbundenen Vertrag einhalten oder die schriftliche Genehmigung des Datenexporteurs eingeholt wird.

17.3 Der Datenimporteur muss sicherstellen, dass jegliche Person oder Drittpartei, die unter seiner Autorität handelt, einschließlich ein Auftragsverarbeiter oder Unterauftragsverarbeiter, die Übermittelten Daten nur laut seiner Weisungen  verarbeiten wird.

17.4 Der Datenimporteur bleibt gegenüber dem Datenexporteur, der Kanzlei des Informationsbeauftragten und allen Betroffenen Personen für seine Pflichten im Rahmen dieses Internationalen Datenübermittlungsvertrags voll haftbar, auch wenn er Pflichten an seine Auftragsverarbeiter und Unterauftragsverarbeiter weiter vergeben hat, oder einen Mitarbeiter oder eine andere Person bevollmächtigt hat, diese auszuführen (und Bezugnahmen auf den Datenimporteur enthalten in diesem Zusammenhang Bezugnahmen auf seine Auftragsverarbeiter, Unterauftragsverarbeiter oder autorisierten Personen).

Welche Rechte haben die Personen?

18.   Das Recht, eine Kopie des Internationalen Datenübermittlungsvertrags zu bekommen

18.1 Falls eine Partei von einer Entsprechenden Betroffenen Person eine Anfrage für  Kopie dieses Internationalen Datenübermittlungsvertrags bekommt:

18.1.1 den Internationalen Datenübermittlungsvertrag der Entsprechenden Betroffenen Person bereitstellen und die andere Partei informieren, sobald vernünftig möglich;

18.1.2 sie braucht nicht, Kopien des Verbundenen Vertrags bereitzustellen, sie muss jedoch alle in den Tabellen genannte Information aus diesen Verbundenen Verträgen bereitstellen;

18.1.3Sie kann Information in den Tabellen oder bereitgestellte Information aus dem Verbundenen Vertrag unkenntlich machen, soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen vernünftig notwendig ist, solange sie den Entsprechenden Betroffenen Personen jedoch eine aussagekräftige Zusammenfassung der Schwärzungen vorlegt, sodass die Entsprechenden Betroffenen Personen die Inhalte der Tabellen oder die Information aus dem verstehen können.

19.   Recht auf Information über den Datenimporteur und seine Verarbeitung

19.1 Der Datenimporteur braucht nicht diesen Abschnitt 19 einzuhalten, falls der Datenimporteur ein Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist.

19.2 Der Datenimporteur muss sicherstellen, dass jede Entsprechende Betroffene Person Information bekommen hat über:

·   den Datenimporteur (einschließlich Kontaktdaten und Kontaktdaten des Datenimporteurs für Betroffene Personen);

·   die Zwecke; und

·   jegliche Empfänger (oder Empfängerkategorien) der übermittelten Daten;

Der Datenimporteur kann nachweisen, dass er diesen Abschnitt 19.2 eingehalten hat, falls die Information den Entsprechenden Betroffenen Personen bereits vom Datenexporteur oder von einer anderen Partei gegeben wird (oder bereits gegeben wurde).

Der Datenimporteur braucht nicht diesen Abschnitt 19.2 einzuhalten, falls das unmöglich wäre oder unverhältnismäßige Anstrengungen anfordern würde, in welchem Fall der Datenimporteur die Information öffentlich zur Verfügung stellen muss.

19.3 Der Datenimporteur muss die Angaben über die Kontaktdaten des Datenimporteurs für Betroffene Personen aktuell und öffentlich zugänglich unterhalten. Dazu gehört den Datenexporteur schriftlich über alle solche Veränderungen auszurichten.

19.4 Der Datenimporteur muss sicherstellen, dass diese Kontaktdaten für alle Entsprechenden Betroffenen Personen leicht zugänglich sind und in der Lage sein, mit den Betroffenen Personen Unverzüglich leicht auf Englisch zu kommunizieren.

20.   Wie können die entsprechenden Betroffenen Personen ihre Rechte als Betroffene Personen ausüben

20.1 Der Datenimporteur braucht nicht diesen Abschnitt 20 einzuhalten, falls er Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist.

20.2 Falls eine Person anfordert, muss der Datenimporteur bestätigen, ob er ihre Personenbezogenen Daten als Teil der übermittelten Daten verarbeitet.

20.3 Die folgenden Abschnitte dieses Abschnitts 20 betreffen die Personenbezogenen Daten einer Entsprechenden Betroffenen Person als Teil der der vom Datenimporteur verarbeiteten Übermittelten Daten.

20.4 Falls die entsprechende Betroffene Person anfordert, muss der Datenimporteur ihm eine Kopie ihrer übermittelten Daten:

20.4.1 Unverzüglich (aber jedenfalls innerhalb eines Monats);

20.4.2 zu Kosten für die Entsprechenden Betroffenen Personen, die nicht diejenigen Kosten übersteigen, als wenn er den Datenschutzgesetzen des Vereinigten Königreichs unterliegen würde;

20.4.3 auf Englisch knapp und klar und leicht verständlich; und

20.4.4 in einer leicht zugänglichen Form

zusammen mit

20.4.5 (falls notwendig) Erklärung der Übermittelten Daten auf Englisch knapp und klar, sodass sie für die Entsprechenden Betroffenen Personen verständlich ist; und

20.4.6 Information, dass die Entsprechende Betroffene Person das Recht hat, einen Schadenersatzanspruch unter diesem Internationalen Datenübermittlungsvertrag erheben kann.

20.5 Falls eine Betroffene Person entsprechend anfordert, muss der Datenimporteur:

20.5.1 ungenaue oder unvollständig übermittelte Daten berichtigen;

20.5.2 die Übermittelten Daten löschen, falls sie in Verletzung dieses Internationalen Datenübermittlungsvertrags verarbeitet werden;

20.5.3 sie für Direktmarketingzwecke nicht weiter benutzen; und

20.5.4 alle andere vernünftige Anforderungen der Entsprechenden Betroffenen Person einhalten, die vom Datenimporteur einzuhalten wären, falls er den Datenschutzgesetzen des Vereinigten Königreichs unterliegen würde.

20.6 Der Datenimporteur muss die Übermittelten Daten nicht benutzen, um Entscheidungen bezüglich der Entsprechenden Betroffenen Personen auf der Basis von nur automatischer Verarbeitung zu treffen, einschließlich Profilierung (“Treffen von Entscheidungen”), die für die Entsprechende Betroffene Person rechtliche Auswirkungen auslösen würden oder sie ähnlicherweise wesentlich beeinträchtigen würden, es sei denn, die Lokale Gesetzgebung lässt es zu, und:

20.6.1 die Entsprechenden Betroffenen Personen ihre ausdrückliche Zustimmung für Treffen solcher Entscheidung gegeben hat; oder

20.6.2 die Lokale Gesetzgebung Garantien hat, die für die Entsprechende Betroffene Person in Bezug auf Treffen von Entscheidung ausreichend ähnlichen Schutz bereitstellen, als der Schutz, den die Entsprechende Betroffene Person genießen würde, falls die Entscheidung im Vereinigten Königreich getroffen wäre; oder

20.6.3 die Zusätzlichen Schutzklauseln Garantien für Treffen von Entscheidungen ausreichend ähnlichen Schutz bereitstellen, als der Schutz, den die Entsprechende Betroffene Person genießen würde, falls die Entscheidung im Vereinigten Königreich getroffen wäre.

21.   Wie können die entsprechenden Betroffenen Personen ihre Rechte als Betroffene Personen ausüben – falls der Datenimporteur Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist

21.1 Wenn der Datenimporteur Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist: Wenn der Datenimporteur eine Anfrage direkt von einer Einzelperson erhält, die sich auf die Übermittelten Daten bezieht, muss er diese Anfrage an den Datenexporteur Unverzüglich weiterleiten. Der Datenimporteur darf dieser Person nur dann antworten, wenn er vom Datenexporteur oder einem Drittpartei - Verantwortlichen autorisiert wurde.

22.Die Rechte der Entsprechenden Betroffenen Personen unterliegen den Ausnahmen nach den Datenschutzgesetzen des Vereinigten Königreichs.

22.1 The Datenimporteur muss nicht den Anfragen antworten oder Information oder Nachrichten nach Abschnitten 18, 19, 20, 21 und 23 bereitstellen, falls:

22.1.1 er nicht in der Lage ist, die Identität der Person vernünftig zu überprüfen, die die Anfrage geschickt hat; oder

22.1.2 die Anforderungen offenbar unbegründet oder übermäßig sind, einschließlich wenn Anfragen wiederholt werden. In diesem Fall kann der Datenimporteur die Anfrage ablehnen oder der Entsprechenden Betroffenen Personen eine angemessene Gebühr berechnen; oder

22.1.3 eine einschlägige Ausnahme wäre zustande, falls der Datenimporteur sie nach den Datenschutzgesetze des Vereinigten Königreichs genießen würde, falls der Datenimporteur den Datenschutzgesetzen des Vereinigten Königreichs unterliegen würde.

Falls der Datenimporteur die Anfrage einer Person ablehnt oder nach Abschnitt 22.1.2 eine Gebühr berechnet, muss er seine Ablehnung oder Berechnung schriftlich begründen und die Entsprechende Betroffene Personen informieren, dass sie berechtigt ist, im Falle einer Verletzung dieses Internationalen Datenübermittlungsvertrags nach diesem Internationalen Datenübermittlungsvertrag einen Schadenersatzanspruch zu erheben.

Wie wird Drittparteien nach den Lokalen Gesetzen Zugang zu den Übermittelten Daten eingeräumt.

23.   Zugriffsanfragen und Direktzugang

23.1 In diesem Abschnitt ‎23 bedeutet eine “Zugriffsanfrage” eine rechtlich bindende Anfrage (außer Anfragen, die nur kraft des Vertragsrechts bindend sind), um zu beliebigen Übermittelten Daten Zugriff zu bekommen, und “Direktzugang” bedeutet Direktzugang zu beliebigen Übermittelten Daten seitens öffentlicher Behörden, der dem Datenimporteur bekannt ist.

23.2 Der Datenimporteur jegliche angeforderte Übermittelte Daten offenlegen, für die er eine Zugriffsanfrage bekommt, es sei denn, es ist für ihn vernünftiger, diese Zugriffsanfrage aus wesentlichen Gründen zu glauben, dass sie gesetzwidrig ist,sie anzufechten.

23.3 Insofern die Lokalen Gesetze es zulassen und es angemessen ist, muss der Datenimporteur Unverzüglich die einschlägige Information über jegliche  Zugriffsanfragen oder Fälle von Direktzugang: den Datenexporteur; jegliche Drittpartei - Verantwortliche; und falls der Datenimporteur ein Verantwortlicher ist, jegliche Entsprechende Betroffenen Personen.

23.4 Insofern das die Lokalen Gesetze zulassen, muss der Datenimporteur:

23.4.1 die Zugriffsanfragen und Fälle von Direktzugang schriftlich protokollieren und führen, einschließlich (falls bekannt): die Daten, die Identität der anfordernden/ der zugreifenden Person, den Zweck der Zugriffsanfrage oder des Direktzugangs, den Typ der angeforderten oder zugegriffenen Daten, ob die Anfrage angefochten oder berufen wurde, und das Ergebnis; und die Übermittelten Daten, die bereitgestellt oder zugegriffen wurden; und

23.4.2 eine Kopie dieses schriftlichen Protokolls dem Datenexporteur an jedem Überprüfungsdatum und jederzeit auf einer angemessenen Anfrage des Datenexporteurs oder der Kanzlei des Informationsbeauftragten bereitstellen.

24.   Nachrichten

24.1 Falls eine Partei eine beliebige andere Partei nach diesem Internationalen Datenübermittlungsvertrag ausrichten muss, wird die Nachricht zu Händen des entsprechenden Schlüsselkontakts vermerkt und per E-mail an die für diesen Schlüsselkontakt angegebene E-mail Adresse gesandt.

24.2 Falls die Meldung gemäß Abschnitt 24.1 gesandt ist, gilt sie als zugestellt zum Zeitpunkt der Sendung der E-mail, oder falls dieser Zeitpunkt außerhalb der üblichen Geschäftszeit der empfangenden Partei ist, am nächsten regulären Arbeitstag der  empfangenden Partei und vorausgesetzt, dass keine Fehlermeldung für nicht zugestellte Meldung erhalten wurde.

24.3 Die Parteien vereinbaren, dass jede Partei ihre Schlüsselkontaktdaten durch eine schriftliche Voranmeldung mindestens 14 Tage im Voraus an die andere Partei verändern kann.

25.   Allgemeine Klauseln

25.1 In Bezug auf die Übermittlung der Übermittelten Daten am Datenimporteur und die Verarbeitung der übermittelten Daten seitens des Datenimporteurs, dieser Internationalen Datenübermittlungsvertrag und jeder Verbundene Vertrag:

25.1.1 enthalten alle von den Parteien vereinbarten Klauseln und Bedingungen; und

25.1.2 heben alle vorherigen Verträge und Abmachungen, mündlich sowie schriftlich, auf.

25.2 Falls eine Partei irgendwelche mündliche oder schriftliche Aussagen an die andere Partei vor Abschluss dieses Internationalen Datenübermittlungsvertrags gemacht hat (die in diesem Internationalen Datenübermittlungsvertrag nicht schriftlich enthalten sind), bestätigt die andere Partei, dass sie sich nicht auf diese Aussagen verlässt und dass sie keine rechtlichen Abhilfen bekommt, falls diese Aussagen falsch oder ungenau sind, es sei denn, die Aussage wurde in betrügerischer Absicht gemacht.

25.3 Keine Partei darf diesen Internationalen Datenübermittlungsvertrag erneuern, übertragen oder gerichtliche Anklage darauf erhalten (ganz oder teilweise) ohne die schriftliche Genehmigung der anderen Partei, die im Verbundenen Vertrag dargelegt sein kann.

25.4 Ausgenommen wie dargelegt in Abschnitt 17.1 dar keine Partei ihre Pflichten nach diesem Internationalen Datenübermittlungsvertrag weitergeben, ohne die schriftliche Zustimmung der anderen Partei, die im Verbundenen Vertrag dargelegt sein kann.

25.5 Dieser Internationale Datenübermittlungsvertrag verleiht nicht den Parteien ein Verhältnis als Mitbeteiligung und befugt keine der Parteien, als Agent der anderen Partei zu handeln.

25.6 Falls ein bestehender Abschnitt (oder Teilabschnitt) dieses Internationalen Datenübermittlungsvertrags gesetzwidrig, ungültig oder undurchsetzbar ist oder wird, wird sich das nicht auf die Rechtmäßigkeit, Gültigkeit oder Vollstreckbarkeit jeglichen anderen Abschnitts (oder Restabschnitt) dieses Internationalen Datenübermittlungsvertrags aus.

25.7 Falls eine Partei ihre Rechte oder Abhilfen nach oder in Bezug auf diesem Internationalen Datenübermittlungsvertrag nicht durchsetzt oder sich mit der Durchsetzung verspätet, stellt das nicht Verzicht auf diese Rechte oder Abhilfen. Darüber hinaus wird das die Möglichkeit dieser Partei, diese oder andere Rechte oder Abhilfe in der Zukunft durchzusetzen.

25.8 Sollte eine Partei entscheiden, auf die Durchsetzung eines Recht oder einer Abhilfe nach oder in Bezug auf diesem Internationalen Datenübermittlungsvertrag zu verzichten, gilt dieser Verzicht nur falls er schriftlich gemacht wird. Wenn eine Partei einen solchen schriftlichen Verzicht macht:

25.8.1 findet er Anwendung insofern als es ausdrücklich auf bestimmte Rechte oder Abhilfen verzichtet wird;

25.8.2 dieser Partei nicht die Durchsetzung dieser Rechte oder Abhilfen in der Zukunft unterbindet (es sei denn, sie hat ausdrücklich darauf verzichtet); und

25.8.3 dieser Partei nicht die Durchsetzung anderer Rechte oder Abhilfen in der Zukunft unterbindet.

Was passiert im Falle einer Verletzung dieses Internationalen Datenübermittlungsvertrags?

26.   Verletzungen dieses Internationalen Datenübermittlungsvertrags

26.1 Jede Partei muss die andere Partei schriftlich ausrichten (samt allen einschlägigen Angaben), falls sie:

26.1.1 diesen Internationalen Datenübermittlungsvertrag verletzt hat; oder

26.1.2 angemessen ahnen kann, dass sie diesen Internationalen Datenübermittlungsvertrag verletzt haben kann und auf einer angemessenen Anfrage der anderen Partei jegliche Information darüber bereitstellt.

26.2 In diesem Internationalen Datenübermittlungsvertrag bedeutet “Erhebliche schädliche Auswirkungen”, dass mehr als minimales Risiko von Verletzung des Internationalen Datenübermittlungsvertrags besteht, das (direkt oder indirekt) einer Entsprechenden Betroffenen Person oder der anderen Partei wesentliche Schäden verursacht hat.

27.   Verletzungen dieses Internationalen Datenübermittlungsvertrags seitens des Datenimporteurs

27.1 Falls der Datenimporteur diesen Internationalen Datenübermittlungsvertrag verletzt hat und das Erhebliche schädliche Auswirkungen hat, muss der Datenimporteur Unverzüglich Schritte vornehmen, um die Erheblichen schädlichen Auswirkungen einzustellen und falls das unmöglich ist, die Erheblichen schädlichen Auswirkungen soweit wie möglich zu mindern.

27.2 Solange keine laufende Erhebliche schädliche Auswirkung auf Entsprechende Betroffene Personen besteht:

27.2.1 muss der Datenexporteur die Sendung der Übermittelten Daten dem Datenimporteur aussetzen;

27.2.2 Falls der Datenimporteur ein Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist: wenn der Datenexporteur anfragt, muss der Datenimporteur sicher alle Übermittelten Daten löschen oder sie dem Datenexporteur (oder einer vom Datenexporteur benannten Drittpartei) zurückgeben; und

27.2.3 falls der Datenimporteur die Übermittelten Daten an einen Drittpartei – Empfänger gemäß Abschnitt 16 weiter übermittelt hat, und die Verletzung während der Verarbeitung von oder im Namen dieses  Drittpartei – Empfängers Erhebliche schädliche Auswirkung auf eine Entsprechende Betroffene Person hat, muss der Datenimporteur:

27.2.3.1 den Drittpartei – Empfänger über die Verletzung ausrichten und die Sendung der Übermittelten Daten an ihn aussetzen ; und

27.2.3.2 falls der Drittpartei – Empfänger Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenimporteurs ist: den Drittpartei – Empfänger alle von ihm oder in seinem Namen verarbeiteten Übermittelten Daten sicher löschen oder sie dem Datenimporteur  zurückgeben lasen (oder einer vom Datenimporteur benannten Drittpartei).

27.3 Falls die Verletzung nicht Unverzüglich berichtigt werden kann, sodass keine laufende Erhebliche schädliche Auswirkung auf eine Entsprechende Betroffene Personen entsteht, muss der Datenexporteur diesen Internationalen Datenübermittlungsvertrag gemäß Abschnitt 30.1 beenden.

28.   Verletzungen dieses Internationalen Datenübermittlungsvertrags seitens des Datenexporteurs

28.1 Falls der Datenexporteur diesen Internationalen Datenübermittlungsvertrag verletzt hat und das eine Erhebliche schädliche Auswirkung hat, muss der Datenexporteur  Unverzüglich Schritte vornehmen, um die Erheblichen schädlichen Auswirkungen einzustellen, und falls das unmöglich ist, die Erheblichen schädlichen Auswirkungen soweit wie möglich zu mindern.

28.2Solange kein laufendes Risiko einer Erheblichen schädlichen Auswirkung auf Entsprechende Betroffene Personen besteht, muss der Datenexporteur muss die Sendung der Übermittelten Daten dem Datenimporteur aussetzen.

28.3 Falls die Verletzung nicht Unverzüglich berichtigt werden kann, sodass keine laufende Erhebliche schädliche Auswirkung auf eine Entsprechende Betroffene Personen entsteht, muss der Datenimporteur diesen Internationalen Datenübermittlungsvertrag gemäß Abschnitt 30.1 beenden

Beendigung des Internationalen Datenübermittlungsvertrags

29.Wie kann dieser Internationale Datenübermittlungsvertrag ohne bestehende Verletzung beendet werden

29.1 Der Internationale Datenübermittlungsvertrag endet:

29.1.1 Am Ende der Laufzeit, angegeben in Tabelle 2: Übermittlungsangaben; oder

29.1.2 Falls in Tabelle 2: Übermittlungsangaben die Parteien diesen Internationalen Datenübermittlungsvertrag durch Zustellung einer schriftliche Meldung an die andere Partei beenden können: Am Ende der in der Meldung angegebene Periode;

29.1.3 zu jeder Zeit, wenn die Parteien schriftlich vereinbaren, ihn zu beenden; oder

29.1.4 zum in Abschnitt 29.2 angegebenen Zeitpunkt.

29.2 Falls die Kanzlei des Informationsbeauftragten einen überarbeiteten Genehmigten Internationalen Datenübermittlungsvertrag nach Abschnitt 5.4 herausgibt, eine der Parteien in Tabelle 2 “Beendigung des Internationalen Datenübermittlungsvertrags bei Änderung des genehmigten Internationalen Datenübermittlungsvertrags”, und als direkte Auswirkung der Veränderungen im Genehmigten Internationalen Datenübermittlungsvertrag eine wesentliche, unverhältnismäßige und nachweisbare Steigerung:

29.2.1 der direkten Kosten der Ausführung ihrer Pflichten nach dem Internationalen Datenübermittlungsvertrag; und/ oder

29.2.2 ihres Risikos nach dem Internationalen Datenübermittlungsvertrag,

entsteht und in beiden Fällen sie zuerst angemessene Schritte vorgenommen hat, um diese Kosten oder Risiko herabzusetzen, sodass sie nicht wesentlich und unverhältnismäßig sind, darf diese Partei den Internationalen Datenübermittlungsvertrag am Ende der angemessenen Periode nach einer Meldung, durch Zustellung einer schriftlichen Meldung für diese Periode an die andere Partei vor dem Anfangsdatum der Geltung des überarbeiteten Genehmigten Internationalen Datenübermittlungsvertrags.

30.   Wie kann dieser Internationale Datenübermittlungsvertrag im Falle einer Verletzung beendet werden

30.1 Eine Partei darf diesen Internationalen Datenübermittlungsvertrag unverzüglich durch Zustellung einer schriftlichen Meldung an die andere Partei, falls:

30.1.1 die andere Partei diesen Internationalen Datenübermittlungsvertrag verletzt hat und das Erhebliche schädliche Auswirkungen hat. Das enthält auch wiederholte geringfügige Verletzungen, die zusammen eine Erhebliche schädliche Auswirkung haben, und

30.1.1.1 die Verletzung berichtigt werden kann, sodass keine Erhebliche schädliche Auswirkung besteht, und die andere Partei es unterlassen hat, das Unverzüglich zu machen (was nicht länger als 14 Tage nach der schriftlichen Aufforderung sein kann); oder

30.1.1.2 die Verletzung und ihre Erhebliche schädliche Auswirkung nicht berichtigt werden kann;

30.1.2 der Datenimporteur nicht mehr die Anforderungen aus Abschnitt 8.3 einhalten kann, weil Lokale Gesetze bestehen, infolgedessen er diesen Internationalen Datenübermittlungsvertrag nicht mehr einhalten kann und das eine Erhebliche schädliche Auswirkung hat.

31.   Was müssen die Parteien nach Ende des Internationalen Datenübermittlungsvertrags vornehmen?

31.1 Falls die Parteien diesen Internationalen Datenübermittlungsvertrag beenden möchten oder dieser Internationale Datenübermittlungsvertrag gemäß einer Bestimmung in diesem Internationalen Datenübermittlungsvertrag endet, der Datenimporteur jedoch eine lokale Gesetzgebung einhalten muss, die ihn verpflichtet, alle übermittelten Daten weiterhin aufzubewahren, dann bleibt dieser Internationale Datenübermittlungsvertrag  in Bezug auf alle zurückbehaltenen Übermittelten Daten weiterbestehen, solange die zurückbehaltenen Übermittelten Daten aufbewahrt werden, und der Datenimporteur muss:

31.1.1 den Datenexporteur Unverzüglich ausrichten, einschließlich Angaben über die einschlägige Lokale Gesetzgebung und die erforderliche Periode der Aufbewahrung;

31.1.2 nur die Mindestmenge an übermittelten Daten aufbewahren, die sie benötigt, um diese lokalen Vorschriften einzuhalten, und die Parteien müssen sicherstellen, dass sie die Angemessenen Garantien einhalten, und die Tabellen und zusätzlichen Schutzklauseln zusammen mit allen TRA entsprechend ändern; und

31.1.3 die Verarbeitung der Übermittelten Daten einstellen, sobald diese Lokale Gesetzgebung es erlaubt und der Internationale Datenübermittlungsvertrag wird dann beendet und der Rest dieses Abschnitts 29 findet Anwendung.

31.2 Wenn dieser Internationale Datenübermittlungsvertrag endet (egal was der Grund ist):

31.2.1muss der Datenexporteur die Sendung der Übermittelten Daten dem Datenimporteur aussetzen; und

31.2.2Falls der Datenimporteur ein Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist: der Datenimporteur muss sicher alle Übermittelten Daten löschen oder sie dem Datenexporteur (oder einer vom Datenexporteur benannten Drittpartei) zurückgeben;

31.2.3 Falls der Datenimporteur ein Verantwortlicher ist und/ oder kein Auftragsverarbeiter oder Unterauftragsverarbeiter des Datenexporteurs ist: der Datenimporteur muss alle übermittelten Daten sicher löschen.

31.2.4 Die folgenden Regelungen gelten weiter nach der Beendigung dieses Internationalen Datenübermittlungsvertrag (egal was der Grund dafür ist):

·   Abschnitt 1 (Dieser Internationale Datenübermittlungsvertrag und die Verbundenen Verträge);

·   Abschnitt 2 (Rechtliche Bedeutung der Wörter);

·   Abschnitt 6 (Verstehen dieses Internationalen Datenübermittlungsvertrags);

·   Abschnitt 7 (Welche Gesetze finden zu diesem Internationalen Datenübermittlungsvertrag Anwendung);

·   Abschnitt 10 (Die Kanzlei des Informationsbeauftragten);

·   Abschnitte 11.1 und 11.4 (Pflichten des Datenexporteurs );

·   Abschnitte 12.1.2, 12.1.3, 12.1.4, 12.1.5 und 12.1.6 (Hauptpflichten des Datenimporteurs);

·   Abschnitt 13.1 (Pflichten des Datenimporteurs, falls er den Datenschutzgesetzen des Vereinigten Königreichs unterliegt);

·   Abschnitt 17 (Haftung des Datenimporteurs, falls er andere Personen bevollmächtigt, seine Pflichten zu erfüllen);

·   Abschnitt 24 (Nachrichten);

·   Abschnitt 25 (Allgemeine Klauseln);

·   Abschnitt 31 (Was müssen die Parteien nach Ende des Internationalen Datenübermittlungsvertrags vornehmen);

·   Abschnitt 32 (Ihre Haftung);

·   Abschnitt 33 (Wie können Entsprechende Betroffene Personen und die Kanzlei des Informationsbeauftragten rechtliche Ansprüche erheben);

·   Abschnitt 34 (Gerichte, wo rechtliche Ansprüche eingereicht werden können);

·   Abschnitt 35 (Schlichtung); und

·   Abschnitt 36 (Rechtsglossar).

Wie werden rechtliche Ansprüche nach diesem Internationalen Datenübermittlungsvertrag erhoben

32.   Ihre Haftung

32.1 Die Parteien haften weiter im vollen Umfang gegenüber den Entsprechenden Betroffenen Personen für die Erfüllung ihrer Pflichten nach diesem Internationalen Datenübermittlungsvertrag und (falls sie Anwendung finden) nach den Datenschutzgesetzen des Vereinigten Königreichs.

32.2 Jede Partei (in diesem Abschnitt, “Partei Eins”) erklärt sich einverstanden , gegenüber den Entsprechenden Betroffenen Personen im vollen Umfang für alle von der Entsprechenden Betroffenen Personen erlittenen Schäden, die direkt oder indirekt verursacht wurden durch:

32.2.1 Verletzung dieses Internationalen Datenübermittlungsvertrags seitens Partei Eins; und/ oder

32.2.2 Falls Partei Eins ein Auftragsverarbeiter ist, Verletzung seitens Partei Eins jeglicher Regelungen bezüglich der Verarbeitung der Übermittelten Daten ihrerseits im Verbundenen Vertrag;

32.2.3 Falls Partei Eins ein Verantwortlicher ist, Verletzung dieses Internationalen Datenübermittlungsvertrags seitens der anderen Partei, wenn sie die Verarbeitung der Übermittelten Daten seitens Partei Eins umfasst (so minimal es auch sein mag)

für jeden einzelnen Fall, es sei denn, Partei Eins kann beweisen, sie ist in keiner Weise verantwortlich für das Ereignis, das den Schaden verursacht hat.

32.3 Falls eine Partei Schadenersatz an eine Entsprechende Betroffene Person gemäß Abschnitt 32.2 bezahlt hat, sie ist berechtigt, von der anderen Partei den Teil des Schadenersatzes zurückzufordern, der der Verantwortung der anderen Partei für den Schaden entspricht, sodass der Schadenersatz gerecht zwischen den Parteien aufgeteilt wird.

32.4 Die Parteien schließen ihre Haftung gemäß diesem Internationalen Datenübermittlungsvertrag oder der Datenschutzgesetze des Vereinigten Königreichs nicht aus oder beschränken sie nicht auf der Grundlage, dass sie eine Person, die keine Partei ist (einschließlich eines Auftragsverarbeiters), zur Erfüllung ihrer Pflichten ermächtigt haben, und sie bleiben verantwortlich für die Erfüllung dieser Pflichten.

33.   Wie können Entsprechende Betroffene Personen und die Kanzlei des Informationsbeauftragten rechtliche Ansprüche erheben

33.1 Die Entsprechenden Betroffenen Personen sind berechtigt, dem Datenexporteur und/ oder dem Datenimporteur gegenüber Ansprüche für Verletzung der folgenden Bedingungen zu erheben (einschließlich wenn die Verarbeitung der Übermittelten Daten ihrerseits in einer Verletzung der folgenden Bedingungen seitens einer der Parteien verwickelt ist):

·   Abschnitt 1 (Dieser Internationale Datenübermittlungsvertrag und die Verbundenen Verträge);

·   Abschnitt 3 (Sie haben die ganze erforderliche Information von Teil Eins: Tabellen und Teil Zwei: Zusätzliche Schutzklauseln geliefert);

·   Abschnitt 8 (Angemessene Garantien);

·   Abschnitt 9 (Überprüfung, um sicherzustellen, dass die Angemessenen Garantien weiterbestehen);

·   Abschnitt 11 (Pflichten des Datenexporteurs);

·   Abschnitt 12 (Hauptpflichten des Datenimporteurs);

·   Abschnitt 13 (Pflichten des Datenimporteurs, falls er den Datenschutzgesetzen des Vereinigten Königreichs unterliegt);

·   Abschnitt 14 (Pflichten des Datenimporteurs, Datenschutz - Schlüsselgesetzen einzuhalten);

·   Abschnitt 15 (Was passiert im Falle von Verletzung Personenbezogener Daten seitens des Datenimporteurs);

·   Abschnitt 16 (Übermittlung der übermittelte Daten);

·   Abschnitt 17 (Haftung des Datenimporteurs, falls er andere Personen bevollmächtigt, seine Pflichten zu erfüllen);

·   Abschnitt 18 (Das Recht, eine Kopie des Internationalen Datenübermittlungsvertrags zu bekommen);

·   Abschnitt 19 (Kontaktdaten des Datenimporteurs für die Entsprechenden Betroffenen Personen);

·   Abschnitt 20 (Wie können die entsprechenden Betroffenen Personen ihre Rechte als Betroffene Personen ausüben);

·   Abschnitt 21 (Wie können die entsprechenden Betroffenen Personen ihre Rechte als Betroffene Personen ausüben– falls der Datenimporteur ein Auftragsverarbeiter oder ein Unterauftragsverarbeiter des Datenexporteurs ist);

·   Abschnitt 23 (Zugriffsanfragen und Direktzugang);

·   Abschnitt 26 (Verletzungen dieses Internationalen Datenübermittlungsvertrag);

·   Abschnitt 27 (Verletzungen dieses Internationalen Datenübermittlungsvertrags seitens des Datenimporteurs);

·   Abschnitt 28 (Verletzungen dieses Internationalen Datenübermittlungsvertrags seitens des Datenexporteurs);

·   Abschnitt 30 (Wie kann dieser Internationale Datenübermittlungsvertrag im Falle einer Verletzung beendet werden);

·   Abschnitt 31 (Was müssen die Parteien nach Ende des Internationalen Datenübermittlungsvertrags vornehmen); und

·   jede andere Bestimmung des Internationalen Datenübermittlungsvertrags, die ausdrücklich oder stillschweigend zugunsten der Entsprechenden Betroffenen Personen ist.

33.2 Die Kanzlei des Informationsbeauftragten ist berechtigt, Ansprüche gegen den Datenexporteur und/ oder den Datenimporteur für Verletzungen der folgenden Abschnitte geltend zu machen: Abschnitt 10 (Die Kanzlei des Informationsbeauftragten), Abschnitte 11.1 und 11.2 (Pflichten des Datenexporteurs ), Abschnitt 12.1.6 (Hauptpflichten des Datenimporteurs) und Abschnitt 13 ( Pflichten des Datenimporteurs, falls er den Datenschutzgesetzen des Vereinigten Königreichs unterliegt).

33.3Keine andere Person (der keine Partei ist) kann irgendeinen Teil dieses Internationalen Datenübermittlungsvertrags (einschließlich nach dem Gesetz über Verträge (Rechte von Drittparteien) von 1999) durchsetzen.

33.4 Die Parteien benötigen nicht die Zustimmung jeglicher Entsprechenden  Betroffenen Person oder der Kanzlei des Informationsbeauftragten, um Änderungen an diesem Internationalen Datenübermittlungsvertrag vorzunehmen, die Änderungen müssen jedoch gemäß seinen Bedingungen vorgenommen werden.

33.5 Bei der Geltendmachung eines Anspruchs nach diesem Internationalen Datenübermittlungsvertrag kann eine Entsprechende  Betroffene Person von einer gemeinnützigen Einrichtung, Organisation oder Vereinigung unter den gleichen Bedingungen wie in Artikel 80, Absatz 1 der UK DSGVO und den Abschnitten 187 bis 190 des Datenschutzgesetzes vom Jahre 2018 vertreten werden .

34.   Gerichte, wo rechtliche Ansprüche eingereicht werden können

34.1 Die in Tabelle 2: Übermittlungsangaben aufgeführten Gerichte des Vereinigten Königreichs haben nicht ausschließliche Gerichtsbarkeit über alle Ansprüche in Verbindung mit diesem Internationalen Datenübermittlungsvertrag (einschließlich außervertraglicher Ansprüche).

34.2 Der Datenexporteur kann eine Klage gegen den Datenimporteur in Verbindung mit diesem Internationalen Datenübermittlungsvertrag (einschließlich außervertraglicher Ansprüche) bei jedem Gericht in jedem Land mit Gerichtsbarkeit zur Anhörung der Klage erheben.

34.3 Der Datenimporteur kann Ansprüche gegen den Datenexporteur nur in Verbindung mit diesem Internationalen Datenübermittlungsvertrag (einschließlich außervertraglicher Ansprüche) vor den Gerichten des Landes des Vereinigten Königreichs geltend machen, die in Tabelle 2: Übermittlungsangaben aufgeführt sind.

34.4 Entsprechende Betroffene Personen und die Kanzlei des Informationsbeauftragten können Klagen gegen den Datenexporteur und/ oder den Datenimporteur in Verbindung mit diesem Internationalen Datenübermittlungsvertrag (einschließlich außervertraglicher Klagen) bei jedem Gericht in jedem Land mit Gerichtsbarkeit erheben.

34.5 Jede Partei erklärt sich bereit, der anderen Partei Angemessene Aktualisierungen über alle Ansprüche oder Beschwerden zu übermitteln, die von einer Entsprechenden  Betroffenen Personen oder der Kanzlei des Informationsbeauftragten in Verbindung mit den Übermittelten Daten (einschließlich Ansprüche vor Schiedsgericht) gegen sie erhoben werden.

35.   Schlichtung

35.1 Anstelle einer Klage vor Gericht gemäß Abschnitt 34 kann jede Partei oder eine Entsprechenden Betroffenen Personen entscheiden, Streitigkeiten aus oder in Verbindung mit diesem Internationalen Datenübermittlungsvertrag (einschließlich außervertraglicher Ansprüche) einer endgültigen Beilegung durch Schlichtung gemäß den Regeln des Londoner Gerichtshof für internationale Schiedsgerichtsbarkeit vorzulegen, und diese Regeln gelten als durch Bezugnahme in diesem Abschnitt ‎35 aufgenommen.

35.2Die Parteien erklären sich damit einverstanden, sich jeder Schlichtung zu unterwerfen, die von einer anderen Partei oder von einer Entsprechenden Betroffenen Person gemäß diesem Abschnitt ‎‎35 erhoben wurde.

35.3Es darf nur einen Schiedsrichter geben. Der Schiedsrichter (1) muss ein Rechtsanwalt sein, der in einem oder mehreren Ländern unter England und Wales, Schottland oder Nordirland zugelassen ist, und (2) muss Erfahrung in der Handlung oder Beratung in Streitigkeiten im Zusammenhang mit den Datenschutzgesetzen des Vereinigten Königreichs haben.

35.4 Sitz oder Gerichtsstand von Schlichtung ist London. Es spielt keine Rolle, ob die Parteien in Tabelle 2: Übermittlungsangaben ein anderes Land des Vereinigten Königreichs als „Hauptort für Erhebung rechtlicher Ansprüche seitens der Parteien“ ausgewählt haben.

35.5 Im Schiedsverfahren muss die englische Sprache verwendet werden.

35.6Dieser Abschnitt 35 unterliegt der Gesetzgebung von England. Diese Anwendung finden unabhängig davon, ob die Parteien in Tabelle 2: Übermittlungsangaben ein anderes Recht des Vereinigten Königreichs als das „Landesgesetzgebung des Vereinigten Königreichs, die den  Internationalen Datenübermittlungsvertrag regelt“ ausgewählt haben oder nicht.

36.   Rechtsglossar

Wort oder Ausdruck

Rechtliche Definition

(das bedeutet die Auslegung dieses Worts oder Ausdrucks im Internationalen Datenübermittlungsvertrag)

Zugriffsanfrage

Laut der Definition in Abschnitt 23,  als rechtlich bindende Anfrage (außer Anfragen, die nur kraft des Vertragsrechts bindend sind), um zu beliebigen Übermittelten Daten Zugriff zu bekommen.

Sicheres Drittland

Ein Drittland, oder:

·  Hoheitsgebiet;

· ein oder mehrere Sektoren oder Organisationen in einem Drittland;

·  eine internationale Organisation;

für die der Staatssekretär durch Regelungen festgelegt hat, dass sie ein angemessenes Schutzniveau für personenbezogene Daten gemäß Abschnitt 17A des Datenschutzgesetzes vom Jahre 2018 sicherstellen.

Angemessene Garantien

Der Standard des Schutzes über die Übermittelten Daten und der Rechte der Entsprechenden Betroffenen Personen, der von den Datenschutzgesetzen des Vereinigten Königreichs gefordert wird, wenn Sie eine beschränkte Übermittlung unter Berufung auf die Standardvertragsklauseln gemäß Artikel 46(2)(d) vornehmen.

Genehmigter Internationaler Datenübermittlungsvertrag

Die Vorlage des Internationalen Datenübermittlungsvertrags A1.0, herausgegeben von der Kanzlei des Informationsbeauftragten und dem Parlament gemäß s119A des Datenschutzgesetzes vom Jahre 2018 am 2 Februar 2022 nach Überarbeiteten nach Abschnitt 5.4 vorgelegt wurde.

Wirtschaftliche Klauseln

Die in Teil Drei dargelegten Wirtschaftliche Klauseln.

Verantwortlicher

Laut der Definition in der UK DSGVO.

Schaden

Alle materiellen oder immateriellen Verluste und Schäden.

Betroffene Person

Laut der Definition in der UK DSGVO.

Treffen von Entscheidungen

Laut der Definition in Abschnitt 20.6, Entscheidung über die Entsprechenden Betroffenen Personen, einschließlich Profilierung, die die übermittelten Daten nur auf der Basis der automatischen Verarbeitung beruhen.

Direktzugang

Laut der Definition in Abschnitt 23 als Direktzugang zu beliebiger Übermittelten Daten seitens öffentlicher Behörden, der dem Datenimporteur bekannt ist.

Datenexporteur

Der Datenexporteur, angegeben in Tabelle 1: Parteien & Unterschriften.

Zusätzliche Schutzklauseln

Die in Teil Zwei: Zusätzliche Schutzklauseln dargelegten Klauseln.

Kanzlei des Informationsbeauftragten

Der Informationsbeauftragte.

Importeur

Der Datenimporteur wie angegeben in Tabelle 1: Parteien & Unterschriften.

Kontaktdaten des Datenimporteurs für Betroffene Personen

Die Kontaktdaten des Datenimporteurs für Betroffene Personen wie angegeben in Tabelle 1: Parteien & Unterschriften, die gemäß Abschnitt 19 aktualisiert werden können.

Information für den Datenimporteur 

Laut der Definition in Abschnitt 8.3.1, alle einschlägigen Information bezüglich der Lokalen Gesetze und Praktiken und der Schutzklauseln und Risiken, die bezüglich der Übermittelten Daten Anwendung finden, wenn sie vom Datenimporteur verarbeitet werden, einschließlich für den Datenexporteur zwecks Durchführung jeglicher TRA.

Verletzung der Personenbezogenen Daten seitens des Datenimporteurs

Eine ‘Verletzung der Personenbezogenen Daten’ laut der Definition in der UK DSGVO, in Bezug auf die Übermittelten Daten, wenn sie vom Datenimporteur verarbeitet werden.

Verbundener Vertrag

Der Verbundene Vertrag, dargelegte in Tabelle 2: Übermittlungsangaben.

Lokale Gesetze

Gesetze, die nicht Gesetze des Vereinigten Königreichs sind und die für den Datenimporteur bindend sind.

Pflichtklauseln

Teil Vier: Pflichtklauseln dieses Internationalen Datenübermittlungsvertrags.

Meldeperiode

Wie dargelegt in Tabelle 2: Übermittlungsangaben.

Partei/ Parteien

Die Parteien zu diesem Internationalen Datenübermittlungsvertrag wie dargelegt in Tabelle 1: Parteien & Unterschriften.

Personenbezogene Daten

Laut der Definition in der UK DSGVO.

Verletzung der Personenbezogenen Daten

Laut der Definition in der UK DSGVO.

Verarbeitung

Laut der Definition in der UK DSGVO.

Wenn der Internationale Datenübermittlungsvertrag bezieht sich auf die Verarbeitung seitens des Datenimporteurs, das umfasst auch eine Drittpartei als Unterauftragsverarbeiter des Datenimporteurs, der die Verarbeitung im Namen des Datenimporteurs ausführt.

Auftragsverarbeiter

Laut der Definition in der UK DSGVO.

Zweck

Der in Tabelle 2 dargelegte Zweck: Übermittlungsangaben, einschließlich jegliche Zwecke, die dem erklärten Zweck nicht widersprechen oder auf die hingewiesen wird.

Entsprechende Betroffene Person

Eine von den übermittelten Daten Betroffene Person.

Beschränkte Übermittlung

Eine Übermittlung, die von Kapitel V der UK DSGVO abgedeckt ist.

Daten für Überprüfung

Die Daten für Überprüfung oder Periode für die Sicherheitsanforderungen, dargelegt in Tabelle 2: Übermittlungsangaben, und jegliche Daten für Überprüfung, die in jeglichen überarbeiteten Genehmigten Internationalen Datenübermittlungsvertrag dargelegt sind.

Erhebliche schädliche Auswirkungen

Laut der Definition in Abschnitt 26.2, wenn mehr als minimales Risiko von Verletzung des Internationalen Datenübermittlungsvertrags besteht, das (direkt oder indirekt) einer Entsprechenden Betroffenen Person oder der anderen Partei wesentliche Schäden verursacht hat.

Spezielle Datenkategorien

Wie in der UK DSGVO beschrieben, samt Strafurteil- oder Strafverfolgungsdaten.

Anfangsdatum

Wie dargelegt in Tabelle 1: Parteien und Unterschriften.

Unterauftragsverarbeiter

Ein Auftragsverarbeiter, der von einem Auftragsverarbeiter bestellt wird, um in seinem Namen Personenbezogene Daten zu verarbeiten.

Das umfasst Unterauftragsverarbeiter jedes Niveaus, z. B. auch Unterauftragsverarbeiter durch Weitervergabe.

Tabellen

Die Tabellen, dargelegt in Teil Eins dieses Internationalen Datenübermittlungsvertrags.

Laufzeit

Wie dargelegt in Tabelle 2: Übermittlungsangaben.

Drittpartei - Verantwortliche

Verantwortlicher für Übermittelte Daten, wobei der Datenexporteur ein Auftragsverarbeiter oder Unterauftragsverarbeiter ist.

Falls kein Drittpartei – Verantwortlicher existiert kann man das auslassen.

Risikobewertung der Übermittlung oder TRA

Eine Risikobewertung, insofern sie von den Datenschutzgesetzen des Vereinigten Königreichs erforderlich ist, um nachzuweisen, dass der Internationale Datenübermittlungsvertrag die Angemessenen Garantien bereitstellt.

Übermittelte Daten

Jegliche Personenbezogene Daten, die die Parteien nach diesem Internationalen Datenübermittlungsvertrag übermitteln, oder zu übermitteln beabsichtigen, wie in Tabelle 2: Übermittlungsangaben beschrieben.

Datenschutzgesetze des Vereinigten Königreichs

Alle mit dem Datenschutz, der Verarbeitung Personenbezogener Daten, der Datensicherheit und/ oder der elektronischen Kommunikation verbundene periodisch geltende Gesetze im Vereinigten Königreich, einschließlich die UK DSGVO und das Datenschutzgesetz vom Jahre 2018.

UK DSGVO

(Datenschutzregelung des Vereinigten Königreichs)

Laut der Definition in Abschnitt 3 des Datenschutzgesetzes vom Jahre 2018.

Unverzüglich

Unverzüglich, wie dieser Ausdruck in der UK DSGVO ausgelegt ist.

Fenster schlie├čen