Allgemeine Datenschutzverordnung der Europäischen Union und Nachtrag zur Datenübermittlung

Choose your language

Diese übersetzte Version wird nur aus Gründen der besseren Verständlichkeit und der Einfachheit halber zur Verfügung gestellt. Im Falle von Bedeutungs- oder Interpretationsunterschieden zwischen dieser übersetzten Version und der englischen Version hat die englische Version Vorrang.

Allgemeine Datenschutzverordnung der Europäischen Union und Nachtrag zur Datenübermittlung

Dieser Zusatz zur Datenverarbeitung (Addendum) ist Teil der Guidepoint Advisors Geschäftsbedingungen zwischen Guidepoint Global, LLC und Advisor (nachfolgend Vereinbarung oder die Vereinbarung“). Dieser Nachtrag ist von und zwischen Guidepoint Global, LLC, mit Sitz in 730 Third Avenue, New York, NY 10017 (Verarbeiter und/oder Datenimporteur), einerseits, und Advisor (Controller und/oder Datenexporteur) andererseits, wobei letzterer als Partei des Nachtrags angesehen wurde, indem er auf dessen Inhalt aufmerksam gemacht wurde und sich dafür entschieden hat, nicht zu widersprechen. Dieser Nachtrag wird am Tag der Vereinbarung oder am 25. Mai 2018, je nachdem, welcher Zeitpunkt später liegt (der Stichtag), erstellt und abgeschlossen.Datenverantwortlicher und Datenverarbeiter werden einzeln als Partei und gemeinsam als Parteienbezeichnet.

 

Für die Zwecke dieses Nachtrags und sofern nicht anders angegeben, haben die großgeschriebenen Begriffe die gleiche Bedeutung wie die in der Allgemeinen Datenschutzverordnung der Europäischen Union (DSGVO) oder in den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Datenverarbeiter in Drittländern verwendeten Definitionen, die im Anhang der Entscheidung 2010/87/EG der Europäischen Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern(Standardvertragsklauseln oder Klauseln in der Anlage 1) enthalten sind.

 

Dieser Zusatz gilt für personenbezogene Daten, die von Betroffenen in der Europäischen Union erhoben oder zur Verfügung gestellt werden. Dieser Zusatz gilt auch für alle personenbezogenen Daten, die in der EU verarbeitet werden.

 

PRÄAMBEL

 

EINLEITEND WIRD FOLGENDES FESTGEHALTEN:

Gemäß der Erbringung von Dienstleistungen durch den Datenverarbeiter gemäß der Vereinbarung, kann der Datenverarbeiter die Aufbewahrung oder Speicherung, Verarbeitung oder den Zugriff auf bestimmte Dateien erhalten, die personenbezogene Daten im Sinne der DSGVO enthalten, wie in Anlage 1 beschrieben; und

die Parteien möchten sicherstellen, dass angemessene Garantien hinsichtlich des Schutzes der Privatsphäre der betroffenen Personen gemäß DSGVO bestehen, und möchten daher das Abkommen unter den hierin festgelegten Bedingungen ändern; und

die europäischen Datenschutzgesetze verlangen von Datenexporteuren in EU/EWR-Ländern einen angemessenen Schutz für die Übermittlung personenbezogener Daten in Nicht-EU/EWR-Länder, und dieser Schutz kann dadurch gewährleistet werden, dass die Datenimporteure gemäß der Entscheidung 2004/915/EG der Kommission vom 27. Dezember 2004 (in ihrer jeweils gültigen oder ersetzten Fassung) in die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer aufgenommen werden.

DARAUS FOLGT: r und unter Berücksichtigung der gegenseitigen Versprechen und Verpflichtungen, die hierin enthalten sind, und anderer guter und wertvoller Überlegung, deren Empfang und Vollständigkeit hiermit anerkannt wird, stimmen die Vertragsparteien hiermit wie folgt überein:

 

ERGÄNZUNGEN ZUR VEREINBARUNG

1. ERGÄNZUNGEN ZUR VEREINBARUNG
1.1 Ergänzung. Die Parteien vereinbaren hiermit, dass die Vereinbarung durch Hinzufügung dieses Nachtrags zur Vereinbarung geändert wird.

 

1.2 Auswirkung des Nachtrags. Alle nicht ausdrücklich geänderten Bestimmungen des Dienstleistungsvertrages bleiben in vollem Umfang in Kraft. Im Falle eines unvereinbaren Konflikts zwischen den Bestimmungen dieses Nachtrags und den Bestimmungen des Dienstleistungsvertrags haben die Bestimmungen dieses Zusatzes Vorrang. Sollte eine Bestimmung dieses Nachtrags unwirksam sein oder werden, so bleibt die Gültigkeit der übrigen Bestimmungen dieses Nachtrags hiervon unberührt, und jede Bestimmung dieses Nachtrags ist im vollen Umfang des Gesetzes gültig und durchsetzbar.

 

1.3 Weitere Änderungen. Die Bestimmungen der Vereinbarung, einschließlich der Bestimmungen dieser Klausel, dürfen nicht verändert, modifiziert oder ergänzt werden, und Verzichte oder Zustimmungen zu Abweichungen von den Bestimmungen der Vereinbarung dürfen nicht ohne vorherige schriftliche Zustimmung des bevollmächtigten Vertreters jeder Vertragspartei erteilt werden. Kein Verzicht einer der Parteien auf einen Verzug, eine falsche Darstellung oder einen Verstoß gegen die Garantie oder den Vertrag, ob vorsätzlich oder nicht, wird als Verzicht auf einen früheren oder späteren Verzug, eine falsche Darstellung oder einen Verstoß gegen die Garantie oder den Vertrag angesehen oder berührt in irgendeiner Weise Rechte, die aufgrund eines früheren oder späteren solchen Ereignisses entstehen.
2. DATENVERARBEITUNG

 

2.1 Controller-Anweisungen. Der Datenverarbeiter verarbeitet personenbezogene Daten des Controllers nur im Namen und zu Gunsten des Controllers und gemäß den dokumentierten Anweisungen des Controllers. Die Parteien vereinbaren ausdrücklich und legen fest, dass der Vertrag, einschließlich anwendbarer Service Level Agreements oder gleichwertiger Dokumente, die schriftlichen Anweisungen des Controllers an den Datenverarbeiter darstellt. Zusätzliche Verarbeitungshinweise müssen von den Parteien schriftlich vereinbart werden. Der Verarbeiter hat den Controller unverzüglich zu informieren, wenn nach Ansicht des Verarbeiters eine Anweisung gegen geltendes Recht verstößt.
2.2 Berechtigung zur Übergabe an den Verarbeiter. Der Controller sichert zu und garantiert, dass der Controller die Befugnis und das Recht hat, alle persönlichen Daten und alle anderen Daten oder Informationen, die mit dem Zugriff des Controllers auf die Dienste oder deren Nutzung zusammenhängen, rechtmäßig an den Verarbeiter zu übermitteln.
2.3 Einhaltung des anwendbaren Rechts. Der Controller sichert zu und garantiert, dass er (i) die geltenden internationalen, föderalen, staatlichen, provinziellen und lokalen Gesetze, Regeln, Verordnungen, Richtlinien und behördlichen Anforderungen, die derzeit in Kraft sind und sich in irgendeiner Weise auf die Privatsphäre, Vertraulichkeit und/oder Sicherheit personenbezogener Daten beziehen, einschließlich, aber nicht beschränkt auf DSGVO; (ii) geltende Industriestandards in Bezug auf Privatsphäre, Datenschutz, Vertraulichkeit oder Informationssicherheit, einschließlich, aber nicht beschränkt auf den Payment Card Industry Data Security Standard (PCI DSS); und (iii) geltende Bestimmungen der schriftlichen Anforderungen des Verarbeiters, die derzeit in Kraft sind und sich in irgendeiner Weise auf den Datenschutz, die Vertraulichkeit und/oder die Sicherheit personenbezogener Daten beziehen, oder geltende Datenschutzrichtlinien, Erklärungen oder Hinweise, die dem Controller vom Verarbeiter schriftlich zur Verfügung gestellt werden (insgesamt Anwendbares Recht), einhält.
3. Unterverarbeiter

 

3.1 Einbindung von Unterverarbeitern. Der Controller erkennt ausdrücklich an und stimmt zu, dass (a) der Verarbeiter jede Entität behalten kann, die vom Verarbeiter kontrolliert wird, die er kontrolliert oder sich in gemeinsamer Kontrolle mit ihm befindet (Affiliates) in Verbindung mit der Bereitstellung der Dienste; und (b) der Verarbeiter und die verbundenen Unternehmen des Verarbeiters jeweils andere Drittanbieter in Verbindung mit der Bereitstellung der Dienste beauftragen können (zusammen Unterverarbeiter).
3.2 Pflichten der Unterverarbeitern. Jedem Unterverarbeiter ist es gestattet, personenbezogene Daten nur dann zu verarbeiten, wenn dies für die Erbringung der Dienstleistungen erforderlich ist, für die er sie aufbewahrt hat, und diesen Unterverarbeitern ist es untersagt, personenbezogene Daten für andere Zwecke zu verarbeiten. Diese Unterverarbeiter erbringen ihre Dienste gemäß einer schriftlichen Vereinbarung, die dieselben Datenschutzverpflichtungen wie hierin festgelegt enthält. Der Verarbeiter haftet gegenüber dem Controller für die Handlungen und Unterlassungen seiner Unterverarbeiter in demselben Umfang, in dem der Controller haften würde, wenn er die Leistungen jedes Unterverarbeiters unmittelbar im Rahmen dieses Zusatzvertrags erbrächte, sofern in der Vereinbarung nichts anderes festgelegt ist.
3.3 Liste der Unterverarbeiter. Auf Anforderung des Controllers stellt der Verarbeiter dem Controller eine aktuelle Liste von Unterverarbeitern für die jeweiligen Dienste mit den Identitäten dieser Unterverarbeiter zur Verfügung (Unterverarbeiter-Liste).
4. VERTRAULICHKEIT
4.1 Vertraulichkeit. Der Verarbeiter behandelt die persönlichen Daten des Controllers vertraulich.Der Verarbeiter stellt sicher, dass sein Personal, das mit der Verarbeitung personenbezogener Daten des Controllers befasst ist, über den vertraulichen Charakter der personenbezogenen Daten informiert ist, eine angemessene Schulung über seine Verantwortlichkeiten erhalten hat und der Geheimhaltungspflicht unterliegt und dass diese Verpflichtungen über die Beendigung der Zusammenarbeit dieser Personen mit dem Verarbeiter hinaus bestehen.
5. SICHERHEIT

 

5.1 Sicherheitsmaßnahmen. Der Verarbeiter trifft geeignete technische und organisatorische Maßnahmen zum Schutz der Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten des Controllers, wie in Anlage 2 näher ausgeführt.
5.2 Meldung bei Datenschutzverletzungen. Der Verarbeiter hat den Controller unverzüglich über jeden Sicherheitsverstoß zu informieren, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unberechtigten Weitergabe oder zum unberechtigten Zugriff auf die personenbezogenen Daten des Controllers (Datenschutzverletzung) führt, nachdem er von einer solchen Datenschutzverletzung Kenntnis erlangt hat. Die Benachrichtigung(en) über etwaige Datenschutzverletzungen wird (werden) dem Controller mit den von den Parteien vereinbarten Mitteln zugestellt. Es liegt in der alleinigen Verantwortung des Controllers, dafür zu sorgen, dass er korrekte Kontaktinformationen für die Zwecke einer solchen Benachrichtigung besitzt.
6. UNTERSTÜTZUNG FÜR DEN CONTROLLER

 

6.1 Rechte betroffener Personen. Soweit möglich und unter Berücksichtigung der Art der Verarbeitung wird der Verarbeiter dem Controller bei der Erfüllung der Verpflichtung des Controllers, auf Ersuchen um Ausübung der Rechte der betroffenen Personen gemäß den Artikeln 12-23 der DSGVO zu reagieren, wirtschaftlich angemessene Unterstützung leisten.
6.2 Sicherheits- und Datenschutzfolgenabschätzungen. Der Verarbeiter wird dem Controller bei der Erfüllung seiner Pflichten gemäß Artikel 32 der DSGVO (Sicherheit der Verarbeitung) und Artikel 36 (vorherige Konsultation), soweit dies im Hinblick auf die Art der Verarbeitung und die dem Verarbeiter zur Verfügung stehenden Informationen angemessen und durchführbar ist, wirtschaftlich angemessen unterstützen.
6.3 Audits und Kontrollen. Vorbehaltlich der Einschränkungen im Zusammenhang mit der Sicherheit der Systeme oder der Integrität der Daten im Zusammenhang mit dem Betrieb des Verarbeiters stellt der Verarbeiter dem Controller die Informationen zur Verfügung, die zum Nachweis der Einhaltung der Verpflichtungen gemäß Artikel 28 der DSGVO erforderlich sind. Der Verarbeiter muss die Durchführung von Audits, einschließlich Kontrollen, durch den Controller oder einen anderen vom Controller beauftragten Prüfer ermöglichen und dazu beitragen. Der Controller erstattet dem Verarbeiter die für eine solche Vor-Ort-Überprüfung aufgewendete Zeit zu den zu diesem Zeitpunkt gültigen Preisen für diese Dienstleistung, die dem Controller auf Anfrage zur Verfügung gestellt werden müssen. Vor Beginn eines solchen Audits vor Ort vereinbaren Verarbeiter und Controller gemeinsam den Umfang, den Zeitpunkt und die Dauer des Audits sowie den Erstattungssatz, für den der Controller verantwortlich ist. Die Parteien arbeiten in gutem Glauben daran, die Prüfung zu einem für beide Seiten vorteilhaften Zeitpunkt zu planen, um unangemessene Störungen des Geschäftsbetriebs des Verarbeiters zu vermeiden.Alle Erstattungssätze müssen unter Berücksichtigung der vom Verarbeiter aufgewendeten Mittel angemessen sein. Sofern die Parteien nichts anderes schriftlich vereinbart haben, trägt der Controller die Kosten im Zusammenhang mit der Durchführung der gemäß dieser Bestimmung durchgeführten Prüfungen des Verarbeiters. Der Controller muss den Bearbeiter unverzüglich darüber informieren, wenn im Zuge eines Audits, das für die Dienste oder diese Vereinbarung relevant ist, Verstöße festgestellt werden.
7. DATENÜBERMITTLUNG

 

7.1 Übermittlung in die Vereinigten Staaten. Der Controller erkennt ausdrücklich an, dass einige oder alle Dienste innerhalb der Vereinigten Staaten bereitgestellt und/oder gehostet werden können, einer Gerichtsbarkeit, die von der Europäischen Union als unzureichend für den Schutz personenbezogener Daten angesehen wird. Der Controller erklärt sich ausdrücklich damit einverstanden, dass die persönlichen Daten des Controllers in die Vereinigten Staaten übertragen werden, um die Dienstleistungen zu erbringen und seine Verpflichtungen aus dem Vertrag zu erfüllen. Solche Übertragungen werden gemäß dieser Vereinbarung, einschließlich Anhang 1 (Standardvertragsklauseln), durchgeführt.
8. LÖSCHUNG PERSONENBEZOGENER DATEN

 

8.1 Löschung oder Rückgabe persönlicher Daten des Controllers. Sofern nicht anderweitig gesetzlich vorgeschrieben oder soweit dies nach geltenden branchenüblichen Verfahrensweisen zur angemessenen Abmilderung rechtlicher Risiken oder zur Erinnerung an die Absicht des Controllers in Bezug auf schriftliche Anweisungen zulässig ist, wird der Verarbeiter persönliche Daten des Controllers innerhalb einer angemessenen Frist löschen oder zurückgeben nach: (i) dem Ende der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung, oder (ii) rechtmäßigen, schriftlichen Antrag des Controllers.
8.2 Zertifizierung. Die Parteien vereinbaren, dass die in Ziffer 12 Absatz 1 der Anlage 1 (Standardvertragsklauseln) beschriebene Bescheinigung über die Löschung personenbezogener Daten vom Verarbeiter dem Controller auf Verlangen und im Rahmen der gesetzlichen Möglichkeiten zur Verfügung gestellt wird.
9. ENTSCHÄDIGUNG

 

9.1 Entschädigung. Der Controller verpflichtet sich, den Prozessor und seine verbundenen Unternehmen und ihre jeweiligen gegenwärtigen, zukünftigen und ehemaligen leitenden Angestellten, Mitarbeiter, Direktoren, Vertreter, Nachfolger und Abtretungsempfänger (gemeinsam als Entschädigungsberechtigte) von Verlusten (wie nachstehend definiert) freizustellen und, nach Wahl des Verarbeiters, schadlos zu halten, die den Entschädigungsberechtigten entstehen können, sofern solche Verluste entstehen oder in irgendeiner Weise zurückzuführen sind auf: (i) einen Verstoß gegen diesen Nachtrag; und (ii) Fahrlässigkeit, grobe Fahrlässigkeit, Bösgläubigkeit, betrügerische Handlungen oder Unterlassungen oder vorsätzliches oder böswilliges Fehlverhalten des Controllers oder seines Personals im Zusammenhang mit den in diesem Nachtrag aufgeführten Verpflichtungen. Für die Zwecke dieses Nachtrags bedeutet Verluste alle Urteile, Vergleiche, Schiedssprüche, Schäden, Verluste, Gebühren, Haftungen, Strafen, Zinsforderungen (einschließlich Steuern und aller damit verbundenen Zinsen und Strafen, die direkt damit zusammenhängen) sowie alle damit verbundenen angemessenen Kosten, Ausgaben und sonstigen Kosten (einschließlich aller angemessenen Anwaltsgebühren und angemessenen internen und externen Kosten für Untersuchungen, Rechtsstreitigkeiten, Anhörungen, Verfahren, Dokumenten- und Datenproduktion und -ermittlung, Vergleich, Urteil, Schiedssprüche, Zinsen und Strafen).
10. VERSCHIEDENES

 

10.1 Ausfertigungen. Diese Vereinbarung kann in Kopien ausgeführt werden, von denen jede als Original gilt und alle zusammen ein und dasselbe Dokument bilden.

 

10.2 Dauer und Beendigung. Alle Kündigungen müssen schriftlich erfolgen und den in der Vereinbarung festgelegten Kündigungsmodalitäten entsprechen. Sofern die Parteien nichts anderes schriftlich vereinbart haben, bleibt dieser Nachtrag bis zum Ablauf des Vertrages in Kraft.

 

10.3 Fortbestand der Bedingungen. Die Rechte und Pflichten einer der Vertragsparteien, die ihrer Natur nach über die Beendigung oder den Ablauf dieses Nachtrags hinausgehen, einschließlich, aber nicht beschränkt auf, Vertraulichkeitsverpflichtungen, bleiben über die Beendigung oder den Ablauf dieses Nachtrags hinaus bestehen.

 

10.4 Gesamtvereinbarung. Dieser Nachtrag (der in den Vertrag aufgenommen werden und einen wesentlichen Bestandteil davon bilden soll) stellt die gesamte Vereinbarung und das gesamte Verständnis zwischen den Parteien dar und ersetzt alle vorherigen und gleichzeitigen mündlichen und schriftlichen Verhandlungen, Vereinbarungen und Absprachen, falls vorhanden, zum spezifischen Gegenstand dieses Nachtrags und dieser Nachtrag kann nicht verändert werden, außer nach schriftlicher Vereinbarung, die von einem bevollmächtigten Vertreter jeder Partei unterzeichnet wird.
10.5 Salvatorische Klausel. Für den Fall, dass eine Bestimmung in diesem Nachtrag ungültig, illegal oder nicht durchsetzbar in irgendeiner Gerichtsbarkeit ist, ist diese Bestimmung hinsichtlich dieser Ungültigkeit, Rechtswidrigkeit oder Nichtdurchsetzbarkeit unwirksam, ohne die Gültigkeit, Legalität und Durchsetzbarkeit der verbleibenden Bestimmungen zu beeinträchtigen; und die Ungültigkeit einer bestimmten Bestimmung in einer bestimmten Gerichtsbarkeit darf diese Bestimmung in keiner anderen Rechtsordnung ungültig machen.

Anlage 1

STANDARDVERTRAGSKLAUSELN (VERARBEITER)

Für die Zwecke der Datenschutz-Grundverordnung und Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an in Drittländern niedergelassene Auftragsverarbeiter, die kein angemessenes Datenschutzniveau gewährleisten, HABEN der Datenimporteur und Datenexporteur, wie in der Vereinbarung angegeben, jeder eine Partei; zusammen die Parteien,

die folgenden Vertragsklauseln (die Klauseln) VEREINBART, um angemessene Garantien in Bezug auf den Schutz der Privatsphäre und der Grundrechte und Freiheiten des Einzelnen für die Übertragung durch den Datenexporteur an den Datenimporteur der persönliche Daten zu erbringen, die in Anhang 1 angegeben sind.

Klausel 1

Definitionen

Für die Zwecke der Klauseln:

(a)personenbezogene Daten, besondere Datenkategorien, Verarbeitung, Controller, Verarbeiter, betroffene Person und Aufsichtsbehörde haben dieselbe Bedeutung wie in der Richtlinie 95/46/EG des Europäischen Parlaments und des Rats vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

(b)der Datenexporteur ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt;

(c)der Datenimporteur ist der Datenverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem Rechtssystem eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

(d)der Unterverarbeiter bezeichnet jeden vom Datenimporteur oder Unterverarbeiter beauftragten Datenverarbeiter, der einwilligt, personenbezogene Daten vom Datenimporteur oder irgend einem anderen Unterverarbeiter zu beziehen, die ausschließlich für Verabeitungszwecke im Namen des Datenexporteurs nach der Übertragung und in Übereinstimmung mit seinen Anweisungen, den Bedigungen der Klauseln und mit den Bedingungen des schriftlichen Untervertrages vorgesehen sind;

(e)anwendbares Datenschutzrecht bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung der Daten Verantwortlichen anzuwenden sind;

(f)technische und organisatorische Sicherheitsmaßnahmen sind Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Weitergabe oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk beinhaltet, sowie vor allen anderen rechtswidrigen Formen der Verarbeitung.

Klausel 2

Einzelheiten zur Übertragung

Die Einzelheiten der Übertragung und insbesondere die besonderen Kategorien persönlicher Daten, sofern vorhanden, sind in Anhang 1 aufgeführt, der wesentlicher Bestandteil der Klauseln ist.

Klausel 3

Klausel zu Drittbegünstigten

1. Der Betroffene kann diese Klausel sowie Klausel 4(b) bis (i), Klausel 5(a) bis (e) und (g) bis (j), Klausel 6(1) und (2), Klausel 7, Klausel 7, Klausel 8(2) sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigter geltend machen.

2.Der Betroffene kann diese Klausel, Klausel 5(a) bis (e) und (g), die Klauseln 6 und 7, Klausel 8(2) sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen, in welchem Fall der Betroffene die Klauseln gegenüber diesem geltend machen kann.

3.Der Betroffene kann diese Klausel, Klausel 5(a) bis (e) und (g), die Klauseln 6 und 7, Klausel 8(2) sowie die Klauseln 9 bis 12 gegenüber dem Unterverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen, in welchem Fall der Betroffene die Klauseln gegenüber diesem geltend machen kann. Eine solche Haftpflicht des Unterverarbeiters ist auf dessen eigene Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.

4. Die Parteien erheben keine Einwände dagegen, dass ein Betroffener, sofern er dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

Klausel 4

Pflichten des Datenexporteurs

Der Datenexporteur erklärt sich bereit und garantiert, dass:

(a) die Verarbeitung der personenbezogenen Daten einschließlich der Übertragung gemäß den massgeblichen Bestimmungen der geltenden Datenschutzgesetze durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaates mitgeteilt wurde, in dem der Datenexporteur ansässig ist) und nicht gegen die maßgeblichen Bestimmungen dieses Staates verstößt;

(b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

(c) der Datenimporteur hinreichende Garantien in Bezug auf die in Anhang 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen bietet;

(d) nach der Prüfung der Anforderungen des anwendbaren Datenschutzrechts die Sicherheitsmaßnahmen geeignet sind, personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Weitergabe oder unberechtigtem Zugriff zu schützen, insbesondere, wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk umfasst, und dass diese Maßnahmen ein Sicherheitsniveau gewährleisten, das den durch die Verarbeitung und die Art der zu schützenden Daten bestehenden Risiken unter Berücksichtigung des Stands der Technik und der Kosten ihrer Umsetzung angemessen ist;

(e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

(f) der Betroffene bei der Übermittlung sensibler Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass seine Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

(g)​er die gemäß Klausel 5(b) sowie Klausel 8(3) vom Datenimporteur oder von einem Unterverarbeiter erhaltene Mitteilung an die Datenschutzaufsichtsbehörde weiterleitet, wenn der Datenexporteur beschließt, die Übertragung fortzusetzen oder die Aussetzung aufzuheben;

(h) den betroffenen Personen auf Anfrage eine Kopie der Klauseln, mit Ausnahme von Anlage 2, und eine zusammenfassende Beschreibung der Sicherheitsmaßnahmen sowie eine Kopie eines Vertrags für Unterverarbeitungsleistungen, die gemäß den Bestimmungen der Richtlinie zu erstellen sind, zur Verfügung zu stellen, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen entfernt werden;

(i)im Falle einer Unterverarbeitung die Verarbeitungstätigkeit gemäß Klausel 11 von einem Unterverarbeiter durchgeführt wird, der mindestens das gleiche Schutzniveau für die personenbezogenen Daten und die Rechte des Betroffenen wie der Datenimporteur gemäß den Klauseln bietet; und

(j) er für die Einhaltung der Klausel 4(a) bis (i) sorgt.

Klausel 5

Pflichten des Datenimporteurs

Der Datenimporteur erklärt sich bereit und garantiert, dass:

(a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und dass er eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

(c) er vor der Verarbeitung der übermittelten personenbezogenen Daten, die in Anhang 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

(d) er den Datenexporteur unverzüglich informiert über:

(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

(ii) jeden zufälligen oder unberechtigten Zugang und

(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

(e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

(f) auf er Anfrage des Datenexporteurs seine Datenverarbeitungsanlagen zur Prüfung der von den Klauseln erfassten Verarbeitungstätigkeiten durch den Datenexporteur oder eine Kontrollstelle aus unabhängigen Mitgliedern, die über die erforderlichen beruflichen Qualifikationen verfügen, zur Verfügung stellt und sich zur Geheimhaltung verpflichtet, gegebenenfalls vom Datenexporteur im Einvernehmen mit der Aufsichtsbehörde ausgewählt;

(g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

(h)er den Datenexporteur im Falle von Unterverarbeitung vorher informiert und seine vorherige schriftliche Zustimmung eingeholt hat;

(i) die Verarbeitungsdienste durch den Unterverarbeiter gemäß Klausel 11 durchgeführt werden;

(j) sofort eine Kopie der im Rahmen dieser Klauseln mit einem Unterverarbeiter geschlossenen Verträge an den Datenexporteur schickt.

Klausel 6

Haftung

1. Die Parteien vereinbaren, dass jeder Betroffene, der infolge einer Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erhalten.

2.Wenn ein Betroffener nicht in der Lage ist, Schadenersatzansprüche gemäß Absatz 1 gegenüber dem Datenexporteur wegen eines Verstosses des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 oder 11 genannten Pflichten geltend zu machen, weil der Datenexporteur faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass der Betroffene seine Ansprüche ihm gegenüber anstelle des Datenexporteurs geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann der Betroffene seine Ansprüche gegenüber dem Rechtsnachfolger geltend machen.

Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterverarbeiters für einen Verstoß gegen seine Verpflichtungen beruft.

3. Wenn ein Betroffener nicht in der Lage ist, einen Anspruch gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen eines Verstosses des Unterverarbeiters gegen ihre in den Klauseln 3 oder 11 aufgeführten Pflichten geltend zu machen, weil sowohl der Datenexporteur als auch der Datenimporteur faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterverarbeiter damit einverstanden, dass der Betroffene im Zusammenhang mit seinen Datenverarbeitungstätigkeiten gemäß den Klauseln gegenüber ihm anstelle des Datenexporteurs oder des Datenimporteurs einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann der Betroffene seine Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Die Haftung des Unterverarbeiters ist auf dessen eigene Datenverarbeitungstätigkeiten gemäß diesen Klauseln beschränkt.

Klausel 7

Schlichtungsverfahren und Gerichtsbarkeit

1.Für den Fall, dass ein Betroffener gegenüber dem Datenimporteur Rechte als Drittbegünstigter und/oder Schadenersatzansprüche für Schäden aus den Klauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren und:

a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder gegebenenfalls durch die Kontrollstelle beizulegen;

b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.

2.Die Parteien vereinbaren, dass die Entscheidung des Betroffenen nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

Klausel 8

Zusammenarbeit mit Aufsichtsbehörden

1.Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Aufsichtsbehörde zu hinterlegen, wenn diese es verlangt oder die geltenden Datenschutzgesetze dies vorsehen.

2. Die Parteien vereinbaren, dass die Aufsichtsbehörde befugt ist, den Datenimporteur und etwaige Unterverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen sie gemäß den geltenden Datenschutzgesetzen auch den Datenexporteur prüfen würde.

3. Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterverarbeiter gelten und der Durchführung einer Prüfung des Datenimporteurs oder von Unterverarbeitern gemäß Absatz 2 entgegenstehen. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5(b) vorgesehenen Maßnahmen zu ergreifen.

Klausel 9

Geltendes Recht

Diese Klauseln unterliegen dem Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist.

Klausel 10

Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, bei Bedarf weitere, geschäftsbezogene Klauseln aufzunehmen, solange diese nicht im Widerspruch zu der Klausel stehen.

Klausel 11

Unterverarbeitung

1.Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur durch eine schriftliche Vereinbarung mit dem Unterverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. Sollte der Unterverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.

2. Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterverarbeiter muss gemäß Klausel 3 auch eine Klausel zu Drittbegünstigten für Fälle enthalten, in denen der Betroffene nicht in der Lage ist, einen Schadenersatzanspruch gemäßKlausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterverarbeiters ist auf dessen eigene Verarbeitungstätigkeiten gemäß den Klauseln beschränkt.

3. Für Datenschutzbestimmungen im Zusammenhang mit der Unterverarbeitung des Vertrags gemäß Absatz 1 gilt das Recht des Mitgliedstaates, in dem der Datenexporteur ansässig ist.

4. Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur gemäß Klausel 5(j) übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

Klausel 12

Pflichten nach Beendigung der Datenverarbeitungsdienste

1. Die Parteien vereinbaren, dass der Datenimporteur und der Unterverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übertragenen persönlichen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle persönlichen Daten zerstören und dem Datenexporteur bescheinigen muss, dass dies erfolgt ist, sofern dem Datenimporteur die teilweise oder vollständige Rückübermittlung oder Zerstörung der übertragenen personenbezogenen Daten nicht durch die für ihn geltenden Gesetze untersagt ist. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übertragenen persönlichen Daten gewährleistet und diese übertragenen persönlichen Daten nicht mehr aktiv weiterverarbeitet.

2. Der Datenimporteur und der Unterverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Aufsichtsbehörde ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

ANLAGE 1 ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

 

Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen.

 

Datenexporteur

Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind):

 

Der Controller (Datenexporteur) hat sich mit dem Datenimporteur in Verbindung gesetzt, um Kunden des Datenimporteurs gegen Zahlung durch den Datenimporteur beratende oder damit verbundene Dienstleistungen anbieten zu können.

 

Datenimporteur

Der Datenimporteur ist (bitte erläutern Sie kurz die Tätigkeiten, die für die Übermittlung von Belang sind):

 

Guidepoint ist der Datenimporteur. Der Controller (Datenexporteur) hat sich mit dem Datenimporteur in Verbindung gesetzt, um Kunden des Datenimporteurs gegen Zahlung durch den Datenimporteur beratende oder damit verbundene Dienstleistungen anbieten zu können.

 

 

Betroffene Personen

Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen:

 

Arbeitnehmer (einschließlich Selbständige)
Endanwender
Unabhängige Auftragnehmer
Investoren
Eigentümer
Weitere relevante Personen des Unternehmens

 

Datenkategorien

Die übermittelten personenbezogenen Daten betreffen die folgenden Datenkategorien:

 

Namen
Email-Adresse
Straße/Postanschrift
Telefonnummern
IP-Adressen
Browser-Cookies
Geräte-IDs
Sonstige Angaben nach Ermessen des für die Verarbeitung Verantwortlichen oder Betroffenen
Weitere Informationen, die für den Betrieb des Unternehmens und die Erbringung von Dienstleistungen und Support für den Controller erforderlich sind
Zugehörige Informationen in Verbindung mit personenbezogenen Daten

 

 

 

Besondere Datenkategorien (falls zutreffend)

Die übermittelten personenbezogenen Daten betreffen die folgenden besonderen Datenkategorien:

 

Keine.

 

Verarbeitungsprozesse

Die personenbezogenen Daten unterliegen den folgenden grundlegenden Verarbeitungsvorgängen:

 

Die für die gelisteten Datensubjekte bereitgestellten Daten werden verwendet, um dem Verarbeiter die Erbringung von Dienstleistungen und Unterstützung für den Controller zu ermöglichen, einschließlich der Kommunikation für eine Vielzahl geschäftlicher Zwecke, der Einhaltung gesetzlicher Vorschriften (einschließlich der Einhaltung der DSGVO und der Erinnerung an schriftliche Anweisungen) und andere relevante, erwartete Geschäftsnutzungen im Rahmen des Vertrags.

 

ANLAGE 2 ZU DEN STANDARDVERTRAGSKLAUSELN

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

 

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4(d) und Klausel 5(c) (oder beigefügtes Dokument/Rechtsvorschrift) eingeführt hat:

Schriftliche Sicherheitsrichtlinie oder -plan
Notfallplan
Vorfallreaktionsplan
Netzsegmentierung
Firewalls
Intrusionsschutzvorrichtungen
Verschlüsselung während der Übertragung
Antiviren-Schutz
Passwort-Programm
Rollenbasierter Zugriff
Regelmäßiges Patchen und Aktualisieren von kritischen Systemen und anderen Systemen, die mit kritischen Systemen verbunden sind
Schulung der Nutzer
Mitarbeiterhandbuch
Anti-Spam-Kontrollen
Praktiken zur sicheren Codierung